Zu Content springen
Deutsch
LogIn
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Leitlinien & Empfehlungen zur sicheren Nutzung der VITAS Plattform für Cloud-Kunden

Dieser Artikel unterstützt Sie dabei, den Telefonassistenten sicher und datenschutzkonform zu nutzen - sowohl bei der Einrichtung als auch im laufenden Betrieb. Sie erhalten konkrete Empfehlungen für Administrator:innen und Nutzer:innen, um die Plattform von Anfang an sicher zu konfigurieren und Risiken bestmöglich zu minimieren.

1. Authentisierungsmechanismen

Damit nur berechtigte Personen Zugriff auf Ihren Account und Ihre Daten haben, empfehlen wir Ihnen, ein starkes Passwort und eine Zwei-Faktor-Authentifizierung einzurichten. 

1.1 Vergabe sicherer Passwörter

Ein gutes Passwort ist die Basis - hier ein paar einfache Regeln, die wirklich helfen:

  • Verwenden Sie mindestens 12 Zeichen: je länger, desto besser

  • Ein Passwort = ein Account: Wiederholen Sie niemals alte Passwörter

  • Nutzen Sie keine persönlichen Infos: keine Namen, Geburtstage, Firmennamen, etc.

Weitere Tipps für sichere Passwörter:

  • Verwenden Sie einen Passwortmanager (z. B. 1Password), um sichere und einmalige Passwörter zu generieren und zu verwalten

  • Verwendung der 3-zufällige-Wörter-Technik in Kombination mit Sonderzeichen und Zahlen

    • Hund.Wald.Sonne!3

    • Fußball.Nürnberg.Angeln-12

  • Verwendung der Anfangsbuchstaben eines Satzes in Kombination mit Sonderzeichen und Zahlen

    • Wir nutzen VITAS jeden Tag → WnVjT_34

    • Am liebsten essen wir im Sommer draußen Eis → AlewiSdE.68


1.2 Zwei-Faktor-Authentifizierung (2FA)

Die Zwei-Faktor-Authentifizierung ist eine Sicherheitsmaßnahme, bei der Sie sich bei der Anmeldung mit mehr als einer Methode identifizieren müssen. Derzeit unterstützen wir das Anmelden mit Anmeldedaten in Kombination mit einem Verifizierungscode aus einer Authentifizierungs-App auf Ihrem Smartphone. 

Zur Anleitung: Zwei-Faktor-Authentifizierung einrichten

1.3 Benutzer- und Rollenkonzepte verwalten

VITAS stellt Ihnen ein rollenbasiertes Berechtigungskonzept zur Verfügung. Damit können Sie Zugriffsrechte gezielt vergeben und sicherstellen, dass Benutzer:innen nur die Funktionen und Daten nutzen, die sie für ihre Aufgaben benötigen.
Falls Sie mehrere Assistenten besitzen, können Sie den Zugriff auf einzelne Assistenten steuern, um Daten und Konfigurationen noch feiner abzusichern.

Zur Anleitung: Verwaltung von Berechtigungen 

2. Sichere & datenschutzkonforme Konfiguration

2.1 E-Mail-Benachrichtigungen

Bei bestimmten Ereignissen (z. B. neue Konversationen oder Statusänderungen) kann der Telefonassistent E-Mail-Benachrichtigungen versenden. Dabei können Sie festlegen, ob personenbezogene Daten (z. B. Name, Telefonnummer oder Gesprächsinhalte) in der E-Mail enthalten sein dürfen.

Empfehlung: Da die E-Mails nicht Ende-zu-Ende verschlüsselt werden können, empfehlen wir, die Option "Personenbezogene Daten" zu deaktivieren. 

Zur Anleitung: Konfiguration von Benachrichtigungen

2.2 Gesprächsaufzeichnung und Einwilligung

Da der Telefonassistent Gespräche grundsätzlich aufzeichnet und Inhalte speichert, empfehlen wir, die explizite Zustimmung der anrufenden Person einzuholen. Wenn Sie dies möchten, aktivieren Sie einfach die Option „Explizite Einwilligung“ bei der Definition Ihres Datenschutzhinweises. Ist diese Option aktiv, fragt der Assistent zu Beginn des Anrufs, ob die anrufende Person mit der Datenverarbeitung und -speicherung einverstanden ist.

