Häufige Fragen

Alle Anwendungsdaten werden ausschließlich in Deutschland und der EU verarbeitet und gespeichert. Unsere Infrastruktur läuft auf Hetzner Cloud (Falkenstein/Frankfurt, Deutschland), die Datenbank bei Neon (Frankfurt, EU) und der Object Storage ebenfalls bei Hetzner in Deutschland. Die Website wird über Vercel mit EU-Regionen bereitgestellt.

Nein, niemals. Alle KI-Modelle werden ausschließlich über EU-basierte Dienste betrieben — Azure AI Foundry (Deutschland West) und AWS Bedrock (Frankfurt). Es bestehen vertragliche Zero-Retention- und Zero-Training-Vereinbarungen. Ihre Daten verlassen zu keinem Zeitpunkt die EU, werden ausschließlich zur Verarbeitung Ihrer Anfragen verwendet und danach sofort verworfen.

Ja. Unser Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist unter optimaite.eu/avv verfügbar und automatisch Bestandteil unserer AGB. Er umfasst die vollständigen technischen und organisatorischen Maßnahmen (TOMs) sowie das aktuelle Unterauftragnehmerverzeichnis.

Optimaite implementiert eine strikte Multi-Tenant-Architektur mit Isolation auf Datenbankebene. Jede Datenbankabfrage wird automatisch auf den jeweiligen Tenant gefiltert (Row-Level Security), sodass ein Zugriff auf Daten anderer Mandanten technisch ausgeschlossen ist. Zusätzlich werden in Kubernetes separate Namespaces und Network Policies eingesetzt.

Alle Daten werden sowohl während der Übertragung (in Transit) als auch im Ruhezustand (at Rest) verschlüsselt. Für die Übertragung nutzen wir TLS 1.3, für die Speicherung AES-256 Verschlüsselung. Dies gilt für die Datenbank, den Object Storage und alle Backups.

Nach Beendigung des Vertrags stellen wir Ihnen alle Daten für 30 Tage zum Export in gängigen, maschinenlesbaren Formaten bereit. Nach Ablauf dieser Frist werden sämtliche personenbezogenen Daten unwiderruflich gelöscht. Backup-Rotationen werden innerhalb von 90 Tagen bereinigt. Die Löschung wird auf Verlangen bestätigt.

Ja. Optimaite ist vollständig DSGVO-konform. Dies umfasst: Datenverarbeitung ausschließlich in der EU, einen standardisierten AV-Vertrag gemäß Art. 28 DSGVO, dokumentierte TOMs gemäß Art. 32 DSGVO, ein vollständiges Unterauftragnehmerverzeichnis, Verfahren zur Erfüllung von Betroffenenrechten, sowie einen Incident-Response-Plan mit 24-Stunden-Meldepflicht.

Wenn Sie KI-Funktionen nutzen (z. B. Dokumentenanalyse, Textgenerierung), wird der relevante Dokumenteninhalt über die API an den KI-Dienst (Azure AI in Deutschland oder AWS Bedrock in Frankfurt) gesendet. Es werden nur die für die jeweilige Funktion erforderlichen Inhalte übermittelt — keine Benutzer-Metadaten oder Tenant-Informationen. Die Verarbeitung erfolgt in Echtzeit innerhalb der EU und die Daten werden sofort danach verworfen.

Ja. Kunden haben die Möglichkeit, eigene API-Keys für die KI-Dienste zu hinterlegen (z. B. Azure, AWS). Damit kontrollieren Sie die gesamte KI-Verarbeitungskette selbst und die Daten fließen direkt über Ihren eigenen Vertrag mit dem jeweiligen Anbieter.

Wir befinden uns derzeit im Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001. Unsere Infrastrukturpartner (Hetzner, Neon) verfügen bereits über ISO 27001 und SOC 2 Type II Zertifizierungen. Wir planen, eigene Zertifizierungen im Rahmen unseres Wachstums zu erlangen.

Gemäß unserem AV-Vertrag (§ 5) haben Sie das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften zu überprüfen, auch durch Inspektionen vor Ort nach vorheriger Ankündigung. Zusätzlich stellen wir alle erforderlichen Informationen und Dokumente für Compliance-Reviews bereit. Kontaktieren Sie uns unter security@optimaite.eu.

Die Plattform verarbeitet folgende Datenkategorien: Benutzerkontodaten (Name, E-Mail), Dokumente und Dateien, Chat-Nachrichten und KI-Interaktionen, sowie technische Metadaten (IP-Adressen, Zeitstempel, Fehlerprotokolle). Die vollständige Beschreibung finden Sie in unserem AV-Vertrag unter § 3.