ISMS Copilot
Sicherheit

Datenschutz & DSGVO-Konformität - Aktualisiert

Überblick

ISMS Copilot ist vollständig konform mit der Datenschutz-Grundverordnung (DSGVO) und folgt strengen Datenschutzprinzipien. Dieser Artikel erläutert Ihre Datenschutzrechte, wie wir mit Ihren Daten umgehen und welche Kontrollmöglichkeiten Sie über Ihre Informationen haben.

Für wen dies bestimmt ist

Dieser Artikel richtet sich an:

  • Nutzer in der EU, die an der DSGVO-Konformität interessiert sind

  • Datenschutzbeauftragte, die den ISMS Copilot bewerten

  • Compliance-Berater, die Kundendaten gemäß DSGVO verarbeiten

  • Jeden, der seine Datenschutzrechte verstehen möchte

Überblick über die DSGVO-Konformität

Wie ISMS Copilot DSGVO-Anforderungen erfüllt

Datenminimierung (Artikel 5(1)(c))

ISMS Copilot erhebt nur die für die Bereitstellung des Dienstes erforderlichen Mindestdaten:

  • E-Mail-Adresse zur Identifizierung des Kontos, zur Authentifizierung und für wesentliche Mitteilungen

  • Authentifizierungsdaten (gehashte Passwörter oder OAuth-Tokens)

  • Konversationsverlauf zur Bereitstellung kontextbezogener KI-Antworten

  • Hochgeladene Dokumente für Analysen und Compliance-Lückenbewertungen

  • Nutzungsmetadaten für Abrechnung und Serviceverbesserung

  • E-Mail-Engagement-Daten (Öffnungen, Klicks) für Onboarding- und Produkt-Update-E-Mails (Nutzer können sich abmelden)

ISMS Copilot erhebt keine unnötigen personenbezogenen Daten wie Telefonnummern, Adressen oder demografische Informationen. Es werden nur die für die Leistungserbringung wesentlichen Daten gespeichert.

Zweckbindung (Artikel 5(1)(b))

Ihre Daten werden ausschließlich verwendet für:

  • Bereitstellung von KI-gestützter Compliance-Unterstützung

  • Verwaltung Ihres Kontos und Abonnements

  • Verbesserung der Leistung und Zuverlässigkeit des Dienstes

  • Einhaltung gesetzlicher Verpflichtungen

ISMS Copilot verwendet Ihre Daten niemals für Marketing, Werbung oder den Verkauf an Dritte. Ihre Konversationen und hochgeladenen Dokumente werden niemals zum Training von KI-Modellen verwendet.

Speicherbegrenzung (Artikel 5(1)(e))

Sie haben die volle Kontrolle darüber, wie lange Ihre Daten aufbewahrt werden:

  • Legen Sie Aufbewahrungsfristen von 1 Tag bis zu 7 Jahren fest oder bewahren Sie Daten dauerhaft auf

  • Die automatische Löschung abgelaufener Daten erfolgt täglich

  • Beantragen Sie jederzeit die sofortige Löschung Ihres Kontos und Ihrer Daten

Datenschutz durch Technikgestaltung (Artikel 25)

Sicherheit und Datenschutz sind in jede ISMS Copilot-Funktion integriert:

  • Ende-zu-Ende-Verschlüsselung für alle Daten

  • Sicherheit auf Zeilenebene (Row-level security) verhindert unbefugten Zugriff

  • Workspace-Isolation hält Kundendaten getrennt

  • Sichere Authentifizierung mit OAuth-Unterstützung

Ihre DSGVO-Rechte

Recht auf Auskunft (Artikel 15)

Sie haben das Recht, auf alle Ihre in ISMS Copilot gespeicherten personenbezogenen Daten zuzugreifen.

