ISMS Copilot
Rechtliches

Datenschutz & DSGVO-Konformität – Aktualisiert

Überblick

ISMS Copilot ist vollständig konform mit der Datenschutz-Grundverordnung (DSGVO) und folgt strengen Datenschutzprinzipien. Dieser Artikel erläutert Ihre Datenschutzrechte, wie wir mit Ihren Daten umgehen und welche Kontrolle Sie über Ihre Informationen haben.

Für wen dieser Artikel gedacht ist

Dieser Artikel richtet sich an:

  • Nutzer in der EU, die an der DSGVO-Konformität interessiert sind

  • Datenschutzbeauftragte, die ISMS Copilot bewerten

  • Compliance-Berater, die Kundendaten gemäß DSGVO verwalten

  • Alle, die ihre Datenschutzrechte verstehen möchten

Übersicht zur DSGVO-Konformität

Wie ISMS Copilot die DSGVO-Anforderungen erfüllt

Datenminimierung (Artikel 5 Abs. 1 lit. c)

ISMS Copilot erhebt nur die für die Erbringung des Dienstes erforderlichen Mindestdaten:

  • E-Mail-Adresse zur Kontoidentifizierung, Authentifizierung und für wichtige Mitteilungen

  • Authentifizierungsdaten (gehashte Passwörter oder OAuth-Token)

  • Chatverlauf für kontextbezogene KI-Antworten

  • Hochgeladene Dokumente für Analysen und Compliance-Lückenbewertungen

  • Nutzungs-Metadaten für Abrechnungszwecke und Serviceverbesserungen

  • Daten zum E-Mail-Engagement (Öffnungen, Klicks) für Onboarding- und Produktaktualisierungs-E-Mails (Abmeldung möglich)

ISMS Copilot erhebt keine unnötigen personenbezogenen Daten wie Telefonnummern, Adressen oder demografische Daten. Es werden nur die für die Bereitstellung des Dienstes wesentlichen Daten gespeichert.

Zweckbindung (Artikel 5 Abs. 1 lit. b)

Ihre Daten werden ausschließlich verwendet für:

  • Bereitstellung von KI-gestützter Compliance-Unterstützung

  • Verwaltung Ihres Kontos und Abonnements

  • Verbesserung der Serviceleistung und Zuverlässigkeit

  • Erfüllung rechtlicher Verpflichtungen

ISMS Copilot verwendet Ihre Daten niemals für Marketing, Werbung oder den Verkauf an Dritte. Ihre Konversationen und hochgeladenen Dokumente werden niemals zum Training von KI-Modellen verwendet.

Speicherbegrenzung (Artikel 5 Abs. 1 lit. e)

Sie haben die volle Kontrolle darüber, wie lange Ihre Daten aufbewahrt werden:

  • Legen Sie Aufbewahrungsfristen von 1 Tag bis zu 7 Jahren fest oder bewahren Sie Daten dauerhaft auf

  • Die automatische Löschung abgelaufener Daten erfolgt täglich

  • Beantragen Sie jederzeit die sofortige Löschung Ihres Kontos und Ihrer Daten

Datenschutz durch Technikgestaltung (Artikel 25)

Sicherheit und Datenschutz sind in jede Funktion von ISMS Copilot integriert:

  • End-to-End-Verschlüsselung für alle Daten

  • Row-Level Security verhindert unbefugten Zugriff

  • Workspace-Isolierung hält Kundendaten getrennt

  • Sichere Authentifizierung mit OAuth-Unterstützung

Ihre DSGVO-Rechte

Recht auf Auskunft (Artikel 15)

Sie haben das Recht, Auskunft über alle in ISMS Copilot gespeicherten personenbezogenen Daten zu erhalten.

Worauf Sie zugreifen können:

  • Ihre Kontoinformationen (E-Mail, Einstellungen)

  • Den gesamten Chatverlauf über alle Workspaces hinweg

  • Hochgeladene Dokumente und Dateien

  • Nutzungs-Metadaten und Zeitstempel

So greifen Sie auf Ihre Daten zu:

  1. Melden Sie sich in Ihrem ISMS Copilot-Konto an

  2. Navigieren Sie zu Ihren Workspaces, um Konversationen anzuzeigen

  3. Sehen Sie sich hochgeladene Dateien in den jeweiligen Chat-Verläufen an

  4. Für einen vollständigen Datenexport kontaktieren Sie den Support über das Help Center

Recht auf Berichtigung (Artikel 16)

Sie können Ihre personenbezogenen Daten jederzeit aktualisieren oder berichtigen.

