Datenschutz im Produkt iSolve.IT
Hinweise zur Verarbeitung personenbezogener Daten beim Einsatz der Software iSolve.IT durch unsere Kunden. Stand: Juli 2026.
Geltungsbereich. Diese Erklärung beschreibt die Datenverarbeitung im Produkt iSolve.IT, wenn dieses bei einem Kunden eingesetzt wird. Für die Verarbeitung beim Besuch unserer Marketing-Website i-solve.it siehe die Datenschutzerklärung der Website.
Hinweis: Dieser Text ist eine generische Vorlage und ersetzt keine individuelle Rechtsberatung. Konkrete vertragliche Regelungen ergeben sich aus dem Lizenzvertrag, den AGB und dem mit dem Kunden geschlossenen Auftragsverarbeitungsvertrag (AVV).
1. Unsere Rolle gemäß DSGVO
Beim Einsatz von iSolve.IT verarbeiten wir personenbezogene Daten überwiegend im Auftrag unserer Kunden. Datenschutzrechtlich ist der Kunde („Kunde“ oder „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO) für die im Produkt verarbeiteten Inhalte verantwortlich. Wir, die Albrecht Services GmbH, Ochsenmattstr. 10, 79618 Rheinfelden, sind in dieser Konstellation Auftragsverarbeiter gemäß Art. 28 DSGVO.
Die konkreten Pflichten, Weisungen, Sub-Auftragsverarbeiter-Regelungen sowie technisch-organisatorische Maßnahmen werden im Auftragsverarbeitungsvertrag (AVV) geregelt, der unmittelbar mit Wirksamwerden des Lizenzvertrags Geltung erlangt.
2. Wer ist betroffen
- Mitarbeitende des Kunden, die iSolve.IT als Endnutzende über Web-Chat oder Messenger nutzen.
- Administrator:innen des Kunden, die das Produkt konfigurieren und Freigaben erteilen.
- Weitere Personen, deren Daten im Rahmen der Inhalte verarbeitet werden (z. B. Personen, die in Aktionen oder Tickets benannt werden).
Auskunfts-, Berichtigungs-, Lösch- und Widerspruchsrechte dieser betroffenen Personen sind primär an den Kunden (Verantwortlicher) zu richten. Wir unterstützen den Kunden bei der Erfüllung dieser Pflichten gemäß Art. 28 Abs. 3 lit. e und f DSGVO.
3. Welche Datenkategorien wir im Auftrag verarbeiten
- Identifikations- und Kontaktdaten: Namen, dienstliche E-Mail-Adressen, Messenger-IDs der Endnutzenden.
- Kommunikationsinhalte: Fragen, Antworten und Anhänge aus Chats im Web oder im Messenger, einschließlich automatischer Zusammenfassungen.
- Ticket-Inhalte: Titel, Beschreibung, To-do-Listen, Kommentare, Bewertungen, Zuständigkeit, Fälligkeit, Verlauf.
- Wissens-Inhalte: manuell gepflegte Artikel sowie automatisch aus gelösten Fällen erzeugte Artikel-Entwürfe (vor und nach Anonymisierung).
- Systemprofil-Daten: das vom Kunden gepflegte technische Setup (OS, Office-Versionen, Mail- und Auth-System, Domäne, Drucker, Notizen). Nicht personenbezogen, aber kontextprägend.
- Aktions- und Freigabe-Daten: Anfragen für Standardänderungen, Freigabe-Entscheidungen, Status, beteiligte Personen.
- KI-Aufruf-Metadaten: pro KI-Aufruf das verwendete Modell, verbrauchte Tokens, Phase, Kosten – ohne den Frage-Inhalt selbst zu duplizieren.
- Audit-Log: lückenlose Protokollierung relevanter Admin-Aktionen (wer, was, wann), einschließlich Login-Vorgängen.
- Technische Logs: Server-, Anwendungs- und Verbindungslogs zur Sicherstellung des sicheren Betriebs.
4. Zwecke der Verarbeitung
- Beantwortung von Mitarbeitenden-Anfragen im IT- und Office-Support.
- Vorbereitung und Ausführung von Standardänderungen in den vom Kunden angebundenen IT-Systemen (z. B. Microsoft 365, Google Workspace, Active Directory, Linux, Synology, Adobe, Jira, Jamf Pro, Slack).
- Aufbau und Pflege einer firmenspezifischen Wissensbasis (inkl. Anonymisierung).
