Concepts

Datenfluss

Wo Daten liegen, wer sie verarbeitet, welche Sub-Processoren involviert sind.

Datenfluss-Übersicht für DSGVO-Audits, AI-Act-Anhang-III-Mapping und Sub-Processor-Verträge.

Daten-Klassen

Anirag verarbeitet drei Klassen:

→Tenant-Daten: Workspace-Name, User-E-Mail, Rollen. Eigentum: Kunde.
→Knowledge-Daten: Hochgeladene Dokumente, Embeddings, Permissions-ACLs. Eigentum: Kunde.
→Telemetrie: Audit-Log (gehasht), Query-Latenzen, Error-Reports. Eigentum: gemeinsam.

Region und Speicherorte

Daten-Klasse	Primär	Backup	Verschlüsselung
Tenant-Daten	Postgres eu-fra1	Wien (eu-vie1)	AES-256-GCM
Knowledge-Daten	Qdrant eu-fra1	Zürich (eu-zur1)	Per-Tenant-DEK
Audit-Log	Postgres eu-fra1	Hash-Chain	SHA-256
BYOK-Keys	Postgres eu-fra1	KMS-encrypted	AES-256-GCM
Mail-Notifications	Resend EU-FR	—	TLS 1.3

Sub-Processoren

Vollständige Liste auf /sicherheit. Hier die für Datenfluss relevanten:

→Vercel (Frankfurt) — Hosting + Edge.
→Neon (eu-central-1) — Postgres.
→Railway (EU) — Qdrant + Redis.
→Anthropic (EU-Region) — LLM Claude.
→OpenAI Ireland — LLM GPT (optional).
→Mistral (Frankreich) — LLM (optional).
→Aleph Alpha (Heidelberg) — LLM (optional).
→Resend (EU) — Transaktional-Mail.

Was Anirag nicht tut

→Kein Modell-Training auf Kundendaten. Vertraglich + technisch mit allen LLM-Providern (Zero-Retention-Vereinbarungen).
→Kein Cross-Workspace-Leak. Workspaces sind auf Postgres-Row-Level-Security + Qdrant-Collection-Ebene isoliert.
→Keine US-Cloud im Standard. Nur explizit per Workspace-Setting aktivierbar (z. B. wenn ein Kunde GPT-4-Vision braucht und das nur in US-Region verfügbar ist).

Datenlöschung

bashDELETE /v1/documents/{id}
DELETE /v1/workspaces/{id}

Beide Endpunkte triggern:

01Soft-Delete in Postgres (Sichtbarkeit weg).
02Cascade-Delete in Qdrant (Embeddings weg).
03Audit-Log-Eintrag (Manipulationsschutz).
04Hard-Delete nach 30 Tagen (Backup-Cycles), Workspace-Daten erst nach 90 Tagen.