Papermark ist DSGVO-konform in allen virtuellen Datenraum-, Dokumentenfreigabe- und Analyse-Workflows. Wir agieren als Auftragsverarbeiter (im Sinne der DSGVO) für Kunden, die Daten von EU-Bürgern verarbeiten, bieten einen unterzeichneten Auftragsverarbeitungsvertrag (AVV), führen eine öffentliche Liste der Unterauftragsverarbeiter und unterstützen EU-Datenresidenz für Bereitstellungen, die dies erfordern. Die vollständige Sicherheits- und Compliance-Übersicht (Verschlüsselung, Hosting-Regionen, Zertifizierungen) finden Sie auf der Papermark-Sicherheitsseite.
Dieser Leitfaden erklärt ausführlich, wie wir jede DSGVO-Anforderung erfüllen und was dies für Kunden bedeutet, die EU-regulierte Workflows auf Papermark betreiben.
Die Datenschutz-Grundverordnung (DSGVO) ist ein umfassendes Datenschutzgesetz der Europäischen Union, das regelt, wie Organisationen personenbezogene Daten von EU-Bürgern erfassen, verarbeiten, speichern und schützen. Sie gilt für jede Organisation, die Daten von EU-Bürgern verarbeitet, unabhängig vom Standort der Organisation. Bei Nichteinhaltung drohen Bußgelder von bis zu 4 % des weltweiten Umsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist.
Die DSGVO basiert auf sieben Grundsätzen: rechtmäßige Verarbeitung, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht. Für einen virtuellen Datenraum, der vertrauliche Geschäftsdokumente mit personenbezogenen Daten von Mitarbeitern, Investoren oder Vertragspartnern verarbeitet, ist die DSGVO-Konformität nicht optional.
Virtuelle Datenräume verarbeiten routinemäßig personenbezogene Daten im Rahmen von M&A-, Fundraising- und Audit-Workflows: Personalakten bei HR-Due-Diligence, Kontaktdaten von Investoren, Unterzeichner von Kundenverträgen, personenbezogene Daten von LP-Investoren. Vier Gründe machen die DSGVO-Konformität für die Auswahl eines VDR unerlässlich.
Globale Reichweite. Die DSGVO gilt für jede Organisation, die Daten von EU-Bürgern verarbeitet, unabhängig vom eigenen Standort der Organisation. Ein US-Unternehmen, das Kapital von europäischen LPs einwirbt, muss einen DSGVO-konformen VDR verwenden.
Rechtliche Risiken. Bußgelder bei Nichteinhaltung skalieren mit dem weltweiten Umsatz: bis zu 4 % oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist. Die Verwendung eines nicht konformen VDR schafft Haftungsrisiken für den Kunden, nicht nur für den Anbieter.
Anbieter-Due-Diligence. EU-Kunden verlangen zunehmend DSGVO-Dokumentation (Auftragsverarbeitungsvertrag, Liste der Unterauftragsverarbeiter, Datenspeicherort) im Rahmen des Anbieter-Onboardings. Ein nicht DSGVO-konformer VDR fällt bei dieser Prüfung durch.
Vertrauen der betroffenen Personen. EU-Aufsichtsbehörden und Gerichte prüfen grenzüberschreitende Datenübermittlungen zunehmend kritisch, insbesondere an US-Cloud-Anbieter nach Schrems II. Ein VDR mit dokumentierter DSGVO-Compliance reduziert dieses Risiko.
Papermark fungiert als Auftragsverarbeiter für Kunden, die Verantwortliche der von ihnen hochgeladenen Informationen sind. Wir verarbeiten personenbezogene Daten gemäß den Weisungen unserer Kunden, wie in unserem AVV definiert.
Papermark verarbeitet personenbezogene Daten auf vier Rechtsgrundlagen, je nach Anwendbarkeit:
Betroffene Personen (die Personen, deren Daten verarbeitet werden) können die folgenden Rechte über ihr Konto oder durch einen formellen Antrag ausüben:
Technische Kontrollen von Papermark zur Unterstützung der DSGVO-Compliance:
Drei Dokumente bilden die DSGVO-Dokumentation auf Beschaffungsebene, die EU-Käufer typischerweise bei Lieferantenbewertungen anfordern.
Ein AVV ist der rechtliche Vertrag zwischen einem Verantwortlichen (Kunde) und einem Auftragsverarbeiter (Papermark), der die Bedingungen der Verarbeitung, die Rechte der betroffenen Personen, Sicherheitsverpflichtungen und Meldeverfahren bei Datenschutzverletzungen gemäß Artikel 28 der DSGVO festlegt. Papermark stellt einen Standard-AVV zur Verfügung, der zur Prüfung und Unterzeichnung bereitsteht, und unterstützt kundenspezifische Anpassungen für Unternehmensverträge.
Papermark führt eine öffentliche Liste der Unterauftragsverarbeiter, die alle Drittparteien identifiziert, die im Rahmen der Leistungserbringung Kundendaten verarbeiten (Infrastrukturanbieter, E-Mail-Zustellung, Analyse-Tools). Für jeden Unterauftragsverarbeiter dokumentiert die Liste die erbrachte Leistung, die verarbeiteten Daten und das Tätigkeitsland. Kunden werden im Voraus über wesentliche Änderungen bei Unterauftragsverarbeitern informiert.
