Richtlinie zur angemessenen Nutzung (AUP)

Zuletzt aktualisiert: Januar 2026

Diese Richtlinie zur angemessenen Nutzung (Acceptable Use Policy – AUP) regelt Ihre Nutzung der Dienste von ISMS Copilot. Durch den Zugriff auf oder die Nutzung unserer Plattform erklären Sie sich damit einverstanden, diese Richtlinie und unsere Nutzungsbedingungen einzuhalten. Wir haben ISMS Copilot entwickelt, um Fachleute für Informationssicherheit und Compliance bei verantwortungsvollen Aufgaben zu unterstützen, und wir erwarten von allen Nutzern, dass sie die Plattform verantwortungsbewusst und ethisch einwandfrei nutzen.

Allgemein untersagte Aktivitäten

Es ist Ihnen untersagt, ISMS Copilot zu nutzen, um die folgenden Aktivitäten durchzuführen oder zu erleichtern:

Illegale oder betrügerische Aktivitäten

• Verstoß gegen geltende Gesetze, Vorschriften oder rechtliche Verpflichtungen

• Erstellung betrügerischer Compliance-Dokumentationen, Zertifizierungen oder Audit-Berichte

• Erstellung falscher Belege für die Einhaltung regulatorischer Anforderungen (ISO 27001, SOC 2, DSGVO, NIS2, DORA usw.)

• Falschdarstellung von Audit-Ergebnissen oder Sicherheitsstatus gegenüber Stakeholdern, Auditoren oder Regulierungsbehörden

• Geldwäsche, Betrug oder andere Finanzverbrechen

• Erleichterung des unbefugten Zugriffs auf Systeme oder Daten

Sicherheit und Systemintegrität

• Versuche, die Infrastruktur oder die Sicherheitskontrollen von ISMS Copilot zu kompromittieren, zu hacken oder auszunutzen

• Zugriff oder der Versuch des Zugriffs auf System-Prompts, interne Daten oder zugrunde liegende KI-Modelle

• Reverse Engineering, Dekompilierung oder Extraktion proprietärer Wissensdatenbanken

• Jailbreaking oder Prompt-Injection-Angriffe zur Umgehung von Sicherheitsvorkehrungen

• Erzeugung von Malware, Exploits oder Angriffswerkzeugen (Ransomware, Keylogger, Phishing-Kits usw.)

• Durchführung automatisierter Angriffe, Schwachstellenscans oder Penetrationstests gegen die Plattform ohne schriftliche Genehmigung

• Überlastung oder Beeinträchtigung der Serviceverfügbarkeit durch übermäßige Anfragen oder Missbrauch

Verletzungen des Datenschutzes und der Privatsphäre

• Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheits-, biometrische, genetische Daten) ohne entsprechende Rechtsgrundlage gemäß DSGVO

• Hochladen oder Teilen von personenbezogenen Daten (PII) ohne legitime geschäftliche Notwendigkeit und ohne angemessene Schutzmaßnahmen

• Nutzung von ISMS Copilot für unbefugte Überwachung, Profiling oder Tracking von Personen

• Verletzung von Betroffenenrechten oder Verarbeitungspflichten gemäß DSGVO, CCPA oder anderen Datenschutzbestimmungen

• Weitergabe vertraulicher Kundendaten über isolierte Workspaces hinweg oder an unbefugte Parteien

Schädliche oder unethische Inhalte

• Erstellung von Inhalten, die Gewalt, Hass, Belästigung oder Diskriminierung fördern

• Generierung von Inhalten im Zusammenhang mit sexuellem Missbrauch von Kindern (CSAM) oder der Ausbeutung von Kindern

• Produktion von Inhalten, die darauf abzielen, Einzelpersonen oder Gruppen zu bedrohen, einzuschüchtern oder zu schädigen

• Erstellung sexuell expliziter Inhalte ohne legitimen Compliance-Kontext (z. B. Entwurf von Richtlinien zur akzeptablen Nutzung)

• Erzeugung von Desinformation, Fehlinformationen oder irreführenden Compliance-Anleitungen mit Täuschungsabsicht

