ISMS Copilot
Rechtliches

Datenschutzerklärung - ISMS Copilot

Überblick

Diese Datenschutzerklärung beschreibt, wie ISMS Copilot ("wir", "uns" oder "unser") Ihre persönlichen Daten sammelt, verwendet, teilt und schützt, wenn Sie unsere KI-gestützte Compliance-Plattform nutzen. Diese Richtlinie gilt für alle Benutzer von ISMS Copilot, einschließlich Testnutzer, Abonnenten und Besucher unserer Webseite.

Wirksamkeitsdatum: Dezember 2025. Diese Datenschutzerklärung wird regelmäßig aktualisiert, um Änderungen bei unseren Datenverarbeitungspraktiken und regulatorischen Anforderungen widerzuspiegeln.

Globaler Geltungsbereich: Diese Richtlinie umfasst sowohl die europäischen (DSGVO) als auch kalifornischen (CCPA/CPRA) Datenschutzanforderungen. EU-Nutzer sollten sich auf die DSGVO-Abschnitte konzentrieren; kalifornische Bewohner sollten zudem den Abschnitt zu kalifornischen Datenschutzrechten lesen.

Für wen ist das

Diese Datenschutzerklärung gilt für:

  • Alle Nutzer der ISMS Copilot Plattform (Compliance-Experten, Berater, Sicherheitsteams)

  • Organisationen, die ISMS Copilot für Lieferantenrisikobewertungen evaluieren

  • Datenschutzbeauftragte, die Datenschutzüberprüfungen durchführen

  • Jeder, der verstehen möchte, wie wir personenbezogene Daten verarbeiten

Datenschutzverantwortlicher

ISMS Copilot ist der für Ihre personenbezogenen Daten verantwortliche Datenschutzverantwortliche:

  • Name: ISMS Copilot

  • Rechtsgebiet: Frankreich (Europäische Union)

  • Primärer Datenstandort: Frankfurt, Deutschland (AWS EU-Central-1)

  • Datenschutzkontakt: [email protected]

  • Aufsichtsbehörde: Commission Nationale de l'Informatique et des Libertés (CNIL)

Datenschutzbeauftragter

ISMS Copilot hat keinen Datenschutzbeauftragten benannt, da wir die verpflichtenden Benennungskriterien gemäß Artikel 37 DSGVO nicht erfüllen. Für Datenschutzanfragen kontaktieren Sie bitte [email protected].

Gesammelte Informationen

Kontoinformationen

Bei der Erstellung eines ISMS Copilot-Kontos erfassen wir:

  • E-Mail-Adresse (für Authentifizierung und wesentliche Kommunikation)

  • Passwort (gehasht und verschlüsselt, niemals im Klartext gespeichert)

  • Zeitstempel zur Kontoerstellung und letzter Anmeldung

  • Eindeutige Benutzerkennungen (UUIDs)

Konversationsdaten

Bei der Nutzung unseres KI-Compliance-Assistenten verarbeiten wir:

  • Ihre Nachrichten und Anfragen

  • KI-generierte Antworten

  • Konversationsmetadaten (Titel, Zeitstempel, Status)

  • Arbeitsbereichskonfigurationen und individuelle Anweisungen

  • Compliance-bezogene Inhalte (Richtlinien, Verfahren, Prüfungsinformationen, die Sie eingeben)

Sie können besondere Kategorien personenbezogener Daten (Artikel 9 DSGVO) wie Sicherheitsvorfälle oder Compliance-Verstöße eingeben. Sie sind dafür verantwortlich, dass Sie die rechtliche Erlaubnis besitzen, solche Daten vor der Eingabe in die Plattform zu verarbeiten.

Hochgeladene Dateien

Beim Hochladen von Dokumenten zur Analyse erfassen wir:

  • Dateiinhalte (PDF, DOCX, XLSX Formate)

  • Dateinamen, Größen und Upload-Zeitstempel

  • Extrahierte Dokumentinhalte und Metadaten

  • Status der Dokumentverarbeitung

Zahlungsinformationen

Für Premium-Abonnements erfassen wir:

  • Stripe-Kunden-IDs und Abonnement-IDs

  • Zahlungsmetadaten (vollständige Kreditkartennummern werden nie gespeichert)

  • Abrechnungsereignisse und Rechnungsinformationen

  • Abonnementstatus und Tarifdetails

Zahlungskartendaten werden ausschließlich von Stripe, unserem PCI DSS Level 1-konformen Zahlungsdienstleister, verarbeitet. ISMS Copilot speichert oder verarbeitet niemals Kreditkartennummern.