So aktualisieren Sie Ihre Informationen:

  1. Klicken Sie auf das Benutzermenü-Symbol (oben rechts)

  2. Wählen Sie Settings

  3. Ihre E-Mail-Adresse wird angezeigt (um diese zu ändern, kontaktieren Sie den Support)

  4. Aktualisieren Sie Ihre Einstellungen zur Datenaufbewahrung

  5. Klicken Sie auf Save Settings

Erwartetes Ergebnis: Der Einstellungsdialog schließt sich und Ihre Änderungen werden sofort gespeichert.

Recht auf Löschung / „Recht auf Vergessenwerden“ (Artikel 17)

Sie können die vollständige Löschung Ihres Kontos und aller damit verbundenen Daten verlangen.

So löschen Sie Ihre Daten:

  1. Klicken Sie auf das Benutzermenü-Symbol

  2. Wählen Sie Help CenterContact Support

  3. Senden Sie eine Anfrage zur Datenlöschung

  4. Der Support wird Ihre Identität verifizieren und die Anfrage bestätigen

  5. Alle Daten werden innerhalb von 30 Tagen dauerhaft gelöscht

Die Kontolöschung ist dauerhaft und kann nicht rückgängig gemacht werden. Alle Workspaces, Konversationen, hochgeladenen Dateien und Kontoeinstellungen werden dauerhaft gelöscht. Stellen Sie sicher, dass Sie alle benötigten Daten exportieren, bevor Sie die Löschung beantragen.

Was gelöscht wird:

  • Ihr Konto und Ihre E-Mail-Adresse

  • Alle Workspaces und der Chatverlauf

  • Alle hochgeladenen Dokumente und Dateien

  • Benutzerdefinierte Workspace-Anweisungen

  • Nutzungs-Metadaten und Protokolle

Was möglicherweise einbehalten wird:

  • Anonymisierte Abrechnungsunterlagen (erforderlich für Steuer- und Buchhaltungszwecke)

  • Anonymisierte Analysedaten (keine personenbezogenen Daten)

Recht auf Datenübertragbarkeit (Artikel 20)

Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.

So exportieren Sie Ihre Daten:

  1. Kontaktieren Sie den Support über das Help Center

  2. Beantragen Sie einen Datenexport

  3. Der Support stellt Ihre Daten im JSON-Format bereit, das Folgendes enthält:

    • Kontoinformationen

    • Chatverlauf

    • Workspace-Konfigurationen

    • Metadaten hochgeladener Dateien

  4. Laden Sie die Exportdatei zur Verwendung in anderen Systemen herunter

Datenexporte werden in der Regel innerhalb von 72 Stunden bereitgestellt. Bei großen Konten mit umfangreichem Chatverlauf kann der Export bis zu 5 Werktage dauern.

Recht auf Einschränkung der Verarbeitung (Artikel 18)

Sie können die vorübergehende Aussetzung der Datenverarbeitung verlangen, während Unklarheiten geklärt werden.

Wann Sie die Verarbeitung einschränken können:

  • Sie bestreiten die Richtigkeit der personenbezogenen Daten

  • Die Verarbeitung ist unrechtmäßig, Sie möchten aber keine Löschung der Daten

  • Sie benötigen die Daten für Rechtsansprüche

  • Sie haben Widerspruch gegen die Verarbeitung eingelegt, während die Prüfung noch aussteht

So beantragen Sie eine Einschränkung:

  1. Kontaktieren Sie den Support über das Help Center

  2. Erläutern Sie den Grund für die Einschränkung

  3. Der Support wird die Anfrage prüfen und entsprechende Einschränkungen umsetzen

Recht auf Widerspruch (Artikel 21)

Sie können gegen bestimmte Arten der Datenverarbeitung Widerspruch einlegen.

Wogegen Sie Widerspruch einlegen können:

  • Verarbeitung für Direktmarketing (ISMS Copilot führt keine Marketingverarbeitung durch)

  • Verarbeitung basierend auf berechtigten Interessen

  • Automatisierte Entscheidungsfindung (wird derzeit von ISMS Copilot nicht verwendet)

So legen Sie Widerspruch ein:

  1. Kontaktieren Sie den Support über das Help Center

  2. Geben Sie an, gegen welche Verarbeitung Sie Widerspruch einlegen

  3. Der Support wird die Anfrage prüfen und innerhalb von 30 Tagen antworten

Details zur Datenverarbeitung

Verbindliche Informationen zu KI-Anbieter-Routing, Unterauftragsverarbeiter-Listen, Aufbewahrungsfristen und Datentransfermechanismen finden Sie in den offiziellen rechtlichen Dokumenten in unserem Trust Center:

Das Trust Center wird aktualisiert, sobald sich Vereinbarungen mit KI-Anbietern oder Datenverarbeitungspraktiken ändern. Help-Center-Artikel fassen diese Themen aus Gründen der Übersichtlichkeit zusammen, aber die Dokumente im Trust Center sind die verbindliche Quelle.

