complair.
Sprache
English Deutsch Français Español
Kostenlos starten
Rechtliches

Auftrags- verarbeitungsvertrag

Dieser AVV regelt, wie Complair personenbezogene Daten im Auftrag seiner Kunden verarbeitet, in Übereinstimmung mit Art. 28 DSGVO.

DSGVO Art. 28 EU-gehostet Zuletzt aktualisiert 17. April 2026

Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil der Nutzungsbedingungen (der „Hauptvertrag“) zwischen VISTE FORGE SRL („Auftragsverarbeiter“) und der Stelle, die den Hauptvertrag angenommen hat („Verantwortlicher“, „Kunde“, „Sie“). Dieser AVV gilt, soweit Complair personenbezogene Daten im Rahmen der Bereitstellung des Dienstes im Auftrag des Kunden verarbeitet.

1. Begriffsbestimmungen

  • „Kundendaten“ — personenbezogene Daten, die der Kunde oder seine berechtigten Nutzer im Dienst hochladen, eingeben oder erzeugen, einschließlich Einträgen im KI-System-Inventar, Checklistenpunkten, Dokumenten, Antworten aus Lieferantenfragebögen, Assistenten-Gesprächen und Audit-Logs.
  • „Personenbezogene Daten“, „Betroffene Person“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „Unterauftragsverarbeiter“, „Aufsichtsbehörde“ und „Verletzung des Schutzes personenbezogener Daten“ haben die in der DSGVO (Verordnung (EU) 2016/679) festgelegte Bedeutung.
  • „SCC“ — die von der Europäischen Kommission erlassenen Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) in ihrer jeweils geänderten oder ersetzten Fassung.
  • „Dienst“ — der Complair Compliance-Workspace gemäß Hauptvertrag.

2. Geltungsbereich und Rollen

Der Kunde ist Verantwortlicher der Kundendaten. Complair ist Auftragsverarbeiter. Complair verarbeitet Kundendaten ausschließlich zur Bereitstellung des Dienstes und wie in diesem AVV näher beschrieben.

Für personenbezogene Daten, die Complair unmittelbar selbst erhebt (Registrierungsdaten, Abrechnungsdaten, technische Protokolle), handelt Complair als eigenständiger Verantwortlicher. Diese Verarbeitung richtet sich nach unserer Datenschutzerklärung.

3. Verarbeitungsanweisungen

  • Complair verarbeitet Kundendaten ausschließlich auf dokumentierte Weisung des Kunden, wie in diesem AVV und im Hauptvertrag festgelegt.
  • Ist Complair der Ansicht, dass eine Weisung gegen die DSGVO oder sonstiges anwendbares Datenschutzrecht verstößt, informiert Complair den Kunden unverzüglich.
  • Der Kunde kann durch E-Mail an privacy@complair.eu angemessene, mit dem Hauptvertrag vereinbare Zusatzweisungen erteilen.
  • Complair verwendet Kundendaten nicht für eigene Zwecke — einschließlich des Trainings von Modellen des maschinellen Lernens —, es sei denn, der Kunde weist dies ausdrücklich an.
Anhang

4. Einzelheiten der Verarbeitung

GegenstandBereitstellung des Complair Compliance-Workspace: KI-System-Inventar, Risikoklassifizierung, Checklisten-Management, Dokumentengenerierung, Lieferantenbewertungen und Compliance-Assistent.
DauerFür die Laufzeit des Hauptvertrags zuzüglich der in Abschnitt 11 beschriebenen Nachvertragsfrist.
Art & ZweckSpeicherung, Abruf, Anzeige, KI-gestützte Analyse (über die Anthropic-Claude-API), PDF/Excel-Generierung, E-Mail-Zustellung und strukturierter Export von Kundendaten.
DatenkategorienBeschreibungen von KI-Systemen, Risikoklassifizierungen, Checklisten-Einträge, generierte Dokumente, Antworten aus Lieferantenfragebögen, Protokolle des Assistenten, Audit-Trail-Einträge, Namen, E-Mail-Adressen und Rollen im Workspace.
BetroffeneMitarbeiter, Auftragnehmer und berechtigte Nutzer des Kunden; Kontaktpersonen von Drittanbietern (sofern vom Kunden für Lieferantenbewertungen hinzugefügt).

