DSGVO- und Daten-Vertrauenscenter
Zuletzt aktualisiert: 14. Juli 2026
BETA-PROGRAMM HINWEIS Dieses Dokument gilt für das Kompunik Beta-Programm, ein kostenloses, nur auf Einladung zugängliches Forschungspilotprojekt, betrieben von Joss Gillet (Gründer von Kompunik). Dies ist ein experimenteller Prototyp ohne Servicegarantie.
DSGVO & Daten-Vertrauenscenter
Gültig ab: 1. Januar 2026
Zuletzt aktualisiert: 1. Januar 2026
Dieses Vertrauens- und Datenblatt ist eine leicht verständliche Ergänzung zu unserer Datenschutzerklärung und unserer Sicherheitsübersicht. Es fasst an einem Ort zusammen, wie Kompunik die EU-Datenschutz-Grundverordnung (DSGVO) einhält: die Rechtsgrundlagen, auf die wir uns stützen, die von uns verarbeiteten Daten, die von uns eingesetzten Auftragsverarbeiter, wie lange wir Ihre Daten aufbewahren und wie Sie Ihre Rechte ausüben können.
Sollte etwas hierin im Widerspruch zur Datenschutzerklärung stehen, hat die Datenschutzerklärung als rechtsverbindliches Dokument Vorrang.
1. Verantwortlicher
Joss Gillet (Founder of Kompunik) Avignon, France
- Kontakt für Datenschutz: compliance@kompunik.org
- Allgemeiner Support: contact@kompunik.org
Joss Gillet (Founder of Kompunik) ist der Verantwortliche für die personenbezogenen Daten, die über die Kompunik-Lernplattform verarbeitet werden. Wir bestimmen die Zwecke und Mittel der Verarbeitung Ihrer personenbezogenen Daten und sind für deren Schutz gemäß der DSGVO verantwortlich.
Für Organisationen (Unternehmen, Universitäten), die ihre Mitglieder anmelden, handelt Kompunik als Auftragsverarbeiter im Auftrag der Organisation für die innerhalb ihres Bereichs erzeugten Lerndaten und als Verantwortlicher für Konto- und Abrechnungsdaten.
2. Rechtsgrundlagen der Verarbeitung
Jede Kategorie personenbezogener Daten, die wir verarbeiten, stützt sich auf eine der folgenden Rechtsgrundlagen der DSGVO (Artikel 6):
| Verarbeitungstätigkeit | Rechtsgrundlage |
|---|---|
| Erstellung und Verwaltung Ihres Kontos | Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b) |
| Bereitstellung von Kursen, Fortschrittsverfolgung, Ausstellung von Zertifikaten | Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b) |
| Zahlungsabwicklung und Rechnungsstellung | Erfüllung eines Vertrags + rechtliche Verpflichtung (Art. 6 Abs. 1 lit. b, c) |
| Aufbewahrung von Finanzunterlagen | Rechtliche Verpflichtung nach französischem Recht (Art. 6 Abs. 1 lit. c) |
| Versand von Service- und Sicherheits-E-Mails (Verifizierung, MFA, Belege) | Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b) |
| Produktanalysen aus Ihrer eigenen Aktivität | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
| Optionale Community-, öffentliche Profil- und Vergleichsfunktionen | Einwilligung (Art. 6 Abs. 1 lit. a) |
| KI-gestützte Erkenntnisse (Manager-Pulse, Übersetzungen) | Berechtigtes Interesse, mit Widerspruchsmöglichkeit (Art. 6 Abs. 1 lit. f) |
| Marketing-E-Mails, sofern zutreffend | Einwilligung (Art. 6 Abs. 1 lit. a) |
Sie können Ihre Einwilligung jederzeit widerrufen, wenn die Einwilligung die Grundlage ist, ohne dass dies die bereits erfolgte Verarbeitung berührt.
3. Von uns verarbeitete personenbezogene Daten
- Identität & Konto: Name, E-Mail-Adresse, gehashtes Passwort, bevorzugte Sprache, Rolle und Organisationszugehörigkeit.
- Authentifizierung: Anmeldezeitstempel, MFA-Einstellungen und SSO-Kennungen von Google Workspace oder Microsoft Entra ID (falls genutzt).
- Lerndaten: Kursfortschritt, Antworten aus Quizzen und Selbsteinschätzungen, Diagnoseergebnisse, Taktiken, Playlists und Zertifikate.
- Community-Daten (Opt-in): Beiträge, Kommentare, Reaktionen und öffentliche Profilangaben, die Sie freiwillig teilen.
- Zahlungsdaten: Rechnungsname, Transaktionsunterlagen und Abonnementstatus. Wir erhalten oder speichern niemals vollständige Kartennummern oder CVVs – diese gehen direkt an Stripe.
