Trust Center

Auf einen Blick

Datenregion

Alle gespeicherten Daten liegen in der EU (Frankfurt). KI-Antworten erzeugt der Modellanbieter transient — vom Training ausgeschlossen gemäß seinen API-Bedingungen; ZDR-Vereinbarungen werden derzeit finalisiert.

Verschlüsselung

Verschlüsselt im Ruhezustand; TLS 1.3 bei der Übertragung. BYOK für die Enterprise-Stufe unterstützt.

EU-KI-Verordnung

Die Transparenzpflichten nach Artikel 50 werden vor dem Geltungsbeginn am 2 Aug 2026 erfüllt. Syncanix ist der Anbieter eines KI-Systems mit begrenztem Risiko; die Pflichten für GPAI-Modelle liegen vorgelagert.

Verletzungsmeldung

24-Stunden-Benachrichtigungs-SLA an Kunden ab bestätigter Verletzung (DPA Art. 33).

DSAR-SLA

Bestätigung innerhalb von 24 Stunden; Erfüllung innerhalb von 30 Tagen (DSGVO Art. 12).

SOC 2

Die Beweissammlung für Typ I beginnt im Monat 1 nach dem Start; Typ II bis Monat 9.

Wohin Ihre Daten fließen

Sicherheit

Die Produktion läuft in der EU (Frankfurt) unter einem dedizierten, vollständig isolierten Cloud-Konto. Alle Daten werden im Ruhezustand und bei der Übertragung mit TLS 1.3 verschlüsselt. Zugriff nach dem Least-Privilege-Prinzip für jede Workload und jede Datenbankrolle; standardmäßig aktivierte Authentifizierung bei jedem API-Aufruf; CSP / HSTS / X-Frame-Options bei jeder an den Kunden gerichteten Antwort.

Vollständige Sicherheitsübersicht lesen →

Live-Systemstatus

Eine öffentliche Statusseite zeigt die Live-Verfügbarkeit der API, der Widget-Auslieferung, des Dashboards und der Website — alle fünf Minuten aktualisiert, mit aktuellen Vorfällen und geplanten Wartungsfenstern.

Systemstatus ansehen

Sicherheitsfragebogen

Die üblichen Review-Fragen (CAIQ-Lite-Domänen, VSA-Core-Bereiche) vorab beantwortet — ehrlich: ja / teilweise / geplant, mit dem Detail hinter jeder Antwort.

Den vorab ausgefüllten Fragebogen lesen

Barrierefreiheit

WCAG 2.1 AA ist die Engineering-Messlatte. Die Erklärung umfasst den Konformitätsstatus je Oberfläche, die Maßnahmen dahinter und bekannte Einschränkungen.

Erklärung zur Barrierefreiheit lesen

Unterauftragsverarbeiter

Syncanix stützt sich heute auf 6 Unterauftragsverarbeiter – Modellanbieter (Anthropic, OpenAI), die AWS-Produktionsregion (die auch Retrieval-Embeddings und Reranking über Amazon Bedrock innerhalb der Region in der EU ausführt), den Identitätsanbieter (Auth0), die einwilligungsbasierte Produktanalytik (PostHog) und die Abrechnung (Paddle, unser Merchant of Record). Jeder verarbeitet nur die für seinen Zweck ausdrücklich erforderlichen Datenkategorien und nicht mehr. Eine 30-tägige Änderungsankündigungsrichtlinie gilt für jede wesentliche Änderung (neuer Unterauftragsverarbeiter, neue Datenkategorie, Standortwechsel).

Vollständige Liste der Unterauftragsverarbeiter lesen →

DPA und grenzüberschreitende Übermittlungen

Ein bilateraler DPA deckt Artikel 28 DSGVO (Auftragsverarbeiterpflichten) + Artikel 32 (Sicherheitsmaßnahmen) + Artikel 33 (24-Stunden-Verletzungsmeldung) ab. Grenzüberschreitende Übermittlungen verwenden SCCs Modul zwei (Verarbeiter zu Verarbeiter), mit dem UK-ICO-IDTA-Zusatz für Übermittlungen ins Vereinigte Königreich und einem Schweizer FADP-Zusatz für Übermittlungen in die Schweiz. Regionale Zusätze decken UAE PDPL, Saudi PDPL, Israel Amendment 13, Ägypten, Katar, Bahrain, Oman und Jordanien ab.

Vollständige DPA-Kurzdarstellung lesen →

Datenschutz

Auftragsverarbeiter für Kundeninhalte, Verantwortlicher für Dashboard-Konten. Standardwerte: 30 Tage Aufbewahrung, kein Training von Basismodellen mit Kundendaten, EU-Residenz für alle gespeicherten Daten. DSGVO-Rechte je Artikel gewahrt (15 / 16 / 17 / 20 / 25 / 32 / 33); Artikel 22 (automatisierte Entscheidungsfindung) wird grundsätzlich gemieden – jede folgenreiche Aktion verfügt über einen Human-in-the-Loop-Schalter. CCPA + 19 US-Bundesstaatsgesetze durch eine Obermenge abgedeckt; der MENA-Stack umfasst UAE PDPL, Saudi PDPL und Israel Amendment 13.

Vollständigen Datenschutzhinweis lesen →

KI-Compliance

Die EU-KI-Verordnung wird am 2 Aug 2026 durchsetzbar. Syncanix ist der Anbieter eines KI-Systems mit begrenztem Risiko; die GPAI-Modellpflichten nach Artikel 53 liegen vorgelagert bei Anthropic und OpenAI. Die Transparenz nach Artikel 50 wird vor dem Geltungsbeginn erfüllt: Hinweis an den Endnutzer, dass er „mit einem KI-System interagiert“, + dauerhafter Indikator in der Chat-Kopfzeile, übersetzt in die 6 Startsprachen. Modellkarten, die Systemkarte und die Methodik der Bias-Bewertung werden auf der KI-Compliance-Seite veröffentlicht.

Vollständige KI-Compliance-Kurzdarstellung lesen →

Compliance-Zertifizierungen

Konkrete Ziele, kein „wir planen“: SOC 2 Typ I Q3 2026 (Vanta, Auswahl des Auditors läuft), SOC 2 Typ II Q4 2026, ISO 27001 Q4 2026, EU-KI-Verordnung Artikel 50 vor dem 2 Aug 2026 verifiziert, DSGVO-DPA ab sofort verfügbar, CCPA / CPRA ab sofort verfügbar. HIPAA und FedRAMP liegen ausdrücklich außerhalb des v1-Geltungsbereichs.

Vollständigen Compliance-Status lesen →

DSAR – Anträge betroffener Personen auf Auskunft

Anträge werden innerhalb von 24 Stunden bestätigt und innerhalb von 30 Tagen erfüllt, im Einklang mit Artikel 12 DSGVO. Die 5 unterstützten Antragsarten entsprechen den DSGVO-Artikeln 15 (Auskunft), 16 (Berichtigung), 17 (Löschung), 20 (Datenübertragbarkeit) und 21 (Widerspruch).

DSAR einreichen →

Sprachen

Das Produkt, der KI-Hinweis und die kundenseitigen rechtlichen Hinweise werden in die 6 Startsprachen übersetzt: Englisch, Spanisch, Französisch, Deutsch, Arabisch und Hebräisch. Arabisch und Hebräisch werden durchgängig von rechts nach links dargestellt, einschließlich Symbolen mit Richtungsbedeutung. Vor jeder Veröffentlichung erfolgt eine Prüfung durch Muttersprachler.