Der Schutz Ihrer persönlichen Daten ist uns ein wichtiges Anliegen. Nachfolgend informieren wir Sie darüber, wie wir personenbezogene Daten bei der Nutzung der Xpolicy Webseite und der Xpolicy Software verarbeiten.

• 1. Verantwortlicher und Kontakt
• 2. Art und Umfang der Datenverarbeitung
• 2.1 Besuch der Webseite (xpolicy.de)
• 2.2 Registrierung und Nutzung der Software (app.xpolicy.de)
• 2.3 Fachinhalte und Audit-Prozesse (Auftragsverarbeitung)
• 3. Einsatz von KI-Diensten (Azure OpenAI & Speech)
• 4. Datenübermittlung und Speicherort
• 5. Weitergabe an Dritte
• 6. Speicherdauer
• 7. Ihre Rechte
• 8. Beschwerderecht

Verantwortlicher für die Datenverarbeitung ist:

Xpolicy GmbH
Hetzinger Hof 16
52385 Nideggen
Deutschland
datenschutz@xpolicy.de

Geschäftsführer: Dr. Stefan Hirschmeier

Je nachdem, ob Sie unsere Webseite (xpolicy.de) besuchen oder die Xpolicy Software (app.xpolicy.de) nutzen, verarbeiten wir personenbezogene Daten in unterschiedlichem Umfang.

2.1 Besuch der Webseite (xpolicy.de)

Beim Aufruf unserer Webseite werden nur die technisch notwendigen Daten in Logfiles verarbeitet (z. B. IP-Adresse, Browsertyp, Zeitstempel), um die Seite sicher und stabil anzuzeigen.

Cookies

Wir setzen auf der Marketing-Webseite keine Analyse- oder Marketing-Cookies ein. Es werden lediglich technisch notwendige Cookies (z. B. zur Speicherung Ihrer Sprachwahl) verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 TDDDG.

Google Web Fonts

Zur einheitlichen Darstellung nutzen wir Google Web Fonts. Hierbei wird Ihre IP-Adresse an Google-Server übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Weitere Informationen finden Sie in der Datenschutzerklärung von Google: Google Privacy Policy.

Externe Ressourcen

Wir verwenden Icons von Font Awesome über ein CDN. Hierbei kann Ihre IP-Adresse an den CDN-Anbieter übertragen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Weitere Informationen finden Sie in der Datenschutzerklärung von Font Awesome: Font Awesome Privacy Policy.

Zur Gestaltung unserer Webseite nutzen wir das CSS-Framework Tailwind CSS über ein CDN. Beim Aufruf der Webseite wird Ihre IP-Adresse an den CDN-Anbieter übertragen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

2.2 Registrierung und Nutzung der Software (app.xpolicy.de)

Bei der Registrierung und Nutzung der Xpolicy Software verarbeiten wir Daten zur Erstellung und Verwaltung Ihres Nutzer-Accounts, insbesondere:

• Vor- und Nachname
• dienstliche E-Mail-Adresse
• Organisation/Arbeitgeber

Nutzungs-Logs

Wir protokollieren grundlegende Aktivitäten zur Sicherstellung des Systembetriebs und zur Missbrauchsprävention (z. B. Zeitpunkt des letzten Logins, Passwortänderungen sowie technisch bedingte Fehlerprotokolle).

Cookies & Local Storage

Wir nutzen ausschließlich technisch notwendige Sitzungs-Cookies und Local Storage zur Verwaltung Ihres Logins und zur Systemsicherheit. Ein Tracking zu Marketingzwecken findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.3 Fachinhalte und Audit-Prozesse (Auftragsverarbeitung)

Inhalte, die Sie in Workspaces hochladen oder erfassen (z. B. Dokumente, Audio-Streams, Audit-Antworten), verarbeitet Xpolicy als Auftragsverarbeiter gemäß Art. 28 DSGVO im Auftrag Ihres Administrators (z. B. Auditor oder Arbeitgeber).

Sichtbarkeit

Xpolicy ist eine kollaborative Plattform. Ihre Eingaben und Dokumente sind für andere autorisierte Nutzer innerhalb desselben Workspaces (z. B. Auditoren, Berater) gemäß deren Rollenrechten einsehbar.

Verantwortung

Die rechtliche Entscheidungsgewalt über diese Inhalte liegt beim Auftraggeber.

Rechtsgrundlage für die Bereitstellung der Plattform ist Art. 6 Abs. 1 lit. b DSGVO; für die Verarbeitung im Auftrag gilt Art. 28 DSGVO.

Unsere Software nutzt KI-Modelle zur Analyse und Spracherkennung.

• Sicherheit: Verarbeitung ausschließlich innerhalb unserer verschlüsselten Azure-Infrastruktur in der Region West Europe.
• Kein Training durch Infrastruktur-Provider: Ihre Daten (Texte, Dokumente, Audio-Streams) werden nicht dazu verwendet, um Basis-Modelle von Drittanbietern (z. B. Microsoft oder OpenAI) zu trainieren oder zu verbessern.
• Zweckbindung: Verarbeitung ausschließlich zur Bereitstellung und Optimierung der Funktionen innerhalb der Xpolicy Software.
• Transparenz: Audio-Daten für Realtime-Speech-Modelle werden im Arbeitsspeicher verarbeitet und nach der Transkription nicht dauerhaft durch den KI-Dienst gespeichert.

Wir nutzen für das Hosting die Infrastruktur von Microsoft Azure.

• Speicherort: Region West Europe (Niederlande).
• Verschlüsselung: Daten werden „At Rest“ (AES-256) und „In Transit“ (TLS 1.2+) verschlüsselt.
• Drittstaaten: Microsoft ist ein US-Anbieter. Wir haben EU-Standardvertragsklauseln abgeschlossen, um ein angemessenes Datenschutzniveau zu gewährleisten. Ein theoretischer Zugriff durch US-Behörden (CLOUD Act) kann nicht vollständig ausgeschlossen werden.

Eine Weitergabe Ihrer Daten an Dritte erfolgt nur:

• an von uns beauftragte Subunternehmer (z. B. Hosting-Provider), die vertraglich zur Vertraulichkeit verpflichtet sind,
• aufgrund gesetzlicher Verpflichtungen.

• Nutzerdaten: Werden gelöscht, sobald der Nutzer-Account dauerhaft deaktiviert wird und keine gesetzlichen Aufbewahrungspflichten bestehen.
• Inhaltsdaten: Werden nach Beendigung des Vertrages mit dem Auftraggeber gemäß den Fristen im Data Act Addendum gelöscht (i. d. R. 30 Tage nach Ende des Abrufzeitraums).

Sie haben gegenüber uns folgende Rechte:

• Auskunft (Art. 15 DSGVO): Welche Daten haben wir über Sie?
• Berichtigung (Art. 16 DSGVO): Korrektur falscher Daten.
• Löschung (Art. 17 DSGVO): Entfernung Ihrer Daten.
• Widerspruch (Art. 21 DSGVO): Gegen Verarbeitungen aus berechtigtem Interesse.

Bitte wenden Sie sich hierfür an: datenschutz@xpolicy.de. Da wir häufig als Auftragsverarbeiter tätig sind, werden wir Anfragen ggf. an Ihren Administrator weiterleiten.

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer Daten durch uns zu beschweren.