Datenschutzerklärung
Diese Erklärung informiert nach Art. 13 und 14 DSGVO über die Verarbeitung personenbezogener Daten bei der Nutzung der Plattform „SBM Comply".
1. Verantwortlicher
Verantwortlich im Sinne der DSGVO:
Schnetz · Buchmann · Michele GmbH Wirtschaftsprüfungsgesellschaft, Gerberstraße 1, 88212 Ravensburg.
E-Mail: [Kontakt-E-Mail ergänzen] · Telefon: [Telefon ergänzen].
Die technische Verarbeitung erfolgt im Auftrag durch die 47North GmbH als Auftragsverarbeiter (Art. 28 DSGVO).
2. Datenschutzbeauftragter
[Name und Kontaktdaten des/der Datenschutzbeauftragten ergänzen, sofern bestellt.]
3. Hosting und Verarbeitungsort
Die Plattform wird in Rechenzentren innerhalb der Europäischen Union / des EWR betrieben. Datenbank, Authentifizierung und Speicher werden über Supabase (EU-Region) bereitgestellt. Eine Verarbeitung außerhalb der EU/des EWR findet nur unter den Voraussetzungen der Art. 44 ff. DSGVO statt (z. B. Angemessenheitsbeschluss oder Standardvertragsklauseln).
4. Verarbeitete Daten und Zwecke
- Konto-/Stammdaten (Name, dienstliche Kontaktdaten, Unternehmenszugehörigkeit, Rolle) — zur Bereitstellung des Nutzerkontos. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
- Authentifizierungsdaten (Anmeldedaten, Passwort-Hashes, Sitzungs-/Sicherheitsparameter) — zur sicheren Anmeldung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.
- Inhalts-/Nachweisdaten (in die Plattform eingestellte Compliance-, Unternehmens-, Richtlinien- und Nachweisdokumente) — zur Erbringung der vertraglich vereinbarten Leistungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
- Protokoll-/Nutzungsdaten (Zeitstempel, Aktivitäts- und Audit-Trail, technische Logdaten, ggf. IP-Adresse) — für Sicherheit, Betrieb, Nachvollziehbarkeit und Abrechnung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
- Anfragedaten (bei Paket-/Kontaktanfragen) — zur Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.
5. Cookies
SBM Comply setzt ausschließlich technisch notwendige Cookies, die für Anmeldung und Sitzungsverwaltung erforderlich sind (§ 25 Abs. 2 Nr. 2 TTDSG). Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt. Eine Einwilligung ist hierfür nicht erforderlich.
6. Auftragsverarbeiter und Empfänger
Wir setzen sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO) ein:
- 47North GmbH — technischer Betrieb, Hosting, Support (EU/EWR).
- Supabase — Datenbank-, Authentifizierungs- und Speicherinfrastruktur (EU-Region).
- Resend — Versand von Transaktions-/Einladungs-E-Mails. [DPA/Region prüfen.]
- Anthropic — KI-gestützte Aufbereitung von Inhalten (z. B. Vorprüfung, Assistenz). Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungs-/Datenverarbeitungsvertrags; eine Nutzung der Inhalte zum Training der KI-Modelle findet nicht statt. [Geeignete Garantien für etwaige Drittlandübermittlung ergänzen.]
Eine darüber hinausgehende Weitergabe an Dritte erfolgt nur, soweit eine gesetzliche Pflicht besteht oder Sie eingewilligt haben. Berufsgeheimnisse im Sinne des § 203 StGB werden besonders geschützt.
7. Optionale Evidence-Konnektoren
Sofern Sie freiwillig technische Konnektoren (z. B. Microsoft Entra ID) verbinden, ruft die Plattform in Ihrem Auftrag ausschließlich die zur Nachweisführung erforderlichen Konfigurations-/Statusdaten ab. Zugangstoken werden verschlüsselt gespeichert. Die Einrichtung ist optional und jederzeit widerrufbar.
8. Speicherdauer, Kündigung und Löschung
Personenbezogene Daten werden gelöscht, sobald sie für die genannten Zwecke nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungs- oder berufsrechtlichen Nachweispflichten entgegenstehen. Nach dem Ende des Vertrags gilt konkret:
- 30 Tage Nur-Lesen-Zugriff. Ihr Zugang wird nicht sofort gesperrt, sondern auf Lesen umgestellt, damit Sie Ihre Dokumentation exportieren können (Art. 20 DSGVO). Neue Eingaben sind nicht mehr möglich.
- Export. Sie können Ihre Dokumentation jederzeit selbst als Audit-Pack exportieren — auch während des Nur-Lesen-Zeitraums.
- Löschung danach. Ihre Mandantendaten werden gelöscht. Die Änderungshistorie wird anonymisiert statt hart gelöscht: der Personenbezug entfällt (Art. 17 DSGVO, Erwägungsgrund 26), die prüfbare Audit-Spur bleibt in ihrer Unveränderlichkeit erhalten.
- Vorrang gesetzlicher Pflichten. Wo Gesetz oder Berufsrecht zur Aufbewahrung verpflichten, wird gesperrt statt gelöscht (Art. 17 Abs. 3 lit. b DSGVO): Rechnungs- und Buchungsbelege nach § 257 HGB und § 147 AO, Prüfungsunterlagen zu bereits erteilten Bescheinigungen nach den berufsrechtlichen Fristen der Wirtschaftsprüfungsgesellschaft.
Die Kündigung können Sie in Ihrem Konto unter „Einstellungen → Vertrag & Kündigung“ in Textform erklären; der Eingang wird mit Zeitstempel dokumentiert. Vertragslaufzeit und Kündigungsfrist ergeben sich aus Ihrem Vertrag mit der Kanzlei.
9. Ihre Rechte
Sie haben nach der DSGVO das Recht auf:
- Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17) und Einschränkung der Verarbeitung (Art. 18);
- Datenübertragbarkeit (Art. 20);
- Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21);
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3).
Zur Ausübung genügt eine Mitteilung an den oben genannten Verantwortlichen. Soweit Ihre Daten von einem Endkundenunternehmen in die Plattform eingestellt wurden, ist dieses Unternehmen Verantwortlicher; wir leiten Ihr Anliegen in diesem Fall an die zuständige Stelle weiter.
10. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Lautenschlagerstraße 20, 70173 Stuttgart.
11. Änderungen
Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder die Verarbeitung ändert. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.
Entwurf — vor Veröffentlichung durch den Datenschutzbeauftragten bzw. anwaltlich zu prüfen; die mit [...] markierten Angaben sind zu ergänzen.