Missbrauch von Compliance- und Sicherheitsergebnissen

• Darstellung von KI-generierten Richtlinien, Verfahren oder Risikobewertungen als finale, prüfungsbereite Ergebnisse ohne menschliche Überprüfung und Anpassung

• Nutzung von Ergebnissen zur Erbringung von Rechts-, Buchhaltungs- oder professioneller Compliance-Beratung ohne entsprechende Qualifikation

• Einreichung ungeprüfter KI-generierter Dokumentationen direkt bei Auditoren oder Zertifizierungsstellen

• Wörtliches Kopieren oder Reproduzieren urheberrechtlich geschützter Standards (ISO 27001, NIST-Frameworks usw.) (siehe unsere Richtlinie zur Einhaltung des geistigen Eigentums)

• Behauptung, dass ISMS Copilot-Ergebnisse eine Zertifizierung, Compliance oder behördliche Genehmigung garantieren

Plattform-Missbrauch

• Erstellung mehrerer Konten zur Umgehung von Nutzungskontingenten oder Abonnementbeschränkungen

• Weitergabe von Zugangsdaten an unbefugte Nutzer

• Wiederverkauf, Weitervertrieb oder White-Labeling von ISMS Copilot-Diensten ohne Genehmigung

• Nutzung der Plattform, um mit dem Geschäft von ISMS Copilot zu konkurrieren oder dieses zu untergraben

• Scraping, Harvesting oder Massendownload von Inhalten oder Materialien aus der Wissensdatenbank

Anforderungen für Hochrisiko-Nutzung

Bestimmte Nutzungen von ISMS Copilot sind mit erhöhten Compliance-, rechtlichen oder Reputationsrisiken verbunden. Wenn Sie unsere Plattform für die folgenden Zwecke nutzen, müssen Sie zusätzliche Schutzmaßnahmen implementieren:

Audit- und Zertifizierungsprozesse

Bei der Verwendung von ISMS Copilot-Ergebnissen in formalen Audits (ISO 27001, SOC 2 usw.) oder bei Zertifizierungseinreichungen:

• Menschliche Überprüfung erforderlich: Alle KI-generierten Inhalte müssen von qualifizierten Compliance- oder Sicherheitsexperten geprüft und genehmigt werden.

• Abgleich mit Standards: Überprüfen Sie die Ergebnisse anhand offizieller Framework-Anforderungen (Annex A Controls, SOC 2-Kriterien usw.).

• Anpassung obligatorisch: Passen Sie generische Ergebnisse an den spezifischen Kontext, das Risikoumfeld und die Kontrollen Ihres Unternehmens an.

• Offenlegung empfohlen: Erwägen Sie, Auditoren darüber zu informieren, dass KI-Tools bei der Erstellung der Dokumentation unterstützend gewirkt haben.

Behördliche Einreichungen und rechtliche Dokumentation

Bei der Verwendung von Ergebnissen für behördliche Einreichungen (DSGVO-DSFAs, NIS2-Vorfallsmeldungen, DORA-Compliance-Dokumentation):

• Rechtliche Prüfung erforderlich: Ziehen Sie einen Rechtsbeistand oder qualifizierte Compliance-Beauftragte für die Abschlussprüfung hinzu.

• Überprüfung der Richtigkeit: Stellen Sie die sachliche Richtigkeit aller Aussagen sicher, insbesondere in Bezug auf implementierte Kontrollen und Risikobewertungen.

• Keine urheberrechtlich geschützte Reproduktion: Reichen Sie keine KI-generierten Inhalte ein, die urheberrechtlich geschützte Standardtexte reproduzieren.

Kundenorientierte Arbeitsergebnisse

Wenn Sie als Berater oder Dienstleister ISMS Copilot nutzen, um Arbeitsergebnisse für Kunden zu erstellen:

• Isolierung der Workspaces: Verwenden Sie für jeden Kunden separate Workspaces, um die Vertraulichkeit zu wahren.

• Professionelle Standards: Wenden Sie dieselben Qualitätskontrollen und professionellen Standards an, die Sie auch bei manuell erstellten Arbeiten anwenden würden.

• Zustimmung des Kunden: Prüfen Sie, ob Kundenvereinbarungen die Offenlegung der Nutzung von KI-Tools erfordern.

