Datenschutzerklärung
Version 1.0 · Zuletzt aktualisiert: 14. Mai 2026
Diese Übersetzung dient lediglich der besseren Verständlichkeit. Die maßgebliche Fassung dieses Vertrags und das anwendbare Recht sind im Dokument selbst benannt; bei Abweichungen zwischen den Sprachfassungen gelten die mit dem Dienstanbieter vereinbarten Bedingungen.
Diese Erklärung beschreibt, wie EU AI Comply personenbezogene Daten der Nutzer der Plattform euaicomply.eu verarbeitet, in Übereinstimmung mit der Verordnung (EU) 2016/679 (DSGVO) und der anwendbaren rumänischen Gesetzgebung.
1. Identität des Verantwortlichen
Verantwortlicher für die über die Plattform erhobenen personenbezogenen Daten ist PFA Marian Matinca, ein in Rumänien eingetragenes Einzelunternehmen (Persoană Fizică Autorizată), tätig unter der Marke EU AI Comply. Zahlungen und Rechnungsstellung werden von Paddle (Merchant of Record) abgewickelt. In allen Angelegenheiten, die die Verarbeitung Ihrer Daten betreffen, erreichen Sie uns unter:
- Email: [email protected]
- Kontakt des Verantwortlichen: [email protected]
- Website: euaicomply.eu
2. Kategorien der erhobenen personenbezogenen Daten
a) Daten, die Sie direkt angeben:
- Identifikationsdaten: Vorname, Nachname, berufliche E-Mail-Adresse
- Organisationsdaten: Firmenname, Branche, Land, Umsatzsteuer-Identifikationsnummer (optional)
- Kontaktdaten: Telefonnummer (optional), Ansprechpartner
- Erzeugte Inhalte: über das Kontaktformular gesendete Nachrichten
- In den Document Vault hochgeladene Dokumente (technische Handbücher, FRIA-Berichte, Datenschutz-Folgenabschätzungen usw.) — diese können personenbezogene Daten enthalten, wenn der Nutzer sie darin aufnimmt
b) Automatisch erhobene Daten:
- Technische Daten: IP-Adresse, Browsertyp, Betriebssystem, Bildschirmauflösung
- Navigationsdaten: aufgerufene Seiten, Sitzungsdauer, in der Plattform ausgeführte Aktionen
- Funktionale und Sitzungs-Cookies (Einzelheiten in der Cookie-Richtlinie)
- Zugriffsprotokolle zu Sicherheits- und Diagnosezwecken
EU AI Comply erhebt und verarbeitet keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (Gesundheitsdaten, rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, biometrische Daten usw.).
3. Verarbeitungszwecke und Rechtsgrundlagen
| Zweck | Beschreibung | Rechtsgrundlage |
|---|---|---|
| Erbringung des Dienstes | Erstellung und Verwaltung des Kontos, Authentifizierung, Zugang zu den Funktionen der Plattform. | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |
| Abrechnung und Abonnementverwaltung | Übermittlung der erforderlichen Daten an den Zahlungsdienstleister Paddle (Merchant of Record) zur Aktivierung und Verlängerung des Abonnements. | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |
| Sicherheit und Betrugsprävention | Erkennung unbefugter Zugriffe, Überwachung verdächtiger Aktivitäten, Schutz der Kundendaten. | Berechtigtes Interesse des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO) |
| Technischer Support | Beantwortung von Supportanfragen, Diagnose technischer Probleme. | Vertragserfüllung / berechtigtes Interesse (Art. 6 Abs. 1 lit. b und f DSGVO) |
| Produktkommunikation | Benachrichtigungen über Gesetzesaktualisierungen, neue Funktionen, Compliance-Fristen. | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — mit Widerspruchsrecht |
| Verbesserung der Plattform | Anonymisierte Analyse des Nutzungsverhaltens zur Entwicklung neuer Funktionen. | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) |
| Einhaltung gesetzlicher Pflichten | Erfüllung anwendbarer gesetzlicher Verpflichtungen (Steuern, Archivierung, Beantwortung von Behördenanfragen). | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) |
| Marketing (optional) | Versand von Newslettern oder kommerzieller Kommunikation, ausschließlich mit Ihrer ausdrücklichen Einwilligung. | Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — jederzeit widerrufbar |
4. Empfänger und Datenübermittlungen
EU AI Comply verkauft keine personenbezogenen Daten an Dritte. Daten können ausschließlich in den folgenden Fällen weitergegeben werden:
| Empfänger | Rolle | Standort | Garantien |
|---|---|---|---|
| Paddle.com Inc. / Paddle Payments Ltd. | Zahlungsdienstleister und Merchant of Record. Erhält die für die Aktivierung des Abonnements erforderlichen Abrechnungsdaten. Paddle handelt in Bezug auf Zahlungsdaten als eigenständiger Verantwortlicher. | USA / EU | Standardvertragsklauseln (SCCs), DPF-Konformität |
| Cloud-Infrastrukturanbieter (Hetzner) | Server-Hosting in der EU — PostgreSQL-Datenbank, MinIO-Dateispeicher, Redis. | Deutschland (EU) | Art. 28 DSGVO — Auftragsverarbeitungsvertrag |
| Monitoring-Dienste (Sentry) | Erfassung technischer Fehler zu Diagnosezwecken. Die Daten werden vor der Übermittlung pseudonymisiert. | EU | Art. 28 DSGVO — Auftragsverarbeitungsvertrag |
| Öffentliche Stellen | Soweit eine ausdrückliche gesetzliche Verpflichtung oder eine gerichtliche Anordnung dies verlangt. | Rumänien / EU | Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung |
Datenübermittlungen in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) erfolgen ausschließlich mit geeigneten Garantien nach Kapitel V DSGVO (von der Europäischen Kommission angenommene Standardvertragsklauseln oder EU-US Data Privacy Framework).