- Technische Daten: anonyme Sitzungskennung, grobe Geräte-/Browser-Informationen und erstanbieterbasierte Seitenanalysen zur Verbesserung des Produkts.
Wir verkaufen keine personenbezogenen Daten, wir verwenden keine Werbe-Cookies von Drittanbietern und wir betreiben keine Tracker von Drittanbietern wie Google Analytics.
4. Ihre Rechte nach der DSGVO
Nach der DSGVO haben Sie das Recht auf:
- Auskunft – eine Kopie der über Sie gespeicherten personenbezogenen Daten zu erhalten.
- Berichtigung – unrichtige oder unvollständige Daten korrigieren zu lassen.
- Löschung („Recht auf Vergessenwerden") – die Löschung Ihres Kontos und Ihrer Daten zu verlangen.
- Einschränkung – uns unter bestimmten Umständen zu bitten, die Verarbeitung einzuschränken.
- Datenübertragbarkeit – Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
- Widerspruch – der auf berechtigtem Interesse beruhenden Verarbeitung zu widersprechen.
- Widerruf der Einwilligung – für jede auf Einwilligung beruhende Verarbeitung.
So üben Sie diese Rechte aus:
- Selbstbedienung: In Ihren Kontoeinstellungen können Sie Ihre personenbezogenen Daten jederzeit exportieren und Ihr Konto direkt löschen.
- Per E-Mail: Schreiben Sie an compliance@kompunik.org. Wir beantworten alle Anfragen innerhalb von 30 Tagen, wie von der DSGVO gefordert.
Sie haben außerdem das Recht, bei Ihrer örtlichen Aufsichtsbehörde Beschwerde einzulegen. In Frankreich ist dies die CNIL (Commission Nationale de l'Informatique et des Libertés – cnil.fr).
5. Datenspeicherung
| Datenkategorie | Aufbewahrungsdauer |
|---|---|
| Konto- und Lerndaten | Für die Dauer des Bestehens Ihres Kontos |
| Daten gelöschter Konten | Gelöscht innerhalb von 30 Tagen nach dem Löschantrag |
| Finanz- und Rechnungsunterlagen | 7 Jahre (rechtliche Verpflichtung nach französischem Recht) |
| Diagnoseergebnisse | 90 Tage (automatischer Ablauf) |
| Verlauf KI-generierter Erkenntnisse | 90 Tage (automatischer Ablauf) |
| Anonyme Seitenanalysen | Aggregiert; keine langfristigen personenbezogenen Kennungen |
| Audit-Protokolle | Zu Sicherheits- und Compliance-Zwecken aufbewahrt, dann rotiert |
Nach Ablauf einer Aufbewahrungsfrist werden die Daten gelöscht oder unumkehrbar anonymisiert.
6. Auftragsverarbeiter
Wir stützen uns auf eine kleine Anzahl sorgfältig ausgewählter Auftragsverarbeiter, um die Plattform zu betreiben. Jeder ist durch einen Auftragsverarbeitungsvertrag (AVV) und geeignete Schutzmaßnahmen gebunden. Die Daten werden in der EU (Frankfurt, Germany) gehostet, sofern der Anbieter regionales Hosting anbietet.
| Auftragsverarbeiter | Zweck | Datenstandort |
|---|---|---|
| MongoDB Atlas | Primäre Datenbank (Konten, Lerndaten) | EU – Frankfurt |
| DigitalOcean Spaces | Medien-, Zertifikats- und Dateispeicherung | EU-Region, verschlüsselt gespeichert |
| Vercel | Anwendungshosting und -bereitstellung | EU-Funktionsregion (Frankfurt) |
| Upstash Redis | Ratenbegrenzung | EU – Frankfurt |
| Stripe | Zahlungsabwicklung (PCI-DSS Level 1) | EU/US mit SCC |
| Resend | Versand transaktionaler E-Mails | EU/US mit SCC |
| Google & Microsoft | Optionale SSO-Anmeldung (OAuth) | EU/US mit SCC |
| OpenAI | KI-gestützte Manager-Erkenntnisse (Widerspruch möglich) | US mit SCC |
| DeepL | Inhaltsübersetzung | EU (Germany) |
| Sentry | Fehlerüberwachung | EU/US mit SCC |
Wir führen eine aktuelle Liste der Auftragsverarbeiter. Wenn wir einen Auftragsverarbeiter hinzufügen oder ersetzen, der die Verarbeitung Ihrer Daten wesentlich betrifft, werden wir diese Seite aktualisieren.
