DSGVO Art. 32 konkret. AVV mit jedem Cloud-Anbieter. ISO 27001 Roadmap dokumentiert. C5-Testat-Hosting bei Hetzner Frankfurt. Mandanten- und Patientendaten verlassen nie Deutschland. Hier sind die Belege, nicht die Behauptungen.
Vollständig dokumentierte technische und organisatorische Maßnahmen für alle Customer-Setups.
Stand quartalsweiseSchriftliche AVV mit allen Cloud-Subdienstleistern und Customer. Templates mit erweiterten TOMs für Berufsgeheimnis-Schutz.
14 aktive AVV-VerträgeSämtliches Hosting bei Hetzner Frankfurt mit gültigem BSI C5:2020-Testat. Sub-Auftragsverarbeiter-Liste transparent.
Hetzner-Testat 2025Information Security Management System nach ISO/IEC 27001:2022. Aktuell in Phase 2 von 4 (Maßnahmen-Umsetzung).
Audit-Termin Q1 2027Sämtliche Customer-Daten auf Hetzner Frankfurt oder On-Premise beim Customer. Keine Daten verlassen den deutschen Wirtschaftsraum.
100% DE-HostingVDA ISA 6.0 Kontrollziele für Automotive-Lieferanten. Vorbereitungs-Phase aktiv für Kunden mit OEM-Anschluss.
AL 2-Ziel Q2 2027DripBack-KI-Module verarbeiten personenbezogene Daten teil-automatisiert — wir kennzeichnen Profiling-Aktivitäten transparent und gewährleisten menschliche Letztentscheidung.
Detaillierter Wortlaut auf /datenschutz/ §5a. Identisches Statement auch im Privacy-Center und in der AVV-PDF Anlage.
Jede Customer-Anfrage durchläuft denselben Pfad. Daten bleiben links der DSGVO-Boundary. Cloud-LLMs sehen nur pseudonymisierte Anfragen, nie Klartext-Personenbezug.
Multi-Faktor-Authentifizierung für alle privilegierten Konten. Role-based Access Control. Quartalsweise Audit der Zugriffs-Rechte.
TLS 1.3 für alle Verbindungen. AES-256-GCM für gespeicherte Daten. Customer-eigene Encryption-Keys für höchste Schutzbedarfs-Stufen.
3-2-1-Regel angewandt. Tägliche inkrementelle Backups mit Restic. Quartalsweise Restore-Tests in Test-Umgebung dokumentiert.
Sicherheits-Updates automatisiert binnen 7 Tagen. Critical-CVEs binnen 72 Stunden. Patch-Status monatlich auditiert.
Dokumentierter Workflow mit 24-Stunden-Erstmeldung an Customer. 72-Stunden-Vollmeldung. Quartalsweise Tabletop-Übungen.
Vollständiges Audit-Logging mit 90-Tage-Aufbewahrung. Anonymisierung personenbezogener Identifier. Customer-Einsicht jederzeit.
Jährliche Pflichtschulung mit dokumentierter Teilnahme. Phishing-Simulationen quartalsweise. Compliance-Quiz mit Mindest-Punktzahl.
Strikte logische Trennung zwischen Customer-Mandanten. Dedicated-Server-Option für höchste Vertraulichkeits-Anforderungen.
Vollständige Transparenz über jeden Sub-Auftragsverarbeiter, der theoretisch Zugriff auf Customer-Daten haben könnte. Aktualisierung bei Änderung mit 30-Tage-Vorankündigung.
| Anbieter | Service | Sitz · Verarbeitung | Zertifikat | AVV / DSGVO-Mechanismus |
|---|---|---|---|---|
| Hetzner Online GmbH | Hosting · Compute · Storage · lokales qwen 2.5 | Gunzenhausen/DE · Falkenstein/DE (EWR) | C5:2020 · ISO 27001 | ✓ AVV · DSGVO direkt (kein Drittland) |
| Anthropic PBC | Claude API (Sonnet, Opus) — nur nach PII-Scrub | San Francisco/USA · EU-Region Dublin | SOC 2 Type II | ✓ DPA · SCC + TIA · ⚠ US-CLOUD-Act/FISA §702-Risiko trotz EU-Endpunkt |
| Mistral AI SAS | LLM-Inferenz (EU-Modelle), Embedding-Modelle | Paris/FR (EWR) | SOC 2 | ✓ AVV · DSGVO direkt (kein Drittland) |
| OpenAI Ireland Ltd. | GPT-4o-mini API (Tool-Calls, optional) | Dublin/IE (EWR) | SOC 2 Type II | ✓ DPA · DPF · SCC für US-Subunternehmer |
| Cloudflare Inc. | CDN · DDoS · Pages-Hosting · Access SSO | San Francisco/USA · EU-Edge Frankfurt | ISO 27001 · SOC 2 | ✓ DPA · SCC + TIA · ⚠ US-CLOUD-Act-Risiko für Edge-Cache |
| Sinch Mailjet SAS | Transactional E-Mail | Paris/FR (EWR) | ISO 27001 | ✓ AVV · DSGVO direkt |
| Sendinblue SAS (Brevo) | Marketing E-Mail | Paris/FR (EWR) | ISO 27001 | ✓ AVV · DSGVO direkt |
| Plausible Insights OÜ | Web-Analytics cookieless | Tallinn/EE · DE-Hosted-Tier Frankfurt | — | ✓ AVV · DSGVO direkt |
| Sipgate GmbH | SIP-Trunking · VoIP (AI-Empfang Q3 2026) | Düsseldorf/DE (EWR) | ISO 27001 | ✓ AVV vorbereitet · DSGVO direkt |
Stand: 19.05.2026. Diese Tabelle wird synchron auf /datenschutz/ und in Anlage 2 der AVV-PDF gepflegt. Schrems-II-konforme TIA-Dokumentation für US-Anbieter auf Anfrage.
Viele Voice-AI-Anbieter sind auf einen einzigen Telefonie-Provider gelockt. Wenn dieser Provider die Preise erhöht, die API throttled oder das Geschäftsmodell ändert, sind unsere Kunden direkt betroffen. DripBack ist anders aufgebaut.
Unser shared/voice/pstn_factory.py abstrahiert Telefonie-Vendoren hinter einer einheitlichen Schnittstelle. Konkret implementiert sind heute:
Wenn ein Vendor problematisch wird (Preis-Erhöhung, API-Änderung, Insolvenz), kann DripBack durch einen einzelnen env-var-Switch (DRIPBACK_PSTN_BACKEND=easybell) auf einen anderen Provider umschalten. Ein vollständiger Re-Build wäre sechs Monate — unser Pivot dauert ein bis zwei Wochen.
Alle aktuell wirklich genutzten Vendoren liegen in der EU (Litauen, Berlin). Keine US-Schrems-II-Issue, keine Drittstaaten-Datenübertragung, kein Cloud-Act-Risiko. Das ist nicht Zufall — sondern bewusste Architektur-Entscheidung für deutsche KMU-Kunden.
Stand: 20.05.2026. Aktuelle Produktion läuft noch auf Sipgate (Migration zu DIDWW + easybell läuft, Phase 1 Code-Adapter live, Phase 2 A/B-Tests in Vorbereitung). Diese Sektion wird mit jedem Migrations-Meilenstein aktualisiert.
AVV-Vertrag für Ihren Use-Case wird im Discovery-Call gemeinsam aufgesetzt. Standard-Templates mit erweiterten TOMs für Berufsgeheimnis-Schutz verfügbar.