Datenschutzerklärung

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

KI·SUM·AI - Kisum GmbH
Sonnwendjochstr. 6
81825 München, Deutschland
E-Mail: info@compliancelint.com

Wir können folgende Kategorien personenbezogener Daten erheben:

• Kontoinformationen (E-Mail-Adresse, Name) bei Registrierung
• Nutzungsdaten (besuchte Seiten, genutzte Funktionen, Zeitstempel)
• Technische Daten (IP-Adresse, Browsertyp, Geräteinformationen)
• Compliance-Scan-Ergebnisse (nur Befunde — niemals Quellcode)
• Fehler- und Audit-Logs — bei Fehlern im Dashboard oder Scanner zeichnen wir ein kurzes Ereignis auf, um das Problem diagnostizieren zu können. Das Ereignis enthält die Fehlermeldung, den Stack-Trace, die Route, Ihre Benutzer-ID (falls angemeldet), eine Korrelations-ID, den gekürzten IP-Präfix (z.B. 203.0.113.x — niemals die vollständige Adresse) und den User-Agent-String. E-Mail-Adressen und vollständige IP-Adressen werden vor der Speicherung entfernt (Scrubbing).

Wir verarbeiten Ihre personenbezogenen Daten auf Grundlage folgender Rechtsgrundlagen nach DSGVO:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — zur Erbringung unserer Dienste
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — zur Verbesserung unserer Dienste und zur Gewährleistung der Sicherheit
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — soweit Sie ausdrücklich eingewilligt haben

Erforderliche Cookies (stets aktiv). Diese Website verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung (das verschlüsselte cl_session-Session-Cookie), den CSRF-Schutz und zum Merken Ihrer Cookie-Einwilligungs- Entscheidung, damit wir Sie nicht zweimal fragen. Gemäß Art. 5 Abs. 3 der ePrivacy-Richtlinie ist eine Einwilligung für unbedingt erforderliche Cookies nicht erforderlich. Wir verwenden niemals Werbecookies.

Analyse (nur mit Einwilligung). Beim ersten Besuch sehen Sie ein Cookie-Einwilligungs-Banner. Analyse-Skripte und -Cookies werden erst nach Ihrer Einwilligung geladen. Bei Einwilligung verwenden wir PostHog (EU-Instanz, eu.posthog.com), um Seitenaufruf- und Page-Leave-Ereignisse zu erfassen. Automatische Click-, Form- und URL-Erfassung sowie Session-Aufzeichnung sind deaktiviert. Für Besucher:innen, die der Analyse zugestimmt haben, wird ein pseudonymes Nutzungsprofil (UUID + GeoIP-basierter Ländercode) angelegt, um Reichweiten- und Retention-Auswertungen zu ermöglichen; das Profil enthält weder Namen, E-Mail noch IP-Adresse. Die Einwilligung kann jederzeit über „Cookie-Einstellungen“ im Footer oder in den Dashboard-Einstellungen widerrufen werden.

Einwilligungs-Log. Jede Einwilligungs-Entscheidung wird mit Zeitstempel, der angezeigten Policy-Version, einer pseudonymen Browser- Kennung sowie einem gesalzenen Hash der IP-Adresse (nicht die IP selbst) aufgezeichnet, wie es die Rechenschaftspflicht nach Art. 7 Abs. 1 DSGVO vorsieht.

Fehler-Tracking. Sentry (EU-Instanz) erfasst unbehandelte Ausnahmen, damit wir Fehler beheben können. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Netz- und Informationssicherheit, EwGr. 49). Datenminimierung: IP-Adressen, Cookies, Header, Performance-Spans und Session-Replay werden nicht übermittelt; E-Mail-Adressen und IP-Adressen werden aus Breadcrumbs und Events vor der Übermittlung entfernt.

Wir nutzen eine kleine Anzahl von Auftragsverarbeitern für Hosting, Fehler-Tracking, Analyse, transaktionalen E-Mail-Versand, Abrechnung und Authentifizierung. Jeder ist vertraglich nach Art. 28 DSGVO verpflichtet, personenbezogene Daten ausschließlich nach unseren dokumentierten Weisungen zu verarbeiten.

Die aktuelle Subprocessor-Liste — mit Zweck, Verarbeitungsregion und Übermittlungsmechanismus nach Kapitel V DSGVO — wird unter folgender stabilen URL gepflegt: /legal/sub-processors. Wir werden Kunden vor dem Einsatz neuer Auftragsverarbeiter schriftlich benachrichtigen.

Für Datenübermittlungen in Drittstaaten stützen wir uns, soweit anwendbar, auf EU-Standardvertragsklauseln, das EU–US Data Privacy Framework sowie ergänzende Sicherheitsmaßnahmen gemäß Kapitel V DSGVO.

