Auftragsverarbeitungsvertrag (AVV) - Aktualisiert
Übersicht
Dieser Auftragsverarbeitungsvertrag („AVV“) ist Teil der Nutzungsbedingungen zwischen Ihnen (dem „Kunden“ oder „Verantwortlichen“) und ISMS Copilot (dem „Auftragsverarbeiter“) für die Nutzung der KI-basierten Compliance-Plattform ISMS Copilot. Dieser AVV entspricht Artikel 28 der Datenschutz-Grundverordnung (DSGVO) und regelt die Verarbeitung personenbezogener Daten im Auftrag des Kunden.
Gültigkeitsdatum: November 2025. Dieser AVV gilt automatisch für alle Kunden von ISMS Copilot, die personenbezogene Daten über die Plattform verarbeiten. Eine separate Unterschrift ist nicht erforderlich – Ihre Nutzung des Dienstes gilt als Zustimmung.
Für wen dies bestimmt ist
Dieser Auftragsverarbeitungsvertrag richtet sich an:
Organisationen, die ISMS Copilot zur Verarbeitung personenbezogener Daten nutzen
Compliance-Berater, die Client-Daten über die Plattform verarbeiten
Datenschutzbeauftragte, die Anbieterbewertungen durchführen
Rechts- und Beschaffungsteams, die Vereinbarungen zur Datenverarbeitung prüfen
Auditoren, die die Einhaltung von Artikel 28 DSGVO überprüfen
Definitionen
Schlüsselbegriffe
„Kunde“ oder „Verantwortlicher“: Die Organisation oder Einzelperson, die ISMS Copilot-Dienste abonniert und über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
„Auftragsverarbeiter“: ISMS Copilot, das personenbezogene Daten im Auftrag des Kunden verarbeitet.
„Personenbezogene Daten des Kunden“: Alle personenbezogenen Daten, die von ISMS Copilot im Auftrag des Kunden verarbeitet werden, einschließlich Gesprächsinhalten, hochgeladener Dokumente und zugehöriger Metadaten.
„Unterauftragsverarbeiter“: Jeder von ISMS Copilot beauftragte Dritter, der personenbezogene Daten des Kunden verarbeitet.
„Betroffene Person“: Die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten des Kunden beziehen.
„Verarbeitung“: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Speichern, die Verwendung, Offenlegung oder das Löschen.
„Verletzung des Schutzes personenbezogener Daten“: Eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten des Kunden führt.
1. Gegenstand und Anwendbarkeit
1.1 Anwendung des AVV
Dieser AVV gilt für alle Verarbeitungen personenbezogener Daten des Kunden durch ISMS Copilot im Rahmen der Bereitstellung der in den Nutzungsbedingungen beschriebenen Plattformdienste.
1.2 Gegenstand der Verarbeitung
ISMS Copilot verarbeitet personenbezogene Daten des Kunden, um KI-gestützte Compliance-Unterstützung anzubieten, einschließlich:
Verarbeitung von Benutzeranfragen und Erstellung von KI-Antworten
Speicherung von Gesprächshistorie und Kontext
Analyse hochgeladener Compliance-Dokumente
Verwaltung von Workspace-Konfigurationen und benutzerdefinierten Anweisungen
1.3 Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer des aktiven Abonnements des Kunden und gemäß der vom Kunden konfigurierten Aufbewahrungsfrist (1 Tag bis 7 Jahre oder „für immer behalten“). Nach Beendigung werden alle personenbezogenen Daten des Kunden innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche längere Aufbewahrungspflicht besteht.
1.4 Art und Zweck der Verarbeitung
Art: Automatisierte Verarbeitung durch KI-Modelle, Datenbank-Speicherung und Dateiverarbeitung
Zweck: Bereitstellung von Compliance-Beratung, Dokumentenanalyse, Richtlinienerstellung und Wissensmanagement gemäß den Anweisungen des Kunden
1.5 Kategorien betroffener Personen
Mitarbeiter und autorisierte Nutzer des Kunden
Kunden und Endnutzer des Kunden (sofern in hochgeladenen Dokumenten oder Anfragen erwähnt)
In der Compliance-Dokumentation erwähnte Personen
Betroffene von Sicherheitsvorfällen
1.6 Kategorien personenbezogener Daten
Benutzerkontoinformationen (E-Mail-Adressen, Authentifizierungsdaten)
Gesprächsinhalte und KI-Interaktionen
Inhalte hochgeladener Dokumente (Richtlinien, Verfahren, Audit-Berichte)
Workspace-Konfigurationen und benutzerdefinierte Anweisungen
Nutzungsmetadaten und Zeitstempel
Potenziell besondere Kategorien von Daten (Art. 9 DSGVO), sofern vom Kunden hochgeladen
Der Kunde ist dafür verantwortlich, eine angemessene Rechtsgrundlage und Schutzmaßnahmen sicherzustellen, bevor besondere Kategorien von Daten (Art. 9 DSGVO) hochgeladen werden, wie z. B. Sicherheitsberichte, die Gesundheitsdaten, Mitarbeiterinformationen oder andere sensible Kategorien enthalten.
2. Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO)
2.1 Verarbeitungsweisungen
ISMS Copilot verarbeitet personenbezogene Daten des Kunden nur auf dokumentierte Weisung des Kunden, einschließlich:
Über die Plattform-Schnittstelle erteilte Weisungen (Anfragen, Dokument-Uploads, Workspace-Konfigurationen)
Vom Kunden konfigurierte Datenspeicherungseinstellungen
Auswahl des erweiterten Datenschutzmodus (nur EU vs. Standard-KI-Verarbeitung)
Über die Plattform oder den Support eingereichte Löschanfragen
Verbotene Verarbeitung: ISMS Copilot und seinen KI-Unterauftragsverarbeitern (xAI, OpenAI, Mistral AI) ist es vertraglich untersagt, personenbezogene Daten des Kunden zum Trainieren, Verbessern oder Entwickeln von KI-Modellen zu verwenden. Dieses Verbot ist in alle Verträge mit KI-Unterauftragsverarbeitern integriert.
Wenn ISMS Copilot der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzgesetze verstößt, informieren wir den Kunden unverzüglich und haben das Recht, die Verarbeitung auszusetzen, bis die Weisung bestätigt oder geändert wird. Bestätigt der Kunde eine Weisung, von der ISMS Copilot vernünftigerweise annimmt, dass sie gegen geltendes Datenschutzrecht verstößt, kann ISMS Copilot die Ausführung verweigern und bei Fortbestehen der Uneinigkeit die betroffenen Verarbeitungstätigkeiten mit einer Frist von 30 Tagen kündigen.
2.2 Vertraulichkeit der Verarbeitung
ISMS Copilot stellt sicher, dass alle zur Verarbeitung personenbezogener Daten des Kunden befugten Personen:
Zur Vertraulichkeit verpflichtet sind (vertraglich oder gesetzlich)
Angemessene Schulungen zum Datenschutz erhalten
Nur auf einer „Need-to-know“-Basis auf Daten zugreifen
Dokumentierte Datenverarbeitungsverfahren befolgen
2.3 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
ISMS Copilot implementiert geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich:
Zugriffskontrollmaßnahmen:
Row-Level-Security in der Datenbank, die den datenübergreifenden Zugriff von Benutzern verhindert
Benutzerauthentifizierung für alle geschützten Ressourcen erforderlich
Workspace-Isolierung zur Vermeidung von Kreuzkontaminationen von Client-Daten
Unterstützung von Multi-Faktor-Authentifizierung (MFA)
Automatische Sitzungs-Timeout-Steuerungen
Verschlüsselungsmaßnahmen:
TLS 1.3 Verschlüsselung für Datenübertragung
Datenbankverschlüsselung im Ruhezustand (at rest)
Passwort-Hashing mit branchenüblichen Algorithmen (irreversibel)
Verschlüsselte Dateispeicherung in Supabase
Datenminimierungsmaßnahmen:
Nur wesentliche Daten werden erhoben (E-Mail, Nachrichten, Dateien)
Keine Erhebung unnötiger demografischer Daten oder Kontaktinformationen
Analyse-Tools sind mit
sendDefaultPii: falsekonfiguriertVom Kunden kontrollierte Aufbewahrungsfristen mit automatisierter Löschung
Verfügbarkeit und Belastbarkeit:
Automatisierte Datenbank-Backups
Disaster-Recovery-Verfahren
24/7 Überwachung und Alarmierung über Sentry
Echtzeit-Uptime-Monitoring über BetterStack mit sofortiger Slack-Alarmierung
Öffentliche Statusseite für Transparenz (status.ismscopilot.com)
Progressive Eskalation bei Vorfällen per E-Mail und SMS
Überprüfung und Bewertung:
Regelmäßige Sicherheitsbewertungen
Kontinuierliche Fehlerüberwachung und Protokollierung
Automatisierte Tests der Datenlöschung
Verfahren zur Überprüfung der Zugriffskontrolle
Detaillierte technische und organisatorische Maßnahmen finden Sie in unserem Verzeichnis von Verarbeitungstätigkeiten (VVT) oder in unserer Security Collection.
