🛡️ Compliance at a GlanceStand: April 2026

Regulatorische Einordnungfür Enterprise-Beschaffung.

Diese Seite fasst die regulatorische Konformität von KanzleiAI in einer Management-tauglichen Übersicht zusammen — konzipiert für Compliance-Officers, IT-Security-Verantwortliche und Einkaufsabteilungen, die eine schnelle Vor-Prüfung brauchen, bevor Detailfragen geklärt werden.

Trust Center →AVV anfordern

Auf einen Blick

Acht Kennzahlen, die Beschaffung typischerweise zuerst prüft.

🇩🇪

Datenresidenz

Frankfurt, Deutschland (fra1)

🔐

Verschlüsselung

TLS 1.3 · AES-256

🏗️

Mandantentrennung

Row-Level Security + Path-Isolation

📋

Audit-Trail

Unveränderlich, SHA-256-gehashed

🗑️

Löschkonzept

Automatisch, Policy-basiert

🧠

KI-Training

Kein Training mit Kundendaten

📜

AVV Art. 28

Sofort verfügbar

🚨

Incident Response

Sentry · Structured Logs · SIEM-ready

Compliance-Matrix

Regulierung · Anforderung · Umsetzung · Nachweis.

Jede Zeile benennt die konkrete regulatorische Pflicht, wie KanzleiAI sie adressiert, und wo der technische Nachweis im Produkt sichtbar ist. Keine Marketing-Aussagen, nur prüfbare Fakten.

Regulierung

Anforderung

Umsetzung in KanzleiAI

Technischer Nachweis

Status

DSGVO

Art. 32

Sicherheit der Verarbeitung

TLS 1.3 in-transit, AES-256 at-rest. Tenant-isolierte Storage-Pfade. Row-Level Security auf 12 Tabellen.

Vercel Blob Store · Neon Postgres RLS · Security Headers

✓ Konform

DSGVO · Art. 32

Sicherheit der Verarbeitung

✓ Konform

TLS 1.3 in-transit, AES-256 at-rest. Tenant-isolierte Storage-Pfade. Row-Level Security auf 12 Tabellen.

Vercel Blob Store · Neon Postgres RLS · Security Headers

DSGVO

Art. 17

Recht auf Löschung

Irreversibles Delete auf Storage. Soft-Delete der Metadaten mit Audit-Trail. Täglicher Retention-Cron.

/api/cron/data-retention · Audit-Event document.retention_expired

✓ Konform

DSGVO · Art. 17

Recht auf Löschung

✓ Konform

Irreversibles Delete auf Storage. Soft-Delete der Metadaten mit Audit-Trail. Täglicher Retention-Cron.

/api/cron/data-retention · Audit-Event document.retention_expired

DSGVO

Art. 30

Verarbeitungsverzeichnis

Strukturierter JSON-Audit-Channel kanzlei.storage.audit mit Tenant-ID, Document-ID, SHA-256, Timestamp.

Vercel Logs · Audit-Tabelle AuditEvent

✓ Konform

DSGVO · Art. 30

Verarbeitungsverzeichnis

✓ Konform

Strukturierter JSON-Audit-Channel kanzlei.storage.audit mit Tenant-ID, Document-ID, SHA-256, Timestamp.

Vercel Logs · Audit-Tabelle AuditEvent

DSGVO

Art. 5 (1) e

Speicherbegrenzung

Tenant-konfigurierbare Retention-Policy (Default 365 Tage). Automatische Durchsetzung via Daily-Cron.

/dashboard/admin/privacy-retention · documentRetentionDays-Feld

✓ Konform

DSGVO · Art. 5 (1) e

Speicherbegrenzung

✓ Konform

Tenant-konfigurierbare Retention-Policy (Default 365 Tage). Automatische Durchsetzung via Daily-Cron.

/dashboard/admin/privacy-retention · documentRetentionDays-Feld

DSGVO

Art. 28

Auftragsverarbeitung

AVV nach Art. 28 DSGVO verfügbar. Unterauftragnehmer-Liste dokumentiert (Anthropic, OpenAI, Google, Vercel).

/auftragsverarbeitung

✓ Verfügbar

DSGVO · Art. 28

Auftragsverarbeitung

✓ Verfügbar

AVV nach Art. 28 DSGVO verfügbar. Unterauftragnehmer-Liste dokumentiert (Anthropic, OpenAI, Google, Vercel).

/auftragsverarbeitung

NIS2

Art. 21

Risikomanagement-Maßnahmen

Incident-ready Error-Logs mit Duration-Tracking. SIEM/SOC-ingest-ready Structured JSON. Sentry-Integration.

kanzlei.storage.audit Channel · Sentry

✓ Konform

NIS2 · Art. 21

Risikomanagement-Maßnahmen

✓ Konform

Incident-ready Error-Logs mit Duration-Tracking. SIEM/SOC-ingest-ready Structured JSON. Sentry-Integration.

kanzlei.storage.audit Channel · Sentry

EU AI Act

Art. 10

Daten-Governance für Hochrisiko-KI

SHA-256-Hash pro Dokument für Trainings-Daten-Lineage. Kein Training mit Kundendaten. Multi-Provider dokumentiert.

