Datenschutzerklärung
Zuletzt aktualisiert: 20. Mai 2026
Einleitung
VantarGroup LLC ("Matproof", "wir", "uns" oder "unser") respektiert Ihre Privatsphäre und verpflichtet sich zum Schutz Ihrer personenbezogenen Daten. Diese Datenschutzerklärung erläutert, wie wir Ihre Daten erheben, verwenden, offenlegen und schützen, wenn Sie unsere Website besuchen oder unsere Compliance-Automatisierungsplattform nutzen.
ℹ️ Wichtiger Hinweis
Matproof stellt Compliance-Automatisierungssoftware bereit und erbringt KEINE Rechtsberatung, Steuerberatung oder regulatorische Beratungsdienstleistungen. Nichts in dieser Datenschutzerklärung oder unserem Service sollte als Rechtsberatung ausgelegt werden. Sie sollten qualifizierte Rechts- und Compliance-Fachleute zu Ihren spezifischen Datenschutzverpflichtungen konsultieren.
Daten, die wir erheben
Wir erheben Informationen, die Sie uns direkt zur Verfügung stellen, einschließlich:
- Kontoinformationen (Name, E-Mail-Adresse, Firmenname)
- Zahlungsinformationen (sicher verarbeitet durch unseren Zahlungsdienstleister)
- Kommunikation mit uns (Support-Anfragen, Feedback)
- Compliance-Daten, die Sie auf unsere Plattform hochladen (Richtlinien, Nachweise, Kontrollen)
Wie wir Ihre Daten verwenden
Wir verwenden die erhobenen Daten, um:
- Unsere Compliance-Plattform bereitzustellen und zu warten
- Ihre Transaktionen zu verarbeiten und Ihr Konto zu verwalten
- Ihnen technische Hinweise und Support-Nachrichten zu senden
- Auf Ihre Kommentare, Fragen und Kundendienstanfragen zu antworten
- Nutzungsmuster zu analysieren, um unsere Dienste zu verbessern (in aggregierter, anonymisierter Form)
- Marketing-Kommunikation zu senden (mit Ihrer Einwilligung, wo erforderlich)
Datenspeicherung und Sicherheit
Persistente Kundendaten werden in EU-Rechenzentren gespeichert. Drittlandtransfers über bestimmte Subprocessoren (insbesondere KI-Inferenz, Zahlungsabwicklung und Kommunikation, siehe vollständige Subprocessor-Tabelle weiter unten) sind über EU-Standardvertragsklauseln (SCC 2021/914) gemäß Art. 46 DSGVO sowie zusätzliche technische und organisatorische Schutzmaßnahmen abgesichert. Wir implementieren angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten gegen unbefugte oder unrechtmäßige Verarbeitung, versehentlichen Verlust, Zerstörung oder Beschädigung. Diese Maßnahmen umfassen Verschlüsselung im Ruhezustand und bei der Übertragung (AES-256, TLS 1.3), Zugriffskontrollen (MFA, RBAC) und regelmäßige Sicherheitsbewertungen.
Ihre Rechte nach DSGVO
Als betroffene Person in der Europäischen Union haben Sie folgende Rechte:
- Auskunftsrecht: Sie können eine Kopie Ihrer personenbezogenen Daten anfordern
- Recht auf Berichtigung: Sie können die Korrektur unrichtiger Daten verlangen
- Recht auf Löschung: Sie können die Löschung Ihrer personenbezogenen Daten verlangen
- Recht auf Datenübertragbarkeit: Sie können Ihre Daten in einem maschinenlesbaren Format anfordern
- Widerspruchsrecht: Sie können der Verarbeitung Ihrer personenbezogenen Daten widersprechen
- Recht auf Widerruf der Einwilligung: Sie können Ihre Einwilligung jederzeit widerrufen, wenn wir uns auf die Einwilligung zur Verarbeitung Ihrer Daten stützen
Rechtsgrundlagen der Verarbeitung
Wir verarbeiten Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen gemäß Art. 6 DSGVO:
- Vertragserfüllung (Art. 6(1)(b)): Verarbeitung, die erforderlich ist, um unsere Dienste bereitzustellen, wenn Sie sich registrieren oder eine Demo anfragen.
- Berechtigte Interessen (Art. 6(1)(f)): Analyse zur Verbesserung unserer Website und Dienste, soweit unsere Interessen Ihre Rechte nicht überwiegen.
- Einwilligung (Art. 6(1)(a)): Marketing-Kommunikation und Kontaktformular-Einsendungen, wo Sie ausdrücklich eingewilligt haben.
