1. Verantwortliche Stelle
Diesen Abschnitt im englischen Original lesen ↗Verantwortliche Stelle für sämtliche im Rahmen der Plattform ComplianceGuard (complianceguardhq.com) verarbeiteten personenbezogenen Daten ist ComplianceGuard. Für Datenschutzanfragen oder die Ausübung Ihrer Rechte erreichen Sie uns unter admin@complianceguardhq.com.
2. Welche Daten wir erheben
Diesen Abschnitt im englischen Original lesen ↗Wir erheben nur das, was zur Erbringung des Dienstes erforderlich ist. Wir verkaufen keine personenbezogenen Daten und nutzen sie nicht für Werbung.
2.1 Kontodaten
Bei der Kontoerstellung erheben wir Ihre E-Mail-Adresse und ein gehashtes Passwort (Ihr Klartext-Passwort sehen wir nie — die Authentifizierung übernimmt unser verwalteter Authentifizierungs-Anbieter). Auf Wunsch speichern wir zusätzlich Ihren Firmennamen.
2.2 Scan-Daten
Wenn Sie eine URL zum Scannen einreichen, erheben und speichern wir: die von Ihnen übermittelten URLs; den HTML-Quelltext, den sichtbaren Text und Vollseiten-Screenshots der öffentlich erreichbaren Seiten zum Zeitpunkt des Scans; Metadaten der beim Scan beobachteten Netzwerkanfragen (z. B. Drittanbieter-Tracker-Domains, die vor Cookie-Einwilligung feuern); sowie die strukturierte Ausgabe unserer algorithmischen Analyse (Befunde, Risikowerte, Handlungsanweisungen und Zertifikate).
Wichtig: Wir scannen ausschließlich öffentlich erreichbare Seiten. Wir greifen nicht auf personenbezogene Daten Ihrer Kundinnen und Kunden oder Besucher zu, speichern und verarbeiten diese nicht. Authentifizierte oder zugangsbeschränkte Seiten durchsuchen wir nicht. Personenbezogene Besucherdaten, die in einem Screenshot einer öffentlichen Seite zufällig erscheinen, behandeln wir nicht als personenbezogene Daten und löschen sie planmäßig mit dem Scan-Datensatz (Abschnitt 6).
Anonyme Scan-Übermittlungen: Reichen Sie einen Scan ohne Konto ein, erheben wir zusätzlich die E-Mail-Adresse, die Sie angeben, um Ihnen das Ergebnis und optional einen Magic-Link-Login zuzusenden. Diese E-Mail-Adresse wird 30 Tage gespeichert und anschließend automatisch gelöscht — es sei denn, Sie erstellen ein Konto; in diesem Fall werden alle anonymen Scans mit dieser Adresse Ihrem Konto zugeordnet.
2.3 Zahlungsdaten
Zahlungs- und Abrechnungsdaten (Kartennummern, Rechnungsadresse) werden direkt von unserem Zahlungsdienstleister (PCI-DSS-Level-1-zertifiziert) verarbeitet. Vollständige Kartendaten erhalten und speichern wir nicht. Wir halten lediglich Ihren Tarif, den Status Ihres Abonnements und eine Kunden-Referenz-ID für Abrechnungszwecke vor.
2.4 Nutzungs- und technische Daten
Wir speichern Standard-Serverlogs einschließlich IP-Adressen, Browsertyp, Verweis-URL und auf unserer Plattform besuchten Seiten — zur Sicherheitsüberwachung, zum Rate-Limiting und zur Missbrauchsabwehr. Diese Daten werden nicht zu Werbezwecken mit Ihrem Konto verknüpft.
2.5 Kommunikation
Wenn Sie uns über das Kontaktformular oder per E-Mail erreichen, bewahren wir die Korrespondenz zur Beantwortung Ihrer Anfrage und zur internen Dokumentation auf. Abonnieren Sie Scan-Benachrichtigungen, speichern wir dafür Ihre E-Mail-Adresse.
