Infrastruktur & Hosting
🇩🇪 Hosting in Deutschland
- •Hetzner Cloud, Falkenstein/Nürnberg
- •ISO/IEC 27001:2022 zertifiziert
- •Deutsches Datenschutzrecht
Datenbank
- •Neon PostgreSQL, Frankfurt (eu-central-1)
- •Encryption at Rest (AES-256)
- •Automatische Backups + Point-in-Time Recovery
Verschlüsselung
- •TLS 1.3 für alle Verbindungen
- •AES-256 Encryption at Rest
- •Keine Datenspeicherung bei KI-Providern
Datenschutz (DSGVO)
- Art. 25: Privacy by Design & Default
- Art. 28: Auftragsverarbeitung (AVV verfügbar)
- Art. 30: Verarbeitungsverzeichnis geführt
- Art. 32: Technisch-organisatorische Maßnahmen
- Art. 35: DSFA-Bereitschaft
Wie FlowCheck KI einsetzt
- KI extrahiert Daten, trifft KEINE Entscheidungen
- Keine automatische Freigabe ohne menschliche Bestätigung
- EU AI Act Art. 50 konform (Transparenzpflichten)
- Keine Speicherung von Daten bei Anthropic/OpenAI
- Modell-Transparenz: welches Modell, welche Kosten
KI-Prinzipien
1
Mensch entscheidet — KI empfiehlt
Keine automatische Freigabe ohne menschliche Bestätigung.
2
Nachvollziehbar
Jede Extraktion ist über den Confidence-Breakdown überprüfbar.
3
Datensparsam
Nur die notwendigen Daten werden an das LLM übermittelt.
4
Kein Training
Ihre Daten trainieren keine Modelle (Zero Data Retention).
Compliance-Übersicht
| Norm | Status | Details |
|---|---|---|
| DSGVO | ✅ Konform | AVV, TOM, Löschkonzept |
| EU AI Act | ✅ Bereit | Art. 50 ab 02.08.2026 |
| GoBD | ✅ Konform | SHA-256, 10 Jahre Aufbewahrung |
| §14 UStG | ✅ Automatisch | Pflichtangaben-Prüfung |
| NIS2 | ✅ Bereit | Incident-Response-Plan |
| ISO 27001 | 📋 Roadmap | Zertifizierung geplant |
Wie Ihre Daten fließen
Jeder Knoten ist anklickbar und zeigt, welche Daten dort verarbeitet werden.
Sub-Processor-Transparenz
| Anbieter | Zweck | Standort | Datenzugriff |
|---|---|---|---|
| Anthropic | KI-Extraktion | USA (SCC) | Rechnungstext (temporär) |
| Hetzner | Server | Deutschland | Infrastruktur |
| Neon | Datenbank | Deutschland | Verschlüsselt |
| Vercel | Frontend CDN | Global Edge | Kein Datenzugriff |
| Stripe | Zahlung | USA (SCC) | Nur Zahlungsdaten |
Anthropic speichert keine Kundendaten. API-Aufrufe werden nicht für Modell-Training verwendet (Zero Data Retention).
Anthropic Usage PolicySicherheitsüberprüfungen & Audits
Regelmäßige Sicherheitsüberprüfungen
- •Automatisierte Dependency-Scans (Dependabot)
- •OWASP-Top-10-Härtung
- •Rate-Limiting auf allen Auth-Endpoints
- •Fail2ban gegen Brute-Force
Letzter Security-Review: Juni 2026
Fragen zu Sicherheit & Datenschutz?
Datenschutz: ki@sbsdeutschland.de
Security: ki@sbsdeutschland.de