Compliance & Datensicherheit

Datensicherheit als Grundpfeiler unserer Mission

Der Schutz persönlicher Daten ist für uns Überzeugung, nicht nur Pflicht – von der ersten Zeile Code bis zum täglichen Betrieb.

DSGVO-konforme Datenverarbeitung

Unsere Anwendungen entsprechen den datenschutzrechtlichen Vorgaben und werden ausschließlich in deutschen Rechenzentren betrieben.

  • Zweckbindung & Datenminimierung
    Verarbeitet wird nur, was für den Antrag notwendig ist – und ausschließlich zu diesem Zweck.
  • Transparente Verarbeitung
    Datenspeicherung und -verarbeitung sind dokumentiert und für Fachbereich, IT und Datenschutz nachvollziehbar.
  • Löschkonzept
    Personenbezogene Daten werden nach Abschluss des Antragsprozesses automatisch gelöscht.
  • Unterstützung bei der Einführung
    Wir begleiten Ihre Verwaltung bei der datenschutzkonformen Implementierung – inklusive Unterlagen für Datenschutzbeauftragte.

Digitale Souveränität

Ihre Verwaltung behält jederzeit die volle Kontrolle über Daten, Konfiguration und Infrastruktur.

  • Deutsche Cloud-Infrastruktur
    Datenbanken, Datenspeicher und Anwendungsserver laufen in deutschen Rechenzentren bei IONOS.
  • Wechselfähigkeit bei KI-Modellen
    Europäische Modelle wie Mistral AI und Open-Source-Alternativen – gehostet in Deutschland oder der EU.
  • Keine Anbieterbindung
    Offene Architektur statt Vendor-Lock-in: Modelle und Komponenten bleiben austauschbar.
  • Flexible Betriebsmodelle
    Public Cloud, Private Cloud oder On-Premise in Ihrer eigenen Infrastruktur – passend zur IT-Strategie.

Privacy by Design

Datenschutz ist bei uns kein nachträglicher Filter, sondern Architekturprinzip – von der ersten Zeile Code an.

  • Minimale Datenerhebung
    Erfasst werden nur die Daten, die für den jeweiligen Prozessschritt erforderlich sind.
  • Opt-in-Prinzip
    KI-Assistenz startet erst nach expliziter Einwilligung der Nutzerinnen und Nutzer.
  • Getrennte Datenströme
    Technische Verbindungsdaten wie IP-Adressen werden strikt getrennt von Chat- und Antragsinhalten verarbeitet und nicht mit ihnen verknüpft.
  • Anonymisierte System-Logs
    Betriebsdaten werden anonymisiert erfasst – ohne Rückschluss auf einzelne Personen.

AI Act & KI-Governance

OpenAdvo ist auf die EU-KI-Verordnung vorbereitet – mit klaren Grenzen für die KI und voller Kontrolle für den Menschen.

  • Transparenzpflicht erfüllt
    Der KI-Einsatz ist für Nutzende jederzeit klar erkennbar und wird transparent kommuniziert.
  • Erklärbarkeit
    KI-Ergebnisse sind nachvollziehbar und stützen sich auf hinterlegte Inhalte und Regeln – nicht auf freie Modell-Assoziationen.
  • Kein autonomes Handeln
    Die KI unterstützt und bereitet vor – sie entscheidet niemals eigenständig über Anträge oder Ansprüche.
  • Human-in-the-Loop
    Sachbearbeiter:innen behalten stets die volle Entscheidungshoheit.

Sicherheit gegen externe Angriffe

Wir entwickeln unsere Sicherheitsarchitektur kontinuierlich weiter – auch gegen neue Bedrohungsszenarien rund um generative KI.

  • Durchgängige Verschlüsselung
    TLS 1.3 für alle Datenübertragungen, AES-256 für gespeicherte Daten.
  • Isolierte Instanzen
    VPC-Isolation und Mandantentrennung auf Datenbankebene – kein Zugriff zwischen Instanzen.
  • Schutz vor KI-spezifischen Angriffen
    Laufende Härtung gegen neue und mehrstufige Angriffsmuster, einschließlich Prompt Injection.
  • Externe Sicherheitstests
    Regelmäßige Sicherheitsüberprüfungen und Penetrationstests durch unabhängige Partner.
  • Georedundante Backups
    Backup-Systeme in separaten deutschen Rechenzentren für maximale Verfügbarkeit.

Standardisierte Vertragsgestaltung

Unsere Verträge sind auf die besonderen Anforderungen der öffentlichen Verwaltung ausgerichtet.

  • EVB-IT-Standards
    Vertragsgestaltung nach den EVB-IT-Vertragsstandards für die öffentliche Verwaltung.
  • AVV mit KI-Klauseln
    Auftragsverarbeitungsvertrag nach Art. 28 DSGVO – mit KI-spezifischen Klauseln zu Training, Datenflüssen und Unterauftragsverarbeitern.
  • Externe Datenschutz-Expertise
    Begleitung durch spezialisierte Datenschutz-Partner – von der AVV-Prüfung bis zum ISMS.

Made & hosted in Germany

Entwickelt in Köln, betrieben in Deutschland – ohne Umwege über Drittstaaten.

  • Entwicklung in Deutschland
    Konzeption, Entwicklung und Betreuung durch erfahrene IT-Expert:innen nach deutschen Qualitäts- und Sicherheitsstandards.
  • Zertifizierte Rechenzentren
    Hosting der gesamten Infrastruktur in BSI C5 und ISO/IEC 27001 zertifizierten Rechenzentren in Deutschland.
  • Keine US-Cloud-Abhängigkeit
    Kein Datentransfer in Drittstaaten, keine Abhängigkeit von US-amerikanischen Cloud-Anbietern.
BSI C5ISO/IEC 27001DSGVO

Offene Standards & Integration

Unsere Architektur integriert sich reibungslos in bestehende Formular-Landschaften und Fachverfahren.

  • Flexible Anbindung
    Integration als Plugin (z. B. formcycle), Embedded Frame, REST API oder SSE.
  • Klar definierte Schnittstellen
    Microservice-Architektur mit dokumentierten Schnittstellen statt Blackbox.
  • Keine Insellösung
    OpenAdvo ergänzt vorhandene Systeme – Formularmanagement und Fachverfahren bleiben führend.