← Zurück

Häufig gestellte Fragen

Antworten auf häufige Fragen zu Readmodel®, Datensicherheit und DSGVO-Compliance.

Allgemein

Readmodel® ist ein Tool für Datenrisikomanagement, das Organisationen hilft zu verstehen, wo ihre Daten gespeichert sind, wer Zugriff hat und welche Risiken bestehen. Es kartiert Datendienste, Benutzer, Datenelemente und Übertragungen — und erstellt Compliance-Dokumentation einschließlich Verarbeitungsverzeichnis (ROPA), Risikoregister und KI-gestützte Berichte.

Readmodel® wurde für Organisationen jeder Größe entwickelt, die Datenrisiken managen und ihre Verarbeitungsaktivitäten dokumentieren müssen. Es wird von Datenschutzbeauftragten, IT-Managern, Compliance-Teams und Beratern eingesetzt.

Nein. Readmodel® deckt drei EU-Verordnungen ab: DSGVO (Datenmapping, Verarbeitungsverzeichnisse, DSFA, Datenschutzverletzungen, DSAR-Management), NIS2 (Geschäftskritikalität, Sicherheitsüberwachung, RTO/RPO-Dokumentation, Vorfallmeldung) und die KI-Verordnung (KI-Systemklassifizierung, Risikobewertung, menschliche Aufsicht, KI-Systemregister). Darüber hinaus hilft Readmodel® Ihnen, Ihre Datenlandschaft zu verstehen — wo Daten gespeichert sind, wer Zugriff hat und welche Risiken bestehen.

Readmodel® unterstützt drei EU-Verordnungen:

  • DSGVO — Datenmapping, Verarbeitungsverzeichnisse (VVT), Rechtsgrundlagen, DSFA-Dokumentation, Datenschutzverletzungsregister, DSAR-Management, Aufbewahrungsfristen und Datenübermittlungsbewertungen.
  • NIS2 — Klassifizierung der Geschäftskritikalität, Sicherheitsüberwachung (MFA, Verschlüsselung, Patching), RTO/RPO-Dokumentation, Backup-Compliance, NIS2-Vorfallmeldung mit 24h/72h/1-Monat-Fristen und Lieferkettenbewertungen.
  • KI-Verordnung — KI-Systemklassifizierung nach Nutzungstyp, Risikoniveau gemäß KI-Verordnung (minimal bis inakzeptabel), Dokumentation menschlicher Aufsicht und ein KI-Systemregister integriert in Ihr VVT.

Alle drei Verordnungen werden in einem Arbeitsbereich abgedeckt — keine separaten Tools erforderlich.

Ja. Sie können ein kostenloses Konto mit einem Projekt und bis zu fünf Datendiensten erstellen. Keine Kreditkarte erforderlich. Wenn Sie mehr Projekte oder Funktionen benötigen, können Sie jederzeit auf ein kostenpflichtiges Abonnement upgraden.

Daten & Datenschutz

Ihre Daten werden auf Servern innerhalb der Europäischen Union gespeichert, mit Verschlüsselung im Ruhezustand. Wir übertragen Ihre Daten nicht außerhalb der EU. Siehe unsere Datenschutzerklärung für vollständige Details.

Wenn Sie einen KI-gestützten Bericht erstellen, werden Ihre Projektdaten an den KI-Anbieter gesendet (Mistral AI). Projektnamen und Benutzernamen werden vor der Übertragung anonymisiert und in der Antwort deanonymisiert. Der KI-Anbieter speichert Ihre Daten nicht für Trainingszwecke. Siehe unseren Unterauftragnehmer-Hinweis für Details.

Ja. Sie können alle Ihre Projektdaten jederzeit im CSV- oder JSON-Format exportieren. Dies umfasst Datenelemente, Dienste, Benutzer, Übertragungen, Risikoregister, Verarbeitungsverzeichnisse und mehr. Ein vollständiger Projektexport (JSON) ist auch für Backup- oder Migrationszwecke verfügbar.

Ja. Sie können jederzeit einzelne Projekte, Datenelemente, Dienste und andere Datensätze löschen. Das Löschen eines Projekts entfernt dauerhaft alle zugehörigen Daten. Sie können auch die Löschung Ihres gesamten Kontos beantragen, indem Sie uns kontaktieren.

