Datenschutz & Sicherheit (22 FAQs)

Ja, du kannst sowohl auf Team-Ebene als auch auf Workspace-Ebene beliebig viele Nutzer*innen mit Administrationsrechten ausstatten. Beachte folgendes:

• Nur Workspace Admins können für einen Echometer Workspace ein Echometer-Abo abschließen und verwalten.
• Nur Workspace-Admins können weitere Teams anlegen und weitere Workspace-Admins benennen oder entfernen.
• Team-Admins können für ihr Team weitere Team-Admins und Teammitglieder benennen und entfernen

Nein, Echometer hat keine On-Premise Version, die Kunden selber hosten können. Echometer ist nur als Cloud Lösung verfügbar.

Echometer nutzt die Server der Open Telekom Cloud in Deutschland. Die Rechenzentren der Open Telekom Cloud sind konkret in Magdeburg und Biere in Sachsen-Anhalt.

Diese beiden Standorte bilden ein sogenanntes Twin-Core-Rechenzentrum, das durch ein eigenes, vom Internet getrenntes Hochgeschwindigkeitsnetzwerk miteinander verbunden ist.

Ja, Echometer ist DSGVO-konform und hat entsprechend einen Vertrag zur Auftragsverarbeitung (auch kurz “AVV” oder “VAV”), der mit Abschluss eines Abos automatisch Teil der vertraglichen Zusammenarbeit wird:

Echometer Vertrag zur Auftragsdatenverarbeitung gemäß DSGVO

Ja, Echometer hat öffentlich einsehbare Allgemeine Geschäftsbedingungen für die Nutzung ihrer Software: Echometer AGB

In den Standard-AGBs von Echometer gilt ein SLAs (Service Level Agreements) für die Verfügbarkeit des Services von 98%. In der Praxis liegt die Verfügbarkeit ohnehin weit über 99,9%.

Die Verfügbarkeit von Echometer kann transparent öffentlich eingesehen werden: https://echometer.instatus.com/

Eine häufige Frage in Sicherheitsfragebögen ist: Gibt es einen Notfallplan und einen Katastrophenschutzplan?

Ja, Echometer hat dokumentierte Notfallpläne und Recovery Pläne.

Jeder Vorfall wird gemäß internen Richtlinien behandelt und dokumentiert. Dazu gehören die Bewertung und Eindämmung der Auswirkungen, die schnellstmögliche Wiederherstellung des regulären Betriebs, gegebenenfalls die Benachrichtigung der Kunden sowie die Bewertung und Umsetzung von Maßnahmen, um ähnliche Vorfälle in Zukunft zu verhindern.

Echometer nutzt HTTPS, Websockets und gRPC als Netzwerkprotokolle.

Die Rollen und Berechtigungen in Echometer werden von Workspace-Admins des Kunden verwaltet, indem diese den Mitarbeitenden direkt in Echometer Rollen zuweist:

• Normale Mitarbeitende haben nur Zugriff auf Teams, Retrospektiven und 1:1-Serien, zu denen sie eingeladen wurden.
• Team-Administrator*innen können in ihren Teams Retrospektiven erstellen und moderieren, die Teameinstellungen kontrollieren und Teammitglieder hinzufügen oder entfernen.
• Workspace-Administrator*innen können Teams erstellen und archivieren, Team-Administrator*innen zuweisen, die Workspace-Einstellungen verwalten und Mitglieder zum Workspace hinzufügen oder daraus entfernen.

Es werden mehrere Mechanismen zur Authentifizierung in Echometer unterstützt:

• E-Mail-Adresse + Passwort
• OAuth über Google
• SAML-SSO mit vom Kunden bereitgestelltem IDP (kann erzwungen werden)

Echometer nutzt für die Verschlüsselung von Daten folgende Verfahren:

• Verschlüsselung In transit: TLS
• Verschlüsselung At rest: LUKS

Ja, sowohl das Software Tool für 1-on-1 Meetings als auch das Tool für Team-Retros von Echometer sind sicher und DSGVO-konform.

Daten in Echometer werden verschlüsselt versendet und ebenfalls verschlüsselt auf Servern in Deutschland gespeichert.

Mehrere europäische Finanzinstitute haben sich aufgrund der strengen Datensicherheitsmaßnahmen von Echometer für den Kauf von Echometer gegenüber Wettbewerbern entschieden.

Ja, Echometer erlaubt in seinen bezahlten Plänen auch SSO bzw. Single-Sign-On. Das gilt sowohl für das Retro-Tool als auch das Tool für 1:1-Meetings.

Ja, Echometer’s Retro-Tool ist technisch sicher und DSGVO-konform.

Mehrere europäische Finanzinstitute und Versicherungen haben sich aufgrund der strengen regulatorischen Vorgaben für den Kauf von Echometer’s Retrospektive-Tools gegenüber anderen Alternativen entschieden.

