Knowmind · Dokumentation

Konzept

Sicherheit & DSGVO.

Knowmind wurde nicht US-zentrisch gebaut. Hosting, Verschlüsselung, Recht-auf-Vergessen und Auditierbarkeit sind keine späteren Add-ons, sondern Grundannahmen.

Hosting

  • • Hetzner Online GmbH, Standort Nürnberg/Falkenstein
  • • Vertragspartner: Schübeler Consulting, Beverungen, Deutschland
  • • Keine Subprocessoren außerhalb der EU für Daten-Speicherung
  • • Brevo für Magic-Link-Mails (in der EU ansässig, EU-Server). Brevo sieht nur Empfänger-Adresse und Mail-Body („Ihr Anmelde-Link").

Verschlüsselung

  • • TLS 1.3 für alle externen Verbindungen (Let's Encrypt)
  • • Bolt-over-TLS für Datenbank-Verbindungen aus Browsern (NeoDash)
  • • AES-256-GCM für BYOK-Provider-Keys, per-Tenant-KEK aus HKDF-SHA256
  • • scrypt+Salt für API-Tokens (Klartext verlässt unsere Seite niemals als gespeicherter Wert)
  • • Postgres mit at-rest-Verschlüsselung der Hetzner-Volumes

Rechte der Betroffenen

  • Auskunft & Datenübertragbarkeit: Export aller Memories, Edges, Dokumente und Audit-Einträge eines Tenants als JSON unter /api/tenant/export.
  • Recht auf Vergessen: Account-Schließung löscht den gesamten Tenant inklusive Vektor-Indizes, Graph-Knoten und Datei-Buckets. Audit-Log bleibt 30 Tage zur Nachweisführung, danach automatisch gelöscht.
  • Berichtigung: Memories werden über die API oder das Dashboard direkt editiert, mit bi-temporaler Validity (alte Version bleibt für Auditzwecke).

Auftragsverarbeitung

AVV wird auf Anfrage als PDF bereitgestellt, mit Knowmind als Auftragsverarbeiter und Subprocessor-Liste (Hetzner, Brevo). Anfrage per Mail an info@schuebeler-consulting.de.

Audit & Monitoring

Jeder Provider-Call, jede Key-Aktion, jede Token-Ausstellung wird im audit_events-Log mit Tenant- und User-Bezug gespeichert. Sichtbar im Dashboard unter Audit, exportierbar als CSV. Langfuse-Tracing ist tenant-getaggt und nicht öffentlich.