Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten beim Besuch der Website nordnung.ai sowie bei der Kontaktaufnahme, der Anforderung von Demos und der Durchführung von Testanrufen.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
3. Aufruf der Website
Beim Aufruf unserer Website verarbeiten wir die technisch erforderlichen Verbindungsdaten, um die Website bereitzustellen, die Stabilität und Sicherheit zu gewährleisten und Angriffe oder Missbrauch zu erkennen.
Dabei verarbeiten wir insbesondere:
IP-Adresse
Datum und Uhrzeit des Zugriffs
angeforderte Inhalte
Browsertyp und Browserversion
Betriebssystem
Referrer-URL
Statuscodes
Server- und Sicherheitsprotokolle
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, stabilen und effizienten Bereitstellung der Website.
Server- und Sicherheitsprotokolle werden in der Regel nach 14 Tagen gelöscht, sofern keine längere Speicherung zur Aufklärung von Sicherheitsvorfällen erforderlich ist.
4. Kontaktaufnahme
Wenn Sie uns per E-Mail, Kontaktformular oder auf anderem Weg kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten zur Bearbeitung Ihrer Anfrage.
Dabei kann es sich insbesondere um folgende Daten handeln:
Name
Unternehmen
geschäftliche Kontaktdaten
Inhalt der Anfrage
Zeitpunkt der Anfrage
Kommunikationshistorie
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage auf den Abschluss oder die Durchführung eines Vertrags gerichtet ist. Im Übrigen erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Bearbeitung von Anfragen und der Geschäftsanbahnung.
Kontakt- und Demoanfragen löschen wir grundsätzlich 12 Monate nach dem letzten relevanten Kontakt, sofern keine gesetzlichen Aufbewahrungspflichten oder laufenden Vertragsverhältnisse entgegenstehen.
5. Demos und Testanrufe
Über die Website können Demos und Testanrufe angefragt oder durchgeführt werden. Im Rahmen solcher Testanrufe verarbeiten wir die dafür erforderlichen Kommunikations- und Kontaktdaten.
Dabei verarbeiten wir insbesondere:
Name
Unternehmen
Telefonnummer
E-Mail-Adresse
Termindaten
Gesprächsmetadaten
Gesprächsinhalte
gegebenenfalls Aufzeichnungen und Transkripte
Testanrufe können zu Demonstrations-, Dokumentations- und Qualitätssicherungszwecken aufgezeichnet werden. Eine Aufzeichnung erfolgt nur nach vorherigem Hinweis und, soweit erforderlich, auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Im Übrigen erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.
Aufzeichnungen von Testanrufen und zugehörige Transkripte löschen wir grundsätzlich nach 30 Tagen, sofern keine längere Speicherung im Einzelfall erforderlich oder ausdrücklich vereinbart ist.
6. KI-gestützte Demo-Funktionen
Im Rahmen von Testanrufen, Chats oder Produktdemos können Sie mit KI-gestützten Funktionen interagieren. Soweit dies nicht ohnehin aus den Umständen erkennbar ist, weisen wir hierauf transparent hin.
Zur Erbringung solcher Funktionen können die für die jeweilige Bearbeitung erforderlichen Inhalte an die dafür eingesetzten KI-Komponenten übermittelt werden. Nach unserem aktuellen Betriebsmodell erfolgt die KI-Verarbeitung über Microsoft Azure innerhalb der EU. Wir geben dabei nur die für die jeweilige Funktion erforderlichen Daten weiter.
Bitte übermitteln Sie im Rahmen von Demos keine unnötigen sensiblen Informationen, Passwörter oder sonstigen Secrets.
7. Cookies, Einwilligung und Reichweitenmessung
Beim ersten Besuch der Website fragen wir über einen Einwilligungs-Banner ab, welche Kategorien von Cookies und ähnlichen Technologien wir einsetzen dürfen. Vor Ihrer Einwilligung werden keine einwilligungsbedürftigen Analyse-, Tracking- oder Marketingtechnologien geladen; Google Consent Mode v2 ist standardmäßig auf „denied“ gesetzt.