Features für „Datenschutz durch Technik“

PII-Reduktionsmodus

ISMS Copilot bietet eine automatische Schwärzung von PII (personenbezogenen Daten), um sensible persönliche Informationen zu schützen, bevor sie zur KI-Verarbeitung gelangen. Wenn dieser Modus aktiviert ist, erkennt und schwärzt das System gängige PII-Muster in Ihren Nachrichten und hochgeladenen Dokumenten.

Was geschwärzt wird:

  • Personennamen (z. B. „Max Mustermann“ → „[REDACTED_NAME]“)

  • Firmen- und Organisationsnamen

  • E-Mail-Adressen (z. B. „[email protected]“ → „[REDACTED_EMAIL]“)

  • Telefonnummern in verschiedenen Formaten

So aktivieren Sie die PII-Reduktion:

  1. Navigieren Sie zu Settings → Privacy oder Data Protection

  2. Aktivieren Sie „Enable PII Reduction“

  3. Lesen Sie das Bestätigungs-Popup zu den musterbasierten Einschränkungen

  4. Achten Sie auf das grüne Schild-Symbol in Ihrem Chat-Eingabefeld, um die Aktivierung zu bestätigen

Wenn die PII-Reduktion aktiv ist, sehen Sie ein grünes Schild-Symbol im Chat-Eingabefeld als visuelle Bestätigung, dass die Schwärzung funktioniert.

Wichtige Einschränkungen:

  • Musterbasierte Erkennung: Die PII-Reduktion verwendet Regex-Muster und erfasst möglicherweise nicht alle sensiblen Informationen

  • Nicht 100 % genau: Einige PII könnten übersehen werden; regulärer Text könnte fälschlicherweise geschwärzt werden

  • Kein Ersatz für Datenminimierung: Überprüfen Sie Daten immer vor dem Hochladen und vermeiden Sie unnötige PII

  • Erfolgt vor der KI-Verarbeitung: Die Schwärzung findet statt, bevor die Daten an KI-Anbieter übertragen werden

Die PII-Reduktion ist eine Verbesserung des Datenschutzes, keine Garantie für eine vollständige Anonymisierung. Überprüfen Sie Ergebnisse stets anhand offizieller Standards und vermeiden Sie das Hochladen unnötiger personenbezogener Daten. Diese Funktion dient am besten als zusätzliche Schutzebene neben der Datenminimierung.

Anwendungsfälle:

  • Verarbeitung von Kunden-Auditberichten, die Mitarbeiternamen enthalten

  • Analyse von Compliance-Richtlinien mit Kontaktinformationen

  • Arbeiten mit HR-Richtlinien oder Vorfallberichten

  • Zusätzlicher Datenschutz bei Verwendung des Advanced Data Protection Mode

Kombination mit Advanced Data Protection:

Für maximalen Datenschutz aktivieren Sie beide Funktionen:

  • PII-Reduktion: Schwärzt personenbezogene Daten vor der KI-Verarbeitung

  • Advanced Data Protection Mode: Gewährleistet die Verarbeitung ausschließlich in der EU ohne Datenspeicherung durch KI-Anbieter

Zusammen bieten diese Funktionen einen starken Schutz für sensible Compliance-Aufgaben.

Workspace-Isolierung

Workspaces ermöglichen die Datentrennung für Szenarien mit mehreren Kunden:

  • Jeder Workspace hat seinen eigenen Chatverlauf

  • Hochgeladene Dateien sind an bestimmte Workspaces gebunden

  • Benutzerdefinierte Anweisungen sind Workspace-spezifisch

  • Das Löschen eines Workspaces entfernt alle zugehörigen Daten

Compliance-Berater sollten für jeden Kunden einen separaten Workspace erstellen. Dies stellt sicher, dass Kundendaten isoliert bleiben, und vereinfacht die Einhaltung von Geheimhaltungspflichten.

