Datenschutzerklärung

1. Einleitung

Compass ist eine Plattform für politische Intelligence, betrieben von CL Corporate Affairs Consulting E.I. (nachfolgend “CL” oder “CL Corporate Affairs Consulting”, in diesem Dokument gleichbedeutend verwendet), mit Sitz in 1 avenue de l’Observatoire, 75006 Paris, Frankreich (VAT: FR58902992189) und einer Repräsentanz in Avenue de Tervueren 103, B-1040 Brüssel, Belgien. Diese Datenschutzerklärung erläutert, wie wir personenbezogene Daten innerhalb der Compass-Plattform erheben, verwenden und schützen, in Übereinstimmung mit der Verordnung (EU) 2016/679 (der “DSGVO”) und dem französischen Loi Informatique et Libertés.

Compass wird von einer aktiv tätigen Public-Affairs-Beratung entwickelt und betrieben und kann Berufskollegen, internen Public-Affairs-Teams, Branchenverbänden, NGOs und anderen Organisationen zur Verfügung gestellt werden, deren Tätigkeit sich mit unserem eigenen Praxisfeld überschneidet. Dieser besondere Kontext prägt die Art und Weise, wie wir die Plattform gestaltet haben: Während CL als grundlegende berufliche Pflicht eine strikte Verpflichtung zur Ablehnung jeglichen Interessenkonflikts wahrt (siehe auch Abschnitt 3 der Nutzungsbedingungen), sind wir der Auffassung, dass diese vertragliche und ethische Verpflichtung durch technische und organisatorische Garantien ergänzt werden muss, die jedem Nutzer eine echte, nachweisbare Kontrolle über seine eigenen Daten geben. Die nachfolgenden Bestimmungen — insbesondere die optionale Ende-zu-Ende-Verschlüsselung (Abschnitt 10.1) und unsere bewusste KI-Richtlinie (Abschnitt 9) — sind der praktische Ausdruck dieser Überzeugung. Es handelt sich nicht um allgemeine Compliance-Erklärungen: Sie spiegeln eine Positionierungsentscheidung wider, die wir für untrennbar von der Art von Plattform halten, die eine Public-Affairs-Beratung ihren Berufskollegen verantwortungsvoll anbieten kann.

2. Verantwortlicher

CL Corporate Affairs Consulting E.I.
1 avenue de l’Observatoire, 75006 Paris, Frankreich
Avenue de Tervueren 103, B-1040 Brüssel, Belgien
Kontakt: cl.eu.com/contact

3. Rollen und Verantwortlichkeiten nach der DSGVO

Die Zuordnung der datenschutzrechtlichen Rollen innerhalb von Compass hängt vom konkreten Nutzungskontext ab und wird im Einzelfall gemäß den Artikeln 4 Abs. 7, 4 Abs. 8, 26 und 28 der DSGVO beurteilt. Maßgeblich ist, welche Partei über die Zwecke und wesentlichen Mittel jedes Verarbeitungsvorgangs entscheidet — nicht die vertragliche Bezeichnung allein.

Wenn CL Compass für die eigene Beratungstätigkeit nutzt, handelt CL Corporate Affairs Consulting als alleiniger Verantwortlicher für alle innerhalb der Plattform verarbeiteten Daten, einschließlich Referenzdaten, Stakeholder-Mapping, Positionsanalyse und Engagement-Aufzeichnungen.

Wenn ein Drittnutzer im Rahmen seiner eigenen Public-Affairs-Tätigkeiten auf Compass zugreift, werden die jeweiligen Rollen durch die Art des Auftrags und den Grad der Autonomie jeder Partei bestimmt:

• Wenn der Nutzer die Strategie festlegt, die Stakeholder auswählt, die zu erhebenden Daten bestimmt und die Ergebnisse kontrolliert, handelt der Nutzer als Verantwortlicher und CL Corporate Affairs Consulting als Auftragsverarbeiter (Art. 4 Abs. 8 DSGVO), der die technische Infrastruktur bereitstellt und Daten ausschließlich im Auftrag und nach den Weisungen des Nutzers verarbeitet.
• Wenn CL Corporate Affairs Consulting und der Nutzer die Ziele und wesentlichen Mittel der Verarbeitung gemeinsam festlegen (z. B. wenn CL Corporate Affairs Consulting die Mapping-Methodik konzipiert, Datenquellen auswählt und Scoring-Kriterien definiert, während der Nutzer die strategischen Ziele festlegt), können beide Parteien als gemeinsam Verantwortliche angesehen werden (Art. 26 DSGVO). In diesem Fall werden die jeweiligen Pflichten im Mandatsvertrag festgelegt.

In allen Fällen verpflichtet sich CL Corporate Affairs Consulting, geeignete technische und organisatorische Maßnahmen umzusetzen, um die Sicherheit und Vertraulichkeit personenbezogener Daten in Übereinstimmung mit der DSGVO zu gewährleisten. Soweit CL Corporate Affairs Consulting als Auftragsverarbeiter handelt, regeln die Nutzungsbedingungen der Plattform die Pflichten jeder Partei gemäß Art. 28 DSGVO.

3.1 Sonderfall — von CL konzipierte Analysemethoden

Die in Abschnitt 3 beschriebenen Rollen unterscheiden, wer was entscheidet innerhalb eines gegebenen Verarbeitungsvorgangs. In diesem Rahmen verdient eine Nuance, ausdrücklich genannt zu werden: Compass bindet eine Reihe von Analysemethoden ein, die von CL Corporate Affairs Consulting konzipiert wurden — insbesondere die auf Stakeholder angewandte Einflussgewichtung, das Dringlichkeits-Scoring, das zeitkritisches Engagement kennzeichnet, die Activate-Target-Erkennung, die prioritäre Kontakte hervorhebt, und die prädiktive Schätzung legislativer Zeitpläne, die aus früheren Verfahrensmustern abgeleitet wird. Der Nutzer steuert, wer der Plattform hinzugefügt wird, welche Daten eingegeben werden und welcher strategische Zweck verfolgt wird; CL ist der Urheber der Methodik, die diese vom Nutzer kontrollierten Daten in ein Scoring, ein Ranking oder eine Schätzung umwandelt.

Nach der DSGVO ist die Bestimmung der wesentlichen Mittel der Verarbeitung eines der Kriterien, das einen Verantwortlichen von einem Auftragsverarbeiter unterscheidet (Art. 4 Abs. 7 DSGVO; EDSA-Leitlinien 07/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters, ab Rn. 38). Da die in Compass eingebetteten Gewichtungs- und Ranking-Methoden prägen, wie die Daten eines Nutzers analysiert und dargestellt werden, erkennt CL Corporate Affairs Consulting an, dass es für diese spezifischen Analysevorgänge einen Teil der Verantwortung für die methodische Gestaltung behält — neben dem Nutzer, der für die zugrunde liegenden Daten, die Wahl der betroffenen Personen und den verfolgten strategischen Zweck Verantwortlicher bleibt. Dies steht im Einklang mit der Rechtsprechung des Gerichtshofs der EU, der entschieden hat, dass eine gemeinsame Verantwortlichkeit für bestimmte Phasen eines Verarbeitungsvorgangs entstehen kann (Urteile C-210/16 Wirtschaftsakademie und C-40/17 Fashion ID).

Konkret steht es dem Nutzer frei, einem Scoring zu widersprechen, es manuell zu überschreiben und Compass zu nutzen, ohne sich auf die vorgeschlagene Gewichtung zu stützen — Positionen und Einflusswerte können jederzeit von Hand gesetzt oder überschrieben werden. Die von CL konzipierte Scoring-Methodik beruht auf Gewichtungen und Einflussanalyse-Modalitäten, die aus der einschlägigen politikwissenschaftlichen Literatur abgeleitet sind. Was dem Nutzer gegeben wird, ist eine substanzielle Kontrolle über deren Ergebnis — jeder vorgeschlagene Wert ist sichtbar und kann von Hand angepasst oder überschrieben werden —, und CL steht für die von ihm konzipierte Methodik ein. Diese verbleibende methodische Verantwortung erstreckt sich nicht auf die gesamte Mapping-Arbeit des Nutzers: Für die eingegebenen Daten, die ausgewählten betroffenen Personen und den verfolgten Zweck bleibt der Nutzer der Verantwortliche.

4. Kategorien der verarbeiteten Daten

Compass verarbeitet drei unterschiedliche Kategorien personenbezogener Daten, jede mit ihrem eigenen Regime:

• Referenzdaten — institutionelle und organisatorische Informationen aus offiziellen, öffentlich zugänglichen Datenbanken der Europäischen Union (Europäisches Parlament, Rat der EU, Europäische Kommission, EU-Transparenzregister). Dazu gehören Namen, Funktionen, Mandate, Ausschussmitgliedschaften, Fraktionszugehörigkeiten, Staatsangehörigkeit und offizielle Kontaktdaten von Personen des öffentlichen Lebens, die in ihrer institutionellen Eigenschaft handeln. CL Corporate Affairs Consulting ist für die Erhebung und regelmäßige Aktualisierung dieser Daten verantwortlich.
• Stakeholder-Mapping- und Positionsdaten — öffentlich verfügbare Informationen, die vom Nutzer mit optionaler KI-Unterstützung zusammengetragen werden: öffentlich erklärte Positionen, veröffentlichte Stellungnahmen, Abstimmungen, Pressemitteilungen, öffentliche Social-Media-Beiträge (von Konten, die ausdrücklich vom Nutzer validiert wurden). Der Nutzer wählt die zu verfolgenden Stakeholder aus, validiert jede zugeordnete Position und bestimmt, wie diese Daten im Rahmen seiner beruflichen Tätigkeit verwendet werden.
• Interne Notizen und Engagement-Aufzeichnungen — Freitextinhalte, die ausschließlich vom Nutzer eingegeben werden: Besprechungsberichte, Telefonnotizen, Folgemaßnahmen, informelle Beobachtungen, persönliche Einschätzungen. Diese Inhalte werden allein vom Nutzer verfasst, sind nur für den Nutzer zugänglich, der sie erstellt hat, und werden von CL Corporate Affairs Consulting in keiner Weise eingesehen, moderiert, analysiert oder verwertet. Der Nutzer ist allein verantwortlich für den Inhalt, die Richtigkeit und die Rechtmäßigkeit dieser Notizen, ebenso wie für jede private berufliche Aufzeichnung.

Account-Daten des Nutzers (Name, E-Mail-Adresse, Unternehmen, ggf. Telefonnummer, gehashte Anmeldedaten) werden ebenfalls zum Zweck der Bereitstellung des Zugangs zur Plattform verarbeitet.

