ISMS Copilot
Sicherheit

Datenschutz & DSGVO-Konformität - Aktualisiert

Übersicht

ISMS Copilot ist vollständig konform mit der Datenschutz-Grundverordnung (DSGVO) und folgt strengen Datenschutzprinzipien. Dieser Artikel erläutert Ihre Datenschutzrechte, wie wir mit Ihren Daten umgehen und welche Kontrolle Sie über Ihre Informationen haben.

Für wen dies bestimmt ist

Dieser Artikel ist für:

  • In der EU ansässige Nutzer, die besorgt über die DSGVO-Konformität sind

  • Datenschutzbeauftragte, die ISMS Copilot evaluieren

  • Compliance-Berater, die Kundendaten unter der DSGVO verarbeiten

  • Jeden, der seine Datenschutzrechte verstehen möchte

Überblick über die DSGVO-Konformität

Wie ISMS Copilot die DSGVO-Anforderungen erfüllt

Datenminimierung (Artikel 5(1)(c))

ISMS Copilot erhebt nur die für die Erbringung des Dienstes erforderlichen Mindestdaten:

  • E-Mail-Adresse zur Kontoidentifizierung, Authentifizierung und für wesentliche Mitteilungen

  • Authentifizierungsdaten (gehashte Passwörter oder OAuth-Tokens)

  • Konversationsverlauf, um kontextbezogene KI-Antworten zu liefern

  • Hochgeladene Dokumente zur Analyse und Bewertung von Compliance-Lücken

  • Nutzungsmetadaten für die Abrechnung und Verbesserung des Dienstes

  • E-Mail-Interaktionsdaten (Öffnungen, Klicks) für Onboarding- und Produktaktualisierungs-E-Mails (Abmeldung möglich)

ISMS Copilot erhebt keine unnötigen personenbezogenen Daten wie Telefonnummern, Adressen oder demografische Informationen. Es werden nur die für die Leistungserbringung wesentlichen Daten gespeichert.

Zweckbindung (Artikel 5(1)(b))

Ihre Daten werden ausschließlich verwendet für:

  • Bereitstellung von KI-gestützter Compliance-Unterstützung

  • Verwaltung Ihres Kontos und Abonnements

  • Verbesserung der Leistung und Zuverlässigkeit des Dienstes

  • Einhaltung gesetzlicher Verpflichtungen

ISMS Copilot verwendet Ihre Daten niemals für Marketing, Werbung oder den Verkauf an Dritte. Ihre Konversationen und hochgeladenen Dokumente werden niemals zum Training von KI-Modellen verwendet.

Speicherbegrenzung (Artikel 5(1)(e))

Sie haben die volle Kontrolle darüber, wie lange Ihre Daten aufbewahrt werden:

  • Legen Sie Aufbewahrungsfristen von 1 Tag bis zu 7 Jahren fest, oder bewahren Sie Daten dauerhaft auf

  • Die automatische Löschung abgelaufener Daten erfolgt täglich

  • Beantragen Sie jederzeit die sofortige Löschung Ihres Kontos und Ihrer Daten

Datenschutz durch Technikgestaltung (Artikel 25)

Sicherheit und Datenschutz sind in jede Funktion von ISMS Copilot integriert:

  • Ende-zu-Ende-Verschlüsselung für alle Daten

  • Sicherheit auf Zeilenebene (Row-level security) verhindert unbefugten Zugriff

  • Workspace-Isolierung hält Kundendaten getrennt

  • Sichere Authentifizierung mit OAuth-Unterstützung

Ihre DSGVO-Rechte

Auskunftsrecht (Artikel 15)

Sie haben das Recht, auf alle Ihre in ISMS Copilot gespeicherten personenbezogenen Daten zuzugreifen.