Analyse- und Nutzungsdaten

Zur Verbesserung unseres Services erfassen wir automatisch:

  • Verhaltensereignisse der Nutzer (Seitenaufrufe, Funktionennutzung)

  • Sitzungsdaten und Dauer

  • Browser- und Geräteinformationen

  • Fehlerprotokolle und Leistungsmetriken

  • Nutzerkennungen (nur UUID) für Fehlerverfolgung im Produktionsbetrieb (keine E-Mail-Adressen oder Namen)

  • IP-Adressen (anonymisiert)

Unsere Analysesysteme sind mit sendDefaultPii: false konfiguriert, um die automatische Erfassung personenbezogener Daten zu verhindern. Konversationsinhalte und hochgeladene Dokumente werden nie mit Analyseanbietern geteilt.

Daten zu E-Mail-Kommunikation

Wenn Sie E-Mails von uns erhalten, erfassen wir möglicherweise:

  • Daten zur E-Mail-Interaktion (Öffnungen, Klicks)

  • Abonnementpräferenzen

  • Abmelde-Status

  • Zeitstempel der E-Mail-Zustellung

Wie wir Ihre Informationen verwenden

Servicebereitstellung (Rechtsgrundlage: Vertragserfüllung - Art. 6(1)(b) DSGVO)

  • Bereitstellung KI-gestützter Compliance-Unterstützung

  • Authentifizierung Ihres Kontos und Sitzungsverwaltung

  • Verarbeitung und Speicherung Ihrer Gespräche und hochgeladenen Dateien

  • Bereitstellung angeforderter Funktionen und Features

  • Abwicklung von Abonnementzahlungen und Verwaltung der Abrechnung

Serviceverbesserung (Rechtsgrundlage: berechtigtes Interesse - Art. 6(1)(f) DSGVO)

  • Analyse der Plattformnutzung zur Verbesserung der Nutzererfahrung

  • Überwachung der Systemleistung und Zuverlässigkeit

  • Identifikation und Behebung von Fehlern und technischen Problemen

  • Entwicklung neuer Funktionen und Fähigkeiten

Sicherheit und Betrugsprävention (Rechtsgrundlage: berechtigtes Interesse - Art. 6(1)(f) DSGVO)

  • Erkennung und Prävention unbefugten Zugriffs

  • Überwachung auf verdächtige Aktivitäten oder Missbrauch

  • Schutz der Plattformintegrität und Nutzerdaten

  • Reaktion auf Sicherheitsvorfälle

  • Verarbeitung aller Chatnachrichten durch automatisierte Inhaltsmoderation zur Erkennung verbotener Inhalte gemäß unserer Nutzungsrichtlinie

  • Speicherung markierter Nachrichten mit Metadaten für rechtliche Zwecke und Administratorenprüfung

Inhaltsmoderation: Alle Chatnachrichten werden über automatisierte Moderations-APIs (standardmäßig OpenAI, oder Mistral AI bei aktiviertem Advanced Data Protection) verarbeitet, um Verstöße gegen unsere Nutzungsrichtlinie zu erkennen. Unbedenkliche (nicht markierte) Nachrichten werden inhaltlich nie gespeichert – lediglich Metadaten und Moderationswerte werden 30 Tage lang vorgehalten. Bei als potenziell schädlich oder verboten markierten Inhalten werden die vollständigen Nachrichteninhalte und Metadaten für 1 Jahr gespeichert und von Administratoren geprüft, selbst wenn der Advanced Data Protection Mode aktiviert ist. Dies gewährleistet Sicherheit und rechtliche Konformität der Plattform.

