Wir verarbeiten Dokumente, die nicht in falsche Hände gehören dürfen. Diese Seite zeigt im Detail, wie wir das technisch und organisatorisch sicherstellen — damit IT-Sicherheit, Datenschutz und Compliance prüfen können, bevor Konfidenz im eigenen Unternehmen eingesetzt wird.
Schwarz Digits IT GmbH · Cloud-Provider der Schwarz-Gruppe
Konfidenz läuft vollständig auf STACKIT — der souveränen Cloud-Plattform der Schwarz-Gruppe (Lidl, Kaufland). STACKIT ist ein deutsches Unternehmen mit Rechenzentren ausschließlich in Deutschland und Österreich. Es gibt keine US-Beteiligung und keine Tochtergesellschaften unter US-Recht.
AWS, Azure und Google Cloud bieten zwar EU-Regionen, bleiben aber US-Konzerne. Damit fallen sie unter den US CLOUD Act — US-Behörden können Datenherausgabe verlangen, auch wenn die Daten physisch in Frankfurt liegen. Für regulierte europäische Organisationen ist das ein K.O.-Kriterium.
STACKIT entzieht sich dieser Konstruktion vollständig: Deutsches Unternehmen, deutsche Rechenzentren, deutsches Recht. Keine Datenherausgabepflicht an außereuropäische Behörden.
Dokumente werden über eine TLS-1.3-verschlüsselte Verbindung in deinen Workspace hochgeladen. Die Übertragung erfolgt direkt an unsere Server in Deutschland — kein Zwischenstopp bei Drittanbietern.
Texte werden extrahiert (inkl. OCR bei gescannten PDFs), in Abschnitte zerlegt und in eine Vektordatenbank überführt. Diese Datenbank ist mandantengetrennt — jeder Workspace ist physisch isoliert von anderen.
Bei einer Frage werden nur die relevanten Dokumentabschnitte aus deinem Workspace an unser selbst-gehostetes KI-Modell weitergegeben. Das Modell läuft auf STACKIT-Infrastruktur, ebenfalls in Deutschland. Es werden keine Daten an OpenAI, Anthropic, Google oder andere KI-Anbieter weitergeleitet.
Dokumente bleiben gespeichert, solange du sie in deinem Workspace behältst. Beim Löschen eines Workspaces werden alle Dokumente, Vektoren und Anfrageprotokolle innerhalb von 30 Tagen unwiderruflich gelöscht — inklusive aller Backups.
TLS 1.3 für jede Verbindung. HSTS aktiviert, alte Cipher-Suites deaktiviert.
AES-256 für alle gespeicherten Dokumente und Datenbanken. Schlüsselverwaltung über STACKIT KMS.
Verschlüsselte Backups, gespeichert ausschließlich in deutschen Rechenzentren. Aufbewahrung: 30 Tage.
Verschlüsselungsschlüssel werden in Hardware Security Modules (HSM) verwaltet. Auf Wunsch BYOK — Bring Your Own Key.
Jede Organisation arbeitet in einer logisch isolierten Umgebung. Daten einer Organisation sind weder über das Produkt noch über die Datenbank für andere Organisationen einseh- oder durchsuchbar.
Innerhalb einer Organisation können Workspaces unterschiedlichen Personenkreisen zugewiesen werden. Standardrollen: Admin, Editor, Viewer.
Jede sicherheitsrelevante Aktion wird unveränderlich protokolliert: Login, Dokumenten-Upload, Workspace-Änderungen, Berechtigungsanpassungen. Logs sind in der Admin-Oberfläche einsehbar und exportierbar (CSV, JSON).
Standardmäßig hat niemand aus unserem Team Lesezugriff auf Kundendokumente. Im Supportfall wird Zugriff nur auf explizite Freigabe der Kundenseite gewährt, zeitlich begrenzt und vollständig protokolliert.
Bewusst kurz gehalten. Jeder Subprocessor wurde auf DSGVO-Konformität und EU-Sitz geprüft. Änderungen werden 30 Tage im Voraus angekündigt.
| Anbieter | Zweck | Standort |
|---|---|---|
| STACKIT | Hosting, Datenbank, KI-Inferenz | DE |
| Hetzner Online | Marketing-Website, Status-Page | DE |
| Mailbox.org | Transaktions-E-Mails (Login, Benachrichtigungen) | DE |
| Plausible | Anonymisierte Webseiten-Analyse | DE (self-hosted) |
Stand: Mai 2026 · Wir setzen bewusst keine US-Anbieter ein, auch nicht für Marketing oder Analytics.
Vollständige DSGVO-Konformität. AV-Vertrag (Art. 28) und TOM-Beschreibung verfügbar.
Architektur erfüllt die Grundprinzipien (Transparenz, Nachvollziehbarkeit, menschliche Kontrolle). Compliance-Modul in Arbeit.
Zertifizierung läuft, geplanter Abschluss Q4 2026. Hosting-Infrastruktur (STACKIT) ist bereits ISO 27001 zertifiziert.
C5-Testat vorgesehen für 2027. Hosting auf STACKIT (C5 Type 2 zertifiziert) bildet die Basis.
Wenn du eine Sicherheitslücke entdeckst oder einen Vorfall vermutest, kontaktiere uns über folgenden Weg. Wir antworten innerhalb von 24 Stunden.
Bei einer Datenschutzverletzung mit Auswirkung auf Kundendaten benachrichtigen wir betroffene Kunden ohne unangemessene Verzögerung — spätestens innerhalb der DSGVO-Frist von 72 Stunden nach Kenntnisnahme. Die Meldung umfasst Art des Vorfalls, betroffene Datenkategorien, voraussichtliche Folgen und ergriffene Maßnahmen.
Aktuelle Verfügbarkeit aller Komponenten unter status.konfidenz.ai. Geplante Wartungen werden mindestens 48 Stunden im Voraus angekündigt.
Sprich direkt mit unserem Datenschutzbeauftragten. Wir beantworten technische und vertragliche Fragen schnell und ohne Sales-Stufen dazwischen.