EU AI Act & DSGVO Compliance

CompLens fungiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Verarbeitung aller Daten findet ausschließlich auf hochsicheren Servern innerhalb der Europäischen Union statt. Die Architektur ist so konzipiert, dass Daten die EU zu keinem Zeitpunkt verlassen.

• Hosting & Frontend (Vercel): Das Frontend und die API-Routen werden über Vercel bereitgestellt. Serverless Functions werden strikt in der Region fra1 (Frankfurt am Main) ausgeführt. Vercel ist SOC2 Typ II zertifiziert.
• Datenbank & Authentifizierung (Supabase): Alle Datenbankeinträge, Benutzerprofile und gespeicherten Dateien (z. B. Excel-Uploads) liegen physisch im AWS-Rechenzentrum eu-central-1 (Frankfurt). Supabase bietet branchenüblichen Schutz (SOC2 Typ II, HIPAA-konform).
• Transaktions-E-Mails (Resend): System-E-Mails (z.B. Passwort-Resets) werden über den Dienstleister Resend verarbeitet. Die DSGVO-Konformität wird durch den Abschluss eines Auftragsverarbeitungsvertrags (AVV) sowie den EU-US Data Privacy Framework (DPF) Beschluss rechtlich vollständig abgesichert.

Die CompLens Software nutzt Generative KI (Google Gemini) zur Erstellung von Erklärungsentwürfen und Maßnahmenplänen. Bezüglich des EU Artificial Intelligence Act (AI Act) gelten folgende Grundsätze:

• Rollenverteilung: Gemäß AI Act sind wir der Betreiber (Deployer) des KI-Systems, während Google der Anbieter (Provider) des Basismodells ist.
• Keine automatisierte Entscheidungsfindung (Human-in-the-Loop): CompLens trifft keine autonomen Entscheidungen über Beschäftigte (Art. 22 DSGVO). Die KI erstellt lediglich Textentwürfe für Begründungen, die von HR-Verantwortlichen zwingend manuell überprüft, angepasst und genehmigt werden müssen, bevor sie in Berichte einfließen.
• Transparenz: Es ist an jeder Stelle im System klar ersichtlich, wenn Text durch KI generiert wurde.
• Zero-PII Prompting (Datensparsamkeit): Bei Anfragen an die KI-Modelle werden niemals personenbezogene Identifikationsmerkmale (wie Klarnamen, private E-Mails oder exakte Geburtsdaten) übermittelt. Die KI verarbeitet ausschließlich pseudonymisierte Kennungen (z.B. Mitarbeiter-IDs) und rein sachliche Job-Level-Informationen zur sprachlichen Formulierung.

Zum Schutz der verarbeiteten Entgeltdaten setzen wir modernste Sicherheitsstandards ein:

• Verschlüsselung: Alle Daten sind sowohl im Ruhezustand (Data-at-Rest via AES-256 Verschlüsselung auf Laufwerksebene) als auch bei der Übertragung (Data-in-Transit via TLS 1.2+ oder höher) kryptografisch abgesichert.
• Mandantentrennung (Tenant Isolation): Der Zugriff auf die Datenbank wird durch PostgreSQL Row Level Security (RLS) strikt gesichert. Jede Zeile in der Datenbank ist mit einer org_id verknüpft; Datenbankabfragen können technisch nur Daten der aktuell authentifizierten Organisation zurückgeben.
• Zugriffskontrolle: Der Systemzugriff erfordert sichere Authentifizierung (Magic Links oder starke Passwörter). Passwörter werden niemals im Klartext, sondern durch starke Hashing-Algorithmen (bcrypt) gesichert.
• Löschkonzept: Nutzer können ihre Accounts und alle verknüpften Organisationsdaten jederzeit selbstständig unwiderruflich löschen. Entgeltanalysedaten, die nicht mehr benötigt werden, können systemseitig archiviert und entfernt werden.

Wir stellen Unternehmenskunden standardmäßig einen DSGVO-konformen Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO zur Verfügung. Die eingesetzten Unterauftragsverarbeiter (Vercel, Supabase, Google Cloud Europe) haben sich uns gegenüber via Standardvertragsklauseln (SCCs) bzw. EU-US Data Privacy Framework (DPF) ebenfalls zu strengsten europäischen Datenschutzstandards verpflichtet.

Bei weiteren detaillierten Rückfragen zur Informationssicherheit oder zur Anforderung des AVVs wenden Sie sich jederzeit an unseren Datenschutzbeauftragten per E-Mail an: hallo@complens.de