Kein benutzerübergreifender Datenaustausch

ISMS Copilot implementiert strikte Datengrenzen:

  • Nutzer können nicht auf die Daten anderer Nutzer zugreifen

  • KI-Antworten werden für jeden Nutzer unabhängig generiert

  • Datenbankabfragen werden automatisch nach der authentifizierten Benutzer-ID gefiltert

  • Sogar Systemadministratoren folgen dem Prinzip der minimalen Berechtigungsvergabe

Kein KI-Training mit Nutzerdaten

Ihre sensiblen Compliance-Daten werden niemals für das Training von KIs verwendet:

  • Konversationen werden nicht von OpenAI oder anderen KI-Anbietern gespeichert

  • Hochgeladene Dokumente bleiben vertraulich und privat

  • Kundeninformationen tragen niemals zur Modellverbesserung bei

  • Jede Konversation wird isoliert verarbeitet

Dies ist ein entscheidender Unterschied zu allgemeinen KI-Tools wie der kostenlosen Version von ChatGPT, bei denen Konversationen für das Training verwendet werden können. ISMS Copilot garantiert, dass Ihre Compliance-Daten absolut vertraulich bleiben.

Betroffenenanfragen

So reichen Sie eine DSGVO-Anfrage ein

  1. Klicken Sie auf das Benutzermenü-Symbol (oben rechts)

  2. Wählen Sie Help CenterContact Support

  3. Beschreiben Sie Ihre Anfrage klar:

    • „Ich beantrage Auskunft über alle meine personenbezogenen Daten gemäß DSGVO Artikel 15“

    • „Ich beantrage die Löschung meines Kontos gemäß DSGVO Artikel 17“

    • „Ich beantrage einen Datenexport gemäß DSGVO Artikel 20“

  4. Der Support wird Ihre Identität verifizieren und die Anfrage bearbeiten

Antwortfristen

ISMS Copilot beantwortet DSGVO-Anfragen gemäß den gesetzlichen Fristen:

  • Empfangsbestätigung: Innerhalb von 24–48 Stunden

  • Auskunftsersuchen: Innerhalb von 30 Tagen (in der Regel innerhalb von 72 Stunden)

  • Löschanfragen: Innerhalb von 30 Tagen

  • Datenübertragbarkeit: Innerhalb von 30 Tagen (in der Regel innerhalb von 72 Stunden)

  • Berichtigungsanfragen: Sofort bei Feldern, die vom Nutzer selbst aktualisiert werden können; ansonsten innerhalb von 30 Tagen

Falls ISMS Copilot die Antwortfrist verlängern muss (z. B. bei komplexen Anfragen), werden Sie innerhalb von 30 Tagen unter Angabe der Gründe und des voraussichtlichen Abschlussdatums benachrichtigt.

Identitätsprüfung

Um Ihre Daten vor unbefugtem Zugriff zu schützen, kann ISMS Copilot Ihre Identität überprüfen:

  • Anfragen müssen von Ihrer registrierten E-Mail-Adresse gesendet werden

  • Bei sensiblen Anfragen kann eine zusätzliche Verifizierung erforderlich sein

  • Der Support kann Sicherheitsfragen zu Ihrem Konto stellen

Datenschutz für Kinder

ISMS Copilot ist nicht für Kinder unter 16 Jahren bestimmt:

  • Der Dienst ist für Compliance-Experten und Unternehmen konzipiert

  • Es werden keine Mechanismen zur elterlichen Zustimmung bereitgestellt

  • Falls eine Nutzung durch Minderjährige festgestellt wird, wird das Konto gekündigt und die Daten gelöscht

Aktualisierungen der Datenschutzrichtlinie

Wie Sie benachrichtigt werden

Wenn sich die Datenschutzpraktiken ändern, wird ISMS Copilot:

  • Eine E-Mail-Benachrichtigung an Ihre registrierte E-Mail-Adresse senden

  • Eine In-App-Benachrichtigung beim nächsten Login anzeigen

  • Die Datenschutzrichtlinie mit einem Datum der letzten Aktualisierung versehen

  • Wesentliche Änderungen mindestens 30 Tage im Voraus ankündigen

Ihre Optionen

Wenn Sie den Änderungen der Datenschutzrichtlinie nicht zustimmen:

  • Beantragen Sie die Kontolöschung, bevor die Änderungen in Kraft treten

  • Exportieren Sie Ihre Daten vor dem Datum des Inkrafttretens

  • Kontaktieren Sie den Support, um Bedenken zu besprechen

Aufsichtsbehörde

Als in der EU ansässiger Dienst unterliegt ISMS Copilot der Datenschutzaufsicht.

