Wie Corial mit Ihren Daten umgeht

Wo Ihre Daten gespeichert werden

Kundendaten (Datenbank, Dokumentenspeicher, Prüfprotokolle, Anwendungsserver) werden in der Europäischen Union auf der Infrastruktur der Hetzner Online GmbH in Nürnberg und Falkenstein gehostet. Die Rechenzentren von Hetzner sind nach ISO/IEC 27001 zertifiziert.

Für KI-Inferenz bietet Corial zwei Routing-Stufen an. Die Wahl erfolgt pro Mandant.

Die EU-Residenz-Stufe leitet jeden KI-Aufruf durch EU-Rechenzentren. Anthropic Claude-Modelle werden auf Google Cloud Vertex AI unter Lizenz betrieben; Google Gemini-Modelle laufen direkt auf Vertex AI. Die vollständige Übersicht und Regionen finden Sie in der Auftragsverarbeiterliste.

KI-Anbieter und Modelltraining

Corial nutzt kommerzielle API-Stufen von Anthropic, Google und Mistral. Gemäß den kommerziellen Bedingungen der Anbieter werden die Daten, die wir über ihre APIs senden, nicht zum Training ihrer Modelle verwendet.

Wir verlassen uns auf Drittanbieter, weil die Sprach- und Reasoning-Fähigkeiten von Frontier-Modellen derzeit intern nicht in der Qualität erreicht werden können, die unsere Kunden erwarten. Wir wählen Anbieter nach dem in der Charta für verantwortungsvollen KI-Einsatz veröffentlichten Kriterienkatalog aus. Wir legen nicht offen, welches Modell welche interne Aufgabe übernimmt; das Routing selbst ist Teil dessen, was das Produkt ausmacht. Die vollständige Liste der Anbieter befindet sich in der Auftragsverarbeiterliste.

Zur Modellkarte →

Verschlüsselung

Alle Daten werden bei der Übertragung mit branchenüblichem TLS verschlüsselt. Sensible Daten werden auf Anwendungsebene im Ruhezustand verschlüsselt. Die zugrundeliegende Infrastruktur ist Hetzner, das für physische und betriebliche Sicherheit nach ISO/IEC 27001 zertifiziert ist.

Authentifizierung und Zugang

Der Zugriff erfordert authentifizierte Benutzersitzungen mit kurzlebigen Tokens. Passwörter werden mit branchenüblichem Einweg-Hashing gespeichert. Multi-Faktor-Authentifizierung ist verfügbar. Vier Rollen trennen Plattform-, Mandantenadministrator-, Benutzer- und Lesezugriff. API-Anfragen werden ratenbegrenzt.

Mandantentrennung

Corial bedient mehrere Kundenorganisationen aus einem einzigen System. Daten eines Mandanten dürfen für einen anderen Mandanten niemals sichtbar sein. Die Trennung wird sowohl auf Anwendungs- als auch auf Datenbankebene durchgesetzt und durch automatisierte Tests in der Backend-Test-Suite abgedeckt.

Prüfprotokoll

Sensible Vorgänge werden in ein unveränderliches Prüfprotokoll geschrieben, das für die Lebensdauer des Mandantenkontos aufbewahrt wird. Der Umfang wird auf Basis unserer internen Prüfung gegen die ISO/IEC 42001-Kontrollen erweitert.

Backups und Wiederherstellung

Die Corial-Datenbank wird täglich gesichert und 30 Tage lang aufbewahrt. Ein wöchentlicher automatisierter Wiederherstellungstest überprüft, dass das Backup vollständig wiederhergestellt werden kann. Backups werden bei der Erstellung verschlüsselt und auf derselben Hetzner-Infrastruktur gespeichert, die die Live-Datenbank hostet. Eine geografische Off-Site-Backup-Redundanz ist auf unserem Fahrplan.

Datenlöschung

Mandanten besitzen ihre Daten. Anfragen zur Kontolöschung gehen an privacy@corial.app. Wir bearbeiten sie innerhalb von 30 Tagen. Das schließt die Entfernung bei Drittanbieter-Auftragsverarbeitern ein, die Kopien aufbewahren. In der Live-Applikation werden deaktivierte Datensätze als inaktiv markiert, bis der Mandant die Löschung beantragt oder den Vertrag kündigt.

Auftragsverarbeiter

Die vollständige Auftragsverarbeiterliste finden Sie unter corial.app/de/legal/subprocessors. Wir informieren Kunden mindestens 30 Tage im Voraus über jede Ergänzung oder jeden Austausch.

