Vertrauenszentrum

Sicherheit, Datenschutz & Rechtliches

Alles, was Sie brauchen, um zu überprüfen, ob C2 Ihre Datenschutzbestimmungen erfüllt, bevor Sie unterschreiben. Transparent by Design.

DSGVO by Design EU-Datenspeicherung Nach niederländischem Recht DPO Benannt

Rechtsdokumente

Unsere rechtlichen Vereinbarungen herunterladen & prüfen

Alle Dokumente können heruntergeladen und eingesehen werden, bevor Sie sich dazu verpflichten. Keine Anfrage erforderlich.

Datenverarbeitungsvereinbarung

Unsere DSGVO-konforme Auftragsverarbeitung gemäß Art. 28: Wie C2 personenbezogene Daten in Ihrem Auftrag verarbeitet, einschließlich ROPA, DSARs, Benachrichtigung bei Sicherheitsvorfällen, Auftragsverarbeitern und Datenlöschung. Automatisch akzeptiert bei Unterzeichnung Ihres Abonnements.

Version 1.1 · Juli 2026 · Niederländisches Recht

Geschäftsbedingungen

Die Master Subscription Agreement, die Ihre Nutzung von C2 regelt: Lizenzgewährung, Gebühren, Gewährleistungen, Haftungsbeschränkung und anwendbares Recht (Niederlande).

Letzte Aktualisierung: Mai 2025 · Niederländisches Recht

Datenschutzrichtlinie

Wie Agile Futurist personenbezogene Daten als Verantwortlicher für Website-Besucher, Interessenten und Kontakte (getrennt von Kundendaten) sammelt und verarbeitet.

Letzte Aktualisierung: Mai 2025  · 
Hinweis: Die Annahme der C2-Nutzungsbedingungen beinhaltet diese DPA als Referenz. Sie müssen keine separate DPA unterzeichnen, es sei denn, Ihre interne Richtlinie verlangt eine gegengezeichnete Kopie. Für Anfragen nach einer gegengezeichneten DPA, Kontakt dpo@cognitis.cloud.

Subprozessorregister

Drittanbieter, die wir zur Bereitstellung der Plattform nutzen

Gemäß Art. 28 Abs. 3 lit. d DSGVO führen wir ein öffentliches Register aller Unterauftragsverarbeiter. Sie werden mindestens 30 Tage im Voraus über Ergänzungen oder Änderungen informiert.

Subprozessor Zweck Verarbeitungsstandort Übertragungsmechanismus DPA-Status
Amazon Web Services (AWS)
Cloud-Infrastruktur & Speicher (S3)
Primäre Rechenleistung, Objektspeicher (Amazon S3), Netzwerke und Datenbanken, die die Plattform untermauern. EU (Irland, eu-west-1) N/A (EWR) Gezeichnet, Art. 28
Amazon Web Services (SES)
E-Mail-Zustellung
Transaktions- und Benachrichtigungs-E-Mails: DSAR-Benachrichtigungen, Onboarding-Abläufe, Systembenachrichtigungen. EU (Irland, eu-west-1) N/A (EWR) Gezeichnet, Art. 28
OpenAI
KI-Sprachmodell (Standard)
Sprachmodell-Inferenz für den KI-HR-Assistenten. Empfängt nur Abfragetext und relevante Auszüge aus der Wissensdatenbank. Es werden niemals persönliche Mitarbeiterdaten (Namen, Aufzeichnungen, Gehaltsabrechnungen, Leistungsdaten) übertragen. Die Wissensabfrage nutzt eine selbst gehostete Qdrant-Vektordatenbank auf EU-Infrastruktur (Irland). Keine Schulung oder Speicherung von Kundendaten. Auf Anfrage sind für Unternehmenskunden alternative, in der EU gehostete oder selbst gehostete LLMs verfügbar. Vereinigte Staaten SCC Modul 2 Gezeichnet, Art. 28 + KI-Verordnung
Amazon Web Services (CloudWatch)
Plattformüberwachung & Beobachtbarkeit
Anwendungsleistungsüberwachung, Protokollierung und Alarmierung über AWS CloudWatch. Abgedeckt durch denselben AWS DPA wie die Kerninfrastruktur. Nur pseudonymisierte Daten. EU (Irland, eu-west-1) N/A (EWR) Gezeichnet, Art. 28
Frappe HelpDesk (selbst gehostet)
Kundensupport-Ticketing
Verwaltung von Support-Tickets, die von Ihren Benutzern eröffnet werden. Selbst gehostet auf EU-Infrastruktur (Irland, AWS eu-west-1); Frappe Ltd verarbeitet keine personenbezogenen Daten. Zugriff nur für autorisiertes Supportpersonal. EU (Irland, eu-west-1) N/A (EWR, selbst gehostet) Selbst gehostet; Nicht anwendbar