Worauf Sie zugreifen können:

  • Ihre Kontoinformationen (E-Mail, Einstellungen)

  • Den gesamten Konversationsverlauf über alle Workspaces hinweg

  • Hochgeladene Dokumente und Dateien

  • Nutzungsmetadaten und Zeitstempel

So greifen Sie auf Ihre Daten zu:

  1. Melden Sie sich bei Ihrem ISMS Copilot-Konto an

  2. Navigieren Sie zu Ihren Workspaces, um Konversationen anzuzeigen

  3. Sehen Sie die hochgeladenen Dateien in jedem Konversationsverlauf ein

  4. Für einen vollständigen Datenexport kontaktieren Sie den Support über das Help Center

Recht auf Berichtigung (Artikel 16)

Sie können Ihre persönlichen Informationen jederzeit aktualisieren oder korrigieren.

So aktualisieren Sie Ihre Informationen:

  1. Klicken Sie auf das Benutzermenü-Symbol (oben rechts)

  2. Wählen Sie Settings

  3. Ihre E-Mail-Adresse wird angezeigt (um diese zu ändern, kontaktieren Sie den Support)

  4. Aktualisieren Sie Ihre Einstellungen zur Datenaufbewahrung

  5. Klicken Sie auf Save Settings

Erwartetes Ergebnis: Der Einstellungsdialog schließt sich und Ihre Änderungen werden sofort gespeichert.

Recht auf Löschung / "Recht auf Vergessenwerden" (Artikel 17)

Sie können die vollständige Löschung Ihres Kontos und aller damit verbundenen Daten verlangen.

So löschen Sie Ihre Daten:

  1. Klicken Sie auf das Benutzermenü-Symbol

  2. Wählen Sie Help CenterContact Support

  3. Senden Sie eine Anfrage zur Datenlöschung

  4. Der Support wird Ihre Identität verifizieren und die Anfrage bestätigen

  5. Alle Daten werden innerhalb von 30 Tagen endgültig gelöscht

Die Kontolöschung ist endgültig und kann nicht rückgängig gemacht werden. Alle Workspaces, Konversationen, hochgeladenen Dateien und Kontoeinstellungen werden dauerhaft gelöscht. Stellen Sie sicher, dass Sie alle benötigten Daten exportieren, bevor Sie die Löschung beantragen.

Was gelöscht wird:

  • Ihr Konto und Ihre E-Mail-Adresse

  • Alle Workspaces und der Konversationsverlauf

  • Alle hochgeladenen Dokumente und Dateien

  • Benutzerdefinierte Workspace-Anweisungen

  • Nutzungsmetadaten und Logs

Was eventuell einbehalten wird:

  • Anonymisierte Abrechnungsunterlagen (erforderlich für Steuer- und Rechnungslegungszwecke)

  • Anonymisierte Analysedaten (keine personenbezogenen Informationen)

Recht auf Datenübertragbarkeit (Artikel 20)

Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.

So exportieren Sie Ihre Daten:

  1. Kontaktieren Sie den Support über das Help Center

  2. Beantragen Sie einen Datenexport

  3. Der Support stellt Ihre Daten im JSON-Format bereit, das Folgendes enthält:

    • Kontoinformationen

    • Konversationsverlauf

    • Workspace-Konfigurationen

    • Metadaten der hochgeladenen Dateien

  4. Laden Sie die Exportdatei zur Verwendung in anderen Systemen herunter

Datenexporte werden in der Regel innerhalb von 72 Stunden bereitgestellt. Bei großen Konten mit umfangreichem Konversationsverlauf kann der Export bis zu 5 Werktage dauern.

Recht auf Einschränkung der Verarbeitung (Artikel 18)

Sie können die vorübergehende Aussetzung der Datenverarbeitung verlangen, während Streitigkeiten geklärt werden.

Wann Sie die Verarbeitung einschränken können:

  • Sie bestreiten die Richtigkeit der personenbezogenen Daten

  • Die Verarbeitung ist unrechtmäßig, aber Sie möchten keine Datenlöschung

  • Sie benötigen die Daten für Rechtsansprüche

  • Sie haben Widerspruch gegen die Verarbeitung eingelegt, solange die Prüfung noch aussteht

So beantragen Sie eine Einschränkung:

  1. Kontaktieren Sie den Support über das Help Center

  2. Erläutern Sie den Grund für die Einschränkung

  3. Der Support wird dies prüfen und entsprechende Einschränkungen umsetzen

Recht auf Widerspruch (Artikel 21)

Sie können gegen bestimmte Arten der Datenverarbeitung Widerspruch einlegen.