Ihre Auswahl speichern wir für zwölf Monate in einem technisch notwendigen Cookie („nn_consent“) sowie gespiegelt im Local Storage Ihres Browsers (§ 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO). Folgende Kategorien können Sie einzeln aktivieren:
Notwendig: Grundfunktionen wie Seitennavigation, Spracheinstellung und das Speichern Ihrer Einwilligung. Immer aktiv.
Tracking & Analyse: Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) zur Messung der Nutzung der Website mit gekürzten IP-Adressen. Namen, E-Mail-Adressen oder Telefonnummern werden nicht an Google übertragen.
Marketing: Erfolgsmessung unserer Werbung, soweit aktiviert über das Meta Pixel und die server-seitige Meta Conversions API (Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland) sowie gegebenenfalls Google Ads. Kontaktdaten werden vor einer Übermittlung an Meta ausschließlich server-seitig SHA-256-gehasht; Browser- und Server-Ereignisse werden über eine gemeinsame Ereignis-ID dedupliziert.
Komfort: Speichert Einstellungen, um die Nutzung der Website komfortabler zu machen.
Rechtsgrundlage für die optionalen Kategorien ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen oder anpassen – über den Link „Einwilligung verwalten“ im Seitenfuß oder direkt hier:
Aktueller Status Ihrer Auswahl: Keine Auswahl getroffen
8. Empfänger
Empfänger personenbezogener Daten können insbesondere sein:
interne Stellen der SecureVibe IT Solutions GmbH
technische Dienstleister für Hosting und Infrastruktur
Microsoft Azure innerhalb der EU, soweit KI-Funktionen eingesetzt werden
Google Ireland Limited, soweit Sie in Tracking & Analyse eingewilligt haben
Meta Platforms Ireland Limited, soweit Sie in Marketing eingewilligt haben und Meta-Dienste aktiv sind
9. Drittlandübermittlungen
Unser Ziel ist eine Verarbeitung innerhalb Deutschlands beziehungsweise der EU.
Soweit im Einzelfall ein Drittlandbezug nicht ausgeschlossen werden kann, etwa durch konzernbezogene Supportzugriffe eines eingesetzten Anbieters, erfolgt eine solche Verarbeitung nur unter Beachtung der Art. 44 ff. DSGVO und auf Grundlage geeigneter Garantien.
Bei eingewilligter Nutzung von Google Analytics, Google Ads oder Meta-Diensten kann eine Übermittlung in die USA stattfinden. Google LLC und Meta Platforms, Inc. sind unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss nach Art. 45 DSGVO).
10. Speicherdauer
Soweit in dieser Datenschutzerklärung keine spezielle Speicherdauer genannt ist, verarbeiten und speichern wir personenbezogene Daten nur so lange, wie dies für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
Es gelten derzeit insbesondere folgende Standardfristen:
Server- und Sicherheitsprotokolle: 14 Tage
Kontakt- und Demoanfragen: 12 Monate nach letztem Kontakt
Testanruf-Aufzeichnungen: 30 Tage
Transkripte aus Testanrufen: 30 Tage
11. Pflicht zur Bereitstellung
Die Bereitstellung der beim technischen Betrieb der Website anfallenden Daten ist für die Nutzung der Website erforderlich.
Die Bereitstellung von Kontakt- und Kommunikationsdaten ist freiwillig. Ohne diese Angaben können wir Anfragen jedoch gegebenenfalls nicht oder nicht vollständig bearbeiten.
12. Betroffenenrechte
Sie haben im Rahmen der gesetzlichen Voraussetzungen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
Zur Ausübung Ihrer Rechte können Sie uns unter contact@securevibe.de kontaktieren.
13. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.
14. Automatisierte Entscheidungen
Beim bloßen Besuch dieser Website findet keine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO statt.