• Eigentum an den Ergebnissen: Vergewissern Sie sich, dass Sie gemäß Ihren Serviceverträgen berechtigt sind, KI-generierte Inhalte zu liefern.

Ausrichtung am EU AI Act

ISMS Copilot ist so konzipiert, dass es den Anforderungen des EU AI Acts für KI-Systeme mit allgemeinem Verwendungszweck entspricht. Wir untersagen Nutzungen, die unter die verbotenen Praktiken des Gesetzes fallen:

• Social-Scoring- oder Evaluierungssysteme, die die Rechte von Einzelpersonen verletzen

• Manipulative oder täuschende Techniken, die Schwachstellen ausnutzen

• Biometrische Identifizierung für die Strafverfolgung ohne entsprechende Genehmigung

• Hochrisiko-Anwendungen ohne angemessene menschliche Aufsicht (siehe unsere Anforderungen für Hochrisiko-Nutzung oben)

Unsere Plattform umfasst technische Schutzmaßnahmen gegen Halluzinationen, Jailbreak-Versuche und die Reproduktion urheberrechtlich geschützter Inhalte. Erfahren Sie mehr über unseren Ansatz in unserer Übersicht zu KI-Sicherheit & verantwortungsvoller Nutzung.

Durchsetzung

Wir überwachen die Nutzung auf Verstöße gegen diese Richtlinie durch automatisierte Systeme und Benutzermeldungen. Wenn wir verbotene Aktivitäten feststellen, können wir:

• Warnungen aussprechen bei geringfügigen oder unbeabsichtigten Verstößen

• Den Zugriff drosseln oder einschränken bei missbräuchlichen Nutzungsmustern

• Konten vorübergehend sperren bei schwerwiegenden Verstößen

• Konten dauerhaft kündigen bei wiederholten oder eklatanten Verstößen

• Kosten zurückfordern für Untersuchung, Schadensbegrenzung und Behebung, wie in Abschnitt 14 unserer Nutzungsbedingungen beschrieben

• Meldung an Behörden erstatten, wenn dies gesetzlich vorgeschrieben ist (Betrug, CSAM, illegale Aktivitäten)

Wir untersuchen Meldungen nach bestem Wissen und Gewissen und bieten Widerspruchsverfahren für unrechtmäßige Durchsetzungsmaßnahmen an. Kontaktieren Sie [email protected], wenn Sie glauben, dass gegen Ihr Konto fälschlicherweise Maßnahmen ergriffen wurden.

Meldung von Verstößen

Wenn Sie von Aktivitäten Kenntnis erhalten, die gegen diese Richtlinie verstoßen, melden Sie diese bitte an:

• E-Mail: [email protected]

• Betreff: „AUP Violation Report“

• Inhalt: Beschreibung des Verstoßes, relevante Kontodaten (falls bekannt) und etwaige Beweismittel

Wir prüfen alle Berichte und ergreifen angemessene Maßnahmen. Wir geben die Identität von Meldern nicht ohne Zustimmung preis.

Änderungen an dieser Richtlinie

Wir können diese Richtlinie zur angemessenen Nutzung aktualisieren, um neuen Risiken, regulatorischen Anforderungen oder Plattformfunktionen Rechnung zu tragen. Wir werden die Nutzer über wesentliche Änderungen per E-Mail oder über Plattform-Benachrichtigungen informieren. Die fortgesetzte Nutzung von ISMS Copilot nach Aktualisierungen gilt als Zustimmung zur überarbeiteten Richtlinie.

Zugehörige Ressourcen

• Nutzungsbedingungen – Die vollständige rechtliche Vereinbarung für Ihre Nutzung von ISMS Copilot

• Datenschutzerklärung – Wie wir mit Ihren personenbezogenen Daten umgehen

• Auftragsverarbeitungsvertrag (AVV) – Verarbeitungsbedingungen gemäß DSGVO Artikel 28

• Übersicht zu KI-Sicherheit & verantwortungsvoller Nutzung – Technische Schutzmaßnahmen und Einschränkungen

• So nutzen Sie ISMS Copilot verantwortungsbewusst – Best Practices für Compliance-Experten