DSGVO-Konformität

Zuletzt aktualisiert: Mai 2026

Bei Vanaheim SRL („Lambda“, Unternehmenswebsite vanaheim.io, Produktwebsite onlambda.com) steht der Datenschutz im Mittelpunkt der Entwicklung und des Betriebs unserer Plattform. Als in Rumänien ansässiges Unternehmen, das KI-gestützte Kommunikationswerkzeuge für dienstleistungsorientierte Unternehmen bereitstellt, nehmen wir unsere Verpflichtungen gemäß der EU-Datenschutz-Grundverordnung (DSGVO – Verordnung 2016/679) und dem rumänischen Gesetz 190/2018 ernst.

Diese Seite bietet einen Überblick über unsere Maßnahmen zur Einhaltung der DSGVO. Ausführliche Informationen darüber, wie wir personenbezogene Daten verarbeiten, finden Sie in unserer Datenschutzerklärung.

1. Unsere Rolle: Verantwortlicher und Auftragsverarbeiter

Lambda ist im Rahmen der DSGVO in zwei Funktionen tätig:

• Verantwortlicher – Für die personenbezogenen Daten unserer Geschäftskunden (Kontoinformationen, Abrechnungsdaten, Website-Besucher). Wir legen die Zwecke und Mittel der Verarbeitung dieser Daten fest.
• Auftragsverarbeiter – Für Kundendaten, die im Auftrag unserer Geschäftskunden verarbeitet werden. Die Unternehmen sind die Verantwortlichen für ihre Kundendaten und legen fest, wie diese verarbeitet werden. Wir handeln ausschließlich auf deren Anweisung hin.

2. Datenverarbeitungsvereinbarung (DPA)

Wir bieten allen Geschäftskunden eine umfassende Datenverarbeitungsvereinbarung gemäß Artikel 28 der DSGVO an. Die DPA umfasst:

• den Umfang, die Art und den Zweck der Datenverarbeitung
• Arten der verarbeiteten personenbezogenen Daten und Kategorien der betroffenen Personen
• Pflichten und Rechte des Verantwortlichen (Unternehmen) und des Auftragsverarbeiters (Lambda)
• Verwaltung von Unterauftragsverarbeitern und Genehmigungsverfahren
• Anforderungen und Maßnahmen zur Datensicherheit
• Meldepflichten bei Datenschutzverletzungen
• Rückgabe und Löschung von Daten bei Vertragsbeendigung
• Prüfungs- und Einsichtsrechte

Um eine Kopie unserer DPA anzufordern, kontaktieren Sie uns bitte unter [email protected].

3. Datenstandort: Azure Westeuropa

Alle Kundendaten werden innerhalb der Europäischen Union verarbeitet und gespeichert. Unsere Infrastruktur wird in der Region „West-Europa“ von Microsoft Azure (Rechenzentren in den Niederlanden) betrieben, wodurch Folgendes gewährleistet ist:

• die Datenverlagerung innerhalb der EU zu jeder Zeit
• Einhaltung der Anforderungen der DSGVO an die Datenlokalisierung
• Zugang zu den Compliance-Zertifizierungen von Microsoft auf Unternehmensniveau, einschließlich ISO 27001, SOC 2 und DSGVO-Konformitätsbescheinigungen
• Physische Sicherheit, Redundanz und Disaster-Recovery-Fähigkeiten der EU-Einrichtungen von Azure

Wir übermitteln keine personenbezogenen Daten außerhalb der EU/des EWR, es sei denn, es bestehen angemessene Schutzmaßnahmen (wie Standardvertragsklauseln oder eine Angemessenheitsentscheidung), und solche Übermittlungen sind in unserer Datenschutzerklärung dokumentiert.

4. Sicherheitsmaßnahmen

Wir setzen umfassende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß Artikel 32 der DSGVO um:

Technische Maßnahmen

• Verschlüsselung während der Übertragung: Alle zwischen Kunden und unseren Servern übertragenen Daten werden mit TLS 1.2 oder höher verschlüsselt.
• Verschlüsselung im Ruhezustand: Alle gespeicherten Daten werden mit einer AES-256-Verschlüsselung verschlüsselt.
• Zugriffskontrollen: Die rollenbasierte Zugriffskontrolle (RBAC) beschränkt den Datenzugriff ausschließlich auf autorisiertes Personal.
• Authentifizierung: Sichere Authentifizierungsmechanismen schützen den Zugriff auf die Plattform und interne Systeme.
• Netzwerksicherheit: Cloudflare bietet DDoS-Schutz, eine Web Application Firewall (WAF) und Traffic-Filterung.
• Schwachstellenmanagement: Regelmäßige Sicherheitsbewertungen, Penetrationstests und Abhängigkeitsscans.
• Protokollierung und Überwachung: Umfassende Audit-Protokollierung von Datenzugriffen und Systemereignissen.

