EuGPT
Compliance-Hub

Alle Compliance-Unterlagen
auf einen Klick

AVV nach Art. 28 DSGVO, TOMs, Subprocessor-Liste, EU-AI-Act-Konformitätserklärung. Was Ihr Datenschutzbeauftragter braucht — sofort verfügbar.

Zu den Downloads Standards-Übersicht
Vorlagen-Pakete

Unsere Compliance-Dokumente sind als Standard-Vorlagen verfügbar. Für individuelle Anpassungen (z.B. branchenspezifische Klauseln, gemeinsame Verantwortliche, internationale Auftragsverarbeitung) erstellen wir Ihnen ein angepasstes Set.

Downloads

Vier Dokumente, die Sie brauchen

Klickbare PDF-Vorlagen für Ihre Compliance-Prüfung. Inhalte unten auf der Seite zur Vorab-Sichtung — Anwalts-Prüfung empfohlen.

AVV nach Art. 28 DSGVO

Auftragsverarbeitungsvertrag mit Standardklauseln für Datenschutzbeauftragte. Inkl. TOM-Verweis und Subprocessor-Klauseln.

Vorlage anfordern

TOMs-Dokument

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO — Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit.

Vorlage anfordern

Subprocessor-Liste

Welche Subprozessoren wir nutzen, wo sie sitzen, mit welcher Rechtsgrundlage. Update-Notification per E-Mail.

Inline ansehen

EU-AI-Act-Konformitätserklärung

Risiko-Einstufung nach EU AI Act, Transparenz-Hinweise, Pflichten für Sie als Betreiber.

Vorlage anfordern

Antwort innerhalb 1 Werktag. Vorlagen sind Standard-Templates — Anpassungen an Ihre Branche/Konstellation sind im Beratungs-Paket „DSGVO & EU-AI-Act-Audit" enthalten.

Subprozessoren

Wer verarbeitet Ihre Daten — transparent

Vollständige Liste der Subprozessoren mit Sitz, Funktion und Rechtsgrundlage. Wird bei Änderungen aktualisiert.

Subprozessor Sitz Funktion Rechtsgrundlage
intercolo GmbH 🇩🇪 Frankfurt am Main GPU-Hosting, Self-Hosted-Modelle, Plattform-Betrieb Eigene Infrastruktur, Art. 28 DSGVO
Mistral AI 🇫🇷 Paris (Hosting EU) Externe LLM-Inferenz (nur bei aktiver Auswahl) AVV mit Mistral AI, EU-Hosting
OVHcloud 🇫🇷 Roubaix (DE-Region) Externe LLM-Inferenz (optional) AVV mit OVH, EU-DCs
Stripe Payments Europe 🇮🇪 Dublin Zahlungsabwicklung Credit-Aufladungen AVV, EU-Sitz
Hetzner Online GmbH 🇩🇪 Falkenstein/Nürnberg Web-Frontend, Datenbank-Hosting Eigener Server, Art. 28 DSGVO
Resend / Postmark 🇪🇺 EU Transaktionale E-Mails (Registrierung, Belege) AVV, EU-Hosting

✓ Was wir nicht nutzen

  • — Keine US-Cloud-Anbieter (AWS, GCP, Azure) für Inferenz
  • — Keine OpenAI-/Anthropic-Anbindung im Standard-Stack
  • — Kein Cloudflare oder andere US-CDNs auf Hot-Path

! Optional bei Bedarf

  • — OpenAI/Anthropic via Frontier-Bridge (nur wenn explizit aktiviert)
  • — Klar gelabelt: „Inferenz in EU, Anbieter US"
  • — AVV-Reichweite eingeschränkt — erklärt im Onboarding

Diese Liste wird bei Änderungen aktualisiert. Auf Wunsch erhalten Sie eine E-Mail-Notification bei jedem Update (Bestandskunden automatisch).

TOMs (Vorschau)

Technisch-organisatorische Maßnahmen

Nach Art. 32 DSGVO. Hier eine Vorschau — das vollständige Dokument enthält detaillierte Implementierungs-Hinweise pro Punkt.

Vertraulichkeit

  • Verschlüsselung at-rest (AES-256)
  • TLS 1.3 in-transit
  • Mandantentrennung auf DB-Ebene
  • Rollenbasierte Zugriffskontrolle
  • Multi-Faktor-Authentifizierung

Integrität

  • Audit-Logs aller Datenzugriffe
  • Versionierte Backups (täglich)
  • Prüfsummen für Datei-Uploads
  • Signierte API-Requests
  • Change-Management-Prozess

Verfügbarkeit

  • Redundante GPU-Cluster (Failover)
  • Tägliche Backups, 30 Tage Retention
  • Disaster-Recovery-Plan dokumentiert
  • Monitoring rund um die Uhr
  • 99,5% Uptime-Ziel (Enterprise: 99,9%)

Belastbarkeit & Wiederherstellung

  • Restore-Tests quartalsweise
  • RTO < 4h, RPO < 24h
  • Geo-redundante Backup-Speicherung (DE)
  • Dokumentierte Incident-Response
  • Subprocessor-Failover-Strategie

Diese Vorschau ersetzt nicht das vollständige TOMs-Dokument. Für Audits oder DSB-Prüfungen vollständige Vorlage anfordern.

EU AI Act

Wie EuGPT klassifiziert ist

Transparenz nach EU-Verordnung 2024/1689 — was wir liefern, was Sie als Betreiber selbst klassifizieren müssen.

