sgsg.platform
DSGVO

DSGVO ist nicht nachträglich zertifiziert.
Sie ist Teil der Architektur.

Wir haben sg-platform von Tag 1 für deutsches Datenschutzrecht gebaut. Hosting, Verschlüsselung, Audit-Trail und Betroffenenrechte sind keine Add-Ons - sie sind die Grundannahmen, auf denen alles andere steht.

14 Tage kostenlos testenAVV ansehen
Hetzner Frankfurt · AES-256-GCM · AVV ab Tag 1 · Subprocessor-Liste öffentlich
Hosting in DeutschlandDSGVO Art. 28 AVVEnde-zu-Ende verschlüsseltEU-Subprocessor-Liste
Hosting

Wo deine Daten leben

Keine US-Cloud, keine geheimen Subprocessoren in Drittländern. Alles in der EU, vorrangig in Deutschland.

Hauptstandort Frankfurt am Main

Application und Datenbank laufen in der Hetzner-Cloud-Region FSN1. Backups gespiegelt nach Falkenstein (Sachsen). Beides Deutschland, beides ISO-27001.

EU-Subprocessor-Liste

Alle Subprocessoren mit Sitz und Verarbeitung in der EU. Liste öffentlich einsehbar, Aktualisierungen werden 30 Tage vor Wirksamkeit per E-Mail angekündigt. Widerspruchsrecht inklusive.

Kein US-Transfer

Auch KI-Inferenz läuft über die EU-Endpunkte von Anthropic und Mistral. Kein Schrems-II-Risiko, keine SCC-Workarounds, kein Cloud Act im Hintergrund.

Verschlüsselung

Wie wir verschlüsseln

Wir verschlüsseln zweischichtig. Eine Kompromittierung einer einzelnen Komponente reicht nicht aus, um an Klartext zu kommen.

Envelope-AES-256-GCM

Jeder sensible Datensatz wird mit einem eigenen Data-Encryption-Key (DEK) verschlüsselt. Der DEK selbst wird mit einem Key-Encryption-Key (KEK) geschützt, der in HashiCorp Vault liegt. Kein Klartext-Schlüssel im App-Code, kein Schlüssel in der DB.

Per-Tenant-DEKs

Jeder Workspace bekommt eigene Data-Encryption-Keys. Eine versehentliche Cross-Tenant-Abfrage liefert chiffrierte Bytes ohne Entschlüsselungs-Pfad. Row-Level-Security in Postgres ist die zweite Schicht obendrauf.

At-rest verschlüsselt

Datenbank-Volumes mit LUKS, Object-Storage mit Server-Side-Encryption, Backups mit eigenem Schlüssel. Snapshots werden vor dem Verlassen des Primär-Standorts re-encrypted.

In-transit TLS 1.3

TLS 1.3 mit Mozilla-Modern-Profil zwischen Client und Edge. HSTS preloaded. Interne Service-zu-Service-Kommunikation läuft über mTLS, Vault verteilt die Zertifikate automatisch.

Auftragsverarbeitung

Was du als Auftraggeber bekommst

Damit du gegenüber Aufsichtsbehörden, Kunden und deinem eigenen Datenschutzbeauftragten lückenlos belegen kannst, was hier passiert.

AVV nach Art. 28 DSGVO

Vertrag zur Auftragsverarbeitung ab Tag 1, basierend auf BfDI-Mustertext v2.1. Du bekommst ihn vor-unterzeichnet, gegenzeichnen reicht. Versionsstand und Änderungs-Historie öffentlich.

AVV-Vorlage herunterladen

TOM nach Art. 32 DSGVO

Technische und organisatorische Maßnahmen dokumentiert: Zutrittskontrolle, Zugriffskontrolle, Verschlüsselung, Pseudonymisierung, Wiederherstellbarkeit. Anhang zum AVV.

TOM ansehen

DPIA-Auszug

Datenschutz-Folgenabschätzung mit Risikomatrix für die KI-Funktionen. Hilft dir bei deiner eigenen DPIA, wenn du selbst eine machst.

DPIA-Auszug öffnen

Subprocessor-Liste

Vollständige Liste aller Unter-Auftragsverarbeiter mit Sitz, Zweck und Datenkategorie. Versionshistorie öffentlich, 30 Tage Vorab-Information bei Änderungen mit Widerspruchsrecht.

Subprocessor-Liste öffnen
EU AI Act

AI Act Compliance

Wir haben uns früh mit dem AI Act befasst. Unsere KI-Funktionen sind als Limited-Risk klassifiziert, mit den passenden Schutzmaßnahmen ab Werk.

Limited-Risk-Klassifizierung

KI-Antwortvorschläge und KI-Agent fallen unter Limited-Risk nach Art. 50. Die Begründung dazu ist öffentlich dokumentiert, samt Schwellen, ab denen wir auf High-Risk hochstufen würden.

