DSGVO und Ihre Daten: So bleibt Zeuslock konform
Referenz für DSB und juristische Prüfung: Datenflüsse, Rechtsgrundlage, Auftragsverarbeiter, Datenresidenz, Aufbewahrungsfristen, Betroffenenrechte und Meldepflichten nach DSGVO.
Wofür dieses Dokument gedacht ist
Diese Seite richtet sich an jene, die Zeuslock vor dem unternehmensweiten Rollout freigeben: die oder den Datenschutzbeauftragten (DSB), die Sicherheits- und Compliance-Teams sowie die externe juristische Prüfung. Sie beschreibt konkret und nachprüfbar, wie Zeuslock personenbezogene Daten nach der Datenschutz-Grundverordnung (DSGVO) und gleichwertigen nationalen Regelungen verarbeitet. Wo hilfreich, werden die einschlägigen Artikel benannt; wo eine Aussage operativ ist, wird der UI-Pfad genannt, der die Überprüfung ermöglicht.
Datenfluss: wo die Analyse stattfindet, was das Gerät verlässt
Die wichtigste Aussage für eine Datenschutzprüfung lautet: Die Erkennung läuft clientseitig. Wenn eine Mitarbeiterin oder ein Mitarbeiter einen Prompt in ChatGPT, Claude, Gemini, Copilot oder einem anderen unterstützten KI-Werkzeug verfasst, geschieht die Analyse in der Browser-Erweiterung oder im Desktop-Agenten, auf dem lokalen Gerät. Der originale Prompt-Text wird im Regelbetrieb nicht an Zeuslock übertragen.
Erst wenn ein Detektor auslöst — wenn also tatsächlich ein sensibler Wert im Prompt erkannt wird — wird ein anonymisiertes Ereignis an die Zeuslock-Server gesendet. Dieses Ereignis beschreibt den Vorfall; es enthält nicht den ursprünglichen sensiblen Inhalt. Die Quelldaten verlassen das Gerät nicht.
Diese Architekturentscheidung ist bewusst getroffen. Sie bedeutet, dass Zeuslock für den Großteil der Mitarbeitendentätigkeit keine Inhaltsinterzeptions-Plattform im Sinne der DSGVO ist: zentral gibt es nichts abzufangen, weil die Inspektion lokal stattfindet. Die zentrale Plattform sieht ausschließlich redigierte Vorfallzusammenfassungen.
Was zentral gespeichert wird — und was nicht
Die folgende Matrix beschreibt je Kategorie, was Zeuslock für einen Vorfall vorhält — und was nicht.
| Kategorie | Zentral gespeichert | Form |
|---|---|---|
| Originaler Prompt-Text | Nein | Wird nie übertragen |
| Originale sensible Werte (Kartennummern, Secrets usw.) | Nein | Werden vor jeder Übertragung ersetzt |
| Antwort des KI-Anbieters | Nein | Wird nicht erfasst |
| Redigierte Prompt-Vorschau | Ja | Sensible Teilzeichenketten clientseitig ersetzt |
| Nutzerkennung | Ja | E-Mail-Adresse aus dem SSO |
| Gruppe / Rolle | Ja | Über SCIM bereitgestelltes Attribut |
| Zieldomäne | Ja | z. B. chat.openai.com |
| Browser und Betriebssystem | Ja | Geparster User-Agent |
| Zeitstempel | Ja | UTC, Millisekundengenauigkeit |
| Schweregrad | Ja | Niedrig / Mittel / Hoch / Kritisch |
| Befundtyp | Ja | z. B. api_key.aws, steuer_id.de |
| Angewandte Policy-Aktion | Ja | Monitor, Anonymisieren, Blockieren |
Die redigierte Vorschau ist das einzige Feld, das aus Prompt-Inhalt abgeleitet wird. Sensible Teilzeichenketten werden auf dem Gerät durch denselben Anonymisierer ersetzt, der auch den Prompt schützt, bevor die Vorschau erzeugt wird.