Zuletzt aktualisiert: Juli 2026. Um Benachrichtigungen über Änderungen von Unterauftragsverarbeitern per E-Mail zu erhalten, Kontakt dpo@cognitis.cloud betreffend “Unterauftragsverarbeiterbenachrichtigungen”.

Sicherheitsmaßnahmen

Technische und organisatorische Maßnahmen (TOMs)

Eine Zusammenfassung unserer Sicherheitsmaßnahmen gemäß Anhang 2 des DPA. Der vollständige Anhang ist im herunterladbaren DPA oben verfügbar.

Zugriffskontrolle

  • Rollengesteuerter Zugriff (RBAC), geringste Berechtigung
  • MFA erzwungen für Administratorkonten
  • Sitzungszeitüberschreitung, eindeutige Anmeldedaten
  • Privileged Access Management

Verschlüsselung

  • Unterwegs: TLS 1.2+ (TLS 1.3 bevorzugt)
  • In Ruhe: AES-256
  • Datenbankweite Verschlüsselung
  • Jährliche Schlüsselrotation

Mandantenisolierung

  • Strikte logische Trennung zwischen Mietern
  • Mandantenidentitätsprüfung auf ORM-Ebene
  • Automatisierte Isolationstests bei jedem Deployment

Infrastruktur

  • Hosting nur in der EU (ISO 27001-Rechenzentren)
  • Netzwerksegmentierung, IDS/IPS, WAF
  • DDoS-Schutz vorhanden

Schwachstellenmanagement

  • Drittanbieter-Penetrationstest geplant für H2 2026; kontinuierliches automatisiertes Abhängigkeitsscanning und SAST vorhanden
  • Automatisierte Abhängigkeitsprüfung (CI/CD)
  • Kritische Patches innerhalb von 72 Stunden

Verfügbarkeit & Wiederherstellung

  • 99,51 TP3T-Verfügbarkeits-SLA
  • Tägliche Sicherungen, 30 Tage Aufbewahrung
  • Quartalsweise DR-Tests

Notfallreaktion

  • Benachrichtigung der Aufsichtsbehörde über eine Verletzung innerhalb von 72 Stunden
  • Dokumentierter Notfallplan
  • Echtzeit-SIEM-Alarmierung
  • Art. 33 Abs. 5 Verletzungsregister geführt

Privacy by Design

  • Datenminimierung in allen Funktionen
  • DSFA erforderlich vor risikoreichen Einsätzen
  • Automatisierte Durchsetzung der Aufbewahrung

Compliance & Zertifizierungen

Unsere Zertifizierungs-Roadmap

Wir sind transparent darüber, wo wir uns auf dem Weg zur unabhängigen Verifizierung befinden. Verfolgen Sie unseren Fortschritt hier.

DSGVO-konform gemäß Art. 28  Leben

Vollständige DPA veröffentlicht, Register der Unterauftragsverarbeiter geführt, DSB benannt. Alle Verarbeitungen erfolgen ausschließlich nach dokumentierten Anweisungen des Verantwortlichen.