5. Sicherheitsmaßnahmen

Complair implementiert und hält geeignete technische und organisatorische Maßnahmen zum Schutz der Kundendaten aufrecht, darunter:

  • Verschlüsselung — TLS 1.2+ bei der Übertragung; AES-256 im Ruhezustand (Datenbank, Backups, Objektspeicher).
  • Authentifizierung — mit bcrypt gehashte Passwörter; auf den Workspace beschränkte Session-Tokens; optionale Zwei-Faktor-Authentifizierung.
  • Zugriffskontrolle — rollenbasierter Zugriff (Pundit-Policies); mandantengebundene Controller und ausgewählte Modell-Guards über acts_as_tenant; Least-Privilege-Zugriff für Complair-Personal.
  • Infrastruktur — gehostet bei Hetzner in Frankfurt, Deutschland (EU). Server gehärtet, hinter Firewalls und regelmäßig gepatcht.
  • Backups — tägliche verschlüsselte Backups mit getesteten Wiederherstellungsverfahren; Rotation aus dem Cold Storage innerhalb von 35 Tagen.
  • Monitoring — zentralisiertes Logging, Anomalie-Alerts, Abhängigkeits-Scans und Fehler-Monitoring (Sentry, EU).
  • Personal — Background Checks, Vertraulichkeitsvereinbarungen, jährliche Sicherheitsschulungen für alle Mitarbeitenden mit Zugriff auf Kundendaten.

Eine detailliertere Beschreibung unserer Sicherheitslage finden Sie auf unserer Sicherheitsseite.

6. Unterauftragsverarbeiter

Der Kunde ermächtigt Complair, die nachstehend aufgeführten Unterauftragsverarbeiter einzubinden. Jeder ist durch einen schriftlichen Auftragsverarbeitungsvertrag gebunden, der Verpflichtungen auferlegt, die nicht weniger schützend sind als dieser AVV.

Unterauftragsverarbeiter Zweck Verarbeitete Daten Standort
Anthropic, PBCClaude-API – KI-gestützte Klassifizierung, Assistentenantworten, DokumentengenerierungPrompt-Inhalte (Beschreibungen von KI-Systemen, Nutzeranfragen)Vereinigte Staaten (SCC + ergänzende Maßnahmen)
Stripe Payments Europe Ltd.Abonnementabrechnung, Zahlungsabwicklung, RechnungsstellungAbrechnungskontaktdaten, Abonnement-MetadatenIrland (EU)
Hetzner Online GmbHAnwendungs-Hosting, PostgreSQL-Datenbank, verschlüsselte BackupsAlle Kundendaten im RuhezustandDeutschland (EU)
Resend (Resend, Inc.)Zustellung transaktionaler E-Mails (Einladungen, Passwort-Resets, Benachrichtigungen)Empfänger-E-Mail-Adressen, E-Mail-InhalteVereinigte Staaten (SCC)
SentryFehler-Monitoring (personenbezogene Daten minimiert und bereinigt)Anonymisierte Fehlerspuren, IP-Adressen (gekürzt)Europäische Union

Änderungen bei Unterauftragsverarbeitern

  • Complair wird den Kunden mindestens 30 Tage vor Hinzunahme oder Ersetzung eines Unterauftragsverarbeiters per E-Mail an die Adresse des Workspace-Inhabers informieren.
  • Widerspricht der Kunde aus nachvollziehbaren Datenschutzgründen, werden die Parteien in gutem Glauben nach einer Alternative suchen. Kommt binnen 30 Tagen keine Lösung zustande, kann der Kunde die betroffene Service-Komponente ohne Vertragsstrafe kündigen.
  • Complair haftet für Handlungen und Unterlassungen seiner Unterauftragsverarbeiter wie für eigene.

7. Internationale Datenübermittlungen

Kundendaten werden in Frankfurt, Deutschland (EU) gespeichert. Soweit ein Unterauftragsverarbeiter außerhalb des EWR ansässig ist (siehe Abschnitt 6), stellt Complair einen geeigneten Übermittlungsmechanismus sicher:

  • Standardvertragsklauseln (Modul 3: Auftragsverarbeiter zu Unterauftragsverarbeiter), wie von der Europäischen Kommission erlassen.
  • Ergänzende Maßnahmen — Verschlüsselung bei Übertragung und im Ruhezustand, Datenminimierung, vertragliche Beschränkungen für Behördenzugriffe und Übermittlungsfolgenabschätzungen.

Kopien der unterzeichneten SCC sind auf Anfrage unter privacy@complair.eu erhältlich.

8. Unterstützung des Verantwortlichen

Unter Berücksichtigung der Art der Verarbeitung unterstützt Complair den Kunden mit geeigneten technischen und organisatorischen Maßnahmen, soweit möglich, bei der Erfüllung der Pflichten des Kunden zu:

  • Beantwortung von Betroffenenrechten auf Auskunft, Berichtigung, Löschung, Übertragbarkeit, Einschränkung und Widerspruch (Art. 15–22 DSGVO).
  • Durchführung von Datenschutz-Folgenabschätzungen und vorheriger Konsultationen, soweit erforderlich (Art. 35–36 DSGVO).
  • Einhaltung der Pflichten zur Sicherheit der Verarbeitung (Art. 32 DSGVO).
  • Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33–34 DSGVO).

