← Startseite
Sicherheit & Datenschutz

Deine Daten. Dein Schutz.

Vertrauen ist keine Einstellung — es ist eine Architektur.
So schützen wir alles, was du uns anvertraust.

DSGVO-konform · EU AI Act Art. 50 · Server Frankfurt · Minimierung first

DSGVO
konform
EU AI Act
Art. 50
PCI DSS
Level 1
Server
Frankfurt
Art. 9
DSGVO
72h
Response
Overview

Drei Säulen. Ein Versprechen.

Jeder Aspekt deiner Daten wird durch spezialisierte Maßnahmen geschützt — von der Eingabe bis zur Löschung.

Datenschutz

  • Verarbeitungsverzeichnis nach Art. 30 DSGVO mit 16 dokumentierten Tätigkeiten
  • Formale DPIA für Gesundheitsdaten (Art. 35) — Einsicht für Auditoren nach NDA
  • Kein Verkauf, keine Weitergabe zu Werbezwecken. Auftragsverarbeiter (Art. 28) öffentlich gelistet
  • Kaskadierende Löschung atomar, auf Knopfdruck im Dashboard
  • Automatisierte Aufbewahrungsrichtlinie — Cleanup ohne Aufforderung

KI-Transparenz

  • Athena basiert auf Vertex AI (EU) — Datenverarbeitung in der EU
  • Transparenzpflichten gemäß EU AI Act Art. 50 erfüllt
  • Umfangreiche Blocklist für geschützte Gesundheitsdaten (Art. 9 DSGVO)
  • Keine Diagnosen, keine Heilversprechen

Sichere Zahlung

  • Stripe — zertifiziert nach PCI DSS Level 1
  • Kartendaten werden nie auf unseren Servern gespeichert
  • Starke Kundenauthentifizierung (SCA) gemäß PSD2
  • 14-Tage-Widerrufsrecht gemäß Fernabsatzrecht
Controls

Technische Sicherheitsmaßnahmen

Jede Kategorie zeigt die konkreten Maßnahmen, die deine Daten schützen.

KI-Sicherheit 5
  • Athena kennzeichnet sich in jeder Sitzung als KI-System
  • Transparenzpflichten gemäß EU AI Act Art. 50 erfüllt
  • Umfangreiche Blocklist für geschützte Gesundheitsdaten (Art. 9 DSGVO)
  • Inhaltsfilter: keine Diagnosen, keine medizinischen Empfehlungen
  • KI-Infrastruktur in der Europäischen Union (Vertex AI EU)
Datensicherheit 6
  • Verschlüsselte Übertragung aller Daten (HTTPS/TLS)
  • Verschlüsselung gespeicherter Daten (AES-256)
  • Formale Datenschutz-Folgenabschätzung (DPIA, Art. 35) für Gesundheitsdaten
  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30) — 16 Tätigkeiten dokumentiert
  • Auftragsverarbeiter-Register (Art. 28) mit allen Sub-Processors öffentlich
  • Automatisierte Aufbewahrungsrichtlinie — Cron-Jobs löschen ohne Aufforderung
Netzwerksicherheit 5
  • Primärer Serverstandort Frankfurt — Anwendung und Datenbank EU-basiert
  • KI-Verarbeitung primär in der EU-Region; neuere Gemini-Modelle nutzen Googles globalen Endpunkt unter EU-US Data Privacy Framework (Art. 45 DSGVO) und dem Cloud Data Processing Addendum
  • Edge-Netzwerk mit globaler DDoS-Abwehr
  • Automatische Bot-Erkennung und -Abwehr
  • Anfragelimitierung pro Nutzerin zum Schutz vor Missbrauch
Anwendungssicherheit 4
  • Passwortlose Anmeldung per Magic Link — kein Passwort-Diebstahl möglich
  • Sichere, verschlüsselte Sitzungsverwaltung (HttpOnly, Secure)
  • Schutz vor Cross-Site-Scripting (XSS) in allen KI-Ausgaben
  • Webhook-Integritätsprüfung für Zahlungssysteme
Zahlungssicherheit 4
  • Stripe — zertifiziert nach PCI DSS Level 1 (höchste Stufe)
  • Kartendaten werden nie auf unseren Servern gespeichert
  • Starke Kundenauthentifizierung (SCA) gemäß EU-Richtlinie PSD2
  • 14-Tage-Widerrufsrecht gemäß deutschem Fernabsatzrecht
Analyse & Privatsphäre 4
  • Plausible Analytics — europäisch, Open Source, datenschutzfreundlich
  • Kein Google Analytics — keine Datenübermittlung an US-Dienste
  • Keine Tracking-Cookies, kein Fingerprinting
  • Consent Manager für optionale Dienste (Marketing-Pixel nur mit Einwilligung)
Deine Rechte