5. Speicherdauer
- Daten aktiver Konten Für die Dauer des aktiven Abonnements + 30 Tage nach Beendigung (Exportfenster)
- Kontodaten nach Beendigung Unwiderrufliche Löschung 30 Tage nach dem Wirksamkeitsdatum der Beendigung, mit Ausnahme von Daten, die für gesetzliche Pflichten erforderlich sind
- Abrechnungsdaten 10 Jahre ab dem Datum des Steuerdokuments, gemäß dem rumänischen Buchführungsgesetz Nr. 82/1991
- Sicherheitsprotokolle Höchstens 12 Monate, danach Anonymisierung oder Löschung
- Kontakt-/Supportnachrichten 3 Jahre ab der letzten Interaktion, zur Dokumentation der Vertragsbeziehung
- Marketing-Einwilligungen Für die Dauer der aktiven Einwilligung + 3 Jahre für Compliance-Nachweise
- Anonymisierte Daten (Produktanalytik) Unbegrenzt — stellen keine personenbezogenen Daten mehr dar
6. Ihre Rechte als betroffene Person
Gemäß der DSGVO stehen Ihnen in Bezug auf Ihre personenbezogenen Daten die folgenden Rechte zu:
-
Auskunftsrecht (Art. 15)
Sie können eine Kopie der personenbezogenen Daten anfordern, die wir über Sie gespeichert haben, einschließlich Informationen darüber, wie wir sie verarbeiten. -
Recht auf Berichtigung (Art. 16)
Sie können die Berichtigung unrichtiger Daten oder die Vervollständigung unvollständiger Daten verlangen. -
Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17)
Sie können die Löschung Ihrer Daten verlangen, wenn keine Rechtsgrundlage für ihre Verarbeitung mehr besteht. Dieses Recht gilt nicht für Daten, zu deren Aufbewahrung wir gesetzlich verpflichtet sind. -
Recht auf Einschränkung der Verarbeitung (Art. 18)
Sie können in den in der DSGVO vorgesehenen Fällen die vorübergehende Aussetzung der Verarbeitung Ihrer Daten verlangen. -
Recht auf Datenübertragbarkeit (Art. 20)
Sie können die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen, maschinenlesbaren Format (CSV, JSON) erhalten, um sie an einen anderen Verantwortlichen zu übertragen. -
Widerspruchsrecht (Art. 21)
Sie können einer Verarbeitung widersprechen, die auf dem berechtigten Interesse des Verantwortlichen beruht, einschließlich der Nutzung von Daten für Direktwerbung. -
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3)
Beruht die Verarbeitung auf Ihrer Einwilligung, können Sie diese jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird. -
Recht, keiner automatisierten Entscheidungsfindung unterworfen zu werden (Art. 22)
Wir treffen keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen mit erheblichen rechtlichen Auswirkungen.
Zur Ausübung eines Rechts senden Sie eine schriftliche Anfrage an [email protected]. Wir antworten innerhalb von höchstens 30 Kalendertagen (diese Frist kann in komplexen Fällen um 60 Tage verlängert werden, worüber wir Sie vorab informieren). Die Ausübung der Rechte ist kostenlos, außer bei offensichtlich unbegründeten oder exzessiven Anfragen.