3. Wie wir Ihre Daten verwenden
Diesen Abschnitt im englischen Original lesen ↗Jeder Verarbeitungszweck wird auf das jeweils Mindesterforderliche abgestimmt:
| Zweck | Verwendete Daten |
|---|---|
| Bereitstellung von Scan und Analyse | Scan-URLs, Seiteninhalt, Screenshots |
| Konto-Authentifizierung und Session-Management | E-Mail, gehashtes Passwort, Session-Token |
| Auslieferung von Berichten und Zertifikaten | Scan-Ergebnisse, E-Mail-Adresse |
| Automatisierte Rescan-Benachrichtigungen (Pro/Growth/Agency) | E-Mail-Adresse, Scan-Ergebnisse |
| Abwicklung von Abo-Zahlungen | Kunden-Referenz-ID, Abo-Status |
| Betrugsprävention und Rate-Limiting | IP-Adresse, Nutzungsprotokolle |
| Bearbeitung von Support-Anfragen | E-Mail-Adresse, Inhalt der Korrespondenz |
| Verbesserung unserer Erkennung (aggregiert, nicht identifizierbar) | Anonymisierte Scan-Muster |
4. Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)
Diesen Abschnitt im englischen Original lesen ↗Für Nutzerinnen und Nutzer im EWR stützen wir die Verarbeitung auf folgende Rechtsgrundlagen:
Art. 6 Abs. 1 lit. b — Vertragserfüllung: Die Verarbeitung von Konto-, Scan- und Zahlungsreferenzdaten ist zur Erbringung des von Ihnen beauftragten Dienstes erforderlich.
Art. 6 Abs. 1 lit. f — Berechtigte Interessen: Die Verarbeitung technischer und Nutzungsdaten zu Sicherheitsüberwachung, Betrugsprävention und Dienstestabilität, soweit Ihre Rechte nicht überwiegen.
Art. 6 Abs. 1 lit. a — Einwilligung: Für optionale Marketing-Kommunikation (die wir derzeit nicht versenden) stützen wir uns auf eine freiwillig erteilte, spezifische und informierte Einwilligung, die Sie jederzeit widerrufen können.
Art. 6 Abs. 1 lit. c — Rechtliche Verpflichtung: Soweit wir Aufzeichnungen zu Steuer-, Buchhaltungs- oder gesetzlichen Compliance-Zwecken aufbewahren müssen.
5. Auftragsverarbeiter nach Art. 28 DSGVO
Diesen Abschnitt im englischen Original lesen ↗Wir setzen eine geringe Zahl sorgfältig ausgewählter Dienstleister ein. Mit jedem besteht ein schriftlicher Auftragsverarbeitungsvertrag, der die Anforderungen des Art. 28 DSGVO erfüllt — einschließlich Vertraulichkeits- und Sicherheitspflichten, Beschränkungen für Unter-Unterauftragsverarbeiter, Prüfungsrechten sowie Unterstützung bei der Wahrnehmung Ihrer Betroffenenrechte.
Unsere aktuelle Liste ist nachfolgend nach Funktion und nicht nach Marke gegliedert. So erhalten Sie ein klares Bild davon, wie jede Funktion Ihre Daten verarbeitet, während die Betriebsdetails unseres Technologie-Stacks aus Sicherheitsgründen nicht gebündelt offen liegen — ohne dass Ihre Rechte aus Art. 15 bis 22 DSGVO eingeschränkt werden.
