Kundenprüfung
AVV & Subprozessoren
Diese Seite fasst die wichtigsten Informationen für Datenschutz-, Einkauf- und IT-Prüfungen zusammen: Rolle von complaid, Datenkategorien, Subprozessoren und technische Schutzmaßnahmen.
Stand: April 2026
Rolle von complaid
Soweit complaid im Auftrag eines Kunden Lernfortschritt, Nutzerkonten, Richtlinienbestätigungen oder Admin-Reports für Mitarbeitende verarbeitet, handelt complaid typischerweise als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Für öffentliche Website-Besuche, Pilot- und Kontaktanfragen ist complaid regelmäßig selbst Verantwortlicher.
Datenkategorien im Produkt
- Nutzerstammdaten: Name, E-Mail, Organisation, Rolle, optional Jobtitel/Abteilung.
- Lern- und Nachweisdaten: Modulfortschritt, Abschlussstatus, Testergebnis, Zeitpunkte.
- Richtliniendaten: aktive KI-Richtlinie, Version, digitale Bestätigung, bestätigender Name.
- Admin-Daten: Einladungen, Teamübersicht, Reports, organisationsbezogene Einstellungen.
- Lead- und Anfrage-Daten: Formularangaben, Risiko-Check-Ergebnis, Kommunikation.
Subprozessoren
| Anbieter | Zweck | Daten | Region/Transfer |
|---|---|---|---|
| Vercel Inc. | Hosting, Deployment, CDN und technische Logs | IP-Adressen, Request-Metadaten, technische Fehler-/Performance-Logs | Globale Infrastruktur, Anbieter mit Drittlandmechanismen |
| Supabase Inc. | Authentifizierung, Datenbank, Storage der Produktdaten | Nutzerkonten, Organisationsdaten, Kursfortschritt, Richtlinienbestätigungen, Admin-Daten | Projektregion nach Setup, Anbieter mit Drittlandmechanismen |
| Brevo SAS | Transaktionale E-Mails | E-Mail-Adresse, Name, Organisationsbezug, Anlass/Inhalt der Benachrichtigung | EU / Anbieter-Subprozessoren |
Technische und organisatorische Maßnahmen
- Zugriff auf Produktdaten nur über rollenbasierte Anwendungsschichten und Service-Rollen im Backend.
- Row Level Security für produktrelevante Supabase-Tabellen aktiviert.
- Keine direkten öffentlichen Browser-Schreibzugriffe auf sensible Lead-, Kurs- oder Admin-Tabellen.
- HTTPS/TLS für Website, App und API-Endpunkte.
- Trennung von öffentlicher Website, authentifiziertem Nutzerbereich und Adminbereich.
- Transaktionale E-Mails nur für registrierungs-, anfrage- oder produktbezogene Zwecke.
- Datenminimierung bei Risiko- und Praxis-Checks; keine Aufforderung zur Eingabe sensibler Daten.