Vertrauen & Sicherheit
Sicherheit für die, die selbst geprüft werden.
Horizon Scanner ist für Compliance-Teams europäischer Finanzinstitute gebaut — und deshalb an denselben Maßstäben gemessen, an denen sie gemessen werden. Ausschließlich EU-gehostet, verschlüsselt in Übertragung und Ruhe, strikt mandantengetrennt und standardmäßig prüfungssicher. Wir verarbeiten öffentlich veröffentlichte Regulierungsdokumente — niemals die Daten Ihrer Endkunden.
- EU / EWR
- Datenresidenz — ausschließlich in der EU gehostet
- TLS 1.2 / 1.3
- Verschlüsselt — in Übertragung und at-rest
- 5 Jahre
- Unveränderlicher Audit-Trail, jederzeit exportierbar
- 0
- Endkunden-Datensätze, die wir verarbeiten
Wie wir Daten schützen
Die folgenden Maßnahmen sind heute live — keine Absichtserklärungen.
Datenresidenz
Hosting ausschließlich auf europäischer Cloud-Infrastruktur; die öffentliche Website läuft in der Vercel-Region Frankfurt. Kundendaten bleiben im EU/EWR-Raum. Die KI-Modelle, die Dokumente bewerten (in den USA), erhalten ausschließlich öffentlich veröffentlichten Regulierungstext — niemals personenbezogene oder kundenvertrauliche Daten — auf Basis von EU-Standardvertragsklauseln.
Verschlüsselung
Jeder Endpunkt wird über TLS 1.2/1.3 ausgeliefert. Daten werden im Ruhezustand verschlüsselt gespeichert (at-rest encryption). Sicherungen erfolgen regelmäßig und versioniert.
Zugriff & Mandantentrennung
Durchgängig rollenbasierte Zugriffskontrolle (RBAC). Strikte Mandantentrennung: kein gemeinsamer Datenbankzugriff zwischen Kundenaccounts. Die Anmeldung ist passwortlos — Geräte-Passkeys oder Magic-Links — es gibt also keine geteilten oder wiederverwendeten Passwörter, die geleakt werden könnten.
Der Audit-Trail
Jede Aktion — Fetch, Relevanz-Entscheid, Änderungserkennung, Klassifikation, Validierung, Routing, Reviewer-Bestätigung — wird unveränderlich mit Zeitstempel und Akteur protokolliert. Standard-Aufbewahrung fünf Jahre (konfigurierbar). Beliebige Zeitfenster oder Finding-Bündel als CSV oder JSON exportierbar. Das ist der Nachweis, der die Fragen einer Aufsicht in Minuten beantwortet, nicht in Wochen.
Datensparsamkeit
Wir erheben nur, was der Betrieb erfordert: B2B-Account-Daten (Name, dienstliche E-Mail, Rolle). Wir halten keine personenbezogenen Daten Ihrer Endkunden und übermitteln niemals personenbezogene Daten an ein KI-Modell — verarbeitet werden ausschließlich öffentliche Regulierungsdokumente.
KI-Governance (EU AI Act)
Wir setzen KI-Modelle ein, entwickeln sie aber nicht — nach EU AI Act sind wir damit Betreiber (Deployer, Art. 26). Selbst eingestuft als kein Hochrisiko-System (Art. 6 Abs. 4): wir bewerten Dokumente, keine Personen. KI-Scores sind Entscheidungsunterstützung mit Human-in-the-Loop, maschinell erzeugte Ausgaben sind im Dashboard gekennzeichnet (Art. 50 Abs. 4), und es gibt keine automatisierte Entscheidung über Nutzer (Art. 22). Das Werkzeug, das die Regulatoren beobachtet, ist selbst nach den Regeln gebaut, die es verfolgt.
Auftragsverarbeiter
Wir setzen die folgenden Auftragsverarbeiter nach Art. 28 DSGVO ein — jeweils unter einem Auftragsverarbeitungsvertrag. Eine aktuelle Liste ist Teil unseres AVV.
| Dienstleister | Zweck | Region | Transferbasis |
|---|---|---|---|
| EU-Cloud-Hosting | Anwendungs-Hosting + Datenbank | EU / EWR | AVV (Art. 28) |
| Vercel Inc. | Hosting der Landing-Page, cookielose Reichweitenmessung | USA (HQ) · EU-Region Frankfurt | EU-US-DPF (Art. 45) + AVV |
| E-Mail-Dienst | Versand der Alert-E-Mails | EU | AVV |
| Google (Gemini API) | Dokumenten-Scoring — nur öffentlicher Text | USA | SCCs (Art. 46 Abs. 2 lit. c) |
| Groq | Scoring-Fallback | USA | SCCs |
| MiniMax | Unabhängige Zweitbewertung | — | SCCs + TIA |
Auf unserer Roadmap
Wir sind transparent über das, was wir haben, und das, was wir noch bauen. Die Maßnahmen oben sind heute live; unsere technisch-organisatorischen Maßnahmen sind nach Art. 32 DSGVO dokumentiert. Das Folgende ist in Arbeit, noch nicht erreicht:
- ISO-27001-Zertifizierung — in Arbeit (Ziel: Jahr zwei). Wir sind noch nicht ISO-27001-zertifiziert.
- SOC-2-Type-II-Readiness — in Arbeit.
Wir behaupten keine Zertifizierung, die wir nicht halten. Sobald ein Audit abgeschlossen ist, steht es hier mit Datum.
Sicherheits-FAQ
Wo werden unsere Daten gehostet?
Auf europäischer Cloud-Infrastruktur, im EU/EWR-Raum. Die öffentliche Website läuft in der Vercel-Region Frankfurt.
Werden Daten von uns an KI-Modelle übermittelt?
Keine personenbezogenen oder kundenvertraulichen Daten. Die KI-Modelle, die Regulierungsdokumente bewerten, erhalten ausschließlich öffentlich veröffentlichten Regulator-Text — auf Basis von EU-Standardvertragsklauseln.
Können wir einen AVV abschließen?
Ja. Nach Art. 28 DSGVO sind Sie der Verantwortliche und wir der Auftragsverarbeiter; ein Auftragsverarbeitungsvertrag ist verfügbar — fragen Sie ihn mit Ihrer Demo an.
Wie lange wird der Audit-Trail aufbewahrt, und können wir ihn exportieren?
Standardmäßig fünf Jahre, konfigurierbar nach Ihrer internen Vorgabe. Export beliebiger Zeitfenster als CSV oder JSON in jedem Tier.
Sind Sie ein Hochrisiko-KI-System nach EU AI Act?
Nein. Wir agieren als Betreiber (Art. 26) und stufen uns selbst als kein Hochrisiko-System ein (Art. 6 Abs. 4) — wir bewerten Dokumente, keine natürlichen Personen.
Due-Diligence-bereit ab Tag eins.
Fordern Sie unser Security-Paket und den AVV mit Ihrer Demo an — oder lesen Sie die vollständige Datenschutzerklärung.