Browsing-Daten: Ein einziges Session-Cookie (HTTP-only, rein funktional, kein Tracking) wird für die Authentifizierung verwendet.

5. Rechtsgrundlage und Zwecke

Die Verarbeitung personenbezogener Daten innerhalb von Compass stützt sich auf folgende Rechtsgrundlagen:

• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Stakeholder-Mapping, Positions-Tracking und Engagement-Management sind anerkannte Kernfunktionen der Public-Affairs-Praxis. Das geltend gemachte berechtigte Interesse ist das des Verantwortlichen, der diese Tätigkeit ausübt, wie in Abschnitt 3 bestimmt — in erster Linie der Nutzer in Ausübung seines eigenen regulierten Public-Affairs-Berufs; und CL Corporate Affairs Consulting nur insoweit, als es selbst Verantwortlicher oder gemeinsam Verantwortlicher ist (eigene Beratungsnutzung sowie die von Abschnitt 3.1 erfasste methodische Gestaltung). Die verarbeiteten Daten beschränken sich auf Informationen, die öffentlich verfügbar oder für die berufliche Beziehung zwischen dem Nutzer und dem Stakeholder unmittelbar relevant sind.
• Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO): Account-Daten des Nutzers werden verarbeitet, um den Zugang zur Plattform bereitzustellen und die vereinbarte Leistung zu erbringen.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): soweit zutreffend, Einhaltung von Transparenzpflichten (EU-Transparenzregister, HATVP-Erklärungen nach französischem Recht).

6. Abwägung des berechtigten Interesses

Gemäß Art. 6 Abs. 1 lit. f der DSGVO wurde die Berufung auf das berechtigte Interesse als Rechtsgrundlage für die Verarbeitung von Stakeholder-Daten wie folgt beurteilt:

• Legitimität des Interesses: Die Beobachtung von Gesetzgebungsprozessen, das Mapping von Stakeholder-Positionen und das Management institutionellen Engagements sind rechtmäßige und etablierte berufliche Tätigkeiten im Bereich Public Affairs und institutioneller Interessenvertretung — Tätigkeiten, die ihrerseits durch Transparenzregelungen wie das EU-Transparenzregister geregelt sind. Sie dienen dem berechtigten Interesse des Verantwortlichen, der sie ausübt: in erster Linie der Nutzer in Ausübung seines eigenen Public-Affairs-Berufs, und CL Corporate Affairs Consulting nur insoweit, als es als Verantwortlicher oder gemeinsam Verantwortlicher im Sinne von Abschnitt 3 handelt (einschließlich der methodischen Gestaltung gemäß Abschnitt 3.1).
• Erforderlichkeit: Die Verarbeitung ist zur Erreichung dieser Ziele erforderlich. Zu verstehen, wer die relevanten Entscheidungsträger sind, welche Positionen sie vertreten und wie sich das legislative Kräfteverhältnis entwickelt, lässt sich nicht ohne die Verarbeitung personenbezogener Daten zu diesen Personen des öffentlichen Lebens erreichen.
• Interessenabwägung: Die verarbeiteten Daten betreffen ganz überwiegend Personen, die in ihrer offiziellen öffentlichen Eigenschaft handeln (gewählte Vertreter, hohe Beamte, registrierte Lobbyisten). Diese Personen haben hinsichtlich ihrer institutionellen Tätigkeiten, die ihrer Natur nach öffentlich sind, eine verminderte Privatsphärenerwartung. Die Daten stammen aus offiziellen institutionellen Datenbanken oder aus Äußerungen, die die betroffenen Personen selbst öffentlich gemacht haben. Die Verarbeitung umfasst kein Profiling zu kommerziellen Zwecken, zielt nicht darauf ab, privates Verhalten vorherzusagen, richtet sich nicht gegen schutzbedürftige Personen und beschränkt sich auf das, was für legitime Public-Affairs-Tätigkeiten erforderlich ist. Den betroffenen Personen bleibt jederzeit ihr Widerspruchsrecht nach Art. 21 DSGVO erhalten.

7. Öffentlich verfügbare Daten und besondere Kategorien

Ein erheblicher Teil der in Compass verarbeiteten personenbezogenen Daten betrifft Personen des öffentlichen Lebens, die in ihrer offiziellen Eigenschaft handeln (Mitglieder des Europäischen Parlaments, Kommissionsmitglieder, Bedienstete des Rates, registrierte Interessenvertreter). Diese Daten stammen aus offiziellen, öffentlich zugänglichen institutionellen Datenbanken:

• Website des Europäischen Parlaments, Legislative Observatory (OEIL) und das Verzeichnis EU Who is Who
• EU-Transparenzregister und LobbyFacts.eu
• Öffentliche Register des Rates der EU
• Organigramme und Pressebereich der Europäischen Kommission
• Öffentliche Social-Media-Konten (X/Twitter, LinkedIn) — nur Konten, die ausdrücklich vom Nutzer validiert wurden

Soweit die verarbeiteten Daten Informationen enthalten, die politische Meinungen im Sinne von Art. 9 Abs. 1 DSGVO offenbaren können (z. B. namentliche Abstimmungen, öffentlich erklärte Positionen zu Gesetzgebungsdossiers, Fraktionszugehörigkeit), ist eine solche Verarbeitung nach Art. 9 Abs. 2 lit. e DSGVO zulässig, da sie ausschließlich personenbezogene Daten betrifft, die die betroffene Person offensichtlich öffentlich gemacht hat — durch offizielle institutionelle Kanäle, parlamentarische Abstimmungen, öffentliche Äußerungen oder freiwillige Veröffentlichungen auf öffentlichen Social-Media-Konten. Diese Ausnahme wird strikt auf Daten angewandt, die bereits aufgrund eigener Handlungen der betroffenen Person in ihrer offiziellen Eigenschaft öffentlich zugänglich sind.

Zu unterscheiden ist zwischen diesen offensichtlich öffentlichen zugrunde liegenden Daten und der analytischen Haltungsbewertung, die ein Nutzer einem Stakeholder zuordnen kann. Diese Bewertung (der vom Nutzer eingeschätzte attitude-Score) ist die eigene Charakterisierung einer politischen Haltung durch den Nutzer, die die Person des öffentlichen Lebens selbst offensichtlich öffentlich gemacht hat — durch namentliche Abstimmungen, erklärte Positionen zu Gesetzgebungsdossiers und öffentliche Äußerungen. In einem vorsorglichen Ansatz stützt sich CL, soweit die Haltungsbewertung Daten berührt, die politische Meinungen offenbaren, auf eine doppelte Grundlage: Art. 9 Abs. 2 lit. e DSGVO (von der betroffenen Person offensichtlich öffentlich gemachte Daten), da die Bewertung eine Haltung charakterisiert, die die Person in ihrer offiziellen Eigenschaft öffentlich manifestiert hat, zusammen mit der Grundlage des berechtigten Interesses Art. 6 Abs. 1 lit. f DSGVO, nach der in Abschnitt 6 dargelegten Abwägung (Personen des öffentlichen Lebens, die in beruflicher oder öffentlicher Eigenschaft handeln, öffentliche Quellen, kein kommerzielles Profiling). CL stützt sich für diesen die besondere Kategorie betreffenden Aspekt nicht allein auf Art. 6 Abs. 1 lit. f DSGVO. Art. 9 Abs. 2 lit. e bleibt jedenfalls die Grundlage für die tatsächlich offensichtlich öffentlichen zugrunde liegenden Daten (namentliche Abstimmungen, erklärte Positionen, Fraktionszugehörigkeit).

8. Unser Ansatz zu Nutzerkontrolle und Transparenz

Zwei der folgenreichsten Gestaltungsentscheidungen von Compass — die optionale Ende-zu-Ende-Verschlüsselung von nutzergenerierten Inhalten (Abschnitt 10.1) und die KI-Richtlinie der Plattform (Abschnitt 9) — folgen demselben zugrunde liegenden Prinzip. Moderne Technologien (fortgeschrittene Kryptografie, Sprachmodelle) bringen echten Mehrwert für die Public-Affairs-Arbeit, werfen aber auch berechtigte Fragen auf: Wer kann was lesen, wohin fließen die Daten und worüber hat der Nutzer tatsächlich die Kontrolle? Anstatt diese Fragen mit allgemeinen Beteuerungen zu beantworten, ist Compass so gestaltet, dass die Antworten sichtbar, überprüfbar und vom Nutzer gewählt sind.

Dies übersetzt sich in drei operative Regeln, die gleichermaßen für die Verschlüsselung und für die KI gelten:

• Ausdrückliche Nutzerentscheidung über jede nicht-triviale Verarbeitung. Sensible Optionen (das Einschalten der Ende-zu-Ende-Verschlüsselung, das Aktivieren eines externen KI-Anbieters) sind niemals standardmäßig aktiviert und werden niemals aufgezwungen: Jede erfordert eine bewusste, informierte Handlung des Nutzers. Die Standardkonfiguration ist die datenschutzfreundlichste (keine externe KI, keine Übermittlung außerhalb der EU; Verschlüsselung verfügbar, aber nicht erzwungen).
• Transparenz darüber, was tatsächlich geschieht, einschließlich der Grenzen. Wir dokumentieren nicht nur, was die Plattform tut, sondern auch, was sie nicht tut und wo die Grenzen jeder Garantie liegen. Abschnitt 10.1 listet ausdrücklich auf, welche Felder verschlüsselt sind und welche nicht und warum; Abschnitt 9 erklärt, was an die europäische API von Mistral übermittelt würde, falls der Nutzer die KI aktiviert. Wir vermeiden Formulierungen, die stärkere Garantien suggerieren würden, als die Technologie tatsächlich liefert.
• Technische Garantien als Ergänzung ethischer und vertraglicher Verpflichtungen, nicht als Ersatz dafür. Unsere Ablehnung von Interessenkonflikten, unsere vertragliche Verpflichtung, nutzergenerierte Inhalte niemals zu lesen, und die technische Unmöglichkeit, die wir durch die Ende-zu-Ende-Verschlüsselung anbieten, wirken auf drei verschiedenen Ebenen und verstärken einander. Wo Technologie eine Garantie unbrechbar machen kann, setzen wir sie ein; wo sie das nicht kann, sagen wir es klar und stützen uns auf die vertraglichen und ethischen Verpflichtungen, die unseren Berufsstand bestimmen.

Die beiden folgenden Abschnitte wenden diesen Rahmen auf die beiden spezifischen Fälle der KI-gestützten Analyse (Abschnitt 9) und der Ende-zu-Ende-Verschlüsselung (Abschnitt 10.1) an.