Worauf Sie zugreifen können:

  • Ihre Kontoinformationen (E-Mail, Einstellungen)

  • Den gesamten Konversationsverlauf über alle Workspaces hinweg

  • Hochgeladene Dokumente und Dateien

  • Nutzungsmetadaten und Zeitstempel

So greifen Sie auf Ihre Daten zu:

  1. Melden Sie sich bei Ihrem ISMS Copilot-Konto an

  2. Navigieren Sie zu Ihren Workspaces, um Konversationen anzuzeigen

  3. Zeigen Sie hochgeladene Dateien in jedem Konversationsverlauf an

  4. Für einen vollständigen Datenexport kontaktieren Sie den Support über das Help Center

Recht auf Berichtigung (Artikel 16)

Sie können Ihre personenbezogenen Daten jederzeit aktualisieren oder korrigieren.

So aktualisieren Sie Ihre Informationen:

  1. Klicken Sie auf das Benutzermenü-Symbol (oben rechts)

  2. Wählen Sie Settings

  3. Ihre E-Mail-Adresse wird angezeigt (um diese zu ändern, kontaktieren Sie den Support)

  4. Aktualisieren Sie Ihre Einstellungen zur Datenaufbewahrung

  5. Klicken Sie auf Save Settings

Erwartetes Ergebnis: Der Einstellungsdialog schließt sich und Ihre Änderungen werden sofort gespeichert.

Recht auf Löschung / "Recht auf Vergessenwerden" (Artikel 17)

Sie können die vollständige Löschung Ihres Kontos und aller damit verbundenen Daten verlangen.

So löschen Sie Ihre Daten:

  1. Klicken Sie auf das Benutzermenü-Symbol

  2. Wählen Sie Help CenterContact Support

  3. Senden Sie eine Anfrage zur Datenlöschung

  4. Der Support wird Ihre Identität verifizieren und die Anfrage bestätigen

  5. Alle Daten werden innerhalb von 30 Tagen unwiderruflich gelöscht

Die Kontolöschung ist dauerhaft und kann nicht rückgängig gemacht werden. Alle Workspaces, Konversationen, hochgeladenen Dateien und Kontoeinstellungen werden permanent gelöscht. Stellen Sie sicher, dass Sie alle benötigten Daten exportieren, bevor Sie die Löschung beantragen.

Was gelöscht wird:

  • Ihr Konto und Ihre E-Mail-Adresse

  • Alle Workspaces und der Konversationsverlauf

  • Alle hochgeladenen Dokumente und Dateien

  • Benutzerdefinierte Workspace-Anweisungen

  • Nutzungsmetadaten und Protokolle

Was eventuell einbehalten wird:

  • Anonymisierte Abrechnungsunterlagen (erforderlich für Steuer- und Buchhaltungs-Compliance)

  • Anonymisierte Analysedaten (keine personenbezogenen Informationen)

Recht auf Datenübertragbarkeit (Artikel 20)

Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.

So exportieren Sie Ihre Daten:

  1. Kontaktieren Sie den Support über das Help Center

  2. Beantragen Sie einen Datenexport

  3. Der Support stellt Ihre Daten im JSON-Format bereit, das Folgendes enthält:

    • Kontoinformationen

    • Konversationsverlauf

    • Workspace-Konfigurationen

    • Metadaten zu hochgeladenen Dateien

  4. Laden Sie die Exportdatei zur Verwendung in anderen Systemen herunter

Datenexporte werden in der Regel innerhalb von 72 Stunden bereitgestellt. Bei großen Konten mit umfangreichem Konversationsverlauf kann der Export bis zu 5 Werktage dauern.

Recht auf Einschränkung der Verarbeitung (Artikel 18)

Sie können die vorübergehende Aussetzung der Datenverarbeitung verlangen, während Streitigkeiten geklärt werden.

Wann Sie die Verarbeitung einschränken können:

  • Sie bestreiten die Richtigkeit der personenbezogenen Daten

  • Die Verarbeitung ist unrechtmäßig, aber Sie möchten keine Löschung der Daten

  • Sie benötigen die Daten zur Geltendmachung von Rechtsansprüchen

  • Sie haben Widerspruch gegen die Verarbeitung eingelegt, solange die Prüfung noch aussteht

So beantragen Sie eine Einschränkung:

  1. Kontaktieren Sie den Support über das Help Center

  2. Erläutern Sie den Grund für die Einschränkung

  3. Der Support wird die Anfrage prüfen und entsprechende Einschränkungen umsetzen

Widerspruchsrecht (Artikel 21)

Sie können Widerspruch gegen bestimmte Arten der Datenverarbeitung einlegen.

