Datenschutzerklärung

Art. 4 Nr. 7 DSGVO

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO:

Christian Baltes Baltes KI Solutions (Geschäftsbezeichnung) Grünwalder Str. 3 82064 Straßlach-Dingharting Deutschland

E-Mail: info@compliki.de
Datenschutzbeauftragte:r: Eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht nach der derzeitigen Organisationsstruktur nicht. Anfragen zum Datenschutz richten Sie bitte an info@compliki.de.

Datenkategorien

2. Erhebung und Speicherung personenbezogener Daten

Wir erheben und speichern personenbezogene Daten nur, wenn Sie diese uns freiwillig übermitteln - etwa beim Kontaktformular, der Anmeldung zu unserem Newsletter oder beim Kauf unserer Software.

Die erhobenen Daten können folgende Kategorien umfassen:

Name und Unternehmensname
E-Mail-Adresse
Telefonnummer
Postanschrift
Zahlungsinformationen (Kreditkartendaten werden nur durch sichere Zahlungsdienstleister verarbeitet)
Informationen zum Kaufverlauf und zur Softwarenutzung
IP-Adresse (automatisch erhoben)

Schnell-Check ohne Registrierung

Unseren Schnell-Check (Quick-Check) können Sie ohne Registrierung, Login oder E-Mail-Adresse nutzen. Ihre Antworten und das Kurzergebnis werden ausschließlich in Ihrem Browser verarbeitet. Solange Sie das Ergebnis nur ansehen, übermitteln wir hierfür keine personenbezogenen Daten an uns und legen kein Konto an.

Erst wenn Sie aktiv das ausführliche Ergebnis per E-Mail anfordern, erheben und speichern wir die dafür notwendigen Angaben:

Ihre E-Mail-Adresse (Pflichtangabe für den Versand)
optional Vorname und Unternehmen, sofern Sie diese angeben
Ihre festen Auswahl-Antworten (Branche, Akteursrolle, Entscheidungsbezug, Personenbezug, Anzahl der KI-Systeme) - es gibt keine Freitextfelder
die im Browser berechnete Risikoeinordnung und der zugehörige Score
Zeitpunkt der Anforderung, Referrer und technischer User-Agent

Eine IP-Adresse speichern wir in diesem Schnell-Check-Datensatz nicht. Rechtsgrundlage für den Versand des angeforderten Ergebnisses ist Ihre Einwilligung durch die aktive Anforderung (Art. 6 Abs. 1 lit. a DSGVO). Wir verwenden Ihre E-Mail-Adresse ausschließlich für diesen Versand, sofern Sie nicht zusätzlich separat in den Newsletter einwilligen.

Getrennte Marketing-Einwilligung: Die Anmeldung zu Tipps, Produktinformationen und Neuigkeiten ist von der Ergebnis-Anforderung strikt getrennt und erfolgt nur, wenn Sie das eigene, standardmäßig nicht vorausgewählte Kontrollkästchen aktiv anhaken. Diese Marketing-Einwilligung wird getrennt mit Version und Zeitstempel (UTC) dokumentiert, ist jederzeit widerrufbar (Abmeldelink in jeder Marketing-Mail) und wird per Double-Opt-In bestätigt. Ohne diese separate Einwilligung nehmen wir Sie in keine Marketing-Strecke auf. Den Schnell-Check-Datensatz löschen wir auf Anfrage sowie automatisiert, sobald er für den angeforderten Zweck nicht mehr benötigt wird.

Datensparsamkeit bei der Reichweitenmessung: Sofern Sie in Analytics-Cookies eingewilligt haben, erfassen wir zum Schnell-Check nur anonyme Nutzungsereignisse (z.B. Frage-Kennung, Schritt-Nummer und die grobe Risikostufe). Diese Ereignisse enthalten zu keinem Zeitpunkt Ihre E-Mail-Adresse, Ihren Namen, den Firmennamen oder Freitexte. Ohne Analytics-Einwilligung wird kein solches Ereignis übertragen.