9. KI-Dienste

Compass enthält eine KI-Schicht, die analytische Aufgaben wie Positionsklassifizierung, Stakeholder-Analyse, strategische Briefings sowie das Vorschlagen von Positionierungen und Umformulierungen zu den in Diskussion stehenden Texten unterstützt. Die Plattform ist um ein festes Prinzip herum gestaltet: Der Nutzer wählt stets, welche KI-Konfiguration verwendet wird, falls überhaupt, und kann jederzeit zu einer Konfiguration zurückkehren, an der keine KI beteiligt ist.

CL Corporate Affairs Consulting hat sich bewusst entschieden, den KI-Umfang von Compass auf Mistral zu beschränken, den europäischen KI-Anbieter mit Sitz in Paris (Frankreich). Kein anderer KI-Drittanbieter — weder OpenAI noch Anthropic noch irgendein nichteuropäisches Modell — ist in die Plattform integriert, und keiner ist für eine künftige Integration vorgesehen. Compass stützt sich auf eine einzige KI-Konfiguration: die europäische kommerzielle API von Mistral, die nachstehend beschrieben wird. Diese bewusste Beschränkung ist zugleich eine Haltung — ein Bekenntnis zur europäischen digitalen Souveränität: Die KI-Verarbeitung verbleibt auf europäischer Infrastruktur, ohne Übermittlung von Daten an außereuropäische Anbieter.

9.1 Europäische kommerzielle API von Mistral

In dieser Konfiguration werden KI-Anfragen an die kommerzielle API von Mistral AI (api.mistral.ai) gesendet. Mistral AI ist ein französisches Unternehmen; die API wird über europäische Infrastruktur (Frankreich und Schweden) betrieben, und die gesamte KI-Verarbeitung findet innerhalb der Europäischen Union statt, ohne Übermittlung in ein Drittland. Diese Konfiguration ist in zwei Modalitäten verfügbar:

• Geteilte Kapazität (Standard): Compass stellt KI-Kapazität bereit, die sich auf das API-Konto des Herausgebers (CL Corporate Affairs Consulting) stützt. Anfragen werden im Namen des Nutzers an Mistral gesendet, innerhalb eines individuellen Nutzungskontingents. Anfragen sind strikt pro Nutzer getrennt: Kein Nutzer hat Zugriff auf die Prompts oder Antworten eines anderen Nutzers. Der Server der Plattform speichert und protokolliert den Inhalt von Prompts oder Antworten nicht; nur technische Metadaten (Zeitstempel, Nutzerkennung, Token-Volumen) werden ausschließlich zur Kontingentverwaltung aufbewahrt.
• Persönlicher Schlüssel (optional): Der Nutzer kann seinen eigenen Mistral-API-Schlüssel bereitstellen, um über unabhängige Kapazität zu verfügen, die seinem eigenen Account in Rechnung gestellt wird. Dieser Schlüssel ist im Ruhezustand verschlüsselt und wird nur für die Dauer eines Aufrufs entschlüsselt, auch wenn der Nutzer die Ende-zu-Ende-Verschlüsselung nicht aktiviert hat.

In beiden Modalitäten gelten die folgenden Schutzvorkehrungen:

• Verwendung von Daten für das Modelltraining: Nach den Bedingungen der kommerziellen API von Mistral werden die gesendeten Prompts und die zurückgegebenen Antworten nicht zum Training der Modelle von Mistral verwendet, es sei denn, der Nutzer stimmt dem ausdrücklich zu (was Compass nicht tut).
• Speicherung: Mistral bewahrt API-Eingaben und -Ausgaben bis zu 30 rollierende Tage ausschließlich zu Zwecken der Missbrauchsüberwachung auf und löscht sie anschließend. Eine Zero Data Retention (ZDR)-Option, die im kostenpflichtigen Scale-Plan von Mistral verfügbar ist, wird in der aktuellen geteilten Kapazität nicht aktiviert.
• Vertragliche Schutzvorkehrungen: Ein Auftragsverarbeitungsvertrag (AVV) und DSGVO-konforme Bedingungen gelten standardmäßig. Da sowohl CL Corporate Affairs Consulting als auch Mistral AI innerhalb der Europäischen Union niedergelassen sind, ist der KI-Verarbeitungsweg selbst mit keiner Übermittlung außerhalb des EWR verbunden und es sind hierfür keine Standardvertragsklauseln erforderlich. (Die EU-only-Infrastruktur von Mistral entspricht der Darstellung des Anbieters. Alle im Browser geladenen Assets — Web-Schriftarten und die Visualisierungsbibliothek D3.js — werden auf den EU-Servern von CL selbst gehostet, sodass beim Rendern der Seite keine Übermittlung außerhalb der EU entsteht; siehe Abschnitt 9.4.)
• Unterauftragsverarbeitung: In der geteilten Kapazität handelt CL Corporate Affairs Consulting als Auftragsverarbeiter im Namen des Nutzers und Mistral AI als Unterauftragsverarbeiter im Sinne von Art. 28 DSGVO; verwendet der Nutzer seinen eigenen Schlüssel, handelt Mistral AI als Unterauftragsverarbeiter unter der Verantwortung des Nutzers.

Referenzdokumentation — Mistral-Bedingungen: legal.mistral.ai/terms · Auftragsverarbeitungsvertrag: legal.mistral.ai/terms/data-processing-addendum.

9.2 KI-gestützte Recherche öffentlicher Quellen

Auf ausdrückliche Handlung des Nutzers hin kann die KI-Schicht öffentlich zugängliche Quellen (die offizielle Website einer Organisation, öffentliche Positionspapiere, Positionsstellungnahmen) konsultieren, um die Positionierung einer Organisation oder eines Mandanten zu charakterisieren oder die erklärten Mandanten einer Beratung zu ermitteln. Diese Konsultation erfolgt niemals automatisch: Sie geht aus einem ausdrücklichen Befehl des Nutzers hervor, wird protokolliert, und ihr Ergebnis wird dem Nutzer vor jeder Speicherung zur Validierung vorgelegt. Das Transparenzregister der Europäischen Union seinerseits wird lokal aus bereits in Compass integrierten Daten konsultiert, ohne externe Anfrage.

9.3 Dem Nutzer wird niemals ein KI-Anbieter aufgezwungen

Die Aktivierung einer der beiden KI-Konfigurationen erfordert eine bewusste Handlung des Nutzers unter Mein Account verwalten. Der Standardzustand jedes Compass-Accounts ist “keine KI” — die KI-gestützten Funktionen sind schlicht nicht vorhanden, bis der Nutzer ausdrücklich die europäische API von Mistral aktiviert. Der Nutzer kann jederzeit zu “keine KI” zurückkehren, ohne dass Daten zwischen den Konfigurationen fortbestehen.

KI-generierte Inhalte, die über die europäische API von Mistral erzeugt werden, werden nur zu Informationszwecken bereitgestellt und sollten stets vom Nutzer überprüft und validiert werden, bevor auf ihrer Grundlage gehandelt oder sie extern geteilt werden. CL Corporate Affairs Consulting übernimmt keine Gewähr für die Richtigkeit, Vollständigkeit oder Zuverlässigkeit der KI-generierten Ergebnisse.

9.4 Unterauftragsverarbeiter und internationale Übermittlungen

Soweit CL Corporate Affairs Consulting personenbezogene Daten im Auftrag eines Nutzers verarbeitet, stützt es sich auf eine bewusst begrenzte Reihe von Unterauftragsverarbeitern, von denen jeder durch einen Auftragsverarbeitungsvertrag im Sinne von Art. 28 DSGVO gebunden ist:

• Mistral AI (Frankreich) — Verarbeitung mit generativer KI, eingesetzt nur, wenn der Nutzer die optionale KI-Funktion ausdrücklich aktiviert hat (standardmäßig deaktiviert), wie in Abschnitt 9.1 beschrieben. Die Verarbeitung findet innerhalb der Europäischen Union statt (Frankreich und Schweden, gemäß der Darstellung des Anbieters); es werden keine Inhalte an einen KI-Anbieter übermittelt, wenn die KI nicht aktiviert ist.
• OVHcloud (Frankreich) — ausgehende transaktionale E-Mails (Account-Erstellung, Passwort-Zurücksetzung, Änderungs- und Sicherheitsbenachrichtigungen), versendet über SMTP mit TLS. Diese E-Mails enthalten den Namen und die E-Mail-Adresse des Empfängers und gegebenenfalls sichere Zurücksetzungs- oder Verifizierungslinks. Es werden keine Massen- oder Marketing-E-Mails versendet.

Das Hosting erfolgt auf einem privaten, dedizierten Server innerhalb der Europäischen Union unter der physischen Kontrolle von CL Corporate Affairs Consulting (siehe Abschnitt 10); kein Public-Cloud-Anbieter eines Dritten handelt als Unterauftragsverarbeiter. CL führt eine aktuelle Liste seiner Unterauftragsverarbeiter und wird die Nutzer über jede wesentliche Änderung informieren — insbesondere bevor ein neuer Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten beginnt.

Die im Browser geladenen Assets werden auf EU-Infrastruktur selbst gehostet. Alle im Browser des Besuchers geladenen Assets — einschließlich der Web-Schriftarten (Cormorant Garamond, Vollkorn und Montserrat) und der JavaScript-Visualisierungsbibliothek (D3.js), die auf der Stakeholder-Mapping-Seite verwendet wird — werden unmittelbar von den eigenen EU-gehosteten Servern von CL Corporate Affairs Consulting ausgeliefert. Keine Seite lädt Assets von Google, Cloudflare oder einem anderen nicht-europäischen Content-Delivery-Network, und beim Rendern wird keine IP-Adresse und kein Browser-Detail des Besuchers an solche Anbieter übermittelt. Dementsprechend ist die einzige mit der Plattform verbundene Übermittlung personenbezogener Daten die optionale Opt-in-Funktion der Mistral-KI (standardmäßig deaktiviert), deren Verarbeitung innerhalb der Europäischen Union verbleibt (siehe Abschnitt 9.1).

