ISMS Copilot
Rechtliches

Richtlinie zur angemessenen Nutzung (AUP)

Zuletzt aktualisiert: Januar 2026

Diese Richtlinie zur angemessenen Nutzung (AUP) regelt Ihre Nutzung der Dienste von ISMS Copilot. Durch den Zugriff auf oder die Nutzung unserer Plattform erklären Sie sich damit einverstanden, diese Richtlinie und unsere Nutzungsbedingungen einzuhalten. Wir haben ISMS Copilot entwickelt, um Fachleute für Informationssicherheit und Compliance bei anspruchsvollen Aufgaben zu unterstützen, und wir erwarten von allen Nutzern, dass sie die Plattform verantwortungsbewusst und ethisch nutzen.

Diese Richtlinie ergänzt unsere bestehende Übersicht über KI-Sicherheit & verantwortungsvolle Nutzung und den Leitfaden „Wie man ISMS Copilot verantwortungsbewusst nutzt“. Zusammen helfen diese Dokumente dabei, eine sichere, effektive und rechtskonforme Nutzung von KI in Compliance-Workflows zu gewährleisten.

Allgemein untersagte Aktivitäten

Sie dürfen ISMS Copilot nicht verwenden, um sich an den folgenden Aktivitäten zu beteiligen oder diese zu ermöglichen:

Illegale oder betrügerische Aktivitäten

  • Verstoß gegen geltende Gesetze, Vorschriften oder rechtliche Verpflichtungen

  • Erstellung betrügerischer Compliance-Dokumentationen, Zertifizierungen oder Audit-Berichte

  • Erstellung falscher Belege für die Einhaltung gesetzlicher Vorschriften (ISO 27001, SOC 2, DSGVO, NIS2, DORA usw.)

  • Fehldarstellung von Audit-Ergebnissen oder Sicherheitsstatus gegenüber Stakeholdern, Auditoren oder Regulierungsbehörden

  • Geldwäsche, Betrug oder andere Finanzverbrechen

  • Ermöglichung des unbefugten Zugriffs auf Systeme oder Daten

Sicherheit und Systemintegrität

  • Versuch, die Infrastruktur oder die Sicherheitskontrollen von ISMS Copilot zu kompromittieren, zu hacken oder auszunutzen

  • Zugriff oder Versuch des Zugriffs auf System-Prompts, interne Daten oder zugrunde liegende KI-Modelle

  • Reverse Engineering, Dekompilierung oder Extraktion proprietärer Wissensdatenbanken

  • Jailbreaking oder Prompt-Injection-Angriffe zur Umgehung von Sicherheitsvorkehrungen

  • Erstellung von Malware, Exploits oder Angriffswerkzeugen (Ransomware, Keylogger, Phishing-Kits usw.)

  • Durchführung automatisierter Angriffe, Schwachstellen-Scans oder Penetrationstests gegen die Plattform ohne schriftliche Genehmigung

  • Überlastung oder Beeinträchtigung der Dienstverfügbarkeit durch übermäßige Anfragen oder Missbrauch

Verletzungen der Privatsphäre und des Datenschutzes

  • Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheits-, biometrische, genetische Daten) ohne entsprechende Rechtsgrundlage gemäß DSGVO

  • Hochladen oder Teilen von personenbezogenen Daten (PII) ohne berechtigtes geschäftliches Erfordernis und angemessene Schutzmaßnahmen

  • Nutzung von ISMS Copilot zur unbefugten Überwachung, Profilerstellung oder Verfolgung von Personen

  • Verletzung von Betroffenenrechten oder Verarbeitungspflichten gemäß DSGVO, CCPA oder anderen Datenschutzbestimmungen

  • Weitergabe vertraulicher Kundendaten über isolierte Workspaces hinweg oder an unbefugte Parteien

Beachten Sie die Grundsätze der Datenminimierung. Verwenden Sie rollenbasierte Beispiele („IT-Manager“) anstelle von echten Namen. Lesen Sie unsere Datenschutzerklärung und den Auftragsverarbeitungsvertrag für Best Practices.

