knowmindknowmind
DokumentationQuickstartAnbindungReferenzFehlerbehebung
DEEN

Konzept

Datenschutz und Hosting

knowmind ist von Anfang an EU-zentrisch konzipiert. Hosting in Deutschland, vollständige Datenhoheit beim Kunden, Verschlüsselung auf mehreren Ebenen, dokumentierter Subprozessor-Kreis und ein vollständiger DSGVO-Export sind keine späteren Anpassungen, sondern Grundannahmen.

Wo Ihre Daten liegen

  • Hosting bei Hetzner Online GmbH, Standort Nürnberg und Nürnberg
  • Vertragspartner für Sie ist Schübeler Consulting, Beverungen, Deutschland
  • Keine Subprozessoren außerhalb der EU für die Datenspeicherung — Inhalte, Vektor-Einbettungen, Wissensgraph-Knoten bleiben in der EU
  • Brevo (vormals Sendinblue) als Mail-Versender für Anmelde-Links und Webhook-Benachrichtigungen, ebenfalls EU-Sitz, EU-Server

Verschlüsselung

  • TLS 1.3 für alle externen Verbindungen (Let's Encrypt)
  • Bolt-over-TLS für Datenbank-Verbindungen aus Browsern (NeoDash)
  • AES-256-GCM für BYOK-Anbieter-Schlüssel, KEK pro Arbeitsbereich aus HKDF-SHA256 abgeleitet — der Master-Schlüssel liegt nicht in der Datenbank und nicht in Backups
  • scrypt mit Salt für API-Tokens — Klartext verlässt unsere Seite niemals als gespeicherter Wert
  • Verschlüsselung der Datenträger auf Hetzner-Volumes (at-rest)

Wer Inhalte sehen kann

Auf Tenant-Ebene sind Inhalte strikt isoliert. Die PostgreSQL-Rolle des Anwendungs-Backends besitzt NOBYPASSRLS, das heißt auch wir können diese Trennung nicht aushebeln. Jeder Datenbank-Zugriff läuft in einer Transaktion mit Mandanten-Filter. Der Wissensgraph (Neo4j) trägt auf jedem Knoten einen Mandanten-Schlüssel; Cypher-Queries werden über einen Wrapper geschickt, der den Filter pflichtmäßig injiziert.

Schübeler-Consulting-Mitarbeiterinnen und -Mitarbeiter haben für den Betrieb der Plattform Zugriff auf das Server-System, aber nicht auf Klartext-Inhalte Ihres Arbeitsbereichs — soweit sie keinen Token aus dem Arbeitsbereich besitzen. Im Falle eines Support-Tickets, bei dem Sie ausdrücklich um Einsicht bitten, erfolgt der Zugriff protokolliert und nach Abschluss vermerkt.

Rechte der Betroffenen (DSGVO)

  • Auskunft und Datenübertragbarkeit (Art. 15, 20): Im Dashboard unter Tarif steht ein JSON-Export, der alle Erinnerungen, Beziehungen, Dokumente und Audit-Einträge Ihres Arbeitsbereichs herunterlädt.
  • Berichtigung (Art. 16): Erinnerungen werden über das Dashboard oder die API bearbeitet. Bei größeren Korrekturen empfehlen wir knowmind.update_fact — die alte Aussage bleibt für Auditzwecke erhalten, die neue wird gültig.
  • Löschung (Art. 17): Anfrage per E-Mail an info@schuebeler-consulting.de, Vollzug innerhalb von 30 Tagen. Backups werden nach maximal 90 Tagen mit gelöscht.
  • Einschränkung (Art. 18) und Widerspruch (Art. 21): Auf Anfrage. Wir markieren betroffene Inhalte in der Verarbeitung entsprechend.

Auftragsverarbeitungs-Vertrag (Art. 28)

Verfügbar im Tarif Business, Business API und Enterprise. Anforderung formlos per Mail. Subprozessor-Liste ist Bestandteil des Vertrags und enthält aktuell Hetzner Online GmbH (Hosting) und Brevo (Mail).

Audit-Log

Jede sicherheitsrelevante Aktion wird protokolliert: Token-Anlage und -Widerruf, BYOK-Schlüssel-Anlage und -Löschung, Tarif-Wechsel, Erinnerungs-Mutationen. Die Aufbewahrungsdauer richtet sich nach dem Tarif (30 Tage bis 5 Jahre, siehe Tarif-Matrix). Im Dashboard unter Audit-Log beziehungsweise Sicherheits-Protokoll einsehbar, Export als CSV möglich.

Weiterführend