Kommunikation (Rechtsgrundlage: berechtigtes Interesse - Art. 6(1)(f) DSGVO)

  • Versand transaktionaler E-Mails (Passwort-Rücksetzungen, Sicherheitswarnungen)

  • Bereitstellung von Onboarding-Hilfen und Produktschulungen

  • Weitergabe rechtlicher Updates und wichtiger Serviceänderungen

  • Versand gelegentlicher Produktupdates (Abmeldung jederzeit möglich)

Rechtliche Verpflichtung (Rechtsgrundlage: gesetzliche Verpflichtung - Art. 6(1)(c) DSGVO)

  • Aufbewahrung von Abrechnungsunterlagen für steuerliche und buchhalterische Anforderungen (7 Jahre)

  • Antwort auf rechtmäßige Anfragen von Behörden

  • Einhaltung einschlägiger Datenschutzgesetze

ISMS Copilot verwendet Ihre Daten niemals für Marketing, Werbung oder den Verkauf an Dritte. Ihre Gespräche und hochgeladenen Dokumente werden niemals zum Training von KI-Modellen verwendet.

Wie wir Ihre Informationen teilen

Drittanbieter-Serviceanbieter (Datenverarbeiter)

Wir teilen Ihre Informationen mit vertrauenswürdigen Dienstleistern, die uns bei der Bereitstellung der Plattform unterstützen. Alle Verarbeiter verfügen über DSGVO-konforme Auftragsverarbeitungsverträge.

Eine aktuelle Liste aller Unterverarbeiter wird in unserem Data Processing Agreement geführt. Änderungen an Unterverarbeitern werden Kontoinhabern 30 Tage im Voraus per E-Mail mitgeteilt.

Datenbank und Speicher (immer aktiv)

  • Supabase: Datenbank und Dateispeicherung (EU - Frankfurt, Deutschland)

  • AWS: Infrastruktur (EU-Central-1, Frankfurt)

KI-Verarbeitung (benutzerkonfigurierbar via Advanced Data Protection Mode)

  • Standardmodus (Advanced Data Protection AUS): xAI (Grok) und OpenAI (USA, 30 Tage Vorhaltung, kein Training mit Daten)

  • Advanced Data Protection EIN: Mistral AI (Europäische Union, keine Speicherung, kein Training mit Daten)

Inhaltsmoderation Verarbeitungen

  • Standardmodus: OpenAI Moderation API (USA, 30 Tage Vorhaltung)

  • Advanced Data Protection EIN: Mistral AI Moderation API (Europäische Union, keine Speicherung)

Moderationsverarbeitung erfolgt für alle Chatnachrichten zur Sicherstellung der Plattform-Sicherheit. Bei nicht markiertem Inhalt werden lediglich Metadaten und Moderationswerte (ohne Nachrichteninhalte) für 30 Tage gespeichert. Markierte Inhalte umfassen den vollständigen Nachrichtentext, der für 1 Jahr gespeichert wird, unabhängig von ADP-Einstellungen, zur Einhaltung gesetzlicher Vorgaben und Sicherheitsprüfungen.

Organisationen mit EU-Datenresidentz-Anforderungen sollten den Advanced Data Protection Mode aktivieren, um 100% EU-Verarbeitung mit keiner Speicherung durch KI-Anbieter zu gewährleisten.

Zahlungsabwicklung

  • Stripe: Zahlungsabwicklung und Abonnementmanagement (global mit EU-DPA, PCI DSS Level 1 konform)

Analyse und Überwachung

  • PostHog: Produktanalyse (EU - Frankfurt, Deutschland)

  • Sentry: Fehlerverfolgung und Monitoring (Deutschland). Im Produktivbetrieb wird Ihre Benutzer-ID (UUID) bei Fehlerberichten erfasst, um schnellere Fehlerbehebung zu ermöglichen. Keine E-Mail-Adressen, Gesprächsinhalte oder andere persönliche Informationen werden übertragen.

  • Vercel: Webanalyse und Frontend-Hosting (DSGVO-konform)

E-Mail-Kommunikation

  • SendGrid (Twilio): Transaktionale und rechtliche Update-E-Mails (USA mit Standard-Vertragsklauseln)

  • Kit (ConvertKit): Onboarding- und Produktupdate-E-Mails (USA mit Standard-Vertragsklauseln)

Sie können sich jederzeit von nicht essenziellen E-Mails (Produktupdates, Onboarding-Sequenzen) abmelden. Wesentliche Servicebenachrichtigungen werden weiterhin gesetzlich oder vertraglich versandt.

