Datenschutz & Compliance
Auftragsverarbeitungsvertrag (AVV)
Gemäß Art. 28 DSGVO ist zwischen Mandea (als Auftragsverarbeiter) und jeder Organisation, die personenbezogene Daten ihrer Mitglieder in Mandea verarbeitet (als Verantwortliche), ein Auftragsverarbeitungsvertrag abzuschließen.
Verantwortliche und Auftragsverarbeiter
Auftragsverarbeiter: Jakob Secklehner, Maroltingergasse 57, 1160 Wien (Betreiber von Mandea / mandea.jusera.at).
Verantwortliche: Die jeweilige Organisation (Tenant), die Mandea für ihre Mitglieder nutzt.
Gegenstand der Verarbeitung
Mandea verarbeitet im Auftrag der Organisation folgende Datenkategorien:
- E-Mail-Adressen der Mitglieder (Anmeldung, Benachrichtigungen)
- Lernfortschritte und Quizantworten (Compliance-Nachweise)
- Hochgeladene Richtlinientexte (verschlüsselt, AES-256-GCM)
Technische und organisatorische Maßnahmen
Verschlüsselung: Richtlinieninhalte werden mit AES-256-GCM verschlüsselt gespeichert. Schlüssel werden pro Organisation mit HKDF abgeleitet und nicht im Klartext gespeichert.
Datenspeicherung: Alle Daten werden in der EU (Supabase EU-Region) gespeichert.
KI-Verarbeitung: KI-Anfragen laufen standardmäßig über Mistral ZDR (Zero Data Retention) – Richtlinieninhalte werden nicht für das Training des Modells verwendet.
Zugriffskontrolle: Row Level Security (RLS) auf Datenbankebene stellt sicher, dass nur Mitglieder der jeweiligen Organisation auf ihre Daten zugreifen können.
Audit-Log: Administrative Aktionen werden mit Zeitstempel protokolliert; CSV-Export steht für Audit-Zwecke zur Verfügung.
Unterauftragsverarbeiter
| Dienst | Zweck | Standort |
|---|---|---|
| Supabase | Datenbank, Auth, Storage | EU |
| Mistral AI (ZDR) | KI-Fragengeneration (Zero Data Retention) | EU |
| IONOS | Applikationsserver | EU |
AVV abschließen
Zur Unterzeichnung eines individuellen AVV wenden Sie sich bitte an: jusera@posteo.at. Wir stellen Ihnen einen AVV gemäß Art. 28 DSGVO zur Verfügung.
Stand: Juni 2026