1. Unsere Souveränitäts-Verpflichtungen
Um die strengen Anforderungen des europäischen Marktes (u. a. Art. 9 DSGVO für Gesundheitswesen und sensible Branchen) zu erfüllen, handeln wir nach vier Grundsätzen:| Grundsatz | Beschreibung |
|---|---|
| EEA-First-Policy | Die gesamte Kernverarbeitung von Sprach- und Textdaten erfolgt auf Servern innerhalb des Europäischen Wirtschaftsraums (EWR). |
| No-Training-Garantie | Wir stellen vertraglich sicher, dass keiner unserer KI-Anbieter Ihre Daten (Audio, Transkripte oder Prompts) zum Trainieren oder Verbessern seiner Basismodelle nutzen darf. |
| Zero-Retention-Modus | Wir bieten einen „Zero Retention Mode“ für hochsensible Umgebungen: Daten werden im Arbeitsspeicher verarbeitet und unmittelbar nach der Interaktion gelöscht. |
| Verschlüsselung | Alle Daten werden während der Übertragung mit TLS 1.2+ und im Ruhezustand mit AES-256 verschlüsselt. |
2. Systemstatus & Verfügbarkeit
Transparenz über die Systemperformance ist uns in der Zusammenarbeit wichtig. Unseren Live-Status können Sie jederzeit einsehen: Live-Status: https://status.famulor.io/3. Infrastruktur & Plattform-Hosting
Diese Anbieter hosten die Famulor.io-Plattform inkl. Backend-Logik, Datenbanken und Kunden-Dashboard.| Anbieter | Zweck | Verarbeitungsstandort |
|---|---|---|
| Amazon Web Services (AWS) | Kernplattform, Datenbanken & API-Logik | Frankfurt, Deutschland (EU) |
| Vercel Inc. | Frontend & Web-Oberfläche | Frankfurt, Deutschland (EU) |
4. Künstliche Intelligenz (LLM)
Diese Modelle übernehmen die Reasoning- und Gesprächslogik. Wir nutzen Enterprise-Instanzen für Datenisolation und -souveränität.| Anbieter | Modell / Dienst | Verarbeitungsstandort |
|---|---|---|
| Microsoft Ireland (Azure) | OpenAI-Modelle (GPT-4o, o1 usw.) | Sweden Central (EU) |
| Google Cloud (Vertex AI) | Gemini 1.5 Pro / Flash | EU-Regionen (EU Data Residency) |
| Anthropic, PBC | Claude-3.5-Modelle (über EU-Partner) | EU-Regionen |
| Microsoft Ireland (Azure) | Meta Llama 3 (Open Source) | EU-Regionen (Schweden/Deutschland) |
5. Sprachdienste (STT & TTS)
Spezialisierte Anbieter für Echtzeit-Transkription (Speech-to-Text) und Sprachsynthese (Text-to-Speech).| Anbieter | Kategorie | Dienst / Zweck | Verarbeitungsstandort |
|---|---|---|---|
| Soniox, Inc. | STT | Hochpräzise Transkription | EU-Region (Enterprise Node) |
| ElevenLabs Inc. | TTS | KI-Sprachmodelle (Enterprise Plan) | Frankfurt, Deutschland (EU) |
| Cartesia AI, Inc. | TTS | Ultra-Low-Latency Voice (Sonic) | EU-Region (laut AVV) |
| Microsoft Ireland (Azure) | STT/TTS | Whisper & Azure Neural Speech | Sweden Central (EU) |
6. Geschäftsbetrieb & Abrechnung
Anbieter für transaktionale Sicherheit und administrative Verwaltung.| Anbieter | Zweck | Verarbeitungsstandort |
|---|---|---|
| Stripe Payments Europe | Sichere Zahlungsabwicklung | Irland (EU) |
| SendGrid (Twilio) | Transaktions- und System-E-Mails | EU-Regionen |
7. Internationale Datenübermittlungen & Schutzmaßnahmen
Bei Anbietern mit US-Muttergesellschaften (z. B. Microsoft, Google, Vercel, Soniox) stellt Famulor die Konformität u. a. sicher durch:- Data Residency: Konfiguration der Dienste so, dass Daten ausschließlich auf EU-Knoten verarbeitet werden.
- Rechtsrahmen: Nutzung des EU-U.S. Data Privacy Framework (DPF) und/oder Standardvertragsklauseln (SVK).
- Enterprise-Verträge: Spezialverträge, die Drittzugriff und Nutzung der Daten für Modelltraining ausschließen.
8. Technische und organisatorische Maßnahmen (TOM)
Unser Sicherheitsrahmen zielt auf maximale Nachverfolgbarkeit und Isolierung:| Maßnahme | Beschreibung |
|---|---|
| Multi-Tenancy | Strenge logische Trennung der Kundendaten. Jeder Account läuft in einer isolierten Umgebung. |
| Agency- & Whitelabel-Architektur | Wir bieten ein Agency Dashboard, mit dem Partner mehrere, vollständig getrennte Sub-Accounts zentral verwalten können. |
| Zugriffskontrolle | Pro Account ist der Zugriff auf einen autorisierten Nutzer beschränkt. Native Multi-Factor Authentication (MFA) ist in unserer Roadmap. Wir empfehlen den Zugriff über SSO-Anbieter (Google/Microsoft) mit aktivierter MFA abzusichern. |
| Nutzerkontrollierte Datenspeicherung | Zur Umsetzung des DSGVO-Grundsatzes der Speicherbegrenzung können Nutzer eigenständig automatische Löschfristen (1 bis 24 Monate) für Anrufe, Leads, Chats und SMS konfigurieren. |
| Audit-Logging | Umfassende Protokollierung aller systemkritischen Aktionen zur Nachverfolgbarkeit. |
| Kontinuität | Automatische tägliche Backups, verschlüsselt innerhalb der EU gespeichert. |