Wogegen Sie Widerspruch einlegen können:

  • Verarbeitung für Direktmarketing (ISMS Copilot führt kein Marketing-Processing durch)

  • Verarbeitung aufgrund berechtigter Interessen

  • Automatisierte Entscheidungsfindung (wird derzeit von ISMS Copilot nicht verwendet)

So legen Sie Widerspruch ein:

  1. Kontaktieren Sie den Support über das Help Center

  2. Geben Sie an, gegen welche Verarbeitung Sie widersprechen

  3. Der Support wird dies prüfen und innerhalb von 30 Tagen antworten

Details zur Datenverarbeitung

Rechtsgrundlage für die Verarbeitung

ISMS Copilot verarbeitet Ihre Daten auf Basis der folgenden Rechtsgrundlagen:

Vertragserfüllung (Artikel 6(1)(b))

  • Verarbeitung, die erforderlich ist, um den KI-Compliance-Service bereitzustellen

  • Verwaltung Ihres Kontos und Abonnements

  • Bereitstellung von Funktionen, die Sie angefordert haben

Berechtigte Interessen (Artikel 6(1)(f))

  • Verbesserung der Serviceleistung und Zuverlässigkeit

  • Erkennung und Verhinderung von Betrug oder Missbrauch

  • Gewährleistung der Systemsicherheit

  • Versand von Produkt-Updates und Onboarding-Anleitungen zur Verbesserung des Plattform-Erlebnisses

Rechtliche Verpflichtung (Artikel 6(1)(c))

  • Aufbewahrung von Abrechnungsunterlagen zur Steuerkonformität

  • Reaktion auf rechtmäßige Anfragen von Behörden

Datenübermittlungen

Datenstandort in der EU

Die gesamte Datenbankspeicherung von ISMS Copilot erfolgt ausschließlich in der Europäischen Union:

  • Primärer Speicher: AWS Frankfurt, Deutschland

  • Datenbankanbieter: Supabase (EU-Region)

  • Konversationsverlauf: Speicherung in der EU, unabhängig vom KI-Anbieter

KI-Verarbeitungsstandort (Benutzergesteuert)

Der Standort der KI-Verarbeitung hängt von Ihrer Einstellung zum Erweiterten Datenschutz-Modus ab:

  • Erweiterter Datenschutz AUS (Standard): KI-Verarbeitung erfolgt in den USA über xAI/OpenAI mit einer Speicherdauer von 30 Tagen

  • Erweiterter Datenschutz AN: 100%ige Verarbeitung in der EU über Mistral AI ohne Datenspeicherung (Zero Retention)

Wenn der erweiterte Datenschutz-Modus aktiviert ist, erfolgt Ihre Kerndatenverarbeitung (Datenbankspeicherung und KI-Verarbeitung) innerhalb der EU ohne Speicherung beim KI-Anbieter. Beachten Sie, dass die E-Mail-Kommunikation weiterhin über US-basierte Anbieter mit Standardvertragsklauseln abgewickelt wird.

Im Standardmodus verbleibt Ihre Datenbankspeicherung zwar in der EU, aber Konversationsinhalte werden zur Verarbeitung an US-basierte KI-Anbieter (xAI/OpenAI) gesendet. Diese Anbieter bewahren die Daten 30 Tage lang auf, verwenden sie jedoch NICHT zum Training von KI-Modellen.