Document.sha256 · /ki-transparenz

✓ Konform

EU AI Act · Art. 10

Daten-Governance für Hochrisiko-KI

✓ Konform

SHA-256-Hash pro Dokument für Trainings-Daten-Lineage. Kein Training mit Kundendaten. Multi-Provider dokumentiert.

Document.sha256 · /ki-transparenz

EU AI Act

Art. 12

Aufzeichnungspflicht

Zeitgestempelte Trails für jede Storage- und KI-Interaktion. Verknüpfung Document ↔ AnalysisLog ↔ AuditEvent.

AnalysisLog-Tabelle · AuditEvent.metadata

✓ Konform

EU AI Act · Art. 12

Aufzeichnungspflicht

✓ Konform

Zeitgestempelte Trails für jede Storage- und KI-Interaktion. Verknüpfung Document ↔ AnalysisLog ↔ AuditEvent.

AnalysisLog-Tabelle · AuditEvent.metadata

EU AI Act

Art. 13

Transparenz für Nutzer

KI-Transparenz-Seite mit Modell-Liste, Limitationen, Disclaimers. Findings-Attribution je nach Modell.

/ki-transparenz · AnalysisLog.modelUsed

✓ Konform

EU AI Act · Art. 13

Transparenz für Nutzer

✓ Konform

KI-Transparenz-Seite mit Modell-Liste, Limitationen, Disclaimers. Findings-Attribution je nach Modell.

/ki-transparenz · AnalysisLog.modelUsed

GoBD

Unveränderlichkeit

Unveränderliche Dokumentation

allowOverwrite:false im Blob-Store. SHA-256 Hash-Kette im Audit-Modul. Metadaten bleiben 10 Jahre erhalten.

audit-hash.ts Hash-Chain · Blob-Store-Policy

✓ Konform

GoBD · Unveränderlichkeit

Unveränderliche Dokumentation

✓ Konform

allowOverwrite:false im Blob-Store. SHA-256 Hash-Kette im Audit-Modul. Metadaten bleiben 10 Jahre erhalten.

audit-hash.ts Hash-Chain · Blob-Store-Policy

EU-Datenresidenz

Frankfurt

Daten und Verarbeitung in der EU

Blob-Store in fra1 (Frankfurt). Functions in fra1. Neon Postgres in eu-central-1. Keine Cross-Border-Transfers.

vercel.json regions:[fra1] · Blob-Store-Konfiguration

✓ Konform

EU-Datenresidenz · Frankfurt

Daten und Verarbeitung in der EU

✓ Konform

Blob-Store in fra1 (Frankfurt). Functions in fra1. Neon Postgres in eu-central-1. Keine Cross-Border-Transfers.

vercel.json regions:[fra1] · Blob-Store-Konfiguration

ISO 27001

Annex A

Informationssicherheits-Managementsystem

Kontrollen dokumentiert: Zugriffskontrolle, Kryptographie, Betriebssicherheit, Kommunikationssicherheit, Lieferantenbeziehungen.

/sicherheit-compliance — Zertifizierung in Vorbereitung

◷ Roadmap

ISO 27001 · Annex A

Informationssicherheits-Managementsystem

◷ Roadmap

Kontrollen dokumentiert: Zugriffskontrolle, Kryptographie, Betriebssicherheit, Kommunikationssicherheit, Lieferantenbeziehungen.

/sicherheit-compliance — Zertifizierung in Vorbereitung

BSI C5

Cloud Compliance

BSI Cloud Computing Compliance Criteria Catalogue

Vercel (Infrastruktur) erfüllt SOC 2 Type II. KanzleiAI-Kontrollen werden auf C5-Schema gemapped.

Roadmap 2026

◷ Roadmap

BSI C5 · Cloud Compliance

BSI Cloud Computing Compliance Criteria Catalogue

◷ Roadmap

Vercel (Infrastruktur) erfüllt SOC 2 Type II. KanzleiAI-Kontrollen werden auf C5-Schema gemapped.

Roadmap 2026

Letzter Update-Stand: 19. April 2026. Änderungen werden im Audit-Log dokumentiert und im Release-Notes-Feed veröffentlicht.

Governance & Kontakt

Wer verantwortet die Compliance?

Datenschutzverantwortlich

SBS Deutschland GmbH & Co. KG

Digitalisierung & KI

datenschutz@sbsdeutschland.de

Security & Incident Response

Security Operations

24/7 Sentry-Monitoring

security@sbsdeutschland.de

Enterprise-Beschaffung

Produkt & Kundenerfolg

AVV · Due Diligence · SLA

ki@sbsdeutschland.de

⚖️ Diese Übersicht dient der kaufmännischen Vorprüfung und ersetzt keine rechtliche Beratung. Verbindliche Aussagen bedürfen der Einzelprüfung im Rahmen eines Datenschutzfolgenabschätzungs- oder Beschaffungsprozesses. Für ein vollständiges Compliance-Paket inkl. AVV, technisch-organisatorischer Maßnahmen (TOM) und Unterauftragnehmer-Register kontaktieren Sie ki@sbsdeutschland.de.