2.4 Beauftragung von Unterauftragsverarbeitern
Allgemeine Genehmigung: Der Kunde erteilt ISMS Copilot die allgemeine Genehmigung, Unterauftragsverarbeiter für die Verarbeitung personenbezogener Daten des Kunden zu beauftragen, sofern die Bedingungen dieses Abschnitts eingehalten werden.
Aktuelle Unterauftragsverarbeiter: Die vollständige Liste der Unterauftragsverarbeiter wird in unserem Verzeichnis von Verarbeitungstätigkeiten geführt und umfasst:
Unterauftragsverarbeiter | Zweck | Standort | AVV-Status |
|---|---|---|---|
Supabase (PostgreSQL + Storage) | Datenbank- und Dateispeicherung | EU (Frankfurt) | ✓ DSGVO-konform |
xAI (Grok) + OpenAI * | KI-Verarbeitung (Standardmodus) | USA | ✓ Kein Training auf Daten |
Mistral AI * | KI-Verarbeitung (Erweiterter Datenschutz) | Europäische Union | ✓ DSGVO-konform |
Stripe | Zahlungsabwicklung | Global (EU-AVV) | ✓ DSGVO-konform |
ConvertAPI | Dokumentenkonvertierung | EU-Endpunkt | ✓ DSGVO-konform ✓ ISO 27001:2022 zertifiziert ✓ Unterzeichneter AVV mit Better ISMS |
PostHog | Produktanalysen | EU (Frankfurt) | ✓ DSGVO-konform |
Sentry | Fehlerüberwachung | Deutschland | ✓ DSGVO-konform |
Vercel | Frontend-Hosting | Globales CDN | ✓ DSGVO-konform |
Fly.io | Backend-API-Hosting | EU-Deployment | ✓ DSGVO-konform |
SendGrid (Twilio) | E-Mail-Kommunikation | USA (SCC) | ✓ DSGVO + SCC |
Kit (ConvertKit) | E-Mail-Kommunikation | USA (SCC) | ✓ DSGVO + SCC |
* Benutzerkonfigurierbar: Es ist jeweils nur EIN KI-Prozessor aktiv, abhängig von der Einstellung des Erweiterten Datenschutzmodus des Kunden.
Anforderungen an Unterauftragsverarbeiter: ISMS Copilot stellt sicher, dass alle Unterauftragsverarbeiter:
Hinreichende Garantien für die DSGVO-Konformität bieten
Datenverarbeitungsbedingungen zustimmen, die im Wesentlichen diesem AVV entsprechen
Geeignete technische und organisatorische Maßnahmen implementieren
Der Aufsicht und den Prüfungsrechten von ISMS Copilot unterliegen
Änderungen bei Unterauftragsverarbeitern:
ISMS Copilot wird den Kunden mindestens 30 Tage vor dem Hinzufügen oder Ersetzen von Unterauftragsverarbeitern informieren
Benachrichtigungen erfolgen per E-Mail und In-App-Mitteilung
Kunden können neuen Unterauftragsverarbeitern innerhalb von 30 Tagen widersprechen
Bei Widerspruch wird ISMS Copilot den neuen Unterauftragsverarbeiter entweder nicht einsetzen oder dem Kunden die Kündigung des Dienstes ohne Vertragsstrafe ermöglichen
Abonnieren Sie Benachrichtigungen über Änderungen bei Unterauftragsverarbeitern, indem Sie Ihre E-Mail-Einstellungen unter Einstellungen überprüfen. Aktualisierte Listen der Unterauftragsverarbeiter sind jederzeit im Verzeichnis von Verarbeitungstätigkeiten einsehbar.
2.5 Unterstützung bei Betroffenenrechten
ISMS Copilot unterstützt den Kunden bei der Erfüllung von Anfragen zu Betroffenenrechten, einschließlich:
ISMS Copilot wird auf Kundenanfragen zur Unterstützung bei Betroffenenrechten innerhalb der unten angegebenen Zeitrahmen antworten. Der Kunde bleibt dafür verantwortlich, die einmonatige Antwortfrist der DSGVO gegenüber betroffenen Personen einzuhalten (Art. 12 Abs. 3).