Wogegen Sie Widerspruch einlegen können:

  • Verarbeitung für Direktmarketing (ISMS Copilot führt kein Marketing-Processing durch)

  • Verarbeitung auf Basis berechtigter Interessen

  • Automatisierte Entscheidungsfindung (wird derzeit von ISMS Copilot nicht genutzt)

So legen Sie Widerspruch ein:

  1. Kontaktieren Sie den Support über das Help Center

  2. Geben Sie an, gegen welche Verarbeitung Sie Widerspruch einlegen

  3. Der Support wird die Anfrage prüfen und innerhalb von 30 Tagen antworten

Details zur Datenverarbeitung

Rechtsgrundlage der Verarbeitung

ISMS Copilot verarbeitet Ihre Daten auf Basis der folgenden Rechtsgrundlagen:

Vertragserfüllung (Artikel 6(1)(b))

  • Verarbeitung, die für die Bereitstellung des KI-Compliance-Dienstes erforderlich ist

  • Verwaltung Ihres Kontos und Abonnements

  • Bereitstellung von Funktionen, die Sie angefordert haben

Berechtigte Interessen (Artikel 6(1)(f))

  • Verbesserung der Leistung und Zuverlässigkeit des Dienstes

  • Erkennung und Verhinderung von Betrug oder Missbrauch

  • Gewährleistung der Systemsicherheit

  • Senden von Produktaktualisierungen und Onboarding-Anleitungen zur Verbesserung des Plattform-Erlebnisses

Rechtliche Verpflichtung (Artikel 6(1)(c))

  • Aufbewahrung von Abrechnungsunterlagen für die Steuer-Compliance

  • Reaktion auf rechtmäßige Anfragen von Behörden

Datenübermittlungen

EU-Datenresidenz

Die gesamte Datenbank-Speicherung von ISMS Copilot erfolgt ausschließlich in der Europäischen Union:

  • Primärer Speicher: AWS Frankfurt, Deutschland

  • Datenbank-Provider: Supabase (EU-Region)

  • Konversationsverlauf: Speicherung in der EU, unabhängig vom KI-Anbieter

Ort der KI-Verarbeitung (Nutzergesteuert)

Der Ort der KI-Verarbeitung hängt von Ihrer Einstellung für den erweiterten Datenschutz-Modus ab:

  • Erweiterter Datenschutz AUS (Standard): Die KI-Verarbeitung erfolgt in den USA über xAI/OpenAI mit einer 30-tägigen Aufbewahrung

  • Erweiterter Datenschutz AN: 100% EU-Verarbeitung über Mistral AI ohne Datenspeicherung (Zero Retention)

Wenn der erweiterte Datenschutz-Modus aktiviert ist, erfolgt Ihre Kern-Datenverarbeitung (Datenbankspeicherung und KI-Verarbeitung) innerhalb der EU ohne Aufbewahrung durch den KI-Anbieter. Beachten Sie, dass die E-Mail-Kommunikation weiterhin über US-basierte Anbieter mit Standardvertragsklauseln abgewickelt wird.

Im Standardmodus verbleibt Ihre Datenbankspeicherung zwar in der EU, aber Konversationsinhalte werden zur Verarbeitung an US-basierte KI-Anbieter (xAI/OpenAI) gesendet. Diese Anbieter bewahren die Daten 30 Tage lang auf, verwenden sie jedoch NICHT für das Training von KI-Modellen.

Drittverarbeiter

Die folgenden Drittanbieter haben begrenzten Zugriff auf Daten:

KI-Verarbeitungsanbieter (Benutzerkonfigurierbar mit automatischem Failover)

Sie können über die Einstellung für den erweiterten Datenschutz-Modus und die Wahl des KI-Anbieters steuern, welcher KI-Provider Ihre Konversationen verarbeitet. ISMS Copilot umfasst nun mehrere KI-Modelloptionen und ein automatisches Failover, um die Kontinuität des Dienstes bei Ausfällen von Anbietern zu gewährleisten:

