Sicherheit & Datenschutz
bei ISMS Copilot
Wir entwickeln Compliance-Tools für Sicherheitsexperten. Deshalb ist Ihre Datensicherheit nicht nur ein Feature — sie ist unser Fundament.
Vollständige DSGVO-Konformität mit verfügbarem AVV
Vollständige EU-Datenresidenz mit erweitertem Datenschutz
Infrastrukturanbieter (AWS, Supabase) verfügen über SOC 2 Type II Attestierungen
Sicherheitsmaßnahmen
So schützen wir Ihre Compliance-Daten
Verschlüsselung bei Übertragung
Alle Verbindungen mit TLS 1.3 gesichert. Keine unverschlüsselten Daten verlassen Ihren Browser.
Verschlüsselung im Ruhezustand
AES-256-Verschlüsselung für alle gespeicherten Daten. Datenbank und Dateispeicher standardmäßig verschlüsselt.
Row-Level Security
Datenbankbasierte Zugriffsisolierung. Benutzer können nur auf ihre eigenen Daten zugreifen.
EU-Rechenzentrum
Primäre Infrastruktur in Frankfurt, Deutschland (AWS EU-Central-1). Daten bleiben in der EU.
SOC 2 Type II Infrastruktur
Basierend auf Supabase und AWS, beide mit SOC 2 Type II Attestierung. Enterprise-Sicherheit standardmäßig.
Kein KI-Training
Ihre Daten werden niemals zum Training von KI-Modellen verwendet. Alle KI-Anbieter sind vertraglich daran gebunden.
PII-Redaktion
Integrierte PII-Redaktion entfernt automatisch sensible personenbezogene Daten, bevor sie KI-Anbieter erreichen.
Datenresidenz
Wählen Sie, wo Ihre Daten verarbeitet werden
Standardmodus
- DatenbankEUEU (Frankfurt)
- DateispeicherEUEU (Frankfurt)
- KI-VerarbeitungUSAnthropic Claude (direkt) und OpenRouter → Inceptron / DeepInfra / Cerebras / Google Vertex (Allowlist + ZDR)
- KI-Aufbewahrung30 Tage
- InhaltsmoderationEUMistral AI
- KI-FailoverEUMistral AI (EU)
- DatenschutzmaßnahmenStandardvertragsklauseln
Erweiterter Datenschutz
- DatenbankEUEU (Frankfurt)
- DateispeicherEUEU (Frankfurt)
- KI-VerarbeitungEUNur Mistral AI
- KI-AufbewahrungKeine Aufbewahrung
- InhaltsmoderationEUMistral AI
- KI-FailoverEUMistral AI (EU)
- US-DatentransfersEliminiert
Datenbank und Dateispeicher befinden sich immer in der EU (Frankfurt, Deutschland), unabhängig vom gewählten Modus.
Moderationsmetadaten werden 12 Monate zur Sicherheitsprüfung aufbewahrt (keine Nachrichteninhalte). Threads mit markierten Nachrichten sind vor Löschung durch Benutzer geschützt. Siehe AVV §2.8.
E-Mail-Adressen werden in allen Modi von SendGrid und Kit (USA) mit Standardvertragsklauseln verarbeitet.
Auftragsverarbeiter
Drittanbieter, die Daten in unserem Auftrag verarbeiten
| Dienst | Zweck | Standort | Aufbewahrung |
|---|---|---|---|
| Supabase | Database & Authentication | EUEU (Frankfurt, Germany) | User-controlled |
| AWS | Infrastructure | EUEU (Frankfurt, Germany) | User-controlled |
| Anthropic (Claude) | AI Processing (default routing, ADP off) | USUnited States | 30 days (abuse monitoring only, not training) |
| OpenRouter | Routing aggregator (ADP off) — routes only to the four allowlisted underlying providers below; mandatory Zero Data Retention enforced at account level | USUnited States | Zero retention (mandatory at OpenRouter account level) |
| ↳ Inceptron | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ DeepInfra | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Cerebras | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Google Vertex | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| Mistral AI | AI Processing (ADP), content moderation, failover, conversation summaries | EUEU (Frankfurt) | Zero retention |
| Fly.io | Chat API Service | EUEU-based deployment | 7 days (logs) |
| ConvertAPI | Document Format Conversion (ISO 27001:2022) | EUEU (Frankfurt) | Zero retention (in-memory only) |
| Stripe | Payment Processing | USUnited States | Per Stripe policy (PCI DSS Level 1) |
| PostHog | Product Analytics | EUEU (Frankfurt) | Up to 7 years (anonymized) |
| Sentry | Error Tracking & Monitoring | EUGermany | Up to 90 days (PII-scrubbed, no IP stored) |
| Vercel | Web Hosting & Analytics | EUEU (Frankfurt) | Anonymized (cookieless) |
| SendGrid (Twilio) | Legal Update Emails | USUnited States | Until account deletion or unsubscribe |
| Kit (ConvertKit) | Onboarding & Product Emails | USUnited States | Until account deletion or unsubscribe |
Kunden-aktivierte Integrationen
Werden für Ihre Daten erst aktiv, wenn Ihre Organisation sie installiert.
| Dienst | Zweck | Standort | Aufbewahrung |
|---|---|---|---|
| Slack Technologies, Inc. | heygrc bot — receives messages addressed to the bot, posts AI responses back. Activated only when a paid-organization owner installs from the Connectors page; uninstall hard-deletes integration records. | USUnited States | Active while integration installed |
Zuletzt aktualisiert: April 2026 · 30 Tage Vorankündigung vor Hinzufügen neuer Auftragsverarbeiter. Kunden-aktivierte Integrationen unterliegen dieser Regel nicht, da keine Daten fließen, bis Ihre Organisation sie ausdrücklich installiert.
Drittanbieter-Inhalte
Open-Source- und Creative-Commons-Inhalte, die in die Plattform integriert sind, mit Verweis auf die ursprünglichen Maintainer.
Skill SOC 2 Report Review
Adaptiert das SOC 2 Reliability Rubric, gepflegt vom SOC 2 Quality Guild. Die 11-Signal-Taxonomie und die Säulen Structure / Substance / Source stammen aus dem Guild-Rubric; Chat-Workflow, Verdikte und Scorecard sind die Adaption dieses Projekts. Gemäß CC BY-SA 4.0 §3(b)(1) wird diese Adaption ebenfalls unter CC BY-SA 4.0 veröffentlicht.
Rechtliche Dokumente
Transparenzdokumentation zur Einsicht verfügbar
Auftragsverarbeitungsvertrag
AVV gemäß DSGVO Art. 28
Datenschutzerklärung
Wie wir Ihre Daten erheben, nutzen und schützen
Nutzungsbedingungen
Bedingungen für die Nutzung von ISMS Copilot
Verzeichnis von Verarbeitungstätigkeiten
Vollständiges VVT aller Datenverarbeitungsvorgänge
Compliance des geistigen Eigentums
Wie wir Standards beschaffen, IP-Rechte in unserer KI-Beratung schützen und Drittinhalte würdigen
Änderungsprotokoll der Rechtsdokumente
Kumulative Zusammenfassung der Überarbeitungen unserer Rechtsdokumente