Datenschutzerklärung

1. Einleitung

Diese Datenschutzerklärung erläutert, wie Parallax Technologies GmbH (i.Gr.) ("wir", "uns", "unser"), Betreiber der Plattform witness-compliance.eu ("Witness", "der Dienst"), Ihre personenbezogenen Daten erhebt, verwendet und schützt. Wir sind dem Schutz Ihrer Privatsphäre gemäß der Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz verpflichtet.

2. Verantwortlicher

Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten ist:

Parallax Technologies GmbH (i.Gr.)

E-Mail: kevin@witness-compliance.eu

Vollständige Adresse und Registrierungsdaten werden nach der GmbH-Gründung veröffentlicht.

3. Erhobene Daten

Wir erheben und verarbeiten die folgenden Kategorien personenbezogener Daten:

Kontodaten

E-Mail-Adresse und Name, erhoben bei der Registrierung zur Authentifizierung per Magic Link.

Organisationsdaten

Unternehmensname, Land, Branche und Organisationsgröße, die von Ihnen zur Festlegung Ihres Compliance-Kontexts angegeben werden.

Compliance-Dokumentation

Formulardaten, die Sie bei der Nutzung unserer Compliance-Tools eingeben (Klassifizierung, Technische Dokumentation, Risikomanagementsystem, FRIA usw.). Dies ist die Kernleistung von Witness und stellt Ihr Compliance-Arbeitsergebnis dar.

Hochgeladene Dokumente

Wenn Sie Dokumente zur KI-gestützten Analyse hochladen, wird der extrahierte Text an unseren KI-Anbieter zur Verarbeitung übermittelt. Dokumente werden ausschließlich im Arbeitsspeicher verarbeitet und nicht als Dateien auf unseren Servern gespeichert.

Chat-Konversationen

Nachrichten, die Sie über die Experten-Chat-Funktion senden, werden in unserer Datenbank gespeichert und an unseren KI-Anbieter zur Erstellung von Antworten übermittelt.

Zahlungsinformationen

Die Zahlungsabwicklung erfolgt vollständig über Stripe. Wir speichern lediglich Ihre Stripe-Kunden-ID und Ihre Zugangsstufe. Wir haben keinen Zugang zu Ihren Kreditkarten- oder Bankdaten.

Analysedaten

Wir erheben anonyme seitenbasierte Analysen über Umami. Dies ist ein datenschutzfreundliches, cookieloses Analysetool, das keine personenbezogenen Daten erhebt, keine Cookies verwendet und einzelne Nutzer nicht verfolgt.

Technische Daten

Authentifizierungs-Sitzungstokens, gespeichert in einem httpOnly-Cookie zur Aufrechterhaltung Ihrer Anmeldesitzung.

4. Rechtsgrundlage der Verarbeitung

Wir verarbeiten Ihre Daten auf folgenden Rechtsgrundlagen gemäß Art. 6 DSGVO:

Vertragserfüllung (Art. 6 Abs. 1 lit. b)

Die Verarbeitung von Kontodaten, Organisationsdaten, Compliance-Dokumentation und Chat-Konversationen ist zur Erfüllung unseres Vertrags mit Ihnen erforderlich — der Bereitstellung der Witness-Compliance-Plattform.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)

Anonyme Analysedaten werden auf Grundlage unseres berechtigten Interesses verarbeitet, zu verstehen, wie die Plattform genutzt wird und unseren Dienst zu verbessern. Sicherheitsprotokolle basieren auf unserem berechtigten Interesse am Schutz des Dienstes.

Einwilligung (Art. 6 Abs. 1 lit. a)

Dokumenten-Uploads zur KI-gestützten Analyse werden auf Grundlage Ihrer ausdrücklichen Einwilligung verarbeitet. Sie entscheiden aktiv über den Upload jedes Dokuments. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie keine weiteren Dokumente hochladen.

