Alle personenbezogenen Prospektierungsdaten werden ausschließlich auf EU-Servern gespeichert (Frankfurt-Region, AWS EU-Central-1). Für Schweizer Daten: separate Datenbankinstanz mit Schweiz-Residenz-Option. Für kanadische Daten: separate Instanz auf AWS Canada (Montreal).

Keine Datenmigration zwischen Regionen ohne expliziten SCCs-Rahmenvertrag. Daten-Governance-Dokumentation für jeden Datenfluss automatisch generiert und im Mandanten-Dashboard verfügbar.

Stufe 1: Kontakt-Level-Opt-out — individuelle E-Mail-Adresse wird sofort und dauerhaft auf die Unterdrückungsliste gesetzt. Stufe 2: Organisations-Level-Opt-out — bei geteilten Postfächern oder Rollen-E-Mails wird die gesamte Domain auf die Unterdrückungsliste gesetzt.

Stufe 3: Automatische Benachrichtigung des Kunden bei Opt-outs über Entscheider-Level-Kontakte, damit die CRM-Datensätze synchronisiert werden können. Verarbeitungszeit: 72 Stunden maximale Frist (DSGVO), in der Praxis < 4 Stunden.

Für jeden Prospektierungslauf wird automatisch ein Verarbeitungsverzeichnis-Eintrag nach Art. 30 DSGVO generiert: Verarbeitungszweck, Rechtsgrundlage, Datenkategorien, Datenquellen, Empfänger, Löschfristen, Unterauftragnehmer.

Audit-Trail: jede Datenoperation (Hinzufügen, Anreicherung, Sequenzversand, Opt-out, Löschung) wird mit Zeitstempel, Operationstyp und Nutzer-ID protokolliert. Aufbewahrungsdauer des Audit-Trails: 5 Jahre.