Documentation Index
Fetch the complete documentation index at: https://docs.famulor.io/llms.txt
Use this file to discover all available pages before exploring further.
Bei Famulor.io ist Datensouveränität für uns eine Grundvoraussetzung moderner KI-Kommunikation. Dieses Trust Center gibt vollständige Transparenz über unsere Infrastruktur, unsere spezialisierten Auftragsverarbeiter (Subunternehmer) und die technischen Schutzmaßnahmen zum Schutz sensibler Daten.
Diese Seite dient als dynamischer Anhang zu unserem Auftragsverarbeitungsvertrag (AVV) und wird regelmäßig an unseren aktuellen Technologie-Stack angepasst.
Begriffe wie LLM, STT, TTS, SIP-Trunk oder Realtime-Modelle finden Sie im Glossar.
Infrastruktur-Sicherheit
Jede Schicht unserer Plattform ist nach Security-first-Prinzipien ausgelegt.
Verschlüsselung
AES-256-Verschlüsselung im Ruhezustand, TLS 1.3 bei der Übertragung. Sprachdaten, Transkripte und Kundeninformationen sind über den gesamten Anruflebenszyklus hinweg Ende-zu-Ende verschlüsselt.
Zugriffskontrolle
Rollenbasierte Zugriffskontrolle (RBAC) und Least-Privilege-Prinzipien in allen Systemen. Jeder Zugriff wird protokolliert und ist auditierbar.
Überwachung & Erkennung
24/7-Sicherheitsüberwachung mit Intrusion-Detection-Systemen, Anomalie-Alarmierungen und umfassendem Audit-Logging für alle Systemaktivitäten.
Geschäftskontinuität
Automatisierte Backups, Disaster-Recovery-Verfahren und 99,9‑%-Verfügbarkeits-SLA. Redundante Infrastruktur über mehrere Verfügbarkeitszonen.
Vorfallreaktion (Incident Response)
Dokumentierter Incident-Response-Plan mit festgelegten Eskalationsverfahren, Einhaltung der 72‑Stunden-Meldung gemäß DSGVO bei Datenschutzverletzungen sowie Post-Incident-Analyse.
Sicherheit von Auftragsverarbeitern
Alle KI-Auftragsverarbeiter (ElevenLabs, OpenAI, Deepgram, Cartesia) werden hinsichtlich Sicherheit und Compliance geprüft. Die ElevenLabs-Enterprise-Partnerschaft ermöglicht EU-geroutete Sprachverarbeitung.
1. Unsere Souveränitäts-Verpflichtungen
Um die strengen Anforderungen des europäischen Marktes (u. a. Art. 9 DSGVO für Gesundheitswesen und sensible Branchen) zu erfüllen, handeln wir nach vier Grundsätzen:
| Grundsatz | Beschreibung |
|---|
| EEA-First-Policy | Die gesamte Kernverarbeitung von Sprach- und Textdaten erfolgt auf Servern innerhalb des Europäischen Wirtschaftsraums (EWR). |
| No-Training-Garantie | Wir stellen vertraglich sicher, dass keiner unserer KI-Anbieter Ihre Daten (Audio, Transkripte oder Prompts) zum Trainieren oder Verbessern seiner Basismodelle nutzen darf. |
| Zero-Retention-Modus | Wir bieten einen „Zero Retention Mode“ für hochsensible Umgebungen: Daten werden im Arbeitsspeicher verarbeitet und unmittelbar nach der Interaktion gelöscht. |
| Verschlüsselung | Alle Daten werden während der Übertragung mit TLS 1.2+ und im Ruhezustand mit AES-256 verschlüsselt. |
2. Systemstatus & Verfügbarkeit
Transparenz über die Systemperformance ist uns in der Zusammenarbeit wichtig. Unseren Live-Status können Sie jederzeit einsehen:
Live-Status: https://status.famulor.io/
Diese Anbieter hosten die Famulor.io-Plattform inkl. Backend-Logik, Datenbanken und Kunden-Dashboard.
| Anbieter | Zweck | Verarbeitungsstandort |
|---|
| Amazon Web Services (AWS) | Kernplattform, Datenbanken & API-Logik | Frankfurt, Deutschland (EU) |
| Vercel Inc. | Frontend & Web-Oberfläche | Frankfurt, Deutschland (EU) |
| Activepieces (self-hosted) | Automationsplattform für interne Workflows | Self-Hosting auf Microsoft Azure (EU-Standort) |
4. Künstliche Intelligenz (LLM)
Diese Modelle übernehmen die Reasoning- und Gesprächslogik. Wir nutzen Enterprise-Instanzen für Datenisolation und -souveränität.
