Compliance & Souveränität
Diese Seite fasst den aktuellen Compliance-Stand der SIMOSphere AI-Plattform der SIMO GmbH ehrlich zusammen — was bereits erfüllt ist, was in Vorbereitung ist und wo wir bewusst noch nicht stehen. Keine Werbeversprechen, keine Logo-Wand mit Zertifikaten, die wir nicht haben.
1. DSGVO / GDPR
Status: Strukturelle Coverage ~85 % (interne Reifegrad-Selbstbewertung, kein externes Audit).
- Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO wird auf Anfrage als individualisierter Mustertext bereitgestellt. → AVV-Mustertext anfordern
- Subprocessor-Liste: 8 aktive Auftragsverarbeiter, dokumentiert und 4 Wochen Vorlauf bei Wechsel (Art. 28 Abs. 2). → Liste unten
- Hosting in der EU: Plattform-Compute und Backups bei Hetzner (Deutschland); LLM-Inferenz bei Modal Labs in Frankfurt (modal-eu-Region).
- Betroffenenrechte (Art. 15–22): Self-Service-Export im Tenant-Workspace; manuelle Löschpipeline mit dokumentierter GDPR-Deletion-Matrix.
- Datenschutz-Folgenabschätzung (DSFA, Art. 35): für PostHog-Tracking erstellt; weitere DSFAs pro neuer KI-Funktion vor Aktivierung.
2. EU AI Act (VO (EU) 2024/1689)
Status: Strukturelle Coverage ~68 %. Risikoklasse: vorwiegend minimal/begrenztes Risiko, einzelne Workflows mit Transparenzpflicht (Art. 50).
- Rolle: SIMO GmbH ist sowohl Anbieter (Provider) für die Plattform als auch Bereitsteller (Deployer) für GPAI-Modelle Dritter (Apertus 8B, Mistral-Familie).
- Art. 50 Transparenzpflicht aktiv: Alle KI-Antworten werden über einen
X-AI-Disclosure-Header und sichtbare UI-Hinweise als KI-generiert markiert. - Modell-Karten: Apertus 8B (Swiss AI) und Mistral-Familie (Mistral 7B, Codestral, Magistral) sind mit Anbieter, Lizenz, Trainings-Cut-off und Einsatzgrenzen dokumentiert.
- LLM-Invocation-Log (AI-LOG-01): jede Modell-Anfrage wird mit Modell-ID, Tenant-Hash, Token-Count und Antwort-Hash für 30 Tage protokolliert.
- Kein High-Risk-System: keine Funktion fällt aktuell unter Annex III (kein Biometrie-Scoring, kein HR-Screening, kein Bildungs-Ranking).
3. ISO/IEC 27001 (ISMS)
Status: In Vorbereitung Strukturelle Coverage ~70 % (Gap-Analyse Annex A). Zertifizierungs-Audit für 2027 geplant; aktuell kein ISO-27001-Zertifikat ausgestellt.
- Asset-Inventar, Risk-Register, Statement of Applicability und Incident-Response sind im Aufbau; kontrollierte Dokumenten-Lenkung über das Repository.
- Hetzner als Hosting-Provider ist ISO/IEC 27001 zertifiziert — die Infrastruktur-Ebene profitiert davon bereits.
4. BSI C5 (Cloud Computing Compliance Criteria Catalogue)
Status: Vorbereitung Q4 2026 Mapping der C5:2020-Kontrollen gegen die bestehenden Maßnahmen läuft, beginnend mit den Bereichen OPS, IDM, CKM. Aktuell kein Testat.
5. BFSG / WCAG 2.2 AA (Barrierefreiheit)
Status: Teilkonform mit WCAG 2.2 AA und EN 301 549 V3.2.1. Erklärung zur Barrierefreiheit nach §14 BFSG veröffentlicht; VPAT 2.5 Rev INT (zweisprachig) als Detail-Dokument verfügbar.
