Skip to content

Datenschutz & DSGVO

niil ist von Grund auf für die DSGVO gebaut: Sie können Ihre Daten herausholen, sie wirklich löschen lassen und nachvollziehen, was mit ihnen geschah.

Datenexport (Art. 15)

Sie können Ihre Unterhaltungen exportieren – Betreff, Titel, Nachrichten und Dokumente – in maschinenlesbarer Form. Da niil die Schlüssel besitzt, wird der Export auf Anfrage für Sie entschlüsselt.

Löschung (Art. 17) mit Krypto-Shredding

Die Löschung entfernt Ihre Unterhaltungen und Wissensdatenbanken und verwirft die Schlüssel pro Unterhaltung, sodass der gespeicherte Chiffretext dauerhaft unwiederherstellbar wird. Das ist echte Löschung, kein weiches Flag – siehe Verschlüsselung. Organisationsbetreiber können Export-/Löschanfragen über eine dedizierte Warteschlange für Betroffenenanfragen mit einem Audit-Eintrag bearbeiten.

Ihre Datenkontrollen finden Sie in Ihrem Profil.

Data-Loss-Prevention (DLP)

niil kann Chat-Eingaben und Modellausgaben auf personenbezogene oder sensible Daten prüfen – E-Mail-Adressen, Telefonnummern, nationale Kennungen, Kreditkartennummern, IBANs, IP-Adressen und API-Schlüssel. Je nach konfiguriertem Modus kann es:

  • prüfen (audit) – Treffer erkennen und protokollieren (Inhalt unverändert), oder
  • schwärzen (redact) – Treffer durch [REDACTED:TYP] ersetzen, bevor der Text genutzt wird.

DLP umfasst auch die Tool-Ein- und -Ausgaben von Agenten. Erkennungen werden im Audit-Trail mit den zugehörigen Compliance-Kennungen festgehalten.

Unveränderlicher Audit-Trail

Bedeutsame Aktionen werden in einen anhängenden (append-only) Audit-Trail geschrieben – wer tat was, mit welcher Ressource, wann – versehen mit GDPR/SOC2/HIPAA-Kontroll-Kennungen, damit Compliance-Prüfungen belastbare Belege haben.

Mandantentrennung

Jede Organisation („Mandant“) ist strikt isoliert: Daten und Aktionen sind mandantengebunden, und mandantenübergreifender Zugriff wird auf der Autorisierungsebene verweigert. In der Produktion kann niil zusätzlich auf PostgreSQL mit Row-Level Security laufen und die Isolation auf der Datenbankebene als tief gestaffelte Verteidigung durchsetzen.

Aufbewahrung & Unterauftragsverarbeiter

Siehe Zero Data Retention zur Anbieter-Aufbewahrung und Compliance & Recht für AVV, TOM und die Liste der Unterauftragsverarbeiter.