Zum Hauptinhalt springen

Wie wir Kundendaten verarbeiten

Was wir verarbeiten

  • Texteingaben in der Anwendung (z. B. Prompts, Kommentare)
  • Technische Metadaten (z. B. IP-Adresse, Zeitstempel, System-/Meeting-IDs, Logereignisse)
  • Optional – bei Nutzung der Meeting-Funktionen: Audio-/Videodaten und Transkripte gemäß AVV

Warum (Zwecke)

  • Vertragserfüllung und Funktionssicherung der Dienste
    (Art. 28 DSGVO – Verarbeitung auf dokumentierte Weisung des Auftraggebers)
  • Support / IT-Sicherheit (z. B. Fehlersuche, Missbrauchserkennung) im Rahmen der TOMs

Wo (Speicherort)

  • Ausschließlich EU-Rechenzentren, bevorzugt Deutschland; alternativ EU-Regionen (z. B. Irland/Niederlande)
  • Keine Drittlandsübermittlung
  • On-Premises-Option: Wir können Daten in der kundeneigenen Datenbank (MS SQL) on-premises speichern — so behalten Sie die volle Kontrolle über den Speicherort Ihrer Daten

Löschfristen & Speicherzeiten

  • Während der Vertragslaufzeit: Speicherung nur, solange für die vereinbarten Zwecke erforderlich und nach Weisung des Auftraggebers
  • Temporäre Rohdaten für Verarbeitung (z. B. Audio-Pipeline) werden nach Abschluss des Vorgangs automatisch gelöscht, sofern der Kunde keine Speicherung wünscht
  • Nach Vertragsende: Löschung oder Rückgabe innerhalb von 30 Tagen, mit schriftlicher Bestätigung (gemäß AVV)

Datenmaskierung bei der KI-Verarbeitung

Bevor Daten an ein Large Language Model (LLM) zur Analyse oder Zusammenfassung übermittelt werden, werden alle personenbezogenen Informationen maskiert. Namen, E-Mail-Adressen und andere sensible Daten werden durch anonymisierte Platzhalter ersetzt, bevor der Inhalt die KI erreicht. Die Originaldaten werden erst danach innerhalb unserer eigenen, gesicherten Infrastruktur wiederhergestellt. So ist sichergestellt, dass keine personenbezogenen Daten in das LLM gelangen.

Darüber hinaus unterstützen wir die Nutzung kundeneigener LLMs — betreibt Ihre Organisation eigene Sprachmodelle, kann Sally AI so konfiguriert werden, dass ausschließlich diese verwendet werden. So verlassen keine Daten Ihre eigene Infrastruktur für die KI-Verarbeitung.

Keine Nutzung zu eigenen Zwecken

  • Kein KI-Training mit Kundendaten
  • Keine Weiterverarbeitung zu eigenen Geschäftszwecken (§ 12 AVV)
  • Keine personenbezogenen Daten in der LLM-Verarbeitung — alle Daten werden vorher maskiert