Dokumentenverarbeitung

  • ConvertAPI: Dokumentenkonvertierung (EU-Endpunkt, temporäre Verarbeitung)

  • Fly.io: Backend-API-Hosting und Chat-Orchestrierung (EUBereitstellung)

Gesetzliche Anforderungen

Wir können Ihre Informationen offenlegen, wenn es gesetzlich vorgeschrieben ist oder um:

  • Gesetzliche Verfahren einzuhalten (Vorladungen, Gerichtsbeschlüsse)

  • Auf rechtmäßige Anfragen von Behörden zu reagieren

  • Unsere Rechte, Eigentum oder Sicherheit zu schützen

  • Betrug oder Missbrauch der Plattform zu verhindern

kein Verkauf personenbezogener Daten

ISMS Copilot verkauft, vermietet oder handelt Ihre personenbezogenen Daten nicht an Dritte zu deren Marketingzwecken.

Internationale Datenübermittlungen

Primärer Datenspeicher

Die gesamte ISMS Copilot-Datenbankspeicherung erfolgt in der Europäischen Union:

  • Standort: Frankfurt, Deutschland (AWS EU-Central-1)

  • Anbieter: Supabase mit AWS-Infrastruktur

  • Umfang: Alle Gesprächshistorien, hochgeladene Dateien und Kontodaten

Datenübermittlung außerhalb der EU

Einige Daten werden mit angemessenen Schutzmaßnahmen in die Vereinigten Staaten übertragen. Wir haben Transfer-Folgeabschätzungen für alle Verarbeiter außerhalb des Europäischen Wirtschaftsraums durchgeführt. Diese bewerten die Überwachungsgesetze des Empfängerstaaten und die Wirksamkeit unserer zusätzlichen Schutzmaßnahmen.

Wenn Advanced Data Protection Mode aktiviert ist, erfolgt die Kernverarbeitung von Daten (Datenbank und KI) innerhalb der EU. E-Mail-Kommunikation mit US-Anbietern erfolgt weiterhin mit Standard-Vertragsklauseln.

Wenn Advanced Data Protection Mode deaktiviert ist (Standard), wird Gesprächsinhalt für die KI-Verarbeitung über xAI/OpenAI in die Vereinigten Staaten mit 30-tägiger Vorhaltung übertragen. Diese Übertragungen unterliegen den DSGVO-Übertragungsanforderungen.

Übermittlungen mit Standard-Vertragsklauseln (SCC):

  • E-Mail-Dienstanbieter (SendGrid, Kit) - USA

  • KI-Verarbeitungsanbieter (xAI/OpenAI) bei Advanced Data Protection AUS - USA

Nur-EU-Verarbeitungsoptionen:

  • Aktivieren Sie den Advanced Data Protection Mode für KI-Verarbeitung ausschließlich in der EU

  • Melden Sie sich von nicht essenziellen E-Mails ab, um US-Übertragungen zu minimieren

  • Datenbankspeicherung bleibt unabhängig von der Konfiguration immer in der EU

Datenaufbewahrung

Benutzerkontrollierte Aufbewahrung

Sie bestimmen, wie lange Ihre Daten gespeichert werden:

  • Gesprächshistorie: 1 Tag bis 7 Jahre oder dauerhaft speichern (einstellbar in den Einstellungen)

  • Hochgeladene Dokumente: Verknüpft mit Einstellungen zur Gesprächsaufbewahrung

  • Automatische Löschung: Täglicher Prozess entfernt abgelaufene Daten

Kontobezogene Aufbewahrung

  • Aktive Konten: Bleiben gespeichert, solange das Konto aktiv ist

  • Sitzungstoken: Verfallen nach Inaktivitätszeitraum

  • Temporäre Chats: Werden automatisch nach 30 Tagen gelöscht

Nach Kontolöschung

  • Personenbezogene Daten: Werden innerhalb von 30 Tagen dauerhaft gelöscht

  • Abrechnungsunterlagen: Werden anonymisiert und 7 Jahre aufbewahrt (gesetzliche Anforderungen)

  • Backup-Daten: Werden innerhalb von 90 Tagen überschrieben

Analysen und Protokolle

  • PostHog-Analysen: Bis zu 7 Jahre (anonymisiert)