Drittverarbeiter

Die folgenden Drittanbieter-Dienste haben begrenzten Zugriff auf Daten:

Anbieter für KI-Verarbeitung (Vom Benutzer konfigurierbar mit automatischem Failover)

Sie können über die Einstellung Erweiterter Datenschutz-Modus und die Auswahl des KI-Anbieters steuern, welcher KI-Anbieter Ihre Konversationen verarbeitet. ISMS Copilot umfasst jetzt mehrere KI-Modelloptionen und ein automatisches Failover, um die Kontinuität des Dienstes bei Ausfällen von Anbietern zu gewährleisten:

  • Standardmodus (Erweiterter Datenschutz AUS): xAI (Grok), OpenAI und Anthropic Claude mit Mistral-Failover

    • Standort: Vereinigte Staaten (mit EU-Failover)

    • Speicherung: 30 Tage (temporärer Verarbeitungscache); keine Speicherung während des Mistral-Failovers

    • Training: API-Daten werden NICHT für das KI-Modell-Training verwendet

    • Anwendungsfall: Standardmäßige Compliance-Arbeit mit erhöhter Zuverlässigkeit

    • Automatisches Failover: Falls bei OpenAI Ausfälle auftreten, schalten Ihre Anfragen automatisch auf Mistral AI (EU-basiert, Zero Retention) um, ohne den Dienst zu unterbrechen

  • Erweiterter Datenschutz-Modus (AN): Mistral AI

    • Standort: Europäische Union

    • Speicherung: Keine (keine Datenspeicherung)

    • Training: Daten werden NICHT für das KI-Modell-Training verwendet

    • Anwendungsfall: Maximaler Datenschutz, Anforderungen an die Datensouveränität in der EU

Update Dezember 2025: Automatisches Failover der KI-Anbieter stellt sicher, dass Ihre Compliance-Arbeit auch bei Ausfällen von OpenAI unterbrechungsfrei fortgesetzt werden kann. Beim Failover wechselt die Verarbeitung automatisch zu dem in der EU ansässigen Anbieter Mistral ohne Datenspeicherung.

Organisationen mit strengen Anforderungen an den Datenstandort in der EU können den erweiterten Datenschutz-Modus aktivieren, um eine 100%ige EU-Verarbeitung ohne Datenspeicherung beim KI-Anbieter zu gewährleisten. Erfahren Sie, wie Sie diese Funktion aktivieren.

Andere Drittanbieter-Dienste

  • Stripe (Zahlungsabwicklung): Nur Zahlungs- und Rechnungsinformationen. DSGVO-konform mit EU-Datenverarbeitungsvertrag.

  • PostHog (Analytik): Nur anonymisierte Nutzungsdaten. In der EU gehostet. Es werden keine persönlichen Konversationen oder Dokumente geteilt.

  • Sentry (Fehlerüberwachung): Fehlerlogs, Stack-Traces und Benutzer-IDs (nur UUID in der Produktion) zur Fehlerbehebung. Sitz in Deutschland. E-Mail-Adressen, Konversationsinhalte und andere personenbezogene Daten werden vor dem Senden gefiltert.

  • E-Mail-Kommunikation: SendGrid und Kit wickeln transaktionale E-Mails, rechtliche Updates und Onboarding-Sequenzen ab. Sitz in den USA mit Standardvertragsklauseln. Nutzer können sich von nicht-essenziellen E-Mails abmelden.

Erweiterter Datenschutz-Modus

ISMS Copilot gibt Ihnen die Kontrolle darüber, wo Ihre KI-Konversationen verarbeitet werden und wie lange KI-Anbieter Ihre Daten speichern.

Zwei Verarbeitungsoptionen:

  1. Standardmodus (Erweiterter Datenschutz AUS): xAI/OpenAI verarbeiten Konversationen in den USA mit 30-tägiger Speicherung

  2. EU-Only-Modus (Erweiterter Datenschutz AN): Mistral AI verarbeitet Konversationen in der EU ohne Speicherung

Wann Sie den erweiterten Datenschutz aktivieren sollten:

  • Ihre Organisation hat verbindliche Anforderungen an den Datenstandort in der EU

  • Sie verarbeiten hochsensible Kundendaten

  • Die DSGVO-Konformität erfordert eine Minimierung von Datentransfers außerhalb der EU

  • Kundenverträge verbieten eine Datenverarbeitung in den USA

  • Sie wünschen maximalen Datenschutz ohne Datenspeicherung beim KI-Anbieter

Compliance-Berater, die mit europäischen Kunden zusammenarbeiten, sollten die Aktivierung des erweiterten Datenschutz-Modus in Betracht ziehen, um strenge Anforderungen an die Datensouveränität zu erfüllen. Erfahren Sie, wie Sie diese Einstellung konfigurieren.

