Datenschutz bei Sally AI – Auf Vertrauen gebaut

Unsere Philosophie

Datenschutz ist bei Sally AI kein nachträglicher Gedanke — er ist Teil unserer DNA. Jedes Feature, jede Infrastrukturentscheidung und jeder Prozess beginnt mit einer Frage: Wie schützen wir die Daten unserer Kunden?

Wir verarbeiten Daten ausschließlich im Rahmen der vertraglich vereinbarten Zwecke und folgen den Grundsätzen der DSGVO:

Rechtmäßigkeit — Wir haben immer eine klare Rechtsgrundlage
Zweckbindung — Daten werden nur für den vereinbarten Zweck verwendet
Datenminimierung — Wir erheben nur, was notwendig ist
Transparenz — Sie wissen immer, was mit Ihren Daten geschieht

DSGVO-Konformität

Sally AI erfüllt die Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) vollständig. Das ist keine bloße Behauptung — es wird durch konkrete Maßnahmen untermauert:

Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO für jeden Kunden
Dokumentierte technische und organisatorische Maßnahmen (TOMs), die regelmäßig überprüft und aktualisiert werden
Eine umfassende Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO
Regelmäßige interne Audits und Sicherheitsprüfungen
Transparente Kommunikation über Art, Zweck und Umfang jeder Verarbeitung

SOC-2-Engagement

Wir haben uns der Einhaltung der SOC-2-Standards verschrieben. SOC 2 ist eines der international anerkanntesten Frameworks zur Bewertung von Sicherheitskontrollen in den Bereichen Sicherheit, Verfügbarkeit und Vertraulichkeit.

Das bedeutet: Wir evaluieren und stärken unsere Sicherheitskontrollen kontinuierlich, um den SOC-2-Anforderungen zu entsprechen — und geben Ihnen damit eine zusätzliche Sicherheit, dass Ihre Daten mit höchster Sorgfalt und Verantwortung behandelt werden.

Deutschland-zuerst-Hosting

Wir arbeiten verstärkt daran, alle Daten und Dienste in Deutschland zu hosten. Auch wenn sich das aktuell nicht für jede Komponente realisieren lässt — einige Dienste werden in anderen EU-Ländern wie Irland oder den Niederlanden betrieben — sind wir diesem Ziel verpflichtet und migrieren laufend Workloads.

Was wir heute garantieren:

Alle Daten bleiben in der Europäischen Union — immer
Keine Übermittlung in Drittländer — unter keinen Umständen
Unsere primäre Infrastruktur läuft in Deutschland, mit EU-basierten Alternativen wo nötig
On-Premises-Speicherung möglich: Wir können Daten in Ihrer eigenen MS-SQL-Datenbank speichern — Ihre Daten verlassen so nie Ihre eigene Infrastruktur
Eigene LLMs nutzen: Kunden können eigene Sprachmodelle bereitstellen, sodass keine Daten für die KI-Verarbeitung an externe Dienste gesendet werden

Datenmaskierung vor der KI-Verarbeitung

Ein zentraler Bestandteil unseres Privacy-by-Design-Ansatzes: Personenbezogene Daten werden maskiert, bevor sie an ein Large Language Model (LLM) übermittelt werden. Bevor Inhalte die KI zur Analyse oder Zusammenfassung erreichen, ersetzen wir personenbezogene Informationen — wie Namen, E-Mail-Adressen und andere sensible Daten — durch anonymisierte Platzhalter.

Das bedeutet: Keine personenbezogenen Daten gelangen in das LLM. Die KI arbeitet ausschließlich mit maskierten Inhalten, und die Originaldaten werden erst danach innerhalb unserer eigenen, gesicherten Infrastruktur wiederhergestellt. So ist sichergestellt, dass selbst die KI-Verarbeitungsebene niemals Zugriff auf die Identitäten Ihrer Nutzer hat.

Wir handeln als Auftragsverarbeiter

Unsere Kunden sind die Verantwortlichen im Sinne der DSGVO
Sally AI agiert ausschließlich als Auftragsverarbeiter und verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden
Wir verwenden Kundendaten niemals für eigene Zwecke — kein KI-Modelltraining, keine Analysen, kein Profiling
Personenbezogene Daten werden vor der KI-Verarbeitung maskiert — das LLM sieht keine identifizierbaren Informationen
Die datenschutzrechtliche Verantwortung bleibt jederzeit beim Kunden

Datenschutz = Sicherheit + Transparenz

Wir sehen Datenschutz als rechtliche Pflicht und als Kern unserer Sicherheits- und Qualitätsstandards. Durch folgende Maßnahmen stellen wir Schutz und Nachvollziehbarkeit sicher:

Verschlüsselung bei Speicherung (AES-256) und Übertragung (TLS/SSL)
Rollenbasierte Zugriffskontrollen und Mehrfaktor-Authentifizierung
Transparente Kommunikation über Art, Zweck und Umfang der Verarbeitung
Kontinuierliches Monitoring und automatisierte Vorfallserkennung

Unsere Philosophie​

DSGVO-Konformität​

SOC-2-Engagement​

Deutschland-zuerst-Hosting​

Datenmaskierung vor der KI-Verarbeitung​

Wir handeln als Auftragsverarbeiter​

Datenschutz = Sicherheit + Transparenz​