Schädliche oder unethische Inhalte

  • Erstellung von Inhalten, die Gewalt, Hass, Belästigung oder Diskriminierung fördern

  • Erstellung von Inhalten im Zusammenhang mit sexuellem Kindesmissbrauch (CSAM) oder der Ausbeutung von Kindern

  • Produktion von Inhalten, die darauf abzielen, Einzelpersonen oder Gruppen zu bedrohen, einzuschüchtern oder zu schädigen

  • Erstellung von sexuell explizitem Material ohne legitimen Compliance-Kontext (z. B. Entwurf von Richtlinien zur akzeptablen Nutzung)

  • Erstellung von Desinformation, Fehlinformation oder irreführenden Compliance-Anleitungen mit Täuschungsabsicht

Missbrauch von Compliance- und Sicherheitsergebnissen

  • Darstellung von KI-generierten Richtlinien, Verfahren oder Risikobewertungen als endgültige, audit-bereite Ergebnisse ohne menschliche Überprüfung und Anpassung

  • Nutzung der Ergebnisse zur Bereitstellung von Rechts-, Buchhaltungs- oder professioneller Compliance-Beratung ohne entsprechende Qualifikationen

  • Einreichung ungeprüfter KI-generierter Dokumentationen direkt bei Auditoren oder Zertifizierungsstellen

  • Wörtliches Kopieren oder Reproduzieren von urheberrechtlich geschützten Standards (ISO 27001, NIST-Frameworks usw.) wörtlich (siehe unsere Richtlinie zur Einhaltung des geistigen Eigentums)

  • Behauptung, dass die Ergebnisse von ISMS Copilot eine Zertifizierung, Compliance oder behördliche Genehmigung garantieren

ISMS Copilot ist ein Assistent, kein Ersatz für fachliche Expertise. Überprüfen Sie die Ergebnisse immer anhand offizieller Standards, passen Sie sie an den Kontext Ihrer Organisation an und ziehen Sie qualifizierte Compliance-Experten für die finalen Prüfungen hinzu.

Plattformmissbrauch

  • Erstellung mehrerer Konten zur Umgehung von Nutzungskontingenten oder Abonnementlimits

  • Weitergabe von Zugangsdaten an unbefugte Nutzer

  • Weiterverkauf, Weitervertrieb oder White-Labeling von ISMS Copilot-Diensten ohne Genehmigung

  • Nutzung der Plattform, um mit dem Geschäft von ISMS Copilot zu konkurrieren oder dieses zu untergraben

  • Scraping, Harvesting oder Massen-Download von Inhalten oder Materialien aus der Wissensdatenbank

Anforderungen für Hochrisiko-Nutzung

Bestimmte Nutzungen von ISMS Copilot sind mit erhöhten Compliance-, rechtlichen oder Reputationsrisiken verbunden. Wenn Sie unsere Plattform für die folgenden Zwecke nutzen, müssen Sie zusätzliche Schutzmaßnahmen implementieren:

Audit- und Zertifizierungsprozesse

Bei der Verwendung von ISMS Copilot-Ergebnissen in formellen Audits (ISO 27001, SOC 2 usw.) oder Zertifizierungseinreichungen:

  • Menschliche Überprüfung erforderlich: Alle KI-generierten Inhalte müssen von qualifizierten Compliance- oder Sicherheitsexperten überprüft und genehmigt werden

  • Überprüfung anhand von Standards: Gleichen Sie die Ergebnisse mit den offiziellen Framework-Anforderungen ab (Anhang A Controls, SOC 2 Kriterien usw.)

  • Anpassung obligatorisch: Passen Sie generische Ergebnisse an den spezifischen Kontext, das Risikoumfeld und die Kontrollen Ihrer Organisation an

  • Offenlegung empfohlen: Erwägen Sie, Auditoren darüber zu informieren, dass KI-Tools bei der Vorbereitung der Dokumentation unterstützt haben

Behördliche Einreichungen und rechtliche Dokumentation

Bei der Verwendung von Ergebnissen für behördliche Einreichungen (DSGVO-DSFVs, NIS2-Vorfallsmeldungen, DORA-Compliance-Dokumentation):

  • Rechtliche Prüfung erforderlich: Beziehen Sie die Rechtsabteilung oder qualifizierte Compliance-Beauftragte in die finale Prüfung ein

  • Überprüfung der Richtigkeit: Stellen Sie die sachliche Richtigkeit aller Aussagen sicher, insbesondere in Bezug auf implementierte Kontrollen und Risikobewertungen

  • Keine urheberrechtlich geschützte Reproduktion: Reichen Sie keine KI-generierten Inhalte ein, die urheberrechtlich geschützte Standardtexte reproduzieren

Kundenbezogene Leistungen

Wenn Sie als Berater oder Dienstleister ISMS Copilot nutzen, um Leistungen für Kunden zu erstellen:

  • Workspace-Isolierung: Verwenden Sie für jeden Kunden separate Workspaces, um die Vertraulichkeit zu wahren

  • Berufliche Standards: Wenden Sie dieselben Qualitätskontrollen und professionellen Standards an, die Sie auch bei manuell erstellten Arbeiten anwenden würden

  • Zustimmung des Kunden: Prüfen Sie, ob Kundenvereinbarungen die Offenlegung der Nutzung von KI-Tools erfordern

  • Eigentum an Ergebnissen: Vergewissern Sie sich, dass Sie das Recht haben, KI-generierte Inhalte im Rahmen Ihrer Serviceverträge zu liefern

Verwenden Sie benutzerdefinierte Anweisungen in Workspaces, um Ergebnisse auf spezifische Kundenkontexte, Branchen oder regulatorische Umgebungen zuzuschneiden. Dies verbessert die Genauigkeit und reduziert generische Inhalte.