Recht auf Auskunft (Art. 15):
Self-Service-Zugriff auf alle Gespräche und Dateien über die Plattform
Vollständiger Datenexport im JSON-Format auf Anfrage an den Support (innerhalb von 72 Stunden)
Recht auf Berichtigung (Art. 16):
Self-Service-Aktualisierungen der Kontoeinstellungen
Vom Support unterstützte Änderungen der E-Mail-Adresse (innerhalb von 30 Tagen)
Recht auf Löschung (Art. 17):
Anfragen zur Kontolöschung über den Support
Vollständige Datenlöschung innerhalb von 30 Tagen
Bestätigung an den Kunden nach Abschluss der Löschung
Recht auf Datenübertragbarkeit (Art. 20):
Maschinenlesbarer JSON-Export aller personenbezogenen Daten des Kunden
Bereitstellung innerhalb von 72 Stunden (bis zu 5 Tage bei großen Konten)
Recht auf Einschränkung der Verarbeitung (Art. 18) und Widerspruchsrecht (Art. 21):
Bearbeitung über den Support auf Einzelfallbasis
Antwort innerhalb von 30 Tagen
Der Kunde ist dafür verantwortlich, die Identität der betroffenen Person zu überprüfen, bevor er Datenzugriff oder -export anfordert. ISMS Copilot stellt die Tools und Prozesse bereit, aber die Hauptverantwortung für die Beantwortung von Betroffenenanfragen liegt beim Kunden.
2.6 Benachrichtigung bei Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die die Daten des Kunden betrifft, wird ISMS Copilot:
Erkennung und Bewertung:
Kontinuierliche Überwachung auf Sicherheitsvorfälle über Sentry und automatisierte Alarmierung
Durchführung einer Überprüfung des Sicherheitsvorfalls innerhalb von 24 Stunden nach Entdeckung
Bewertung des Risikos und der möglichen Auswirkungen auf die personenbezogenen Daten des Kunden
Benachrichtigung an den Kunden:
Benachrichtigung des Kunden innerhalb von 48 Stunden nach Bestätigung, dass eine Verletzung des Schutzes personenbezogener Daten seine Daten betrifft
Bei Verdachtsfällen unter Untersuchung Bereitstellung einer vorläufigen Benachrichtigung innerhalb von 24 Stunden mit Updates, sobald Informationen verfügbar sind
Bereitstellung einer Beschreibung der Verletzung, einschließlich Kategorien und geschätzter Anzahl betroffener Personen
Beschreibung der wahrscheinlichen Folgen der Verletzung
Darstellung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Auswirkungen
Angabe einer Kontaktstelle für weitere Informationen
Zusammenarbeit:
Zusammenarbeit bei Untersuchungs- und Abhilfemaßnahmen des Kunden
Angemessene Unterstützung bei der Benachrichtigung der Aufsichtsbehörden und betroffenen Personen durch den Kunden
Dokumentation aller Verletzungen und Korrekturmaßnahmen
Der Kunde bleibt dafür verantwortlich, zu entscheiden, ob eine Benachrichtigung der Aufsichtsbehörden (innerhalb von 72 Stunden gemäß Art. 33) und der betroffenen Personen (Art. 34) erforderlich ist. ISMS Copilot liefert Informationen zur Unterstützung dieser Entscheidung und Pflichten.
2.7 Unterstützung bei Datenschutz-Folgenabschätzungen (DSFA)
ISMS Copilot leistet angemessene Unterstützung, wenn der Kunde eine Datenschutz-Folgenabschätzung oder eine vorherige Konsultation mit einer Aufsichtsbehörde durchführt, einschließlich:
Bereitstellung des Verzeichnisses von Verarbeitungstätigkeiten als Referenz
Beschreibung der implementierten technischen und organisatorischen Maßnahmen
Erläuterung der Datenflüsse und der Vereinbarungen mit Unterauftragsverarbeitern
Beantwortung spezifischer Fragen zu den Verarbeitungsvorgängen
2.8 Löschung und Rückgabe von Daten
Nach Beendigung der Dienste oder auf Anfrage des Kunden wird ISMS Copilot:
Standard-Löschung (Standard):