  • Standardmodus (Erweiterter Datenschutz AUS): Anthropic Claude (Chat), xAI Grok-3 (Dokumentenerstellung) und OpenAI GPT (Erkennung) mit Mistral-Failover

    • Standort: Vereinigte Staaten (mit EU-Failover)

    • Aufbewahrung: 30 Tage (temporärer Verarbeitungscache); keine Aufbewahrung während des Mistral-Failovers

    • Training: API-Daten werden NICHT für das Training von KI-Modellen verwendet

    • Anwendungsfall: Standard-Compliance-Arbeit mit erhöhter Zuverlässigkeit

    • Automatisches Failover: Wenn bei OpenAI Ausfälle auftreten, wechseln Ihre Anfragen automatisch zu Mistral AI (EU-basiert, keine Aufbewahrung) ohne Dienstunterbrechung

  • Erweiterter Datenschutz-Modus (AN): Mistral AI

    • Standort: Europäische Union

    • Aufbewahrung: Keine (Zero Retention)

    • Training: Werden NICHT für das Training von KI-Modellen verwendet

    • Anwendungsfall: Maximaler Datenschutz, Anforderungen an die EU-Datensouveränität

Update Dezember 2025: Automatisches KI-Anbieter-Failover stellt sicher, dass Ihre Compliance-Arbeit auch bei OpenAI-Ausfällen unterbrechungsfrei fortgesetzt wird. Während des Failovers wechselt die Verarbeitung automatisch zu dem in der EU ansässigen Mistral ohne Datenspeicherung.

Organisationen mit strengen Anforderungen an die EU-Datenresidenz können den erweiterten Datenschutz-Modus aktivieren, um eine 100%ige EU-Verarbeitung ohne Datenspeicherung durch den KI-Anbieter zu gewährleisten. Erfahren Sie, wie Sie diese Funktion aktivieren.

Andere Drittanbieter-Dienste

  • Stripe (Zahlungsabwicklung): Nur Zahlungs- und Abrechnungsinformationen. DSGVO-konform mit EU-Auftragsverarbeitungsvertrag.

  • PostHog (Analytik): Nur anonymisierte Nutzungsdaten. EU-gehostet. Keine persönlichen Konversationen oder Dokumente werden geteilt.

  • Sentry (Fehlerüberwachung): Fehlerprotokolle, Stack-Traces und Benutzer-IDs (nur UUID in der Produktion) zur Fehlerbehebung. Sitz in Deutschland. E-Mail-Adressen, Konversationsinhalte und andere personenbezogene Daten werden vor dem Senden gefiltert.

  • E-Mail-Kommunikation: Sendgrid und Kit wickeln transaktionale E-Mails, rechtliche Updates und Onboarding-Sequenzen ab. Sitz in den USA mit Standardvertragsklauseln. Nutzer können sich von nicht-essenziellen E-Mails abmelden.

Erweiterter Datenschutz-Modus

ISMS Copilot gibt Ihnen die Kontrolle darüber, wo Ihre KI-Konversationen verarbeitet werden und wie lange KI-Anbieter Ihre Daten aufbewahren.

Zwei Verarbeitungsoptionen:

  1. Standardmodus (Erweiterter Datenschutz AUS): xAI/OpenAI verarbeiten Konversationen in den USA mit einer 30-tägigen Aufbewahrung

  2. EU-Modus (Erweiterter Datenschutz AN): Mistral AI verarbeitet Konversationen in der EU ohne Datenspeicherung (Zero Retention)

Wann Sie den erweiterten Datenschutz aktivieren sollten:

  • Ihre Organisation hat verbindliche Anforderungen an die EU-Datenresidenz

  • Sie verarbeiten hochsensible Kundendaten

  • Die DSGVO-Konformität erfordert die Minimierung von Datentransfers außerhalb der EU

  • Kundenverträge verbieten die Datenverarbeitung in den USA

  • Sie wünschen maximalen Datenschutz ohne Datenspeicherung durch den KI-Anbieter

Compliance-Berater, die mit europäischen Kunden arbeiten, sollten die Aktivierung des erweiterten Datenschutz-Modus in Betracht ziehen, um strenge Anforderungen an die Datensouveränität zu erfüllen. Erfahren Sie, wie Sie diese Einstellung konfigurieren.

