Datenschutz & Sicherheit
Ihre Daten. Sicher. In der EU.
Compliance-Daten gehören zu den sensibelsten Betriebsdaten. Compliyo behandelt sie mit den Maßnahmen, die das Datenschutzrecht verlangt — nicht als Marketing, sondern als Fundament.
Sicherheit & DSGVO
Daten, die Schutz verdienen
Compliance-Daten sind sensibel. Compliyo behandelt sie entsprechend — nicht als Versprechen, sondern als Fundament.
DSGVO-konforme Verarbeitung
Datenminimierung und klare Rechtsgrundlagen.
Hosting in der EU
Produktivdaten liegen auf Servern in Deutschland.
Revisionssicheres Audit-Log
Alle Änderungen werden automatisch protokolliert und sind jederzeit transparent nachvollziehbar.
Rollenrechte und MFA
Zugriff nach Verantwortung, abgesichert per Mehr-Faktor.
Rechtliche Grundlagen
Was DSGVO-konform wirklich bedeutet
Auftragsverarbeitungsvertrag (Art. 28 DSGVO)
Jeder Compliyo-Kunde erhält einen AVV — bevor personenbezogene Daten übertragen werden. Kein Betrieb ohne rechtliche Grundlage.
Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
Compliyo erhebt ausschließlich die Daten, die für den jeweiligen Zweck erforderlich sind. Kein Opt-in für Auswertungen, die das Produkt nicht braucht.
Hosting in der EU (Art. 44–46 DSGVO)
Produktivdaten werden auf Servern in Deutschland gespeichert. Unsere Infrastruktur-Dienstleister betreiben ihre Server in der EU/EWR, haben jedoch US-Konzernmütter — diese Übermittlung ist durch EU-Standardvertragsklauseln (SCCs) und ein Transfer Impact Assessment (TIA) nach Art. 46 DSGVO abgesichert. Die TIA stellen wir auf Anfrage zur Verfügung.
OCR ohne Datenspeicherung beim KI-Anbieter
Zur automatischen Erkennung von Ablaufdaten werden hochgeladene Dokumenten-Scans an einen KI-Dienstleister in der EU übermittelt — ausschließlich zur Verarbeitung, ohne dauerhafte Speicherung (Zero Data Retention). Ein AVV nach Art. 28 DSGVO liegt vor. Ihre Dokumente bleiben nicht beim KI-Dienstleister.
Revisionssicherheit (BSI IT-Grundschutz ORP.4)
Das Audit-Log ist unveränderlich. Jede Aktion — Upload, Bestätigung, Export, Zugriffsgewährung — wird mit Zeitstempel und Benutzer protokolliert. Die Protokolle selbst enthalten nur pseudonymisierte IDs.
Löschkonzept (Art. 17 DSGVO & ArbSchG)
Nachweise unterliegen gesetzlichen Aufbewahrungsfristen nach ArbSchG und DGUV. Compliyo unterscheidet zwischen Löschen, Archivieren und Sperren. Bei Kollision zwischen Löschpflicht und Aufbewahrungspflicht werden Daten gesperrt statt gelöscht.
Informationspflicht (Art. 14 DSGVO)
Mitarbeitende werden über die Verarbeitung ihrer Daten informiert. Die Art.-14-Datenschutzinformation ist Bestandteil jedes Vertrags.
Transparente Subprozessoren
Wir arbeiten nur mit Dienstleistern, mit denen ein AVV besteht. Die vollständige Liste aller eingesetzten Subprozessoren finden Sie jederzeit in unserer Datenschutzerklärung →