Zum Hauptinhalt springen

Sicherheit & Compliance

🔐AES-256 + TLS/SSL Verschlüsselung
< 24 h Vorfallsmeldung
5 Werktage für Datenanfragen
🔍Jährliche Penetrationstests

DSGVO-Compliance

Auftragsverarbeitungsvertrag (AVV, Art. 28)

Ein DSGVO-konformer AVV gemäß Artikel 28 steht jedem Kunden zur Verfügung und wird vor der Verarbeitung personenbezogener Daten dringend empfohlen.

Dokumentierte TOMs, vierteljährlich geprüft

Unsere technischen und organisatorischen Maßnahmen sind vollständig dokumentiert und werden mindestens einmal pro Quartal überprüft.

Datenschutz-Folgenabschätzung (Art. 35)

Eine umfassende DSFA wurde durchgeführt und wird im Einklang mit Artikel 35 DSGVO aktuell gehalten.

Regelmäßige interne Audits

Laufende interne Sicherheitsüberprüfungen stellen sicher, dass unsere Kontrollen wirksam und aktuell bleiben.

Transparente Kommunikation

Wir dokumentieren und kommunizieren Art, Zweck und Umfang aller Verarbeitungsaktivitäten klar und nachvollziehbar.

EU AI Act

Risikoeinstufung
Limited Risk — Transparenzpflichten gelten

Gemäß dem EU AI Act wird Sally AI als Limited Risk-System eingestuft. Das bedeutet, dass KI-Systeme, die mit Menschen interagieren, klar offenlegen müssen, dass es sich um KI handelt. Sally AI erfüllt alle geltenden Transparenzanforderungen.

Sally AI fällt nicht in verbotene oder hochriskante Anwendungskategorien – es gibt keine biometrische Identifikation, kein Social Scoring und keine Verwendung bei Beschäftigungs- oder Kreditentscheidungen.

Meeting-Teilnehmer werden automatisch über einen Transparenzhinweis im Meeting-Chat benachrichtigt, bevor die Aufzeichnung beginnt.
Organisatoren können Teilnehmer vor dem Termin per E-Mail über den Einsatz von Sally informieren — Teilnehmer stimmen dem aktiv zu, bevor die Aufzeichnung beginnt.
Keine Hochrisiko-Anwendungsfälle. EU-AI-Act-Erklärung auf Anfrage zum Download verfügbar.

Technische Maßnahmen (TOMs)

Verschlüsselung & Zugriff
  • TLS/SSL für alle Daten während der Übertragung
  • AES-256 für alle Daten im Ruhezustand
  • MFA auf allen internen Systemen
  • Rollenbasierte Zugriffskontrolle (RBAC) — Prinzip der minimalen Rechtevergabe
  • Mandantentrennung auf Tenant-Ebene
Infrastruktur & Monitoring
  • Audit-Protokollierung aller Zugriffe und Änderungen
  • Kontinuierliches Monitoring + automatisierte Anomalie-Alarme
  • DDoS-Schutz + Rate Limiting
  • Microsoft Sentinel / Azure Security Center
  • Georedundante Backups
Datenmaskierung (KI)
  • Personenbezogene Daten werden VOR jeder LLM-Verarbeitung maskiert
  • Namen & E-Mail-Adressen werden durch anonymisierte Platzhalter ersetzt
  • Originaldaten werden in unserer eigenen sicheren Infrastruktur wiederhergestellt
  • Azure OpenAI in EU-Region betrieben — keine Daten verlassen die EU
  • Microsoft: übermittelte Daten werden NICHT zum Training von OpenAI-Modellen verwendet
Mitarbeiter & Organisation
  • Vertraulichkeitsverpflichtungen für alle Mitarbeiter
  • Regelmäßige Datenschutz- und Sicherheitsschulungen
  • Need-to-know- und Vier-Augen-Prinzip
  • Regelmäßige Security-Awareness-Programme

SOC 2 & ISO 27001

SOC 2Juli 2026

Aktive Arbeit an der SOC-2-Typ-II-Zertifizierung. Kontrollen werden vierteljährlich geprüft und dokumentiert. Der Bericht wird nach Abschluss der Zertifizierung auf Anfrage zur Verfügung gestellt.

ISO 27001Juni 2026

Gehostet in ISO-27001-zertifizierten EU-Rechenzentren (Microsoft Azure). Das Sicherheitsmanagement ist an den ISO-27001-Grundsätzen ausgerichtet, einschließlich regelmäßiger Überprüfungen, Risikoanalysen und Kontrollbewertungen.

Rollen & Verantwortlichkeiten

Sally AI
Auftragsverarbeiter
  • Verarbeitet Daten nur auf dokumentierte Kundenanweisungen
  • Keine Verwendung von Daten für eigene Zwecke
  • Kein KI-Training auf Kundendaten — niemals
  • Unterstützt Betroffenenanfragen innerhalb von 5 Werktagen
Kunde
Verantwortlicher
  • Legt Zwecke und Mittel der Verarbeitung fest
  • Wählt die Rechtsgrundlage für die Verarbeitung
  • Informiert Endnutzer über die Datenverarbeitung
  • Beantwortet Anfragen zu Betroffenenrechten

Vorfallsreaktion

1
Erkennung & Alarmierung

Automatisierte Erkennung über Microsoft Sentinel und Azure Security Center überwacht kontinuierlich auf Anomalien und Sicherheitsereignisse.

2
Eingrenzung & Eindämmung

Sofortige Reaktionsmaßnahmen werden ergriffen, um den Schaden zu begrenzen und betroffene Systeme zu stabilisieren.

3
Analyse & Behebung

Eine Ursachenanalyse wird durchgeführt, das Problem wird behoben und betroffene Dienste und Daten werden wiederhergestellt.

4
Kundenbenachrichtigung

Kunden werden unverzüglich benachrichtigt — spätestens 24 Stunden nachdem wir Kenntnis von dem Vorfall erlangt haben, wie im AVV vorgeschrieben.

5
Dokumentation & Abschluss

Ein vollständiger Vorfallsbericht wird erstellt, einschließlich einer umfassenden Folgenabschätzung und Lessons-Learned-Dokumentation.

⚠ Hinweis:

Die Benachrichtigung der Aufsichtsbehörden (DSGVO Art. 33 — 72-Stunden-Frist) liegt in der Verantwortung des Verantwortlichen (Kunden). Wir unterstützen die Bewertung und Dokumentation während des gesamten Prozesses.

Penetrationstests

  • Jährliche externe Penetrationstests durch unabhängige Sicherheitsunternehmen
  • Umfang: Anwendungsschicht, Infrastruktur und Zugriffskontrollen
  • Vollständige Berichte auf Anfrage für Kunden verfügbar
  • 📧Kontakt: privacy@sally.io

Vollständige technische Details finden sich in Anhang 1 (TOMs) des AVV — hier herunterladen.