Hinweis: Anbieter für LLM, STT, TTS und SIP-Trunk sind je nach Use Case pro Assistent optional auswählbar.
| Anbieter | Modell / Dienst | Verarbeitungsstandort |
|---|
| Microsoft Ireland (Azure) | OpenAI-Modelle (GPT-4o, o1 usw.) | Sweden Central (EU) |
| Microsoft Ireland (Azure) | OpenAI GPT OSS | Sweden Central (EU) |
| Google Cloud (Vertex AI) | Gemini-Modelle | EU-Regionen (EU Data Residency) |
| Anthropic, PBC | Claude-Modelle (über EU-Partner) | EU-Regionen |
| Microsoft Ireland (Azure) | Meta Llama 3 (Open Source) | EU-Regionen (Schweden/Deutschland) |
5. Sprachdienste (STT & TTS)
Spezialisierte Anbieter für Echtzeit-Transkription (Speech-to-Text) und Sprachsynthese (Text-to-Speech).
Hinweis: Anbieter für LLM, STT, TTS und SIP-Trunk sind je nach Use Case pro Assistent optional auswählbar.
| Anbieter | Kategorie | Dienst / Zweck | Verarbeitungsstandort |
|---|
| Deepgram, Inc. | STT | Speech-to-Text (Nova/Flux API) | EU-Endpunkt verfügbar (api.eu.deepgram.com); DSGVO-konforme Nutzung über EU-Region. |
| Soniox, Inc. | STT | Hochpräzise Transkription
Konformität & Standards: SOC 2 Type 2 – Prüfstandard, der über einen längeren Zeitraum die Kontrollen eines Unternehmens für Sicherheit, Verfügbarkeit, Verarbeitungssicherheit (processing integrity), Vertraulichkeit und Datenschutz bewertet.
ISO/IEC 27001:2022 – international anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS).
GDPR – EU-Verordnung, die die Erhebung, Verarbeitung und den Schutz personenbezogener Daten sowie die Datenschutzrechte regelt.
HIPAA – US-rechtlicher Rahmen, der Anforderungen zum Schutz sensibler Gesundheitsdaten festlegt, einschließlich Protected Health Information (PHI). | EU-Region (laut AVV) |
| ElevenLabs Inc. | STT & TTS | Scribe (STT) und Voice Models (TTS) | EU Data Residency (Enterprise) und EU-Endpunkte verfügbar; DSGVO-Optionen inkl. Zero Retention für EU-Workloads. |
| Gladia SAS | STT | Realtime und Batch Speech-to-Text | GDPR-konform laut Compliance Hub; EU/US-Workloads werden getrennt verarbeitet. |
| Cartesia AI, Inc. | TTS | Ultra-Low-Latency Voice (Sonic) | DSGVO-konform laut Anbieter; EU-Region nutzbar. |
| Microsoft Ireland (Azure) | TTS | Azure Neural Speech (Text-to-Speech) | Azure Speech unterstützt mehrere EU-Regionen; Daten bleiben in der Region der erstellten Ressource. |
| Microsoft Ireland (Azure) | STT (Realtime) | OpenAI Realtime-Modelle (Speech) | Sweden Central (EU) |
| Google Cloud (Vertex AI) | STT (Realtime) | Gemini Flash Live-Modelle | EU-Regionen (Vertex AI EU Data Residency) |
| LiveKit Inc. | Echtzeit-Infrastruktur | Virtuelle Gesprächsräume (Realtime Sessions) | EU-SCC. Famulor wählt die datenschutzfreundlichste Konfiguration: Durch Region Pinning verlassen Daten laut Anbieter die europäische Region nicht. |
6. Geschäftsbetrieb & Abrechnung
Anbieter für transaktionale Sicherheit und administrative Verwaltung.
| Anbieter | Zweck | Verarbeitungsstandort |
|---|
| Stripe Payments Europe | Sichere Zahlungsabwicklung | Irland (EU) |
| Twilio Ireland Limited | Telefonie, SIP Trunk, SMS und WhatsApp Business Messaging | Irland (EU). Regionale Verarbeitung über Twilio Regions (u. a. IE1). |
| SendGrid (Twilio) | Transaktions- und System-E-Mails | EU-Regionen (EU Data Processing Locations) |
7. WhatsApp Business Verarbeitung
Für WhatsApp Business gilt:
- Die WhatsApp-Integration erfolgt über die Twilio-Anbindung.
- Es kann entweder eine eigene WhatsApp-fähige Telefonnummer genutzt werden oder eine Nummer aus dem Famulor-Nummernpool (abhängig von Setup/Verifizierung).