10. Datensicherheit und Hosting

Alle von Compass verarbeiteten Daten werden auf einem privaten, dedizierten Server innerhalb der Europäischen Union gespeichert, unter der physischen Kontrolle von CL Corporate Affairs Consulting. Die Plattform setzt die folgenden Sicherheitsmaßnahmen um:

• Authentifizierung per E-Mail und Passwort, wobei Passwörter mit PBKDF2-HMAC-SHA256 gehasht werden (600.000 Iterationen, im Einklang mit den aktuellen OWASP-Empfehlungen) und mit einem für jeden Nutzer eindeutigen Salt;
• Sitzungen, die über HTTP-only, SameSite=Lax gesicherte Cookies verwaltet werden;
• CSRF-Token pro Sitzung, die bei jeder zustandsändernden Anfrage überprüft werden;
• Automatische Account-Sperrung nach 5 fehlgeschlagenen Anmeldeversuchen (15 Minuten Sperrzeit) sowie Ratenbegrenzung auf IP-Ebene (30 Minuten Sperre nach wiederholten Fehlversuchen von derselben Quelle);
• HTTPS-Verschlüsselung bei der Übertragung (TLS über Let’s-Encrypt-Zertifikat);
• Defence-in-Depth-HTTP-Antwort-Header (X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Content-Security-Policy);
• Ein einfaches Sicherheits- und Rechenschaftsprotokoll von Authentifizierungsereignissen, privilegierten Aktionen und sicherheitsrelevanten Fehlern — geführt, um Sicherheitsvorfälle zu erkennen und zu untersuchen sowie die Reaktion auf Verletzungen und die externe Rechenschaftspflicht (etwa gegenüber der CNIL oder vor einem Gericht) zu unterstützen, und nicht als internes Kontrollinstrument; es ist dem Risiko nach Art. 32 DSGVO angemessen, wird nicht in manipulationssicherer oder serverexterner Form vorgehalten und erfasst nur die Tatsache und den Zeitpunkt einer Aktion mit begrenzten technischen Metadaten (etwa E-Mail- und IP-Adresse), niemals vom Nutzer verfasste Inhalte;
• Keine Indexierung des authentifizierten Bereichs durch Suchmaschinen: Nur die öffentlich zugänglichen Seiten (Startseite, Datenschutzerklärung, Nutzungsbedingungen) sind indexierbar; jeder andere Pfad — Dashboards, Account-Verwaltung, administrative Oberflächen, API-Endpunkte — wird ausdrücklich über robots.txt und noindex-Direktiven blockiert;
• Keine Speicherung von Daten bei außereuropäischen Cloud-Diensten Dritter zur KI-Verarbeitung. Standardmäßig ist keine KI aktiviert. Wenn der Nutzer die Option der europäischen kommerziellen Mistral-API (Abschnitt 9.1) aktiviert, werden Eingaben und Ausgaben zur Verarbeitung an die europäische Infrastruktur von Mistral (Frankreich und Schweden) übermittelt, ohne Übermittlung von Daten außerhalb der Europäischen Union; die Speicherung durch Mistral ist auf 30 rollierende Tage ausschließlich zu Zwecken der Missbrauchsüberwachung begrenzt (oder auf die Dauer der Anfrage unter der Zero-Data-Retention-Option), und die Daten werden nicht zum Training der Modelle von Mistral verwendet.

E-Mails im Zusammenhang mit der Account-Verwaltung (Passworterstellung, Zurücksetzung, Änderungsbenachrichtigungen) werden per SMTP mit TLS-Verschlüsselung versendet.

10.1 Optionale Ende-zu-Ende-Verschlüsselung

Warum es diese Funktion gibt. Compass wird von einer aktiv tätigen Public-Affairs-Beratung entwickelt und betrieben, deren Nutzer oft selbst Public-Affairs-Fachleute sind, die an sensiblen Angelegenheiten arbeiten — mitunter an Dossiers, die dieselben Politikbereiche berühren wie Mandate, die von CL selbst oder von dessen anderen Mandanten verfolgt werden. Auch wenn CL Corporate Affairs Consulting als grundlegende berufliche Pflicht eine strikte Politik der Ablehnung jeglichen Interessenkonflikts wahrt (siehe auch Abschnitt 3 der Nutzungsbedingungen) und sich vertraglich verpflichtet, nutzergenerierte Inhalte niemals zu lesen (siehe Abschnitt 11 der Nutzungsbedingungen), sind wir der Auffassung, dass Nutzer nicht gezwungen sein sollten, dieser Verpflichtung allein auf Vertrauen hin zu folgen. Die Ende-zu-Ende-Verschlüsselung ist die technische Umsetzung dieser Überzeugung: Sie gibt den Nutzern eine Möglichkeit, durch die Gestaltung der Plattform selbst sicherzustellen, dass ihre analytische Arbeit mathematisch außerhalb der Reichweite von CL-Betreibern, von Dritten, die Zugang zu den Servern erlangen, und von jeder Behörde liegt, die eine erzwungene Offenlegung anstrebt. Dies ist aus unserer Sicht eine natürliche Konsequenz daraus, ein Werkzeug für den eigenen Berufsstand zu bauen.

Was es in der Praxis bedeutet. Zusätzlich zu den oben genannten grundlegenden Sicherheitsmaßnahmen bietet Compass einen optionalen Modus der Ende-zu-Ende-Verschlüsselung, den Nutzer jederzeit unter Mein Account verwalten aktivieren können. Diese Funktion ist nicht standardmäßig aktiviert; sie ist ein ausdrückliches Opt-in, gedacht für Nutzer, die besonders sensibles Material verarbeiten und zusätzlich zu den vertraglichen Verpflichtungen von CL eine technische Garantie hinzufügen möchten. Nutzer, die sie nicht aktivieren, sind selbstverständlich vollständig durch die vertragliche Nicht-Einsichtnahme-Verpflichtung abgedeckt, die unabhängig vom Verschlüsselungsstatus gilt; die Funktion wird als zusätzliche Ebene für Nutzer angeboten, die sie wünschen, nicht als Voraussetzung für die Nutzung der Plattform.

Was verschlüsselt wird. Wenn die Ende-zu-Ende-Verschlüsselung für einen Account aktiviert ist, werden die folgenden Daten im Browser des Nutzers verschlüsselt, bevor sie auf dem Server gespeichert werden: die Liste der vom Nutzer verfolgten Dossiers, persönliche Notizen, die vom Nutzer verfassten Inhalte des Stakeholder-Mappings (zugeordnete Positionszusammenfassungen, unterstützende Argumente, private Kommentare und kuratierte Quellen), Watch-Keywords (im Secure-Search-Modus), Themennamen, vom Nutzer verfasste Biografien und Profilnotizen, Einträge des Engagement-Logs (Besprechungsaufzeichnungen, Erkenntnisse, Signale), der persönliche Radar-Cache des Nutzers sowie alle anderen vom Nutzer persönlich verfassten Inhalte. Der Umfang der Verschlüsselung ist bewusst breit angelegt und soll verhindern, dass irgendein Beobachter des Servers — einschließlich CL-Betreibern — die Aktivität, Interessen oder analytischen Positionen des Nutzers profilieren kann.

Was nicht verschlüsselt wird und warum. Die folgenden Kategorien bleiben konstruktionsbedingt unverschlüsselt: öffentliche Referenzdaten, die für alle Nutzer gemeinsam gelten (Mitglieder des Europäischen Parlaments, Kommissionsmitglieder, Kommissionsbedienstete, Bedienstete des Rates, Organisationen des Transparenzregisters, institutionelle Kalenderereignisse, allesamt aus offiziellen EU-Datenbanken); Account-Informationen, die für Authentifizierung und Benachrichtigungen erforderlich sind (Vorname, Nachname, E-Mail, Telefonnummer, Organisation); technische Kennungen, die für SQL-Joins erforderlich sind (Primärschlüssel, Fremdschlüssel, Nutzerkennungen); Audit-Zeitstempel (Erstellungs-, Änderungs-, Anmeldezeitpunkte); kryptografische Lookup-Hashes (irreversible SHA-256-Digests von Watch-Keywords im Secure-Search-Modus, die für den serverseitigen Abgleich verwendet werden, ohne das Keyword preiszugeben); und die analytischen Scores und die daraus abgeleiteten Rankings (die Einfluss-, Dringlichkeits-, Beteiligungs- und Haltungs-Scores, die jedem Stakeholder zugeordnet sind, zusammen mit dem Prioritätsquadranten und den daraus berechneten Activate-Target-Kennzeichen). Letztere sind kein vom Nutzer verfasster Freitext, sondern Werte, die durch die von CL konzipierten Analysemethoden erzeugt werden (Einflussgewichtung, Dringlichkeits- und Activate-Target-Scoring) und die der Server berechnet und neu berechnet; die numerischen Scores für die Engine lesbar zu halten, ist genau das, was es der Plattform erlaubt, Stakeholder auf der Karte zu positionieren, zu ranken und ihren Quadranten neu zu berechnen. Die schriftliche Begründung, die jeden Score rechtfertigt, ist selbst verschlüsselt, und eine nackte Zahl — etwa ein Einfluss von 80 — ist ohnehin weitaus weniger aussagekräftig als die Begründung des Analysten, die geschützt bleibt. Diese Kategorien sind entweder ihrer Natur nach bereits öffentlich oder für den technischen Betrieb des Dienstes erforderlich. Wir führen sie hier auf, anstatt die Verschlüsselung nur vage zu erwähnen, weil wir der Auffassung sind, dass eine ehrliche Beschreibung der Grenzen der Garantie selbst Teil der Garantie ist.

Wie es funktioniert — in einfachen Worten. Wenn ein Nutzer die Ende-zu-Ende-Verschlüsselung aktiviert, geschehen zwei Dinge in seinem Browser, beide für den Server unsichtbar. Erstens wird lokal ein neuer Hauptschlüssel erzeugt: Dies ist der Schlüssel, der die Inhalte des Nutzers tatsächlich verschlüsselt. Zweitens wird dieser Hauptschlüssel selbst in einen versiegelten Umschlag gelegt, dessen Schloss nur durch das Anmeldepasswort des Nutzers geöffnet wird. Der Server speichert den versiegelten Umschlag, aber niemals den Hauptschlüssel im Klartext und niemals das Passwort. Jedes Mal, wenn der Nutzer sich anmeldet, öffnet das Passwort den Umschlag lokal im Browser, der Hauptschlüssel wird für die Dauer der Sitzung wiederhergestellt, und die verschlüsselten Felder können gelesen werden; wenn der Nutzer sich abmeldet, kehrt alles wieder in seinen versiegelten Umschlag auf der Serverseite zurück. CL hält den Hauptschlüssel niemals und kann ihn nicht rekonstruieren: Die kryptografische Garantie besteht darin, dass das, was auf unseren Servern in verschlüsselter Form gespeichert ist, für uns konstruktionsbedingt unlesbar ist.