7. Internationale Datenübermittlungen
Unsere Infrastruktur ist darauf ausgelegt, personenbezogene Daten wo immer möglich innerhalb der Europäischen Union zu halten. Sofern ein Auftragsverarbeiter Daten außerhalb der EU verarbeitet (zum Beispiel in den Vereinigten Staaten), ist die Übermittlung durch von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCC) geschützt, zusammen mit ergänzenden technischen Schutzmaßnahmen wie Verschlüsselung bei der Übertragung und im Ruhezustand.
8. Sicherheitsmaßnahmen (Zusammenfassung)
Eine vollständige Beschreibung finden Sie in unserer Sicherheitsübersicht. Kurz gefasst:
- Verschlüsselung überall: TLS 1.2+ bei der Übertragung; AES-256 im Ruhezustand.
- Zugriffskontrolle: rollenbasierte Berechtigungen, MFA und Dienstkonten mit minimalen Rechten.
- Signierte URLs: Medien werden über zeitlich begrenzte signierte Links (1 Stunde Gültigkeit) bereitgestellt.
- Datenschutz standardmäßig: Profile sind privat, sofern Sie sich nicht dafür entscheiden.
- Mandantenisolierung: Die Daten jeder Organisation sind streng voneinander getrennt.
- Gehärtete Anwendung: serverseitige Validierung, Inhaltsbereinigung, parametrisierte Abfragen, CSP und Ratenbegrenzung.
9. Meldung von Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für Ihre Rechte und Freiheiten zur Folge hat, benachrichtigen wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden und informieren die betroffenen Nutzer unverzüglich, wie es die Artikel 33 und 34 der DSGVO vorschreiben. Unser internes Ziel ist es, innerhalb von 48 Stunden nach Entdeckung mit der Untersuchung und Behebung zu beginnen.
10. Cookies und Tracking
Kompunik verwendet nur die für den Betrieb des Dienstes unbedingt erforderlichen Cookies und den lokalen Speicher (Authentifizierungssitzung, Sicherheit, Spracheinstellung) sowie erstanbieterbasierte, datenschutzfreundliche Analysen. Wir verwenden keine Werbe-Cookies und kein seitenübergreifendes Tracking. Neuen Besuchern wird ein Cookie-Banner angezeigt, und Einzelheiten finden Sie in unserer Datenschutzerklärung.
11. Daten von Kindern
Kompunik richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Wenn Sie glauben, dass ein Kind uns personenbezogene Daten übermittelt hat, wenden Sie sich bitte an compliance@kompunik.org, und wir werden diese löschen.
12. Kontakt
Bei Fragen zu Ihren Daten, zu diesem Vertrauens- und Datenblatt oder zur Ausübung Ihrer Rechte nach der DSGVO:
Joss Gillet (Founder of Kompunik) Avignon, France
- Datenschutz & Privatsphäre: compliance@kompunik.org
- Allgemeiner Support: contact@kompunik.org
Dieses DSGVO & Daten-Vertrauenscenter ist ab dem 1. Januar 2026 gültig und wird zu Transparenzzwecken neben unserer rechtsverbindlichen Datenschutzerklärung bereitgestellt.
Beta-spezifische Bedingungen
Experimenteller Charakter
Diese Plattform ist ein experimenteller Prototyp. Funktionen können ohne Vorankündigung geändert, entfernt oder fehlerhaft sein. Es wird keine Garantie für Verfügbarkeit, Betriebszeit oder Leistung gegeben.
Datenverarbeitung
Während der Beta gesammelte Daten können am Ende der Beta-Phase gelöscht werden. Obwohl wir angemessene Sorgfalt zum Schutz Ihrer Daten walten lassen, werden keine Garantien bezüglich Datenpersistenz oder Backup gegeben.
Nutzung von Feedback
Jedes Feedback, Vorschläge oder Ideen, die Sie während der Beta bereitstellen, können zur Verbesserung des Produkts ohne Vergütung oder Namensnennung verwendet werden.
Keine finanzielle Vergütung
Die Teilnahme an der Beta ist freiwillig und unbezahlt. Es gelten keine finanziellen Vergütungen, Gutschriften oder Erstattungen.
Haftungsbeschränkung
Joss Gillet (Gründer von Kompunik) haftet nicht für direkte, indirekte, zufällige oder Folgeschäden, die sich aus Ihrer Nutzung dieser Beta-Plattform ergeben. Die Nutzung erfolgt vollständig auf eigenes Risiko.
Vertraulichkeit (Optional)
Sie können auf Funktionen oder Inhalte stoßen, die noch nicht öffentlich verfügbar sind. Obwohl nicht rechtlich bindend, bitten wir Sie, unveröffentlichte Funktionen mit Diskretion zu behandeln.
Kein kommerzielles Verhältnis
Diese Beta stellt keinen kommerziellen Service, Vertrag oder Abonnement dar. Es werden keine Rechnungen ausgestellt und es gelten keine Service-Level-Vereinbarungen.