Sicherheit & Datenschutz
bei ISMS Copilot
Wir entwickeln Compliance-Tools für Sicherheitsexperten. Deshalb ist Ihre Datensicherheit nicht nur ein Feature — sie ist unser Fundament.
Vollständige DSGVO-Konformität mit verfügbarem AVV
Vollständige EU-Datenresidenz mit erweitertem Datenschutz
Infrastrukturanbieter (AWS, Supabase) verfügen über SOC 2 Type II Attestierungen
Unabhängiger Webanwendungs-Penetrationstest durch NevaSec. Keine Befunde mit kritischem oder hohem Schweregrad.
Sicherheitsmaßnahmen
So schützen wir Ihre Compliance-Daten
Verschlüsselung bei Übertragung
Alle Verbindungen mit TLS 1.3 gesichert. Keine unverschlüsselten Daten verlassen Ihren Browser.
Verschlüsselung im Ruhezustand
AES-256-Verschlüsselung für alle gespeicherten Daten. Datenbank und Dateispeicher standardmäßig verschlüsselt.
Row-Level Security
Datenbankbasierte Zugriffsisolierung. Benutzer können nur auf ihre eigenen Daten zugreifen.
EU-Rechenzentrum
Primäre Infrastruktur in Frankfurt, Deutschland (AWS EU-Central-1). Daten bleiben in der EU.
SOC 2 Type II Infrastruktur
Basierend auf Supabase und AWS, beide mit SOC 2 Type II Attestierung. Enterprise-Sicherheit standardmäßig.
Kein KI-Training
Ihre Daten werden niemals zum Training von KI-Modellen verwendet. Alle KI-Anbieter sind vertraglich daran gebunden.
PII-Redaktion
Integrierte PII-Redaktion entfernt automatisch sensible personenbezogene Daten, bevor sie KI-Anbieter erreichen.
Unabhängiger Penetrationstest: NevaSec, April 2026
NevaSec führte im April 2026 einen externen Penetrationstest unserer Webanwendung, REST-API und unseres KI-Backends durch. Es wurden weder ein unauthentifizierter Ausnutzungspfad noch ein unmittelbares Szenario zur Kontokompromittierung identifiziert. Der Befund mit mittlerem Schweregrad wurde remediiert; die Remediation der verbleibenden Befunde mit niedrigem Schweregrad läuft.
Datenresidenz
Wählen Sie, wo Ihre Daten verarbeitet werden
Standardmodus
- DatenbankEUEU (Frankfurt)
- DateispeicherEUEU (Frankfurt)
- KI-VerarbeitungUSAnthropic Claude (direkt) und OpenRouter → Inceptron / DeepInfra / Cerebras / Google Vertex (Allowlist + ZDR)
- KI-Aufbewahrung30 Tage
- InhaltsmoderationEUMistral AI
- KI-FailoverEUMistral AI (EU)
- DatenschutzmaßnahmenStandardvertragsklauseln
Erweiterter Datenschutz
- DatenbankEUEU (Frankfurt)
- DateispeicherEUEU (Frankfurt)
- KI-VerarbeitungEUNur Mistral AI
- KI-AufbewahrungKeine Aufbewahrung
- InhaltsmoderationEUMistral AI
- KI-FailoverEUMistral AI (EU)
- US-DatentransfersEliminiert
Datenbank und Dateispeicher befinden sich immer in der EU (Frankfurt, Deutschland), unabhängig vom gewählten Modus.
Moderationsmetadaten werden 12 Monate zur Sicherheitsprüfung aufbewahrt (keine Nachrichteninhalte). Threads mit markierten Nachrichten sind vor Löschung durch Benutzer geschützt. Siehe AVV §2.8.
E-Mail-Adressen werden in allen Modi von SendGrid und Kit (USA) mit Standardvertragsklauseln verarbeitet.
