Zum Hauptinhalt springen

Sicherheit & Compliance

Diese Seite ist deine zentrale Anlaufstelle für Sicherheit und Compliance bei Sally AI. Sie dokumentiert unsere technischen und organisatorischen Maßnahmen (TOMs), die DSGVO-Konformität und die Rollenverteilung als Auftragsverarbeiter. Detailthemen wie EU AI Act, ISO-Zertifizierungen und Incident Response findest du als eigene Unterseiten weiter unten verlinkt. Die vollständigen Detaildokumente (TOMs, VVT, DSFA, KI-Konformitätserklärung) liegen im Download-Center.

🔐AES-256 + TLS/SSL Verschlüsselung
< 24 h Vorfallsbenachrichtigung
5 Werktage für Datenanfragen
🔍Jährliche Penetrationstests

DSGVO-Compliance

Auftragsverarbeitungsvertrag (Art. 28)

Ein DSGVO-konformer AVV nach Art. 28 ist für jeden Kunden verfügbar und wird vor der Verarbeitung personenbezogener Daten dringend empfohlen.

Dokumentierte TOMs, quartalsweise geprüft

Unsere technischen und organisatorischen Maßnahmen sind vollständig dokumentiert und werden mindestens einmal pro Quartal überprüft.

Datenschutz-Folgenabschätzung (Art. 35)

Eine umfassende DSFA wurde durchgeführt und wird gemäß Art. 35 DSGVO laufend aktualisiert.

Regelmäßige interne Audits

Laufende interne Sicherheitsprüfungen stellen sicher, dass unsere Kontrollen wirksam und aktuell bleiben.

Transparente Kommunikation

Wir dokumentieren und kommunizieren Art, Zweck und Umfang aller Verarbeitungstätigkeiten klar.

Technische Maßnahmen (TOMs)

Verschlüsselung & Zugriff
  • TLS/SSL für alle Daten in Übertragung
  • AES-256 für alle gespeicherten Daten
  • MFA auf allen internen Systemen
  • Rollenbasierte Zugriffskontrolle (RBAC), Least Privilege
  • Mandantengetrennte Datenspeicherung
Infrastruktur & Monitoring
  • Audit-Logs aller Zugriffe und Änderungen
  • Kontinuierliches Monitoring + automatische Anomalie-Alerts
  • DDoS-Schutz + Ratenbegrenzung
  • Microsoft Sentinel / Azure Security Center
  • Georedundante Backups
Datenmaskierung (KI)
  • Personenbezogene Daten werden VOR jeder LLM-Verarbeitung maskiert
  • Namen & E-Mails werden durch anonymisierte Platzhalter ersetzt
  • Originaldaten werden in unserer eigenen sicheren Infrastruktur wiederhergestellt
  • Azure OpenAI in EU-Region, keine Daten verlassen die EU
  • Microsoft: übermittelte Daten werden NICHT zum Training von OpenAI-Modellen verwendet
Mitarbeitende & Organisation
  • Vertraulichkeitsverpflichtungen für alle Mitarbeitenden
  • Wiederkehrende Datenschutz- und Sicherheitsschulungen
  • Need-to-know- und Vier-Augen-Prinzipien
  • Regelmäßige Security-Awareness-Programme

Rollen & Verantwortlichkeiten

Sally AI
Auftragsverarbeiter
  • Verarbeitet Daten ausschließlich auf dokumentierte Weisung des Kunden
  • Keine Nutzung der Daten für eigene Zwecke
  • Niemals KI-Training mit Kundendaten
  • Unterstützt Betroffenenanfragen innerhalb von 5 Werktagen
Kunde
Verantwortlicher
  • Bestimmt Zwecke und Mittel der Verarbeitung
  • Wählt die Rechtsgrundlage der Verarbeitung
  • Informiert die Endnutzer über die Datenverarbeitung
  • Bearbeitet Anfragen zu Betroffenenrechten

Mehr zu Sicherheit & Compliance

⚖️
EU AI Act

Unsere Limited-Risk-Klassifizierung, die Transparenzpflichten und wie Meeting-Teilnehmer informiert werden.

Mehr lesen →
🏅
ISO-Zertifizierungen

Zertifiziert nach ISO 27001, 14001 und 9001, geführt als ein integriertes Managementsystem. Zertifikat online verifizieren.

Mehr lesen →
🚨
Incident Response & Pentests

Unser fünfstufiger Incident-Response-Prozess, 24-Stunden-Kundenbenachrichtigung und jährliche externe Pentests.

Mehr lesen →

Die vollständigen technischen Details findest du in Anlage 1 (TOMs) des AVV. Hier herunterladen.