- Bei Nutzung einer eigenen Nummer muss der Nummerninhaber die Verifizierung direkt im Meta Business Manager durchführen.
- Eingehende WhatsApp-Nachrichten werden über konfigurierbare LLM-Workflows verarbeitet.
- Antworten werden als KI-generierte Nachricht zurückgesendet.
- Text, Bilder und Sprachnachrichten können im Rahmen der aktivierten Assistant-Konfiguration verarbeitet und für die Antwortgenerierung genutzt werden.
8. Website-Analytics & Tag-Management
Für die Website-/Produktanalyse nutzen wir:
| Anbieter | Zweck | Hinweis |
|---|
| Google Analytics (GA4) | Nutzungsanalyse und Performance-Messung | Mess-ID: G-WPTBT13HB0; GDPR/DSGVO-relevante Vertragseinheit für EU-Kunden: Google Ireland Limited (Dublin). |
| Google Tag Manager (GTM) | Verwaltung von Tracking- und Marketing-Tags | Container: GTM-PWRN3XX7 |
| Microsoft Clarity | Produktanalyse und Session Insights | Anbieter: Microsoft Ireland Operations Limited; Verarbeitung im Rahmen der Microsoft-Datenschutz- und Compliance-Dokumentation. |
| Meta Pixel API (Facebook) | Conversion-Tracking und Kampagnenmessung | Anbieter für EWR: Meta Platforms Ireland Limited; Verarbeitung gemäß Meta Business Tools Terms/DPA. |
9. Anbieter: Firmenname & Adresse
Nachfolgend die jeweils genutzte rechtliche Einheit inkl. öffentlich auffindbarer Firmenadresse (Stand: März 2026).
| Anbieter | Rechtliche Einheit / Firma | Adresse | Quelle |
|---|
| AWS | Amazon Web Services EMEA S.à r.l. | 38 Avenue John F. Kennedy, L-1855 Luxembourg, Luxemburg | ICO Register |
| Vercel | Vercel Inc. | 440 N Barranca Ave #4133, Covina, CA 91723, USA | Vercel Terms |
| Microsoft (Azure) | Microsoft Ireland Operations Limited | 70 Sir John Rogerson’s Quay, Dublin 2, D02 R296, Irland | LEI-Register |
| Google Cloud | Google Cloud EMEA Limited | 70 Sir John Rogerson’s Quay, Dublin 2, Irland | Google Contracting Entity |
| Google Analytics / GTM | Google Ireland Limited | Gordon House, Barrow Street, Dublin 4, Irland | Google Privacy & Terms |
| Anthropic | Anthropic, PBC | 548 Market Street, PMB 90375, San Francisco, CA 94104, USA | OpenGov |
| Soniox | Soniox, Inc. | 1045 Helm Ln, Foster City, CA 94404, USA (EU-Standort: Cesta v Gorice 34B, 1000 Ljubljana, Slowenien) | Soniox Contact |
| ElevenLabs | Eleven Labs Inc. | 169 Madison Ave #2484, New York, NY 10016, USA | ElevenLabs Help |
| Deepgram | Deepgram, Inc. | 548 Market St, Suite 25104, San Francisco, CA 94104-5401, USA | EU Endpoint Announcement |
| Gladia | GLADIA SAS | 6B, rue du Bas Village, 35510 Cesson-Sevigne, Frankreich | Gladia Legal Notice |
| Cartesia | Cartesia AI, Inc. | 1766 18th Street, Suite 1200, San Francisco, CA, USA | Company info |
| LiveKit | LiveKit Inc. | 4285 Payne Avenue, Suite 9154, San Jose, CA 95157, United States | Region pinning (LiveKit Docs) |
| Stripe | Stripe Payments Europe, Limited | One Wilton Park, Wilton Place, Dublin 2, D02 FX04, Irland | LEI-Register |
| Twilio | Twilio Ireland Limited | 70 Sir John Rogerson’s Quay, Dublin 2, D02 R296, Irland | LEI-Register |
| SendGrid (Twilio) | Twilio Ireland Limited | 70 Sir John Rogerson’s Quay, Dublin 2, D02 R296, Irland | LEI-Register |
| Microsoft Clarity | Microsoft Ireland Operations Limited | 70 Sir John Rogerson’s Quay, Dublin 2, D02 R296, Irland | Microsoft Privacy |
| Meta (Pixel API & WhatsApp Business Platform) | Meta Platforms Ireland Limited | 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland | Meta Business Tools Terms |
10. Internationale Datenübermittlungen & Schutzmaßnahmen
Bei Anbietern mit US-Muttergesellschaften (z. B. Microsoft, Google, Vercel, Soniox) stellt Famulor die Konformität u. a. sicher durch:
- Data Residency: Konfiguration der Dienste so, dass Daten ausschließlich auf EU-Knoten verarbeitet werden.
