StellarBase
Dokumentation Sicherheit & Compliance DSGVO & Compliance
Sicherheit & Compliance

DSGVO & Compliance

Wie StellarBase regulatorische Rahmenwerke erfüllt — was integriert ausgeliefert wird, was Sie konfigurieren und welche Dokumentation für Ihre Auditoren verfügbar ist.

DSGVO-Konformität

Rechtsgrundlage

StellarBase ist Auftragsverarbeiter. Sie — der Kunde — sind Verantwortlicher. Unser AVV (Auftragsverarbeitungsvertrag) dokumentiert diese Beziehung und ist Bestandteil jedes Vertrags.

Zuordnung der Grundsätze

GrundsatzWie StellarBase ihn unterstützt
Rechtmäßigkeit, Treu und Glauben, TransparenzAVV, dokumentierte Verarbeitungszwecke
ZweckbindungDatenbereiche pro Base; keine Base-übergreifende Verarbeitung ohne explizite Konfiguration
DatenminimierungDie Wissensdatenbank ist eine semantische Schicht, keine Kopie — minimiert Datenduplizierung
RichtigkeitKontinuierliche Synchronisierung aus den Quellen verhindert, dass sich veraltete Kopien ansammeln
SpeicherbegrenzungKonfigurierbare Aufbewahrung pro Base; automatische Löschung von Daten nach Ablauf der Aufbewahrung
Integrität & VertraulichkeitSiehe Verschlüsselung
RechenschaftspflichtUnveränderliches Audit-Log jeder Aktion

Betroffenenrechte

Werkzeuge zur Erfüllung von Anträgen betroffener Personen:

  • Auskunft (Art. 15) — Suche über die Wissensdatenbank anhand der Kennung der betroffenen Person; Export der Ergebnisse
  • Berichtigung (Art. 16) — Korrektur der Quelldokumente; Änderungen werden über die Connector-Synchronisierung propagiert
  • Löschung (Art. 17) — Entfernung aus Wissensdatenbank, Indizes und Vektoren; Audit-Log der Entfernung wird aus Compliance-Gründen aufbewahrt
  • Einschränkung (Art. 18) — tagbasierte Zugriffskontrolle blockiert die Verarbeitung vorübergehend
  • Datenübertragbarkeit (Art. 20) — Export aller Daten zu einer betroffenen Person in einem Standardformat
  • Widerspruch (Art. 21) — Verarbeitungssperren pro Agent und pro Workflow

DSB & VVT

Die Admin-UI erzeugt einen Entwurf eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) für Ihre Base. Sie passen ihn an das Format Ihres Rechtsbeistands an, doch die Datenflüsse sind erfasst.

DSFAs

Wir stellen DSFA-Vorlagen für gängige Workflows bereit (Kundensupport-Bot, Dokumentenprüfung, Forschungskorpus). Sie sind Ausgangspunkte — Ihr DSB führt die Bewertung dennoch selbst durch.

EU Data Act

Wesentliche Pflichten und wie wir sie erfüllen:

  • Datenübertragbarkeit — jede Base in Standardformaten exportierbar. Siehe Bereitstellung für Details zu „Zero Lock-in”.
  • Anbieterwechsel — integrierte 30-tägige Übergangsfrist, technische Migrationsunterstützung inbegriffen
  • Diskriminierungsfreier Zugang — keine Vertragsklauseln zur Anbieterbindung

DORA (für Finanzkunden)

Der Digital Operational Resilience Act gilt für EU-Finanzunternehmen. StellarBase unterstützt:

  • Dokumentiertes Rahmenwerk für das IKT-Risikomanagement (wir stellen unseres bereit)
  • Tests & Resilienz (Pen-Test-Berichte, DR-Testergebnisse verfügbar)
  • Drittparteien-Risikomanagement (wir sind der „IKT-Drittdienstleister”; DORA-konforme Vertragsvorlagen inbegriffen)
  • Meldung von Vorfällen (Meldung von Verstößen innerhalb der von DORA geforderten Fristen)
  • Konzentrationsrisiko (Self-Hosting-Option verfügbar, falls Sie die Cloud-Konzentration entschärfen müssen)

NIS2 (für wesentliche / wichtige Einrichtungen)

Operative Sicherheitsanforderungen abgestimmt. Air-Gapped-Bereitstellungen erfüllen die strengsten NIS2-Kategorien.

ISO 27001

🛠 Ready in Q2 2026. Die Zertifizierung läuft.

Der Zertifizierungsumfang umfasst:

  • StellarCloud Managed Inference Platform
  • StellarBase Managed Cloud
  • StellarGate Managed Privacy Proxy
  • Unterstützende Infrastruktur (Bereitstellungen, Monitoring, Incident Response)

Statement of Applicability auf Anfrage (unter NDA); das Zertifikat folgt nach Abschluss.

SOC 2 Type II

In Bearbeitung. Geplanter Abschluss Q2 2026. Zwischenberichte (Type I + „Readiness”) ab sofort verfügbar.

Datenresidenz

OptionWo die Daten liegen
Managed EU CloudFrankfurt, Amsterdam oder Prag (EU; wir weisen die Region zu)
Private ManagedIhr AWS-/Azure-/GCP-Tenant, Region Ihrer Wahl
Selbst gehostetIhr Rechenzentrum, wo auch immer es sich befindet
Air-GappedDasselbe, mit null Egress

Keine transatlantische Datenübermittlung, sofern Sie sich nicht ausdrücklich dafür entscheiden.

Ressourcen

Für Ihren CISO / DSB / Auditor, auf Anfrage unter NDA verfügbar:

  • Dokument zur Sicherheitsarchitektur
  • Penetrationstest-Berichte (aktuell + historisch)
  • AVV-Vorlage
  • Standardvertragsklauseln (für Übermittlungen außerhalb der EU)
  • ISO 27001 Statement of Applicability (Zertifikat nach Abschluss)
  • SOC 2 Zwischenberichte (Type I, Readiness)
  • DSFA-Vorlagen
  • VVT-Beispiele
  • Incident-Response-Playbooks

Verwandt