Löschung aller personenbezogenen Daten des Kunden innerhalb von 30 Tagen nach Beendigung
Überschreiben von Backup-Daten innerhalb von 90 Tagen
Bereitstellung einer schriftlichen Löschbestätigung auf Anfrage
Datenexport vor der Löschung:
Der Kunde kann vor der Kündigung einen vollständigen Datenexport anfordern
Export im JSON-Format innerhalb von 72 Stunden
Löschung erfolgt nach Bestätigung des Erhalts des Exports
Gesetzliche Aufbewahrungsausnahmen:
Anonymisierte Abrechnungsdaten werden für 7 Jahre aufbewahrt (Steuer- und Buchhaltungs-Compliance)
Anonymisierte Analysedaten können aufbewahrt werden
Inhalte, die von automatisierten Moderationssystemen markiert wurden, werden bis zu 1 Jahr zur Einhaltung gesetzlicher Vorschriften und zur Überprüfung der Plattformsicherheit aufbewahrt (siehe Datenschutzrichtlinie, Abschnitt Inhaltsmoderation)
Daten, die aufgrund geltender Gesetze aufbewahrt werden müssen, werden isoliert und geschützt, bis die gesetzliche Aufbewahrungsfrist abläuft
2.9 Audit-Rechte
Der Kunde hat das Recht, die Einhaltung dieses AVV durch ISMS Copilot unter Berücksichtigung angemessener Einschränkungen zu prüfen:
Prüfung der Dokumentation:
Kunden können öffentlich zugängliche Compliance-Dokumentationen in unserer Security Collection einsehen
Anforderung zusätzlicher Dokumentation über den Support (z. B. Verträge mit Unterauftragsverarbeitern, Sicherheitsrichtlinien)
Einsicht in das Verzeichnis von Verarbeitungstätigkeiten jederzeit möglich
Vor-Ort-Audits:
Kunden können Vor-Ort-Audits mit einer schriftlichen Vorankündigung von 60 Tagen durchführen
Maximal ein Audit pro Jahr, sofern nicht durch eine Datenschutzverletzung erforderlich
Audits müssen während der Geschäftszeiten durchgeführt werden und dürfen den Betrieb nicht stören
Der Kunde trägt die Kosten des Audits, es sei denn, das Audit deckt eine Nichteinhaltung auf, die: (a) eine Verletzung des Schutzes personenbezogener Daten darstellt, oder (b) ein systematisches Versagen bei der Implementierung dokumentierter Sicherheitsmaßnahmen beinhaltet, oder (c) zu behördlichen Durchsetzungsmaßnahmen führt. In diesen Fällen trägt ISMS Copilot die angemessenen Audit-Kosten, die nach Feststellung der Nichteinhaltung entstanden sind.
Ergebnisse werden vertraulich behandelt und dürfen nur bei gesetzlicher Verpflichtung geteilt werden
Zertifizierungen durch Dritte:
ISMS Copilot wird relevante Sicherheitszertifizierungen anstreben und aufrechterhalten (ISO 27001 in Arbeit)
Zertifizierungsberichte können auf Anfrage unter NDA geteilt werden
Kunden können sich auf Dritt-Zertifizierungen verlassen, anstatt eigene Audits durchzuführen
3. Internationale Datentransfers
3.1 Datentransfermechanismen
ISMS Copilot verarbeitet personenbezogene Daten des Kunden gemäß Kapitel V der DSGVO:
Primäre Speicherung (immer EU):
Die gesamte Datenbank-Speicherung erfolgt in Frankfurt, Deutschland (AWS EU-Central-1)
Gesprächshistorie, hochgeladene Dateien und Kontodaten verbleiben in der EU
Kein Angemessenheitsbeschluss für die primäre Speicherung erforderlich
KI-Verarbeitung (benutzerkonfigurierbar):
Bei EINGESCHALTETEM erweiterten Datenschutzmodus: Die KI-Verarbeitung erfolgt innerhalb der EU über Mistral AI ohne Datenspeicherung. Es findet kein internationaler Datentransfer für die KI-Verarbeitung statt.
Bei AUSGESCHALTETEM erweitertem Datenschutzmodus (Standard): Gesprächsinhalte werden zur KI-Verarbeitung an die USA über xAI/OpenAI mit einer 30-tägigen Speicherung übertragen. Für diese Übertragungen gelten Standardvertragsklauseln.
