Datenschutzerklärung
Stand: 4. Juli 2026
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO:
Datenschutzbeauftragter: Derzeit wurde kein Datenschutzbeauftragter bestellt, weil die gesetzlichen Voraussetzungen nach Art. 37 DSGVO nach aktuellem Stand nicht erfüllt sind.
Anwendbares Recht
Diese Datenschutzerklärung richtet sich nach:
- EU/EWR: Datenschutz-Grundverordnung (DSGVO/GDPR)
- Deutschland: BDSG, TDDDG (ehemals TTDSG)
- Österreich: DSG, TKG 2021
- Schweiz: Bundesgesetz über den Datenschutz (DSG)
Für Nutzer aus der Schweiz: Das DSG (in Kraft seit 1.9.2023) entspricht weitgehend der DSGVO, enthält jedoch eigene Regelungen zu Informationspflichten und Betroffenenrechten.
2. Übersicht der Verarbeitungen
Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen:
- Bestandsdaten (Name, Firma)
- Kontaktdaten (E-Mail-Adresse)
- Inhaltsdaten (Eingaben in Fragebögen, Compliance-Dokumentation)
- Nutzungsdaten (aufgerufene Seiten, Zugriffszeiten)
- Meta-/Kommunikationsdaten (anonymisierte IP-Adressen, Browser-Typ)
- Nutzer (Besucher, registrierte Kunden)
- Bereitstellung des Onlineangebotes und seiner Funktionen
- Sicherheitsmaßnahmen
- Vertragliche Leistungen und Service
- Verwaltung und Beantwortung von Anfragen
- Hosting-Provider: Contabo GmbH (Frankreich/EU) – Bereitstellung der Server-Infrastruktur
- KI-Klassifizierung: Google Ireland Limited (Irland/EU) – automatisierte Kategorisierung von Cookies und Trackern
- Zahlungsdienstleister: Stripe, Inc. (USA/Irland) – Abwicklung von Zahlungen
- Behörden: Nur bei gesetzlicher Verpflichtung (z.B. Steuerbehörden, Strafverfolgung)
3. Maßgebliche Rechtsgrundlagen
Im Folgenden teilen wir die Rechtsgrundlagen der DSGVO mit, auf deren Basis wir personenbezogene Daten verarbeiten:
- Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) – Die betroffene Person hat ihre Einwilligung in die Verarbeitung gegeben.
- Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO) – Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
- Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) – Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen erforderlich.
3.1. Automatisierte Entscheidungsfindung und KI-Einsatz
Im Rahmen der Compliance-Scans setzen wir KI-gestützte Klassifizierungssysteme (Google Gemini API) ein, um Cookies, Tracker und Domains automatisiert zu kategorisieren. Dabei werden ausschließlich technische Scan-Daten (Domainnamen, Cookie-Bezeichnungen, Tracker-Informationen) verarbeitet — keine personenbezogenen Nutzerdaten wie Name oder E-Mail-Adresse.
Diese Klassifizierungen stellen keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO dar, da sie keine rechtliche Wirkung entfalten und ausschließlich informativen Charakter haben. Alle Entscheidungen, die Sie in ähnlicher Weise erheblich beeinträchtigen könnten, werden von Menschen getroffen.
4. Sicherheitsmaßnahmen
Wir treffen technische und organisatorische Sicherheitsmaßnahmen entsprechend Art. 32 DSGVO:
- Verschlüsselung der Datenübertragung (TLS/SSL)
- Sichere Speicherung von Passwörtern (bcrypt, Kostenfaktor 12)
- Regelmäßige Sicherheitsupdates und Patches
- Zugriffskontrolle und Berechtigungsmanagement
- Pseudonymisierung und Anonymisierung: IP-Adressen werden vor der Speicherung anonymisiert (IPv4: letztes Oktett auf 0 gesetzt, z.B. 192.168.1.0; IPv6: auf /48-Präfix gekürzt). Eine Zuordnung zu einzelnen Personen ist damit nicht möglich. Die Anonymisierung erfolgt unmittelbar bei der Erhebung, bevor die Daten in Server-Logs geschrieben werden.
- Server-Access-Logs werden nach 30–90 Tagen gelöscht. Sicherheits- und Audit-Logs werden aus Compliance-Gründen bis zu 12 Monate gespeichert und danach automatisch gelöscht.
