DSGVO & Compliance
Wie StellarBase regulatorische Rahmenwerke erfüllt — was integriert ausgeliefert wird, was Sie konfigurieren und welche Dokumentation für Ihre Auditoren verfügbar ist.
DSGVO-Konformität
Rechtsgrundlage
StellarBase ist Auftragsverarbeiter. Sie — der Kunde — sind Verantwortlicher. Unser AVV (Auftragsverarbeitungsvertrag) dokumentiert diese Beziehung und ist Bestandteil jedes Vertrags.
Zuordnung der Grundsätze
| Grundsatz | Wie StellarBase ihn unterstützt |
|---|---|
| Rechtmäßigkeit, Treu und Glauben, Transparenz | AVV, dokumentierte Verarbeitungszwecke |
| Zweckbindung | Datenbereiche pro Base; keine Base-übergreifende Verarbeitung ohne explizite Konfiguration |
| Datenminimierung | Die Wissensdatenbank ist eine semantische Schicht, keine Kopie — minimiert Datenduplizierung |
| Richtigkeit | Kontinuierliche Synchronisierung aus den Quellen verhindert, dass sich veraltete Kopien ansammeln |
| Speicherbegrenzung | Konfigurierbare Aufbewahrung pro Base; automatische Löschung von Daten nach Ablauf der Aufbewahrung |
| Integrität & Vertraulichkeit | Siehe Verschlüsselung |
| Rechenschaftspflicht | Unveränderliches Audit-Log jeder Aktion |
Betroffenenrechte
Werkzeuge zur Erfüllung von Anträgen betroffener Personen:
- Auskunft (Art. 15) — Suche über die Wissensdatenbank anhand der Kennung der betroffenen Person; Export der Ergebnisse
- Berichtigung (Art. 16) — Korrektur der Quelldokumente; Änderungen werden über die Connector-Synchronisierung propagiert
- Löschung (Art. 17) — Entfernung aus Wissensdatenbank, Indizes und Vektoren; Audit-Log der Entfernung wird aus Compliance-Gründen aufbewahrt
- Einschränkung (Art. 18) — tagbasierte Zugriffskontrolle blockiert die Verarbeitung vorübergehend
- Datenübertragbarkeit (Art. 20) — Export aller Daten zu einer betroffenen Person in einem Standardformat
- Widerspruch (Art. 21) — Verarbeitungssperren pro Agent und pro Workflow
DSB & VVT
Die Admin-UI erzeugt einen Entwurf eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) für Ihre Base. Sie passen ihn an das Format Ihres Rechtsbeistands an, doch die Datenflüsse sind erfasst.
DSFAs
Wir stellen DSFA-Vorlagen für gängige Workflows bereit (Kundensupport-Bot, Dokumentenprüfung, Forschungskorpus). Sie sind Ausgangspunkte — Ihr DSB führt die Bewertung dennoch selbst durch.
EU Data Act
Wesentliche Pflichten und wie wir sie erfüllen:
- Datenübertragbarkeit — jede Base in Standardformaten exportierbar. Siehe Bereitstellung für Details zu „Zero Lock-in”.
- Anbieterwechsel — integrierte 30-tägige Übergangsfrist, technische Migrationsunterstützung inbegriffen
- Diskriminierungsfreier Zugang — keine Vertragsklauseln zur Anbieterbindung
DORA (für Finanzkunden)
Der Digital Operational Resilience Act gilt für EU-Finanzunternehmen. StellarBase unterstützt:
- Dokumentiertes Rahmenwerk für das IKT-Risikomanagement (wir stellen unseres bereit)
- Tests & Resilienz (Pen-Test-Berichte, DR-Testergebnisse verfügbar)
- Drittparteien-Risikomanagement (wir sind der „IKT-Drittdienstleister”; DORA-konforme Vertragsvorlagen inbegriffen)
- Meldung von Vorfällen (Meldung von Verstößen innerhalb der von DORA geforderten Fristen)
- Konzentrationsrisiko (Self-Hosting-Option verfügbar, falls Sie die Cloud-Konzentration entschärfen müssen)
NIS2 (für wesentliche / wichtige Einrichtungen)
Operative Sicherheitsanforderungen abgestimmt. Air-Gapped-Bereitstellungen erfüllen die strengsten NIS2-Kategorien.
ISO 27001
🛠 Ready in Q2 2026. Die Zertifizierung läuft.
Der Zertifizierungsumfang umfasst:
- StellarCloud Managed Inference Platform
- StellarBase Managed Cloud
- StellarGate Managed Privacy Proxy
- Unterstützende Infrastruktur (Bereitstellungen, Monitoring, Incident Response)
Statement of Applicability auf Anfrage (unter NDA); das Zertifikat folgt nach Abschluss.
SOC 2 Type II
In Bearbeitung. Geplanter Abschluss Q2 2026. Zwischenberichte (Type I + „Readiness”) ab sofort verfügbar.
Datenresidenz
| Option | Wo die Daten liegen |
|---|---|
| Managed EU Cloud | Frankfurt, Amsterdam oder Prag (EU; wir weisen die Region zu) |
| Private Managed | Ihr AWS-/Azure-/GCP-Tenant, Region Ihrer Wahl |
| Selbst gehostet | Ihr Rechenzentrum, wo auch immer es sich befindet |
| Air-Gapped | Dasselbe, mit null Egress |
Keine transatlantische Datenübermittlung, sofern Sie sich nicht ausdrücklich dafür entscheiden.
Ressourcen
Für Ihren CISO / DSB / Auditor, auf Anfrage unter NDA verfügbar:
- Dokument zur Sicherheitsarchitektur
- Penetrationstest-Berichte (aktuell + historisch)
- AVV-Vorlage
- Standardvertragsklauseln (für Übermittlungen außerhalb der EU)
- ISO 27001 Statement of Applicability (Zertifikat nach Abschluss)
- SOC 2 Zwischenberichte (Type I, Readiness)
- DSFA-Vorlagen
- VVT-Beispiele
- Incident-Response-Playbooks