| Kategorie | Zweck | Standort & Übermittlungsmechanismus |
|---|---|---|
| Verwaltete Cloud-Datenbank und Authentifizierungs-Infrastruktur | Speicherung Ihres Kontos, Ihrer Scan-Historie und Authentifizierung Ihrer Sitzungen | Land mit EU-Angemessenheitsbeschluss (Durchführungsbeschluss (EU) 2019/419) |
| Anwendungs-Hosting und Edge-CDN | Auslieferung der öffentlichen Website und des Kunden-Dashboards | EU- und US-Infrastruktur; US-Übermittlungen über Standardvertragsklauseln der EU-Kommission (Beschluss 2021/914/EU) |
| Cloud-Headless-Browser-Rendering | Aufruf der öffentlichen Webseiten, die Sie zur Prüfung übergeben, und Erfassung ihres Inhalts | USA; Standardvertragsklauseln |
| Hintergrund-Job-Orchestrierung | Koordination jedes Scans von Einreichung bis Ergebnis | USA; Standardvertragsklauseln |
| Inhaltsanalyse durch ein großes Sprachmodell | Ergänzung unserer deterministischen Erkennung um Inhaltsdeutung; der Anbieter ist vertraglich verpflichtet, Ihre Daten nicht für Modell-Training zu verwenden | USA; Standardvertragsklauseln |
| Transaktionale E-Mail-Zustellung | Versand von Scan-Abschluss-, Konto- und Zertifikats-E-Mails | USA; Standardvertragsklauseln |
| Fehler- und Performance-Monitoring | Diagnose von Plattform-Problemen und Sicherstellung der Verfügbarkeit | Europäische Union (Frankfurt am Main, Deutschland) |
| Zahlungsabwicklung | Abwicklung der Abo-Abrechnung in Ihrem Tarif | Europäische Union |
Sie können die aktuelle, namentliche Liste unserer Auftragsverarbeiter jederzeit kostenfrei unter admin@complianceguardhq.com anfordern. Wir antworten innerhalb von 30 Tagen.
Bevor wir eine Auftragsverarbeiterin oder einen Auftragsverarbeiter so hinzufügen oder ersetzen, dass dies Ihre Datenverarbeitung wesentlich beeinflusst, kündigen wir die Änderung mindestens 30 Tage im Voraus an, damit Sie Gelegenheit zum Widerspruch haben.
6. Aufbewahrungsfristen
Diesen Abschnitt im englischen Original lesen ↗Wir speichern Daten so kurz, wie es der jeweilige Zweck erfordert:
| Datenart | Aufbewahrungsdauer |
|---|---|
| Kontodaten (E-Mail, Authentifizierung) | Laufzeit des Kontos + 30 Tage nach Löschanfrage |
| Scan-Ergebnisse und Berichte | Laufzeit des aktiven Abonnements + 90 Tage nach Kündigung |
| Vollseiten-Screenshots | 90 Tage ab Scan-Datum |
| Roh-HTML / Seitentext aus dem Scan | 30 Tage ab Scan-Datum |
| Ausgestellte Compliance-Zertifikate | 7 Jahre (gesetzliche Aufbewahrung) |
| Datensätze zu Zahlungstransaktionen | 7 Jahre (steuer-/handelsrechtliche Pflichten) |
| Server- und Sicherheitsprotokolle | 90 Tage |
| Support-Korrespondenz | 3 Jahre ab letzter Interaktion |
Beim Löschen Ihres Kontos starten wir die Datenlöschung binnen 30 Tagen. Bestimmte Daten (Zertifikate, Zahlungsnachweise) bewahren wir ausschließlich zur Erfüllung gesetzlicher Pflichten länger auf; sie sind weder für Sie zugänglich noch werden sie zu einem anderen Zweck genutzt.
7. Internationale Datenübermittlungen
Diesen Abschnitt im englischen Original lesen ↗Einige der in Abschnitt 5 nach Funktion beschriebenen Dienstleister sind außerhalb des EWR ansässig. Personenbezogene Daten können daher übermittelt werden an: ein Land mit Angemessenheitsbeschluss nach Art. 45 DSGVO (konkret das durch Durchführungsbeschluss (EU) 2019/419 anerkannte Land), wobei der Beschluss die rechtmäßige Übermittlung ohne zusätzliche Garantien begründet; die Vereinigten Staaten, wo wir uns auf die von der EU-Kommission erlassenen Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 — „SCC“) stützen; sowie die Europäische Union, wo keine weitere Übermittlungsgrundlage erforderlich ist.
Soweit wir die SCC einsetzen, haben wir eine Transfer-Folgenabschätzung durchgeführt, die deren weitere Anwendung stützt. Als ergänzende Maßnahmen setzen wir auf die Verschlüsselung personenbezogener Daten in Übertragung (TLS) und Ruhelage, rollenbasierte Zugriffskontrollen in internen Systemen sowie das vertragliche Trainingsverbot gegenüber dem LLM-Anbieter.
Kopien der von uns verwendeten SCC sowie eine Zusammenfassung unserer Transfer-Folgenabschätzung erhalten Sie auf Anfrage unter admin@complianceguardhq.com.
