Sicherheit, Datenschutz & Rechtliches
Alles, was Sie brauchen, um zu überprüfen, ob C2 Ihre Datenschutzbestimmungen erfüllt, bevor Sie unterschreiben. Transparent by Design.
Rechtsdokumente
Unsere rechtlichen Vereinbarungen herunterladen & prüfen
Alle Dokumente können heruntergeladen und eingesehen werden, bevor Sie sich dazu verpflichten. Keine Anfrage erforderlich.
Datenverarbeitungsvereinbarung
Unsere DSGVO-konforme Auftragsverarbeitung gemäß Art. 28: Wie C2 personenbezogene Daten in Ihrem Auftrag verarbeitet, einschließlich ROPA, DSARs, Benachrichtigung bei Sicherheitsvorfällen, Auftragsverarbeitern und Datenlöschung. Automatisch akzeptiert bei Unterzeichnung Ihres Abonnements.
Geschäftsbedingungen
Die Master Subscription Agreement, die Ihre Nutzung von C2 regelt: Lizenzgewährung, Gebühren, Gewährleistungen, Haftungsbeschränkung und anwendbares Recht (Niederlande).
Datenschutzrichtlinie
Wie Agile Futurist personenbezogene Daten als Verantwortlicher für Website-Besucher, Interessenten und Kontakte (getrennt von Kundendaten) sammelt und verarbeitet.
Subprozessorregister
Drittanbieter, die wir zur Bereitstellung der Plattform nutzen
Gemäß Art. 28 Abs. 3 lit. d DSGVO führen wir ein öffentliches Register aller Unterauftragsverarbeiter. Sie werden mindestens 30 Tage im Voraus über Ergänzungen oder Änderungen informiert.
| Subprozessor | Zweck | Verarbeitungsstandort | Übertragungsmechanismus | DPA-Status |
|---|---|---|---|---|
| Amazon Web Services (AWS) Cloud-Infrastruktur & Speicher (S3) |
Primäre Rechenleistung, Objektspeicher (Amazon S3), Netzwerke und Datenbanken, die die Plattform untermauern. | EU (Irland, eu-west-1) | N/A (EWR) | Gezeichnet, Art. 28 |
| Amazon Web Services (SES) E-Mail-Zustellung |
Transaktions- und Benachrichtigungs-E-Mails: DSAR-Benachrichtigungen, Onboarding-Abläufe, Systembenachrichtigungen. | EU (Irland, eu-west-1) | N/A (EWR) | Gezeichnet, Art. 28 |
| OpenAI KI-Sprachmodell (Standard) |
Sprachmodell-Inferenz für den KI-HR-Assistenten. Empfängt nur Abfragetext und relevante Auszüge aus der Wissensdatenbank. Es werden niemals persönliche Mitarbeiterdaten (Namen, Aufzeichnungen, Gehaltsabrechnungen, Leistungsdaten) übertragen. Die Wissensabfrage nutzt eine selbst gehostete Qdrant-Vektordatenbank auf EU-Infrastruktur (Irland). Keine Schulung oder Speicherung von Kundendaten. Auf Anfrage sind für Unternehmenskunden alternative, in der EU gehostete oder selbst gehostete LLMs verfügbar. | Vereinigte Staaten | SCC Modul 2 | Gezeichnet, Art. 28 + KI-Verordnung |
| Amazon Web Services (CloudWatch) Plattformüberwachung & Beobachtbarkeit |
Anwendungsleistungsüberwachung, Protokollierung und Alarmierung über AWS CloudWatch. Abgedeckt durch denselben AWS DPA wie die Kerninfrastruktur. Nur pseudonymisierte Daten. | EU (Irland, eu-west-1) | N/A (EWR) | Gezeichnet, Art. 28 |
| Frappe HelpDesk (selbst gehostet) Kundensupport-Ticketing |
Verwaltung von Support-Tickets, die von Ihren Benutzern eröffnet werden. Selbst gehostet auf EU-Infrastruktur (Irland, AWS eu-west-1); Frappe Ltd verarbeitet keine personenbezogenen Daten. Zugriff nur für autorisiertes Supportpersonal. | EU (Irland, eu-west-1) | N/A (EWR, selbst gehostet) | Selbst gehostet; Nicht anwendbar |
Zuletzt aktualisiert: Juli 2026. Um Benachrichtigungen über Änderungen von Unterauftragsverarbeitern per E-Mail zu erhalten, Kontakt dpo@cognitis.cloud betreffend “Unterauftragsverarbeiterbenachrichtigungen”.
Sicherheitsmaßnahmen
Technische und organisatorische Maßnahmen (TOMs)
Eine Zusammenfassung unserer Sicherheitsmaßnahmen gemäß Anhang 2 des DPA. Der vollständige Anhang ist im herunterladbaren DPA oben verfügbar.
