Datenschutz & DSGVO
niil ist von Grund auf für die DSGVO gebaut: Sie können Ihre Daten herausholen, sie wirklich löschen lassen und nachvollziehen, was mit ihnen geschah.
Datenexport (Art. 15)
Sie können Ihre Unterhaltungen exportieren – Betreff, Titel, Nachrichten und Dokumente – in maschinenlesbarer Form. Da niil die Schlüssel besitzt, wird der Export auf Anfrage für Sie entschlüsselt.
Löschung (Art. 17) mit Krypto-Shredding
Die Löschung entfernt Ihre Unterhaltungen und Wissensdatenbanken und verwirft die Schlüssel pro Unterhaltung, sodass der gespeicherte Chiffretext dauerhaft unwiederherstellbar wird. Das ist echte Löschung, kein weiches Flag – siehe Verschlüsselung. Organisationsbetreiber können Export-/Löschanfragen über eine dedizierte Warteschlange für Betroffenenanfragen mit einem Audit-Eintrag bearbeiten.
Ihre Datenkontrollen finden Sie in Ihrem Profil.
Data-Loss-Prevention (DLP)
niil kann Chat-Eingaben und Modellausgaben auf personenbezogene oder sensible Daten prüfen – E-Mail-Adressen, Telefonnummern, nationale Kennungen, Kreditkartennummern, IBANs, IP-Adressen und API-Schlüssel. Je nach konfiguriertem Modus kann es:
- prüfen (audit) – Treffer erkennen und protokollieren (Inhalt unverändert), oder
- schwärzen (redact) – Treffer durch
[REDACTED:TYP]ersetzen, bevor der Text genutzt wird.
DLP umfasst auch die Tool-Ein- und -Ausgaben von Agenten. Erkennungen werden im Audit-Trail mit den zugehörigen Compliance-Kennungen festgehalten.
Unveränderlicher Audit-Trail
Bedeutsame Aktionen werden in einen anhängenden (append-only) Audit-Trail geschrieben – wer tat was, mit welcher Ressource, wann – versehen mit GDPR/SOC2/HIPAA-Kontroll-Kennungen, damit Compliance-Prüfungen belastbare Belege haben.
Mandantentrennung
Jede Organisation („Mandant“) ist strikt isoliert: Daten und Aktionen sind mandantengebunden, und mandantenübergreifender Zugriff wird auf der Autorisierungsebene verweigert. In der Produktion kann niil zusätzlich auf PostgreSQL mit Row-Level Security laufen und die Isolation auf der Datenbankebene als tief gestaffelte Verteidigung durchsetzen.
Aufbewahrung & Unterauftragsverarbeiter
Siehe Zero Data Retention zur Anbieter-Aufbewahrung und Compliance & Recht für AVV, TOM und die Liste der Unterauftragsverarbeiter.