Zuletzt aktualisiert: 9. März 2026
Datenschutzrichtlinie
1. Informationen, die Wir Erheben
Kontoinformationen. Wenn Sie ein BrickGRC-Konto erstellen, erheben wir Ihren Namen, Ihre E-Mail-Adresse, den Organisationsnamen und die Rolle. Wenn Sie sich über OAuth/SSO (wie Google oder Microsoft) registrieren oder anmelden, erhalten wir auch Ihre Anbieter-Benutzer-ID und, sofern verfügbar, die URL Ihres Profilbilds. Wenn Sie über eine Einladung beitreten, verarbeiten wir das Einladungstoken und die Details der einladenden Organisation.
Compliance-Daten. Während Sie die Plattform nutzen, speichern wir die von Ihnen erstellten Compliance-Daten: Engagements, Kontrollbewertungen, Reifegradwerte, Meilensteinfortschritte, Arbeitselement-Antworten, Berichtskonfigurationen und Marketplace-Einträge. Wir speichern auch Dokumente, die Sie als Nachweise hochladen (Richtlinien, Auditberichte, Zertifikate und andere Dateien).
Mitarbeiterverzeichnisdaten. Wenn Ihre Organisation eine Mitarbeiterverzeichnis-Integration konfiguriert (wie Azure AD, Google Workspace, Okta, JumpCloud, BambooHR, Workday, Rippling oder einen SCIM-Anbieter), synchronisieren und speichern wir Mitarbeiterdatensätze einschließlich Namen, E-Mail-Adressen, Telefonnummern, Abteilungen, Jobtitel und organisatorische Hierarchiedaten. Diese Daten können Personen umfassen, die keine direkten Benutzer von BrickGRC sind. Siehe Abschnitt 12 für Details.
Technische und Audit-Log-Daten. Wir erheben automatisch technische Daten einschließlich IP-Adresse, Browsertyp und -version, User-Agent-String, Betriebssystem, Gerätetyp, innerhalb der Anwendung besuchte Seiten, Nutzungsmuster von Funktionen und Zeitstempel Ihrer Interaktionen. Wir führen Audit-Logs, die Benutzeraktionen innerhalb der Plattform aufzeichnen (wie Anmeldungen, Datenänderungen und Konfigurationsänderungen) zusammen mit der zugehörigen IP-Adresse und dem User-Agent. API-Schlüssel-Metadaten (Erstellungsdatum, Zeitstempel der letzten Verwendung und zugehörige Bereiche) werden ebenfalls protokolliert.
2. Wie Wir Ihre Informationen Verwenden
Wir verwenden Ihre Informationen zum Betrieb der BrickGRC-Plattform: Authentifizierung Ihrer Identität, Durchsetzung rollenbasierter Zugriffskontrollen (RBAC) innerhalb Ihrer Organisation (Admin, Auditor, Editor, Betrachter), Verarbeitung von Compliance-Workflows, Generierung von Reifegradberichten, Verwaltung von Marketplace-Operationen, Zustellung von Webhook- und In-App-Benachrichtigungen, Verarbeitung von Verkaufsanfragen und Führung von Audit-Logs für Sicherheits- und Compliance-Zwecke.
Wenn Sie KI-gestützte Funktionen nutzen — wie Dokumentenintelligenz, automatische Evidenzverknüpfung, Reifegraddewertung oder den KI-Assistenten — werden relevante Teile Ihrer Compliance-Daten und hochgeladenen Dokumente von KI-Anbietern verarbeitet, wie in den Abschnitten 3 bis 5 unten beschrieben.
Wir verkaufen, vermieten oder teilen Ihre persönlichen Informationen nicht mit Dritten zu Werbe- oder Marketingzwecken. Wir schalten keine Werbung innerhalb der Plattform.
3. KI-Verarbeitung und KI-Drittanbieter
BrickGRC nutzt künstliche Intelligenz, um mehrere Kernfunktionen zu betreiben: Dokumentenintelligenz — Analyse hochgeladener Dokumente auf Compliance-Relevanz und Extraktion strukturierter Informationen; Automatische Evidenzverknüpfung — automatischer Abgleich von Dokumenten mit anwendbaren Kontrollen und Anforderungen; Reifegraddewertung — Bewertung der organisatorischen Reife anhand der Framework-Rubrik-Anforderungen mittels KI-Analyse; und der KI-Assistent — geführte Compliance-Unterstützung und Beantwortung von Fragen zu Ihrer Compliance-Position.