Wichtige Unterscheidung:

Der erweiterte Datenschutz steuert die Speicherung beim KI-Anbieter (30 Tage vs. Null). Die Aufbewahrung Ihres Konversationsverlaufs in ISMS Copilot wird separat über Ihre Benutzereinstellungen gesteuert (1 Tag bis 7 Jahre). Beide Aufbewahrungseinstellungen funktionieren unabhängig voneinander.

Internationale Datenübermittlungen

Der Ansatz von ISMS Copilot für internationale Datenübermittlungen hängt von Ihrer Konfiguration ab:

Kerndatenverarbeitung

  • Datenbankspeicherung: Immer in der EU (Frankfurt, Deutschland)

  • KI-Verarbeitung: EU oder USA, abhängig von der Einstellung des erweiterten Datenschutz-Modus

  • Analytik: Nur EU-Endpunkte (PostHog EU, Sentry Deutschland)

  • Dateikonvertierung: EU-Endpunkt (ConvertAPI)

ISMS Copilot hat eine Transferfolgenabschätzung (Transfer Impact Assessment, TIA) für Übermittlungen in die USA durchgeführt. Organisationen können sich auf diese Abschätzung stützen oder eine eigene durchführen. Details finden Sie in unserer Transferfolgenabschätzung.

E-Mail-Kommunikation (USA-basiert mit Sicherheitsvorkehrungen)

E-Mail-Adressen und Engagement-Daten werden an US-basierte E-Mail-Dienstleister (SendGrid und Kit) für transaktionale E-Mails, rechtliche Updates und Onboarding-Sequenzen übertragen. Diese Übertragungen sind durch von der Europäischen Kommission genehmigte Standardvertragsklauseln geschützt.

Nutzer können sich jederzeit von nicht-essenziellen E-Mails (Produkt-Updates, Onboarding-Sequenzen) abmelden, um Datentransfers zu minimieren. Wesentliche Service-Benachrichtigungen (Sicherheitswarnungen, Kontoänderungen) können dennoch gesendet werden, sofern dies gesetzlich oder vertraglich vorgeschrieben ist.

Organisationen mit strengen EU-Only-Anforderungen sollten:

  • Den erweiterten Datenschutz-Modus aktivieren, um die KI-Verarbeitung in der EU zu halten (eliminiert TIA-Anforderungen für KI)

  • Marketing-/Produkt-E-Mails abbestellen, um US-Übertragungen zu minimieren

  • Die verbleibenden Übermittlungen für die E-Mail-Kommunikation in ihren Verzeichnissen der Verarbeitungstätigkeiten dokumentieren

  • Unsere Transferfolgenabschätzung lesen, um die Schutzmaßnahmen bei der Übermittlung zu verstehen

Datenaufbewahrungsfristen

Aktive Daten

  • Konversationsverlauf: Basierend auf Ihrer benutzerdefinierten Aufbewahrungsfrist (1 Tag bis 7 Jahre oder dauerhaft)

  • Hochgeladene Dokumente: Identisch mit dem Konversationsverlauf

  • Kontoinformationen: Werden aufbewahrt, solange das Konto aktiv ist

Nach Kontolöschung

  • Personenbezogene Daten: Löschung innerhalb von 30 Tagen

  • Anonymisierte Abrechnungsunterlagen: 7 Jahre (steuerrechtliche Anforderung)

  • Backup-Daten: Überschreibung innerhalb von 90 Tagen

Privacy-by-Design Funktionen

Modus zur Reduzierung von PII

ISMS Copilot bietet eine automatische Schwärzung von PII (personenbezogene Daten), um sensible Informationen zu schützen, bevor sie die KI-Verarbeitung erreichen. Wenn aktiviert, erkennt und schwärzt das System gängige PII-Muster in Ihren Nachrichten und hochgeladenen Dokumenten.