Wichtige Unterscheidung:

Der erweiterte Datenschutz steuert die Aufbewahrung durch den KI-Anbieter (30 Tage vs. Null). Die Aufbewahrung Ihres ISMS Copilot-Konversationsverlaufs wird separat über Ihre Benutzereinstellungen gesteuert (1 Tag bis 7 Jahre). Beide Aufbewahrungseinstellungen arbeiten unabhängig voneinander.

Internationale Datentransfers

Der Ansatz von ISMS Copilot für internationale Datentransfers hängt von Ihrer Konfiguration ab:

Kern-Datenverarbeitung

  • Datenbankspeicherung: Immer in der EU (Frankfurt, Deutschland)

  • KI-Verarbeitung: EU oder USA, abhängig von der Einstellung des erweiterten Datenschutz-Modus

  • Analytik: Nur EU-Endpoints (PostHog EU, Sentry Deutschland)

  • Dateikonvertierung: EU-Endpoint (ConvertAPI)

ISMS Copilot hat eine Transferfolgenabschätzung (Transfer Impact Assessment, TIA) für Übermittlungen in die USA durchgeführt. Organisationen können sich auf diese Bewertung verlassen oder eine eigene durchführen. Siehe unsere Transferfolgenabschätzung für Details.

E-Mail-Kommunikation (US-basiert mit Schutzmaßnahmen)

E-Mail-Adressen und Interaktionsdaten werden an US-basierte E-Mail-Dienstleister (SendGrid und Kit) für transaktionale E-Mails, rechtliche Updates und Onboarding-Sequenzen übertragen. Diese Übermittlungen sind durch von der Europäischen Kommission genehmigte Standardvertragsklauseln geschützt.

Nutzer können sich jederzeit von nicht-essenziellen E-Mails (Produkt-Updates, Onboarding-Sequenzen) abmelden, um Datentransfers zu minimieren. Wesentliche Servicemitteilungen (Sicherheitswarnungen, Kontoänderungen) können dennoch wie gesetzlich oder vertraglich vorgeschrieben versendet werden.

Für Organisationen mit strengen Nur-EU-Anforderungen an die Datenresidenz gilt:

  • Aktivieren Sie den erweiterten Datenschutz-Modus, um die KI-Verarbeitung in der EU zu halten (eliminiert TIA-Anforderungen für KI)

  • Melden Sie sich von Marketing-/Produkt-E-Mails ab, um US-Transfers zu minimieren

  • Dokumentieren Sie die verbleibenden Transfers der E-Mail-Kommunikation in Ihren Verarbeitungsverzeichnissen

  • Prüfen Sie unsere Transferfolgenabschätzung, um die Schutzmaßnahmen für Übermittlungen zu verstehen

Datenaufbewahrungsfristen

Aktive Daten

  • Konversationsverlauf: Basierend auf Ihrer benutzerdefinierten Aufbewahrungsfrist (1 Tag bis 7 Jahre, oder dauerhaft)

  • Hochgeladene Dokumente: Gleich wie Konversationsverlauf

  • Kontoinformationen: Aufbewahrung solange das Konto aktiv ist

Nach Kontolöschung

  • Personenbezogene Daten: Gelöscht innerhalb von 30 Tagen

  • Anonymisierte Abrechnungsunterlagen: 7 Jahre (gesetzliche Anforderung zur Steuer-Compliance)

  • Backup-Daten: Überschrieben innerhalb von 90 Tagen

Privacy-by-Design Funktionen

PII-Reduktionsmodus

ISMS Copilot bietet eine automatische Schwärzung von PII (Personally Identifiable Information), um sensible personenbezogene Daten zu schützen, bevor sie die KI-Verarbeitung erreichen. Wenn aktiviert, erkennt und schwärzt das System gängige PII-Muster in Ihren Nachrichten und hochgeladenen Dokumenten.