Volle Kontrolle. Jederzeit.

Auskunft

Welche Daten haben wir? Eine E-Mail genügt.

Löschung

Vollständige Löschung aller Daten auf Anfrage.

Widerruf

Newsletter-Abmeldung in jeder E-Mail mit einem Klick.

Beschwerde

Jederzeit an die zuständige Aufsichtsbehörde.

Eingangsbestätigung innerhalb von 72 Stunden. Vollständige Antwort innerhalb von 30 Tagen gemäß Art. 12 DSGVO.

Engineering

Vertrauen, das man debuggen kann.

Fünf Architektur-Entscheidungen, getroffen im Rahmen unseres vollständig implementierten AI Management Systems (AIMS) nach ISO/IEC 42001:2023. Technisch verifizierbar, testbar, und ohne Marketing-Fluff.

01

Quiz-Antworten verlassen Ihren Browser nicht.

Die 55 Antworten des Wellness-Checks werden lokal in Ihrem Browser berechnet. Nur der finale, von Ihnen freigegebene HTML-Report landet in unserer Datenbank — die einzelnen Antworten sind bis dahin längst verworfen. Keine Rohdaten, keine Persistenz, keine Speicherung von Health-Scores auf der Serverseite.

02

Medizinischer Blocklist vor dem Schreiben.

Bevor Athena eine Information in ihr Langzeitgedächtnis aufnimmt, prüft ein technischer Filter jede Aussage gegen eine umfangreiche Liste klinischer Begriffe (Diagnosen, Medikamentennamen, konkrete Befunde). Treffer werden blockiert — nicht nachträglich gelöscht, sondern gar nicht erst in die Datenbank geschrieben. Write-time defense, nicht Read-time.

03

Kaskadierende Löschung — aus zehn Datenbereichen in einer Transaktion.

Wenn Sie auf "Konto löschen" im Dashboard klicken, entfernen wir Ihre Daten aus zehn verschiedenen Bereichen (Profil, Gesprächsverläufe, Gedächtnis, Fortschritt, Einwilligungen, Quiz-Reports, Zugangsrechte, E-Mail-Logs und mehr) atomar in einer einzigen Datenbank-Transaktion. Der Brevo-Kontakt wird parallel deaktiviert. Eine Bestätigung geht per E-Mail raus. Produktverbesserungsdaten (Thumbs-up/down) werden dabei anonymisiert, nicht gelöscht — so verbessern wir Athena ohne Sie je wieder identifizieren zu können.

04

Keine Nutzung Ihrer Daten zum KI-Training.

Unsere Verarbeitung via Google Vertex AI unterliegt dem Cloud Data Processing Addendum nach Art. 28 DSGVO. Google verpflichtet sich vertraglich, Ihre Daten nicht zum Training von KI-Modellen zu verwenden (Service Terms § 17). Die Verarbeitung erfolgt in der EU-Region Frankfurt bzw. über den globalen Endpunkt, abgesichert über das EU-US Data Privacy Framework. Wir evaluieren zusätzlich Googles Zero-Data-Retention-Programm für einen noch strikteren Standard (siehe Roadmap Phase 2).

05

30-Tage-Cleanup für Nicht-Kundinnen. Ohne Aufforderung.