Art. 6 DSGVO

3. Rechtsgrundlage der Datenverarbeitung

Unsere Datenverarbeitung erfolgt auf Basis folgender Rechtsgrundlagen (Art. 6 DSGVO):

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung zur Abwicklung von Kaufverträgen, Lizenzgewährung und Kundenservice.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Verarbeitung zu Marketing-, Newsletter- oder Analysezwecken nur nach Ihrer ausdrücklichen Einwilligung.
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Verarbeitung zur Sicherheit unserer Systeme, Betrugsbekämpfung und Verbesserung unserer Dienste.
Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Verarbeitung zur Erfüllung steuerlicher und handelsrechtlicher Pflichten.

Verwendungszweck

4. Zweck der Datenverarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

Abwicklung von Kaufverträgen und Lizenzgewährung
Vertragserfüllung, technische und kaufmännische Abwicklung
Beantwortung von Kontaktanfragen und Kundenservice
Newsletter und Marketingkommunikation (mit Einwilligung)
Verbesserung unserer Dienste und Produkte
Analyse der Website-Nutzung (mit Einwilligung)
Einhaltung gesetzlicher Verpflichtungen (Steuern, Rechnungslegung)
Betrugsbekämpfung und Sicherheit der IT-Systeme

Empfängerkategorien

5. Weitergabe von Daten an Dritte

Die Kernanwendung wird auf Servern in Deutschland betrieben. Für einzelne Funktionen werden transparent ausgewiesene externe Dienstleister eingesetzt. Eine vollständige Liste der eingesetzten Dienstleister finden Sie in Abschnitt 12 (Auftragsverarbeiter).

Empfängerkategorien im Überblick:

Hosting-Provider (DE): Betrieb der CompliKI-Kernanwendung in Rechenzentren in Deutschland.
Zahlungsdienstleister (EWR): Abwicklung von Zahlungen über Stripe. Zur Zahlungsabwicklung erforderliche Daten können das EWR verlassen.
E-Mail-Service-Provider (DE): Versand von Transaktions- und Hinweismails über united-domains.
KI-Co-Pilot (US, optional): Wenn der KI-Co-Pilot durch den Nutzer aktiv genutzt wird, werden die für die jeweilige Anfrage erforderlichen Inhalte an Anthropic übergeben. Eine Übermittlung in die USA ist hierbei möglich.
Steuer- und Rechnungsprüfer: Bei Bedarf erfolgt eine Weitergabe an externe Steuerberater oder Wirtschaftsprüfer zur Erfüllung steuerlicher Verpflichtungen.
Behörden: Eine Weitergabe an Behörden erfolgt nur, wenn wir gesetzlich dazu verpflichtet sind.

Kein Verkauf an Dritte: Wir verkaufen Ihre Daten nicht an Dritte und vermieten diese nicht.

Tracking

6. Cookies

Unsere Website verwendet Cookies, um die Benutzererfahrung zu verbessern.

Technisch notwendige Cookies

Diese Cookies sind erforderlich für die Funktionalität der Website. Sie basieren auf unserem berechtigten Interesse und bedürfen keiner Einwilligung.

Reichweitenmessung (ohne Cookies)

Zur einfachen Reichweitenmessung zählen wir Seitenaufrufe rein aggregiert auf unserem eigenen Server. Dabei werden keine Cookies gesetzt und kein Speicher auf Ihrem Endgerät gelesen, es wird keine IP-Adresse und kein sonstiges personenbezogenes Merkmal gespeichert, und es erfolgt keine Weitergabe an Dritte. Gezählt wird ausschließlich die Anzahl der Aufrufe je Seite. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datensparsamen Reichweitenmessung). Mangels Zugriffs auf Ihr Endgerät und mangels Personenbezug ist hierfür keine Einwilligung erforderlich.

Analytics-Cookies

Für pseudonyme Auswertungen der Website-Nutzung verwenden wir PostHog (siehe nächster Abschnitt). Diese erfordern Ihre vorherige Einwilligung. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen auf der Startseite widerrufen.