Was geschwärzt wird:

  • Personennamen (z. B. "John Smith" → "[REDACTED_NAME]")

  • Firmen- und Organisationsnamen

  • E-Mail-Adressen (z. B. "[email protected]" → "[REDACTED_EMAIL]")

  • Telefonnummern in verschiedenen Formaten

So aktivieren Sie die PII-Reduktion:

  1. Navigieren Sie zu Settings → Privacy oder Data Protection

  2. Aktivieren Sie "Enable PII Reduction"

  3. Überprüfen Sie das Bestätigungs-Popup, das die musterbasierte Einschränkung erklärt

  4. Achten Sie auf das grüne Schild-Symbol in Ihrem Chat-Eingabefeld, um die Aktivierung zu bestätigen

Wenn die PII-Reduktion aktiv ist, sehen Sie ein grünes Schild-Symbol im Chat-Eingabefeld als visuelle Bestätigung, dass die Schwärzung funktioniert.

Wichtige Einschränkungen:

  • Musterbasierte Erkennung: Die PII-Reduktion verwendet Regex-Muster und erfasst möglicherweise nicht alle sensiblen Informationen

  • Nicht 100% genau: Einige PII könnten durchschlüpfen; gelegentlich könnte legitimer Text geschwärzt werden

  • Kein Ersatz für Datenminimierung: Überprüfen Sie Daten immer vor dem Hochladen und vermeiden Sie unnötige PII

  • Anwendung vor der KI-Verarbeitung: Die Schwärzung erfolgt, bevor die Daten die KI-Anbieter erreichen

Die PII-Reduktion ist eine Datenschutzverbesserung, keine Garantie für eine vollständige Anonymisierung. Überprüfen Sie Ergebnisse immer anhand offizieller Standards und vermeiden Sie das Hochladen unnötiger personenbezogener Daten. Diese Funktion dient am besten als zusätzliche Schutzschicht neben Praktiken zur Datenminimierung.

Anwendungsfälle:

  • Verarbeitung von Audit-Berichten für Mandanten, die Mitarbeiternamen enthalten

  • Analyse von Compliance-Richtlinien mit Kontaktinformationen

  • Arbeiten mit HR-Richtlinien oder Vorfallberichten

  • Zusätzlicher Datenschutz bei Verwendung des erweiterten Datenschutz-Modus

Kombination mit erweitertem Datenschutz:

Für maximalen Datenschutz aktivieren Sie beide Funktionen:

  • PII-Reduktion: Schwärzt personenbezogene Daten vor der KI-Verarbeitung

  • Erweiterter Datenschutz-Modus: Gewährleistet reine EU-Verarbeitung ohne Datenspeicherung durch den KI-Anbieter

Zusammen bieten diese Funktionen starke Datenschutzgarantien für sensible Compliance-Arbeit.

Workspace-Isolierung

Workspaces ermöglichen die Datentrennung für Szenarien mit mehreren Mandanten:

  • Jeder Workspace pflegt seinen eigenen Konversationsverlauf

  • Hochgeladene Dateien sind an spezifische Workspaces gebunden

  • Benutzerdefinierte Anweisungen sind Workspace-spezifisch

  • Das Löschen eines Workspaces entfernt alle zugehörigen Daten

Compliance-Berater sollten für jeden Mandanten separate Workspaces erstellen. Dies stellt sicher, dass Mandantendaten isoliert bleiben und vereinfacht die Einhaltung von Geheimhaltungspflichten.

Kein nutzerübergreifender Datenaustausch

ISMS Copilot implementiert strikte Datengrenzen:

  • Nutzer können nicht auf Daten anderer Nutzer zugreifen

  • KI-Antworten werden für jeden Nutzer unabhängig generiert

  • Datenbankabfragen filtern automatisch nach der authentifizierten Benutzer-ID

  • Sogar Systemadministratoren folgen dem Prinzip der minimalen Rechtevergabe (Least Privilege)

Kein KI-Training mit Nutzerdaten

Ihre sensiblen Compliance-Daten werden niemals für das KI-Training verwendet:

  • Konversationen werden nicht von OpenAI oder anderen KI-Anbietern gespeichert

  • Hochgeladene Dokumente bleiben vertraulich und privat

  • Mandanteninformationen tragen niemals zur Modellverbesserung bei

  • Jede Konversation wird isoliert verarbeitet

Dies ist ein entscheidender Unterschied zu allgemeinen KI-Tools wie der kostenlosen Version von ChatGPT, die Konversationen für das Training nutzen kann. ISMS Copilot garantiert, dass Ihre Compliance-Daten absolut vertraulich bleiben.