Im Rahmen dieser Operationen generiert und speichert BrickGRC Vektor-Embeddings Ihrer Dokumenteninhalte für Ähnlichkeitssuche und Evidenzabgleich. Der Standard-Embedding-Anbieter ist Google Gemini. Wenn die Embedding-API von Google nicht verfügbar ist, greift die Plattform auf die API von Anthropic für die Embedding-Generierung zurück. Embeddings werden dauerhaft gespeichert und den Daten Ihrer Organisation zugeordnet.
Sie können Ihren eigenen KI-Anbieter über das „Bricks"-System der Plattform konfigurieren, indem Sie einen API-Schlüssel von OpenAI, Anthropic, Google Gemini, Cohere oder Mistral verbinden. In diesem Fall werden KI-Anfragen für Chat- und Analyseoperationen an diesen Anbieter unter Ihrer eigenen API-Vereinbarung gesendet, und die jeweiligen Datenschutzrichtlinien und Datenverarbeitungsbedingungen gelten.
Wenn Sie keinen KI-Anbieter konfigurieren oder Ihr konfigurierter Anbieter nicht verfügbar ist, verwendet die Plattform ihre Standard-KI-Engine wie in Abschnitt 4 beschrieben.
4. Standard-KI-Engine — Google Gemini
Wenn keine vom Benutzer konfigurierte KI-Integration aktiv ist, verarbeitet BrickGRC KI-Anfragen mithilfe der Gemini-API von Google (derzeit das Modell gemini-2.5-flash) unter dem eigenen API-Schlüssel von BrickGRC.
Google verarbeitet über die Gemini-API übermittelte Daten gemäß den API-Nutzungsbedingungen von Google und den Zusätzlichen Nutzungsbedingungen für Generative KI von Google. Bei kostenpflichtiger API-Nutzung erklärt Google, dass es Kunden-API-Daten nicht zum Training seiner Grundmodelle verwendet. Google kann jedoch API-Anfragen vorübergehend zu Zwecken der Missbrauchsüberwachung, Sicherheitsdurchsetzung, Fehlerbehebung und Dienstzuverlässigkeit protokollieren, und solche Protokolle können für einen begrenzten Zeitraum gemäß den Bedingungen von Google aufbewahrt werden.
BrickGRC kontrolliert die interne Datenverarbeitung von Google nicht über das hinaus, was in dessen API-Bedingungen festgelegt ist. Wenn Sie strengere Kontrollen über die Verarbeitung Ihrer Daten durch KI benötigen — beispielsweise um spezifische regulatorische Anforderungen oder interne Daten-Governance-Richtlinien zu erfüllen — sollten Sie Ihren eigenen KI-Anbieter konfigurieren, dessen Bedingungen Ihren Anforderungen entsprechen.
BrickGRC behält sich das Recht vor, den Anbieter der Standard-KI-Engine jederzeit zu ändern. Wir werden diese Datenschutzrichtlinie aktualisieren, um jede solche Änderung widerzuspiegeln, und die Benutzer über die Plattform benachrichtigen.
5. An KI-Anbieter Gesendete Daten
Wenn KI-Funktionen aufgerufen werden, senden wir die für die spezifische Operation erforderlichen Daten. Je nach Funktion kann dies umfassen: vollständigen Textinhalt, der aus hochgeladenen Dokumenten extrahiert wurde, Compliance-Kontrollnamen und -beschreibungen, Elementfelddaten und Arbeitselement-Antworten, Reifegrad-Rubrik-Text und Bewertungskriterien, Engagement-Kontext (Framework-Typ, Meilensteinnamen) und den Prompt oder die Frage des Benutzers bei Nutzung des KI-Assistenten. Für Dokumentenintelligenz und automatische Evidenzverknüpfung kann der vollständige Dokumentinhalt übertragen werden, nicht nur Auszüge.
Wir senden nicht Ihre Kontopasswörter, API-Schlüssel, Abrechnungsinformationen oder persönliche Kennungen über das hinaus, was natürlicherweise in Ihren hochgeladenen Compliance-Dokumenten oder Mitarbeiterverzeichnisdaten erscheinen kann.