Aufbewahrungsfristen
Wir speichern personenbezogene Daten nur so lange, wie es für die in dieser Erklärung beschriebenen Zwecke erforderlich ist. Konkret: Kontaktformular-Anfragen werden 24 Monate aufbewahrt. Konto- und auf die Plattform hochgeladene Compliance-Daten werden für die Dauer des Vertragsverhältnisses gespeichert; nach Kündigung beginnt ein 30-tägiger Grace-Zeitraum, in dem der Datenbestand exportiert werden kann (Recht auf Datenübertragbarkeit), danach erfolgt automatische Hard-Deletion. Analysedaten sind aggregiert/anonymisiert und werden bis zu 26 Monate gespeichert. Längere Aufbewahrung erfolgt ausschließlich, soweit gesetzliche Vorgaben (z. B. § 257 HGB für rechnungsbezogene Daten, 10 Jahre) dies erfordern. Sie können Löschung jederzeit beantragen.
Cookies und Analyse
Auf matproof.com (Marketing-Site) setzen wir Umami Analytics für aggregierte, cookie-freie Reichweitenmessung und – nur nach Ihrer ausdrücklichen Einwilligung über unser Cookie-Banner – Google Ads zur Conversion-Messung. Beide Werkzeuge werden ausschließlich nach Erteilung der Einwilligung geladen (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO). In der eingeloggten Plattform app.matproof.com nutzen wir PostHog für Produkt-Analytik (EU-Cloud Frankfurt, ebenfalls einwilligungsbasiert). Sie können Ihre Einwilligung jederzeit über das Banner oder durch Löschen des Browser-Storages widerrufen. Details siehe Cookie-Richtlinie.
Auftragsverarbeiter (Subprocessoren)
Wir setzen die folgenden Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Die Spalte „Plattform-Bereich“ macht transparent, welche Anbieter ausschließlich auf der öffentlichen Website (matproof.com), welche in der eingeloggten Plattform (app.matproof.com) und welche in beiden Bereichen eingesetzt werden. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge. Für Anbieter mit Sitz oder Datenverarbeitung außerhalb der EU (insbesondere USA, Großbritannien) sind zusätzlich EU-Standardvertragsklauseln (SCC 2021/914) gemäß Art. 46 DSGVO sowie ergänzende technische und organisatorische Schutzmaßnahmen vereinbart. Hinweis: Daten aus Webformularen (Kontakt, Tool-Anfragen, Assessments) werden zusätzlich in unsere selbst gehostete Twenty-CRM-Instanz (betrieben auf eigener Hetzner-Infrastruktur in Deutschland, erreichbar unter crm.klyntos.com) zur Anfragen-Nachverfolgung übertragen. Es handelt sich nicht um einen externen Subprocessor, sondern um ein internes Werkzeug auf bereits oben gelisteter Hetzner-Infrastruktur.
| Anbieter | Sitz / Rechtsträger | Verarbeitungsregion | Plattform-Bereich | Zweck | Datenkategorien | Rechtsgrundlage |
|---|---|---|---|---|---|---|
| Hetzner Online GmbH | Gunzenhausen, Deutschland | Falkenstein und Nürnberg, DE | Beide | Anwendungs-Hosting, Compute, Cron-Jobs, selbst-gehostete Hilfssysteme (inkl. interner Vertriebs-CRM) | Sessions, Anwendungslogs, alle vom System verarbeiteten Daten im Transit | Art. 28 DSGVO |
| Neon, Inc. | Delaware, USA | AWS eu-central-1 (Frankfurt, DE) | App (eingeloggt) | PostgreSQL-Datenbank-Hosting | sämtliche persistenten Kundendaten (Konten, Compliance-Dokumente, Audit-Trails) | Art. 28 DSGVO + EU-SCC 2021/914 (Modul 3) |
| Amazon Web Services EMEA SARL | Luxemburg (Konzern: AWS Inc., USA) | eu-central-1 (Frankfurt, DE) | App (eingeloggt) | Datei-Speicherung (S3), AWS Security Hub | Datei-Uploads, Backups, sicherheitsrelevante Logs | Art. 28 DSGVO + AWS GDPR DPA + SCC |