Rechtsgrundlage und Rollen
Die DSGVO verlangt für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Für den Einsatz von Zeuslock in einer Kundenorganisation ist diese Grundlage das berechtigte Interesse gemäß Artikel 6 Absatz 1 Buchstabe f: Der Arbeitgeber hat ein berechtigtes Interesse daran, die Exfiltration vertraulicher und personenbezogener Daten an Dritt-KI-Dienste zu erkennen und zu unterbinden, und die Verarbeitung beschränkt sich auf das hierfür Erforderliche. Eine Abwägungsdokumentation wird auf Anfrage bereitgestellt, im Einklang mit der von BfDI und Landesdatenschutzbehörden empfohlenen Praxis.
Die Rollen sind eindeutig. Die Kundenorganisation ist Verantwortliche für die Nutzungsereignisse ihrer Beschäftigten. Zeuslock ist Auftragsverarbeiter im Sinne von Artikel 28 und handelt auf dokumentierte Weisung der Verantwortlichen. Ein Standard-Auftragsverarbeitungsvertrag (AVV), gestützt auf die Standardvertragsklauseln, soweit einschlägig, wird auf Anfrage zur Verfügung gestellt und vor jedem Produktivgang für Kunden gezeichnet, die ihn anfordern.
Unter-Auftragsverarbeiter
Zeuslock setzt nur die zwingend erforderliche Mindestzahl von Unter-Auftragsverarbeitern ein. Die folgende Liste ist abschließend für die Verarbeitung personenbezogener Daten.
| Unter-Auftragsverarbeiter | Rolle | Region | Umfang personenbezogener Daten |
|---|---|---|---|
| Amazon Web Services (Frankfurt) | Primärer Speicher | eu-central-1, Deutschland | Vorfalldatenbank, Audit-Logs |
| Amazon Web Services (Paris) | Rechenleistung | eu-west-3, Frankreich | API, asynchrone Verarbeitung, ML-Bestätigung |
| Stripe Payments Europe Ltd | Nur Abrechnung | Irland | Abrechnungskontakt, keine Endnutzerdaten |
Es gibt keine ausschließlich US-amerikanischen Unter-Auftragsverarbeiter im Pfad personenbezogener Daten. Änderungen an dieser Liste werden den DSB der Kunden mindestens 30 Tage vor Inkrafttreten angekündigt, wie im Standard-AVV vorgesehen.
Datenresidenz
Standardmäßig liegen Kundendaten in AWS Paris (eu-west-3), mit kalten Sicherungen, die zur Notfallwiederherstellung nach AWS Frankfurt (eu-central-1) repliziert werden. Beide Regionen unterliegen der Gerichtsbarkeit der Europäischen Union.
Die Sovereign Edition bindet den Mandanten an eine einzige gewählte Region ohne Replikation außerhalb dieser Region. Für Organisationen, deren Richtlinie oder Aufsichtsbehörde fordert, dass Daten ein definiertes Netzwerk nie verlassen — typisch für Teile der öffentlichen Verwaltung, der Verteidigung und bestimmte Finanzinstitute im DORA-Anwendungsbereich — bietet Zeuslock zusätzlich eine On-Premise-Bereitstellung, in der die Steuerungsebene vollständig in der Infrastruktur des Kunden läuft.
Aufbewahrungsfristen
Die Standard-Aufbewahrungsfrist beträgt 13 Monate für Vorfälle. Die Wahl ist bewusst: lang genug, um einen jährlichen Audit-Zyklus und nachlaufende Ermittlungen abzudecken, kurz genug, um unter dem Grundsatz der Datenminimierung verteidigbar zu bleiben. Der Wert ist je Mandant zwischen einem Minimum von 30 Tagen und einem Maximum von 7 Jahren konfigurierbar, sofern eine regulatorische Pflicht dies ausdrücklich verlangt.
Administrative Audit-Logs werden 7 Jahre aufbewahrt, im Einklang mit üblichen Nachweispflichten. Die effektiven Fristen sind im Anhang des AVV festgehalten, der mit jedem Vertrag ausgeliefert wird.