Was geschwärzt wird:

  • Personennamen (z. B. „Max Mustermann“ → „[REDACTED_NAME]“)

  • Firmen- und Organisationsnamen

  • E-Mail-Adressen (z. B. „[email protected]“ → „[REDACTED_EMAIL]“)

  • Telefonnummern in verschiedenen Formaten

So aktivieren Sie die PII-Reduzierung:

  1. Navigieren Sie zu Settings → Privacy oder Data Protection

  2. Aktivieren Sie den Schalter „Enable PII Reduction“

  3. Prüfen Sie das Bestätigungs-Popup, das musterbasierte Einschränkungen erläutert

  4. Achten Sie auf das grüne Schild-Symbol in Ihrer Chat-Eingabe, um die Aktivierung zu bestätigen

Wenn die PII-Reduzierung aktiv ist, sehen Sie ein grünes Schild-Symbol im Chat-Eingabefeld als visuelle Bestätigung, dass die Schwärzung funktioniert.

Wichtige Einschränkungen:

  • Musterbasierte Erkennung: Die PII-Reduzierung verwendet Regex-Muster und erfasst möglicherweise nicht alle sensiblen Informationen

  • Nicht 100% genau: Einige PII könnten durchschlüpfen; legitimer Text könnte fälschlicherweise geschwärzt werden

  • Kein Ersatz für Datenminimierung: Überprüfen Sie Daten immer vor dem Hochladen und vermeiden Sie unnötige PII

  • Erfolgt vor der KI-Verarbeitung: Die Schwärzung geschieht, bevor Daten die KI-Anbieter erreichen

Die PII-Reduzierung ist eine Datenschutzverbesserung, keine Garantie für eine vollständige Anonymisierung. Vergleichen Sie die Ergebnisse immer mit offiziellen Standards und vermeiden Sie das Hochladen unnötiger personenbezogener Daten. Diese Funktion dient am besten als zusätzliche Schutzschicht neben Praktiken der Datenminimierung.

Anwendungsfälle:

  • Verarbeitung von Audit-Berichten, die Mitarbeiternamen enthalten

  • Analyse von Compliance-Richtlinien mit Kontaktinformationen

  • Arbeiten mit HR-Richtlinien oder Vorfallberichten

  • Zusätzlicher Schutz der Privatsphäre bei Nutzung des erweiterten Datenschutz-Modus

Kombination mit erweitertem Datenschutz:

Für maximalen Datenschutz aktivieren Sie beide Funktionen:

  • PII Reduction: Schwärzt personenbezogene Daten vor der KI-Verarbeitung

  • Advanced Data Protection Mode: Gewährleistet EU-exklusive Verarbeitung ohne Speicherung beim KI-Anbieter

Zusammen bieten diese Funktionen starke Schutzmaßnahmen für sensible Compliance-Arbeiten.

Workspace-Isolation

Workspaces ermöglichen die Datentrennung für Szenarien mit mehreren Kunden:

  • Jeder Workspace unterhält seinen eigenen Konversationsverlauf

  • Hochgeladene Dateien sind an spezifische Workspaces gebunden

  • Benutzerdefinierte Anweisungen sind Workspace-spezifisch

  • Das Löschen eines Workspaces entfernt alle damit verbundenen Daten

Compliance-Berater sollten für jeden Kunden separate Workspaces erstellen. Dies stellt sicher, dass Kundendaten isoliert bleiben und vereinfacht die Einhaltung von Geheimhaltungsverpflichtungen.

Kein benutzerübergreifender Datenaustausch

ISMS Copilot implementiert strikte Datengrenzen:

  • Benutzer können nicht auf Daten anderer Benutzer zugreifen

  • KI-Antworten werden unabhängig für jeden Benutzer generiert

  • Datenbankabfragen filtern automatisch nach der authentifizierten Benutzer-ID

  • Selbst Systemadministratoren folgen dem Prinzip der minimalen Rechtevergabe (Least Privilege)

Kein KI-Training mit Nutzerdaten

Ihre sensiblen Compliance-Daten werden niemals für das KI-Training verwendet:

  • Konversationen werden nicht von OpenAI oder anderen KI-Anbietern gespeichert

  • Hochgeladene Dokumente bleiben vertraulich und privat

  • Kundeninformationen tragen niemals zur Modellverbesserung bei

  • Jede Konversation wird isoliert verarbeitet

Dies ist ein entscheidender Unterschied zu allgemeinen KI-Tools wie der kostenlosen Version von ChatGPT, die Konversationen für das Training nutzen könnten. ISMS Copilot garantiert, dass Ihre Compliance-Daten absolut vertraulich bleiben.