Anfragen von betroffenen Personen

So reichen Sie eine DSGVO-Anfrage ein

  1. Klicken Sie auf das Benutzermenü-Symbol (oben rechts)

  2. Wählen Sie Help CenterContact Support

  3. Beschreiben Sie Ihre Anfrage klar:

    • "Ich beantrage Auskunft über alle meine personenbezogenen Daten gemäß DSGVO Artikel 15"

    • "Ich beantrage die Löschung meines Kontos gemäß DSGVO Artikel 17"

    • "Ich beantrage einen Datenexport gemäß DSGVO Artikel 20"

  4. Der Support wird Ihre Identität verifizieren und die Anfrage bearbeiten

Antwortfristen

ISMS Copilot beantwortet DSGVO-Anfragen gemäß den gesetzlichen Fristen:

  • Bestätigung: Innerhalb von 24-48 Stunden

  • Auskunftsersuchen: Innerhalb von 30 Tagen (in der Regel innerhalb von 72 Stunden)

  • Löschungsanträge: Innerhalb von 30 Tagen

  • Datenübertragbarkeit: Innerhalb von 30 Tagen (in der Regel innerhalb von 72 Stunden)

  • Berichtigungsanträge: Sofort für Felder, die der Nutzer selbst aktualisieren kann; innerhalb von 30 Tagen für andere

Falls ISMS Copilot die Antwortfrist verlängern muss (z. B. bei komplexen Anfragen), werden Sie innerhalb von 30 Tagen mit einer Begründung und einem voraussichtlichen Abschlussdatum benachrichtigt.

Identitätsprüfung

Um Ihre Daten vor unbefugtem Zugriff zu schützen, kann ISMS Copilot Ihre Identität verifizieren:

  • Sie müssen Anfragen von Ihrer registrierten E-Mail-Adresse aus senden

  • Bei sensiblen Anfragen kann eine zusätzliche Verifizierung erforderlich sein

  • Der Support kann Sicherheitsfragen zu Ihrem Konto stellen

Datenschutz für Kinder

ISMS Copilot ist nicht für Kinder unter 16 Jahren bestimmt:

  • Der Dienst ist für Compliance-Experten und Unternehmen konzipiert

  • Es werden keine Mechanismen für die elterliche Zustimmung bereitgestellt

  • Falls eine Nutzung durch Minderjährige entdeckt wird, wird das Konto gekündigt und die Daten werden gelöscht

Aktualisierungen der Datenschutzrichtlinie

Wie Sie benachrichtigt werden

Wenn sich Datenschutzpraktiken ändern, wird ISMS Copilot:

  • Eine E-Mail-Benachrichtigung an Ihre registrierte E-Mail-Adresse senden

  • Eine In-App-Benachrichtigung beim nächsten Login anzeigen

  • Die Datenschutzrichtlinie mit einem Datum der letzten Aktualisierung versehen

  • Wesentliche Änderungen mindestens 30 Tage im Voraus ankündigen

Ihre Optionen

Wenn Sie Änderungen der Datenschutzrichtlinie nicht zustimmen:

  • Beantragen Sie die Kontolöschung, bevor die Änderungen in Kraft treten

  • Exportieren Sie Ihre Daten vor dem Inkrafttreten

  • Kontaktieren Sie den Support, um Bedenken zu besprechen

Aufsichtsbehörde

Als in der EU ansässiger Dienst unterliegt ISMS Copilot der Datenschutzaufsicht.