Incident-Response und Meldung von Datenschutzverletzungen

Wir pflegen einen internen Incident-Response-Plan, der Erkennung, Schweregradklassifizierung, Eindämmung, Beseitigung, Kundenbenachrichtigung und Nachanalyse abdeckt. Bei einer Verletzung des Schutzes personenbezogener Daten informieren wir betroffene Kunden und, soweit anwendbar, die französische CNIL innerhalb von 72 Stunden nach Bekanntwerden, gemäß Artikel 33 der DSGVO. Kunden können vermutete Sicherheitsprobleme an security@corial.app melden.

DSGVO und EU KI-Verordnung

OpenCream SAS ist in Frankreich ansässig und agiert als Auftragsverarbeiter für unsere Mandanten. Wir entsprechen der DSGVO, dem französischen Datenschutzgesetz und der EU KI-Verordnung. Unsere Datenschutzerklärung legt die Rechtsgrundlagen für die Verarbeitung dar und erklärt, wie Sie Ihre Rechte als betroffene Person ausüben können.

Gemäß der EU KI-Verordnung ist Corial ein KI-System mit begrenztem Risiko: ein Arbeitsassistent, der in natürlicher Sprache mit Nutzern interagiert. Interaktionen mit Corial werden von KI generiert. Ausgaben, die Ihren Kunden gezeigt werden (z. B. Entwürfe von E-Mails), werden von Ihnen geprüft und versendet, nicht eigenständig von Corial.

Standardkonformität

Die KI-Managementpraktiken von Corial sind in Übereinstimmung mit ISO/IEC 42001:2023 gestaltet, insbesondere die Kontrollen zu Mandantentrennung, Sicherheit von KI-Systemen, KI-Lebenszyklusbetrieb, bestimmungsgemäßem Einsatz und der Verwaltung externer KI-Anbieter. Corial ist nicht nach ISO/IEC 42001 zertifiziert und erhebt keinen Anspruch auf eine Zertifizierung.

Corial ist nach den SOC 2 Trust Services Criteria für Sicherheit und Vertraulichkeit gebaut. Die Mandantentrennung wird auf Anwendungs- und Datenbankebene durchgesetzt, die Authentifizierung nutzt kurzlebige JWTs mit bcrypt-Passwort-Hashing, sensible Zugangsdaten werden im Ruhezustand mit Fernet verschlüsselt, der Datenverkehr wird mit TLS und HSTS terminiert, und tägliche Datenbank-Backups werden wöchentlich per automatisierter Wiederherstellung geprüft. Corial hat kein SOC 2-Audit durchlaufen und verfügt nicht über einen SOC 2-Bericht.

Wir pflegen eine interne Lückenanalyse gegen beide Standards und priorisieren die Behebung auf Basis von Kundenbedarf und Risiko. Wir werden eine formelle Zertifizierung anstreben, wenn der wirtschaftliche Fall dafür gegeben ist.

Verantwortungsvoller KI-Einsatz

OpenCream pflegt eine öffentliche Charta für verantwortungsvollen KI-Einsatz, die darlegt, welche Anbieter wir nutzen, nach welchen Kriterien wir sie auswählen und welche Verhaltensweisen wir zusagen und ablehnen. Die Charta ist vom Gründer unterzeichnet und wird jährlich überprüft.

Dokumente

Öffentliche Dokumente sind unten verlinkt. Die interne Lückenanalyse, der Sicherheitsüberblick und der aktuelle Kontrollbericht stehen Interessenten und Kunden unter einer Vertraulichkeitsvereinbarung zur Verfügung.

Servicestatus

Interne Verfügbarkeitsüberwachung ist aktiv. Probes gegen die Webanwendung, die API, die Marketing-Website und die KI-Anbieter laufen kontinuierlich, und On-Call-Alarme erreichen den Gründer per Telefon, sobald etwas ausfällt.

Ein öffentliches Status-Dashboard ist bereitgestellt und steht Kunden und Interessenten auf Anfrage zur Verfügung. Wir veröffentlichen es auf einer öffentlichen URL, sobald die Kundennachfrage es erfordert. Vermutete Ausfälle können an security@corial.app gemeldet werden.

Kontakt

Datenschutz und Datenverarbeitung: privacy@corial.app

Sicherheitsmeldungen und Incident-Berichte: security@corial.app

Hinweise zur KI-Nutzung, Datenverarbeitung oder zum Betrieb, offen für alle, mit schriftlicher Nicht-Repressalien-Zusage: concerns@corial.app. Siehe die Hinweisseite.

OpenCream SAS
15 Avenue Marie-Amélie
60500 Chantilly, Frankreich