FAQ: Sicherheit & Datenschutz
Sally AI erfüllt hohe Datenschutz- und Sicherheitsstandards. Alle Daten werden mit AES-256 verschlüsselt gespeichert und per TLS/SSL übertragen. Der Zugriff ist durch rollenbasierte Zugriffskontrollen und Mehrfaktor-Authentifizierung geschützt. Sämtliche Zugriffe und Änderungen werden in einem umfassenden Audit-Log protokolliert. Sally ist vollständig DSGVO-konform, orientiert sich an SOC-2-Standards und wird in ISO-27001-zertifizierten Rechenzentren betrieben. Jede Organisation kann darüber hinaus eigene Datenschutzrichtlinien festlegen.
Alle Meeting-Daten werden in ausschließlich europäischen Rechenzentren gespeichert, bevorzugt in Deutschland, alternativ in anderen EU-Regionen wie Irland oder den Niederlanden. Personenbezogene Daten werden niemals außerhalb der EU verarbeitet oder gespeichert - es gibt keine Ausnahmen. Sally arbeitet zudem aktiv daran, alle Dienste vollständig nach Deutschland zu verlagern. Für Organisationen mit besonderen Anforderungen bietet Sally auch On-Premises-Datenspeicherung in der kundeneigenen Infrastruktur an.
Nein. Deine Meeting-Daten werden niemals für das Training von KI-Modellen oder andere eigene Zwecke verwendet. Sally agiert als Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) und verarbeitet Daten ausschließlich auf Weisung des Kunden zur Erbringung des vereinbarten Dienstes. Vor der Verarbeitung durch das Sprachmodell werden personenbezogene Daten durch Placeholder-/Data-Masking pseudonymisiert. Organisationen mit besonders hohen Anforderungen können Sally so konfigurieren, dass ausschließlich kundeneigene LLMs verwendet werden - so werden keine Daten an externe KI-Dienste übermittelt.
Sally sorgt automatisch für Transparenz gemäß Art. 13/14 DSGVO: Beim Beitritt zu einem Meeting postet Sally einen Datenschutzhinweis mit Link zum Datenschutzblatt direkt im Meeting-Chat. Dieser Hinweis informiert Teilnehmer über Art und Zweck der Datenverarbeitung, Speicherdauer und ihre Rechte. Zusätzlich empfehlen wir, Sallys Teilnahme zu Beginn des Meetings kurz anzukündigen und diesen Ablauf in die internen Meeting-Guidelines aufzunehmen. Teilnehmer können jederzeit per „opt out"-Befehl im Chat widersprechen - Sally verlässt dann sofort das Meeting und löscht alle bis dahin aufgenommenen Daten unwiderruflich.
Darüber hinaus kann Sally so konfiguriert werden, dass Meeting-Teilnehmer vorab per E-Mail über Sallys Teilnahme informiert werden. Die Teilnehmer müssen dann aktiv ihre Zustimmung erteilen, bevor Sally dem Meeting beitritt. Ohne Zustimmung nimmt Sally nicht teil.
Ja. Als Verantwortlicher kannst du Sally jederzeit zur vollständigen Löschung deiner Daten anweisen. Sally setzt Löschanfragen innerhalb von 5 Werktagen um. Darüber hinaus unterstützt Sally die Erfüllung aller Betroffenenrechte nach DSGVO: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Temporäre Verarbeitungsdaten (z. B. aus der Audio-Pipeline) werden automatisch nach Abschluss des Vorgangs gelöscht. Nach Vertragsende werden alle Daten innerhalb von 30 Tagen gelöscht oder in einem maschinenlesbaren Format zurückgegeben - schriftlich bestätigt.
Ja. Sally schließt mit allen Kunden einen DSGVO-konformen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ab. Der AVV regelt unter anderem Zweckbindung, Löschpflichten, technische und organisatorische Maßnahmen (TOMs) sowie das Subprozessoren-Management. Er enthält Anlagen zu TOMs, Verarbeitungsverzeichnis, Subprozessorenliste, Datenschutz-Folgenabschätzung (DSFA) und einer KI-Konformitätserklärung nach EU AI Act. Du kannst den AVV direkt online anfordern und digital unterzeichnen.
AVV anfordern | Alle Datenschutzdokumente im Download-Center
Ja. Sally AI ist als Limited Risk nach dem EU AI Act eingestuft und erfüllt alle geltenden Transparenzpflichten. Sally weist sich klar als KI-gestützter Dienst aus und stellt umfassende Dokumentation zur Datenverarbeitung bereit. Eine detaillierte KI-Konformitätserklärung ist Bestandteil des AVV.