Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO:

CoreLead Solutions
David Oberholzner
Togostr. 6
81827 München
E-Mail: hello@corelead.solutions

2. Datenschutzbeauftragter

Für Fragen zum Datenschutz erreichen Sie uns unter:
hello@corelead.solutions

3. Erhebung und Speicherung personenbezogener Daten

3.1 Beim Besuch der Website

Beim Aufrufen unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sogenannten Logfile gespeichert. Folgende Informationen werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Löschung gespeichert:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Website, von der aus der Zugriff erfolgt (Referrer-URL)
• Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

3.2 Bei Registrierung und Nutzung

Bei der Registrierung für unseren Dienst erheben wir folgende Daten:

• Name und Vorname
• E-Mail-Adresse
• Unternehmensinformationen (Name, Branche, Größe)
• Zahlungsinformationen (bei kostenpflichtigen Plänen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4. Weitergabe von Daten

Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet nicht statt:

• Hosting-Dienstleister (Vercel/AWS) innerhalb der EU
• Zahlungsdienstleister (Stripe) zur Abwicklung von Zahlungen
• E-Mail-Versand (Resend) für transaktionale E-Mails
• KI-gestützte Funktionen (Microsoft Azure OpenAI, EU-Datenzone Germany West Central) - es werden keine personenbezogenen Endkundendaten übermittelt

4a. KI-gestützte Funktionen

CompliantDesk nutzt KI-gestützte Funktionen zur Generierung von Richtlinien, Maßnahmenplänen, Risikobewertungen und Compliance-Dokumenten. Hierfür setzen wir den Azure OpenAI Service von Microsoft ein.

• Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland
• Verarbeitung: ausschließlich innerhalb der EU-Datenzone (Azure Region Germany West Central, Frankfurt)
• Datenspeicher: Deutschland
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung KI-gestützter Funktionen)

Es werden keine personenbezogenen Daten Ihrer Endkunden an den KI-Dienst übermittelt. Die Verarbeitung beschränkt sich auf die vom Nutzer eingegebenen Compliance-Inhalte (Fragebogenantworten, Unternehmenskontext für Richtlinien).

Microsoft verarbeitet diese Daten ausschließlich zur Erbringung des Azure OpenAI Service und nutzt die Eingaben und Ausgaben nicht zum Training eigener Modelle. Details: learn.microsoft.com/legal/cognitive-services/openai/data-privacy

Auftragsverarbeitung: Mit Microsoft besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (Microsoft Products and Services Data Protection Addendum, DPA).

Als technisches Fallback setzen wir ein zweites Azure-OpenAI- Deployment (Modell GPT-4.1-mini) ebenfalls innerhalb der EU-Datenzone ein. Die Datenverarbeitung erfolgt unter denselben vertraglichen und regulatorischen Rahmenbedingungen wie das Primärsystem. Eine Verarbeitung Ihrer Daten ausserhalb der EU findet nicht statt.

5. Cookies

Wir setzen auf unserer Website Cookies ein. Hierbei handelt es sich um kleine Dateien, die Ihr Browser automatisch erstellt und die auf Ihrem Endgerät gespeichert werden. Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung und Sitzungsverwaltung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Ihre Rechte

Sie haben gegenüber uns folgende Rechte:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

7. Datensicherheit

Wir verwenden innerhalb des Website-Besuchs das verbreitete SSL-Verfahren (Secure Socket Layer) in Verbindung mit der jeweils höchsten Verschlüsselungsstufe. Alle im Rahmen unseres Dienstes gespeicherten Daten werden in EU-Rechenzentren gehostet und verschlüsselt gespeichert.

Zusätzliche Sicherheitsmaßnahmen umfassen:

• Zwei-Faktor-Authentifizierung (2FA) für alle Nutzer verfügbar
• Automatischer Session-Timeout nach Inaktivität
• Revisionssicherer Audit-Trail aller Systemaktionen
• Rollenbasierte Zugriffskontrolle (RBAC)

8. Aufbewahrungsfristen

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt. Für Vertragsdaten gilt die gesetzliche Aufbewahrungsfrist von 10 Jahren (§ 147 AO, § 257 HGB). Nach Kündigung Ihres Accounts werden Ihre Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Audit-Log-Daten werden für mindestens 12 Monate aufbewahrt, um Compliance-Anforderungen gemäß ISO 27001 und NIS2 zu erfüllen.

9. Recht auf Datenlöschung

Sie können Ihren Account und alle zugehörigen Daten jederzeit unter Einstellungen → Konto vollständig löschen. Die Löschung umfasst alle personenbezogenen Daten, erstellte Inhalte und Zugangsdaten. Vor der Löschung können Sie Ihre Daten gemäß Art. 20 DSGVO (Datenübertragbarkeit) exportieren.

10. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA).

11. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.