Wenn Sie Athena im Probemodus nutzen und kein Abonnement abschließen, werden Ihre Gesprächsverläufe und Erinnerungsfakten automatisch nach 30 Tagen Inaktivität unwiderruflich gelöscht — durch einen täglichen automatisierten Prozess. Wir warten nicht, bis Sie fragen. 15 Tage vor der Löschung erhalten Sie eine Benachrichtigung per E-Mail, falls Sie zurückkommen möchten.

Für Geschäftspartner

Audit-ready. Ab sofort.

Sie vertreten eine Krankenkasse, ein BGM-Programm, eine Versicherung oder eine Pharma-Partnerschaft? Hier ist alles, was Ihr Datenschutz-Team in den ersten 30 Minuten braucht.

Audit-ready Compliance Library

Neun interne Fachdokumente — das Ergebnis einer umfassenden DSGVO-Auditierung vom April 2026. Die Dokumente enthalten technische Details zu unserer Infrastruktur und werden daher unter folgenden Bedingungen herausgegeben:

  • Aufsichtsbehörden (ANSPDCP, BfDI, Landesbeauftragte) erhalten direkten Zugang ohne Vertraulichkeitsvereinbarung — gesetzlich selbstverständlich.
  • Qualifizierte Auditoren und Datenschutzbeauftragte im Rahmen einer konkreten Geschäftsanbahnung (Krankenkasse, BGM, Versicherung, Pharma-Partnerschaft) erhalten Zugang nach Unterzeichnung einer gegenseitigen Vertraulichkeitsvereinbarung (NDA). Bearbeitung innerhalb von 5 Werktagen.

Wir gehen mit der Library vorsichtig um, weil sie Angriffsfläche reduzieren soll — nicht vergrößern. Das ist Teil des Schutzes, den wir für Sie leisten.

Dokument DSGVO-Bezug Status
Technisch-Organisatorische Maßnahmen (TOM) Art. 32 ✓ verfügbar
Auftragsverarbeiter-Register (DPA Register) Art. 28 ✓ verfügbar
Datenpannen-Response-Plan (72-Stunden-Runbook) Art. 33–34 ✓ verfügbar
Betroffenenrechte-SOP mit Templates Art. 15–22 ✓ verfügbar
Aufbewahrungsrichtlinie (Retention Schedule) Art. 5 Abs. 1 lit. e ✓ verfügbar
Verzeichnis von Verarbeitungstätigkeiten (ROPA) Art. 30 ✓ verfügbar
Einwilligungsprotokoll-Spezifikation Art. 7 Abs. 1 ✓ verfügbar
Datenschutz-Folgenabschätzung (Gesundheitsdaten) Art. 35 ✓ verfügbar
Cookie-Richtlinie TTDSG § 25 ✓ verfügbar
NDA & Audit-Paket anfragen →

Auftragsverarbeitung (AVV) nach Art. 28 DSGVO

Wir stellen Geschäftspartnern einen standardisierten AVV zur Verfügung. Unterzeichnung auf beiden Seiten üblich innerhalb weniger Werktage.

  • Template basiert auf den EU-Standardvertragsklauseln
  • Anpassungen an partner-spezifische Gegebenheiten möglich
  • Bearbeitung der Anfrage: 5 Werktage
  • Unterzeichnung digital (DocuSign / qualifizierte elektronische Signatur)
AVV anfordern →

Sub-Processors & Datenflüsse

Unsere Infrastruktur besteht aus acht Haupt-Auftragsverarbeitern, alle mit Art. 28 DSGVO-Klauseln in den jeweiligen Standard-Vertragsbedingungen abgesichert und mit EU-Datenresidenz als Standard. Hier die funktionale Übersicht; die konkreten Anbieternamen sind in der rechtlich verbindlichen Datenschutzerklärung § 7 vollständig dokumentiert.