Nein. RAID (Redundant Array of Independent Disks) schützt vor Festplattenausfall — wenn eine Festplatte ausfällt, bleiben die Daten erhalten. RAID schützt jedoch nicht vor:

  • Ransomware oder Malware (verschlüsselt alle Kopien gleichzeitig)
  • Versehentlichem Löschen (wird von allen Kopien gelöscht)
  • Brand, Überschwemmung oder Diebstahl (alle Festplatten befinden sich am selben Ort)
  • Controller-Ausfall (kann das gesamte Array beschädigen)

Konfigurieren Sie immer ordnungsgemäße Backup-Transfers (auf ein anderes Gerät, einen anderen Medientyp und einen externen Standort) zusätzlich zu RAID. Die 3-2-1-Backup-Strategie ist ein guter Ausgangspunkt.

Funktionen

Risikobewertungen werden automatisch basierend auf Datenklassifizierung, Rechtsgrundlage, Aufbewahrungsfrist, Authentifizierungsmethode und Datenübertragungen berechnet. Jedes Datenelement erhält eine Bewertung von 0 bis 10 und jeder Dienst eine Bewertung von 0 bis 20. Die Bewertungen werden als Keine, Niedrig, Mittel, Hoch oder Kritisch kategorisiert. Siehe den Hilfeabschnitt zur Risikobewertung für den vollständigen Algorithmus.

Ein Verarbeitungsverzeichnis (ROPA) ist ein Dokument, das nach DSGVO Artikel 30 für die meisten Organisationen erforderlich ist. Es beschreibt, welche personenbezogenen Daten Sie verarbeiten, warum, wie lange Sie sie aufbewahren und wer Zugriff hat. Readmodel® erstellt automatisch ein Verarbeitungsverzeichnis aus den von Ihnen erfassten Daten, sodass Sie keine separate Tabelle pflegen müssen.

Der KI-Bericht analysiert Ihr gesamtes Projekt — Datendienste, Datenelemente, Zugriffsmuster, Übertragungen, Risikobewertungen, Backup-Strategien und Gerätesicherheit — und erstellt eine strukturierte Compliance-Bewertung mit Erkenntnissen, Empfehlungen und Maßnahmen. Er wird in Ihrer gewählten Sprache generiert.

Ja. Mit den Team- und Enterprise-Abonnements können Sie Projekte mit Teammitgliedern in Ihrer Organisation teilen. Geteilte Benutzer können alle Projektinhalte anzeigen und bearbeiten. Der Projekteigentümer behält die Kontrolle über Teilen, Umbenennen und Löschen des Projekts.

Readmodel® ermöglicht es Ihnen, Baselines zu speichern — Momentaufnahmen des Risikoprofils Ihres Projekts. Das Dashboard zeigt, wie sich Ihre Dokumentation und Risikobewertungen seit der ersten Baseline verbessert haben. Eine Baseline wird automatisch beim Erstellen eines Projekts gespeichert.

Jeder Datennutzer erhält einen Compliance-Score (0-100) basierend auf fünf Kategorien: Zugangsdokumentation, Gerätesicherheit, Authentifizierungsstärke, Teilnahme an Zugriffsüberprüfungen und Umgang mit sensiblen Daten. Der Score misst, wie gut der Zugang des Benutzers dokumentiert und kontrolliert ist — nicht persönliches Verhalten.

Scores erscheinen auf der Datennutzer-Seite, dem Dashboard und dem Risikoregister. Vorschläge zeigen genau, was verbessert werden kann. Für alle Pläne verfügbar.

DSGVO Art. 33 verlangt, dass Organisationen alle Datenschutzverletzungen dokumentieren — auch solche, die keine Meldung an die Aufsichtsbehörde erfordern. Readmodel® bietet ein integriertes Vorfallregister, in dem Sie:

  • Vorfälle mit Entdeckungsdatum, Typ, Schweregrad und geschätzter Auswirkung protokollieren
  • Die 72-Stunden-Meldefrist mit einem Live-Countdown verfolgen
  • Meldung an Behörde, Betroffene und DSB dokumentieren
  • Betroffene Dienste und Datenelemente aus Ihrer Datenkarte verknüpfen
  • Ursache, Folgen und Abhilfemaßnahmen festhalten

Das Dashboard zeigt überfällige Meldungen in Rot. Das Risikoregister zeigt die Vorfallhistorie pro Dienst. Der KI-Bericht analysiert Muster. Das Vorfallregister ist für alle Pläne verfügbar, da es eine gesetzliche Pflicht ist.

DSGVO Art. 15-22 gibt Betroffenen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch. Sie müssen innerhalb von 30 Tagen antworten (verlängerbar auf 90 bei komplexen Anfragen). Readmodel® bietet ein Anfragenregister:

  • Anfragen mit Name, Rechtsart und Kanal erfassen
  • Die 30-Tage-Frist mit Countdown verfolgen
  • Identitätsprüfung dokumentieren (Art. 12(6))
  • Antwort oder Ablehnung mit Gründen festhalten
  • Betroffene Dienste und Datenelemente verknüpfen

Das Dashboard zeigt offene und überfällige Anfragen. Für alle Pläne verfügbar.