Betroffenenanfragen

So reichen Sie eine DSGVO-Anfrage ein

  1. Klicken Sie auf das Benutzermenü-Symbol (oben rechts)

  2. Wählen Sie Help CenterContact Support

  3. Beschreiben Sie Ihre Anfrage klar:

    • „Ich beantrage Auskunft über alle meine personenbezogenen Daten gemäß DSGVO Artikel 15“

    • „Ich beantrage die Löschung meines Kontos gemäß DSGVO Artikel 17“

    • „Ich beantrage einen Datenexport gemäß DSGVO Artikel 20“

  4. Der Support wird Ihre Identität verifizieren und die Anfrage bearbeiten

Antwortfristen

ISMS Copilot beantwortet DSGVO-Anfragen gemäß den gesetzlichen Fristen:

  • Bestätigung: Innerhalb von 24-48 Stunden

  • Auskunftsersuchen: Innerhalb von 30 Tagen (in der Regel innerhalb von 72 Stunden)

  • Löschanfragen: Innerhalb von 30 Tagen

  • Datenübertragbarkeit: Innerhalb von 30 Tagen (in der Regel innerhalb von 72 Stunden)

  • Berichtigungsanfragen: Sofort für vom Nutzer änderbare Felder; innerhalb von 30 Tagen für andere

Falls ISMS Copilot die Antwortfrist verlängern muss (z. B. bei komplexen Anfragen), werden Sie innerhalb von 30 Tagen mit einer Begründung und einem voraussichtlichen Abschlussdatum benachrichtigt.

Identitätsprüfung

Um Ihre Daten vor unbefugtem Zugriff zu schützen, kann ISMS Copilot Ihre Identität prüfen:

  • Anfragen müssen von Ihrer registrierten E-Mail-Adresse gesendet werden

  • Bei sensiblen Anfragen kann eine zusätzliche Verifizierung erforderlich sein

  • Der Support kann Sicherheitsfragen zu Ihrem Konto stellen

Schutz der Privatsphäre von Kindern

ISMS Copilot ist nicht für Kinder unter 16 Jahren bestimmt:

  • Der Dienst ist für Compliance-Experten und Unternehmen konzipiert

  • Es werden keine Mechanismen für die elterliche Zustimmung bereitgestellt

  • Falls eine Nutzung durch Minderjährige entdeckt wird, wird das Konto gekündigt und die Daten gelöscht

Aktualisierungen der Datenschutzrichtlinie

Wie Sie benachrichtigt werden

Wenn sich Datenschutzpraktiken ändern, wird ISMS Copilot:

  • Eine E-Mail-Benachrichtigung an Ihre registrierte E-Mail-Adresse senden

  • Beim nächsten Login eine In-App-Benachrichtigung anzeigen

  • Die Datenschutzrichtlinie mit einem „Zuletzt aktualisiert“-Datum versehen

  • Wesentliche Änderungen mindestens 30 Tage im Voraus ankündigen

Ihre Optionen

Wenn Sie Änderungen der Datenschutzrichtlinie nicht zustimmen:

  • Beantragen Sie die Kontolöschung, bevor die Änderungen in Kraft treten

  • Exportieren Sie Ihre Daten vor dem Inkrafttreten

  • Kontaktieren Sie den Support, um Bedenken zu besprechen

Aufsichtsbehörde

Als in der EU ansässiger Dienst unterliegt ISMS Copilot der Datenschutzaufsicht.

