EU-konform by default. Nicht als Add-on.
SmartDataTwin ist als Mittelstand-Plattform für DSGVO-Pflichten gebaut — nicht nachgerüstet. Hosting Frankfurt, AV-Verträge im Onboarding, Zero-Retention bei LLM-Anbietern, sieben Jahre Audit-Log.
Worauf wir bauen.
- 01
Datenhoheit
Alle Daten in EU (Frankfurt). Supabase Postgres + Hetzner Cloud + Hetzner Object Storage als Backup.
- 02
Multi-Tenancy
Eine Datenbank, Tenant-Trennung über `org_id` und Postgres Row-Level Security. Defense in Depth.
- 03
LLM-Verarbeitung
Anthropic mit Zero-Retention-Option. OpenAI Enterprise mit EU-Region. Mistral nativ EU.
- 04
Verschlüsselung
TLS 1.3 in transit. AES-256 at rest. Sensible Felder per-Tenant-Key in `pgcrypto`.
- 05
Audit-Trail
Jede Aktion erzeugt ein Event mit Akteur, Zeit, Vorher/Nachher. 7 Jahre Retention.
- 06
Recht auf Auskunft
DSGVO-Export per /api/dsgvo/export, Löschung per /api/dsgvo/delete. Postgres pur.
Rollen & Rechte.
Vier Rollen out of the box
`org_admin`, `manager`, `employee`, `external`. Pro Entität × Aktion fein konfigurierbar.
Vererbung über Standort-Hierarchie
Rechte gelten automatisch in Sub-Standorten. Reduziert Pflegeaufwand drastisch.
Sensible Felder geschützt
Lohn, Krankenstand, Personalakten brauchen extra Permission-Bit. Audit-Pflicht.
Sprachdaten — bewusst behandelt.
Für das Telefon- und Sprachmodul: explizites Consent vor jeder Aufzeichnung. Speicherort ausschließlich EU. Löschfristen konfigurierbar — Default 90 Tage.
Zertifizierungs-Roadmap.
- Phase 2
Externer Penetrationstest. Erste Pilotkunden live.
- Phase 3
TISAX (falls Werkstattkunden). DSGVO-Audit.
- Phase 4
SOC 2 Type 1 vorbereiten (ab ~10 Kunden).
- Phase 5
ISO 27001 (ab ~25 Kunden, > 1 Mio. € ARR).