Funktionaler Bereich Region Transfer-Grundlage
Hosting & Edge-Netzwerk Frankfurt (EU) Art. 28 Klauseln + EU-US DPF
Datenbank-Layer EU-Region Art. 28 Klauseln (EU-intern)
KI-Verarbeitung (kein Training, Art. 28 Vertrag) Frankfurt / EU-Endpoint Art. 28 Cloud DPA + EU-US DPF
Zahlungsabwicklung Dublin, Irland (EU) Art. 28 Klauseln + SCC
Transaktionaler E-Mail-Versand Paris, Frankreich (EU) Art. 28 Klauseln (EU-intern)
Werbemessung (nur mit Consent) Dublin (EU) + USA Art. 28 + SCC + EU-US DPF
Anonyme Nutzungsstatistik EU-Region, cookieless Keine personenbezogenen Daten
Lead-Automatisierung EU-Region Art. 28 Klauseln (EU-intern)

Alle Anbieter unterliegen unseren technisch-organisatorischen Anforderungen und sind in unserem internen DPA-Register dokumentiert — Einsicht nach NDA für qualifizierte Auditoren.

Incident Response & SLAs

  • Meldung an Aufsichtsbehörde (ANSPDCP): ≤ 72 Stunden nach Bekanntwerden (Art. 33 DSGVO)
  • Benachrichtigung betroffener Nutzerinnen: unverzüglich bei hohem Risiko (Art. 34 DSGVO)
  • B2B-Partner-Benachrichtigung: parallel zur Nutzer-Benachrichtigung, via primären Kontakt aus AVV
  • Post-mortem: formal nach jedem Vorfall, mit Korrekturmaßnahmen in TOM eingepflegt
  • Betroffenenrechte (Art. 15–22): Eingangsbestätigung ≤ 72h, Vollantwort ≤ 30 Tage

Incident History — Stand April 2026 Seit Gründung der GENAI AREDEZ SRL sind keine meldepflichtigen Datenschutzvorfälle nach Art. 33 DSGVO aufgetreten. Dieser Status wird bei jeder halbjährlichen Review dieses Trust Centers überprüft und aktualisiert.

Responsible Disclosure & Security Research

Sicherheitsforschende, die eine Schwachstelle in unseren Systemen entdecken, bitten wir um verantwortungsvolle Meldung — ohne öffentliche Offenlegung vor Behebung. Wir nehmen Meldungen ernst und behandeln sie als Chance, unseren Schutz weiter zu verbessern.

  • Meldungen an security@strahlkraft40plus.de mit Betreff "Security-Vorfall"
  • Maschinell lesbar nach RFC 9116: /.well-known/security.txt
  • Eingangsbestätigung innerhalb von 48 Stunden
  • Erste Einschätzung und Rückmeldung innerhalb von 5 Werktagen
  • Koordiniertes Disclosure-Timing nach erfolgter Behebung
  • Bei kritischen Befunden aktualisieren wir betroffene Nutzerinnen und Partner proaktiv

Unser Versprechen (Safe Harbor): Wir verfolgen keine rechtlichen Schritte gegen Sicherheitsforschende, die in gutem Glauben melden, sich an die folgenden Grenzen halten und uns angemessene Zeit zur Behebung geben:

  • Keine Datenexfiltration über das für die Demonstration minimal notwendige hinaus
  • Keine Beeinträchtigung anderer Nutzerinnen oder unserer Services (keine DoS-Tests gegen Produktion)
  • Keine Offenlegung der Schwachstelle, bevor wir sie behoben haben oder übereinstimmend 90 Tage vergangen sind

Derzeit kein monetaüres Bug-Bounty-Programm. Verantwortungsvoll gemeldete Funde danken wir öffentlich auf dieser Seite (nur mit ausdrücklicher Zustimmung der Forschenden).

Rechtlicher Vertragspartner

Wer unterzeichnet einen AVV oder Kooperationsvertrag mit Ihnen:

Rechtsform & Name: GENAI AREDEZ SRL (Rumänien) Geschäftsführer: Ignacio Esteban Aredez Diaz Fachliche Qualifikation des GF: ISO/IEC 42001 Lead Implementer (AI Management Systems) · Google Certified Professional Machine Learning Engineer Handelsregister: J06/579/2024 · CUI: RO50175882 Sitz: Str. Dumbravei 10, 420141 Bistrița, Rumänien Operative Marke: Strahlkraft40+ (Markt: Deutschland, Sprache: Deutsch) Führende Aufsichtsbehörde (Art. 56): ANSPDCP, Rumänien Anwendbares Recht: DSGVO + Legea 190/2018 (Rumänien)

Als EU-Gesellschaft unterliegen wir der DSGVO direkt — ohne Umwege über Drittländer-Mechanismen. Die führende Aufsichtsbehörde nach dem One-Stop-Shop-Prinzip ist ANSPDCP; deutsche Nutzerinnen können sich zusätzlich an ihre lokale Landesbehörde oder an die BfDI wenden. Das volle Impressum finden Sie hier.

