Complair← Zurück zur Startseite

Datenschutzerklärung

Stand: Januar 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

[Ihre Firma] GmbH
[Straße und Hausnummer]
[PLZ] [Stadt]
Deutschland
E-Mail: datenschutz@[domain].de

2. Welche Daten wir erheben

Im Rahmen der Nutzung von Complair verarbeiten wir folgende personenbezogene Daten:

  • Kontodaten: E-Mail-Adresse, Name, Rolle im Unternehmen
  • Unternehmensdaten: Firmenname, Branche, Mitarbeiterzahl, Umsatz
  • Nutzungsdaten: Compliance-Status, erfasste Risiken und Vorfälle, Aufgaben, Dokumente
  • Technische Daten: IP-Adresse (beim Login), Browser-Typ, Zugriffszeiten (in Server-Logs)
  • Zahlungsdaten: Werden ausschließlich durch unseren Zahlungsdienstleister Stripe verarbeitet. Wir speichern keine vollständigen Zahlungsdaten.

3. Zweck der Verarbeitung

Wir verarbeiten Ihre Daten zu folgenden Zwecken:

  • Bereitstellung und Betrieb der NIS2-Guard-Plattform
  • Verwaltung Ihres Benutzerkontos und Abonnements
  • Technischer Support und Kommunikation bezüglich Ihres Kontos
  • Abrechnung und Zahlungsabwicklung
  • Erfüllung gesetzlicher Pflichten

4. Rechtsgrundlage der Verarbeitung

Die Verarbeitung Ihrer Daten erfolgt auf Basis folgender Rechtsgrundlagen gemäß Art. 6 DSGVO:

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Die Verarbeitung ist für die Erbringung unserer Dienstleistung und die Erfüllung unseres Vertrags mit Ihnen erforderlich.
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen: Für technische Logs und Sicherheitsmaßnahmen zum Schutz unserer Systeme.
  • Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Soweit steuer- oder handelsrechtliche Aufbewahrungspflichten bestehen.

5. Datenspeicherung und Hosting

Alle Daten werden ausschließlich auf Servern innerhalb der Europäischen Union gespeichert. Wir setzen folgende Dienstleister ein:

  • Supabase Inc. (Datenbankhosting und Authentifizierung) — Daten werden auf AWS-Servern in der EU-Region (Frankfurt, Deutschland) gespeichert. Supabase ist als Auftragsverarbeiter gemäß Art. 28 DSGVO durch einen Vertrag zur Auftragsverarbeitung (DPA) gebunden.
  • Vercel Inc. (Anwendungshosting) — Der Anwendungsserver ist in der EU-Region konfiguriert. Ein DPA mit Vercel ist geschlossen.
  • Stripe Inc. (Zahlungsabwicklung) — Stripe verarbeitet Zahlungsdaten unter eigenem Datenschutzregime (stripe.com/de/privacy). Ein DPA ist geschlossen.
  • Resend Inc. (Transaktions-E-Mails) — Für den Versand von Bestätigungs- und Benachrichtigungs-E-Mails. Ein DPA ist geschlossen.

6. Speicherdauer

Wir speichern Ihre Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen:

  • Kontodaten: Für die Dauer Ihres aktiven Abonnements, danach bis zu 30 Tage nach Kündigung
  • Compliance-Daten (Risiken, Vorfälle, Maßnahmen): Für die Dauer Ihres Abonnements
  • Rechnungsdaten: 10 Jahre gemäß § 147 AO (steuerliche Aufbewahrungspflicht)
  • Server-Logs: Maximal 30 Tage

7. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Recht auf Löschung ("Recht auf Vergessenwerden", Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@[domain].de

8. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die zuständige Aufsichtsbehörde richtet sich nach Ihrem Wohnsitz bzw. dem Sitz unseres Unternehmens. Eine Liste der deutschen Datenschutzbehörden finden Sie unter www.bfdi.bund.de.

9. Datensicherheit

Alle Datenübertragungen zwischen Ihrem Browser und unseren Servern sind durch TLS-Verschlüsselung (HTTPS) gesichert. Passwörter werden ausschließlich als bcrypt-Hash gespeichert und sind für uns nicht lesbar. Datenbankzugriffe sind durch Row-Level Security (RLS) so abgesichert, dass jedes Unternehmen ausschließlich die eigenen Daten einsehen kann.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Version ist unter /datenschutz abrufbar. Wir empfehlen, diese Seite regelmäßig zu besuchen.