Für Kunden, die verlangen, dass ihre Daten innerhalb der EU verbleiben (grenzüberschreitende Übermittlungsbeschränkungen nach Schrems II, regulierte Branchen, Anforderungen an Datensouveränität), unterstützt Papermark:
| DSGVO-Artikel | Anforderung | Wie Papermark dies umsetzt |
|---|---|---|
| Art. 5 | Grundsätze der Verarbeitung | Dokumentierte Rechtsgrundlage, zweckgebundene, minimierte Datenerhebung |
| Art. 6 | Rechtmäßigkeit | Vertrag, berechtigtes Interesse, Einwilligung, rechtliche Verpflichtung je nach Anwendbarkeit |
| Art. 12-14 | Transparenz und Information | Datenschutzerklärung, Cookie-Hinweis, kontobezogene Verarbeitungsaufzeichnungen |
| Art. 15-22 | Rechte der betroffenen Person | Produktintegrierte Kontrollen und formalisierter Antragsworkflow |
| Art. 25 | Datenschutz durch Technikgestaltung | Datenschutz als Teil der Produktentwicklung geprüft |
| Art. 28 | Pflichten des Auftragsverarbeiters | Unterzeichnete AVV, dokumentierte Verarbeitungstätigkeiten |
| Art. 30 | Verzeichnis von Verarbeitungstätigkeiten | Internes VVT geführt |
| Art. 32 | Sicherheit der Verarbeitung | AES-256, TLS 1.3, MFA, Audit-Protokoll, SOC 2 Type II |
| Art. 33-34 | Meldung von Datenschutzverletzungen | 72-Stunden-Meldung, dokumentierte Incident Response |
| Art. 35 | Datenschutz-Folgenabschätzung | Durchgeführt für risikoreiche Verarbeitungstätigkeiten |
| Art. 44-50 | Grenzüberschreitende Übermittlungen | EU-Residenzoptionen, Standardvertragsklauseln für internationale Übermittlungen |
Für in der EU ansässige Kunden. Papermark erfüllt die lokalen Datenschutzanforderungen, unterstützt Ihre Compliance-Verpflichtungen und stellt die AVV- und Unterauftragsverarbeiter-Dokumentation bereit, die Ihr Rechtsteam für Lieferantenbewertungen benötigt.
Für internationale Kunden, die EU-Daten verarbeiten. Die DSGVO-Ausrichtung von Papermark ermöglicht es Ihnen, M&A-, Fundraising- und Due-Diligence-Workflows mit EU-Bürgern durchzuführen, ohne zusätzliche Compliance-Risiken zu schaffen.
Für Due-Diligence-Workflows. Rechts- und Finanzfachleute können grenzüberschreitende Prüfungen durchführen in dem Wissen, dass die Plattform die DSGVO-Anforderungen für die Verarbeitung personenbezogener Daten erfüllt.
Für Fundraising-Aktivitäten. Startups, die Kapital von europäischen LPs einwerben, können durch ihre Wahl des VDR DSGVO-Konformität nachweisen, was zunehmend eine Beschaffungsanforderung für institutionelle europäische LPs darstellt.
Seiten-für-Seiten-Dokumentenanalysen liefern die von Artikel 30 geforderte Prüfspur:
Die vollständige Liste der Zertifizierungen, Hosting-Regionen, Verschlüsselungsstandards sowie die öffentliche AVV- und Auftragsverarbeiterliste finden Sie auf der Papermark-Sicherheitsseite.
| Funktion | Papermark |
|---|---|
| DSGVO-konform | ✔️ |
| AVV verfügbar | ✔️ |
| Öffentliche Auftragsverarbeiterliste | ✔️ |
| EU-Datenresidenz | ✔️ (Enterprise, Self-Hosted) |
| SOC 2 Type II | ✔️ |
| ISO 27001 | Über Self-Hosted-Bereitstellung |
| HIPAA | Über Self-Hosted + BAA (Enterprise) |
| Verschlüsselung im Ruhezustand | AES-256 |
| Verschlüsselung bei Übertragung | TLS 1.3 |
| MFA | ✔️ |
| Audit-Protokollierung | Nur-Anhängen, exportierbar |
| 72-Stunden-Meldepflicht bei Verstößen | ✔️ |
| Self-Hosted-Option | ✔️ (AGPL Open-Source) |
Papermark SOC 2 Type II Compliance erklärt: die fünf Trust Services-Kriterien, Prüfungsumfang und was es für M&A, Fundraising und regulierte VDR-Workflows bedeutet.
Firmex VDR-Preise 2026 – vertriebsgesteuerte Abonnementpläne, projektbasierte Angebote (5.000–10.000 $ pro 3 Monate), was tatsächlich enthalten ist und wie es im Vergleich zu Papermark abschneidet.
So richten Sie 2026 einen Due-Diligence-Datenraum ein. Behandelt Käufer- vs. Verkäufer-Workflows, Dokumenten-Checkliste, Zeitplan, Sicherheit und die 8 Arten der Due Diligence.