Organisatorische Maßnahmen

• Datenschutzschulungen für alle Teammitglieder
• Interne Datenschutzrichtlinien und -verfahren
• Prinzip der geringsten Berechtigungen für den Systemzugriff
• Sorgfaltspflicht gegenüber Anbietern und Anforderungen der Datenschutzvereinbarung für alle Unterauftragsverarbeiter
• Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen

5. Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten befolgen wir einen strukturierten Prozess zur Reaktion auf Vorfälle gemäß den Artikeln 33 und 34 der DSGVO:

• Erkennung und Bewertung: Wir unterhalten Überwachungssysteme, um potenzielle Verletzungen umgehend zu erkennen und deren Umfang, Schweregrad und potenzielle Auswirkungen zu bewerten.
• Meldung an die Aufsichtsbehörde: Wenn eine Verletzung wahrscheinlich ein Risiko für die Rechte und Freiheiten von Personen darstellt, melden wir dies der rumänischen Aufsichtsbehörde (ANSPDCP) innerhalb von 72 Stunden nach Bekanntwerden der Verletzung, wie in Artikel 33 der DSGVO vorgeschrieben.
• Benachrichtigung der für die Verarbeitung Verantwortlichen: Wenn wir als Auftragsverarbeiter tätig sind, benachrichtigen wir das betroffene Unternehmen (den für die Verarbeitung Verantwortlichen) unverzüglich, nachdem wir von der Verletzung Kenntnis erlangt haben, damit dieses seinen eigenen Benachrichtigungspflichten nachkommen kann.
• Benachrichtigung der betroffenen Personen: Wenn eine Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt, werden wir die betroffenen Personen gemäß Artikel 34 DSGVO direkt benachrichtigen (oder das Unternehmen dabei unterstützen).
• Dokumentation: Alle Datenschutzverletzungen, einschließlich derjenigen, die keiner Benachrichtigung bedürfen, werden unter Angabe der Einzelheiten der Verletzung, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen dokumentiert.

6. Rechte der betroffenen Personen

Wir unterstützen und erleichtern die Ausübung der Rechte betroffener Personen gemäß den Artikeln 15–22 der DSGVO:

• Auskunftsrecht (Art. 15) – Betroffene Personen können eine Bestätigung darüber verlangen, ob wir ihre Daten verarbeiten, und eine Kopie davon erhalten.
• Recht auf Berichtigung (Art. 16) – Betroffene Personen können die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17) – Betroffene Personen können die Löschung ihrer Daten beantragen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
• Recht auf Einschränkung der Verarbeitung (Art. 18) – Betroffene Personen können unter bestimmten Umständen die Einschränkung der Verarbeitung verlangen.
• Recht auf Benachrichtigung (Art. 19) – Wir benachrichtigen die betroffenen Empfänger, wenn Daten berichtigt, gelöscht oder deren Verarbeitung eingeschränkt wird.
• Recht auf Datenübertragbarkeit (Art. 20) – Betroffene Personen können ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten.
• Widerspruchsrecht (Art. 21) – Betroffene Personen können der Verarbeitung aufgrund eines berechtigten Interesses widersprechen.
• Rechte im Zusammenhang mit automatisierten Entscheidungen (Art. 22) – Betroffene haben das Recht, nicht Entscheidungen zu unterliegen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und rechtliche oder erhebliche Auswirkungen haben.

Für Geschäftskunden: Senden Sie Anfragen direkt an [email protected]. Wir antworten innerhalb von 30 Tagen.

Für Kunden: Da Ihr Dienstleister der für die Datenverarbeitung Verantwortliche ist, wenden Sie sich bitte zunächst an diesen. Wir werden mit dem Unternehmen zusammenarbeiten, um Anfragen umgehend zu bearbeiten.

7. Unterauftragsverarbeiter

Wir wählen Unterauftragsverarbeiter sorgfältig aus und schließen mit jedem von ihnen Datenverarbeitungsvereinbarungen ab. Unsere derzeitigen Unterauftragsverarbeiter sind:

• Microsoft Azure – Cloud-Infrastruktur, Hosting und KI-Verarbeitung (EU Westeuropa – Niederlande)
• Meta Platforms / WhatsApp – WhatsApp Business API-Messaging-Infrastruktur (EU Irland / weltweit)
• Cloudflare – CDN, DDoS-Schutz und Website-Sicherheit (weltweit mit bevorzugtem Routing in die EU)

Geschäftskunden werden gemäß der Datenverarbeitungsvereinbarung über Änderungen an unserer Liste der Unterauftragsverarbeiter informiert.

8. Aufsichtsbehörde

Unsere federführende Aufsichtsbehörde ist die rumänische nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten:

ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal)
Website: anspdcp.ro

Einzelpersonen in jedem EU-Mitgliedstaat können zudem eine Beschwerde bei ihrer lokalen Aufsichtsbehörde einreichen.

9. Kontakt

Bei Fragen zu unserer Einhaltung der DSGVO, zur Beantragung einer Datenschutzvereinbarung (DPA) oder zur Ausübung Ihrer Rechte als betroffene Person kontaktieren Sie uns bitte unter:

Vanaheim SRL
Rumänien, Europäische Union
Unternehmenswebsite: vanaheim.io
Produktwebsite: onlambda.com
E-Mail:
[email protected] Datenschutzanfragen: [email protected]