Zur Anleitung: Einwilligung beim Gespräch einholen 

2.3 Speicherfristen für Konversationen

Sie können je Account individuell festlegen, wie lange Konversationen gespeichert werden sollen – am besten nach dem Prinzip:  „So kurz wie möglich, so lang wie nötig.“

Hinweis: Die DSGVO fordert das Löschen von personenbezogenen Daten, wenn diese nicht mehr benötigt werden. Wenn keine anderen gesetzlichen Aufbewahrungsfristen greifen, müssen personenbezogene Daten gelöscht werden, sobald der Zweck für die Datenverarbeitung entfällt. Dies besagt das Recht auf Löschung (Art. 17 DSGVO).

 

Empfehlung:

  • Definieren Sie eine Speicherfrist, die zu Ihren internen Prozessen passt 
  • Wählen Sie keine unnötig langen Aufbewahrungszeiten, insbesondere wenn Konversationen sensible Informationen enthalten.    
  • Prüfen Sie regelmäßig, ob die eingestellten Speicherfristen weiterhin notwendig sind.

Zur Anleitung: Speicherfristen anpassen 

2.4 Einwilligung für SMS und automatisierte Rückrufe

Wenn Sie Ihre Kontakte per SMS oder automatisiertem Rückruf (z.B. zur Terminbestätigung) kontaktieren möchten, müssen Sie sicherstellen, dass die betroffene Person dieser Kontaktaufnahme eingewilligt hat. Dafür gibt es zwei verschiedene Möglichkeiten:

  • Einwilligung im Gespräch einholen:
    Sie können die Zustimmung direkt im Gespräch über den Fragetyp „Einwilligung“ abfragen. Diesen Fragetyp können Sie flexibel an der passenden Stelle im Gespräch platzieren – z. B. bevor eine SMS oder ein Rückruf ausgelöst wird.

  • Einstellung "Kommunikation mit Kontakten"
    Zusätzlich gibt es die Einstellung „Kommunikation mit Kontakten“. Wenn diese aktiviert ist, wird die Einwilligung in der Plattform automatisch als erteilt gesetzt.

 

Wichtig: Aktivieren Sie diese Einstellung nur, wenn die Einwilligung bereits auf anderem Weg eingeholt wird (z. B. schriftlich, über ein Formular oder im Rahmen eines bestehenden Vertragsprozesses). Andernfalls ist die Kontaktaufnahme per SMS oder automatisiertem Rückruf nicht datenschutzkonform.

Zur Anleitung: Einwilligung zum SMS-Versand/automatisiertem Rückruf einholen

2.4 Protokollierung von Nutzeraktivitäten

Aktivieren Sie die Protokollierung von Nutzeraktivitäten, um nachvollziehen zu können, wer eine Konversation zuletzt bearbeitet hat und wann dies erfolgt ist. Das erhöht Transparenz und unterstützt Qualitätssicherung sowie interne Kontrollen.
Diese Funktion ermöglicht eine personenbezogene Nachvollziehbarkeit von Bearbeitungen. Informieren Sie Ihre Mitarbeitenden entsprechend und stellen Sie sicher, dass die Nutzung im Einklang mit Ihren internen Regelungen (z. B. Betriebsvereinbarungen oder Datenschutzrichtlinien) erfolgt.
Die Einstellung finden Sie unter:  Einstellungen > Datenschutz > Nutzeraktivität

Allgemeine Empfehlungen: 

Eine sichere Konfiguration ist kein einmaliger Schritt – mit den folgenden Empfehlungen halten Sie Ihre Einstellungen dauerhaft aktuell und sicher.

  •  Begrenzen Sie Administratorrechte auf das notwendige Minimum und überprüfen Sie regelmäßig, wer Admin- oder Manager-Rechte besitzt.

  • Kontrollieren Sie regelmäßig den 2FA-Status aller Nutzer:innen (insbesondere von Admins und Managern).

  • Prüfen Sie Empfänger von Benachrichtigungen (E-Mail/SMS/Rückruf) und stellen Sie sicher, dass keine Weiterleitungen an unberechtigte Stellen aktiv sind.

  • Überprüfen Sie Ihre Konfiguration mindestens einmal pro Quartal. Prüfen Sie dabei insbesondere Rollen & Rechte, Speicherfristen, Einwilligungen und Benachrichtigungseinstellungen.

  • Achten Sie auf neue Hinweise im Hilfebereich und Kunden-Updates. So stellen Sie sicher, dass Ihre Einstellungen auch nach Änderungen oder neuen Funktionen weiterhin passen.

  • Halten Sie sicherheitsrelevante Entscheidungen intern fest, z. B. zur Rollenvergabe, Speicherfristen oder Einwilligungsprozessen. Das erleichtert Abstimmungen und Nachweise.

