EU AI Act (Verordnung 2024/1689) ist bereits in Kraft - einzelne Pflichten greifen stufenweise. Zeit, KI-Nutzung strukturiert aufzustellen.
Betrieb und Datenschutz

Sicherheit und Datenschutz bei CompliKI.

Wir benennen, wo Daten liegen, welche externen Dienste eingebunden sind und welche technischen Schutzmaßnahmen aktiv sind. Ohne Buzzwords, ohne uneinlösbare Zertifizierungsversprechen.

Hosting Datenflüsse Dienstleister Technik Dokumente
01

Hosting in Deutschland.

Die CompliKI-Kernanwendung läuft auf Servern von STRATO in Deutschland. Hosting-Anbieter mit deutschem Standort, deutscher Rechtsprechung und etablierten Sicherheitsprozessen.

Kernfakten zum Hosting

  • Anbieter: STRATO AG, Rechenzentrum Deutschland.
  • Eigene Verantwortung: Die CompliKI-Anwendung wird von Baltes KI Solutions betrieben und gepflegt.
  • Zugriffsschutz: SSH-Key-only Zugang, Firewall, fail2ban.
  • Reverse-Proxy: TLS-Terminierung mit aktuellen Cipher-Suites.

Hinweis: Der Hosting-Anbieter STRATO veröffentlicht Informationen zu seinen Zertifizierungen und Sicherheitsstandards auf der STRATO-Website. CompliKI selbst ist nicht als ISO 27001 oder vergleichbar zertifiziert.

02

Datenflüsse offen erklärt.

Welche Daten verarbeitet werden und wer sie verarbeitet. Hier kompakt, im Detail in der Datenschutzerklärung.

Welche Daten in welchem Schritt verarbeitet werden

  • Konto- und Benutzerdaten: E-Mail, Name, Rolle, Passwort-Hash. Auf der CompliKI-Anwendung in Deutschland.
  • Inhaltsdaten: Erfasste KI-Systeme, Bewertungen, Workflow-Eingaben, Nachweise. Mandantengetrennt in der Anwendung.
  • Zahlungsdaten: Werden direkt an Stripe übergeben. CompliKI speichert keine Kartendaten.
  • E-Mail-Versand: Transaktionsmails über united-domains (smtps.udag.de, DE).
  • KI-Co-Pilot: Optional. Wenn aktiviert, werden Inhalte für die jeweilige Anfrage an die Anthropic-API übergeben.
  • Analytics: PostHog, nur bei aktivem Consent. Pseudonymisierte Nutzungsdaten.
03

Eingebundene Dienstleister.

Vollständige Liste der externen Dienste, die für den Betrieb von CompliKI eingebunden sind. Inklusive Sitz und Hinweis auf mögliche Drittlandsübermittlungen.

Übersicht externe Dienste

Hosting der Kernanwendung
STRATO
Deutschland
Zahlungsabwicklung
Stripe
EWR, Daten können das EWR verlassen
E-Mail-Versand
united-domains
Deutschland (smtps.udag.de)
KI-Co-Pilot (optional)
Anthropic
US-Server möglich
Analytics (Opt-in)
PostHog
EU-Hosting
Monitoring / Fehlertracking
Aktuell nicht eingebunden
Stand: Juni 2026

Die vollständigen Auftragsverarbeitungs-Verhältnisse und die rechtlichen Grundlagen für jede Übermittlung sind in der Datenschutzerklärung beschrieben.

04

Technische Schutzmaßnahmen.

Was auf Applikationsebene aktiv ist - Authentifizierung, Mandantentrennung, Verschlüsselung, Backups, Tests und Monitoring.

Authentifizierung und Zugriffe

  • Passwort-Hashing: Argon2id mit projektweit dokumentierten Parametern.
  • Rollenbasierte Zugriffssteuerung: Berechtigungen nach Rolle, kein impliziter Vollzugriff.
  • Mandantentrennung: Inhalte werden je Unternehmen voneinander getrennt geführt.
  • Session-Handling: Sichere Cookies mit Secure- und HttpOnly-Flags.

Verschlüsselung und Speicherung

  • Transportverschlüsselung: TLS für alle eingehenden Verbindungen, HSTS aktiv.
  • Verschlüsselte Speicherung: Definierte personenbezogene Datenpunkte werden in der Datenbank verschlüsselt abgelegt.
  • Backups: Automatisierte Sicherungen der Anwendungsdaten mit klarer Aufbewahrungsdauer.

Tests und Monitoring

  • Automatisierte Tests: Test-Suite begleitet Änderungen an Klassifizierungs- und Datengovernance-Logik.
  • Technische Überwachung: Health-Checks und Logging für den Betrieb der Anwendung.
  • Update-Disziplin: Regelmäßige Pflege der Abhängigkeiten und der Betriebssystem-Pakete.
05

Datenschutz- und Vertrauensdokumente.

Alle relevanten Dokumente sind verlinkt und für jede Nutzerin und jeden Nutzer einsehbar.

Vertrauensdokumente

AGB Datenschutz Impressum Widerruf
06

Ehrliche Einschränkungen.

Eine klare Auflistung, was wir nicht versprechen und was aktuell nicht eingebunden ist.

Was wir bewusst nicht behaupten

  • Keine eigene ISO-27001-Zertifizierung: CompliKI selbst ist nicht zertifiziert. Der Hosting-Anbieter STRATO veröffentlicht Informationen zu seinen Zertifizierungen und Sicherheitsstandards.
  • Kein Penetrationstest-Zertifikat: Es wurden keine externen Pentests offiziell zertifiziert. Interne Tests laufen.
  • Kein Bug-Bounty-Programm: Aktuell nicht eingerichtet. Sicherheits-Meldungen bitte per E-Mail an info@compliki.de.
  • Kein eigenes Monitoring-Vendor-Setup: Externe Monitoring-Dienste sind aktuell nicht eingebunden. Logging erfolgt lokal.
Sicherheitsmeldungen bitte an info@compliki.de. Wir reagieren werktäglich und beheben Befunde im verantwortbaren Rahmen. Mehr in der Datenschutzerklärung und in den AGB.

CompliKI ausprobieren.

Kostenloser Schnell-Check ohne Login - oder direkt mit einer 12-Monats-Lizenz starten, 7 Tage Geld zurück.

Kostenlosen Schnell-Check starten Datenschutzerklärung