Erfordert die Unterstützung erheblichen Aufwand über den regulären Support hinaus, kann Complair angemessene Kosten zu den jeweils aktuellen Tagessätzen für professionelle Dienstleistungen verrechnen, vorab vereinbart.

9. Audits & Kontrollen

  • Complair stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV zur Verfügung und ermöglicht und unterstützt Überprüfungen einschließlich Inspektionen durch den Kunden oder einen von ihm beauftragten Prüfer.
  • Audits erfolgen mit angemessener Vorankündigung (mindestens 30 Tage), während der regulären Geschäftszeiten, höchstens einmal jährlich und unter angemessenen Vertraulichkeitspflichten.
  • Soweit Complair aktuelle SOC-2-Type-II-, ISO-27001- oder gleichwertige Zertifizierungen vorhält, kann die Vorlage dieser Berichte als Alternative zu einer Vor-Ort-Prüfung angeboten werden. Der Kunde kann diese nach eigenem Ermessen akzeptieren.
Kritisch

10. Meldung von Datenschutzverletzungen

  • Complair benachrichtigt den Kunden unverzüglich und in jedem Fall innerhalb von 48 Stunden, nachdem Complair von einer Verletzung des Schutzes personenbezogener Daten, die Kundendaten betrifft, Kenntnis erlangt hat.
  • Die Meldung enthält, soweit verfügbar:
    • Art der Verletzung, einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze.
    • Wahrscheinliche Folgen der Verletzung.
    • Ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Folgen.
    • Kontaktstelle für weitere Informationen.
  • Complair arbeitet mit dem Kunden bei der Untersuchung, Behebung und der Erfüllung etwaiger Meldepflichten gegenüber Aufsichtsbehörden oder betroffenen Personen zusammen. Die federführende Aufsichtsbehörde von Complair ist die Rumänische Nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal — ANSPDCP), erreichbar unter dataprotection.ro; grenzüberschreitende Meldungen erfolgen nach dem One-Stop-Shop-Verfahren gemäß Art. 56 DSGVO.

11. Löschung und Rückgabe von Daten

  • Während des Abonnements kann der Kunde seine Daten jederzeit über die integrierten Exportfunktionen des Dienstes exportieren (PDF, Excel, JSON).
  • Nach Beendigung des Hauptvertrags bewahrt Complair die Kundendaten 30 Tage zum endgültigen Export auf und löscht sie anschließend dauerhaft aus allen produktiven Systemen.
  • Verschlüsselte Backups mit Kundendaten werden innerhalb von 35 Tagen nach Löschung aus den produktiven Systemen aus dem Cold Storage rotiert.
  • Wenn eine Aufbewahrung gesetzlich vorgeschrieben ist (z. B. Rechnungen nach rumänischem Buchhaltungsrecht — Gesetz Nr. 82/1991), werden die betreffenden Daten isoliert, geschützt und nach Ablauf der Aufbewahrungsfrist gelöscht.

12. Haftung

Die Gesamthaftung jeder Partei aus oder im Zusammenhang mit diesem AVV unterliegt den im Hauptvertrag festgelegten Haftungsbeschränkungen. Dieser AVV begrenzt nicht die Haftung einer Partei für Verletzungen ihrer Vertraulichkeitspflichten oder vorsätzliches Fehlverhalten.

13. Laufzeit und Beendigung

Dieser AVV tritt mit dem Datum in Kraft, an dem der Kunde den Hauptvertrag annimmt, und bleibt in Kraft, solange Complair Kundendaten verarbeitet. Abschnitte, die ihrer Natur nach fortgelten sollen (Begriffe, Löschung, Haftung, Vertraulichkeit), bestehen nach Beendigung fort.

14. Kontakt

Fragen zu diesem AVV, Anfragen für eine gegengezeichnete Fassung oder datenschutzbezogene Anliegen:

VISTE FORGE SRL
Strada Fântânilor nr. 43, 700334 Iași, Rumänien
Handelsregister: ROONRC.J2026030585005 · Steuer-Nr.: 54651342 · Stammkapital: 500 RON

15. Unterzeichnung

Dieser AVV ist Bestandteil des Hauptvertrags. Mit Annahme des Hauptvertrags akzeptiert der Kunde diesen AVV ohne gesonderte Gegenzeichnung. Kunden, die eine gegengezeichnete Fassung auf Briefpapier des Auftragsverarbeiters benötigen, können diese unter legal@complair.eu anfordern; sie wird innerhalb von 10 Werktagen zurückgesandt.

Unterzeichnet für und im Namen des Auftragsverarbeiters:

VISTE FORGE SRL
Strada Fântânilor nr. 43, 700334 Iași, Rumänien
Handelsregister: ROONRC.J2026030585005 · Steuer-Nr.: 54651342 · Stammkapital: 500 RON
Wirksam: mit Annahme des Hauptvertrags durch den Kunden.