Teil B: Webapp / Produkt
1. Geltungsbereich
Diese Hinweise gelten für die Nutzung der Webapp und des Produkts nordnung AI.
nordnung AI richtet sich ausschließlich an Unternehmen sowie deren berechtigte Mitarbeiter und sonstige berechtigte Nutzer.
2. Datenschutzrechtliche Rollen
Wir verarbeiten Daten im Zusammenhang mit nordnung AI in unterschiedlichen datenschutzrechtlichen Rollen.
2.1 Verarbeitung in eigener Verantwortlichkeit
Wir handeln insbesondere als eigener Verantwortlicher, soweit wir personenbezogene Daten für folgende Zwecke verarbeiten:
Vertragsanbahnung und Vertragsverwaltung
Benutzer- und Mandantenverwaltung
Abrechnung
Betrieb der Webapp
IT-Sicherheit
Missbrauchserkennung
Fehleranalyse
Incident Handling
rechtliche Nachweisführung
produktbezogene Kommunikation
Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. b, lit. c und lit. f DSGVO.
2.2 Verarbeitung im Auftrag des Kunden
Soweit wir Inhalte verarbeiten, die unsere Kunden oder deren berechtigte Nutzer in nordnung AI einstellen oder über nordnung AI verarbeiten lassen, handeln wir regelmäßig als Auftragsverarbeiter des jeweiligen Kunden.
Dies betrifft insbesondere:
Tickets
Chat-Inhalte
Telefonie-Transkripte
Bild-Uploads
Workflow-Parameter
Workflow-Ergebnisse
System- und Asset-Kontexte
Knowledge-Base-Inhalte
RAG-bezogene Suchdaten
kundenspezifische Agentenprotokolle
In diesen Fällen bestimmt der jeweilige Kunde die datenschutzrechtlichen Zwecke und Mittel der Verarbeitung.
3. Benutzerkonten, Authentifizierung und Mandantentrennung
Für die Nutzung der Webapp verarbeiten wir die zur Authentifizierung, Autorisierung, Mandantentrennung und Sicherheit erforderlichen Daten.
Dazu gehören insbesondere:
Benutzerkennung
Name
geschäftliche Kontaktdaten
Rollen und Berechtigungen
Mandantenzuordnung
Login-Zeitpunkte
IP-Adresse
Geräte- und Browserinformationen
Sicherheitsprotokolle
Sitzungsdaten
Berechtigungen werden rollenbasiert und mandantenbezogen vergeben. Administrative Zugriffe werden protokolliert. Für besonders privilegierte Zugriffe ist eine erhöhte Absicherung vorgesehen.
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.
4. Tickets, Chat und Phone Agent
nordnung AI kann zur Bearbeitung von Supportfällen Tickets, Chats und telefonische Interaktionen verarbeiten.
Der Phone Agent dient der Kommunikation mit dem Anrufer, der strukturierten Erfassung von Problemstellungen sowie der Koordination weiterer Agenten oder Workflows. Der Phone Agent nimmt selbst keine Systemänderungen vor.
Im Rahmen echter Supportanrufe wird nach unserem aktuellen Betriebsmodell kein Audio gespeichert. Gespräche können jedoch transkribiert werden.
Dabei verarbeiten wir insbesondere:
Name
Unternehmenszugehörigkeit
geschäftliche Kontaktdaten
Ticketinhalte
Chat-Inhalte
Gesprächsmetadaten
Gesprächsinhalte
Transkripte
technische Kontextdaten
Kommunikationshistorie
Soweit diese Daten kundenspezifische Inhalte betreffen, erfolgt die Verarbeitung im Auftrag des jeweiligen Kunden.
5. Vision Agent und Bild-Uploads
Der Vision Agent kann vom Nutzer hochgeladene Bilder verarbeiten, um technische Störungen oder Probleme an Geräten besser einzugrenzen.