Die Daten werden in Deutschland gespeichert und sicher verarbeitet. Der Vertrag zur Auftragsdatenverarbeitung mit Details zu den technischen und organisatorischen Sicherheitsmaßnahmen der Verarbeitung von Echometer kann hier eingesehen werden: https://echometerapp.com/gdpr-and-security/

Ja! Echometer ist ein deutscher Software-Anbieter und arbeitet DSGVO-konform.

Echometer wurde so konzipiert, dass die Sicherheit der Daten nach höchsten Standards gewährleistet sind. Jede Kommunikation und Datenspeicherung ist entsprechend verschlüsselt.

Echometer’s Vertrag zur Auftragsdatenverarbeitung und weitere Dokumente können hier eingesehen werden: https://echometerapp.com/de/gdpr-and-security/#dpa

Bei Fragen zum Datenschutz, meldet euch gerne bei support[at]echometer.de.

Kundendaten von Echometer werden verschlüsselt auf Servern innerhalb der EU und DSGVO-konform gespeichert.

Die Transkription kann nur von der Person gestartet werden, deren Gesprächsanteil erfasst werden soll. Beginnt in einem 1:1-Gespräch beispielsweise die Führungskraft damit, ihren Part aufzuzeichnen, erhält die andere Person lediglich den Hinweis, dass gerade ihr Gegenüber transkribiert.

In dieser Meldung gibt es die Möglichkeit, ebenfalls eine Transkription des eigenen Gesprochenen zu starten. Der Start der Transkription selbst ist damit die dokumentierte Zustimmung. Fehlt diese Zustimmung, startet auch keine Aufzeichnung – und folglich erfolgt keine Transkription.

Individuelle Anpassungen der Auftragsverarbeitungsvereinbarung (AVV) – beispielsweise zu Subunternehmern oder Reaktionsfristen – sind nicht Bestandteil unserer Standardpreise.

Grundsätzlich lassen sich solche Anpassungen nach einer inhaltlichen und rechtlichen Prüfung jedoch realisieren. Die dafür anfallenden Aufwände werden gesondert in Rechnung gestellt.

Audio-Daten speichern wir nur für die Dauer der Verarbeitung. Direkt nach Abschluss des Transkriptionsprozesses werden sie gelöscht; es bleibt lediglich das erzeugte Transkript bestehen.

Transkripte sowie KI-generierte Zusammenfassungen und Moderationstipps werden identisch zu manuell erstellten Meeting-Notizen gespeichert. Sie stehen so lange zur Verfügung, bis die zugehörige 1:1-Serie gelöscht wird.

Alle übrigen Workspace-Daten löschen wir nach Kündigung des Workspace nach spätestens zwei Monaten – auf Wunsch auch früher.

Für jede KI-Funktion sendet Echometer ausschließlich die Daten, die für den jeweiligen Zweck erforderlich sind. Nutzer:innen sehen in der Anwendung transparent, welche Verarbeitung wofür stattfindet. Aktuell gelten insbesondere folgende Szenarien:

• Maßnahmenempfehlungen in Retrospektiven: Es wird nur das verknüpfte Feedback plus der aktuelle Entwurf der Maßnahme übermittelt.
• Transkription von 1:1-Gesprächen: Es werden das Audio sowie die Namen der Teilnehmenden geteilt.
• Zusammenfassungen und Moderationstipps: Hier wird ausschließlich das erzeugte Transkript verarbeitet.

OpenAI Ireland Ltd. ist unser Auftragsverarbeiter. Die Verarbeitung kann – entsprechend des Data Processing Addendums (DPA) von OpenAI – auch in den USA stattfinden. Daten unserer Kund:innen werden von OpenAI nicht zu Trainingszwecken verwendet.

Eine zusätzliche externe Dokumentation gibt es nicht, weil wir die Funktionen kontinuierlich weiterentwickeln. Stattdessen beschreiben wir alle konkreten Verarbeitungen direkt in der Software, sobald Nutzer:innen eine Funktion aktivieren.

Wird die OpenAI-Integration für einen Workspace deaktiviert, sind sämtliche KI-Funktionen von Echometer für diesen Workspace vollständig abgeschaltet.

Auch wenn die Integration aktiv ist, werden Daten ausschließlich dann verarbeitet, wenn Nutzer:innen bestimmte KI-Funktionen bewusst auslösen. Es findet keine automatische Hintergrundverarbeitung ohne klare, proaktive Nutzer-Interaktion statt.

Echometers KI-Funktionen arbeiten derzeit vollständig mit den Modellen von OpenAI. Eine Auswahl verschiedener Modelle innerhalb der Anwendung bieten wir aktuell nicht an.

Für Enterprise-Kund:innen lässt sich eine Anbindung eigener Modelle oder Infrastruktur im Rahmen eines individuellen Vertrags prüfen und – sofern technisch möglich – auch umsetzen.