  • Sentry-Fehlerprotokolle: 90 Tage

  • Zugriffsprotokolle: 30-90 Tage gemäß Infrastruktur-Anbieter-Richtlinien

  • Moderations-Metadaten (nicht markiert): Nur Metadaten und Moderationswerte (kein Nachrichteninhalt), 30 Tage aufbewahrt

  • Markierte Inhalte und Metadaten: Vollständige Nachrichteninhalte und Metadaten werden für 1 Jahr zur Einhaltung und Sicherheitsprüfung gespeichert

Datensicherheit

Technische Sicherheitsmaßnahmen

  • Verschlüsselung während der Übertragung: TLS 1.3 für alle Verbindungen

  • Verschlüsselung bei Speicherung: Datenbank- und Dateispeicherverschlüsselung

  • Passwortsicherheit: Branchenübliche Hashverfahren (unwiderruflich)

  • Zugriffskontrolle: Zeilenebene sichert unbefugten Datenzugriff ab

  • Sitzungsmanagement: Automatische Timeout-Kontrollen

Organisatorische Sicherheitsmaßnahmen

  • Workspace-Isolation: Separate Daten für verschiedene Projekte/Kunden

  • Benutzerauthentifizierung: Für alle geschützten Ressourcen erforderlich

  • MFA-Unterstützung: Mehrstufige Authentifizierung verfügbar

  • Überwachung: Kontinuierliche Fehler- und Sicherheitsüberwachung via Sentry

  • Incident Response: 24-Stunden-Bruchbewertung und Benachrichtigung

Datenminimierung

  • Nur notwendige Daten werden erfasst (E-Mail, Nachrichten, Dateien)

  • Keine unnötigen demografischen oder Kontaktinformationen

  • Analyse so konfiguriert, dass keine personenbezogenen Daten erfasst werden

  • Nutzergesteuerte Aufbewahrungszeiträume

Für detaillierte Sicherheitsdokumentation besuchen Sie unsere Security Collection oder sehen Sie sich unser vollständiges Register of Processing Activities an.

Ihre Datenschutzrechte

Auskunftsrecht (Artikel 15 DSGVO)

Sie haben das Recht, Auskunft über alle personenbezogenen Daten zu erhalten, die wir von Ihnen speichern.

Wie ausüben:

  1. Melden Sie sich an, um über die Plattform Ihre Gespräche und Dateien einzusehen

  2. Für einen vollständigen Datenexport kontaktieren Sie den Support über das Help Center

  3. Wir liefern Ihre Daten innerhalb von 30 Tagen (meist innerhalb von 72 Stunden)

Recht auf Berichtigung (Artikel 16 DSGVO)

Sie können Ihre personenbezogenen Daten aktualisieren oder korrigieren.

Wie ausüben:

  1. Ändern Sie Kontoangaben über den Einstellungen-Dialog (zugänglich über das Benutzermenü)

  2. Für E-Mail-Adressänderungen kontaktieren Sie den Support

  3. Änderungen werden bei Self-Service-Updates sofort übernommen

Recht auf Löschung / "Recht auf Vergessenwerden" (Artikel 17 DSGVO)

Sie können die vollständige Löschung Ihres Kontos und der Daten verlangen.

Wie ausüben:

  1. Kontaktieren Sie den Support über das Help Center mit Löschanfrage

  2. Wir verifizieren Ihre Identität und bestätigen die Anfrage

  3. Alle Daten werden innerhalb von 30 Tagen dauerhaft gelöscht

Die Kontolöschung ist endgültig und kann nicht rückgängig gemacht werden. Alle Arbeitsbereiche, Gespräche und hochgeladenen Dateien werden permanent gelöscht. Exportieren Sie benötigte Daten vor der Löschanfrage.

Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)

Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten.

Wie ausüben:

  1. Kontaktieren Sie den Support und fordern einen Datenexport an

  2. Wir stellen Ihre Daten im JSON-Format innerhalb von 72 Stunden bereit

  3. Export umfasst Kontoinformationen, Gespräche und Dateimetadaten

Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)

Sie können eine vorübergehende Aussetzung der Datenverarbeitung verlangen.

Wie ausüben: Kontaktieren Sie den Support mit Begründung für die Einschränkung. Wir antworten innerhalb von 30 Tagen.