Marketing-Cookies

Marketing-Cookies werden nur mit Ihrer ausdrücklichen Einwilligung ("Marketing" im Cookie-Banner) verwendet. Wir setzen Google Ads Conversion-Tracking (gtag.js, Kennung AW-18238776761) der Google Ireland Ltd. ein, um den Erfolg unserer Werbeanzeigen zu messen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Der Google-Tag wird im Sinne von Google Consent Mode v2 erst nach Ihrer Einwilligung geladen; vorher werden keine Daten an Google übertragen und keine Werbe-Cookies gesetzt. Bei der Verarbeitung besteht ein Drittlandbezug (USA); die Absicherung erfolgt über die EU-Standardvertragsklauseln (SCC). Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

Analytics

7. PostHog Analytics

Zur pseudonymen Nutzungsanalyse unserer Marketing-Website verwenden wir PostHog. Wir setzen das EU-Hosting ein (Hosting in Frankfurt); Daten werden in der EU verarbeitet.

Keine Datenerhebung vor Einwilligung: Vor Ihrer Einwilligung im Cookie-Banner werden keine Analyse- oder PostHog-Daten erhoben oder an PostHog übertragen. Technisch notwendige Cookies dienen ausschließlich dem Betrieb der Website und nicht dem Tracking.

Anbieter: PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA (EU-Hosting in Frankfurt, eu.i.posthog.com)
Zweck: Pseudonyme Erfassung von Seitenaufrufen und Klick-Events auf gekennzeichneten CTAs, damit wir die Marketing-Seite verbessern können.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Ohne explizite Zustimmung im Cookie-Banner werden keine PostHog-Daten erhoben oder übertragen.
Verarbeitete Daten: Pseudonyme Nutzungsdaten: eine pseudonyme Distinct-ID (zufällig generiert), Geräte- und Browser-Informationen, aufgerufene Seiten, Zeitstempel sowie Click-Events auf gekennzeichneten CTAs.
Konfiguration: Hosting in der EU (eu.i.posthog.com, Frankfurt). Autocapture deaktiviert. Session Recording deaktiviert. Keine dauerhaften Analyse-Cookies (Persistenz nur für die laufende Sitzung). Es wird eine pseudonyme Distinct-ID eingesetzt. Die IP-Adresse wird nicht dauerhaft gespeichert (ip:false). Eine Verarbeitung erfolgt erst nach Ihrer Einwilligung.
Speicherdauer: Maximal 90 Tage (analog zur generellen Logs-und-Analytics-Speicherdauer).
Drittlandbezug: Die Verarbeitung erfolgt über die EU-Hosting-Region (Frankfurt). Die Muttergesellschaft PostHog Inc. hat ihren Sitz in den USA; ein Zugriff aus einem Drittland kann daher nicht vollständig ausgeschlossen werden. Die Absicherung erfolgt über die EU-Standardvertragsklauseln (SCC).

Widerruf: Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen auf der Startseite widerrufen. Bereits erhobene Daten werden auf Anfrage gelöscht (siehe Abschnitt "Ihre Rechte").

TLS

8. SSL-Verschlüsselung

Diese Website nutzt SSL/TLS-Verschlüsselung aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte (z.B. Passwörter, Zahlungsdaten). Sie erkennen eine verschlüsselte Verbindung am "https://" in der Adresszeile und dem Schloss-Symbol in Ihrem Browser.

Betroffenenrechte

9. Ihre Rechte als betroffene Person

Gemäß DSGVO haben Sie folgende Rechte:

Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns gespeicherten Daten zu verlangen.
Recht auf Berichtigung (Art. 16 DSGVO): Sie können unrichtige Daten korrigieren lassen.
Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen ("Recht auf Vergessenwerden"), sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
Recht auf Einschränkung (Art. 18 DSGVO): Sie können verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird.
Recht auf Datenportabilität (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten.
Recht auf Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten für bestimmte Zwecke widersprechen.
Widerrufsrecht: Sie können Ihre Einwilligung zur Datenverarbeitung jederzeit widerrufen.