8. Ihre Rechte nach der DSGVO
Diesen Abschnitt im englischen Original lesen ↗Befinden Sie sich im EWR, stehen Ihnen folgende Rechte zu. Zur Ausübung schreiben Sie an admin@complianceguardhq.com. Wir antworten innerhalb von 30 Tagen.
- Auskunftsrecht (Art. 15): Kopie aller bei uns gespeicherten personenbezogenen Daten anfordern.
- Recht auf Berichtigung (Art. 16): Korrektur unrichtiger oder unvollständiger Daten verlangen.
- Recht auf Löschung (Art. 17): Löschung Ihrer Daten verlangen („Recht auf Vergessenwerden“) — vorbehaltlich gesetzlicher Aufbewahrungspflichten.
- Recht auf Einschränkung (Art. 18): Einschränkung der Verarbeitung während einer Klärung verlangen.
- Recht auf Datenübertragbarkeit (Art. 20): Ihre Konto- und Scan-Daten in strukturiertem, maschinenlesbarem Format (JSON/CSV) erhalten.
- Widerspruchsrecht (Art. 21): Der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.
- Widerruf der Einwilligung (Art. 7 Abs. 3): Bei einwilligungsbasierter Verarbeitung jederzeit ohne Auswirkung auf die bisherige Rechtmäßigkeit widerrufen.
- Beschwerderecht: Sie haben das Recht, sich bei Ihrer nationalen Aufsichtsbehörde zu beschweren. Eine Liste der EU-Datenschutzbehörden finden Sie auf edpb.europa.eu.
Wir können vor Bearbeitung einer Anfrage Ihre Identität überprüfen. Für Standardanfragen erheben wir keine Gebühr.
10. Daten von Kindern
Diesen Abschnitt im englischen Original lesen ↗Der Dienst richtet sich an gewerbliche Nutzerinnen und Nutzer (Händler, Entwickler, Agenturen) und nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Bemerken Sie eine versehentliche Erhebung, kontaktieren Sie uns unter admin@complianceguardhq.com — wir löschen die Daten unverzüglich.
11. Sicherheit
Diesen Abschnitt im englischen Original lesen ↗Wir treffen geeignete technische und organisatorische Sicherheitsmaßnahmen, darunter:
- Verschlüsselung in Übertragung (TLS 1.2+) für sämtliche Daten
- Verschlüsselung in Ruhelage (AES-256) der Datenbankeinträge
- Row-Level-Security-Richtlinien stellen sicher, dass Nutzerinnen und Nutzer nur ihre eigenen Scan-Daten sehen
- Trennung des Service-Role-Keys — Admin-Operationen laufen ausschließlich serverseitig, der Key gelangt nie in den Browser
- Rate-Limiting an allen Scan- und Authentifizierungs-Endpunkten
- API-Schlüssel werden ausschließlich in serverseitigen Umgebungsvariablen gehalten, nie in Client-Bundles
Kein System ist vollkommen sicher. Wenn Sie eine Sicherheitslücke entdecken, melden Sie sie verantwortungsvoll an admin@complianceguardhq.com.
12. Änderungen dieser Erklärung
Diesen Abschnitt im englischen Original lesen ↗Wir aktualisieren diese Datenschutzerklärung gelegentlich. Bei wesentlichen Änderungen aktualisieren wir oben das Datum „Zuletzt aktualisiert“ und informieren Sie — soweit Ihre Rechte erheblich betroffen sind — mindestens 14 Tage vor Inkrafttreten per E-Mail. Eine fortgesetzte Nutzung nach dem Wirksamwerden gilt als Annahme der aktualisierten Fassung.
13. Kontakt & Datenschutzanfragen
Diesen Abschnitt im englischen Original lesen ↗Für jede datenschutzbezogene Frage, jede Betroffenenanfrage oder Beschwerde erreichen Sie uns unter admin@complianceguardhq.com. Allgemeiner Kontakt: complianceguardhq.com/contact.
Sind Sie mit unserer Antwort nicht zufrieden, haben Sie das Recht, Beschwerde bei Ihrer nationalen Datenschutzbehörde einzulegen. Ihre zuständige Behörde finden Sie auf edpb.europa.eu.