Wie es funktioniert — in technischen Begriffen. Das Verfahren ist zero-knowledge: Die Schlüssel, die Nutzerdaten entschlüsseln, verlassen niemals das Gerät des Nutzers und werden auf dem Server in keiner abrufbaren Form gespeichert. Genauer gesagt:

• Schlüsselableitung. Ein erster Schlüssel wird im Browser aus dem Anmeldepasswort des Nutzers mittels PBKDF2-HMAC-SHA256 mit 600.000 Iterationen (im Einklang mit den aktuellen OWASP-Empfehlungen) und einem bei der Aktivierung erzeugten 16-Byte-Zufalls-Salt abgeleitet. Der Salt wird serverseitig gespeichert (er ist nicht geheim); das Passwort selbst und der daraus abgeleitete Schlüssel hingegen nicht.
• Zwei-Schlüssel-Design (Key-Wrapping). Der aus dem Passwort abgeleitete Schlüssel wird nicht unmittelbar zur Verschlüsselung der Nutzerdaten verwendet. Stattdessen dient er dazu, einen separaten, zufällig erzeugten Hauptschlüssel zu schützen, der den Inhalt des Nutzers tatsächlich verschlüsselt. Nur der Hauptschlüssel in seiner geschützten (“umhüllten”) Form wird auf dem Server gespeichert. Dieses Zwei-Schlüssel-Design ist derselbe Ansatz, der von renommierten Zero-Knowledge-Anwendungen verwendet wird (etwa professionelle Passwortmanager und Ende-zu-Ende-verschlüsselte Messenger). Es hat eine wichtige praktische Konsequenz, die im nächsten Absatz beschrieben wird: Es ermöglicht Nutzern, ihr Anmeldepasswort zu ändern, ohne ihre gespeicherten Daten neu zu verschlüsseln.
• Authentifizierte Verschlüsselung. Nutzerdaten werden mit AES-256-GCM verschlüsselt, mit einer 96-Bit-Nonce aus einer kryptografisch sicheren Zufallsquelle für jeden Schreibvorgang und einem beim Lesen überprüften Authentifizierungs-Tag. Derselbe Algorithmus schützt den Hauptschlüssel in seinem Umschlag.
• Speicherformat. Verschlüsselte Nutzdaten werden als base64url-kodierte Zeichenfolgen gespeichert, denen ein kurzes Versions-Tag vorangestellt ist, sodass der Server verschlüsselte von Klartextfeldern unterscheiden kann, ohne sie jemals entschlüsseln zu können.
• Browser-Anforderungen. Die Funktion nutzt die standardmäßige Web Crypto API, die in allen modernen Browsern über HTTPS verfügbar ist. Sie ist von keinem externen Dienst und keiner Drittanbieter-Bibliothek abhängig.

Was das im Alltag bedeutet. Das Zwei-Schlüssel-Design hat für Nutzer einen unmittelbaren, praktischen Nutzen:

• Das Ändern Ihres Passworts ist sicher und augenblicklich. Über den normalen Ablauf Passwort ändern (der das aktuelle Passwort erfordert) wird der Hauptschlüssel kurz mit dem aktuellen Passwort wiederhergestellt und sofort mit dem neuen erneut geschützt. Die gespeicherten Daten des Nutzers werden niemals neu verschlüsselt, niemals erneut hochgeladen, und es besteht kein Risiko, den Zugang zu verlieren — dies ist strukturell dasselbe wie bei einem professionellen Passwortmanager.
• Das Vergessen Ihres Passworts ist hingegen für verschlüsselte Daten nicht wiederherstellbar. Wird das Passwort vergessen, kann der Umschlag, der den Hauptschlüssel schützt, von niemandem geöffnet werden — weder von CL noch vom Nutzer. Der Ablauf Passwort vergessen kann das Passwort zurücksetzen, aber er kann den Hauptschlüssel nicht wiederherstellen, und die bestehenden verschlüsselten Felder werden dadurch dauerhaft unlesbar. Dieser Kompromiss ist der Preis des Zero-Knowledge-Designs und der Grund, weshalb die Funktion strikt als Opt-in ausgestaltet ist. Nutzern, die die Ende-zu-Ende-Verschlüsselung aktivieren, wird dringend empfohlen, ihr Passwort in einem Passwortmanager zu speichern und mindestens eine sichere Sicherungskopie davon aufzubewahren.

Konsequenzen für CL. Da der Schlüssel, der den Hauptschlüssel schützt, aus dem Passwort des Nutzers abgeleitet wird und niemals dessen Browser verlässt, können CL Corporate Affairs Consulting und seine Administratoren die verschlüsselten Felder eines Accounts, für den die Ende-zu-Ende-Verschlüsselung aktiviert ist, konstruktionsbedingt nicht lesen. Diese Eigenschaft wird technisch durchgesetzt, nicht bloß vertraglich, und gilt selbst angesichts einer internen Untersuchung, eines Sicherheitsvorfalls oder einer behördlichen Anordnung: CL hält den Schlüssel nicht, kann ihn nicht rekonstruieren und kann nicht gezwungen werden, den Klartextinhalt verschlüsselter Felder herauszugeben. Diese Einschränkung gilt gleichermaßen für CL selbst und wird als bewusste Konsequenz des Zero-Knowledge-Designs in Kauf genommen (siehe auch Abschnitt 11 der Nutzungsbedingungen).

Felder, die nicht verschlüsselt sind, bleiben für CL-Betreiber technisch zugänglich. In Abwesenheit der Ende-zu-Ende-Verschlüsselung umfasst dies den Inhalt von Notizen, das Stakeholder-Mapping, zugeordnete Positionen, private Kommentare und alle anderen vom Nutzer verfassten Inhalte. Die Nicht-Einsichtnahme dieser Felder durch CL wird ausschließlich durch die vertragliche Verpflichtung geregelt, die in Abschnitt 11 der Nutzungsbedingungen festgelegt ist, und wird in Abwesenheit der Ende-zu-Ende-Verschlüsselung nicht durch eine technische Unmöglichkeit erzwungen. Wir sind der Auffassung, dass diese Unterscheidung ausdrücklich genannt werden muss: Es ist der Unterschied zwischen einer Garantie, die zu erfüllen wir versprechen, und einer Garantie, die die Plattform selbst durchsetzt.

Selbst wenn die Ende-zu-Ende-Verschlüsselung aktiviert ist, bleiben bestimmte betriebliche Metadaten für CL-Betreiber technisch sichtbar, als unvermeidliche Folge des Betriebs eines Webdienstes. Diese Metadaten erlauben keine Rekonstruktion verschlüsselter Inhalte, können aber Rückschlüsse auf bestimmte Nutzungsmerkmale zulassen:

• Ungefähres Datenvolumen — die Anzahl der verschlüsselten Zeilen, die in jeder der persönlichen Tabellen des Nutzers gespeichert sind, ist für den Server sichtbar (zum Beispiel, dass ein Nutzer 47 verfolgte Dossiers oder 312 Engagement-Log-Einträge hat), ohne dass der Inhalt selbst lesbar wäre;
• Aktivitätszeitstempel — Anmeldungen, Schreib- und Lesevorgänge werden zu Audit-Zwecken mit Zeitstempeln versehen;
• IP-Adresse — durch das TCP/IP-Protokoll erforderlich, was Rückschlüsse auf den ungefähren geografischen Standort zulässt;
• Korrelierte Aktivitätsmuster — wenn mehrere Nutzer zusammenhängende Datensätze zu ähnlichen Zeiten ändern, kann auf eine kollaborative Beziehung geschlossen werden.

Diese strukturellen Metadaten fallen unter dieselbe vertragliche Nicht-Einsichtnahme-Verpflichtung wie alle anderen nicht verschlüsselten Daten (Abschnitt 11 der Nutzungsbedingungen). CL Corporate Affairs Consulting verpflichtet sich, sie für keinen anderen Zweck als die technische Überwachung des Dienstes (Sicherheitsüberwachung, Debugging, Kapazitätsplanung) zu verwerten. Wir dokumentieren sie hier, anstatt sie wegzulassen, weil die Glaubwürdigkeit der umfassenderen Garantie von einer transparenten Beschreibung ihrer Grenzen abhängt.

Umgekehrt können Felder, die mit Ende-zu-Ende-Verschlüsselung verschlüsselt wurden, von niemandem außer dem Nutzer gelesen werden, auch nicht von CL selbst. Dies ist eine Eigenschaft des kryptografischen Designs, kein vertragliches Versprechen: Der Entschlüsselungsschlüssel wird aus dem Passwort des Nutzers in dessen eigenem Browser abgeleitet und verlässt niemals das Gerät des Nutzers. CL hält den Schlüssel nicht, kann ihn nicht rekonstruieren und kann nicht gezwungen werden, den Klartextinhalt verschlüsselter Felder herauszugeben — weder als Reaktion auf eine behördliche Anordnung, noch im Verlauf einer Sicherheitsuntersuchung, noch auf Verlangen eines Dritten, der Zugang zu den Servern erlangen würde. Diese Einschränkung gilt gleichermaßen für CL Corporate Affairs Consulting und wird als bewusste Konsequenz des Zero-Knowledge-Designs in Kauf genommen.

10.2 Trennung zwischen der Compass-Plattform und der Beratungspraxis von CL Corporate Affairs

CL Corporate Affairs Consulting betreibt zwei unterschiedliche Tätigkeiten über eine einzige Rechtsperson: die Herausgabe von Compass und eine Public-Affairs-Beratungspraxis. Diese Doppelrolle kann in manchen Fällen ein Interessenkonfliktrisiko schaffen, das die vertragliche Nicht-Einsichtnahme-Verpflichtung (Abschnitt 11 der Nutzungsbedingungen) und die optionale Ende-zu-Ende-Verschlüsselung (Abschnitt 10.1) bereits adressieren. Die folgenden Bestimmungen ergänzen diesen Rahmen um praktische Verpflichtungen, deren Einhaltung keinen formellen Compliance-Apparat erfordert.

(a) Keine Wiederverwendung von Nutzerdaten in CL-Beratungsmandaten. CL Corporate Affairs Consulting verpflichtet sich, in seinen eigenen Beratungsmandaten niemals Daten, Analysen, Positionen, Mappings, Kommentare, Entwürfe von Änderungsanträgen, Watchlists oder Erkenntnisse zu verwenden, die von einem Compass-Nutzer eingegeben wurden — unabhängig davon, ob die Ende-zu-Ende-Verschlüsselung aktiviert ist oder nicht. Diese Verpflichtung erstreckt sich auf die Identität der vom Nutzer verfolgten Dossiers, die Substanz seiner analytischen Arbeit und sogar die schlichte Tatsache, dass sich der Nutzer für ein bestimmtes Thema interessiert. Wo die Ende-zu-Ende-Verschlüsselung aktiviert ist, wird die Verpflichtung zusätzlich durch kryptografische Unmöglichkeit durchgesetzt (Abschnitt 10.1).

