Zum Inhalt springen
COMPAZ
COMPAZ
← Zurück

Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Compaz OS UG (haftungsbeschränkt) i.G.
Robert Amthor
Bruchwaldstraße 4, 76229 Karlsruhe
E-Mail: service@compaz.io

2. Überblick der Verarbeitungen

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Compliance-Management-Plattform erforderlich ist. Die folgenden Abschnitte informieren Sie über Art, Umfang und Zweck der Datenverarbeitung.

3. Rechtsgrundlagen

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Bereitstellung der Plattform, Kundenkonto
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) — Audit Trail, Schulungsnachweise
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — IT-Sicherheit, Fehlerbehebung
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Nur wo ausdrücklich erteilt

4. Welche Daten wir verarbeiten

4.1 Nutzerkonto

Name, E-Mail-Adresse, Passwort (verschlüsselt gespeichert), Rolle im Unternehmen.

4.2 Unternehmensdaten

Firmenname, Rechtsform, Branche, Mitarbeiterzahl, Umsatz, Adresse, IT-Systeme, Lieferanten, Compliance-Dokumente. Diese Daten geben Sie selbst ein oder laden Dokumente hoch, aus denen wir sie automatisch extrahieren (mit Ihrer Bestätigung).

4.3 Compliance-Bewertungen

Antworten auf Gap-Analysen (NIS2, DSGVO, EU AI Act), Scores, Maßnahmenpläne, Schulungsergebnisse, Zertifikate. Diese Daten werden ausschließlich für Ihren Mandanten verarbeitet und sind durch Tenant-Isolation geschützt.

4.4 Audit Trail

Jede Compliance-relevante Aktion wird protokolliert: Wer, Was, Wann, Warum. Dies ist gesetzlich erforderlich (NIS2, DSGVO) und dient Ihrem Schutz. Der Audit Trail ist durch eine SHA-256 Hash-Chain manipulationssicher.

4.5 Serverprotokolle

IP-Adresse, Browsertyp, Zeitpunkt des Zugriffs. Rechtsgrundlage: berechtigtes Interesse an IT-Sicherheit (Art. 6 Abs. 1 lit. f DSGVO). Löschung nach 30 Tagen.

5. Einsatz von Künstlicher Intelligenz

Compaz OS nutzt KI-Modelle (Large Language Models) für:

  • Automatische Beantwortung von Compliance-Fragen (Auto-Fill)
  • Analyse hochgeladener Dokumente (Datenextraktion)
  • Generierung von Maßnahmenempfehlungen

Transparenz (EU AI Act Art. 50): Jede KI-generierte Antwort ist als solche gekennzeichnet. KI-Ergebnisse sind Vorschläge — die endgültige Entscheidung liegt beim Compliance Officer (Mensch).

Auftragsverarbeiter: Für KI-Verarbeitungen nutzen wir Anthropic (Claude) und Voyage AI (Embeddings). Daten werden nur im Rahmen der Auftragsverarbeitung übermittelt (Art. 28 DSGVO).

6. Auftragsverarbeiter

AnbieterZweckStandort
Hetzner Online GmbHServer-HostingDeutschland
Neo4j, Inc.Graph-Datenbank (Wissensspeicher)EU-Region
Anthropic PBCKI-Modell (Compliance-Analyse)USA (SCC)
Voyage AI, Inc.Text-Embeddings (Suche)USA (SCC)

SCC = Standardvertragsklauseln der EU-Kommission für Drittlandtransfers.

7. Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO) — Welche Daten wir über Sie speichern
  • Berichtigung (Art. 16 DSGVO) — Fehlerhafte Daten korrigieren
  • Löschung (Art. 17 DSGVO) — "Recht auf Vergessenwerden"
  • Einschränkung (Art. 18 DSGVO) — Verarbeitung einschränken
  • Datenübertragbarkeit (Art. 20 DSGVO) — Ihre Daten im maschinenlesbaren Format
  • Widerspruch (Art. 21 DSGVO) — Gegen Verarbeitung auf Basis berechtigter Interessen
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Jederzeit mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte wenden Sie sich an: service@compaz.io

8. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für uns ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

9. Speicherdauer

  • Nutzerkonto: Solange Vertrag besteht, 30 Tage nach Kündigung
  • Compliance-Daten: Solange Vertrag besteht, 30 Tage nach Kündigung
  • Audit Trail: 10 Jahre (gesetzliche Aufbewahrungspflicht)
  • Schulungszertifikate: 10 Jahre (NIS2 Nachweispflicht)
  • Serverprotokolle: 30 Tage

10. Sicherheitsmaßnahmen

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein (Art. 32 DSGVO): TLS-Verschlüsselung, bcrypt Passwort-Hashing, Multi-Tenant-Isolation (Row Level Security), Rate Limiting, Input-Validierung, manipulationssicherer Audit Trail (SHA-256 Hash-Chain), regelmäßige Sicherheitsprüfungen.

11. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies (Session-Token). Kein Tracking, keine Analyse-Cookies, keine Werbe-Cookies. Eine Einwilligung ist daher nicht erforderlich (§ 25 Abs. 2 TDDDG).

ImpressumAGB