Was wir (noch) nicht haben — ehrlich.

Ein reifer Datenschutz-Review beginnt mit dem, was fehlt. Hier ist unsere ehrliche Liste:

  • Kein externer Penetration-Test bisher — intern setzen wir auf Tier-1-Cloud-Provider mit eigener Pentest-Routine, automatisiertes Vulnerability-Management (Dependabot, npm audit) und ein Responsible-Disclosure-Programm. Externer Pentest wird evaluiert, sobald die B2B-Pipeline ihn rechtfertigt.
  • Keine eigene ISO 27001 Zertifizierung — wir erben relevante Kontrollen von unseren Tier-1-Cloud-Anbietern (siehe Abschnitt "Inherited Controls")
  • Keine Cyber-Haftpflichtversicherung aktuell — in Evaluierung
  • Kein externer Datenschutzbeauftragter (DSB/DPO) benannt — bewusste Entscheidung bei aktueller Skalierung (< 5.000 aktive Nutzerinnen, Gesundheitsdaten nicht als Kerntätigkeit). Die Rolle wird intern durch den Geschäftsführer wahrgenommen, der als ISO/IEC 42001 Lead Implementer und Google Certified Professional ML Engineer die fachliche Qualifikation für AI Governance und technische ML-Compliance mitbringt. Re-Evaluation bei Skalierung oder Wearables-Launch.
  • Kein SOC 2 Report — zurückgestellt bis zur Skalierung auf Enterprise-Kundschaft

Wir sagen lieber ehrlich, was fehlt, als es zu kaschieren. Ein erfahrener DPO spürt den Unterschied in der ersten Folie.

Kontaktkanäle für Geschäftspartner

Wir routen alles über eine einzige Adresse mit Stichwort im Betreff — schneller als ein Ticketsystem, weniger fehleranfällig als fünf Postfächer.

DSGVO-Anfrage (Betroffenenrechte): datenschutz@strahlkraft40plus.de · Betreff: "DSGVO-Anfrage" Audit-/DPO-Anfrage (Fachdokumente): datenschutz@strahlkraft40plus.de · Betreff: "Audit-Anfrage" AVV / Partnerschaft: datenschutz@strahlkraft40plus.de · Betreff: "AVV-Anfrage" Sicherheitsvorfall melden: security@strahlkraft40plus.de · Betreff: "Security-Vorfall" Allgemeine B2B-Anfragen: hallo@strahlkraft40plus.de

Geschäftsführer und DSGVO-Verantwortlicher: Ignacio Esteban Aredez Diaz, GENAI AREDEZ SRL.

Roadmap

Unser Weg nach vorn.

Ein Reifegrad-Fahrplan ohne Kalenderversprechen. Jede Phase wird durch konkrete Meilensteine ausgelöst, nicht durch Quartalsdaten — so bleibt unser Commitment ehrlich und einhaltbar.