Wenn Sie Berechtigte Interessen (DSGVO Art. 6(1)(f)) als Rechtsgrundlage für die Verarbeitung eines Datenelements verwenden, müssen Sie eine Interessenabwägung dokumentieren, die Ihr Interesse gegen die Auswirkungen auf den Betroffenen abwägt. Readmodel® fordert Sie auf, eine LIA für jedes Datenelement mit dieser Rechtsgrundlage auszufüllen. Die Bewertung umfasst: den verfolgten Zweck, warum die Verarbeitung erforderlich ist, die Interessenabwägung, das Ergebnis und angewandte Schutzmaßnahmen.

Das Risikoregister identifiziert Lücken (z. B. „2 Elemente ohne Rechtsgrundlage", „kein AVV hinterlegt"). Risikobehandlungspläne ermöglichen es Ihnen, diese Lücken in umsetzbare Aufgaben mit zugewiesener Person, Zieldatum und Abschlussstatus umzuwandeln. Damit wird der Kreislauf zwischen „identifiziert" und „behandelt" geschlossen — was Auditoren erwarten.

DSGVO Art. 39(1)(b) verpflichtet den DSB, die Sensibilisierung und Schulung der Mitarbeiter zu überwachen. Readmodel® bietet ein einfaches Protokoll, in dem Sie erfassen können, wer geschult wurde, zu welchem Thema, wann und wann eine Auffrischung fällig ist. Das Dashboard zeigt überfällige Schulungen an. Dies ist ein Schulungsprotokoll, keine Schulungsplattform — es dokumentiert, dass Schulungen stattgefunden haben, nicht den Inhalt selbst.

Readmodel® ist kein vollständiges NIS2-Tool, deckt jedoch mehrere Anforderungen von NIS2 Art. 21 über bestehende Funktionen ab: Asset-Management (Dienst- und Geräteerfassung), Zugangskontrolle (Benutzerzugangsmatrix und -überprüfungen), Vorfallbehandlung (Datenschutzverletzungsregister mit NIS2 24-Std./72-Std./1-Monats-Meldefeldern), Geschäftskontinuität (Backup-Compliance, RTO/RPO), Lieferkettensicherheit (Anbieterbewertung, AVV-Tracking) und Kryptografie (Verschlüsselung-im-Ruhezustand/bei-Übertragung-Tracking pro Dienst). Dienste können nach Geschäftskritikalität klassifiziert werden, und das Risikoregister markiert Lücken wie fehlende MFA oder Patch-Richtlinien.

Abrechnung & Konto

Readmodel® bietet vier Abonnements, verfügbar mit monatlicher oder jährlicher Abrechnung (20% sparen bei jährlicher Zahlung):

  • Explore (Kostenlos) — 1 Projekt, 5 Dienste, vollständige Datenmapping & Risikobewertung, Risikoregister & ROPA-Export, CSV- & JSON-Export, interaktiver Datenfluss-Graph. Wasserzeichen auf gedruckten Berichten.
  • Grow (€99/Monat oder €79/Monat jährlich) — alles in Explore, plus 3 Projekte, 20 Dienste, 10 KI-Berichte/Monat, kein Wasserzeichen, E-Mail-Support.
  • Team (€249/Monat oder €199/Monat jährlich) — alles in Grow, plus 10 Projekte, unbegrenzte Dienste, 5 Teammitglieder mit Projektfreigabe, 50 KI-Berichte/Monat, Audit-Log.
  • Enterprise (€499/Monat oder €399/Monat jährlich) — alles in Team, plus 50 Projekte, 25 Teammitglieder, 200 KI-Berichte/Monat, API-Zugang, Prioritäts-E-Mail-Support.

Ja. Sie können jederzeit upgraden — die Preisdifferenz wird anteilig für den Rest Ihres Abrechnungszeitraums berechnet. Downgrades treten am Ende Ihres aktuellen Abrechnungszeitraums in Kraft, sodass Sie Ihre aktuellen Funktionen bis dahin behalten.

Wenn Sie kündigen, behalten Sie den Zugang zu Ihren bezahlten Funktionen bis zum Ende Ihres aktuellen Abrechnungszeitraums. Danach wird Ihr Konto auf den Explore-Plan zurückgesetzt. Ihre Daten werden nicht gelöscht — Sie können innerhalb der Grenzen des Explore-Plans darauf zugreifen und jederzeit alles exportieren.