5. Auftragsverarbeiter

Wir setzen folgende Drittanbieter für den Betrieb von Witness ein:

• Anthropic (USA) — KI-gestützte Dokumentenanalyse und Chat-Antworten. Erhält: extrahierten Dokumententext aus Uploads und Chat-Nachrichten.
• OpenAI (USA) — Embedding-Erstellung für die semantische Suche über öffentlich zugängliche EU-AI-Act-Rechtstexte. Es werden keine Nutzerdaten an OpenAI übermittelt — ausschließlich öffentlich zugängliche EU-Verordnungstexte.
• Resend (USA) — E-Mail-Zustellung für Magic-Link-Authentifizierung und Teameinladungen. Erhält: ausschließlich E-Mail-Adressen.
• Sentry (EU/USA) — Überwachung von Anwendungsfehlern und Incident-Diagnose. Erhält: technische Fehlermetadaten, Request-IDs und Stack-Traces bei Störungen.
• Cloudflare (Global) — DNS, Proxy, Bot-Schutz und Turnstile-Verifizierung. Erhält: IP-Adressen, Browser-Metadaten und Anti-Abuse-Telemetrie zum Schutz des Dienstes.
• Stripe (USA) — Zahlungsabwicklung. Erhält: standardmäßige Zahlungsdaten, die Sie bei der Zahlung eingeben. Wir speichern keine Zahlungsdetails.
• Railway (EU West) — Datenbank- und Anwendungshosting in der EU. Alle dauerhaft gespeicherten Nutzerdaten werden hier gehostet.
• Umami (cloud.umami.is) — Anonyme, cookielose Website-Analyse. Es werden keine personenbezogenen Daten erhoben oder übermittelt.

6. Internationale Datenübermittlung

Einige unserer Auftragsverarbeiter haben ihren Sitz außerhalb der Europäischen Union oder verarbeiten Daten global (Anthropic, OpenAI, Resend, Sentry, Stripe, Cloudflare). Datenübermittlungen erfolgen, soweit erforderlich, auf Grundlage des EU-US Data Privacy Framework und/oder Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO. Unser Datenbank-Hosting (Railway) befindet sich in der EU-West-Region — für Ihre gespeicherten Daten im Ruhezustand erfolgt keine internationale Übermittlung.

7. Datenspeicherung

Wir speichern Ihre Daten für folgende Zeiträume:

• Kontodaten: Gespeichert, solange Ihr Konto aktiv ist. Löschung bei Kontolöschung.
• Compliance-Daten: Gespeichert, solange Ihr Konto aktiv ist. Löschung bei Kontolöschung.
• Chat-Nachrichten: Gespeichert, solange Ihr Konto aktiv ist. Löschung bei Kontolöschung.
• Hochgeladene Dokumente: Werden nicht gespeichert. Verarbeitung im Arbeitsspeicher mit sofortiger Löschung nach der Analyse.
• Analysedaten: Bei Erhebung anonymisiert. Keine personenbezogenen Daten werden gespeichert.
• Zahlungsbelege: Aufbewahrt gemäß österreichischem Steuerrecht (Bundesabgabenordnung, § 132) für einen Zeitraum von 7 Jahren.

8. Ihre Rechte nach DSGVO

Sie haben folgende Rechte in Bezug auf Ihre personenbezogenen Daten:

• Auskunftsrecht (Art. 15) — Sie können eine Kopie aller über Sie gespeicherten personenbezogenen Daten anfordern.
• Recht auf Berichtigung (Art. 16) — Sie können die Korrektur unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17) — Sie können die Löschung Ihrer Daten verlangen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
• Recht auf Einschränkung der Verarbeitung (Art. 18) — Sie können verlangen, dass wir die Nutzung Ihrer Daten einschränken.
• Recht auf Datenübertragbarkeit (Art. 20) — Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format anfordern.
• Widerspruchsrecht (Art. 21) — Sie können der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3) — Soweit die Verarbeitung auf Einwilligung beruht, können Sie diese jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter kevin@witness-compliance.eu. Wir antworten innerhalb von 30 Tagen.

9. Aufsichtsbehörde

Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzureichen:

10. Cookies

Witness verwendet nur ein Cookie, das für den Betrieb des Dienstes unerlässlich ist:

• authjs.session-token — Ein httpOnly-, Secure-Sitzungscookie zur Authentifizierung. Dies ist ein technisch notwendiges Cookie und bedarf gemäß ePrivacy-Richtlinie keiner Einwilligung.

Wir verwenden keine Tracking-Cookies, Werbe-Cookies oder Drittanbieter-Cookies. Unser Analysetool (Umami) arbeitet vollständig ohne Cookies.

11. Kinder

Witness ist eine Business-to-Business-Compliance-Plattform und richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Falls Sie der Ansicht sind, dass ein Kind uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte, und wir werden diese löschen.

12. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken oder des anwendbaren Rechts widerzuspiegeln. Wesentliche Änderungen werden per E-Mail oder durch eine In-App-Benachrichtigung mitgeteilt. Die fortgesetzte Nutzung des Dienstes nach Inkrafttreten der Änderungen gilt als Zustimmung zur aktualisierten Datenschutzerklärung.