Datenschutzerklärung
1. Wer wir sind
Galactic Automation BV, Wijnhuizestraat 44, 9620 Zottegem, Belgien, Unternehmensnummer (KBO/BCE) 0768.244.354 („Sceau Risk", „wir"), ist für die hier beschriebenen Verarbeitungen verantwortlich. Datenschutzkontakt: privacy@sceau.eu.
2. Zwei Rollen, klar getrennt
- Als Verantwortlicher — für diese Website, für Vertriebs- und Demokontakte, für die Konten der Plattformnutzer sowie für Abrechnung und Support.
- Als Auftragsverarbeiter — für die Inhalte, die unsere Kunden in ihrem Sceau-Risk-Mandanten ablegen (Risikoregister, Bewertungen, Dokumente, Nachweise, Namen von Risikoeigentümern u. Ä.). Für diese Inhalte ist der Kunde Verantwortlicher; wir handeln ausschließlich nach dessen dokumentierten Weisungen gemäß dem Auftragsverarbeitungsvertrag (AVV), der Bestandteil jedes Abonnements ist. Betroffenenanfragen zu Mandanteninhalten richten Sie bitte an den jeweiligen Kunden; wir unterstützen diesen gemäß Art. 28 DSGVO.
3. Was wir als Verantwortlicher verarbeiten, wozu und auf welcher Grundlage
| Kontext | Daten | Zweck | Grundlage (DSGVO) | Speicherdauer |
|---|---|---|---|---|
| Websitebesuch | Gekürzte IP-Adresse, aufgerufene Seite, Zeitstempel, User Agent (Serverlogs) | Bereitstellung der Seite, Sicherheit, Missbrauchsabwehr | Art. 6 Abs. 1 lit. f — berechtigtes Interesse | Logs: max. 30 Tage |
| Demo / Kontakt per E-Mail | Name, E-Mail, Organisation, Nachrichteninhalt | Beantwortung Ihrer Anfrage, Terminierung einer Demo | Art. 6 Abs. 1 lit. b — vorvertragliche Maßnahmen auf Ihre Anfrage | 24 Monate nach letztem Kontakt |
| Plattformkonto | Name, geschäftliche E-Mail, Rolle, Authentifizierungsdaten, Berechtigungen, Anmeldeereignisse | Zugangsgewährung, rollenbasierte Rechte, Sicherheit | Art. 6 Abs. 1 lit. b — Vertragserfüllung | Laufzeit + 30 Tage |
| Auditkette | Nutzerkennung und Zeitstempel zu Handlungen in der Plattform (Genehmigungen, Unterschriften, Regelausführungen) | Das manipulationssichere Protokoll, das den Kern des Dienstes bildet | Art. 6 Abs. 1 lit. b und f | Laufzeit; bei Beendigung an den Kunden exportiert und gelöscht |
| Abrechnung | Rechnungsdaten, USt-IdNr., Zahlungsdaten | Rechnungsstellung und Buchhaltung | Art. 6 Abs. 1 lit. c — rechtliche Verpflichtung | 7 Jahre (gesetzlich) |
| Support | Korrespondenz, von Ihnen bereitgestellter Diagnosekontext | Lösung Ihres Anliegens | Art. 6 Abs. 1 lit. b | 24 Monate nach Abschluss |
Wir verwenden keine Tracking-Cookies, Werbe-IDs, Verhaltensanalysen oder Marketing-Pixel Dritter — weder auf dieser Website noch im Produkt. Die kurze, vollständige Liste finden Sie in der Cookie-Richtlinie (EN).
4. KI-Funktionen
Der optionale Copilot „Fragen Sie Sceau" verarbeitet die eingegebene Frage und die zur Beantwortung nötigen Mandantendaten. Eingaben und Antworten werden im Mandanten des Kunden protokolliert. Mandanteninhalte werden nicht zum Training von Modellen verwendet; der Copilot lässt sich je Mandant deaktivieren. Konfiguriert ein Kunde einen externen Modellanbieter, wird dieser vor Aktivierung in der AVV-Anlage der Unterauftragsverarbeiter aufgeführt.
5. Empfänger und Auftragsverarbeiter
- Google Cloud EMEA Limited (Irland) — Hosting in Google Clouds belgischer Region (europe-west1, Saint-Ghislain), mit auf die EU beschränkter Datenresidenz.
- Hetzner Online GmbH (Deutschland) / Hetzner Finland Oy — EU-eigene Infrastruktur für souveräne Single-Tenant-Implementierungen (Enterprise).
- Ein EU-ansässiger Anbieter für Transaktions-E-Mails — Versand von Konto- und Benachrichtigungs-E-Mails.
- Unser Buchhalter sowie, soweit gesetzlich erforderlich, belgische Behörden.
Die aktuelle vollständige Liste der Auftragsverarbeiter ist über privacy@sceau.eu erhältlich und Bestandteil der AVV-Anlage. Wir verkaufen niemals personenbezogene Daten.
6. Übermittlungen außerhalb des EWR
Die gesamte Produktionsverarbeitung findet im Europäischen Wirtschaftsraum statt. Wir übermitteln keine personenbezogenen Daten in Drittländer. Die oberste Muttergesellschaft unseres Standard-Infrastrukturanbieters hat ihren Sitz in den USA; unser Vertrag besteht mit deren EU-Gesellschaft zu DSGVO-Bedingungen mit EU-Datenresidenz, und jede etwaige Nebenübermittlung wäre durch Garantien nach Kapitel V (SCC / EU-US-DPF) gedeckt. Sollte sich das für eine bestimmte optionale Funktion je ändern, geschieht dies nur mit geeigneten Garantien nach Kapitel V DSGVO und vorheriger Ankündigung in der AVV-Anlage.
7. Sicherheit
Maßnahmen umfassen u. a.: Mandantenisolation über PostgreSQL Row-Level Security (fail-closed), rollenbasierte Zugriffe mit Funktionstrennung, Verschlüsselung bei Übertragung (TLS) und im Ruhezustand, gehärtete EU-Infrastruktur, internes Least-Privilege, Protokollierung auf einer manipulationssicheren Hashkette sowie getestete Sicherungs- und Wiederherstellungsverfahren.
8. Ihre Rechte
Nach der DSGVO haben Sie Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen. Schreiben Sie an privacy@sceau.eu; wir antworten binnen eines Monats. Beruht eine Verarbeitung auf Einwilligung, können Sie diese jederzeit widerrufen.
Sie können zudem Beschwerde bei der belgischen Datenschutzbehörde einlegen: Gegevensbeschermingsautoriteit / Autorité de protection des données, Rue de la Presse 35, 1000 Brüssel — oder bei der Aufsichtsbehörde Ihres gewöhnlichen Aufenthalts.
9. Automatisierte Entscheidungen
Wir unterwerfen Sie keinen ausschließlich automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung. Plattformausgaben (Scores, Prognosen, Empfehlungen) sind Entscheidungsunterstützung für geschulte Nutzer unserer Kunden, mit Offenlegung der zugrunde liegenden Faktoren.
10. Minderjährige
Website und Dienst richten sich an professionelle Organisationen und sind nicht für Minderjährige bestimmt.
11. Änderungen
Wesentliche Änderungen veröffentlichen wir hier mit neuer Versionsnummer und Gültigkeitsdatum; Kunden informieren wir über die Plattform, wenn der Dienst betroffen ist.