Für niederländische Kunden wird 21% BTW angewendet. Für EU-Geschäftskunden mit verifizierter USt-IdNr. gilt das Reverse-Charge-Verfahren (0% MwSt.). Nicht-EU-Kunden fallen außerhalb des Anwendungsbereichs der EU-MwSt. Ihre USt-IdNr. wird während der Registrierung über das EU-VIES-System verifiziert.

Ihre Daten werden bei einem Downgrade niemals gelöscht. Alle bestehenden Projekte, Dienste, Daten, Berichte und Exporte bleiben vollständig zugänglich. Sie können weiterhin alles ansehen, bearbeiten, exportieren und löschen. Die einzige Einschränkung ist, dass Sie keine neuen Projekte oder Dienste über die Grenzen Ihres neuen Plans hinaus erstellen können, bis Sie Ihre Nutzung reduzieren.

Ihr Konto wird auf den Explore-Plan zurückgesetzt. Alle Ihre Daten bleiben intakt und zugänglich. Sie können Readmodel® mit den Grenzen des Explore-Plans (1 Projekt, 5 Dienste) weiter nutzen. Um wieder neue Elemente erstellen zu können, reduzieren Sie Ihre Nutzung oder abonnieren Sie erneut einen kostenpflichtigen Plan.

Ja, und Sie können auch nach einem Downgrade exportieren. Der Datenexport ist immer verfügbar, unabhängig von Ihrem Plan. Verwenden Sie die Export-Schaltflächen auf jeder Seite oder laden Sie einen vollständigen Projektexport von der Exportseite herunter.

Sicherheit

Alle Verbindungen verwenden HTTPS-Verschlüsselung. Passwörter werden mit bcrypt gehasht. Sitzungen verwenden sichere, httponly Cookies mit strikter Same-Site-Richtlinie. Brute-Force-Schutz ist bei der Anmeldung aktiviert. Daten im Ruhezustand sind auf Datenbankebene verschlüsselt.

Ja. Sie können TOTP-basierte Zwei-Faktor-Authentifizierung aktivieren (kompatibel mit Google Authenticator, Authy und ähnlichen Apps) über Ihre Kontoeinstellungen. Backup-Codes werden bereitgestellt, falls Sie den Zugang zu Ihrem Authenticator verlieren.

SSO (Single Sign-On) ist im Enterprise-Plan verfuegbar. Ihr Administrator konfiguriert die IdP-Verbindung (Identity Provider) im Administrationsbereich unter SSO-Konfiguration. Nach der Konfiguration werden Benutzer mit uebereinstimmenden E-Mail-Domains zu Ihrem IdP zur Authentifizierung weitergeleitet. SSO unterstuetzt SAML 2.0 und funktioniert mit Anbietern wie Azure AD, Okta, Google Workspace und anderen.

Ja. Sie können jeden Dienst nach KI-Nutzungstyp klassifizieren (Inhaltserstellung, Entscheidungsunterstützung, automatisierte Entscheidungen, kundengerichtete KI), ein Risikoniveau gemäß der KI-Verordnung zuweisen (minimal, begrenzt, hoch, inakzeptabel) und menschliche Aufsicht dokumentieren. Das Risikoregister markiert automatisch KI-Dienste ohne dokumentierte Aufsicht oder DSFA. KI-Verarbeitungsaktivitäten erscheinen in Ihrem VVT-Export. Readmodel® enthält Vorlagen für ChatGPT, Claude, Gemini, Copilot, Mistral und Perplexity. Lesen Sie unseren KI-Governance-Leitfaden für Details.
Ja. Readmodel® erfasst, wo Ihre Daten geografisch verarbeitet werden, bewertet Vendor Lock-in und Datenexportierbarkeit, dokumentiert Transfer Impact Assessments für grenzüberschreitende Übermittlungen und zeigt eine Souveränitätsübersicht auf dem Dashboard. Dies hilft Ihnen, Ihre Abhängigkeit von ausländischen Anbietern zu verstehen und sicherzustellen, dass Ihre Datenübermittlungen gemäß DSGVO und Schrems-II-Anforderungen ordnungsgemäß abgesichert sind.
Readmodel® bewertet die Ransomware-Bereitschaft jedes Dienstes auf einer Skala von 0-100 über 10 Kriterien: Backup-Strategie, Backup-Tests, Immutable-Backups, Offsite-Backups, MFA-Durchsetzung, Patch-Management, Verschlüsselung, Credential-Management, Wiederherstellungsdokumentation und Geschäftskritikalität. Die Resilienz-Seite zeigt Bewertungen pro Dienst und markiert kritische Lücken wie fehlende Immutable-Backups oder ungepatchte Systeme.
Suchen Sie nach mehr Details? Besuchen Sie die vollständige Hilfedokumentation →