Recht auf Beschwerde

Wenn Sie glauben, dass ISMS Copilot Ihre Datenschutzrechte verletzt hat, können Sie:

  1. Den ISMS Copilot-Support kontaktieren, um das Problem direkt zu lösen

  2. Beschwerde bei Ihrer lokalen Datenschutzbehörde einlegen

  3. Beschwerde bei der französischen Datenschutzbehörde (CNIL) einlegen, wo ISMS Copilot niedergelassen ist

Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Website: https://www.cnil.fr/en

  • Adresse: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankreich

  • Telefon: +33 1 53 73 22 22

Best Practices für Compliance

Für Berater, die mit Kundendaten arbeiten

  • Erstellen Sie separate Workspaces für jeden Mandanten

  • Legen Sie angemessene Aufbewahrungsfristen fest, die den Kundenverträgen entsprechen

  • Anonymisieren Sie sensible personenbezogene Daten vor dem Hochladen

  • Informieren Sie Mandanten, dass Sie ISMS Copilot für Compliance-Arbeiten nutzen

  • Nehmen Sie ISMS Copilot in Ihre Auftragsverarbeitungsverträge auf

  • Aktivieren Sie den erweiterten Datenschutz-Modus, wenn Mandanten eine reine EU-Verarbeitung verlangen

Für Organisationen

  • Dokumentieren Sie ISMS Copilot in Ihrem Verarbeitungsverzeichnis (siehe unser Verarbeitungsverzeichnis als Referenz)

  • Beziehen Sie das Tool in Datenschutz-Folgenabschätzungen (DSFA) ein, wenn sensible Daten verarbeitet werden

  • Schulen Sie Mitarbeiter im ordnungsgemäßen Umgang mit Daten in ISMS Copilot

  • Konfigurieren Sie Aufbewahrungsfristen entsprechend Ihrer Datenlöschrichtlinie

Benötigen Sie Hilfe bei der DSGVO-Compliance-Dokumentation? ISMS Copilot kann bei der Erstellung von Auftragsverarbeitungsverträgen, Datenschutzrichtlinien und DSFA-Vorlagen speziell für Ihre Organisation behilflich sein.

Transparenz & Vertrauen

Sicherheitsdokumentation

Detaillierte Informationen über die Sicherheits- und Datenschutzpraktiken von ISMS Copilot finden Sie in unserer Security Collection:

  • Detaillierte Beschreibungen der Datenverarbeitung

  • Dokumentation von Sicherheitsmaßnahmen

  • Vollständige Liste der Unterauftragsverarbeiter mit Standorten und DPA-Status

  • Compliance-Zertifizierungen

  • KI-Governance-Richtlinien

Sie können auch unser umfassendes Verzeichnis von Verarbeitungstätigkeiten (VVT) für detaillierte technische und organisatorische Maßnahmen einsehen.

Systemstatus

Überwachen Sie die Serviceverfügbarkeit und Sicherheitsvorfälle auf der Status Page:

  • Echtzeit-Uptime-Überwachung via BetterStack

  • Benachrichtigungen bei Vorfällen und Status-Updates

  • Geplante Wartungsintervalle

  • Historische Uptime-Daten

  • Transparente Klassifizierung und Eskalation von Vorfällen

Einschränkungen

Aktuelle Datenschutzfunktionen

  • Automatischer Datenexport ist nicht verfügbar (muss über den Support angefordert werden)

  • Änderungen der E-Mail-Adresse erfordern Unterstützung durch den Support

  • Keine Self-Service-Kontolöschung (Support kontaktieren nötig)

  • Cookie-Einwilligungsbanner nicht implementiert (keine Tracking-Cookies verwendet)

Nächste Schritte

  • Erfahren Sie mehr über Sicherheitsmaßnahmen und Verschlüsselung

  • Richten Sie Workspaces ein, um Mandantendaten zu isolieren

  • Prüfen Sie unsere Transferfolgenabschätzung

  • Erstellen Sie ein sicheres Konto mit starker Authentifizierung

  • Prüfen Sie unsere Security Collection für eine detaillierte Datenschutzdokumentation

Hilfe erhalten

Für datenschutzrelevante Fragen oder DSGVO-Anfragen:

  • Kontaktieren Sie den Support über das Help Center-Menü

  • Schreiben Sie eine E-Mail von Ihrer registrierten E-Mail-Adresse

  • Geben Sie "GDPR Request" im Betreff an für eine schnellere Bearbeitung

  • Besuchen Sie unsere Security Collection für eine detaillierte Dokumentation

War das hilfreich?