EU-Datenspeicherung  Leben

Alle HR- und Mitarbeiterdaten werden ausschließlich in der EU (Irland, AWS eu-west-1) gespeichert und verarbeitet. Der KI-Assistent verwendet eine selbst gehostete Qdrant-Vektordatenbank auf EU-Infrastruktur für die Wissensabfrage; es werden keine persönlichen Daten indiziert. Die KI-Sprachmodellinferenz (OpenAI) empfängt nur den Abfragetext und Auszüge aus der Wissensbasis gemäß SCC Modul 2. Keine persönlichen Mitarbeiterdaten verlassen jemals die EU.

Überprüfung der NIS2-Richtlinie  In Bearbeitung

Interne Überprüfung der NIS 2-Verpflichtungen für C2 als Anbieter digitaler Dienste. Richtlinienaktualisierungen laufen.

Jährlicher Penetrationstest  Geplant 2026

Unabhängiger externer Penetrationstest beginnt 2026. Executive Summary auf Anfrage für Kunden der Enterprise-Stufe unter NDA verfügbar.

ISO 27001 Zertifizierung  Gap-Analyse 2026

ISO 27001-Gap-Analyse beginnt 2026. Angestrebtes Zertifizierungsziel innerhalb von 18 Monaten. Der anerkannte Standard für Informationssicherheitsmanagement, der direkt auf DSGVO Art. 32 abgebildet werden kann.

ISO 27701 Zertifizierung  Fahrplan

Die Datenschutzmanagement-Erweiterung zu ISO 27001, die direkt auf die DSGVO-Verpflichtungen abgestimmt ist. Angestrebt nach der ISO 27001-Zertifizierung. C2 wird eine der ersten SME-HRIS-Plattformen in Europa sein, die diese Zertifizierung besitzt.

DSGVO Art. 42 Zertifizierung  Überwachung

Verfolgung von zertifizierten Akkreditierungsregelungen gemäß Art. 42 DSGVO in den Niederlanden und der EU (einschließlich EuroPriSe). Wird weiterverfolgt, sobald ein ausgereiftes Regelwerk für SaaS-Auftragsverarbeiter etabliert ist.


Dokumentenhistorie

Änderungsprotokoll rechtlicher Dokumente

Materialänderungen werden bestehenden Kunden mindestens 30 Tage vor ihrem Inkrafttreten mitgeteilt.

v1.1 Juli 2026 Aktuell
Subprozessorregister aktualisiert: Herstellernamen hinzugefügt (AWS eu-west-1, AWS SES, OpenAI), KI-Datenfluss geklärt (keine persönlichen Daten an OpenAI übermittelt; selbst gehostetes Qdrant verarbeitet RAG auf EU-Infrastruktur), SCC Modul 2 für OpenAI vermerkt. Penetrationstest TOM korrigiert, um das geplante Datum H2 2026 widerzuspiegeln.

Um Benachrichtigungen über rechtliche Neuerungen zu erhalten, E-Mail dpo@cognitis.cloud Betreff: Rechtliche Aktualisierungen Benachrichtigungen.

Datenschutz

Kontakt Unser Datenschutzteam

Für Fragen zum Datenschutz, zur DSGVO-Konformität, zum BDSG oder zur Ausübung von Betroffenenrechten.

Datenschutzbeauftragter

DSGVO-Anfragen, BDSG-Fragen, Betroffenenrechte, DSAR-Einreichungen.

Sicherheit & Vorfälle

Sicherheitsbedenken, vermutete Verstöße, Schwachstellenoffenlegungen.

Rechtliches & Vertragliches

Gegengezeichnete Auftragsverarbeitungsverträge, Widersprüche gegen Unterauftragsverarbeiter, Rechtskorrespondenz.

Kundensupport

Plattformunterstützung, Kontoanfragen, Onboarding-Hilfe.

Bereit, das HRIS zu sehen, das speziell für europäische KMUs entwickelt wurde: transparent, DSGVO-konform und nachprüfbar?

Buchen Sie Ihre kostenlose 30-minütige Demo →