Zugriffskontrolle
- Rollengesteuerter Zugriff (RBAC), geringste Berechtigung
- MFA erzwungen für Administratorkonten
- Sitzungszeitüberschreitung, eindeutige Anmeldedaten
- Privileged Access Management
Verschlüsselung
- Unterwegs: TLS 1.2+ (TLS 1.3 bevorzugt)
- In Ruhe: AES-256
- Datenbankweite Verschlüsselung
- Jährliche Schlüsselrotation
Mandantenisolierung
- Strikte logische Trennung zwischen Mietern
- Mandantenidentitätsprüfung auf ORM-Ebene
- Automatisierte Isolationstests bei jedem Deployment
Infrastruktur
- Hosting nur in der EU (ISO 27001-Rechenzentren)
- Netzwerksegmentierung, IDS/IPS, WAF
- DDoS-Schutz vorhanden
Schwachstellenmanagement
- Drittanbieter-Penetrationstest geplant für H2 2026; kontinuierliches automatisiertes Abhängigkeitsscanning und SAST vorhanden
- Automatisierte Abhängigkeitsprüfung (CI/CD)
- Kritische Patches innerhalb von 72 Stunden
Verfügbarkeit & Wiederherstellung
- 99,51 TP3T-Verfügbarkeits-SLA
- Tägliche Sicherungen, 30 Tage Aufbewahrung
- Quartalsweise DR-Tests
Notfallreaktion
- Benachrichtigung der Aufsichtsbehörde über eine Verletzung innerhalb von 72 Stunden
- Dokumentierter Notfallplan
- Echtzeit-SIEM-Alarmierung
- Art. 33 Abs. 5 Verletzungsregister geführt
Privacy by Design
- Datenminimierung in allen Funktionen
- DSFA erforderlich vor risikoreichen Einsätzen
- Automatisierte Durchsetzung der Aufbewahrung
Compliance & Zertifizierungen
Unsere Zertifizierungs-Roadmap
Wir sind transparent darüber, wo wir uns auf dem Weg zur unabhängigen Verifizierung befinden. Verfolgen Sie unseren Fortschritt hier.
Vollständige DPA veröffentlicht, Register der Unterauftragsverarbeiter geführt, DSB benannt. Alle Verarbeitungen erfolgen ausschließlich nach dokumentierten Anweisungen des Verantwortlichen.
Alle HR- und Mitarbeiterdaten werden ausschließlich in der EU (Irland, AWS eu-west-1) gespeichert und verarbeitet. Der KI-Assistent verwendet eine selbst gehostete Qdrant-Vektordatenbank auf EU-Infrastruktur für die Wissensabfrage; es werden keine persönlichen Daten indiziert. Die KI-Sprachmodellinferenz (OpenAI) empfängt nur den Abfragetext und Auszüge aus der Wissensbasis gemäß SCC Modul 2. Keine persönlichen Mitarbeiterdaten verlassen jemals die EU.
Interne Überprüfung der NIS 2-Verpflichtungen für C2 als Anbieter digitaler Dienste. Richtlinienaktualisierungen laufen.
Unabhängiger externer Penetrationstest beginnt 2026. Executive Summary auf Anfrage für Kunden der Enterprise-Stufe unter NDA verfügbar.
ISO 27001-Gap-Analyse beginnt 2026. Angestrebtes Zertifizierungsziel innerhalb von 18 Monaten. Der anerkannte Standard für Informationssicherheitsmanagement, der direkt auf DSGVO Art. 32 abgebildet werden kann.
Die Datenschutzmanagement-Erweiterung zu ISO 27001, die direkt auf die DSGVO-Verpflichtungen abgestimmt ist. Angestrebt nach der ISO 27001-Zertifizierung. C2 wird eine der ersten SME-HRIS-Plattformen in Europa sein, die diese Zertifizierung besitzt.
Verfolgung von zertifizierten Akkreditierungsregelungen gemäß Art. 42 DSGVO in den Niederlanden und der EU (einschließlich EuroPriSe). Wird weiterverfolgt, sobald ein ausgereiftes Regelwerk für SaaS-Auftragsverarbeiter etabliert ist.
Dokumentenhistorie
Änderungsprotokoll rechtlicher Dokumente
Materialänderungen werden bestehenden Kunden mindestens 30 Tage vor ihrem Inkrafttreten mitgeteilt.
Um Benachrichtigungen über rechtliche Neuerungen zu erhalten, E-Mail dpo@cognitis.cloud Betreff: Rechtliche Aktualisierungen Benachrichtigungen.
Datenschutz
Kontakt Unser Datenschutzteam
Für Fragen zum Datenschutz, zur DSGVO-Konformität, zum BDSG oder zur Ausübung von Betroffenenrechten.
Datenschutzbeauftragter
Sicherheit & Vorfälle
Rechtliches & Vertragliches
Bereit, das HRIS zu sehen, das speziell für europäische KMUs entwickelt wurde: transparent, DSGVO-konform und nachprüfbar?
Buchen Sie Ihre kostenlose 30-minütige Demo →