Auftragsverarbeiter
Drittanbieter, die Daten in unserem Auftrag verarbeiten
| Dienst | Zweck | Standort | Aufbewahrung |
|---|---|---|---|
| Supabase | Database & Authentication | EUEU (Frankfurt, Germany) | User-controlled |
| AWS | Infrastructure | EUEU (Frankfurt, Germany) | User-controlled |
| Anthropic (Claude) | AI Processing (default routing, ADP off) | USUnited States | 30 days (abuse monitoring only, not training) |
| OpenRouter | Routing aggregator (ADP off) — routes only to the seven allowlisted underlying providers below; mandatory Zero Data Retention enforced at account level | USUnited States | Zero retention (mandatory at OpenRouter account level) |
| ↳ Inceptron | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ DeepInfra | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Cerebras | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Google Vertex | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Together AI | AI Processing (via OpenRouter, ZDR enforced; added 2026-05-25, effective 2026-06-25 per DPA pending amendment) | USUnited States (default North America data centers per Together docs; OR aggregator does not pin region per request) | Zero retention |
| ↳ Fireworks AI | AI Processing (via OpenRouter, ZDR enforced; added 2026-05-25, effective 2026-06-25 per DPA pending amendment) | USUnited States — multi-region fleet (US, EU Frankfurt + Iceland, APAC Tokyo only — no PRC infrastructure; OR aggregator does not pin region per request) | Zero retention |
| ↳ Nebius | AI Processing (via OpenRouter, ZDR enforced; added 2026-05-25, effective 2026-06-25 per DPA pending amendment) | GlobalNetherlands HQ; primary inference in Finland (EU) with US secondary per Nebius docs (OR aggregator does not pin region per request) | Zero retention |
| Mistral AI | AI Processing (ADP), content moderation, failover, conversation summaries | EUEU (Frankfurt) | Zero retention |
| Fly.io | Chat API Service | EUEU-based deployment | 7 days (logs) |
| ConvertAPI | Document Format Conversion (ISO 27001:2022) | EUEU (Frankfurt) | Zero retention (in-memory only) |
| Stripe | Payment Processing | USUnited States | Per Stripe policy (PCI DSS Level 1) |
| PostHog | Product Analytics | EUEU (Frankfurt) | Up to 7 years (anonymized) |
| Sentry | Error Tracking & Monitoring | EUGermany | Up to 90 days (PII-scrubbed, no IP stored) |
| Vercel | Web Hosting & Analytics | EUEU (Frankfurt) | Anonymized (cookieless) |
| SendGrid (Twilio) | Legal Update Emails | USUnited States | Until account deletion or unsubscribe |
| Kit (ConvertKit) | Onboarding & Product Emails | USUnited States | Until account deletion or unsubscribe |
Kunden-aktivierte Integrationen
Werden für Ihre Daten erst aktiv, wenn Ihre Organisation sie installiert.
| Dienst | Zweck | Standort | Aufbewahrung |
|---|---|---|---|
| Slack Technologies, Inc. | heygrc bot — receives messages addressed to the bot, posts AI responses back. Activated only when a paid-organization owner installs from the Connectors page; uninstall hard-deletes integration records. | USUnited States | Active while integration installed |
Zuletzt aktualisiert: April 2026 · 30 Tage Vorankündigung vor Hinzufügen neuer Auftragsverarbeiter. Kunden-aktivierte Integrationen unterliegen dieser Regel nicht, da keine Daten fließen, bis Ihre Organisation sie ausdrücklich installiert.
Drittanbieter-Inhalte
Open-Source- und Creative-Commons-Inhalte, die in die Plattform integriert sind, mit Verweis auf die ursprünglichen Maintainer.
Skill SOC 2 Report Review
Adaptiert das SOC 2 Reliability Rubric, gepflegt vom SOC 2 Quality Guild. Die 11-Signal-Taxonomie und die Säulen Structure / Substance / Source stammen aus dem Guild-Rubric; Chat-Workflow, Verdikte und Scorecard sind die Adaption dieses Projekts. Gemäß CC BY-SA 4.0 §3(b)(1) wird diese Adaption ebenfalls unter CC BY-SA 4.0 veröffentlicht.
Rechtliche Dokumente
Transparenzdokumentation zur Einsicht verfügbar
Auftragsverarbeitungsvertrag
AVV gemäß DSGVO Art. 28
Datenschutzerklärung
Wie wir Ihre Daten erheben, nutzen und schützen
Cookie-Richtlinie
Wie dieses Trust Center Cookies verwendet und wie Sie Ihre Auswahl verwalten
Nutzungsbedingungen
Bedingungen für die Nutzung von ISMS Copilot
Verzeichnis von Verarbeitungstätigkeiten
Vollständiges VVT aller Datenverarbeitungsvorgänge
Compliance des geistigen Eigentums
Wie wir Standards beschaffen, IP-Rechte in unserer KI-Beratung schützen und Drittinhalte würdigen
Änderungsprotokoll der Rechtsdokumente
Kumulative Zusammenfassung der Überarbeitungen unserer Rechtsdokumente