- Verwaltung von Tickets, Übergaben an Menschen, Eskalationen sowie Bewertungen.
- Monitoring der vom Kunden konfigurierten Geschäftsanwendungen und des Microsoft-365-Dienstzustands.
- Reporting, KI-Kostentransparenz und Audit-Log als Compliance-Grundlage für den Kunden.
5. Speicherort und Betriebsmodell
iSolve.IT wird in zwei Betriebsmodellen angeboten:
- Cloud-Betrieb durch uns: Die Anwendung läuft in deutschen Rechenzentren unseres Hosting-Partners uvensys GmbH.
- Self-Hosting durch den Kunden: Die Anwendung läuft als Docker-Container auf einer vom Kunden betriebenen Infrastruktur. Wir haben in diesem Fall keinen laufenden Zugriff auf die im Tenant gespeicherten Daten, soweit nicht im Rahmen vertraglich vereinbarter Support-Leistungen ein ausdrücklicher Zugriff gewährt wird.
In beiden Modellen läuft pro Kunde eine eigene Single-Tenant-Instanz – es gibt keine Datenvermischung zwischen Kunden.
6. Sub-Auftragsverarbeiter
Wir setzen die folgenden Sub-Auftragsverarbeiter im Sinne von Art. 28 Abs. 4 DSGVO ein. Eine aktuelle Übersicht ist im Admin-Bereich des Tenants einsehbar; im AV-Vertrag verpflichtet sich der Kunde zur Genehmigung der hier gelisteten Sub-Auftragsverarbeiter.
6.1 Google Cloud / Vertex AI (KI-Verarbeitung)
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Modell: Google Gemini, bezogen über Google Cloud Vertex AI.
Verarbeitungs-Region: Europäische Union (Vertex AI EU-Region).
Gegenstand: Verarbeitung von Mitarbeitenden-Anfragen, Generierung von Antworten und Aktionsvorschlägen, Klassifizierung, Erzeugung von Wissensartikel-Entwürfen.
Modelltraining: Google verwendet die über Vertex AI verarbeiteten Kundendaten gemäß den Google-Cloud-Bedingungen nicht zum Training eigener KI-Modelle.
Vertrag: Google Cloud Data Processing Addendum (Art. 28 DSGVO).
Datenschutz / Data Governance: cloud.google.com/vertex-ai/generative-ai/docs/data-governance
6.2 uvensys GmbH (Hosting, nur beim Cloud-Betrieb)
Anbieter: uvensys GmbH.
Verarbeitungs-Region: Deutschland.
Gegenstand: Bereitstellung der Server-Infrastruktur (Compute, Storage, Netzwerk) für den Cloud-Betrieb von iSolve.IT.
Vertrag: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Beim Self-Hosting durch den Kunden entfällt dieser Sub-Auftragsverarbeiter vollständig; die Infrastruktur stellt der Kunde selbst.
6.3 Vom Kunden angebundene Provider sind keine Sub-Auftragsverarbeiter von uns
Wenn iSolve.IT Aktionen in Microsoft 365, Google Workspace, Exchange Online, Active Directory, Linux, Synology, der Adobe Admin Console, Jira, Jamf Pro, Slack, Zulip oder weiteren vom Kunden angebundenen Systemen ausführt, geschieht dies mit den Zugangsdaten und im Namen des Kunden. Diese Anbieter sind Auftragsverarbeiter bzw. Vertragspartner des Kunden, nicht von uns. Der Kunde ist für die dortigen vertraglichen und datenschutzrechtlichen Grundlagen selbst verantwortlich.
7. Übermittlung in Drittländer
Im Standard-Setup von iSolve.IT findet keine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/EWR statt:
- Vertex AI wird in einer EU-Region bezogen; die Anfrageinhalte verlassen die EU nicht.
- Das Hosting (Cloud-Betrieb) erfolgt in Deutschland bei der uvensys GmbH.
- Beim Self-Hosting bestimmt der Kunde den Speicherort selbst.
Konfiguriert der Kunde im Admin-Bereich Provider-Anbindungen (z. B. Microsoft 365, Google Workspace), liegt die etwaige Drittlandübermittlung im Rahmen dieser Provider in der Verantwortung des Kunden.
8. Verschlüsselung und Sicherheit
- Transportverschlüsselung: Alle Verbindungen zur Anwendung, zwischen Anwendung und Datenbank sowie zu Providern erfolgen TLS-verschlüsselt.
