EU AI Act & DSGVO Compliance

CompLens fungiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Verarbeitung aller Daten findet ausschließlich auf hochsicheren Servern innerhalb der Europäischen Union statt. Die Architektur ist so konzipiert, dass Daten die EU zu keinem Zeitpunkt verlassen.

• Hosting & Frontend (Vercel): Das Frontend und die API-Routen werden über Vercel bereitgestellt. Serverless Functions werden strikt in der Region fra1 (Frankfurt am Main) ausgeführt. Vercel ist SOC2 Typ II zertifiziert.
• Datenbank & Authentifizierung (Supabase): Alle Datenbankeinträge, Benutzerprofile und gespeicherten Dateien (z. B. Excel-Uploads) liegen physisch im AWS-Rechenzentrum eu-central-1 (Frankfurt). Supabase bietet branchenüblichen Schutz (SOC2 Typ II, HIPAA-konform).
• Transaktions-E-Mails (Resend): System-E-Mails (z.B. Passwort-Resets) werden über den Dienstleister Resend verarbeitet. Die DSGVO-Konformität wird durch den Abschluss eines Auftragsverarbeitungsvertrags (AVV) sowie den EU-US Data Privacy Framework (DPF) Beschluss rechtlich vollständig abgesichert.

Die CompLens Software nutzt Generative KI (Google Vertex AI mit Gemini-Modellen — primär gemini-3.x, Fallback gemini-2.5-flash) zur Erstellung von Erklärungsentwürfen und Maßnahmenplänen. Bezüglich des EU Artificial Intelligence Act (AI Act) gelten folgende Grundsätze:

• Rollenverteilung: Gemäß AI Act sind wir der Betreiber (Deployer) des KI-Systems, während Google Ireland Ltd. der Anbieter (Provider) des Basismodells ist.
• Keine automatisierte Entscheidungsfindung (Human-in-the-Loop): CompLens trifft keine autonomen Entscheidungen über Beschäftigte (Art. 22 DSGVO). Die KI erstellt lediglich Textentwürfe für Begründungen, die von HR-Verantwortlichen zwingend manuell überprüft, angepasst und genehmigt werden müssen, bevor sie in Berichte einfließen.
• Transparenz: Es ist an jeder Stelle im System klar ersichtlich, wenn Text durch KI generiert wurde.
• EU-Datenresidenz für KI-Verarbeitung: KI-Anfragen laufen ausschließlich über den Vertex AI EU multi-region Endpoint (aiplatform.eu.rep.googleapis.com, location „eu“), der Rechenzentren in Belgien, den Niederlanden, Paris und Deutschland umfasst. Keine Drittlandübermittlung. Vertraglich abgesichert durch das Vertex AI Data Processing Addendum, Art. 28 DSGVO AVV und EU-Standardvertragsklauseln.
• Workload Identity Federation (WIF): Die Authentifizierung gegenüber Google Cloud erfolgt über Vercel OIDC → Google STS → Service-Account-Impersonation. CompLens hält keine statischen API-Keys in seiner Infrastruktur.
• Per-Modell-Resilienz: Bei Modellausfall greift automatisch der Fallback (gemini-2.5-flash) — keine Downtime, kein manuelles Eingreifen.
• Spaltenweise Pseudonymisierung (Art. 4(5) DSGVO): Bei Anfragen an die KI-Modelle werden Importspalten als Stichproben übertragen — Namen auf 4 Zeichen gekürzt, IDs sequenziert, E-Mail/Telefon/IBAN/Datum/Adresse durch strukturelle Platzhalter ersetzt. Die Übertragung erfolgt spaltenweise und nicht zeilenweise, was eine Re-Identifikation einzelner Personen durch den Auftragsverarbeiter strukturell verhindert.

Zum Schutz der verarbeiteten Entgeltdaten setzen wir modernste Sicherheitsstandards ein, darunter AES-256-Verschlüsselung, strikte Mandantentrennung via Row Level Security, sichere Authentifizierung und vollständige Löschkonzepte.

Wir stellen Unternehmenskunden standardmäßig einen DSGVO-konformen Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO zur Verfügung. Die eingesetzten Unterauftragsverarbeiter (Vercel, Supabase, Google Vertex AI mit EU multi-region Endpoint, Resend) haben sich uns gegenüber via Standardvertragsklauseln (SCCs), Vertex AI Data Processing Addendum bzw. EU-US Data Privacy Framework (DPF) ebenfalls zu strengsten europäischen Datenschutzstandards verpflichtet.

Bei weiteren detaillierten Rückfragen zur Informationssicherheit oder zur Anforderung des AVVs wenden Sie sich jederzeit an unseren Datenschutzbeauftragten per E-Mail an: hallo@complens.de