E-Mail-Kommunikation (US-basiert):
E-Mail-Adressen werden an SendGrid und Kit (USA) übertragen
Geschützt durch von der Europäischen Kommission genehmigte Standardvertragsklauseln
Kunden können Transfers minimieren, indem sie nicht essentielle E-Mails abbestellen
3.2 Standardvertragsklauseln (SCCs)
Für Übermittlungen in die USA stützt sich ISMS Copilot auf Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission):
Kunde an ISMS Copilot: Modul Zwei (Verantwortlicher an Auftragsverarbeiter) findet Anwendung, wenn der Kunde als Verantwortlicher handelt
ISMS Copilot an US-Unterauftragsverarbeiter: Modul Drei (Auftragsverarbeiter an Auftragsverarbeiter) findet Anwendung
Anwendbares Recht für SCCs: Französisches Recht (Klausel 17, Option 1)
Zuständige Aufsichtsbehörde: CNIL, Frankreich (Klausel 13)
Kopien der mit Unterauftragsverarbeitern abgeschlossenen SCCs sind auf Anfrage über den Support erhältlich
3.3 Zusätzliche Maßnahmen
ISMS Copilot implementiert zusätzliche Maßnahmen zum Schutz von Daten, die außerhalb der EU übertragen werden:
Ende-zu-Ende-Verschlüsselung (TLS 1.3) für alle Datenübertragungen
Vertragliches Verbot von KI-Training mit Kundendaten
Begrenzte Aufbewahrung durch KI-Anbieter (30 Tage bei xAI/OpenAI, keine bei Mistral AI)
Fähigkeit des Kunden, den Übertragungsort über den erweiterten Datenschutzmodus zu steuern
Kontinuierliche Überwachung rechtlicher Entwicklungen in Bezug auf internationale Transfers
3.4 Transfer Impact Assessment (TIA)
ISMS Copilot hat eine Transferfolgenabschätzung (TIA) für US-basierte Unterauftragsverarbeiter durchgeführt und Folgendes festgestellt:
Standardvertragsklauseln bieten angemessene Garantien gemäß DSGVO Kapitel V
Ergänzende technische Maßnahmen (Verschlüsselung, begrenzte Aufbewahrung, Benutzerkontrollen) erhöhen den Schutz
Kunden haben die Möglichkeit, KI-Verarbeitungstransfers in die USA vollständig zu vermeiden, indem sie den erweiterten Datenschutzmodus aktivieren (nur EU-Verarbeitung ohne Speicherung)
E-Mail-Übertragungen an US-Anbieter (SendGrid, Kit) bleiben unabhängig vom Datenschutzmodus bestehen, sind aber durch SCCs und Verschlüsselung geschützt
Es liegen keine Hinweise vor, dass Unterauftragsverarbeiter Regierungsanfragen für den Zugriff auf Kundendaten erhalten haben
Die vollständige Transferfolgenabschätzung, einschließlich Risikobewertungsmethodik und Analyse des US-Überwachungsrechts, ist verfügbar unter Transfer Impact Assessment.
Organisationen mit strengen Anforderungen an die Datenhaltung in der EU sollten den Erweiterten Datenschutzmodus aktivieren, um KI-bezogene Transfers zu eliminieren und die Pflichten zur Transferfolgenabschätzung zu vereinfachen. E-Mail-Übertragungen an US-Anbieter bleiben bestehen, werden aber minimiert, indem nicht essentielle Kommunikation abbestellt wird. Siehe unsere Transfer Impact Assessment für Details.
4. Pflichten des Kunden als Verantwortlicher
4.1 Rechtmäßigkeit der Verarbeitungsweisungen
Der Kunde sichert zu, dass:
Alle Verarbeitungsweisungen der DSGVO und geltenden Datenschutzgesetzen entsprechen
Der Kunde über eine rechtmäßige Grundlage für die Verarbeitung aller auf die Plattform hochgeladenen Daten verfügt
Der Kunde die betroffenen Personen über die Verarbeitung und ihre Rechte informiert hat
Der Kunde ordnungsgemäße Verzeichnisse von Verarbeitungstätigkeiten führt (Art. 30 DSGVO)
4.2 Besondere Kategorien von Daten
Wenn der Kunde besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) hochlädt, bestätigt er:
Dass die entsprechenden Bedingungen von Artikel 9 erfüllt sind (z. B. ausdrückliche Einwilligung, Rechtsansprüche, erhebliches öffentliches Interesse)
Dass zusätzliche Schutzmaßnahmen gemäß den gesetzlichen Anforderungen bestehen
Dass der Kunde, falls erforderlich, eine Datenschutz-Folgenabschätzung durchgeführt hat
4.3 Verwaltung von Betroffenenrechten
Der Kunde ist verantwortlich für:
Entgegennahme und Beantwortung von Anfragen zu Betroffenenrechten
Verifizierung der Identität der betroffenen Person vor einer Datenanfrage an ISMS Copilot
Entscheidung über die Benachrichtigung von Aufsichtsbehörden und betroffenen Personen im Falle von Datenschutzverletzungen
Sicherstellung, dass betroffene Personen über die Rolle von ISMS Copilot als Auftragsverarbeiter informiert sind