(b) Dreistufige Datentaxonomie. Compass verarbeitet drei unterschiedliche Datenkategorien, jede mit ihrem eigenen Schutzregime:

• Öffentliche Referenzdaten — MdEP, Kommissionsmitglieder, Bedienstete des Rates und der Kommission, EU-Transparenzregister, institutionelle Kalender; aus offiziellen EU-Datenbanken bezogen und für alle Nutzer gemeinsam; in keiner Konfiguration verschlüsselt (die Daten sind ihrer Natur nach öffentlich verfügbar).
• Account-Daten — Vorname, Nachname, E-Mail, Telefon, Organisation. Erforderlich für Authentifizierung und Benachrichtigungen; im Klartext gespeichert; geschützt durch das DSGVO-Grundniveau zuzüglich der vertraglichen Nicht-Einsichtnahme-Verpflichtung; nicht von der Ende-zu-Ende-Verschlüsselung betroffen (die Anmeldung und Kontaktaufnahme verhindern würde).
• Vom Nutzer verfasste analytische Inhalte — verfolgte Dossiers, Stakeholder-Mapping, Positionen, Notizen, Engagement-Log, Entwürfe von Änderungsanträgen, interne Beobachtungen, Watch-Keywords. Wenn die Ende-zu-Ende-Verschlüsselung AUS ist (Standard), serverseitig im Klartext gespeichert; der Schutz beruht auf der vertraglichen Nicht-Einsichtnahme-Verpflichtung zuzüglich (a) oben. Wenn die Ende-zu-Ende-Verschlüsselung AN ist (Opt-in), im Browser vor der Speicherung mit einem aus dem Passwort des Nutzers abgeleiteten Schlüssel verschlüsselt; CL kann den Inhalt konstruktionsbedingt nicht lesen.

(c) Zugriffsrichtlinie. Der Zugriff auf die Produktionsdatenbank ist auf die technischen Funktionen beschränkt, die für den Betrieb des Dienstes erforderlich sind, und erfolgt nicht routinemäßig — er findet für Betrieb, Wartung und Support statt, nicht um Nutzerinhalte einzusehen; privilegierte Aktionen werden in dem in Abschnitt 10 genannten Sicherheits- und Rechenschaftsprotokoll aufgezeichnet, das dazu dient, Vorfälle zu erkennen und zu untersuchen und die Rechenschaftspflicht zu unterstützen, und nicht als internes Kontrollinstrument. Die Plattform läuft auf einem privaten, in der EU gelegenen Server unter der physischen Kontrolle von CL Corporate Affairs — ohne Rückgriff auf einen Public-Cloud-Anbieter oder einen Dritten mit Zugang zu Nutzerinhalten. Die Trennung zwischen Accounts wird auf Anwendungsebene durch nutzerbezogene Abfragen durchgesetzt und — für Accounts mit aktivierter Ende-zu-Ende-Verschlüsselung — durch nutzerspezifische Verschlüsselungsumschläge verstärkt: Kein Nutzer kann auf die analytischen Inhalte eines anderen Nutzers zugreifen.

(d) Verstärkte Vertraulichkeitsverpflichtung. Über die DSGVO hinaus richtet CL Corporate Affairs Consulting seine Praxis freiwillig an den beruflichen Vertraulichkeitsstandards aus, die für Public-Affairs-Praktiker gelten: dem Verhaltenskodex des EU-Transparenzregisters, der dem Interinstitutionellen Übereinkommen von 2021 zwischen Parlament, Rat und Kommission beigefügt ist (insbesondere dessen Bestimmungen über die redliche Beschaffung, Handhabung und Weitergabe von EU-Informationen); den Werten Integrität, Transparenz, Genauigkeit und Vertraulichkeit, die im Verhaltenskodex der SEAP (Society of European Affairs Professionals) niedergelegt sind; und den deontologischen Standards der französischen Hohen Behörde für Transparenz im öffentlichen Leben (HATVP) für registrierte Interessenvertreter — namentlich dem Verbot, Informationen mit betrügerischen Mitteln zu beschaffen und von Amtsträgern erlangte Informationen zu verkaufen. Bei der Annahme eines neuen Beratungsmandats prüft CL Corporate Affairs nach Treu und Glauben auf jede offensichtliche Überschneidung mit der bekannten Tätigkeit eines Compass-Nutzers und lehnt das Mandat ab, wenn eine solche festgestellt wird.

(e) Einfache Konfliktmeldung in beide Richtungen.

• Vom Nutzer an CL. Ein Compass-Nutzer, der Grund zu der Annahme hat, dass ein CL-Beratungsmandat sich in konfligierender Weise mit seiner eigenen Arbeit überschneiden könnte, kann dies über das Kontaktformular melden. CL verpflichtet sich, nach Treu und Glauben zu untersuchen und, wo eine echte Überschneidung festgestellt wird, das konfligierende Beratungsmandat auszusetzen und dem Nutzer zu bestätigen, dass die Situation gelöst wurde. Die Ende-zu-Ende-Verschlüsselung mindert dieses Risiko an der Quelle erheblich: Wenn die Verschlüsselung aktiviert ist, hat CL keine technische Möglichkeit, eine solche Überschneidung überhaupt zu bemerken.
• Von CL an sich selbst. Symmetrisch verpflichtet sich CL, wenn es durch die eigene Beratungspraxis feststellt, dass sich ein potenzielles Mandat mit der bekannten Tätigkeit eines Compass-Nutzers überschneidet (im begrenzten Maße, in dem dies technisch erkennbar ist, und faktisch nur, wenn die Verschlüsselung AUS ist), das Mandat abzulehnen, bevor jegliche Arbeit beginnt — ohne die Identität des Nutzers gegenüber dem potenziellen Beratungsmandanten offenzulegen.
• Externe Rechtsbehelfe bleiben unabhängig von CL verfügbar. Jeder Person bleiben die Rechtsbehelfe erhalten, die ihr nach französischem und EU-Recht bereits zustehen: die CNIL (cnil.fr) für Datenschutzangelegenheiten, die HATVP (hatvp.fr) für Angelegenheiten im Rahmen der Lobby-Transparenz oder die zuständigen Justizbehörden im Falle eines vermuteten strafbaren Verhaltens. Dies sind keine von CL benannten Stellen; sie bestehen aus eigenem Recht, und CL weist lediglich auf ihre Verfügbarkeit für alle hin, die sie nutzen möchten.
• Keine Vergeltung. CL Corporate Affairs verpflichtet sich, keine Vergeltungsmaßnahmen gegen einen Compass-Nutzer zu ergreifen, der nach Treu und Glauben einen vermuteten Konflikt oder Verstoß meldet — einschließlich keiner Kündigung seines Abonnements, keiner Verschlechterung des Dienstes und keiner Offenlegung seiner Identität gegenüber Dritten über das hinaus, was zur Untersuchung strikt erforderlich ist.

Jede Meldung wird ernst genommen. Jede eingehende Meldung — von einem Nutzer, von CL selbst oder von einem Dritten — wird mit ethischer und rechtlicher Sorgfalt geprüft. Wir behandeln dies als eine Kernvoraussetzung für die Glaubwürdigkeit der Plattform, nicht als optionale Höflichkeit: In einem Beruf, in dem Diskretion Teil der Leistung ist, würde ein Werkzeug, das Interessenkonfliktmeldungen falsch handhabt, gerade das verlieren, was es überhaupt erst nutzenswert macht.

11. Datenspeicherung

Im Einklang mit dem Grundsatz der Speicherbegrenzung (Art. 5(1)(e) DSGVO) werden personenbezogene Daten nur so lange gespeichert, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Solange ein Account aktiv ist, werden die Daten auf der Rechtsgrundlage der Vertragserfüllung (Art. 6(1)(b) DSGVO) gespeichert: Die eigenen Dossiers, Stakeholder-Mappings, Positionen, Notizen und Engagement-Logs eines Nutzers sind genau jene Inhalte, deren Speicherung und Bereitstellung der Dienst bezweckt, und werden so lange aufbewahrt, wie der Nutzer den Account unterhält. Der Nutzer kontrolliert diese Inhalte unmittelbar — einzelne Dossiers, Notizen und sonstige Elemente können jederzeit aus der Plattform heraus gelöscht werden.