| Upstash, Inc. | Delaware, USA | EU-Region (Frankfurt) | App (eingeloggt) | Redis-Cache, Vector-Search für KI-Funktionen | Session-Tokens, Rate-Limit-Counter, Embedding-Vektoren | Art. 28 DSGVO + SCC |
| Stripe Payments Europe, Ltd. | Dublin, Irland (Konzern: Stripe, Inc., USA) | EU mit globalem Failover | App (eingeloggt) | Zahlungsabwicklung, Abonnement-Verwaltung | Name, E-Mail, Rechnungsadresse, Zahlungsmittel (tokenisiert) | Art. 28 DSGVO + Stripe DPA + SCC |
| Resend, Inc. | Delaware, USA | Multi-Region mit EU-Routing | Beide | Transaktionale + Marketing-E-Mails (Bestätigungen, Newsletter, Nurture) | E-Mail-Adressen, Mail-Inhalte | Art. 28 DSGVO + SCC |
| Trigger.dev Ltd. | London, Vereinigtes Königreich | UK | App (eingeloggt) | Asynchrone Job-Verarbeitung (z. B. KI-Lange-Tasks, Reports) | Job-Payloads (können personenbezogene Daten enthalten) | Art. 28 DSGVO + UK-Angemessenheitsbeschluss der EU-Kommission |
| OpenAI Ireland Ltd. | Dublin, Irland (Konzern: OpenAI, Inc., USA) | EU-Datenresidenz (sofern verfügbar), sonst US-Region | App (eingeloggt) | LLM-Inferenz für Compliance-Funktionen (z. B. Richtliniengenerator, KI-Assistent) | Anfrageinhalte (in der Regel nicht-personenbezogene Compliance-Texte) | Art. 28 DSGVO + SCC; keine Modelltraining-Nutzung (Zero-Data-Retention beantragt) |
| Anthropic, PBC | San Francisco, USA | USA (Anthropic API-Region) | App (eingeloggt) | LLM-Inferenz für Compliance- und Sicherheits-Funktionen (KI-Assistent, Sentinel-Pentest-Agenten) | Anfrageinhalte (Compliance-Texte; bei Sentinel: Kunden-Quellcode auf Kundenwunsch) | Art. 28 DSGVO + SCC; keine Modelltraining-Nutzung (Zero-Data-Retention beantragt) |
| Functional Software, Inc. (Sentry) | San Francisco, USA | EU-Datenresidenz (Frankfurt) | Beide | Fehler- und Performance-Monitoring | Fehler-Stacktraces, IP-Adressen, User-IDs, Browser-Metadaten | Art. 28 DSGVO + SCC |
| PostHog, Inc. | San Francisco, USA | EU-Cloud (Frankfurt) | App (eingeloggt) | Produkt-Analytik in der App (eingeloggte Nutzer), Feature-Nutzungsmessung | Geräte-/Browser-Daten, Session-IDs, Klickpfade (pseudonymisiert) | Art. 28 DSGVO + SCC + Einwilligung gemäß § 25 TDDDG |
| Umami Software, Inc. | USA | USA (Umami Cloud) | Marketing-Site | Anonyme Website-Analytik (matproof.com Marketing-Site, eingewilligt) | Aggregierte Seitenaufrufe, Referrer, User-Agent (keine Cookies, IP wird nicht persistiert) | Einwilligung Art. 6 (1) a DSGVO + § 25 TDDDG (nur nach Cookie-Banner-Zustimmung) |
| Google Ireland Ltd. (Google Ads + GTM) | Dublin, Irland (Konzern: Alphabet Inc., USA) | EU + USA | Marketing-Site | Conversion-Messung für Werbeanzeigen (Google Ads); Tag-Management (nur nach Einwilligung geladen) | Klick-IDs, IP-Adresse, URL-Pfad, Conversion-Events (mit aktivem ads_data_redaction) | Einwilligung Art. 6 (1) a DSGVO + § 25 TDDDG + Google Consent Mode v2 + SCC |
| lempire SAS (lemlist) | Paris, Frankreich | EU (Frankreich) mit AWS-Subprozessor | Marketing-Site | Besucher-Attribution für Outbound-E-Mail-Kampagnen (matproof.com Marketing-Site, eingewilligt) – verknüpft Website-Besuche mit lemlist-Kampagnen-Empfängern | Besucher-ID-Cookie, IP-Adresse, User-Agent, Seitenpfade, UTM/Kampagnen-Token | Einwilligung Art. 6 (1) a DSGVO + § 25 TDDDG (nur nach Cookie-Banner-Zustimmung) + SCC |
| Google Ireland Ltd. (OAuth Login) | Dublin, Irland (Konzern: Alphabet Inc., USA) | EU + USA | App (eingeloggt) | Google-Login (OAuth, optional pro Kunde) | E-Mail, Name, Profilbild (nur bei aktiver Login-Auswahl) | Einwilligung Art. 6 (1) a DSGVO + SCC |
