Multi-Tenant-Isolation
Row-Level Security (RLS) auf jeder Kunden-Datentabelle. Default DENY — explizite Grants only. Tenant-Isolation wird durch automatisierte Tests bei jedem PR verifiziert.
Trust Center
Die Daten deiner Kunden. In Europa. Zu deinen Bedingungen.
Mignuti Chatbot ist von Tag eins für B2B konzipiert — jede Architekturentscheidung fängt mit "würde ein Datenschutzbeauftragter das abnicken?" an. Unten: wie das System arbeitet, wo die Bytes liegen, wer sonst noch involviert ist, und das rechtliche Gerüst dahinter.
✓ Konform
DSGVO / GDPR
AVV gemäß Art. 28 verfügbar
✓ Konform
EU-AI-Act
Artikel-50-Hinweis
◷ Roadmap
ISO 27001
Audit geplant
◷ Roadmap
SOC 2 Type II
Audit 2027
Wo jedes Byte landet
Vom Moment, in dem ein Besucher tippt, bis die Antwort bei ihm ankommt — maßstabsgetreu.
Subprocessors
Änderungen kannst du in deinen Compliance-Einstellungen abonnieren — du bekommst 30 Tage vor Wirksamkeit Bescheid.
| Auftragsverarbeiter | Zweck | Region | Transfer | AVV |
|---|---|---|---|---|
| Supabase (EU) | Datenbank, Auth, Edge Functions, Storage | Frankfurt (eu-central-1) | Innerhalb EU | AVV ansehen |
| Anthropic PBC | LLM-Inferenz (Claude Haiku 4.5) | USA | EU-US DPF + EU-SCCs 2021/914 | AVV ansehen |
| Microsoft Azure OpenAI | Embeddings (text-embedding-3-small) + LLM-Fallback (GPT-4o-mini) | Sweden Central — EU-Datenzone | Innerhalb EU | AVV ansehen |
| Stripe | Zahlungsabwicklung | Irland (Stripe Payments Europe Ltd.) | Innerhalb EU | AVV ansehen |
| Cloudflare | CDN + DDoS-Schutz (Widget-Auslieferung) | Globales Anycast, EU PoPs | SCCs + EU IDTA | AVV ansehen |
Technische & Organisatorische Maßnahmen (TOMs)
Acht Säulen, an denen wir uns selbst messen. Jede wird durch automatisierten Test oder externes Audit verifiziert.
EU-Datenresidenz
Datenbank, Datei-Storage, Vektor-Datenbank UND Embedding-Berechnung laufen in der EU (Frankfurt + Azure-EU-Datenzone, Sweden Central). Nur die primäre LLM-Inferenz erfolgt bei Anthropic PBC (USA) — abgesichert durch EU-US Data Privacy Framework + EU-SCCs 2021/914; personenbezogene Daten werden vor der Übermittlung automatisch maskiert (PII-Redaction).
Verschlüsselung
TLS 1.3 in transit, AES-256 at rest, bcrypt für Widget-Secrets. JWT-Token sind HS256-signiert und an den IP-Hash der Ursprungsverbindung gebunden.
Prompt-Injection-Schutz
User-Inhalte werden in <source>-Marker eingehüllt, Steuerzeichen entfernt, und 12 bekannte Injection-Pattern werden auf Edge-Ebene blockiert, bevor sie das LLM erreichen.
PII-Redaktion
Optional Microsoft Presidio: anonymisiert E-Mail, Telefon, IBAN und Kreditkartennummern aus Logs und Embeddings vor Verlassen des Request-Zyklus.
Audit-Log
Jede privilegierte Aktion erzeugt einen append-only-Eintrag. Aufbewahrung 2 Jahre operativ, 7 Jahre für compliance-relevante Events. Read-only via Service-Role.
EU-AI-Act-Compliance
Artikel-50-Hinweis in jeder Chat-Session — unblockbar, vertraglich fixiert. Bot identifiziert sich als KI in der Welcome-Zeile und im persistenten Footer-Banner.
DSGVO Self-Service
Endnutzer können ihren Conversation-Verlauf ohne Account löschen — über ein Per-Session-Token. Org-Owner erhalten 1-Klick-Datenexports und 30 Tage Karenz vor Account-Löschung.
Rechtsdokumente
Alle aktuellen Versionen. Ältere Versionen auf Anfrage.
Auftragsverarbeitungsvertrag (AVV)
Art. 28 DSGVO · aktuelle Version
Datenschutzerklärung
DE · EN
AGB
B2B · Haftungsobergrenze 12-Monats-Entgelt
EU-AI-Act-Hinweis
Artikel-50-Pflichten
Auftragsverarbeiter (kanonisch)
Aktualisierung innerhalb 24h
Barrierefreiheits-Erklärung
WCAG 2.2 AA · BFSG 2025