- Credential-Speicherung: Sämtliche im Tenant hinterlegten Zugangsdaten (Microsoft 365, Google Workspace, Exchange, Adobe, Active Directory, Linux, Synology, Jira, Jamf Pro, Slack, SSH-Proxy, Messenger) werden verschlüsselt in der Datenbank gespeichert, niemals im Klartext.
- Sicherer lokaler Zugang: Für firmeninterne Systeme (Active Directory, Linux, NAS, interne Webdienste) gibt es einen integrierten verschlüsselten SSH-Proxy über einen Sprunghost mit Host-Schlüsselprüfung.
- Login ohne Passwort: Einmal-Code an die Firmen-E-Mail; optional Domain-Allowlist. Web-Chat erfordert immer Login (keine anonymen Anfragen).
- Governance für Aktionen: Vier-Augen-Prinzip, M-aus-N-Mehrfachgenehmigung, Eigentümer-Direktweg, Strikt-Modus, Allowlist-Modus. Sicherheitskritische Aktionen (MFA-Reset, Geräte-Wipe, Passwort-Aktionen) sind ab Werk im Strikt-Modus.
- Audit-Log: Lückenloses Protokoll relevanter Admin-Aktionen.
9. Anonymisierung von KI-generierten Wissensartikeln
Markiert ein Mitarbeitender ein Gespräch als gelöst oder schließt ein Admin ein Ticket, erstellt die KI einen Artikel-Entwurf für die Wissensbasis. Vor der Speicherung des Entwurfs werden die folgenden Merkmale automatisiert entfernt bzw. ersetzt:
- Namen von Personen
- E-Mail-Adressen
- IP-Adressen
- Identifizierende Zeitstempel
Die Veröffentlichung eines Entwurfs setzt eine Freigabe durch eine Administrator:in voraus (Lösungs-Review). Duplikate werden automatisiert erkannt.
10. Anonymisierung bei Kontolöschung
Bei Löschung eines Nutzerkontos werden die Gesprächs- und Ticket-Inhalte des betroffenen Nutzers anonymisiert, sodass das Reporting (Kennzahlen, Lösungsquote, KI-Kosten) erhalten bleibt, aber kein Personenbezug zur betroffenen Person mehr besteht.
11. Aufbewahrungsfristen
- Gespräche und Tickets: bis manuelle Löschung durch den Nutzer oder die Admin-Funktion bzw. bis zur Anonymisierung im Rahmen einer Kontolöschung.
- KI-Aufruf-Metadaten: konfigurierbar durch den Verantwortlichen im Admin-Bereich (z. B. nur die letzten 90 Tage).
- Audit-Log: grundsätzlich für den vom Verantwortlichen festgelegten Zeitraum, unter Berücksichtigung gesetzlicher Aufbewahrungspflichten.
- Wissensartikel: bis zur ausdrücklichen Löschung durch eine Administrator:in.
- Technische Logs: regelmäßig nach maximal 30 Tagen rotiert, soweit nicht im Einzelfall ein konkreter Vorfall eine längere Speicherung erfordert.
12. Rechte der betroffenen Personen
Betroffenen Personen stehen die Rechte aus Art. 15 ff. DSGVO zu (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie Beschwerde bei einer Aufsichtsbehörde).
Die Wahrnehmung dieser Rechte ist primär gegenüber dem Verantwortlichen (dem Kunden / Arbeitgeber der betroffenen Person) geltend zu machen. Wir unterstützen den Verantwortlichen bei der Erfüllung dieser Rechte gemäß den Pflichten aus Art. 28 Abs. 3 lit. e und f DSGVO.
13. Auftragsverarbeitungsvertrag (AVV)
Der vollständige Auftragsverarbeitungsvertrag inklusive technisch-organisatorischer Maßnahmen (TOM) ist Bestandteil des Lizenzvertrags. Die hier zusammengefassten Punkte dienen der Information und ersetzen den AVV nicht.
14. Kontakt
Für datenschutzbezogene Anfragen wenden Sie sich bitte an: info@i-solve.it.
15. Änderungen dieser Hinweise
Wir behalten uns vor, diese Hinweise anzupassen, um sie an die aktuellen rechtlichen Anforderungen sowie an Änderungen unserer Leistungen anzupassen. Für bestehende Kunden gilt vorrangig der individuell vereinbarte AVV; Änderungen mit Auswirkungen auf Sub-Auftragsverarbeiter werden gemäß den dort vereinbarten Mitteilungs- und Widerspruchsrechten kommuniziert.