• Account-Daten des Nutzers: für die Dauer des Accounts gespeichert und bei Entfernung des Accounts gelöscht (siehe unten). Der Account-Inhaber kann seine Account-Angaben jederzeit selbst berichtigen und einzelne Inhaltselemente jederzeit selbst löschen.
• Export Ihrer Daten vor der Löschung: Solange der Account aktiv ist, kann der Inhaber jederzeit eine vollständige Kopie seiner eigenen Inhalte — einschließlich Ende-zu-Ende-verschlüsselter Inhalte, die im eigenen Browser des Inhabers entschlüsselt werden — über den in Abschnitt 13 beschriebenen Self-Service-Export erhalten (Recht auf Datenübertragbarkeit, Art. 20 DSGVO). Dieser Export ist nur im angemeldeten Zustand verfügbar; da die Anmeldung gesperrt ist, sobald ein Account deaktiviert oder eingefroren ist, empfehlen wir, Ihre Daten zu exportieren, bevor Sie die Deaktivierung einleiten oder die Entfernung beantragen.
• Löschung des Accounts (Recht auf Löschung, Art. 17 DSGVO): Ein Löschverlangen kann jederzeit über unser Kontaktformular gestellt werden und wird innerhalb der in Abschnitt 13 dargelegten Fristen umgesetzt (in der Regel ein Monat, verlängerbar um bis zu zwei weitere Monate bei komplexen Anträgen; Art. 12 DSGVO). In operativer Hinsicht folgt die Löschung einem zweistufigen Modell. Die Selbst-Deaktivierung durch den Inhaber (über Mein Account verwalten) sperrt die Anmeldung sofort und setzt den Account aus; der Datensatz wird in einem deaktivierten Zustand aufbewahrt, sodass er reaktiviert werden kann, wenn der Inhaber uns darum bittet. Die Selbst-Deaktivierung allein ist eine reversible Aussetzung und löst für sich genommen keine fristgebundene Löschung aus. Die Entfernung — vorgenommen durch einen Administrator (bei einem eigenständigen Account auf das über unser Kontaktformular eingereichte Löschverlangen des Inhabers hin) oder durch den Organisations-Manager (bei einem Mitglieds-Account) — versetzt den Account 30 Tage lang in einen eingefrorenen, wiederherstellbaren Zustand, in dem er auf Verlangen vollständig wiederhergestellt werden kann; nach Ablauf dieses 30-Tage-Fensters werden der Account und alle unter ihm erstellten Inhalte (Dossiers, Stakeholder-Mappings, Positionen, Notizen, Entwürfe, Schlüsselwörter und abgeleitete Caches) dauerhaft und unwiderruflich aus der Datenbank gelöscht. Solange ein Account deaktiviert oder eingefroren ist, ist die Anmeldung gesperrt, sodass jeder Export der Daten zuvor erfolgen muss, solange der Account noch aktiv ist. Einträge im Sicherheits- und Rechenschaftsprotokoll werden gesondert vom Account aufbewahrt, auf den Grundlagen des berechtigten Interesses und der rechtlichen Verpflichtung, Sicherheitsvorfälle zu erkennen und zu untersuchen sowie die Reaktion auf Verletzungen und die Rechenschaftspflicht zu unterstützen (Art. 6(1)(c) und 6(1)(f) DSGVO), für einen begrenzten Zeitraum von zwölf Monaten und nicht unbegrenzt; sie protokollieren nur die Tatsache und den Zeitpunkt administrativer Vorgänge, zusammen mit begrenzten technischen Metadaten (etwa der einer Aktion zugeordneten E-Mail-Adresse und IP-Adresse), nicht die analytischen Inhalte des Nutzers. Das Protokoll ist dem Risiko nach Art. 32 DSGVO angemessen und wird nicht in manipulationssicherer Form vorgehalten.
• Ende-zu-Ende-verschlüsselte Inhalte: Hat der Nutzer die Ende-zu-Ende-Verschlüsselung aktiviert, werden die Inhalte ausschließlich als Chiffrat (mit dem Präfix cv1: oder co1:) gespeichert, das CL nicht entschlüsseln kann. Die Löschung des Accounts entfernt sowohl das Chiffrat als auch die serverseitig gehaltenen Verschlüsselungsparameter (Salt und verschlüsselter Hauptschlüssel); sind diese einmal entfernt, sind die Inhalte für niemanden mehr wiederherstellbar, auch nicht für CL. Dasselbe gilt — unabhängig von einer Löschung —, wenn der Nutzer das Passwort verliert, das seinen Schlüssel schützt (siehe Abschnitt 8).
• Referenzdaten (institutionell, aus offiziellen EU-Datenbanken bezogen): regelmäßig aktualisiert, gespeichert, solange die Plattform in Betrieb ist. Veraltete Einträge werden bei der Aktualisierung überschrieben. Es handelt sich um öffentliche Referenzdaten, die keinem einzelnen Account zugeordnet sind.
• Stakeholder-Mapping- und Positionsdaten: für die Dauer des Auftrags oder Projekts gespeichert, zuzüglich 1 Jahr in der aktiven Datenbank. Können bis zu 6 Jahre zu administrativen und Beweiszwecken archiviert werden, im Einklang mit den üblichen beruflichen Aufbewahrungsfristen für Beratungsmandate nach französischem Handelsrecht. Stakeholder-Mapping- und Positionsdaten, die ein Nutzer unter seinem eigenen Account erstellt hat, werden im Rahmen der Löschung dieses Accounts gelöscht, wie oben beschrieben.
• Interne Notizen und Engagement-Logs: für die Dauer des Auftrags gespeichert, dann bis zu 6 Jahre archiviert. Der Nutzer kann seine eigenen Notizen jederzeit löschen.

12. Empfänger der Daten

Die innerhalb von Compass verarbeiteten personenbezogenen Daten sind nur für autorisierte Nutzer der Plattform zugänglich. Jeder Nutzer greift nur auf die für seine eigene Tätigkeit relevanten Daten zu. Interne Notizen und Engagement-Aufzeichnungen sind nur für den Nutzer sichtbar, der sie erstellt hat.

Es werden keine Daten an Dritte weitergegeben, außer:

• soweit gesetzlich vorgeschrieben (Justiz-, Polizei- oder Verwaltungsbehörden);
• an einen Mandanten von CL Corporate Affairs Consulting, soweit die Datenweitergabe für die Durchführung eines Beratungsmandats strikt erforderlich und vertraglich definiert ist;
• an Mistral AI, nur soweit der Nutzer die in Abschnitt 9.1 beschriebene Option der kommerziellen Mistral-API ausdrücklich aktiviert hat. Es werden keine Daten an einen KI-Dienst übermittelt, wenn keine KI aktiviert ist (der Standard).
• an unseren Anbieter für transaktionale E-Mails OVHcloud (Frankreich), der die accountbezogenen E-Mails (Erstellung, Passwort-Zurücksetzung, Änderungs- und Sicherheitsbenachrichtigungen) übermittelt, die den Namen und die E-Mail-Adresse des Empfängers und gegebenenfalls sichere Links enthalten — wie in Abschnitt 9.4 dargelegt.

Die vollständige Liste der Unterauftragsverarbeiter, zusammen mit der Bestätigung, dass alle im Browser geladenen Assets (Web-Schriftarten und die Visualisierungsbibliothek D3.js) auf den EU-Servern von CL selbst gehostet werden, sowie unsere Verpflichtung, die Nutzer über neue Unterauftragsverarbeiter zu informieren, sind in Abschnitt 9.4 dargelegt.

13. Ihre Rechte

Die DSGVO gewährt Personen, deren personenbezogene Daten verarbeitet werden, bestimmte Rechte. Innerhalb von Compass gelten diese Rechte je nach Kategorie der betroffenen Person unterschiedlich:

Plattformnutzer (Account-Inhaber) können jederzeit:

• auf ihre Account-Daten zugreifen und Auskunft über deren Verarbeitung erhalten (Art. 15 DSGVO);
• unrichtige oder unvollständige Account-Daten berichtigen (Art. 16 DSGVO);
• ihren Account und alle zugehörigen Daten löschen (Recht auf Löschung, Art. 17 DSGVO), wie in Abschnitt 11 beschrieben;
• die Verarbeitung in den von Art. 18 DSGVO vorgesehenen Fällen einschränken;
• der auf das berechtigte Interesse gestützten Verarbeitung widersprechen (Art. 21 DSGVO);
• ihre Einwilligung jederzeit für die optionale KI-Funktion widerrufen, die standardmäßig deaktiviert ist und sich auf die Einwilligung des Nutzers stützt (Art. 7 Abs. 3 DSGVO); der Widerruf berührt nicht die Rechtmäßigkeit der zuvor durchgeführten Verarbeitung;
• ihr Passwort über das Dashboard ändern;
• die von ihnen verfassten Inhalte — einschließlich Ende-zu-Ende-verschlüsselter Inhalte — über einen eigens dafür vorgesehenen Self-Service-Export unter Mein Account verwalten exportieren, der nur dem Account-Inhaber zur Verfügung steht. Da verschlüsselte Inhalte nur mit dem Passwort des Nutzers in dessen eigenem Browser entschlüsselt werden können, wird der Export clientseitig erzeugt, während der Nutzer angemeldet und entsperrt ist; CL hat niemals Zugang zum entschlüsselten Inhalt, und der Export umfasst daher Material, das für CL konstruktionsbedingt unlesbar ist (Datenübertragbarkeit, Art. 20 DSGVO). Der Export umfasst derzeit die vom Nutzer verfassten Inhalte; bestimmte Elemente (insbesondere die Stakeholder-Bewertungstabelle sowie die in-app erfolgende Korrektur der Account-E-Mail-Adresse) sind im Self-Service-Ablauf noch nicht enthalten und können auf Anfrage über unser Kontaktformular bezogen oder berichtigt werden. In einem kollaborativen Organisations-Account exportiert jedes Mitglied die von ihm persönlich verfassten Inhalte; organisationsweite Daten werden vom Account-Manager bearbeitet.

Als Stakeholder erfasste Personen (Personen des öffentlichen Lebens, institutionelle Akteure), deren öffentlich verfügbare Daten in Compass verarbeitet werden, können:

• auf die über sie gespeicherten Daten zugreifen und Auskunft über die Verarbeitungszwecke erhalten;
• unrichtige Daten berichtigen;
• der auf das berechtigte Interesse gestützten Verarbeitung widersprechen (Art. 21 DSGVO), woraufhin der Verantwortliche prüft, ob zwingende schutzwürdige Gründe den Widerspruch überwiegen;
• die Löschung ihrer Daten verlangen, vorbehaltlich eines überwiegenden berechtigten Interesses oder einer rechtlichen Verpflichtung.

An wen man sich wenden kann: Anfragen zu Account-Daten des Nutzers sind an CL Corporate Affairs Consulting zu richten. Soweit ein Drittnutzer als Verantwortlicher für von ihm eingegebene Stakeholder-Daten handelt, sind Anfragen von Stakeholdern zu diesen Daten an den betreffenden Nutzer (Verantwortlichen) zu richten. CL Corporate Affairs Consulting unterstützt gegebenenfalls bei der Weiterleitung solcher Anfragen.

Um eines dieser Rechte auszuüben, kontaktieren Sie uns bitte über unser Kontaktformular. Bestehen begründete Zweifel an der Identität der antragstellenden Person, können wir die Informationen anfordern, die zur Bestätigung dieser Identität erforderlich sind, bevor wir tätig werden. Wir beantworten Anträge innerhalb eines Monats nach Eingang; diese Frist kann um bis zu zwei weitere Monate verlängert werden, wenn der Antrag komplex ist oder eine Vielzahl von Anträgen eingeht, worüber wir die antragstellende Person innerhalb des ersten Monats informieren. Sie können auch eine Beschwerde bei der CNIL (cnil.fr) oder bei jeder zuständigen Aufsichtsbehörde einreichen.

14. Cookies

Compass verwendet ein unbedingt erforderliches Erstanbieter-Session-Cookie (compass_session), das für die Authentifizierung benötigt wird. Es ist HTTP-only und Secure, wird mit SameSite=Lax gesetzt und speichert ausschließlich eine Sitzungskennung — über diese Kennung hinaus keine personenbezogenen Daten und kein websiteübergreifendes Tracking. Seine Lebensdauer entspricht der Sitzung des Nutzers; sie wird verlängert, wenn der Nutzer “Angemeldet bleiben” wählt, und ist andernfalls kurzlebig.