Dabei verarbeiten wir insbesondere:
hochgeladene Bilder
gerätebezogene Metadaten
zugehörige Fall- oder Ticketinformationen
daraus abgeleitete technische Hinweise
Das System ist für den Einsatz auf Unternehmensgeräten und in Unternehmensprozessen konzipiert. Besondere Kategorien personenbezogener Daten sollen nicht verarbeitet werden. Eine vollständige technische Verhinderung unzulässiger Inhalte ist jedoch nicht in jedem Fall möglich. Erkennen unsere Systeme Anhaltspunkte für Passwörter oder sonstige kritische Inhalte, kann ein Sicherheitsflag oder Warnhinweis gesetzt werden.
Bitte laden Sie nur solche Bilder hoch, die für die technische Bearbeitung erforderlich sind.
6. Workflows, Assets, Applications und Agenten
nordnung AI kann Workflows über mehrere Assets und Applications hinweg ausführen oder vorbereiten. Dazu zählen insbesondere Endpoint Agent, VM Agent, Critical Systems Agent und Cloud Agent.
Je nach Konfiguration und Freigabestufe können dabei insbesondere folgende Daten verarbeitet werden:
Benutzer- und Kontoinformationen
Systemzustände
Geräte- und Asset-Informationen
Anwendungs- und Verbindungsdaten
Workflow-Parameter
Freigabeinformationen
Ausführungsprotokolle
Ergebnisdaten
Auditinformationen
Die Verarbeitung erfolgt zu Zwecken der Supportautomatisierung, Störungsbearbeitung, technischen Administration, Dokumentation, Nachvollziehbarkeit und Governance.
Aktionen mit relevanten Auswirkungen auf Personen oder Systeme erfolgen regelbasiert und unter menschlicher Kontrolle. Nach unserem aktuellen Betriebsmodell müssen solche Maßnahmen von berechtigten Mitarbeitern freigegeben oder veranlasst werden. Eine rein autonome Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung gegenüber natürlichen Personen ist nicht vorgesehen.
7. Freigabestufen
Je nach Kundeneinstellung können für den Endpoint Agent insbesondere folgende Freigabestufen verwendet werden:
Stage 1: jede Aktion bedarf einer Freigabe
Stage 2: initiale Freigabe, danach autonome Ausführung im Nutzerkontext
Stage 3: initiale Freigabe, danach autonome Ausführung definierter administrativer Aktionen auf dem Client
Die gewählte Freigabestufe wird durch den jeweiligen Kunden bestimmt. Der Kunde ist dafür verantwortlich, eine zur jeweiligen Risikolage passende Konfiguration zu wählen und nur entsprechend berechtigte Mitarbeiter Freigaben erteilen zu lassen.
8. Credentials und Secrets
Credentials sind eigenständige Einheiten und werden getrennt von der eigentlichen Nutzerinteraktion verwaltet. Nach unserem aktuellen Betriebsmodell werden Credentials über HashiCorp Vault verwaltet und verschlüsselt gespeichert.
Dabei gilt insbesondere:
Zugangsdaten werden nur freigegebenen Assets oder Applications zugeordnet.
Credentials werden nur an dafür freigegebene Assets injiziert.
Das LLM erhält keine Klartext-Credentials.
Bei erkannten Passwörtern oder Secrets in Chats oder Screenshots kann ein Sicherheitswarnhinweis ausgegeben werden.
Verarbeitet werden dabei insbesondere:
Credential-Metadaten
Zuordnungen zu Assets oder Applications
technische Inject-Vorgänge
Freigabeinformationen
Zugriffsaudits
9. Knowledge Base und RAG
Supportfälle können in einer mandantengetrennten Knowledge Base dokumentiert werden. Frühere Einträge können durch such- und retrievalgestützte Verfahren herangezogen werden, um aktuelle Vorfälle schneller zu bearbeiten.
Dabei verarbeiten wir insbesondere:
Fallbeschreibungen
Lösungswege
Bearbeitungsschritte
Versionen von Einträgen
Suchanfragen
Trefferinformationen
Relevanzdaten
Knowledge Base und RAG werden mandantengetrennt betrieben.
