Eine KI-Plattform, die durch jede Compliance-Prüfung läuft.
AVV nach Art. 28 DSGVO, TOM-Dokumentation, Audit-Log pro Aktion, SSO über SAML/OIDC. Hosting Hetzner Nürnberg — kein Hyperscaler, kein CLOUD-Act-Risiko, kein Schrems-II-Ärger.
- Art. 28AVV im Vertrag
- Art. 32Technische TOMs dokumentiert
- Art. 17Löschung in 30 T
- Art. 20Datenexport JSON
- Art. 25Privacy-by-Design
- Art. 35DSFA für High-Risk
Jede Aktion. Jede Identität. Jeder Zeitpunkt.
Das Audit-Log ist nicht eine Sammlung von Logs — es ist die Wahrheits-Quelle. Login, Workspace-Zugriff, Knowledge-Upload, Agent-Antwort, Engine-Inferenz: alles dokumentiert, exportierbar als CSV / JSON / PDF.
- 15:42:11maier@firma.deworkspace.loginOIDC · Entra ID · MFA
- 15:42:18maier@firma.deagent.invokeagent_id=clara · req_id=r1a8
- 15:43:04maier@firma.deknowledge.uploadangebot-2026-q2.pdf · 412 KB · sha256:9a3f…
- 15:45:32systemengine.inferencetokens_in=842 · tokens_out=164
- 15:47:18admin@firma.deintegration.token.rotateconnector=hubspot · prev_hash=a72e…
- 15:51:09maier@firma.deexport.requestworkspace=mueller · format=json
Was wir Ihnen vertraglich liefern.
Standard-AVV erfüllt alle einschlägigen Artikel. Für regulierte Bereiche (BaFin, BSI, Banken-Aufsicht) liefern wir auf Wunsch ergänzende Anlagen.
Auftragsverarbeitung
Im Standardvertrag enthalten · Mustervertrag auf Anfrage
Sicherheit der Verarbeitung
TOM-Dokumentation als Anlage zum Vertrag
Datenschutz-Folgenabschätzung
Für High-Risk-Verarbeitungen, mit unserem Team gemeinsam
Verzeichnis Verarbeitungstätigkeiten
Vorlage für Ihren Datenschutzbeauftragten
Datenübertragbarkeit
JSON-Export auf Knopfdruck, vollständig
Recht auf Löschung
30-Tage-Frist · unwiderruflich · audit-able
Vier Funktionen, die jede Compliance-Abteilung erwartet.
Single Sign-On
SAML 2.0 und OIDC ab Scale. SCIM-Provisionierung in Vorbereitung. Microsoft Entra, Okta, Google Workspace getestet.
Datenexport (Art. 20)
Workspace-Exports auf Knopfdruck — alle Daten als JSON in maschinenlesbarem Format, inkl. Konversationen und Knowledge-Bestand.
Löschungs-Recht (Art. 17)
Konto-Löschung mit 30-Tage-Widerrufsfrist. Nach Frist: unwiderrufliche Löschung aller Daten, dokumentiert im Audit-Log.
Verschlüsselung
TLS 1.3 im Transport, AES-256 at-rest, separate Encryption-Keys pro Workspace. Master-Keys in HSM.
Was Ihre IT-Abteilung verlangt — und bekommt.
Häufige Fragen aus IT- und Compliance-Audits.
Wo genau sind die Server?
Hetzner Online GmbH, Rechenzentrum Nürnberg (NBG1). GPU-Instanzen für Engine-Inferenz, dedizierte Hardware. Datenbanken bei Supabase EU-Central (Frankfurt am Main). Alle Standorte in Deutschland, alle in der AVV dokumentiert.Wie steht es um Penetration-Tests?
Externes Pen-Testing jährlich + nach jedem Major-Release. Bericht im Sicherheits-Dossier (bei NDA erhältlich). Responsible-Disclosure-Policy ist veröffentlicht; wir antworten innerhalb 24 h auf Security-Hinweise an info@noctive.de.Welche Sub-Auftragsverarbeiter setzt ihr ein?
Hetzner Online GmbH (Hosting, DE), Supabase Inc. via EU-Central (Datenbank, DE), Resend (E-Mail-Versand, EU-Region), Stripe (Zahlungsabwicklung, EU). Alle dokumentiert im AVV, alle DSGVO-konform.Können wir die Engine on-premise betreiben?
Ja, ab Enterprise. Installation in Ihrem Rechenzentrum, Remote-Betrieb durch uns oder vollständige Übergabe an Ihr IT-Team. Daten verlassen Ihre Infrastruktur nie.Was passiert mit unseren Daten bei Vertrags-Ende?
Daten werden 30 Tage nach Kündigung gelöscht — auf Wunsch sofort. Vor der Löschung erhalten Sie einen vollständigen Datenexport (Art. 20). Die Löschung wird im Audit-Log mit Hash der gelöschten Datenmenge dokumentiert.
Wir senden Ihnen das volle Sicherheits-Dossier auf NDA.
Pen-Test-Bericht, AVV-Entwurf, TOM-Dokumentation, Architektur-Diagramm — alles, was Ihre Compliance-Prüfung braucht.
- Hetzner Nürnberg
- DSGVO Art. 28
- Made in Germany