Vertraulichkeit
- →AES-256-GCM at-rest für PII + BYOK-Keys
- →TLS 1.3 in-transit, HSTS preload
- →Workspace-Isolation (Row-Level-Security)
Sicherheit ist die Grundlage, nicht das Add-on.
DSGVO-konforme Verarbeitung, EU-Hosting ohne Abkürzung, AVV im Standard ab Business. Hier alle Frameworks, Sub-Processor und TOMs auf einer Seite — keine versteckten Sub-Sub-Anbieter.
Sicherheits-Whitepaper anfordernCOMPLIANCE-STATUS
Was steht, was kommt.
DSGVO Art. 32
Erfüllt
AI-Act (GPAI)
Bereit (8/2026)
EU-Hosting
Garantiert
AVV inklusive
Standard ab Business
ISO 27001
Zertifizierung Q2/2027
BSI C5 Type 2
Roadmap 2027
TISAX
Anvisiert 2026
SOC 2 Type 2
Roadmap 2027
SUB-PROCESSOR
Wer Daten in Ihrem Auftrag verarbeitet.
Stand: aktuell · Änderungen werden 30 Tage vorab via Newsletter angekündigt.
| Anbieter | Zweck | Region | Übermittlung |
|---|---|---|---|
| Vercel | Hosting (Frankfurt) | EU-FRA1 | EU only |
| Neon | Postgres (eu-central) | EU | EU only |
| Railway | Qdrant + Redis | EU | EU only |
| Resend | Transaktional-Mail | EU | EU only |
| Anthropic | LLM (Claude) | EU-Region | DPF + SCC |
| OpenAI Ireland | LLM (GPT) | Ireland | EU only |
| Mistral | LLM | France | EU only |
| Aleph Alpha | LLM | Germany | EU only |
| Calendly | Termin-Buchung Beratung | USA (Atlanta) | SCC + DPA |
TOMs · ART. 32 DSGVO
Technische und organisatorische Maßnahmen.
Integrität
- →Audit-Log auf Verarbeitungsebene
- →Signed-Container-Images (cosign)
- →Hash-Chained-Backups
Verfügbarkeit
- →Multi-AZ-Deployment in EU-Region
- →RTO 4 h · RPO 1 h
- →99,9 % SLA (Business + Enterprise)
Belastbarkeit
- →Auto-Scaling auf Vercel + Railway
- →Rate-Limit-Schutz vor Abuse
- →Graceful Degradation bei LLM-Outages
Wiederherstellbarkeit
- →PITR (Point-in-Time-Recovery) für Postgres
- →Daily Snapshots Qdrant + Redis
- →30 d Backup-Retention (90 d Enterprise)
Verfahren
- →Pen-Tests jährlich · Bug-Bounty laufend
- →Mitarbeiter-Schulungen quartalsweise
- →DPIA pro neuem Feature mit personenbezogenen Daten
AI-ACT · ANHANG III
Hochrisiko-Mapping pro Use-Case.
Anirag selbst ist kein Hochrisiko-System nach AI-Act Anhang III. Wenn Sie Anirag jedoch in Hochrisiko-Domänen einsetzen (Personalwesen, Bildung, Strafverfolgung, kritische Infrastruktur), übernehmen wir Pflichten als Bereitsteller: GPAI-Transparenz, Risiko-Management, Logging, Datenqualität.
Im Whitepaper finden Sie ein konkretes Mapping pro Anhang-III-Punkt mit Customer-Pflichten + Anirag-Lieferungen.
WHITEPAPER · 28 SEITEN · PDF
Anirag Sicherheits-Whitepaper.
Vollständige Architektur, Sub-Processor-Map mit Audit-Klauseln, TOMs nach DSGVO Art. 32, AI-Act-Anhang-III-Mapping. Auf Anfrage per E-Mail.
Whitepaper anfordernSECURITY · FAQ
Fünf häufige Fragen.
01Wo werden Daten gespeichert?
Primär Frankfurt (eu-fra1). Wahlweise Zürich (eu-zur-1) oder Wien (eu-vie-1) — keine US-Region. On-Prem im Sovereign-Plan.
02Werden meine Daten für KI-Training genutzt?
Nein. Zero-Retention-Vereinbarungen mit allen LLM-Providern (Anthropic, OpenAI, Mistral, Aleph Alpha). Vertraglich + technisch durchgesetzt.
03Wie verschlüsselt Anirag PII?
AES-256-GCM at-rest mit Per-Tenant-Keys (KEK + DEK). TLS 1.3 in-transit. BYO-KMS via AWS-KMS oder Azure-Key-Vault im Enterprise-Plan.
04Habt Ihr ein DPA / AVV?
Ja, AVV-Standardvertrag inklusive ab Business-Plan. Im Enterprise-Plan individuell verhandelbar mit Sub-Processor-Map und Audit-Klauseln.
05Wie schnell wird ein Sicherheitsvorfall gemeldet?
Innerhalb 24 h an betroffene Verantwortliche, gemäß DSGVO Art. 33 binnen 72 h an die Aufsichtsbehörde (LfDI BW).
Bereit für ein 30-Min-Security-Briefing?
Wir gehen Ihre Compliance-Anforderungen, Sub-Processor-Map und Audit-Klauseln durch — bevor Sie unterschreiben.