Compliance

Diese Sektion erklärt, welche regulatorischen Anforderungen DARION AI erfüllt und wie wir sie technisch umsetzen. Wir trennen klar zwischen dem, was die Plattform garantiert, und dem, was du im eigenen Workspace konfigurieren musst.

Was du hier findest

• DSGVO: Rechtsgrundlagen, Tenant-Isolation, Verschlüsselung, AVV und Datenexport.
• NIS2: EU 2022/2555, 10 Pflichtmaßnahmen und Incident-Reporting an die nationale CSIRT.
• Audit-Trail: Welche Ereignisse wir protokollieren, wie lange wir sie aufbewahren und wer Einsicht hat.

Geltungsbereich

• Datenresidenz: Hetzner-Rechenzentren in Falkenstein, Nürnberg und Helsinki. Keine Anwendungsdaten in US-Hyperscaler-Clouds.
• EU AI Act: DARION AI fällt unter die Pflichten ab 02.08.2026. Voice-Modul und Company-Modul sind als AI-Deployer-Systeme inventarisiert.
• NIS2: Anwendbarkeit als Digital Infrastructure Provider wird parallel zur Soft-Launch-Phase geklärt, die zehn Pflichtmaßnahmen sind bereits implementiert.
• SOC 2 Type II: Observation Period startet mit dem Soft-Launch am 02.06.2026. Erstes Audit Q2 2027.
• ISO 27001: Anschluss-Projekt nach SOC 2, deckt sich zu rund 70 Prozent.

Verantwortlichkeiten

• DARION ist Auftragsverarbeiter im Sinne der DSGVO. Du bleibst Verantwortlicher für die Daten in deinem Workspace.
• Auftragsverarbeitungsvertrag (AVV) schließt du beim Onboarding ab. Ein Muster liegt deinem Konto bei.
• Sub-Auftragsverarbeiter sind in der AVV-Anlage aufgelistet (Hetzner, Cloudflare, Stripe, Brevo, Twilio bei Voice-Aktivierung, Anthropic via AWS Bedrock Frankfurt für KI-Fallback).

Verwandt

• Architektur: Multi-Tenant-Trennung via Postgres RLS.
• KI-Helfer: Welche Daten der KI-Helfer sieht.
• Roadmap: Wann SOC 2, NIS2-Final und ISO 27001 erreicht werden.