3. Hinweise im Umgang mit KI

Im Vergleich zu unseren strukturierten Szenarien überlässt das freie Szenario der KI deutlich mehr Freiheiten in der Gesprächsführung. Dadurch kann es in einzelnen Fällen zu unerwartetem Verhalten des Assistenten kommen, zum Beispiel wenn:

  • Inhalte oder Zusammenhänge frei erfunden werden („halluziniert“)    

  • vom definierten Anwendungsfall abgewichen wird    

  • ungenaue oder unpassende Antworten generiert werden

Empfehlungen

  • Formulieren Sie Ihre Anweisungen klar und konkret. Je eindeutiger die Vorgaben, desto zuverlässiger die Ergebnisse.    

  • Testen Sie das Szenario vor dem produktiven Einsatz ausführlich. Nutzen Sie dabei auch realistische Grenzfälle.    

  • Informieren Sie Ihre Kund:innen darüber, dass sie mit einer KI sprechen, die Fehler machen kann.    

  • Nutzen Sie strukturierte Szenarien überall dort, wo Sie die Datenverarbeitung und Ergebnisse besser kontrollieren möchten.

4. Administration durch privilegierte Benutzer

Bestimmte Funktionen zur Administration des Cloud-Dienstes stehen ausschließlich privilegierten Benutzer:innen zur Verfügung. Dazu zählen Nutzer:innen mit den Rollen Eigentümer oder Admin.
Diese Funktionen betreffen zentrale Einstellungen und sicherheitsrelevante Konfigurationen. Wir empfehlen daher, privilegierte Rollen nur an wenige, vertrauenswürdige Personen zu vergeben.

Verfügbare Administrationsfunktionen

Privilegierte Benutzer:innen können unter anderem:

  • Konversationsdaten exportieren: z. B. zur internen Dokumentation oder Auswertung

  • Benutzerverwaltung: Nutzer:innen hinzufügen, Rollen vergeben und Berechtigungen verwalten 

  • Upgrade / Downgrade: Tarif und Funktionsumfang anpassen

  • Datenschutzeinstellungen verwalten : z.B. Einwilligungen, Speicherfristen 

5. Aktualisierungsmechanismen

Wir aktualisieren die Plattform in regelmäßigen Abständen, um Wartung, Sicherheitsverbesserungen und neue Funktionen bereitzustellen. Die Updates werden zentral durch uns eingespielt.
Für Sie als Kunde ist dafür in der Regel kein Eingreifen erforderlich – Sie nutzen die Plattform automatisch in der jeweils aktuellen Version.
Sollten Änderungen erforderlich sein, bei denen Ihr Eingreifen notwendig ist, informieren wir Sie rechtzeitig im Voraus per E-Mail. Ansonsten erhalten Sie beim ersten LogIn nach einer Aktualisierung lediglich einen Hinweis.

6. Statuspage

Auf unserer Statusseite informieren wir Sie über anstehende Updates sowie über aktuelle Störungen oder Einschränkungen der Plattform. So behalten Sie jederzeit den Überblick über den Systemstatus und geplante Wartungsarbeiten. Dort können Sie Benachrichtigungen per E-Mail oder SMS abonnieren – wahlweise für alle oder nur für bestimmte Komponenten des Systems.

Klicken Sie dazu auf der Statusseite auf „Benachrichtigungen erhalten“.

7. Fehlerbehandlung 

Wenn bei der Nutzung technische Fragen oder Probleme auftreten, können Sie sich jederzeit an unser Support-Team wenden – entweder direkt per Chat in der Plattform oder per E-Mail (Kontakt: support@telefonassistent.de). Bei Problemen oder Auffälligkeiten innerhalb eines Gesprächs können Sie außerdem die Funktion „Anruf melden“ nutzen. Damit können Sie einen Anruf gezielt an uns weiterleiten, sodass wir den Vorfall schneller nachvollziehen und prüfen können.

8. Protokolierungsmechanismen

Zur Nachvollziehbarkeit und internen Kontrolle protokolliert die Plattform sicherheitsrelevante Ereignisse. Damit können Sie bei Bedarf überprüfen, wann und durch wen auf Daten, Funktionen oder Dienste in den vergangenen 30 Tagen zugegriffen wurde.

Zusätzlich werden Ereignisse erfasst, die bei der Analyse von Störungen oder Konfigurationsänderungen helfen, zum Beispiel:

  • Störungen bei automatischen oder manuellen Aktionen

  • Änderungen sicherheitsrelevanter Einstellungen, z. B. an Authentifizierung, Berechtigungen oder Datenschutz-/Sicherheitskonfigurationen

Zugriff auf Protokolle

Auf Anfrage stellen wir Ihnen die relevanten Protokolle (Audit Logs) zur Verfügung.  Bitte wenden Sie sich hierfür an unser Support-Team.