6. Schrems II & internationale Datentransfers
Status: TIA-Methodik (Transfer Impact Assessment) dokumentiert; EU SCC 2021/914 für jeden US-Subprocessor abgeschlossen, soweit auf US-Verarbeitung zurückgegriffen wird.
- Default-Pfad: EU-Verarbeitung. US-Transfers nur, wenn ein Tenant einen US-Connector (z. B. Tavily, Stripe, Microsoft Graph) bewusst aktiviert.
- Stripe und Microsoft sind unter dem EU-US Data Privacy Framework zertifiziert.
7. Datensouveränität — Speicherorte
| Datentyp | Speicherort | Verschlüsselung |
|---|---|---|
| Tenant-Datenbanken (PostgreSQL) | Hetzner, DE | TLS in-transit, LUKS at-rest, Spalten-Verschlüsselung für Secrets (KEK rotiert) |
| Backups (täglich, 30 Tage) | Hetzner Storage Box, DE | AES-256, separater KEK-Pfad |
| LLM-Prompts & Antworten | Modal Labs, Frankfurt (modal-eu) | TLS in-transit, no-retention beim Modell-Backend |
| Datei-Uploads | Hetzner + Cloudflare R2 (EU-Buckets) | TLS in-transit, AES-256 at-rest |
| Authentifizierungs-Secrets (JWT, MFA) | Hetzner, DE | Argon2id für Passwörter, KEK-getrennt von JWT-Secret |
| Zahlungsdaten | Stripe (EU + US, DPF-zertifiziert) | PCI-DSS Level 1 (Stripe) |
| Support-Tickets (Zammad) | Hetzner, DE | TLS in-transit, LUKS at-rest |
8. Auftragsverarbeiter (Sub-Processors)
Vollständige, gepflegte Liste der 8 aktiven Auftragsverarbeiter mit Funktion, verarbeiteten Daten, Region und Vertragsbasis. Wechsel werden Bestandskunden 4 Wochen vorab per E-Mail kommuniziert (Art. 28 Abs. 2 DSGVO).
| Anbieter | Funktion | Region | Schutz |
|---|---|---|---|
| Hetzner Online GmbH | Server, Storage, Backups | DE | DPA, ISO 27001 |
| Cloudflare, Inc. | DDoS, WAF, DNS, Tunnel | Global (EU-fronted) | DPA, EU SCC 2021/914, ISO 27001 |
| Modal Labs, Inc. | LLM-Compute (EU-Region) | EU (Frankfurt) | DPA, EU SCC, No-Retention |
| Stripe, Inc. | Zahlungsabwicklung | EU + US | DPA, EU SCC, EU-US DPF |
| Tavily, Inc. | Web-Suche (Tenant-Opt-In) | US | DPA, EU SCC |
| Microsoft Corp. (Graph) | M365-Connector (Tenant-Opt-In) | EU (Tenant Choice) | DPA, EU SCC, EU-US DPF |
| GitHub, Inc. | Quellcode-Hosting (keine Tenant-Daten) | US | DPA, EU-US DPF |
| GitGuardian, Inc. | Secret-Scanning auf Push (keine Tenant-Daten) | EU | DPA |
Die vollständige interne Quelle dieser Liste wird in docs/compliance/DP-AVV-01-subprocessors.md gepflegt und mindestens quartalsweise überprüft.
9. Zertifikate
Wir führen hier nur Zertifikate auf, die tatsächlich existieren. Aktuell sind das noch keine externen Audit-Zertifikate — die Plätze sind als ehrlicher Platzhalter sichtbar.
10. Kontakt & Anforderungen
Für Compliance-Anfragen, AVV-Bezug, Vendor-Reviews oder Auditor-Zugang:
- E-Mail: [email protected]
- Datenschutz: [email protected]
- Barrierefreiheit: [email protected]
- Post: SIMO GmbH, Stichwort «Compliance», Würzburger Straße 152, 63743 Aschaffenburg, Deutschland