Auf den öffentlichen Seiten (der Startseite und den übrigen Seiten außerhalb der Anwendung) setzt Compass außerdem zwei rein funktionale Erstanbieter-Präferenz-Cookies, die keine personenbezogenen Daten, keine Kennung enthalten und kein Tracking durchführen: compass_lang speichert die vom Besucher gewählte Oberflächensprache (EN/FR/DE/IT), damit sie nicht bei jedem Besuch erneut ausgewählt werden muss, und compass_intro_seen vermerkt, dass die kurze Einführungsanimation bereits angezeigt wurde, damit sie nicht bei jedem Besuch erneut abgespielt wird. Beide sind Erstanbieter-Cookies, laufen nach etwa 7 Tagen ab und speichern lediglich einen einfachen Präferenzwert.

Es werden keine Tracking-, Profiling- oder Werbe-Cookies verwendet, und auf der Compass-Plattform ist kein Tool zur Reichweitenmessung im Einsatz. Da das Session-Cookie unbedingt erforderlich ist, um den vom Nutzer angeforderten Dienst (Authentifizierung) bereitzustellen, und die beiden Präferenz-Cookies rein funktional sind — beschränkt auf das Speichern vom Nutzer aktiv getroffener Entscheidungen und ohne personenbezogene Daten — fallen sie unter die Ausnahme für “unbedingt erforderliche / funktionale” Cookies der ePrivacy-Richtlinie (Art. 5 Abs. 3 der Richtlinie 2002/58/EG in ihrer Umsetzung ins französische Recht) und erfordern daher kein Einwilligungsbanner. Die Authentifizierung stützt sich ausschließlich auf dieses Session-Cookie und nicht auf Browser-Speicher; etwaige im Local Storage des Browsers gehaltene Daten bestehen nur aus nicht-personenbezogenen Oberflächeneinstellungen.

15. Meldung von Verletzungen des Schutzes personenbezogener Daten

CL Corporate Affairs Consulting betreibt die Compass-Infrastruktur und ist als Verantwortlicher auf Plattformebene für die Erkennung, Bewertung und Behandlung von Verletzungen des Schutzes personenbezogener Daten zuständig. Werden wir uns einer Verletzung des Schutzes personenbezogener Daten bewusst, die voraussichtlich ein Risiko für die Rechte und Freiheiten von Personen zur Folge hat, melden wir dies der CNIL unverzüglich und, soweit möglich, binnen 72 Stunden, nachdem uns die Verletzung bekannt wurde (Art. 33 DSGVO). Hat eine Verletzung voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge, benachrichtigen wir diese Personen unverzüglich (Art. 34 DSGVO), damit sie Schutzmaßnahmen ergreifen können.

Vermutet ein Nutzer einen Sicherheitsvorfall oder eine Verletzung, die seine Daten betrifft, kann er dies über unser Kontaktformular melden; CL untersucht den Vorgang und nimmt, wo die vorstehenden Schwellen erreicht sind, die erforderlichen Meldungen vor. Inhalte, für die ein Nutzer die optionale Ende-zu-Ende-Verschlüsselung (Abschnitt 10.1) aktiviert hat, werden ausschließlich als Chiffrat gespeichert, das CL nicht lesen kann, was die Auswirkungen einer solchen Verletzung auf diese Inhalte erheblich verringert.

16. Verzeichnis von Verarbeitungstätigkeiten (Art. 30)

Obwohl CL Corporate Affairs Consulting eine kleine Organisation ist, greift die Ausnahme nach Art. 30 Abs. 5 für Organisationen mit weniger als 250 Beschäftigten hier nicht, da die Verarbeitung regelmäßig erfolgt und Daten umfassen kann, die politische Meinungen offenbaren (eine besondere Kategorie nach Art. 9 DSGVO). CL führt daher ein Verzeichnis seiner Verarbeitungstätigkeiten, das der CNIL auf Anfrage zur Verfügung steht.

17. Datenschutz-Folgenabschätzung (Art. 35)

Da Compass die systematische Bewertung (Scoring) identifizierbarer Personen umfasst — die Einfluss-, Haltungs- und Dringlichkeitsbewertungen — auf der Grundlage von Daten, die politische Meinungen offenbaren können, behandelt CL Corporate Affairs Consulting diese Funktionen als solche, die eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erfordern, und hat eine solche durchgeführt. Diese Folgenabschätzung dokumentiert die herangezogenen Schutzmaßnahmen: die öffentliche Eigenschaft der betroffenen Personen, die ausschließliche Nutzung öffentlicher Quellen, die in Abschnitt 6 dargelegte Abwägung des berechtigten Interesses, die Verfügbarkeit der optionalen Ende-zu-Ende-Verschlüsselung, die Möglichkeit des Nutzers, jeden Wert zu überschreiben, sowie das Fehlen jeglichen kommerziellen Profilings von Privatpersonen. Das Scoring von Personen des öffentlichen Lebens beruht auf dem berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO), gestützt auf diese Folgenabschätzung, die fortlaufend überprüft wird. Die vollständige Folgenabschätzung ist in unsere Datenschutz-Folgenabschätzung (DSFA) dargelegt.

18. Datenschutzbeauftragter (Art. 37) und Datenschutz-Kontakt

Die Frage nach Art. 37 folgt der in Abschnitt 3.1 dargelegten gemeinsamen und sukzessiven Verantwortlichkeit: Wie der EuGH in Wirtschaftsakademie (C-210/16) und Fashion ID (C-40/17) entschieden hat, knüpft die datenschutzrechtliche Verantwortung — und mit ihr die Rolle des Datenschutzbeauftragten und Kontakts — an den tatsächlichen Umfang jedes Verarbeitungsvorgangs und an die Partei an, die dessen Mittel und Zwecke bestimmt, nicht an eine einzelne Bezeichnung. Compass umfasst zwei unterschiedliche Vorgänge, und die Antwort fällt für jeden anders aus.

Erstens: Für die in der Oberfläche verarbeiteten Daten Dritter — die Stakeholder, die ein Nutzer erfasst und bewertet — liegen die bestimmenden Entscheidungen (welche Personen verarbeitet werden, welche Daten, zu welchem Zweck) überwiegend beim Nutzer. Der Nutzer ist daher der Verantwortliche für diese Verarbeitung und, soweit seine eigene Tätigkeit eine Benennung nach Art. 37 DSGVO verpflichtend macht, diejenige Partei, die hierfür den Datenschutzbeauftragten benennt. CL Corporate Affairs stellt die Plattform, die Methodik und die technischen Schutzmaßnahmen bereit.

Zweitens: Für die Daten der Nutzer selbst — ihre Account- und Identifikationsdaten — ist CL Corporate Affairs Consulting der Verantwortliche und handelt durch seinen gesetzlichen Vertreter als Datenschutzbeauftragter und Anlaufstelle. Es ist erreichbar über unser Kontaktformular, überwacht die Einhaltung für die Verarbeitung auf Plattformebene, bearbeitet Anträge zu Account-Daten und steht in Verbindung mit der CNIL. Da diese Verarbeitung von Account-Daten begrenzt ist und für sich genommen keine umfangreiche Überwachung und keine umfangreiche Verarbeitung besonderer Datenkategorien darstellt, ist CL nicht verpflichtet, hierfür einen gesonderten förmlichen Datenschutzbeauftragten nach Art. 37 zu benennen, und überprüft diese Beurteilung fortlaufend.

Die Benennung des Datenschutz-Ansprechpartners durch CL ist schriftlich festgehalten: siehe unsere Benennung des Datenschutz-Referenten.

19. Information der Stakeholder (Art. 14)

Ein Teil der in Compass verarbeiteten personenbezogenen Daten betrifft Dritte — die von Nutzern erfassten Personen des öffentlichen Lebens — und wird nicht bei diesen Personen selbst, sondern aus öffentlichen Quellen erhoben (die in den Abschnitten 4 und 7 genannten offiziellen institutionellen Datenbanken und Register). Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, ist Art. 14 DSGVO anwendbar. Da es der Nutzer ist, der die zu erfassenden Stakeholder auswählt und die eingegebenen Daten sowie den verfolgten Zweck bestimmt (Abschnitte 2 und 3.1), obliegt die Informationspflicht nach Art. 14 in erster Linie dem Nutzer als Verantwortlichem dieser Analyse; CL Corporate Affairs Consulting als Plattformanbieter erleichtert die Einhaltung — unter anderem dadurch, dass es die nachstehenden allgemeinen Informationen öffentlich zugänglich macht und den betroffenen Personen die Ausübung ihrer Rechte ermöglicht (Abschnitt 13).

Angesichts der Zahl der plattformübergreifend erfassten Personen des öffentlichen Lebens wäre die individuelle Benachrichtigung jeder einzelnen dieser Personen mit einem unverhältnismäßigen Aufwand verbunden und würde die Ziele der Verarbeitung ernsthaft beeinträchtigen. Unter diesen Umständen greift die Ausnahme des Art. 14 Abs. 5 lit. b DSGVO. Als die nach dieser Bestimmung erforderliche Schutzmaßnahme werden diese Informationen über eben diese Datenschutzerklärung öffentlich zugänglich gemacht, die die Kategorien der Daten, die Quellen, die Zwecke und Rechtsgrundlagen sowie die den betroffenen Personen zustehenden Rechte beschreibt (siehe insbesondere die Abschnitte 4, 6, 7 und 13).

Die eigene Analyse eines Stakeholders durch einen Nutzer — die zugeordneten Positionen, die eingeschätzten Bewertungen und die begleitende Begründung — ist vertrauliches berufliches Arbeitsergebnis, und ob es jemals veröffentlicht oder offengelegt wird, ist allein eine Entscheidung dieses Nutzers. Dementsprechend unterliegt ein Antrag auf Zugang zu solchen Daten nach Art. 15 DSGVO der in Art. 15 Abs. 4 DSGVO und Erwägungsgrund 63 anerkannten Grenze, wonach das Recht auf Erhalt einer Kopie die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf — einschließlich der Vertraulichkeit des analytischen Arbeitsergebnisses eines Nutzers und etwaiger anwendbarer Geschäftsgeheimnisse.

20. Änderungen dieser Erklärung

Diese Erklärung kann aktualisiert werden, um Änderungen der Funktionen der Plattform, der geltenden Gesetzgebung oder der regulatorischen Leitlinien widerzuspiegeln. Änderungen werden auf dieser Seite mit einem aktualisierten Datum veröffentlicht. Soweit Änderungen die Verarbeitung personenbezogener Daten wesentlich betreffen, werden die Nutzer bei ihrer nächsten Anmeldung benachrichtigt.