EuGPT-Plattform

Minimal Risk — General-Purpose AI

EuGPT als Plattform stellt General-Purpose AI bereit (Konversation, Textgenerierung, Code-Hilfe). Diese Nutzung ist nach EU AI Act als „minimales Risiko" klassifiziert. Keine biometrische Identifikation, kein Social Scoring, keine kritische Infrastruktur-Steuerung.

Ihre Anwendung

Sie müssen prüfen

Wenn Sie EuGPT in Hochrisiko-Kontexten einsetzen (z.B. Personalauswahl, Bonitätsprüfung, medizinische Diagnose, Strafverfolgung), gelten zusätzliche Pflichten nach Anhang III EU AI Act. Wir unterstützen mit Risiko-Bewertung im DSGVO-Audit-Paket.

Transparenz

Was wir bereitstellen

Pro Modell: Trainings-Daten-Herkunft (sofern Hersteller publiziert), Versionierung, Update-Historie. Pro Anfrage: Modell-Identifikation, Token-Verbrauch, Verarbeitungs-Region. Audit-Logs auf Anfrage exportierbar.

EU AI Act tritt schrittweise zwischen 2024 und 2027 in Kraft. Aktuelle Pflichten: Risiko-Bewertung im Audit-Paket buchen.

Standards

Welche Standards EuGPT erfüllt

Übersicht der Compliance-Standards mit Status. Geplante Zertifizierungen sind klar gekennzeichnet.

DSGVO

Datenschutz-Grundverordnung

Konform

AVV nach Art. 28 DSGVO

Auftragsverarbeitungsvertrag inklusive

Verfügbar

EU AI Act

Verordnung 2024/1689 — minimal risk klassifiziert

Konform

BaFin / MaRisk / DORA

Finanzdienstleister-Anforderungen

Tauglich konfigurierbar

§ 203 StGB / § 43a BRAO / § 57 StBerG

Berufsgeheimnisse Healthcare/Anwaltschaft/Steuer

Tauglich konfigurierbar

KRITIS / B3S Krankenhaus

BSI-Grundschutz für kritische Infrastrukturen

Tauglich konfigurierbar

ISO 27001

Informationssicherheits-Managementsystem

In Vorbereitung

BSI C5 Typ 1

Cloud Computing Compliance Criteria Catalogue

Geplant 2026/2027

SOC 2 Typ 2

Service Organization Control

Auf Anfrage (Enterprise)

„Tauglich konfigurierbar" heißt: bei korrektem Setup (z.B. ohne externe Provider, mit Audit-Logs aktiviert) erfüllt EuGPT die Anforderungen. Wir liefern Konfigurations-Hilfe in den Beratungs-Paketen.

FAQ

Häufige Fragen zur Compliance

Ja. Eine vollständige AVV-Vorlage steht zur Verfügung und kann im Signup-Flow akzeptiert werden. Für individuelle Anpassungen (z.B. Joint Controllership, internationale Konstellation) erstellen wir auf Anfrage ein angepasstes Dokument.

Ausschließlich in Frankfurt am Main, auf eigener GPU-Infrastruktur der intercolo GmbH. Externe Provider (Mistral, OVH) werden nur genutzt, wenn Sie das explizit aktivieren — und auch dann nur in EU-Hosting-Regionen.

Nein. Vertraglich garantiert in der AVV. Vollständige Datenisolation zwischen allen Mandanten, kein Cross-Mandant-Lernen, kein Re-Training auf Inputs/Outputs.

Ja. Auf Anfrage liefern wir Audit-Logs in JSON oder CSV (welcher Nutzer, welches Modell, wann, wieviele Tokens). Für SIEM-Integration (z.B. Splunk, ELK) auf Anfrage.

Die Plattform selbst ist als General-Purpose AI mit minimalem Risiko klassifiziert. Wenn Sie EuGPT in Hochrisiko-Kontexten einsetzen (Personalauswahl, Bonitätsprüfung, medizinische Diagnose), müssen Sie diese als Betreiber separat klassifizieren. Wir unterstützen im DSGVO-Audit-Paket.

EuGPT ist konfigurierbar gemäß BaFin/MaRisk und DORA. Für vollständige DORA-Konformität (IKT-Drittanbietervertrag, Audit-Rechte, Exit-Strategie) erstellen wir branchenspezifische Vertragsbausteine. Siehe Regulierte Branchen.

Aktuell nicht. ISO 27001 ist in Vorbereitung (geplant 2026/2027), BSI C5 Typ 1 als nächster Schritt. Für Enterprise-Kunden mit konkreten Audit-Anforderungen besprechen wir individuelle Roadmap-Beschleunigung.

Meldung an Sie innerhalb 72h gemäß Art. 33 DSGVO. Dokumentierter Incident-Response-Plan, Root-Cause-Analyse, schriftlicher Incident-Report. Für Banking-Kunden zusätzlich DORA-konformes Reporting.

Compliance-Ansprechpartner aus Frankfurt

Brauchen Sie individuelle Compliance-Unterstützung?

Vorlagen reichen nicht? Im Beratungs-Paket „DSGVO & EU-AI-Act-Audit" bekommen Sie individuelle Bestandsaufnahme, Risikoklassifizierung und maßgeschneiderte Mustertexte — ab €4.500.

DSGVO-Audit ansehen Direkt anschreiben