PolyFlow EHS

Datensicherheit

Datensicherheit für IT und Datenschutz.

Alles, was Ihre IT-Abteilung und Datenschutzbeauftragten für eine Freigabe brauchen: Hosting, Unterauftragsverarbeiter, TOM, KI-Verarbeitung und AVV, transparent und nachvollziehbar.

AVV anfordern

Dokumente für Ihre interne Freigabe

Auftragsverarbeitungsvertrag (AVV)

Art. 28 DSGVO, auf Anfrage als PDF

Öffnen

Datenschutzerklärung

Vollständige Transparenz zu Verarbeitung, Rechten und Sub-Prozessoren

Öffnen

Wo liegen Ihre Daten?

Kundendaten werden in der EU gespeichert. Wir formulieren bewusst präzise, statt mit pauschalem „100 % EU“, damit Ihre IT intern sauber argumentieren kann.

Kundendatenbank

Supabase, Region Frankfurt (eu-central-1). Mandantentrennung und Row Level Security auf Datenbankebene.

Web-Anwendung

Auslieferung über Vercel Inc. (USA). Übermittlung nur soweit technisch erforderlich, abgesichert durch EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO.

Workflow-Automatisierung

n8n Cloud (n8n GmbH, Deutschland), EU-Hosting Frankfurt. Für Onboarding-Bereitstellung und Integrationsprozesse; DPA mit n8n inkl. SCC.

KI-Funktionen (optional)

Google Cloud Vertex AI mit EU-Datenresidenz, nur wenn Voice Mode oder Foto-KI aktiv genutzt werden. Keine Verarbeitung über unkontrollierte Global-Endpunkte.

Transport

Verschlüsselte Übertragung (TLS/HTTPS) für alle Verbindungen.

Unterauftragsverarbeiter

Transparente Liste der wesentlichen Dienstleister gemäß Art. 28 Abs. 3 DSGVO.

AnbieterZweckStandortDrittland
Supabase Inc.Datenbank, Authentifizierung, MandantendatenEU (Frankfurt / eu-central-1)Keine Drittlandübermittlung der Plattformdaten
Vercel Inc.Hosting und Auslieferung der WebanwendungGlobal CDN, Vertragspartner USASCC gemäß Art. 46 DSGVO
n8n GmbH (n8n Cloud)Workflow-Automatisierung (z. B. Onboarding-Bereitstellung, Integrationsprozesse)EU (Frankfurt, Microsoft Azure Germany West Central)DPA mit n8n inkl. SCC; eigene Sub-Prozessoren von n8n
Google Ireland LimitedVertex AI / Gemini, ggf. Speech-to-Text (Voice Mode, Foto-KI, optional)EU-Rechenzentren (konfigurierte EU-Datenresidenz)Google Cloud DPA inkl. SCC

Technische und organisatorische Maßnahmen (TOM)

Gemäß Art. 32 DSGVO setzen wir ein dem Risiko angemessenes Schutzniveau um. Auszug der wesentlichen Maßnahmen:

  • Verschlüsselte Datenübertragung (TLS/HTTPS)
  • Rollen- und mandantenbezogene Zugriffskontrollen
  • Row Level Security (RLS) auf Datenbankebene
  • Audit Trails für sicherheits- und compliance-relevante EHS-Vorgänge
  • Datenminimierung bei KI-Verarbeitung (nur erforderliche Inhalte)
  • Vertraulichkeitsverpflichtungen für Mitarbeiter und Dienstleister
  • Regelmäßige Überprüfung und Weiterentwicklung der Sicherheitsmaßnahmen
  • Verarbeitung ausschließlich nach Weisung des Kunden (Art. 28 DSGVO)

Keine Leistungskontrolle

PolyFlow EHS fokussiert sich rein auf Anlagen- und Arbeitssicherheit. Es findet explizit keine Leistungskontrolle oder Zeiterfassung statt. So bleibt der Einsatz auf Arbeitsschutz-Themen beschränkt.

Export, Löschung und Vertragsende

  • Exportierbare Daten jederzeit, ohne Vendor Lock-in
  • Plattformdaten: Löschung oder Rückgabe nach Vertragsende gemäß AVV
  • Testphase: Onboarding-Daten werden nach Beendigung der Testphase gemäß Vereinbarung gelöscht
  • Vertrags- und Abrechnungsdaten: Aufbewahrung gemäß handels- und steuerrechtlichen Fristen

Im Falle einer Verletzung des Schutzes personenbezogener Daten unterstützen wir den Kunden als Auftragsverarbeiter bei der Erfüllung der Meldepflichten gemäß Art. 33 und 34 DSGVO, soweit uns die Panne betrifft. Details sind in der AVV geregelt.

KI-Datenschutz auf einen Blick

Voice Mode und Foto-KI sind optionale Funktionen. Sie können PolyFlow EHS vollständig manuell nutzen.

Abschaltbar

Voice Mode und Foto-KI können pro Mandant deaktiviert werden. Meldungen lassen sich jederzeit manuell erfassen.

EU-Verarbeitung

KI läuft über Google Cloud Vertex AI mit EU-Datenresidenz. Kein Training öffentlicher Google-Modelle mit Kundendaten.

Zweckbindung

KI unterstützt ausschließlich die EHS-Dokumentation. Keine Leistungskontrolle, keine verdeckte Personalbewertung.

Keine automatisierten Entscheidungen

Keine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO. Fachliche Verantwortung verbleibt beim Kunden.

Speicherdauer

Sprach- und Texteingaben werden nur so lange verarbeitet, wie für die Erstellung der EHS-Meldung erforderlich. Temporäre Verarbeitungsdaten werden nach Zweckerfüllung gelöscht.

Besondere Datenkategorien

Können Gesundheitshinweise in Meldungen vorkommen (Art. 9 DSGVO), prüft der Kunde als Verantwortlicher die Rechtsgrundlage. Wir verarbeiten zweckgebunden und minimal.