Docs→DSGVO und Sicherheit

DSGVO und Sicherheit

Alles darüber, wie Custos AI Ihre Daten verarbeitet, der rechtliche Rahmen und die technischen Sicherheitsmaßnahmen, die wir anwenden.

Unsere Rolle gemäß DSGVO

Custos AI handelt als Auftragsverarbeiter. Sie — als Kunde — sind der Verantwortliche. Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage Ihrer dokumentierten Anweisungen und gemäß unserem Auftragsverarbeitungsvertrag (AVV), der in unsere Nutzungsbedingungen einbezogen ist.

Auftragsverarbeitungsvertrag (AVV)

Unser AVV entspricht Artikel 28 DSGVO und deckt alle Verarbeitungstätigkeiten ab. Er wird automatisch akzeptiert, wenn Sie unsere Nutzungsbedingungen annehmen. Sie können die aktuelle Version jederzeit herunterladen.

AVV ansehen

Welche Daten wir verarbeiten

Kategorie	Beispiele	Aufbewahrung
Kontodaten	Name, E-Mail, gehashtes Passwort, Sprache	Dauer des Kontos + 12 Monate
Chat-Daten	Gesprächsverlauf, verwendetes Modell	365 Tage laufend, konfigurierbar
Hochgeladene Dateien	PDF, DOCX, Bilder	30 Tage nach Upload (konfigurierbar)
Nutzungsdaten	Token-Zählungen, Kostenschätzungen	12 Monate laufend
Audit-Protokolle	IP-Adresse, Zeitstempel	365 Tage
Abrechnungsunterlagen	Stripe-Referenzen, Tarifinfos	7 Jahre (Steuerrecht)

LLM-Anbieter und das BYOK-Modell

Im BYOK-Modell unterhalten Sie eine direkte Beziehung zu jedem LLM-Anbieter über Ihre eigenen API-Schlüssel. LLM-Anbieter sind keine Unterauftragsverarbeiter von Custos AI — sie sind unabhängige Verantwortliche oder Verarbeiter, die Sie direkt einbinden. Sie sind selbst dafür verantwortlich, eine angemessene Rechtsgrundlage und Verarbeitungsverträge mit jedem genutzten Anbieter sicherzustellen.

Die vier LLM-Anbieter, die derzeit in Custos AI unterstützt werden — OpenAI, Anthropic, Google und Mistral — bieten alle ihre eigenen DSGVO-konformen Bedingungen und AVVs an, denen Sie bei der Kontoeröffnung bei ihnen zustimmen.

Unterauftragsverarbeiter

Supabase, Inc.Datenbank, Authentifizierung, DateispeicherFrankfurt, DE

Vercel, Inc.Frontend-Hosting und Edge ComputeEU edge

TransIP B.V.VPS für LiteLLM-ProxyAmsterdam, NL

LettermintTransaktionale E-MailsEU

Stripe Payments EuropeZahlungsabwicklung und SteuernDublin, IE

Vollständige Liste: custosai.eu/sub-processors

Sicherheitsmaßnahmen

Verschlüsselung im Ruhezustand

AES-256 (Daten), AES-256-GCM (API-Schlüssel)

Verschlüsselung in der Übertragung

TLS 1.2+ auf allen Verbindungen

Authentifizierung

E-Mail + TOTP MFA

Zugangskontrolle

Least-Privilege, rollenbasiert

Backups

Täglich verschlüsselt, 30 Tage Aufbewahrung

Hosting

Ausschließlich EU — Frankfurt + Amsterdam

Fragen zum Datenschutz oder zum AVV?

Unser Datenschutz-Team antwortet innerhalb von 2 Werktagen.