Article-50-Disclosure

KI-generierte Antworten sind im UI als solche markiert. Auf Wunsch fügen wir den Disclosure-Hinweis automatisch in der ausgehenden Nachricht hinzu. Der Endkunde weiß immer, ob ein Mensch oder ein Modell antwortet.

Human-in-the-Loop als Default

KI-Antworten gehen erst raus, wenn ein Mensch sie freigibt. Vollautomatik ist möglich, aber muss pro Automation explizit aktiviert werden, mit Audit-Trail und Eskalations-Trigger.

Cost-Cap + PII-Redaction

Hartes Monats-Budget pro Workspace verhindert Eskalation durch Endlos-Tool-Loops. Personenbezogene Daten werden vor jedem Modell-Call pseudonymisiert und nach dem Antwort-Empfang re-personalisiert.

Betroffenenrechte

SAR-Pipeline für Auskunft, Berichtigung, Löschung, Portabilität

Wenn ein Endkunde von dir Auskunft verlangt oder löschen lassen will, klickst du das ab statt manuell durch die DB zu graben.

Art. 15 Auskunft

Eine Anfrage erstellst du im Compliance-Bereich. Die SAR-Pipeline sammelt automatisch alle Konversationen, Kontaktdaten, KI-Logs und Audit-Spuren der betroffenen Person. Du bekommst ein signiertes PDF zum Weiterleiten innerhalb von 72 Stunden.

Art. 16 Berichtigung

Kontaktdaten lassen sich direkt in der Inbox korrigieren. Die Änderung wird im Audit-Log protokolliert, inklusive Hash-Chain-Verkettung gegen nachträgliche Manipulation.

Art. 17 Löschung

Löschanfrage erzeugt einen Tombstone-Eintrag, der nach 30 Tagen Karenzfrist physisch löscht. Verschlüsselte Backups werden über Crypto-Shredding entwertet, indem der zugehörige DEK in Vault zerstört wird.

Art. 20 Portabilität

Kompletter Daten-Export der betroffenen Person als JSON oder CSV in maschinenlesbarer Form. Direkt aus der UI oder programmatisch über die Public-API. Kein Lock-in, keine Format-Tricks.

Häufige Fragen zur DSGVO

Was Datenschutzbeauftragte typischerweise wissen wollen

Brauche ich noch einen separaten AVV-Vertrag?

+
Nein. Mit Vertragsabschluss bekommst du den AVV nach Art. 28 DSGVO automatisch zugeschickt, unterzeichnet von uns. Du gegenzeichnest und schickst zurück. Damit ist die Auftragsverarbeitung sauber dokumentiert, ohne dass du extra einen Anwalt brauchst.

Wer hat Zugriff auf meine Kundendaten?

+
Niemand außerhalb deines Workspaces. Auch wir als Anbieter greifen nur auf Daten zu, wenn du das explizit für ein Support-Ticket freigibst. Jeder Zugriff wird im Audit-Log mit Hash-Chain protokolliert und ist für dich einsehbar unter /audit.

Was passiert bei einem Datenschutzvorfall?

+
Wir informieren dich innerhalb von 24 Stunden nach Bekanntwerden. Unsere Incident-Response-Playbooks decken Token-Leak, Key-Compromise, Channel-Outage und DSGVO-Breach ab. Dokumentation und Meldepflicht-Unterstützung gegenüber der Aufsichtsbehörde sind Teil des AVV.

Verarbeitet ihr Daten in den USA?

+
Nein. Hosting, Backups, Logs und KI-Inferenz laufen ausschließlich auf europäischen Servern. Anthropic und Mistral nutzen wir über deren EU-Endpunkte mit eigener Datenverarbeitungs-Vereinbarung. Subprocessor-Liste steht öffentlich, Änderungen kommunizieren wir 30 Tage im Voraus.

Was bedeutet AI Act für mich als Nutzer?

+
Wir haben unsere KI-Funktionen als Limited-Risk eingestuft. Heißt für dich: Du musst Endkunden klar kennzeichnen, wenn ein Bot antwortet. Wir liefern dir den Disclosure-Text als Default in jeder KI-generierten Nachricht. Du kannst ihn anpassen oder Antworten manuell freigeben (Human-in-the-Loop).

Wie lange werden Daten gespeichert?

+
Konversationen 36 Monate, Audit-Logs 24 Monate, Backups 30 Tage rollierend. Längere Aufbewahrung im Business-Plan via Long-Retention-Audit-Cockpit. Nach Kündigung 30-Tage-Karenzfrist mit zwei Erinnerungen, dann vollständige Löschung inklusive Backups.

Compliance, die du nicht selbst nachbauen musst

Starte 14 Tage kostenlos mit dem vollen Funktionsumfang. Den AVV bekommst du im Onboarding zugeschickt, ganz ohne Vertriebs-Termin.

Kostenlos startenAVV jetzt herunterladen