Widerspruchsrecht (Artikel 21 DSGVO)

Sie können bestimmten Arten der Datenverarbeitung widersprechen.

Wie ausüben: Kontaktieren Sie den Support und spezifizieren Sie, welcher Verarbeitung Sie widersprechen. Wir prüfen und antworten innerhalb von 30 Tagen.

Widerruf der Einwilligung

Sofern die Verarbeitung auf Ihrer Einwilligung basiert (z. B. nicht essenzielle E-Mails), können Sie Ihre Einwilligung jederzeit durch Klicken auf Abmelden in jeder E-Mail oder in den Einstellungen widerrufen. Der Widerruf wirkt sich nicht auf vorherige Verarbeitung aus.

Beschwerderecht

Sie haben das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen:

  • Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Website: https://www.cnil.fr/en

  • Adresse: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankreich

  • Telefon: +33 1 53 73 22 22

Kalifornische Datenschutzrechte (CCPA/CPRA)

Wenn Sie in Kalifornien wohnen, gewähren Ihnen der California Consumer Privacy Act (CCPA) und das California Privacy Rights Act (CPRA) zusätzliche Datenschutzrechte.

Gesammelte Informationen (CCPA-Kategorien)

In den letzten 12 Monaten haben wir folgende Kategorien personenbezogener Daten von kalifornischen Bewohnern gesammelt:

  • Kennungen: E-Mail-Adressen, Konto-IDs, IP-Adressen (anonymisiert)

  • Kommerzielle Informationen: Abonnementdaten, Zahlungs- und Abrechnungsinformationen

  • Internet- oder Netzwerkaktivitäten: Nutzungsdaten, Sitzungsprotokolle, Funktionsinteraktionen, Fehlerprotokolle

  • Berufliche Informationen: Von Ihnen eingegebene Compliance-Inhalte (Richtlinien, Auditdaten, Risikobewertungen)

  • Folgerungen: Nutzungsmuster basierend auf Analysen (anonymisiert)

Wir sammeln keine sensiblen personenbezogenen Daten gemäß CCPA (z.B. Sozialversicherungsnummern, Führerscheinnummern, genaue Geolokationen, ethnische Herkunft, religiöse oder philosophische Überzeugungen oder Gewerkschaftszugehörigkeit).

Geschäftszwecke der Datenerhebung

Wir erfassen und verwenden personenbezogene Daten für folgende Geschäftszwecke:

  • Bereitstellung der ISMS Copilot Plattform und KI-Compliance-Unterstützung

  • Zahlungsabwicklung und Abonnementverwaltung

  • Authentifizierung und Sicherung Ihres Kontos

  • Verbesserung der Servicequalität und Entwicklung neuer Funktionen

  • Erkennung und Prävention von Betrug, Sicherheitsvorfällen und Missbrauch

  • Fehlerbehebung und Debugging

  • Einhaltung gesetzlicher Verpflichtungen

Offenlegung personenbezogener Daten

Wir teilen personenbezogene Daten mit folgenden Drittparteien für Geschäftszwecke:

  • Cloud-Serviceanbieter: Supabase, AWS (Datenbank und Speicher)

  • KI-Dienstleister: xAI, OpenAI (Standardmodus) oder Mistral AI (Advanced Data Protection Modus)

  • Zahlungsdienstleister: Stripe (Zahlungsabwicklung)

  • Analyseanbieter: PostHog, Sentry, Vercel

  • E-Mail-Dienstanbieter: SendGrid, Kit

  • Dokumentenverarbeiter: ConvertAPI, Fly.io

Kein Verkauf oder Teilen: ISMS Copilot verkauft Ihre personenbezogenen Daten nicht. Wir teilen Ihre Daten nicht für kontextübergreifende Verhaltenswerbung.

Ihre kalifornischen Datenschutzrechte

Auskunftsrecht

Sie haben das Recht zu erfahren:

  • Welche Kategorien personenbezogener Daten wir über Sie gesammelt haben

  • Von welchen Quellen die Daten stammen

  • Geschäfts- oder kommerzielle Zwecke der Datenerfassung

  • Kategorien von Drittparteien, mit denen wir Daten teilen

  • Konkrete personenbezogene Daten, die wir über Sie gesammelt haben

Recht auf Löschung

Sie haben das Recht zu verlangen, dass Ihre personenbezogenen Daten gelöscht werden, mit gewissen Ausnahmen (z.B. gesetzliche Aufbewahrungspflichten für Abrechnungsdaten).