10. KI-Modelle (Microsoft Azure und AWS)
Zur Erbringung einzelner KI-Funktionen können ausgewählte Eingaben und Kontexte an die eingesetzten KI-Komponenten übermittelt werden.
Dabei kann es sich insbesondere handeln um:
Ticket- und Chat-Inhalte
Bildinhalte
technische Kontextdaten
Workflow-Kontexte und Statusinformationen
Nach unserem aktuellen Betriebsmodell erfolgt die KI-Verarbeitung ausschließlich innerhalb der EU. Sprach- und sprachnahe Funktionen werden über Microsoft Azure (OpenAI-Modelle) verarbeitet; für einzelne Agenten-Funktionen werden Modelle über Amazon Web Services (AWS) in einer EU-Region eingesetzt. Wir übermitteln jeweils nur die Daten, die für die jeweilige Funktion erforderlich sind. Eine Nutzung dieser Inhalte zum Training der Modelle findet nicht statt.
11. Empfänger
Empfänger personenbezogener Daten können insbesondere sein:
interne Stellen der SecureVibe IT Solutions GmbH
Kunden als Verantwortliche im Rahmen ihrer eigenen Prozesse
Microsoft Azure innerhalb der EU, soweit KI-Sprachfunktionen genutzt werden
Amazon Web Services (AWS) innerhalb der EU, soweit KI-Agentenfunktionen genutzt werden
easybell GmbH als SIP-/Telefonieanbieter, soweit Telefonie-Funktionen genutzt werden
12. Drittlandübermittlungen
Unser Ziel ist eine Verarbeitung innerhalb Deutschlands beziehungsweise der EU.
Soweit im Einzelfall ein Drittlandbezug nicht ausgeschlossen werden kann, erfolgt eine solche Verarbeitung nur unter Beachtung der Art. 44 ff. DSGVO und auf Grundlage geeigneter Garantien.
13. Speicherdauer
Soweit nichts anderes mit dem jeweiligen Kunden vereinbart ist, gelten für die Webapp grundsätzlich folgende Standardfristen:
Benutzer- und Vertragsdaten: für die Dauer des Vertragsverhältnisses sowie darüber hinaus nur im Rahmen gesetzlicher Aufbewahrungspflichten
Sicherheitsprotokolle: 30 Tage
Audit-, Approval- und Workflow-Protokolle: 12 Monate
Tickets, Chat-Inhalte und Transkripte: 180 Tage nach Abschluss des Vorgangs
Bild-Uploads: 30 Tage nach Abschluss des zugehörigen Vorgangs
Knowledge-Base-Einträge und Versionen: bis zur Löschung durch den Kunden oder bis 30 Tage nach Vertragsende
Credential-Metadaten und Zugriffsaudits: für die Dauer der Zuordnung sowie 12 Monate darüber hinaus
Backups: 30 Tage
Produktivdaten werden auf berechtigte Löschanfrage unverzüglich im laufenden System gelöscht oder anonymisiert. In Backups enthaltene Daten werden im Rahmen der regulären Backup-Zyklen überschrieben.
14. Pflicht zur Bereitstellung
Die Bereitstellung bestimmter Daten ist für die Nutzung von nordnung AI erforderlich. Ohne Benutzer-, Kommunikations-, Ticket- oder Systemdaten können einzelne Funktionen nicht oder nicht vollständig erbracht werden.
15. Betroffenenrechte
Soweit wir personenbezogene Daten in eigener Verantwortlichkeit verarbeiten, haben betroffene Personen die gesetzlichen Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.
Soweit wir Daten ausschließlich im Auftrag eines Kunden verarbeiten, leiten wir entsprechende Anfragen an den jeweiligen Kunden weiter oder unterstützen ihn bei deren Bearbeitung.
Datenschutzanfragen können an contact@securevibe.de gerichtet werden.
16. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.
17. Automatisierte Entscheidungen
Eine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO mit rechtlicher Wirkung oder ähnlich erheblicher Wirkung ist nach dem aktuellen Betriebsmodell von nordnung AI nicht vorgesehen.