KI-Antworten (generierte Bewertungen, Empfehlungen, Dokumentenanalyseergebnisse, Assistenten-Nachrichten) werden innerhalb der Plattform gespeichert, um Funktionen zu befüllen und den Gesprächsverlauf zu pflegen. KI-Interaktionsprotokolle — einschließlich Prompts und Antworten — werden wie in Abschnitt 9 beschrieben aufbewahrt.
6. Datenisolierung und Sicherheit
Die Daten jeder Organisation werden in einer logisch isolierten Mandantenumgebung auf der Anwendungsebene gespeichert, unter Verwendung gemeinsamer Datenbankinfrastruktur mit strikter organisationsbezogener Abfragegrenzung. Ihre Compliance-Daten, Dokumente, Konfigurationen und KI-Integrationszugangsdaten sind niemals für andere Organisationen auf der Plattform zugänglich.
Wir implementieren die folgenden Sicherheitsmaßnahmen: TLS 1.2 oder höher für alle Daten bei der Übertragung; Verschlüsselung im Ruhezustand für gespeicherte Daten und Dokumente; AES-256-GCM-Verschlüsselung für gespeicherte Integrationszugangsdaten und API-Schlüssel; gehashte und gesalzene Passwortspeicherung (bcrypt); rollenbasierte Zugriffskontrollen (Admin, Auditor, Editor, Betrachter); und regelmäßige Sicherheitsüberprüfungen.
Wenn Sie ein externes Speicher-Backend konfigurieren (wie AWS S3, Azure Blob Storage, Google Drive, Dropbox, SharePoint oder Nextcloud), unterliegen über diese Integration gespeicherte Dokumente den eigenen Verschlüsselungs- und Sicherheitsrichtlinien dieses Anbieters. BrickGRC kontrolliert nicht die Verschlüsselungseinstellungen von benutzerkonfigurierten Speicher-Backends.
7. Drittanbieter-Unterauftragsverarbeiter
BrickGRC nutzt die folgenden Kern-Unterauftragsverarbeiter zur Bereitstellung des Dienstes (immer aktiv):
Hetzner Online GmbH (Deutschland/EU) — Anwendungshosting und Datenbankinfrastruktur. Cloudflare, Inc. (USA, mit globalem Edge-Netzwerk und EU-Präsenz) — CDN, DDoS-Schutz, DNS, R2-Objektspeicher für Dokumente und E-Mail-Routing. Resend, Inc. (USA) — Transaktionale E-Mail-Zustellung (Kontobenachrichtigungen, Verkaufsanfragen). Google LLC (USA) — Standard-KI-Engine (Gemini-API) und Standard-Embedding-Anbieter. Stripe, Inc. (USA) — Zahlungsverarbeitung und Abonnementverwaltung. Grafana Labs (USA) — Betriebstelemetrie, Überwachung und Alerting (nur Infrastrukturmetriken, keine Kundeninhalte).
Vom Benutzer konfigurierte Integrationen. Wenn Sie eine Integration über die Plattform konfigurieren, wird dieser Anbieter zum Unterauftragsverarbeiter für die Daten Ihrer Organisation. Sie sind verantwortlich für die Überprüfung der Datenverarbeitungsbedingungen dieses Anbieters. Vom Benutzer konfigurierbare Integrationen umfassen:
KI-Anbieter: OpenAI, Anthropic, Google Gemini (unter Ihrem eigenen Schlüssel), Cohere, Mistral. Dokumentenspeicher: SharePoint, Nextcloud, AWS S3, Azure Blob Storage, Google Drive, Dropbox. Benachrichtigungen: Slack, Microsoft Teams, benutzerdefinierte SMTP-Server. Projektmanagement: Jira, Azure DevOps. Kalender: Google Calendar, Outlook Calendar. Mitarbeiterverzeichnis: Azure AD, Google Workspace, Okta, JumpCloud, BambooHR, Workday, Rippling, SCIM-kompatible Anbieter.
8. Cookies und Tracking
Wir verwenden ausschließlich wesentliche Cookies und Tokens für Authentifizierung und Betrieb. Die BrickGRC-Anwendung verwendet JWT (JSON Web Token) Sitzungs-Tokens, die in Ihrem Browser für die Authentifizierung gespeichert werden. Wir speichern auch Benutzereinstellungen (Sprachauswahl, Theme) lokal.