| Cloudflare, Inc. | San Francisco, USA | Multi-Region Edge (EU-Routing bevorzugt) | Beide | DNS, CDN, DDoS-Schutz, WAF, E-Mail-Routing | IP-Adressen, HTTP-Request-Metadaten, TLS-Handshake-Daten | Art. 28 DSGVO + Cloudflare DPA + SCC |
| Dub, Inc. | Delaware, USA | USA | App (eingeloggt) | Partner-/Empfehlungsprogramm (Klick-Attribution, Sale-Attribution für 6-Monats-Provisionen) | Klick-IDs, E-Mail-Adresse, Stripe-Customer-ID, UTM-Parameter | Art. 28 DSGVO + SCC |
| Novu, Inc. | Delaware, USA | USA | App (eingeloggt) | In-App- und E-Mail-Notification-Orchestrierung | User-IDs, E-Mail-Adressen, Notification-Payloads (Compliance-Events) | Art. 28 DSGVO + SCC |
| Vercel, Inc. | San Francisco, USA | Multi-Region (EU bevorzugt) | App (eingeloggt) | Hosting von kundeneigenen Trust-Portal-Subdomains; Sandbox-Ausführung; Web-Analytics für Trust Portal | HTTP-Requests, Trust-Portal-Inhalte (vom Kunden veröffentlicht) | Art. 28 DSGVO + Vercel DPA + SCC |
| GitHub, Inc. | San Francisco, USA (Konzern: Microsoft Corp.) | USA | App (eingeloggt) | Sentinel-Penetrationstest: optionaler Zugriff auf Kunden-Quellcode-Repositories via Matproof-Sentinel GitHub App | Repository-Inhalte (Quellcode), Issue-Postings (Findings) | Art. 28 DSGVO + SCC; nur bei aktiver Kunden-Installation der GitHub App |
| Firecrawl, Inc. | San Francisco, USA | USA | App (eingeloggt) | Webseiten-Scraping zur Vendor-Recherche (TPRM, DORA Art. 28 Register) | öffentlich zugängliche URLs der vom Kunden gepflegten Lieferanten (keine personenbezogenen Daten) | Berechtigtes Interesse Art. 6 (1) f DSGVO |
| Logokit, Inc. (logo.dev) | USA | USA / CDN-Edge | App (eingeloggt) | Logo- und Favicon-API für Vendor-Darstellung | Domain-Strings (keine personenbezogenen Daten) | Berechtigtes Interesse Art. 6 (1) f DSGVO |
| NIST National Vulnerability Database | Bundesbehörde, USA | USA | App (eingeloggt) | Abfrage öffentlicher CVE-Daten für Schwachstellen-Monitoring | keine personenbezogenen Daten (nur CVE-IDs und Versionsstrings) | Öffentliche Quelle |
Stand der Liste: 20. Mai 2026. Änderungen kündigen wir bestehenden Kunden mindestens 30 Tage im Voraus an.
Internationale Datenübermittlungen (Drittlandtransfers)
Wo wir Subprocessoren mit Sitz oder Datenverarbeitung außerhalb der EU/des EWR einsetzen (insbesondere USA, Großbritannien, sowie EU-Töchter US-amerikanischer Konzerne), stützen wir die Übermittlung auf folgende Garantien gemäß Art. 44 ff. DSGVO: (1) für UK: EU-Angemessenheitsbeschluss vom 28. Juni 2021; (2) für USA und sonstige Drittländer: EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914, Modul 2 bzw. 3, je nach Konstellation); (3) ergänzende technische und organisatorische Maßnahmen einschließlich Verschlüsselung, Pseudonymisierung wo möglich, Zero-Data-Retention-Vereinbarungen bei KI-Anbietern und vertraglicher Beschränkung des Zwecks. Wir führen ein internes Transfer-Impact-Assessment (TIA) für jeden Drittland-Subprocessor.
Kontakt & Datenschutz
Bei Fragen zu dieser Datenschutzerklärung, zur Ausübung Ihrer Betroffenenrechte oder zur Kontaktaufnahme mit unserem Datenschutzansprechpartner schreiben Sie bitte an:
VantarGroup LLC
Datenschutzansprechpartner
Email: privacy@matproof.com
30 N Gould St Ste R, Sheridan, WY 82801, USA
Sie haben zudem das Recht, eine Beschwerde bei Ihrer zuständigen Aufsichtsbehörde einzureichen. In Deutschland: Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Berlin.