- Rechtsrahmen: Nutzung des EU-U.S. Data Privacy Framework (DPF) und/oder Standardvertragsklauseln (SVK).
- Enterprise-Verträge: Spezialverträge, die Drittzugriff und Nutzung der Daten für Modelltraining ausschließen.
- TIA auf Anfrage: Für Enterprise-Kunden erstellt Famulor auf Anfrage ein Transfer Impact Assessment (TIA) gemäß den EDPB-Empfehlungen 01/2020 für alle Anbieter mit US-Muttergesellschaft. Das TIA dokumentiert die Schutzmaßnahmen und die Bewertung des Rechtssystems im Drittland.
Transfer-Rechtsgrundlage pro US-Anbieter
| Anbieter | Kategorie | Transfer-Rechtsgrundlage |
|---|
| Deepgram | STT | SCCs (2021/914/EU) + EU-Endpunkt (api.eu.deepgram.com) |
| Soniox | STT | SCCs + EU Data Residency (vertraglich auf EU-Knoten beschränkt) |
| Gladia | STT | SCCs (2021/914/EU), getrennte EU/US-Workloads |
| Cartesia | TTS | SCCs + EU Data Residency |
| LiveKit | Realtime | SCCs + Region Pinning (laut Anbieter keine Verarbeitung außerhalb der EU-Region) |
| ElevenLabs | STT/TTS | Enterprise DPA + EU Data Residency |
| Vercel | Hosting | DPF (zertifiziert) + EU-Region (Frankfurt) |
| Anthropic | LLM | SCCs über EU-Partner |
| OpenAI (via Azure) | LLM | DPF (via Microsoft) + Azure-EU-Knoten |
11. Datenaufbewahrung (Retention)
Die Aufbewahrungsfristen sind im Konto verfügbar und pro Datenkategorie einstellbar.
| Datenkategorie | Default | Konfigurierbarer Bereich (Maximalwert) |
|---|
| Anrufe | Konto-Default (im Account sichtbar) | 1 bis 24 Monate |
| Leads | Konto-Default (im Account sichtbar) | 1 bis 24 Monate |
| Chats | Konto-Default (im Account sichtbar) | 1 bis 24 Monate |
| SMS | Konto-Default (im Account sichtbar) | 1 bis 24 Monate |
12. Technische und organisatorische Maßnahmen (TOM)
Unser Sicherheitsrahmen zielt auf maximale Nachverfolgbarkeit und Isolierung:
| Maßnahme | Beschreibung |
|---|
| Multi-Tenancy | Strenge logische Trennung der Kundendaten. Jeder Account läuft in einer isolierten Umgebung. |
| Agency- & Whitelabel-Architektur | Wir bieten ein Agency Dashboard, mit dem Partner mehrere, vollständig getrennte Sub-Accounts zentral verwalten können. |
| Zugriffskontrolle | Pro Account ist der Zugriff auf einen autorisierten Nutzer beschränkt. Native Multi-Factor Authentication (MFA) ist in unserer Roadmap. Wir empfehlen den Zugriff über SSO-Anbieter (Google/Microsoft) mit aktivierter MFA abzusichern. |
| Nutzerkontrollierte Datenspeicherung | Zur Umsetzung des DSGVO-Grundsatzes der Speicherbegrenzung können Nutzer eigenständig automatische Löschfristen (1 bis 24 Monate) für Anrufe, Leads, Chats und SMS konfigurieren. |
| Audit-Logging | Umfassende Protokollierung aller systemkritischen Aktionen zur Nachverfolgbarkeit. |
| Kontinuität | Automatische tägliche Backups, verschlüsselt innerhalb der EU gespeichert. |
13. Governance & Pflege
- Diese Liste wird quartalsweise geprüft.
- Änderungen am Anbieter-Stack werden im Changelog dokumentiert.
Zuletzt aktualisiert: 26.03.2026
14. Google API Disclosure
Letzte Aktualisierung: 2. Dezember 2022
Die Nutzung von Informationen aus Google APIs durch Famulor im Rahmen der Activepieces-Integration sowie deren Weitergabe an andere Anwendungen erfolgt gemäß der Google API Services User Data Policy, einschließlich der Anforderungen zur Limited Use.
Verwandte Seiten