7. Rolle als Auftragsverarbeiter für B2B-Kunden
Wenn Kunden (juristische Personen) die Plattform nutzen und dort personenbezogene Daten ihrer eigenen Mitarbeiter, Auftragnehmer oder von Personen eingeben, die von den darin verwalteten KI-Systemen betroffen sind, handelt EU AI Comply als Auftragsverarbeiter im Sinne von Art. 28 DSGVO, und der Kunde ist der Verantwortliche.
In dieser Funktion: (a) verarbeitet EU AI Comply Daten ausschließlich nach den dokumentierten Weisungen des Kunden; (b) setzt geeignete technische und organisatorische Sicherheitsmaßnahmen um; (c) zieht keine Unterauftragsverarbeiter ohne Zustimmung des Kunden hinzu; (d) unterstützt den Kunden bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen; (e) löscht die Daten nach Abschluss der Leistungen oder gibt sie zurück.
Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist auf Anfrage erhältlich ([email protected]) oder im Enterprise-Plan enthalten. Kunden, die über die Plattform personenbezogene Daten verarbeiten, müssen einen AVV mit EU AI Comply abschließen.
8. Datensicherheit
EU AI Comply setzt geeignete technische und organisatorische Maßnahmen um, um personenbezogene Daten vor unbefugtem Zugriff, Verlust, versehentlicher Zerstörung oder Offenlegung zu schützen, darunter:
- Verschlüsselung bei der Übertragung: TLS 1.3 für alle Verbindungen zur Plattform
- Verschlüsselung im Ruhezustand: Datenspeicherung auf Hetzner-Servern in Deutschland (ISO 27001)
- Mandantentrennung: strikte, auf Anwendungsebene durchgesetzte Datentrennung je Unternehmen — kein Mandant kann auf die Daten eines anderen Mandanten zugreifen
- Zwei-Faktor-Authentifizierung (TOTP), verfügbar und für alle Nutzer empfohlen
- Vollständige Protokollierung von Zugriffen und Aktionen (unveränderlicher Audit-Trail)
- Antivirus-Prüfung hochgeladener Dateien (ClamAV)
- Privilegierter Zugriff des Personals von EU AI Comply: auf das notwendige Minimum beschränkt, nach dem Need-to-know-Prinzip
- Regelmäßige Sicherheitstests und Überprüfung der Konfiguration
Bei einem Sicherheitsvorfall, der personenbezogene Daten betrifft, meldet EU AI Comply diesen innerhalb von 72 Stunden nach Kenntnisnahme der Nationalen Aufsichtsbehörde für die Verarbeitung personenbezogener Daten (ANSPDCP) (Art. 33 DSGVO) und informiert die betroffenen Personen, wenn hohe Risiken bestehen (Art. 34 DSGVO).
9. Cookies und ähnliche Technologien
Die Plattform verwendet ausschließlich für den Betrieb zwingend erforderliche Cookies (Sitzung, CSRF-Sicherheit, Spracheinstellungen) und setzt keine Tracking- oder Werbe-Cookies ein. Alle Einzelheiten finden Sie in der Cookie-Richtlinie unter euaicomply.eu/cookies.
10. Änderungen dieser Erklärung
EU AI Comply kann diese Erklärung aktualisieren, um Änderungen der Datenverarbeitungspraktiken, der anwendbaren Gesetzgebung oder der Plattform Rechnung zu tragen. Die aktualisierte Fassung wird auf dieser Seite mit dem Revisionsdatum veröffentlicht. Bei wesentlichen Änderungen benachrichtigen wir registrierte Nutzer mindestens 14 Tage vor deren Wirksamwerden per E-Mail. Die fortgesetzte Nutzung der Plattform nach dem Wirksamkeitsdatum gilt als Annahme der überarbeiteten Erklärung.
11. Beschwerden und Aufsichtsbehörde
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, bei der zuständigen Aufsichtsbehörde Beschwerde einzulegen. In Rumänien ist dies:
Nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten (ANSPDCP)
B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București
Sie können sich auch an die Aufsichtsbehörde des EU-Mitgliedstaats wenden, in dem Sie Ihren gewöhnlichen Aufenthalt haben.
Wir empfehlen Ihnen, sich zunächst direkt an uns zu wenden, unter [email protected] — wir verpflichten uns, jedes Anliegen im Zusammenhang mit der Verarbeitung Ihrer Daten innerhalb von 30 Tagen zu klären.
Datenschutzkontakt:
[email protected]
· Wir antworten innerhalb von 30 Kalendertagen.