Recht auf Beschwerde

Wenn Sie glauben, dass ISMS Copilot Ihre Datenschutzrechte verletzt hat, können Sie:

  1. Den ISMS Copilot-Support kontaktieren, um das Problem direkt zu lösen

  2. Beschwerde bei Ihrer lokalen Datenschutzbehörde einlegen

  3. Beschwerde bei der französischen Datenschutzbehörde (CNIL) einlegen, wo ISMS Copilot niedergelassen ist

Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Website: https://www.cnil.fr/en

  • Adresse: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankreich

  • Telefon: +33 1 53 73 22 22

Best Practices für Compliance

Für Berater, die Kundendaten verarbeiten

  • Erstellen Sie separate Workspaces für jeden Kunden

  • Legen Sie angemessene Aufbewahrungsfristen fest, die den Kundenverträgen entsprechen

  • Anonymisieren Sie sensible personenbezogene Daten vor dem Hochladen

  • Informieren Sie Kunden darüber, dass Sie ISMS Copilot für Compliance-Aufgaben nutzen

  • Nehmen Sie ISMS Copilot in Ihre Auftragsverarbeitungsverträge auf

  • Aktivieren Sie den erweiterten Datenschutz-Modus, falls Kunden eine EU-exklusive Verarbeitung verlangen

Für Organisationen

  • Dokumentieren Sie ISMS Copilot in Ihrem Verzeichnis von Verarbeitungstätigkeiten (siehe unser VVT-Referenzmuster)

  • Beziehen Sie ISMS Copilot in Datenschutz-Folgenabschätzungen (DSFA) ein, falls sensible Daten verarbeitet werden

  • Schulen Sie Mitarbeiter im ordnungsgemäßen Umgang mit Daten in ISMS Copilot

  • Konfigurieren Sie Aufbewahrungsfristen entsprechend Ihrer Datenaufbewahrungsrichtlinie

Benötigen Sie Hilfe bei der DSGVO-Compliance-Dokumentation? ISMS Copilot kann bei der Erstellung von Auftragsverarbeitungsverträgen, Datenschutzrichtlinien und DSFA-Vorlagen speziell für Ihre Organisation unterstützen.

Transparenz & Vertrauen

Sicherheitsdokumentation

Detaillierte Informationen über die Sicherheits- und Datenschutzpraktiken von ISMS Copilot finden Sie in unserer Security Collection:

  • Detaillierte Beschreibungen der Datenverarbeitung

  • Dokumentation der Sicherheitsmaßnahmen

  • Vollständige Liste der Unterauftragsverarbeiter mit Standorten und DPA-Status

  • Compliance-Zertifizierungen

  • KI-Governance-Richtlinien

Sie können auch unser umfassendes Verzeichnis von Verarbeitungstätigkeiten (VVT) für detaillierte technische und organisatorische Maßnahmen einsehen.

Systemstatus

Überwachen Sie die Verfügbarkeit des Dienstes und Sicherheitsvorfälle auf der Status-Seite:

  • Echtzeit-Uptime-Monitoring über BetterStack

  • Benachrichtigungen bei Vorfällen und Status-Updates

  • Geplante Wartungsfenster

  • Historische Uptime-Daten

  • Transparente Vorfallklassifizierung und Eskalation

Einschränkungen

Aktuelle Datenschutzfunktionen

  • Automatisierter Datenexport ist nicht verfügbar (muss über den Support angefordert werden)

  • Änderungen der E-Mail-Adresse erfordern Unterstützung durch den Support

  • Keine Self-Service-Kontolöschung (Support kontaktieren)

  • Cookie-Einwilligungsbanner nicht implementiert (keine Tracking-Cookies verwendet)

Nächste Schritte

Hilfe erhalten

Für datenschutzbezogene Fragen oder DSGVO-Anfragen:

  • Kontaktieren Sie den Support über das Help Center Menü

  • Senden Sie eine E-Mail von Ihrer registrierten E-Mail-Adresse

  • Geben Sie „GDPR Request“ in der Betreffzeile an für eine schnellere Bearbeitung

  • Besuchen Sie unsere Security Collection für detaillierte Dokumentationen

War das hilfreich?