GDPR Compliance

Last updated: 1 May 2025

1. Our commitment

Vindaris is built for European businesses and is designed to be fully compliant with the General Data Protection Regulation (GDPR / Regulation (EU) 2016/679). We store all data in the EU, minimise what we collect, and give you full control over your data.

2. Data residency

All customer data is stored exclusively in Germany:

Hetzner Online GmbH
Data centre: Nuremberg, Germany (DE-NBG)
EU/EEA: ✓ ISO 27001: ✓ Third-country transfer: None

No personal data processed by Vindaris in connection with the core platform is transferred to or stored in countries outside the EU/EEA. This means you do not need Standard Contractual Clauses (SCCs) or other transfer mechanisms for data in Vindaris.

3. Legal bases for processing

Art. 6(1)(b) GDPR — Contract performance: processing necessary to provide the Vindaris service to you
Art. 6(1)(f) GDPR — Legitimate interests: security, fraud prevention, service improvement
Art. 6(1)(a) GDPR — Consent: optional analytics cookies (withdrawable at any time)
Art. 6(1)(c) GDPR — Legal obligation: tax and accounting retention requirements

4. Data Processing Agreement (DPA)

A Data Processing Agreement (DPA) pursuant to Art. 28 GDPR is available for all Scale plan customers. If you require a DPA, please contact privacy@vindaris.com.

The DPA covers: the subject matter and duration of processing; the nature and purpose of processing; the type of personal data and categories of data subjects; the obligations and rights of the controller.

5. Subprocessors

We use the following subprocessors that may process personal data on our behalf:

Hetzner Online GmbH
Purpose: Hosting and infrastructure
Location: Nuremberg, Germany (EU)
DPA: In place · Third-country transfer: None

We notify customers of material changes to this list via e-mail at least 14 days in advance. To object to a new subprocessor, contact privacy@vindaris.com within 14 days of notification.

6. Your rights under GDPR

As a data subject you have the following rights, exercisable by contacting privacy@vindaris.com:

Access (Art. 15) — obtain a copy of your personal data
Rectification (Art. 16) — correct inaccurate data
Erasure (Art. 17) — "right to be forgotten" where legally permissible
Restriction (Art. 18) — restrict processing in certain circumstances
Portability (Art. 20) — receive your data in a machine-readable format
Objection (Art. 21) — object to processing based on legitimate interests
Withdraw consent (Art. 7(3)) — for consent-based processing, at any time

We respond to requests within 30 days. In complex cases, we may extend this by a further two months with notice.

7. Data subject request process

To submit a data subject request: e-mail privacy@vindaris.com from the e-mail address associated with your account, specifying the right you wish to exercise. We may ask for additional verification to confirm your identity before processing the request.

8. Supervisory authority

You have the right to lodge a complaint with the supervisory authority in your EU member state. The authority competent for our registered address is:

[Relevant Landesbehörde — to be completed based on registered address]
Example if registered in Bavaria: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA),
Promenade 27, 91522 Ansbach · www.lda.bayern.de

9. Privacy by design and by default

We apply privacy-by-design and privacy-by-default principles (Art. 25 GDPR): data minimisation, pseudonymisation where possible, purpose limitation, storage limitation, and default-off settings for optional data collection.

10. Contact

For all GDPR and data protection matters: privacy@vindaris.com
Full privacy information: Privacy Policy

Deutsche Version

DSGVO-Compliance

Stand: 1. Mai 2025

1. Unser Engagement

Vindaris wurde für europäische Unternehmen entwickelt und ist darauf ausgelegt, vollständig konform mit der Datenschutz-Grundverordnung (DSGVO / Verordnung (EU) 2016/679) zu sein. Wir speichern alle Daten in der EU, minimieren die erhobenen Daten und geben dir die volle Kontrolle über deine Daten.

2. Datenspeicherort

Alle Kundendaten werden ausschließlich in Deutschland gespeichert:

Hetzner Online GmbH
Rechenzentrum: Nürnberg, Deutschland (DE-NBG)
EU/EWR: ✓ ISO 27001: ✓ Drittlandübermittlung: Keine

Keine personenbezogenen Daten, die Vindaris im Rahmen der Kernplattform verarbeitet, werden in Länder außerhalb der EU/des EWR übertragen oder dort gespeichert. Du benötigst daher keine Standardvertragsklauseln (SCC) oder andere Übermittlungsmechanismen für Daten in Vindaris.