Die BrickGRC-Landingpage (brickgrc.com) lädt Google Fonts, die gemäß der Datenschutzrichtlinie von Google Cookies setzen oder Anfragen protokollieren können. Cloudflare kann Cookies für Bot-Erkennung und Sicherheitszwecke auf allen BrickGRC-Domains setzen.
Wir verwenden keine Werbe-Cookies von Drittanbietern, Social-Media-Tracking-Pixel oder Verhaltensanalyseplattformen. Wir erstellen keine Geräte-Fingerprints und verfolgen Benutzer nicht über andere Websites.
9. Datenaufbewahrung
Konto- und Compliance-Daten. Wir bewahren Ihre Daten auf, solange Ihr Konto aktiv ist. Bei Konto- oder Organisationslöschung haben Sie 30 Tage, um Ihre Daten zu exportieren. Nach diesem Zeitraum werden alle Ihre Daten — einschließlich Compliance-Aufzeichnungen, hochgeladener Dokumente und Konfigurationen — innerhalb von 90 Tagen dauerhaft aus unseren Produktionssystemen gelöscht, einschließlich Backups.
KI-Interaktionsprotokolle. BrickGRC speichert KI-Prompts, Antworten und Interaktionsmetadaten (einschließlich Zeitstempel, Token-Nutzung und verwendetem KI-Anbieter) in einem internen Interaktionsprotokoll. Diese Protokolle werden aufbewahrt, um den Gesprächsverlauf innerhalb des KI-Assistenten bereitzustellen, die Fehlerbehebung zu unterstützen und den Dienst zu verbessern. KI-Interaktionsprotokolle werden gelöscht, wenn das Konto Ihrer Organisation gelöscht wird, gemäß dem oben beschriebenen Zeitplan.
Audit-Logs. Benutzeraktions-Audit-Logs (einschließlich IP-Adressen, User-Agent-Strings und Aktionsbeschreibungen) werden bis zu 2 Jahre für Sicherheits-Compliance und Vorfalluntersuchungszwecke aufbewahrt. Audit-Logs können über die Kontolöschung hinaus aufbewahrt werden, wenn dies durch gesetzliche oder regulatorische Verpflichtungen erforderlich ist.
Zwischengespeicherte KI-Antworten. Zwischengespeicherte KI-Antworten, die zur Leistungsoptimierung verwendet werden, werden automatisch fortlaufend bereinigt und nicht über den Cache-Ablaufzeitraum hinaus aufbewahrt.
10. Ihre Rechte
Je nach Ihrer Gerichtsbarkeit (einschließlich unter der DSGVO, der UK-DSGVO und ähnlichen Datenschutzgesetzen) haben Sie möglicherweise das Recht: auf die personenbezogenen Daten zuzugreifen, die wir über Sie speichern; ungenaue oder unvollständige Daten zu berichtigen; Ihre personenbezogenen Daten zu löschen („Recht auf Vergessenwerden"); Ihre Daten in einem portablen, maschinenlesbaren Format zu erhalten; bestimmte Verarbeitungsaktivitäten einzuschränken oder ihnen zu widersprechen; die Einwilligung zu widerrufen, wenn die Verarbeitung auf Einwilligung basiert; und eine Beschwerde bei einer Aufsichtsbehörde einzulegen.
Sie können Ihre Compliance-Daten und Dokumente jederzeit über die Exportfunktionen der Plattform exportieren, einschließlich PDF-Berichtsgenerierung und In-App-Datenexportfunktionalität. Um andere Rechte auszuüben oder die Löschung Ihres Kontos zu beantragen, kontaktieren Sie uns unter [email protected]. Wir werden innerhalb von 30 Tagen antworten (oder innerhalb des durch geltendes Recht vorgeschriebenen Zeitrahmens).
11. Internationale Datenübertragungen
Die primäre Infrastruktur von BrickGRC wird in der Europäischen Union gehostet (Hetzner, Deutschland). Cloudflare betreibt ein globales Edge-Netzwerk und kann Anfragen an Edge-Standorten weltweit verarbeiten, einschließlich in den Vereinigten Staaten. US-basierte KI-Anbieter (Google, OpenAI, Anthropic, Cohere) verarbeiten Daten in den Vereinigten Staaten und anderen Gerichtsbarkeiten, in denen sie Infrastruktur unterhalten. Resend, Stripe und Grafana Labs sind US-basierte Auftragsverarbeiter.