4.4 Konfiguration der Datenspeicherung
Der Kunde muss:
Angemessene Aufbewahrungsfristen konfigurieren, die seinen Datenschutzrichtlinien entsprechen
Die Speichereinstellungen regelmäßig überprüfen, um die Konformität sicherzustellen
Die Löschung beantragen, wenn die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind
4.5 Workspace-Isolierung
Der Kunde sollte:
Separate Workspaces für verschiedene Clients oder Datenkategorien erstellen
Die Mischung personenbezogener Daten verschiedener Betroffener in einem Workspace vermeiden
Workspaces löschen, wenn Projekte abgeschlossen sind und die Daten nicht mehr benötigt werden
5. Haftung und Freistellung
5.1 Haftungsverteilung
Gemäß Artikel 82 DSGVO:
Kunde und ISMS Copilot haften jeweils für Schäden, die durch eigene Verstöße gegen die DSGVO verursacht wurden
ISMS Copilot ist von der Haftung befreit, wenn nachgewiesen wird, dass das Unternehmen für das den Schaden auslösende Ereignis nicht verantwortlich ist
ISMS Copilot haftet nicht für Schäden, die aus unrechtmäßigen Verarbeitungsweisungen des Kunden resultieren
5.2 Freistellung
Der Kunde stellt ISMS Copilot von allen Ansprüchen, Bußgeldern oder Schäden frei, die resultieren aus:
Verstößen des Kunden gegen die DSGVO oder andere Datenschutzgesetze
Unrechtmäßigen Verarbeitungsweisungen des Kunden
Versäumnissen des Kunden bei der Einholung notwendiger Einwilligungen oder Rechtsgrundlagen für die Verarbeitung
Upload besonderer Kategorien von Daten durch den Kunden ohne angemessene Schutzmaßnahmen
6. Laufzeit und Kündigung
6.1 Laufzeit
Dieser AVV tritt an dem Tag in Kraft, an dem der Kunde erstmals Dienste von ISMS Copilot nutzt, und gilt so lange, wie ISMS Copilot personenbezogene Daten des Kunden verarbeitet.
6.2 Kündigung
Dieser AVV endet automatisch bei:
Kündigung der Nutzungsbedingungen
Abschluss aller Verarbeitungstätigkeiten und Löschung der personenbezogenen Daten des Kunden
6.3 Folgen der Beendigung
Nach Beendigung:
Wird ISMS Copilot alle personenbezogenen Daten des Kunden gemäß Abschnitt 2.8 löschen oder zurückgeben
Bleiben Pflichten zur Vertraulichkeit, Datensicherheit und gesetzlichen Aufbewahrung über die Beendigung hinaus bestehen
Bleibt das Prüfungsrecht des Kunden für 12 Monate nach Beendigung bestehen
7. Änderungen und Aktualisierungen
7.1 Aktualisierungen des AVV
ISMS Copilot kann diesen AVV aktualisieren, um Folgendem Rechnung zu tragen:
Änderungen in Datenschutzgesetzen oder behördlichen Leitlinien
Änderungen der Verarbeitungsvorgänge oder der Unterauftragsverarbeiter
Verbesserungen der Sicherheitsmaßnahmen oder Datenschutzpraktiken
7.2 Benachrichtigung über Änderungen
Wesentliche Änderungen werden mindestens 30 Tage im Voraus per E-Mail und In-App-Benachrichtigung mitgeteilt
Der aktualisierte AVV wird unter dieser URL mit einem neuen „Gültigkeitsdatum“ veröffentlicht
Die fortgesetzte Nutzung der Dienste nach dem Datum des Inkrafttretens gilt als Zustimmung zum aktualisierten AVV
7.3 Widerspruchsrechte
Der Kunde kann wesentlichen Änderungen innerhalb von 30 Tagen nach Benachrichtigung widersprechen
Im Falle eines Widerspruchs kann der Kunde den Dienst ohne Vertragsstrafe kündigen
8. Anwendbares Recht und Gerichtsstand
8.1 Anwendbares Recht
Dieser AVV unterliegt:
Der Datenschutz-Grundverordnung (EU) 2016/679
Dem französischen Datenschutzrecht (Datenschutzgesetz 78-17 vom 6. Januar 1978)
Den Gesetzen Frankreichs für die vertragliche Auslegung
8.2 Gerichtsstand
Alle Streitigkeiten aus diesem AVV unterliegen der Gerichtsbarkeit französischer Gerichte, wobei die Aufsichtsbehörde die Commission Nationale de l'Informatique et des Libertés (CNIL) ist.
9. Kontaktinformationen
9.1 Kontakte zum Datenschutz
Für Fragen oder Anfragen im Zusammenhang mit dem AVV:
Kontaktieren Sie den Support über das Help Center (zugänglich über das Benutzermenü)
Senden Sie eine E-Mail von Ihrer registrierten E-Mail-Adresse
Geben Sie „AVV-Anfrage“ oder „Data Processing Agreement“ im Betreff an
9.2 Datenschutz-Kontaktstelle
ISMS Copilot hat keinen Datenschutzbeauftragten benannt, da wir die Kriterien für eine Pflichtbenennung gemäß Art. 37 DSGVO nicht erfüllen. Für Datenschutzanfragen zu diesem AVV kontaktieren Sie uns unter [email protected] oder über das Help Center.