Recht auf Beschwerde

Wenn Sie glauben, dass ISMS Copilot Ihre Datenschutzrechte verletzt hat, können Sie:

  1. Den ISMS Copilot-Support kontaktieren, um das Problem direkt zu lösen

  2. Eine Beschwerde bei Ihrer lokalen Datenschutzbehörde einreichen

  3. Eine Beschwerde bei der französischen Datenschutzbehörde (CNIL) einreichen, dem Sitz von ISMS Copilot

Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Website: https://www.cnil.fr/en

  • Adresse: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankreich

  • Telefon: +33 1 53 73 22 22

Best Practices für Compliance

Für Berater, die Kundendaten verwalten

  • Erstellen Sie separate Workspaces für jeden Kunden

  • Legen Sie angemessene Aufbewahrungsfristen gemäß den Kundenverträgen fest

  • Anonymisieren Sie sensible personenbezogene Daten vor dem Hochladen

  • Informieren Sie Ihre Kunden darüber, dass Sie ISMS Copilot für Compliance-Aufgaben nutzen

  • Nehmen Sie ISMS Copilot in Ihre Auftragsverarbeitungsverträge auf

  • Aktivieren Sie den Advanced Data Protection Mode, wenn Kunden eine Verarbeitung ausschließlich in der EU verlangen

Für Organisationen

  • Dokumentieren Sie ISMS Copilot in Ihrem Verarbeitungsverzeichnis (siehe unser Verarbeitungsverzeichnis als Referenz)

  • Berücksichtigen Sie ISMS Copilot in Datenschutz-Folgenabschätzungen (DSFA), wenn sensible Daten verarbeitet werden

  • Schulen Sie Mitarbeiter im korrekten Umgang mit Daten innerhalb von ISMS Copilot

  • Konfigurieren Sie die Aufbewahrungsfristen passend zu Ihrer internen Aufbewahrungsrichtlinie

Benötigen Sie Hilfe bei der DSGVO-Compliance-Dokumentation? ISMS Copilot kann Sie bei der Erstellung von Auftragsverarbeitungsverträgen, Datenschutzrichtlinien und DSFA-Vorlagen speziell für Ihre Organisation unterstützen.

Transparenz & Vertrauen

Sicherheitsdokumentation

Detaillierte Informationen zu den Sicherheits- und Datenschutzpraktiken von ISMS Copilot finden Sie in unserer Security Collection:

  • Detaillierte Beschreibungen der Datenverarbeitung

  • Dokumentation der Sicherheitsmaßnahmen

  • Vollständige Liste der Unterauftragsverarbeiter mit Standorten und DPA-Status

  • Compliance-Zertifizierungen

  • Richtlinien zur KI-Governance

Sie können auch unser umfassendes Verarbeitungsverzeichnis (VVT) für detaillierte technische und organisatorische Maßnahmen einsehen.

Systemstatus

Überwachen Sie die Serviceverfügbarkeit und Sicherheitsvorfälle auf der Status-Seite:

  • Echtzeit-Uptime-Überwachung via BetterStack

  • Benachrichtigungen über Vorfälle und Status-Updates

  • Geplante Wartungsarbeiten

  • Historische Uptime-Daten

  • Transparente Klassifizierung und Eskalation von Vorfällen

Einschränkungen

Aktuelle Datenschutz-Funktionen

  • Automatisierter Datenexport ist nicht verfügbar (muss über den Support angefordert werden)

  • Änderungen der E-Mail-Adresse erfordern Unterstützung durch den Support

  • Keine selbstständige Kontolöschung möglich (Support muss kontaktiert werden)

  • Kein Cookie-Einwilligungsbanner implementiert (es werden keine Tracking-Cookies verwendet)

Nächste Schritte

  • Erfahren Sie mehr über Sicherheitsmaßnahmen und Verschlüsselung

  • Workspaces einrichten, um Kundendaten zu isolieren

  • Überprüfen Sie unser Transfer Impact Assessment (TIA)

  • Erstellen Sie ein sicheres Konto mit starker Authentifizierung

  • Sehen Sie sich unsere Security Collection für detaillierte Datenschutz-Dokumentationen an

Hilfe erhalten

Für datenschutzrelevante Fragen oder DSGVO-Anfragen:

  • Kontaktieren Sie den Support über das Help Center-Menü

  • Senden Sie eine E-Mail von Ihrer registrierten E-Mail-Adresse

  • Geben Sie „GDPR Request“ im Betreff an, um eine schnellere Bearbeitung zu ermöglichen

  • Besuchen Sie unsere Security Collection für detaillierte Dokumentationen

War das hilfreich?