Zur Geltendmachung dieser Rechte kontaktieren Sie uns bitte unter: info@compliki.de

Aufsichtsbehörde

10. Recht auf Beschwerde

Unabhängig von anderen verwaltungstechnischen oder gerichtlichen Rechtsbehelfen haben Sie das Recht, sich bei einer Datenschutzbehörde zu beschweren, insbesondere in dem Mitgliedstaat, in dem Sie sich aufhalten, arbeiten oder der angebliche Verstoß stattgefunden hat.

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18 91522 Ansbach https://www.lda.bayern.de

Aufbewahrung

11. Speicherdauer

Ihre personenbezogenen Daten werden nur so lange gespeichert, wie es für die Erfüllung der Verarbeitungszwecke erforderlich ist. Soweit gesetzliche Aufbewahrungspflichten bestehen, richtet sich die Speicherdauer nach diesen. Im Übrigen gelten die folgenden Fristen.

Datenkategorie	Aufbewahrungsfrist	Rechtsgrundlage
Buchungsbelege und Rechnungen	8 Jahre	HGB § 257 Abs. 4 Nr. 4
Handels- und Geschäftsbücher	10 Jahre	HGB § 257 Abs. 4 Nr. 1
Geschäftsbriefe	6 Jahre	HGB § 257 Abs. 4 Nr. 2-3
Vertrags- und Supportdaten	grundsätzlich 3 Jahre, soweit keine längere Pflicht greift	BGB § 195
Produktive Compliance-Inhalte (KI-Systeme, Assessments, DSFA, FRIA, Datengovernance, Aufsicht, technische Doku, Monitoring)	spätestens 30 Tage nach Lizenzende	DSGVO Art. 5 Abs. 1 lit. e
Backup-Bereinigung	innerhalb weiterer 90 Tage nach produktiver Löschung	DSGVO Art. 5 Abs. 1 lit. e
Logs und Analytics-Daten	maximal 90 Tage	DSGVO Art. 5 Abs. 1 lit. c
Newsletter	bis zur Abmeldung	DSGVO Art. 6 Abs. 1 lit. a

Legal Hold: Bei einem laufenden rechtlichen Vorgang (Legal Hold) wird die Löschung ausgesetzt, bis der Vorgang abgeschlossen ist. Gesetzliche Aufbewahrungspflichten gehen einer Löschung stets vor.

Art. 28 DSGVO

12. Auftragsverarbeiter und Unterauftragnehmer

Die Kernanwendung wird auf Servern in Deutschland betrieben. Für einzelne Funktionen werden transparent ausgewiesene externe Dienstleister eingesetzt. Die folgende Übersicht listet die aktuell eingebundenen Anbieter, ihren Sitz und Hinweise auf mögliche Drittlandsbezüge auf.

Anbieter	Sitz	Zweck	Hinweis
STRATO AG	Deutschland (DE)	Hosting der CompliKI-Kernanwendung in Rechenzentren in Deutschland	Kein Drittlandsbezug für die Kernanwendung
Stripe Payments Europe Ltd	Irland (IE / EWR)	Zahlungsabwicklung (Kreditkarte, SEPA, Apple Pay, Google Pay)	Vertragspartner im EWR. Ein Zugriff aus den USA ist im Rahmen der Zahlungsabwicklung möglich; Absicherung über EU-Standardvertragsklauseln (SCC).
united-domains AG	Deutschland (DE)	E-Mail-Versand von Transaktions- und Hinweismails (smtps.udag.de)	Kein Drittlandsbezug
Anthropic PBC	USA (US)	KI-Co-Pilot in der Anwendung (Claude-Modellfamilie)	Verarbeitung auf US-Servern möglich. Aufruf nur bei expliziter Nutzeraktion im KI-Co-Piloten. Absicherung des Drittlandbezugs über EU-Standardvertragsklauseln (SCC).
PostHog Inc.	EU-Hosting (Frankfurt), Muttergesellschaft USA	Pseudonyme Nutzungsanalyse auf der Marketing-Website	Nur mit ausdrücklicher Einwilligung im Cookie-Banner. EU-Hosting-Region; Absicherung des Drittlandbezugs über EU-Standardvertragsklauseln (SCC).
Google Ireland Ltd. / Google LLC	Irland (IE) / USA (US)	Google Ads Conversion-Tracking (gtag.js) auf der Marketing-Website	Nur mit ausdrücklicher Einwilligung "Marketing" im Cookie-Banner. Consent Mode v2; der Tag wird erst nach Einwilligung geladen. Drittlandbezug USA, Absicherung über EU-Standardvertragsklauseln (SCC).
Monitoring- / Fehlertracking-Dienste	-	-	Aktuell nicht eingebunden (Stand: Juni 2026).