- CSRF-Schutz (Cross-Site-Request-Forgery-Prävention)
- Rate-Limiting zum Schutz vor Brute-Force-Angriffen
5. Einsatz von Cookies
Wir setzen ausschließlich technisch notwendige Cookies ein, die für den Betrieb der Website und des eingeloggten Bereichs unbedingt erforderlich sind. Zusätzlich nutzen wir eine technisch erforderliche browserseitige Speicherung (localStorage/sessionStorage) — etwa für zwischengespeicherte Formular-Entwürfe und Anzeige-Einstellungen. Die folgende Tabelle listet alle eingesetzten Einträge vollständig auf. Diese Verarbeitungen erfordern gemäß § 165 Abs. 3 TKG 2021 (Österreich), § 25 Abs. 2 Nr. 2 TDDDG (Deutschland) sowie Art. 5 Abs. 3 der ePrivacy-Richtlinie keine Einwilligung.
| Cookie / Speicher | Zweck | Speicherdauer | Kategorie |
|---|---|---|---|
| compliance_session | HttpOnly-Session-Cookie für die Authentifizierung im geschützten Bereich. Für JavaScript nicht lesbar; wird bei angemeldeten Anfragen automatisch mitgesendet. | 7 Tage | Technisch notwendig |
| csrfToken | Schutz vor Cross-Site-Request-Forgery-Angriffen — verhindert, dass Dritte Anfragen im Namen des Nutzers stellen. | Session | Technisch notwendig |
| aiact_quick_check_v1 (localStorage) | Zwischenspeicherung der Eingaben der AI-Act-Schnellprüfung, damit ein begonnener Check beim erneuten Aufruf nicht verloren geht. | Dauerhaft, bis vom Nutzer gelöscht | Technisch notwendig |
| chunk-reload (sessionStorage) | Technischer Schutz vor einer Endlos-Neuladeschleife nach einer neuen Programmversion (Deployment). | Session | Technisch notwendig |
| theme (localStorage) | Speichert die gewählte Darstellung (Light- oder Dark-Modus). | Dauerhaft, bis vom Nutzer geändert | Technisch notwendig |
Hinweis zum Login: Für registrierte Nutzer verwendet die Anwendung ein technisch notwendiges compliance_session-Cookie.
- compliance_session: HttpOnly-Authentifizierungs-Cookie für den Zugriff auf geschützte API-Endpunkte
Das Session-Cookie wird beim Logout entfernt oder läuft nach spätestens 7 Tagen ohne Erneuerung ab.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Sicherheit unserer Website und dem Schutz unserer Nutzer vor Angriffen.
6. Registrierung und Nutzerkonto
Nutzer können ein Nutzerkonto anlegen. Im Rahmen der Registrierung werden die erforderlichen Pflichtangaben erhoben:
- E-Mail-Adresse
- Passwort (wird nur als Hash gespeichert)
- Firmenname
Optional kann die Anmeldung über Passkeys (WebAuthn) erfolgen. Dabei wird ein kryptografischer öffentlicher Schlüssel auf unseren Servern gespeichert. Der private Schlüssel verbleibt ausschließlich auf Ihrem Endgerät und wird zu keinem Zeitpunkt an uns übermittelt.
Team-Einladungen: Wenn Sie Teammitglieder in Ihre Organisation einladen, verarbeiten wir die E-Mail-Adresse der eingeladenen Person zum Versand und zur Zuordnung der Einladung (Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO). Nicht angenommene Einladungen laufen nach 7 Tagen ab und werden anschließend automatisch gelöscht.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Speicherdauer: Die Daten werden gespeichert, solange das Nutzerkonto besteht. Nutzer können ihr Konto jederzeit löschen.
Löschung: Bei Kontolöschung werden alle personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
7. Compliance-Dokumentation (Inhaltsdaten)
Im Rahmen der Nutzung unseres Dienstes verarbeiten wir folgende Inhaltsdaten:
- DSGVO-Fragebögen und Verarbeitungsverzeichnisse
- NIS2-Asset-Inventar
- AI-Act-Systemklassifizierungen
- Website-Scan-Ergebnisse
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Speicherdauer: Diese Daten werden gespeichert, bis der Nutzer sie löscht oder sein Konto löscht. Scan-Ergebnisse werden zusätzlich nach 12 Monaten automatisch gelöscht; detaillierte Scan-Rohdaten (einzelne Netzwerk-Anfragen, Cookies, Screenshots) bereits nach 90 Tagen. Aggregierte Score-Verlaufsdaten für die Trend-Anzeige bleiben bis zur Löschung der Domain bzw. des Kontos erhalten.
8. Kontaktaufnahme per E-Mail
Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir folgende Daten:
- E-Mail-Adresse
- Name (sofern angegeben)
- Inhalt der Nachricht
- Zeitpunkt der Anfrage
Zweck: Bearbeitung und Beantwortung Ihrer Anfrage.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Beantwortung von Anfragen bzw. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), wenn die Anfrage im Zusammenhang mit einem bestehenden Vertrag steht.
Speicherdauer: E-Mail-Korrespondenz wird nach Abschluss der Bearbeitung für maximal 3 Jahre aufbewahrt (Verjährungsfristen), sofern keine längeren gesetzlichen Aufbewahrungspflichten bestehen.