Wir erheben IP-Adressen und Zeitstempel bei der Nutzung unserer API, um unbefugte Konto-Weitergabe zu erkennen und unseren Dienst zu schützen. Diese Daten werden auf Basis unseres berechtigten Interesses zur Missbrauchsprävention verarbeitet (Art. 6 Abs. 1 lit. f DSGVO).

API-Nutzungsdaten (IP-Adresse, Zeitstempel, API-Key-Präfix) werden 30 Tage gespeichert und danach automatisch gelöscht. Wir speichern niemals den vollständigen API-Schlüssel in den Überwachungs-Logs.

ComplianceLint verarbeitet beschränkte Fehler-Logs, Audit-Logs und Diagnose-Metadaten, um den Dienst zu betreiben, zu sichern, zu debuggen und seine Nutzung nachweisbar zu machen. Anwendungs-generierte Logs werden primär auf EU-gehosteter Infrastruktur gespeichert, die von der KI·SUM·AI - Kisum GmbH und ihrem Hosting-Anbieter Hetzner in Deutschland betrieben wird. Sofern einschlägig, nutzen wir zudem die in §5 aufgelisteten Auftragsverarbeiter (am wichtigsten Sentry EU für ergänzendes Fehler-Tracking).

Log-Inhalte. Logs können enthalten: Zeitstempel, Konto- oder Benutzer-ID, Ereignistyp, betroffene Funktion, gekürzten IP-Präfix (letztes Oktett auf Null gesetzt), User-Agent-String, Request-Route, Fehler-ID, Stack-Trace-Metadaten und Abrechnungs-Ereignis-IDs. Kundenquellcode, Geheimnisse, Request-Bodies, hochgeladene Dateien und Produktionsdaten werden nicht geloggt.

Rechtsgrundlage. Fehler- und Audit-Logs werden nach Art. 6 Abs. 1 lit. f DSGVO verarbeitet (berechtigtes Interesse an Dienst-Sicherheit, Integrität und Betriebs-Zuverlässigkeit). Soweit Log-Einträge Teil von Aufzeichnungen sind, die einer gesetzlichen Aufbewahrungs- pflicht unterliegen, erfolgt die Verarbeitung zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO; die einschlägigen Aufbewahrungsfristen sind im Auftragsverarbeitungsvertrag unter /legal/avv § 13 geregelt.

Speicherdauer. Fehler-Logs: bis zu 90 Tage. Audit-Logs: bis zu 365 Tage für Sicherheit, Kundenseitige Beweis-Exporte, Abrechnungs-Integrität und Rechtsansprüche. Soweit Log-Einträge einer gesetzlichen Aufbewahrungspflicht (Handels- bzw. Steuerrecht) unterliegen, werden diese Einträge zugriffsbeschränkt für die gesetzliche Frist aufbewahrt, wie nach Art. 17 Abs. 3 lit. b DSGVO zulässig, und anschließend gelöscht.

Sicherheit. Anwendungsdaten werden auf EU-gehosteter Infrastruktur (Hetzner DE) verschlüsselt gespeichert und über TLS transportverschlüsselt. Der Zugriff ist auf autorisiertes Personal mit rollenbasierter Zugriffskontrolle beschränkt.

Automatisierte Entscheidungen. Wir treffen keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen über natürliche Personen, die rechtliche oder ähnlich erhebliche Auswirkungen im Sinne des Art. 22 DSGVO entfalten.

Aufsichtsbehörde. Sie können Beschwerde bei der zuständigen Datenschutz- Aufsichtsbehörde einlegen, insbesondere beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), www.lda.bayern.de.

Auftragsverarbeitungsvertrag. Kunden, die als Verantwortliche handeln, werden durch unseren bereits vorab unterzeichneten Auftragsverarbeitungs- vertrag (Art. 28 DSGVO) unter /legal/avv abgedeckt, der mit der Registrierung als angenommen gilt. Eine gegengezeichnete PDF-Ausfertigung ist auf Anfrage über info@compliancelint.com erhältlich.

Nach DSGVO haben Sie folgende Rechte:

• Auskunft — Kopie Ihrer personenbezogenen Daten anfordern
• Berichtigung — unrichtige Daten korrigieren
• Löschung — Löschung Ihrer Daten verlangen
• Einschränkung — Verarbeitung Ihrer Daten begrenzen
• Datenübertragbarkeit — Ihre Daten in strukturiertem Format erhalten
• Widerspruch — gegen Datenverarbeitung auf Grundlage berechtigten Interesses widersprechen

Zur Wahrnehmung dieser Rechte kontaktieren Sie uns unter info@compliancelint.com.

Bei datenschutzbezogenen Fragen erreichen Sie uns unter: info@compliancelint.com