Trust Center
Wie wir mit Ihren Daten umgehen. Lückenlos dokumentiert.
Wir verarbeiten Dokumente, die nicht in falsche Hände gehören dürfen. Diese Seite zeigt im Detail, wie wir das technisch und organisatorisch sicherstellen, damit IT-Sicherheit, Datenschutz und Compliance prüfen können, bevor Konfidenz im eigenen Unternehmen eingesetzt wird.
- HostingSTACKITHeilbronn, DE
- Standort100 % EUKein Datentransfer
- CLOUD ActNicht anwendbarDeutsches Unternehmen
- DSGVOKonformAVV verfügbar
01
Infrastruktur
Hosting & Standorte
STACKIT
Schwarz Digits IT GmbH · Cloud-Provider der Schwarz-Gruppe
Konfidenz läuft vollständig auf STACKIT, der souveränen Cloud-Plattform der Schwarz-Gruppe (Lidl, Kaufland). STACKIT ist ein deutsches Unternehmen mit Rechenzentren ausschließlich in Deutschland und Österreich. Keine US-Beteiligung, keine Tochtergesellschaften unter US-Recht.
- Primärer Standort
- Heilbronn, DE
- Failover-Standort
- Berlin, DE
- Zertifizierungen
- ISO 27001, C5 Type 2
- Eigentümer
- Schwarz-Gruppe (DE)
Warum kein US-Hyperscaler?
AWS, Azure und Google Cloud bieten zwar EU-Regionen, bleiben aber US-Konzerne. Damit fallen sie unter den US CLOUD Act. US-Behörden können Datenherausgabe verlangen, auch wenn die Daten physisch in Frankfurt liegen. Für regulierte europäische Organisationen ist das ein K.O.-Kriterium.
STACKIT entzieht sich dieser Konstruktion vollständig: Deutsches Unternehmen, deutsche Rechenzentren, deutsches Recht. Keine Datenherausgabepflicht an außereuropäische Behörden.
02
Datenfluss
Wie Ihre Dokumente verarbeitet werden
- 01
Upload
Dokumente werden über eine TLS-1.3-verschlüsselte Verbindung in Ihren Workspace hochgeladen. Direkt an unsere Server in Deutschland, kein Zwischenstopp bei Drittanbietern.
- 02
Indexierung
Texte werden extrahiert (inkl. OCR bei gescannten PDFs), in Abschnitte zerlegt und in eine Vektordatenbank überführt. Diese Datenbank ist mandantengetrennt.
- 03
Anfrage & Antwort
Bei einer Frage werden nur die relevanten Dokumentabschnitte aus Ihrem Workspace an unser KI-Modell weitergegeben. Das Modell läuft auf STACKIT-Infrastruktur, ebenfalls in Deutschland. Keine Weiterleitung an OpenAI, Anthropic oder Google.
- 04
Speicherung & Löschung
Dokumente bleiben gespeichert, solange Sie sie in Ihrem Workspace behalten. Beim Löschen werden alle Dokumente, Vektoren und Anfrageprotokolle innerhalb von 30 Tagen unwiderruflich gelöscht, inklusive Backups.
03
Verschlüsselung
Schutz Ihrer Daten
Übertragung
TLS 1.3 für jede Verbindung. HSTS aktiviert, alte Cipher-Suites deaktiviert.
SSL Labs Rating: A+
Ruhend
AES-256 für alle gespeicherten Dokumente und Datenbanken. Schlüsselverwaltung über STACKIT KMS.
FIPS 140-2 Level 3
Backups
Verschlüsselte Backups, gespeichert ausschließlich in deutschen Rechenzentren. Aufbewahrung: 30 Tage.
RTO 4h · RPO 1h
Schlüsselverwaltung
Verschlüsselungsschlüssel in Hardware Security Modules (HSM). Auf Wunsch BYOK: Bring Your Own Key.
HSM · BYOK optional
04
Zugriffskontrolle
Wer sieht was
Mandantentrennung
Jede Organisation arbeitet in einer logisch isolierten Umgebung. Daten einer Organisation sind weder über das Produkt noch über die Datenbank für andere Organisationen einseh- oder durchsuchbar.
Rollen & Berechtigungen (RBAC)
Innerhalb einer Organisation können Workspaces unterschiedlichen Personenkreisen zugewiesen werden. Standardrollen: Admin, Editor, Viewer.
- SSO via SAML 2.0 / OpenID Connect
- Zwei-Faktor-Authentifizierung (TOTP, FIDO2)
- Session-Management mit Geräte-Übersicht
- IP-Allowlisting auf Anfrage (Enterprise)
Audit-Logs
Jede sicherheitsrelevante Aktion wird unveränderlich protokolliert: Login, Dokumenten-Upload, Workspace-Änderungen, Berechtigungsanpassungen. Logs sind in der Admin-Oberfläche einsehbar und exportierbar (CSV, JSON).
Mitarbeiterzugriff bei Konfidenz
Standardmäßig hat niemand aus unserem Team Lesezugriff auf Kundendokumente. Im Supportfall wird Zugriff nur auf explizite Freigabe der Kundenseite gewährt, zeitlich begrenzt und vollständig protokolliert.
05
Subprocessors
Eingesetzte Drittanbieter
Bewusst kurz gehalten. Jeder Subprocessor wurde auf DSGVO-Konformität und EU-Sitz geprüft. Änderungen werden 30 Tage im Voraus angekündigt.
| Anbieter | Zweck | Standort |
|---|---|---|
| STACKIT | Hosting, Datenbank, KI-Inferenz | DE |
| Hetzner Online | Marketing-Website, Status-Page | DE |
| Mailbox.org | Transaktions-E-Mails (Login, Benachrichtigungen) | DE |
| Plausible | Anonymisierte Webseiten-Analyse | DE (self-hosted) |
Stand: Mai 2026 · Wir setzen bewusst keine US-Anbieter ein, auch nicht für Marketing oder Analytics.
06
Compliance
Status & Zertifizierungen
DSGVO
KonformVollständige DSGVO-Konformität. AV-Vertrag (Art. 28) und TOM-Beschreibung verfügbar.
EU AI Act
VorbereitetArchitektur erfüllt die Grundprinzipien (Transparenz, Nachvollziehbarkeit, menschliche Kontrolle). Compliance-Modul in Arbeit.
ISO 27001
In VorbereitungZertifizierung läuft, geplanter Abschluss Q4 2026. Hosting-Infrastruktur (STACKIT) ist bereits ISO 27001 zertifiziert.
BSI C5
GeplantC5-Testat vorgesehen für 2027. Hosting auf STACKIT (C5 Type 2 zertifiziert) bildet die Basis.
07
Vorfälle
Wenn etwas schief geht
Sicherheitsvorfälle melden
Wenn Sie eine Sicherheitslücke entdecken oder einen Vorfall vermuten, kontaktieren Sie uns über folgenden Weg. Wir antworten innerhalb von 24 Stunden.
Meldepflicht bei Datenpannen
Bei einer Datenschutzverletzung mit Auswirkung auf Kundendaten benachrichtigen wir betroffene Kunden ohne unangemessene Verzögerung, spätestens innerhalb der DSGVO-Frist von 72 Stunden nach Kenntnisnahme.
Status-Page
Aktuelle Verfügbarkeit aller Komponenten unter status.konfidenz.ai. Geplante Wartungen werden mindestens 48 Stunden im Voraus angekündigt.
Frage offen geblieben?
Sprich direkt mit unserem Datenschutzbeauftragten. Wir beantworten technische und vertragliche Fragen schnell und ohne Sales-Stufen dazwischen.