Ausrichtung an der EU-KI-Verordnung (EU AI Act)

ISMS Copilot ist so konzipiert, dass es die Anforderungen der EU-KI-Verordnung für KI-Systeme mit allgemeinem Verwendungszweck erfüllt. Wir untersagen Nutzungen, die unter die verbotenen Praktiken der Verordnung fallen:

  • Social-Scoring- oder Bewertungssysteme, die die Rechte von Einzelpersonen verletzen

  • Manipulative oder täuschende Techniken, die Schwachstellen ausnutzen

  • Biometrische Identifizierung für die Strafverfolgung ohne ordnungsgemäße Genehmigung

  • Hochrisiko-Anwendungen ohne angemessene menschliche Aufsicht (siehe unsere obigen Anforderungen für Hochrisiko-Nutzung)

Unsere Plattform umfasst technische Schutzmaßnahmen gegen Halluzinationen, Jailbreak-Versuche und die Reproduktion urheberrechtlich geschützter Inhalte. Erfahren Sie mehr über unseren Ansatz in unserer Übersicht über KI-Sicherheit & verantwortungsvolle Nutzung.

Durchsetzung

Wir überwachen die Nutzung auf Verstöße gegen diese Richtlinie durch automatisierte Systeme und Nutzermeldungen. Wenn wir verbotene Aktivitäten feststellen, können wir:

  • Verwarnungen aussprechen bei geringfügigen oder unbeabsichtigten Verstößen

  • Zugriff drosseln oder einschränken bei missbräuchlichen Nutzungsmustern

  • Konten vorübergehend sperren bei schwerwiegenden Verstößen

  • Konten dauerhaft kündigen bei wiederholten oder eklatanten Verstößen

  • Kosten zurückfordern für Untersuchung, Schadensbegrenzung und Behebung, wie in Abschnitt 14 unserer Nutzungsbedingungen beschrieben

  • Meldung an Behörden, wenn dies gesetzlich vorgeschrieben ist (Betrug, CSAM, illegale Aktivitäten)

Wir untersuchen Meldungen nach bestem Wissen und Gewissen und bieten Widerspruchsverfahren für unrechtmäßige Durchsetzungsmaßnahmen an. Kontaktieren Sie [email protected], wenn Sie glauben, dass gegen Ihr Konto irrtümlich Maßnahmen ergriffen wurden.

Meldung von Verstößen

Wenn Sie auf Aktivitäten aufmerksam werden, die gegen diese Richtlinie verstoßen, melden Sie diese bitte an:

  • E-Mail: [email protected]

  • Betreff: „AUP Violation Report“

  • Include: Beschreibung des Verstoßes, relevante Kontodaten (sofern bekannt) und etwaige Beweismittel

Wir prüfen alle Meldungen und ergreifen angemessene Maßnahmen. Wir legen die Identität der meldenden Person nicht ohne Zustimmung offen.

Änderungen an dieser Richtlinie

Wir können diese Richtlinie zur angemessenen Nutzung aktualisieren, um neuen Risiken, regulatorischen Anforderungen oder Plattformfunktionen Rechnung zu tragen. Wir werden die Nutzer über wesentliche Änderungen per E-Mail oder über Plattformbenachrichtigungen informieren. Die fortgesetzte Nutzung von ISMS Copilot nach Aktualisierungen gilt als Annahme der überarbeiteten Richtlinie.

Fragen zu dieser Richtlinie? Kontaktieren Sie unser Team unter [email protected] oder lesen Sie unseren Leitfaden zur verantwortungsvollen Nutzung für praktische Ratschläge zur Umsetzung.

Zugehörige Ressourcen

  • Nutzungsbedingungen – Vollständige rechtliche Vereinbarung über Ihre Nutzung von ISMS Copilot (kanonische Version im Trust Center)

  • Datenschutzerklärung – Wie wir mit Ihren personenbezogenen Daten umgehen

  • Auftragsverarbeitungsvertrag (AVV) – Verarbeitungsbedingungen gemäß DSGVO Artikel 28

  • Übersicht über KI-Sicherheit & verantwortungsvolle Nutzung – Technische Schutzmaßnahmen und Einschränkungen

  • Wie man ISMS Copilot verantwortungsbewusst nutzt – Best Practices für Compliance-Experten

War das hilfreich?