Phase 1 · Fundament
Status: abgeschlossen (April 2026)
  • Umfassende interne DSGVO-Auditierung mit neun Fachdokumenten (TOM, DPA Register, Breach Plan, Rights SOP, Retention, ROPA, Consent Log, DPIA, Cookie-Richtlinie)
  • Vollständiges AI Management System (AIMS) nach ISO/IEC 42001:2023 implementiert — KI-Richtlinie, Risikoregister, Statement of Applicability mit allen 38 Annex-A-Kontrollen, sechs systemspezifische Dokumente, Lieferantenkontrolle, Datenkontrolle, Audit-Programm, Management Review. Dokumentation auf Anfrage für B2B-Partner und Auditoren verfügbar. (GF als ISO/IEC 42001 Lead Implementer)
  • EU-Datenresidenz als Standard, keine Nutzung Ihrer Daten zum KI-Training
  • Kaskadierende Löschung, 30-Tage-Cleanup, medizinischer Blocklist, Art. 9 Schutz
  • Responsible Disclosure Programm live — security.txt nach RFC 9116 unter /.well-known/security.txt
  • Automatisiertes Vulnerability Management — Dependabot weekly, npm audit in CI, dokumentierte Patch-Policy
Phase 2 · Externe Validierung
Ausgelöst durch: B2B-Skalierung
  • Datenschutz-Review durch eine deutsche Anwaltskanzlei mit DSGVO-Spezialisierung
  • Cyber-Haftpflichtversicherung abschließen
  • Externer DSB/DPO on-demand Engagement (quartalsweise)
  • Formelle Einschreibung in Google Vertex AI Zero Data Retention Program (Antragsstellung)
  • Publikation eines Trust Center v3 mit externen Validierungen
Phase 3 · Skalierung
Ausgelöst durch: > 5.000 aktive Nutzerinnen oder Launch von Wearable-/Laborwert-Integrationen
  • Formell benannter externer Datenschutzbeauftragter
  • DPIA v2 für erweiterten Scope (Sensor- und Laborwertdaten) vor Feature-Launch
  • SOC 2 Type I Vorbereitung — Gap Analysis und Audit Scoping
  • ISO 27001 Gap Analysis und Roadmap
  • Review der Aufbewahrungsrichtlinie für gesundheitsbezogene Daten
Phase 4 · Enterprise-ready
Ausgelöst durch: erste Krankenkassen-Kooperation oder DiGA-Vorbereitung
  • SOC 2 Type II Zertifizierung (12 Monate Operational Evidence)
  • ISO 27001 Zertifizierung der Organisation
  • ISO/IEC 42001 Zertifizierung der Organisation (über die persönliche GF-Qualifikation hinaus)
  • Jährliche externe Auditierung durch unabhängige Wirtschaftsprüfung

Wir verpflichten uns öffentlich zu dieser Reifegrad-Progression. Bei jeder halbjährlichen Review dieses Trust Centers aktualisieren wir den Status jeder Phase. Trigger-basierte Phasen bedeuten: wenn der auslösende Meilenstein eintritt, sind wir an das genannte Timing gebunden. Wenn er nicht eintritt, verschiebt sich die Phase — ohne dass wir dadurch Zusagen brechen. Ehrlichkeit vor Kalendermarketing.

Inherited Controls

Auf welchem Fundament wir stehen.

Unsere gesamte Infrastruktur läuft auf Tier-1-EU-Anbietern, die jeden der relevanten Sicherheitsstandards bereits zertifiziert erfüllen. Wir dokumentieren, welcher Standard auf welchen Teil unserer Stack zutrifft — die konkreten Anbieter sind aus Sicherheitsgründen nur unter NDA einsehbar.

Bereich in unserer Stack Zertifizierte Standards unseres Anbieters
Hosting & Edge-Netzwerk SOC 2 Type II · ISO 27001 · HIPAA BAA verfügbar
Datenbank-Layer SOC 2 Type II · EU-Datenresidenz
KI-Verarbeitung ISO 27001 · SOC 1/2/3 · HIPAA-eligible · EU-US DPF
Zahlungsabwicklung PCI DSS Level 1 · SOC 1 · SOC 2 · ISO 27001
Transaktionaler E-Mail-Versand ISO 27001 · ISO 27018 (Cloud-Datenschutz)
Analytics (cookieless) EU-betrieben · DSGVO-konform per Design · keine personenbezogene Verarbeitung

Inheritance ist keine eigene Zertifizierung — aber ein valides Sicherheitsmodell, das wir transparent ausweisen, statt es zu verschweigen. Qualifizierte Auditoren erhalten nach NDA die vollständige Zuordnung von Standard zu konkretem Anbieter.

Die vollständige Datenschutzerklärung findest du hier.  ·  Impressum  ·  Für Geschäftspartner

Zurück zur Startseite

Trust Center Version 2.0  ·  Stand: 10. April 2026  ·  Nächste Review: 10. Oktober 2026