9. Server-Log-Dateien
Bei jedem Zugriff auf unsere Website werden automatisch Informationen in Server-Log-Dateien gespeichert:
- Anonymisierte IP-Adresse (IPv4: letztes Oktett auf 0 gesetzt; IPv6: auf /48-Präfix gekürzt)
- Datum und Uhrzeit der Anfrage
- Aufgerufene Seite/Ressource
- HTTP-Statuscode
- Browser und Betriebssystem
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Sicherheit und Stabilität unseres Angebots.
Speicherdauer: Audit-Logs werden nach 12 Monaten automatisch gelöscht. Diese Frist dient der Erfüllung von Compliance-Anforderungen und der Nachvollziehbarkeit bei Sicherheitsvorfällen.
10. Auftragsverarbeiter und Drittanbieter
Hosting
Unsere Website wird bei Contabo GmbH, Aschauer Straße 32a, 81549 München, Deutschland gehostet. Die Server befinden sich in Frankreich (Straßburg). Es findet eine Datenübermittlung innerhalb der EU statt (keine Drittländer).
Auftragsverarbeitung: Mit Contabo besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO, der die Weisungsgebundenheit, technische und organisatorische Maßnahmen sowie Kontrollrechte regelt.
Datenschutzhinweise: contabo.com/de/legal/privacy
KI-gestützte Klassifizierung (Google Gemini)
Für die automatisierte Klassifizierung von Cookies, Trackern und Domains im Rahmen unserer Compliance-Scans nutzen wir die Google Gemini API (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Dabei werden die im Scan erfassten technischen Daten (Domainnamen, Cookie-Bezeichnungen, Tracker-Informationen) an Google übermittelt. Es werden keine personenbezogenen Nutzerdaten (Name, E-Mail) an Google weitergegeben.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Auftragsverarbeitung: Die Nutzung erfolgt auf Basis der Google Cloud Data Processing Addendum gemäß Art. 28 DSGVO.
Datenschutzhinweise: policies.google.com/privacy
Stripe (Zahlungsabwicklung)
Für die Zahlungsabwicklung nutzen wir Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland. Stripe Payments Europe kann im Rahmen konzerninterner Prozesse Subunternehmer in den USA einsetzen. Dabei kann ein Zugriff aus Drittländern erfolgen, der durch EU-Standardvertragsklauseln (SCC) abgesichert ist.
Stripe verarbeitet Zahlungsdaten (Kreditkartennummern, Bankdaten) direkt und ist PCI-DSS Level 1 zertifiziert. Wir speichern keine vollständigen Zahlungsdaten, sondern ausschließlich:
- Stripe Kunden-ID
- Subscription-ID und -Status
- Gewählter Plan (Abo-Tier)
- Scan-Credit-Guthaben (bei Einzelkäufen)
Verarbeitete Zahlungsarten: Kreditkarte, SEPA-Lastschrift, Apple Pay, Google Pay (je nach Verfügbarkeit).
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Speicherdauer: Zahlungsdaten werden gemäß handels- und steuerrechtlicher Aufbewahrungsfristen (bis zu 10 Jahre) gespeichert.
Datenschutzhinweise: stripe.com/de/privacy
Auftragsverarbeitung: Mit Stripe besteht ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO. Dieser ist Bestandteil der Stripe Services Agreement.
11. Übermittlung in Drittländer
Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU/des EWR erfolgt grundsätzlich nicht durch uns selbst. Unsere primären Auftragsverarbeiter (Contabo Frankreich, Stripe Payments Europe, Google Ireland) verarbeiten Daten innerhalb der EU.
Stripe Inc. (USA) und Google LLC (USA) können als Unterauftragnehmer ihrer jeweiligen EU-Gesellschaften Zugriff auf bestimmte Daten haben. In diesen Fällen erfolgt die Übermittlung auf Grundlage von:
- EU-Angemessenheitsbeschluss für die USA (EU-U.S. Data Privacy Framework, Art. 45 DSGVO)
- Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
Weitere Informationen: Stripe Datentransfers
12. Rechte der betroffenen Personen
Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu:
- Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über Ihre gespeicherten Daten zu erhalten.
- Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
- Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen ("Recht auf Vergessenwerden").
- Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten Format zu erhalten. Administratoren einer Organisation können in den Einstellungen einen vollständigen Datenexport (JSON) herunterladen; alle übrigen Nutzer erhalten ihren Export auf Anfrage per E-Mail.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit widerrufen.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: kontakt@compliancescan.eu
13. Beschwerderecht bei der Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu (Art. 77 DSGVO).
Österreichische Datenschutzbehörde (DSB)
Barichgasse 40-42
1030 Wien
Österreich
www.dsb.gv.at
Für die Schweiz:
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1
3003 Bern
www.edoeb.admin.ch
Für Deutschland:
Je nach Bundesland zuständige Landesdatenschutzbehörde.
Übersicht: www.bfdi.bund.de
14. Änderung dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.