Zum Hauptinhalt springen
Compliar

Datenschutzerklärung

Verantwortlicher (Art. 13 Abs. 1 lit. a DSGVO)

[Vor- und Nachname oder Firmenname]
[Straße Hausnummer]
[PLZ] [Ort]
Deutschland
E-Mail: datenschutz@compliar.de

Verarbeitete Datenkategorien

  • Kontodaten: Vor- und Nachname, E-Mail-Adresse, Unternehmensname (Registrierung und Vertragsverwaltung)
  • Mitarbeiterstammdaten: Name, Personalnummer, Abteilung, Team (eingetragen durch den Kunden / Administrator)
  • Qualifikationsnachweise: Zertifikatsnamen, Ablaufdaten, Erstellungs- und Verlängerungsdaten (gesetzliche Dokumentationspflicht nach ArbSchG §3, DGUV Vorschrift 1 §2)
  • Dokumenten-Scans: Hochgeladene Dateien (PDF, Bilder) von Zertifikaten und Nachweisen. Zur automatischen Datumsextraktion werden diese Scans an Mistral AI SAS (FR) übermittelt — ausschließlich zur OCR-Verarbeitung, ohne dauerhafte Speicherung bei Mistral (Zero Data Retention aktiviert).
  • Audit-Logs: Protokollierte Aktionen (ohne Namen, nur pseudonymisierte IDs) zur Revisionssicherheit nach BSI IT-Grundschutz.

Zweck und Rechtsgrundlage der Verarbeitung

Compliar verarbeitet personenbezogene Daten (Name, E-Mail-Adresse, berufliche Qualifikationsnachweise) auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht, insbesondere ArbSchG §3, DGUV Vorschrift 1 §2). Eine darüber hinausgehende Verarbeitung erfolgt nur mit ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Speicherort, Auftragsverarbeitung und Drittlandtransfers

Produktive Daten werden auf Servern innerhalb der EU gespeichert (AWS eu-central-1 Frankfurt, Hetzner Nürnberg). Mit allen verarbeitenden Dienstleistern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO.

Einige Auftragsverarbeiter haben ihre Konzernmuttergesellschaft in den USA (Supabase Inc., Vercel Inc., Cloudflare Inc., Resend Inc.) und unterliegen dem US CLOUD Act. Datentransfers in die USA sind durch EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) abgesichert. Eine Transfer Impact Assessment (TIA) liegt vor und ist bei datenschutz@compliar.de erhältlich.

Eingesetzte Dienstleister (Subprozessoren)

  • Supabase Ltd. (Irland / Datenbankserver AWS eu-central-1 Frankfurt, DE) — Datenbankhosting, AVV unterzeichnet
  • Vercel Inc. (USA, Datenverarbeitung in der EU) — Application Hosting, AVV (Data Processing Addendum) automatisch aktiv (Pro-Plan)
  • Resend Inc. (USA, Datenbankserver EU-Region Irland, eu-west-1) — E-Mail-Versand (Reminder, Einladungen), AVV automatisch aktiv
  • Mistral AI SAS (Frankreich, EU) — OCR-Verarbeitung von Dokumenten-Scans. Kein dauerhafter Datentransfer (Zero Data Retention). AVV gemäß Art. 28 DSGVO (Data Processing Addendum) aktiv.
  • Hetzner Online GmbH (Deutschland) — Error-Monitoring (Highlight.io self-hosted), AVV über Hetzner-Konsole unterzeichnet

Informationspflicht gegenüber Mitarbeitern (Art. 14 DSGVO)

Da Mitarbeiterdaten nicht direkt bei den betroffenen Mitarbeitern, sondern beim Arbeitgeber (Administrator) erhoben werden, besteht nach Art. 14 DSGVO eine Informationspflicht. Compliar stellt Kunden einen Muster-Informationstext (Art. 14 DSGVO) zur Verfügung, der Mitarbeitern ausgehändigt werden kann.

Betroffenenrechte (Art. 15–22 DSGVO)

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Zur Ausübung Ihrer Rechte wenden Sie sich an datenschutz@compliar.de. Sie haben außerdem das Recht, Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde einzulegen (für NRW: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, ldi.nrw.de).

Löschfristen

Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen (u. a. mindestens 5 Jahre nach DGUV Vorschrift 1, 6 Jahre nach ArbSchG). Bei Kollision zwischen Löschpflicht (Art. 17 DSGVO) und Aufbewahrungspflicht werden Daten gesperrt statt gelöscht.

Cookies und lokale Speicherung

Compliar setzt ausschließlich technisch notwendige Cookies, die für den Betrieb des Dienstes erforderlich sind (§ 25 Abs. 2 Nr. 2 TDDDG — keine Einwilligung erforderlich):

  • sb-[ref]-auth-token — Supabase Authentifizierungs-Session (HttpOnly, SameSite=Lax, Laufzeit: bis Logout oder Ablauf des JWT)
  • sb-[ref]-auth-token-code-verifier — PKCE-Code-Verifier für den Auth-Flow (kurzlebig, wird nach Abschluss des Logins gelöscht)

Es werden keine Tracking-Cookies, Analytics-Cookies oder Marketing-Cookies gesetzt.

Stand: 2026 · Compliar