Recht auf Berichtigung

Sie haben das Recht, unrichtige personenbezogene Daten korrigieren zu lassen.

Widerspruchsrecht

Sie haben das Recht, folgende Praktiken abzulehnen:

  • Verkauf personenbezogener Daten: Nicht anwendbar (wir verkaufen keine Daten)

  • Teilen für kontextübergreifende Verhaltenswerbung: Nicht anwendbar (wir praktizieren das nicht)

Recht auf Einschränkung sensibler Daten

Nicht anwendbar – wir erfassen oder verwenden keine sensiblen Daten gemäß CCPA.

Recht auf Nichtdiskriminierung

Wir werden Sie nicht benachteiligen, wenn Sie Ihre CCPA-Rechte ausüben. Ihnen entstehen keine:

  • Verweigerung von Waren oder Dienstleistungen

  • Andere Preise oder Tarife

  • Unterschiedliche Servicequalität

Wie Sie Ihre kalifornischen Rechte ausüben

Anfrage stellen:

  1. Melden Sie sich in Ihrem ISMS Copilot Konto an

  2. Klicken Sie auf das Benutzermenü (oben rechts) und wählen Sie Help Center

  3. Senden Sie Ihre Anfrage mit "CCPA Request" im Betreff

  4. Geben Sie an, welches Recht Sie geltend machen (Auskunft, Löschung, Berichtigung)

Verifizierungsprozess:

  • Wir verifizieren Ihre Identität durch Bestätigung der registrierten E-Mail-Adresse

  • Für sensible Anfragen kann eine weitere Verifizierung erforderlich sein

  • Sie können einen bevollmächtigten Vertreter benennen (schriftliche Vollmacht erforderlich)

Antwortzeit:

  • Empfangsbestätigung innerhalb von 10 Werktagen

  • Antwort innerhalb von 45 Tagen (bei komplexen Anfragen bis zu 90 Tage)

Datenaufbewahrung

Wir bewahren personenbezogene Daten von kalifornischen Bewohnern anhand derselben Kriterien wie im Abschnitt "Datenaufbewahrung" oben auf:

  • Gesprächshistorie: Benutzerkonfigurierbar (1 Tag bis 7 Jahre oder dauerhaft)

  • Kontodaten: Während das Konto aktiv ist

  • Abrechnungsunterlagen: Anonymisiert und 7 Jahre gespeichert (gesetzliche Anforderungen)

  • Analysen: Bis zu 7 Jahre (anonymisiert)

Kalifornisches "Shine the Light" Gesetz

Nach Abschnitt 1798.83 des kalifornischen Zivilgesetzbuchs können kalifornische Bewohner Informationen über unsere Offenlegung personenbezogener Daten an Dritte für Direktmarketingzwecke anfordern. ISMS Copilot gibt keine personenbezogenen Daten für deren Direktmarketingzwecke an Dritte weiter.

Automatisierte Verarbeitung

ISMS Copilot nutzt KI zur Unterstützung bei der Erstellung von Compliance-Inhalten, trifft jedoch keine automatisierten Entscheidungen, die rechtliche Wirkungen haben oder Sie ähnlich erheblich beeinträchtigen (gemäß Artikel 22 DSGVO). Alle Compliance-Entscheidungen verbleiben unter Ihrer Kontrolle. Inhaltsmoderationsmarkierungen werden von Menschen geprüft, bevor Kontomaßnahmen ergriffen werden.

Cookies und Tracking

Essenzielle Cookies

Wir verwenden notwendige Cookies für:

  • Benutzerauthentifizierung und Sitzungsverwaltung

  • Sicherheits- und Betrugsprävention

  • Funktionsfähigkeit der Plattform

Analyse-Cookies

Mit Ihrer Zustimmung verwenden wir Analyse-Cookies, um:

  • Nutzung der Plattform zu verstehen

  • Nutzererfahrung zu verbessern

  • Leistung zu überwachen

Wir verwenden keine Werbe- oder Marketing-Cookies. Alle Analysen sind so konfiguriert, dass keine personenbezogenen Daten erfasst werden.

