Zum Hauptinhalt springen
Complyor

Datenschutz & Sicherheit

Ihre Daten. Sicher. In der EU.

Compliance-Daten gehören zu den sensibelsten Betriebsdaten. Compliar behandelt sie mit den Maßnahmen, die das Datenschutzrecht verlangt — nicht als Marketing, sondern als Fundament.

Sicherheit & DSGVO

Daten, die Schutz verdienen

Compliance-Daten sind sensibel. Compliar behandelt sie entsprechend — nicht als Versprechen, sondern als Fundament.

  • DSGVO-konforme Verarbeitung

    Datenminimierung und klare Rechtsgrundlagen.

  • Hosting in der EU

    Produktivdaten liegen auf Servern in Deutschland (AWS Frankfurt, Hetzner Nürnberg).

  • Revisionssicheres Audit-Log

    Jede Änderung nachvollziehbar dokumentiert — Protokolle mit pseudonymisierten IDs.

  • Rollenrechte und MFA

    Zugriff nach Verantwortung, abgesichert per Mehr-Faktor.

Löschkonzept, Informationspflicht nach Art. 14 DSGVO und technische Maßnahmen im Detail: Sicherheitsseite →

Rechtliche Grundlagen

Was DSGVO-konform wirklich bedeutet

Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Jeder Compliar-Kunde erhält einen AVV — bevor personenbezogene Daten übertragen werden. Kein Betrieb ohne rechtliche Grundlage.

Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)

Compliar erhebt ausschließlich die Daten, die für den jeweiligen Zweck erforderlich sind. Kein Opt-in für Auswertungen, die das Produkt nicht braucht.

Hosting in der EU (Art. 44–46 DSGVO)

Produktivdaten werden auf Servern in Deutschland gespeichert (AWS eu-central-1 Frankfurt, Hetzner Nürnberg). Infrastruktur-Dienstleister wie Vercel und Supabase betreiben ihre Server in der EU/EWR, haben jedoch US-Konzernmütter — diese Übermittlung ist durch EU-Standardvertragsklauseln (SCCs) und ein Transfer Impact Assessment (TIA) nach Art. 46 DSGVO abgesichert. Die TIA stellen wir auf Anfrage zur Verfügung.

OCR ohne Datenspeicherung beim KI-Anbieter

Zur automatischen Erkennung von Ablaufdaten werden hochgeladene Dokumenten-Scans an Mistral AI (Frankreich, EU) übermittelt — ausschließlich zur Verarbeitung, ohne dauerhafte Speicherung (Zero Data Retention). Ein AVV nach Art. 28 DSGVO liegt vor. Ihre Dokumente bleiben nicht beim KI-Dienstleister.

Revisionssicherheit (BSI IT-Grundschutz ORP.4)

Das Audit-Log ist unveränderlich. Jede Aktion — Upload, Bestätigung, Export, Zugriffsgewährung — wird mit Zeitstempel und Benutzer protokolliert. Die Protokolle selbst enthalten nur pseudonymisierte IDs.

Löschkonzept (Art. 17 DSGVO & ArbSchG)

Nachweise unterliegen gesetzlichen Aufbewahrungsfristen nach ArbSchG und DGUV. Compliar unterscheidet zwischen Löschen, Archivieren und Sperren. Bei Kollision zwischen Löschpflicht und Aufbewahrungspflicht werden Daten gesperrt statt gelöscht.

Informationspflicht (Art. 14 DSGVO)

Mitarbeitende werden über die Verarbeitung ihrer Daten informiert. Die Art.-14-Datenschutzinformation ist Bestandteil jedes Vertrags.

Transparente Subprozessoren

Wir arbeiten nur mit Dienstleistern, mit denen ein AVV besteht. Die vollständige Liste aller eingesetzten Subprozessoren finden Sie jederzeit in unserer Datenschutzerklärung