Mit allen Auftragsverarbeitern, die personenbezogene Daten in unserem Auftrag verarbeiten, schließen wir Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO ab.

Auftragsverarbeitungsvereinbarung (AVV): Die Vereinbarung zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO inklusive Auflistung der eingesetzten Unterauftragnehmer und der technisch-organisatorischen Maßnahmen (TOMs) finden Sie auf unserer AVV-Seite. Die AVV ist dort auch als PDF herunterladbar und zusätzlich auf Anfrage unter info@compliki.de verfügbar.

Third Party

13. CDN-Drittanbieter und externe Ressourcen

Unsere Website lädt auf jeder Seite die folgenden externen Ressourcen von Content Delivery Networks (CDN) und Drittanbietern. Beim Abruf wird technisch bedingt Ihre IP-Adresse an den jeweiligen Anbieter übermittelt. Bei diesen Anbietern ist ein Drittlandbezug (insbesondere USA) gegeben; die Absicherung erfolgt über die EU-Standardvertragsklauseln (SCC).

Google Fonts (fonts.googleapis.com / fonts.gstatic.com): Bereitstellung der Web-Schriften. Anbieter: Google Ireland Ltd. / Google LLC (USA). Drittlandbezug USA, Absicherung über SCC.
Tailwind CSS CDN (cdn.tailwindcss.com): Bereitstellung der CSS-Styling-Ressourcen. Auslieferung über Cloudflare (USA). Drittlandbezug USA, Absicherung über SCC.
Font Awesome (cdnjs.cloudflare.com): Bereitstellung der Icon-Bibliothek über das Cloudflare-Netzwerk (USA). Drittlandbezug USA, Absicherung über SCC.
anime.js (cdn.jsdelivr.net): Bereitstellung der Animations-Bibliothek über das jsDelivr-CDN (USA). Drittlandbezug USA, Absicherung über SCC.

Weitere Informationen finden Sie in den Datenschutzerklärungen der jeweiligen Anbieter.

Wichtig

14. Wichtiger Disclaimer

Die automatisierte KI-Klassifizierung gemäß der Verordnung (EU) 2024/1689 über künstliche Intelligenz, im Folgenden EU AI Act, in unserem Produkt stellt keine Rechtsberatung dar.

CompliKI bietet Unterstützung bei der Einordnung von KI-Systemen nach dem EU AI Act. Die bereitgestellten Klassifizierungen (Unzulässig, Hochrisiko, Begrenzt, Minimal) sind Empfehlungen auf Basis der eingegebenen Informationen.

Keine Garantie: Wir garantieren nicht, dass die Klassifizierung vollständig korrekt oder vollständig ist. Eine abschließende rechtliche Bewertung muss durch einen auf Datenschutz- und KI-Recht spezialisierten Rechtsanwalt erfolgen.

Ihre Verantwortung: Sie sind selbst verantwortlich dafür, dass Ihre KI-Systeme mit dem EU AI Act und anderen geltenden Gesetzen (DSGVO, nationale Gesetze) konform sind. Dieses Tool ist ein Hilfsmittel, keine Rechtsberatung.