9.3 Aufsichtsbehörde
Commission Nationale de l'Informatique et des Libertés (CNIL)
Website: https://www.cnil.fr/en
Adresse: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankreich
Telefon: +33 1 53 73 22 22
10. Zusätzliche Ressourcen
Begleitende Dokumentation
Verzeichnis von Verarbeitungstätigkeiten (VVT) - Detaillierte Verarbeitungsvorgänge und Unterauftragsverarbeiter
Transfer Impact Assessment (TIA) - Risikobewertung und Schutzmaßnahmen für internationale Datentransfers
Datenschutzrichtlinie - Datenschutzhinweise für Endverbraucher
Datenschutz & DSGVO-Konformität - Leitfaden zur Umsetzung von Nutzerrechten und DSGVO
Security Collection - Umfassende Dokumentation zu Sicherheit und Compliance
Statusseite - Echtzeit-Systemverfügbarkeit und Vorfall-Benachrichtigungen
Konfigurationsleitfäden
Erweiterter Datenschutzmodus - Nur EU-basierte KI-Verarbeitung aktivieren
Anleitung zur Workspace-Einrichtung - Client-Daten korrekt isolieren
Leitfaden zur Kontosicherheit - Starke Authentifizierung implementieren
Anhang A: Zusammenfassung der Verarbeitungsdetails
Gegenstand
Bereitstellung einer KI-gestützten Compliance-Plattform einschließlich Gesprächsverarbeitung, Dokumentenanalyse und Wissensmanagement.
Dauer
Für die Dauer des aktiven Abonnements des Kunden plus die vom Kunden konfigurierte Aufbewahrungsfrist (1 Tag bis 7 Jahre), gefolgt von einem 30-tägigen Löschfenster.
Art und Zweck
Art: Automatisierte KI-Verarbeitung, Datenbankspeicherung, Dateikonvertierung und -analyse
Zweck: Ermöglichung für Compliance-Experten, KI-Beratung zu erhalten, Dokumente zu analysieren, Richtlinien zu erstellen und Compliance-Wissen zu verwalten
Kategorien betroffener Personen
Mitarbeiter des Kunden und autorisierte Plattformnutzer
Kunden des Kunden (sofern in Dokumenten oder Anfragen erwähnt)
In der Compliance-Dokumentation erwähnte Personen
Betroffene von Sicherheitsvorfällen
Kategorien personenbezogener Daten
Kontaktinformationen (E-Mail-Adressen)
Authentifizierungsdaten (gehashte Passwörter)
Gesprächsinhalte und KI-Interaktionen
Hochgeladene Compliance-Dokumente
Nutzungsmetadaten und Zeitstempel
Potenziell besondere Kategorien von Daten (Art. 9 DSGVO), sofern vom Kunden hochgeladen
Anhang B: Protokoll über Änderungen bei Unterauftragsverarbeitern
Dieser Anhang dokumentiert alle Hinzufügungen, Entfernungen und Änderungen bei Unterauftragsverarbeitern seit dem Inkrafttreten des AVV. Kunden werden 30 Tage vor Inkrafttreten der Änderungen informiert.
Stand: November 2025
Ursprüngliche Liste der Unterauftragsverarbeiter erstellt. Siehe Abschnitt 2.4 und das Verzeichnis von Verarbeitungstätigkeiten für die vollständige aktuelle Liste.
Künftige Änderungen
Alle Änderungen bei Unterauftragsverarbeitern werden hier dokumentiert mit:
Datum des Inkrafttretens der Änderung
Name und Standort des Unterauftragsverarbeiters
Art der Änderung (Hinzufügung, Entfernung, Ersetzung)
Verarbeitungszweck
Datum der Kundenbenachrichtigung
Hilfe erhalten
Bei Fragen zu diesem Auftragsverarbeitungsvertrag:
Überprüfen Sie das Verzeichnis von Verarbeitungstätigkeiten für technische Verarbeitungsdetails
Kontaktieren Sie den Support über das Help Center für Klärungen
Fordern Sie zusätzliche Dokumente (z. B. SCCs, Sicherheitsrichtlinien) über den Support an
Besuchen Sie unsere Security Collection für umfassende Compliance-Ressourcen
Geben Sie „AVV-Anfrage“ im Betreff an, um eine bevorzugte Bearbeitung zu erhalten