3. Rechtsgrundlagen der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Verarbeitung zur Erbringung des Vindaris-Dienstes
Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen: Sicherheit, Betrugsprävention, Dienstverbesserung
Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: optionale Analyse-Cookies (jederzeit widerrufbar)
Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: steuerliche und buchhalterische Aufbewahrungspflichten

4. Auftragsverarbeitungsvertrag (AVV)

Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO steht allen Scale-Plan-Kunden zur Verfügung. Wenn du einen AVV benötigst, kontaktiere bitte privacy@vindaris.com.

Der AVV umfasst: Gegenstand und Dauer der Verarbeitung; Art und Zweck der Verarbeitung; Art der personenbezogenen Daten und Kategorien betroffener Personen; Pflichten und Rechte des Verantwortlichen.

5. Unterauftragsverarbeiter

Wir setzen folgende Unterauftragsverarbeiter ein, die personenbezogene Daten in unserem Auftrag verarbeiten können:

Hetzner Online GmbH
Zweck: Hosting und Infrastruktur
Standort: Nürnberg, Deutschland (EU)
AVV: Abgeschlossen · Drittlandübermittlung: Keine

Wir informieren Kunden über wesentliche Änderungen dieser Liste per E-Mail mindestens 14 Tage im Voraus. Um Widerspruch gegen einen neuen Unterauftragsverarbeiter einzulegen, kontaktiere privacy@vindaris.com innerhalb von 14 Tagen nach der Benachrichtigung.

6. Deine Rechte nach der DSGVO

Als betroffene Person hast du folgende Rechte, die du durch Kontaktaufnahme mit privacy@vindaris.com ausüben kannst:

Auskunftsrecht (Art. 15) — Kopie deiner personenbezogenen Daten
Recht auf Berichtigung (Art. 16) — Korrektur unrichtiger Daten
Recht auf Löschung (Art. 17) — „Recht auf Vergessenwerden" soweit rechtlich zulässig
Recht auf Einschränkung (Art. 18) — Einschränkung der Verarbeitung in bestimmten Fällen
Recht auf Datenübertragbarkeit (Art. 20) — Erhalt deiner Daten in maschinenlesbarem Format
Widerspruchsrecht (Art. 21) — gegen Verarbeitungen auf Basis berechtigter Interessen
Widerruf der Einwilligung (Art. 7 Abs. 3) — für einwilligungsbasierte Verarbeitungen, jederzeit

Wir beantworten Anfragen innerhalb von 30 Tagen. Bei komplexen Fällen können wir diese Frist mit Ankündigung um weitere zwei Monate verlängern.

7. Bearbeitung von Betroffenenanfragen

Um eine Betroffenenanfrage zu stellen: Sende eine E-Mail an privacy@vindaris.com von der mit deinem Konto verknüpften E-Mail-Adresse und gib das Recht an, das du ausüben möchtest. Wir können zur Identitätsverifikation zusätzliche Informationen anfordern.

8. Aufsichtsbehörde

Du hast das Recht, eine Beschwerde bei der Datenschutz-Aufsichtsbehörde in deinem EU-Mitgliedsstaat einzureichen. Die für unseren eingetragenen Sitz zuständige Behörde ist:

[Zuständige Landesbehörde – entsprechend dem eingetragenen Sitz einzutragen]
Beispiel bei Sitz in Bayern: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA),
Promenade 27, 91522 Ansbach · www.lda.bayern.de

9. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Wir wenden die Grundsätze des Datenschutzes durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) an (Art. 25 DSGVO): Datensparsamkeit, Pseudonymisierung wo möglich, Zweckbindung, Speicherbegrenzung und standardmäßig deaktivierte optionale Datenerhebung.

10. Kontakt

Für alle DSGVO- und Datenschutzfragen: privacy@vindaris.com
Vollständige Datenschutzinformationen: Datenschutzerklärung