Wenn Ihre Daten außerhalb der EU/des EWR übertragen werden, stützen wir uns auf angemessene Schutzmaßnahmen wie Standardvertragsklauseln (SVK), den EU-US-Datenschutzrahmen oder die Teilnahme des Unterauftragsverarbeiters an anderen anerkannten Datenübertragungsmechanismen. Wenn Sie benutzerverwaltete Integrationen konfigurieren, können Daten in die Gerichtsbarkeiten übertragen werden, in denen diese Anbieter tätig sind.
12. Mitarbeiterverzeichnisdaten
Wenn Ihre Organisation eine Mitarbeiterverzeichnis-Integration konfiguriert, synchronisiert und speichert BrickGRC Mitarbeiterinformationen einschließlich Namen, E-Mail-Adressen, Telefonnummern, Abteilungen und Jobtitel. Diese Daten werden innerhalb der Plattform für Compliance-Rollenzuweisung, Aufgabendelegation und organisatorische Berichterstattung verwendet.
Mitarbeiterverzeichnisdaten können Personen umfassen, die keine registrierten BrickGRC-Benutzer sind und die der Verarbeitung durch BrickGRC nicht direkt zugestimmt haben. Die Rechtsgrundlage für die Verarbeitung dieser Daten ist das berechtigte Interesse Ihrer Organisation an der effektiven Verwaltung ihres Compliance-Programms. Ihre Organisation als Verantwortlicher ist dafür verantwortlich sicherzustellen, dass sie das gesetzliche Recht hat, diese Mitarbeiterdaten mit BrickGRC zu synchronisieren, einschließlich der Bereitstellung erforderlicher Hinweise an betroffene Mitarbeiter gemäß geltendem Datenschutzrecht.
Mitarbeiterverzeichnisdaten unterliegen den gleichen Richtlinien zur Datenisolierung, Sicherheit und Aufbewahrung, die in dieser Datenschutzrichtlinie beschrieben sind. Sie werden gelöscht, wenn die Integration entfernt oder das Konto der Organisation gelöscht wird.
13. Datenschutz für Kinder
BrickGRC ist eine Business-to-Business-Compliance-Plattform. Der Dienst ist nicht an Personen unter 16 Jahren gerichtet, und wir erheben wissentlich keine personenbezogenen Daten von Kindern. Wenn wir erfahren, dass wir Daten von einem Kind unter 16 Jahren erhoben haben, werden wir diese umgehend löschen.
14. Benachrichtigung über Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die wahrscheinlich ein Risiko für die Rechte und Freiheiten von Personen darstellt, wird BrickGRC die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen, wie von der DSGVO gefordert.
Wenn die Verletzung wahrscheinlich ein hohes Risiko für betroffene Personen darstellt, werden wir auch diese Personen unverzüglich benachrichtigen. Benachrichtigungen über Datenschutzverletzungen umfassen: eine Beschreibung der Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen, die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Minderung ihrer Auswirkungen.
Wir werden auch betroffene Kundenorganisationen umgehend benachrichtigen, damit diese ihren eigenen regulatorischen Benachrichtigungspflichten nachkommen können.
15. Auftragsverarbeitungsvertrag
Ein Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 DSGVO ist auf Anfrage für Kunden verfügbar, die einen solchen benötigen. Um einen AVV anzufordern, kontaktieren Sie uns unter [email protected].
16. Änderungen dieser Richtlinie
Wir können diese Datenschutzrichtlinie aktualisieren, um Änderungen in unseren Praktiken, Unterauftragsverarbeitern oder geltendem Recht widerzuspiegeln. Wir werden Sie über wesentliche Änderungen per E-Mail oder durch einen auffälligen Hinweis in der Plattform mindestens 30 Tage vor deren Inkrafttreten informieren. Ihre fortgesetzte Nutzung des Dienstes nach dem Datum des Inkrafttretens gilt als Annahme der aktualisierten Richtlinie.
17. Kontakt
Wenn Sie Fragen zu dieser Datenschutzrichtlinie, Ihren Daten haben oder Ihre Rechte ausüben möchten, kontaktieren Sie uns unter [email protected].