Betroffenenrechte
Da die Kundenorganisation Verantwortliche ist, werden Betroffenenanfragen von ihrem Administrationsteam bearbeitet; Zeuslock stellt das Werkzeug bereit. Alle in den Artikeln 15 bis 22 DSGVO vorgesehenen Rechte werden operativ unterstützt.
- Auskunftsrecht (Art. 15). Ein Admin exportiert die vollständige Vorfallhistorie einer Person über
Operator Console → Nutzer → [Nutzer] → Exportieren. Der Export ist ein strukturiertes CSV-/JSON-Bündel, das direkt an die betroffene Person ausgehändigt werden kann. - Recht auf Löschung (Art. 17). Aus derselben Ansicht heraus löst der Admin eine endgültige Löschung aus. Sie wird innerhalb von 24 Stunden auf Primärspeicher und Backups propagiert und selbst im Audit-Log dokumentiert.
- Recht auf Berichtigung (Art. 16). Identifizierende Metadaten (Gruppe, Rolle) sind in Echtzeit editierbar, in der Regel über die SCIM-Synchronisation aus dem Identity Provider; eine manuelle Überschreibung ist in derselben UI möglich.
- Recht auf Einschränkung und Widerspruch (Art. 18, 21). Einzelne Nutzer können auf Policy-Ebene vom Monitoring ausgenommen werden, ohne dass das Konto entfernt wird.
- Recht auf Datenübertragbarkeit (Art. 20). Der oben beschriebene Export liegt in maschinenlesbaren Formaten vor und kann in andere Systeme reimportiert werden.
Verschlüsselung
Sämtliche Daten in Transit werden mit TLS 1.3 geschützt, mit HSTS auf jeder kundenseitigen Domain und Certificate Pinning im Desktop-Agenten. At Rest werden Daten mit AES-256 über AWS KMS verschlüsselt. Die Sovereign Edition unterstützt kundenverwaltete Schlüssel (BYOK) über Ihr eigenes AWS KMS; die Sperrung liegt damit in der Hand des Kunden.
Audit-Trail und Rechenschaft
Jede administrative Handlung — das Einsehen eines Vorfalls, das Ändern einer Richtlinie, das Exportieren einer Nutzerhistorie, das Löschen von Daten — wird in einem unveränderlichen Audit-Log mit Akteur, Zeitstempel, Ziel und Ergebnis erfasst. Dieses Log ist selbst aus der Operator Console abrufbar und für die Aufnahme in Kunden-Audits exportierbar.
Unterstützung bei der DSFA
Für Bereitstellungen, die eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO auslösen, stellt Zeuslock eine herunterladbare DSFA-Vorlage zur Verfügung, vorbefüllt mit den auf dieser Seite beschriebenen Datenflüssen, Auftragsverarbeitern, Aufbewahrungsfristen und Risikominderungen. Sie ist als Ausgangspunkt gedacht, den Ihr DSB ergänzt und anpasst — kein Ersatz für die Folgenabschätzung selbst.
Meldung von Datenschutzverletzungen
Zeuslock verpflichtet sich vertraglich, den Kunden innerhalb von 24 Stunden nach Bestätigung einer den Mandanten betreffenden Verletzung personenbezogener Daten zu benachrichtigen. Die Meldung enthält die Art der Verletzung, die Kategorien und ungefähre Zahl der betroffenen Personen, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen. Diese Frist liegt komfortabel innerhalb der 72 Stunden, die der Kundin/dem Kunden danach für die Meldung an die zuständige Aufsichtsbehörde nach Artikel 33 verbleiben.
Für den AVV, die Liste der Unter-Auftragsverarbeiter, das Sovereign-Edition-Addendum oder die DSFA-Vorlage wenden Sie sich an Ihr Account-Team oder schreiben an privacy@zeuslock.ai. Alle Dokumente sind versioniert und datiert.