Datenschutzorientierte Analyse: PostHog arbeitet im cookieless-Modus mit ausschließlich im Speicher verbliebenen Daten. Es werden keine Cookies oder Browser-Speicher auf Ihrem Gerät abgelegt. Die anonyme Nutzung wird über datenschutzfreundliche serverseitige Hashverfahren nachverfolgt; Nutzerprofile werden nur für authentifizierte Sitzungen erstellt.

Kinderschutz

ISMS Copilot ist nicht für Personen unter 16 Jahren bestimmt:

  • Unser Service richtet sich an Compliance-Profis und Unternehmen

  • Wir sammeln wissentlich keine Daten von Kindern

  • Bei Entdeckung von Minderjährigen-Nutzung werden Konto und Daten gelöscht

Verantwortlichkeiten der Nutzer

Obwohl ISMS Copilot DSGVO-konforme Infrastruktur bereitstellt, sind Sie (als Verantwortlicher Ihrer eigenen Verarbeitung) dafür verantwortlich, dass Ihre Nutzung der Plattform den geltenden Vorschriften entspricht.

Sie sind verantwortlich für:

  • Das Vorliegen einer Rechtsgrundlage vor dem Hochladen personenbezogener Daten

  • Die Konfiguration geeigneter Aufbewahrungsfristen für Ihre Organisation

  • Die Pflege separater Arbeitsbereiche für unterschiedliche Kunden oder Datenkategorien

  • Die Information betroffener Personen, wenn deren Daten über ISMS Copilot verarbeitet werden

  • Die Aufnahme von ISMS Copilot in Ihre eigenen Datenschutzverzeichnisse

  • Das Durchführen von Datenschutz-Folgenabschätzungen (DPIA) bei Verarbeitung risikoreicher Daten

  • Kein Hochladen besonderer Kategorien personenbezogener Daten (Artikel 9 DSGVO) ohne entsprechende Schutzmaßnahmen

Änderungen dieser Datenschutzerklärung

Wie wir Sie informieren

Bei Aktualisierungen dieser Datenschutzerklärung:

  • Versenden wir eine E-Mail an Ihre registrierte Adresse

  • Zeigen wir beim nächsten Login eine In-App-Benachrichtigung an

  • Aktualisieren wir das "Wirksamkeitsdatum" oben in dieser Richtlinie

  • Geben wir mindestens 30 Tage Vorankündigung bei wesentlichen Änderungen

Ihre Optionen

Wenn Sie Änderungen nicht zustimmen:

  • Fordern Sie die Löschung Ihres Kontos vor Inkrafttreten der Änderungen an

  • Exportieren Sie Ihre Daten vor dem Wirksamkeitsdatum

  • Kontaktieren Sie den Support, um Bedenken zu besprechen

Kontaktieren Sie uns

Für Datenschutzfragen oder Rechteanfragen

  1. Klicken Sie auf das Benutzermenü (oben rechts)

  2. Wählen Sie Help Center

  3. Senden Sie Ihre Anfrage oder Frage

  4. Fügen Sie "Privacy Request" oder "GDPR Request" im Betreff hinzu für priorisierte Bearbeitung

Antwortzeiten:

  • Bestätigung: Innerhalb von 24-48 Stunden

  • Vollständige Antwort: Innerhalb von 30 Tagen (in der Regel binnen 72 Stunden)

Weitere Ressourcen

Einschränkungen

Aktueller Umsetzungsstand

  • Automatischer Datenexport nicht verfügbar (muss über Support angefragt werden)

  • E-Mail-Adressänderungen erfordern Unterstützung durch Support

  • Kontolöschung nicht selbstständig möglich (Supportkontakt erforderlich)

  • Cookie-Einwilligungsbanner nicht implementiert (keine Tracking-Cookies verwendet)

Was kommt als Nächstes

Hilfe erhalten

Bei Datenschutzfragen, DSGVO-Anfragen oder Problemen:

  • Kontaktieren Sie Support über das Help Center Menü

  • Per E-Mail von Ihrer registrierten Kontoadresse

  • Fügen Sie "Privacy Request" oder "GDPR Request" für schnellere Bearbeitung hinzu

  • Besuchen Sie das Trust Center für ausführliche Dokumentation

War das hilfreich?