knowmindknowmind
DokumentationQuickstartAnbindungReferenzFehlerbehebung
DEEN

Sicherheit

Datenfluss

Diese Seite zeigt für die typischen Nutzungs-Pfade, welche Komponente welche Daten verarbeitet. Pflicht laut ISO 82079 vor dem produktiven Einsatz, insbesondere für IT-Beschaffung und Datenschutz-Folgenabschätzung.

Komponenten und ihre Datenflüsse

Übersicht aller Datenflüsse zwischen knowmind und seinen Subprozessoren. Durchgezogene Pfeile: regulär. Gestrichelte Pfeile: nur bei aktiver Nutzung (BYOK, Stripe, Webhooks).

Pfad A: Anmeldung mit Magic-Link

text
Ihr Browser ─► knowmind.de (HTTPS, TLS 1.3)
                  └─► E-Mail-Erzeugung
                       └─► Brevo (EU) ─► Ihr Mail-Postfach
                                          └─► Sie klicken den Link
                                               └─► knowmind.de stellt Sitzung her

Inhalte: Ihre E-Mail-Adresse, der Link-Token, Standard-Header. Brevo sieht ausschließlich Empfänger-Adresse und Mail-Body („Ihr Anmelde-Link"). Brevo speichert keine Inhalte Ihres Arbeitsbereichs.

Pfad B: Erinnerung anlegen über Dashboard

text
Ihr Browser ─► knowmind.de (HTTPS)
                  └─► Control-Plane (Next.js)
                       ├─► PostgreSQL (Mandanten-Spalte, Hetzner)
                       ├─► Embedding-Service ─► pgvector
                       └─► Wissensgraph (Neo4j, Hetzner)

Inhalte bleiben innerhalb der knowmind-Infrastruktur in Deutschland. Wenn ein BYOK-Anbieter für die Anreicherung konfiguriert ist, läuft zusätzlich Pfad D.

Pfad C: Recall über MCP-Client (Claude Code, ChatGPT, Claude.ai)

text
KI-Client ─► knowmind.de/api/mcp/v1 (HTTPS, Bearer-Token)
                └─► Control-Plane
                     ├─► PostgreSQL (BM25, Vector)
                     ├─► Wissensgraph (Graph-Hops)
                     └─► Antwort (JSON-RPC) ─► KI-Client
                                              └─► Modell-Antwort an Sie

Das eigentliche Sprachmodell läuft beim KI-Anbieter (Anthropic für Claude, OpenAI für ChatGPT). knowmind sieht weder Ihre Prompt-Inhalte noch die Modell-Antworten — nur die Recall-Anfrage und die ausgelieferten Treffer.

Pfad D: BYOK-Anreicherung

text
Control-Plane ─► Provider-Adapter (Klartext-Schlüssel im RAM)
                  └─► Anbieter (Anthropic / OpenAI / Mistral / …)
                       └─► Antwort ─► Control-Plane ─► Datenbank

Inhalte gehen ausschließlich dann zum Anbieter, wenn Sie BYOK aktiviert haben. Ihr Schlüssel liegt verschlüsselt (AES-256-GCM) in der Datenbank, wird beim Aufruf entschlüsselt und lebt im RAM-Bereich des Adapters für die Dauer eines Calls. Keine Logs, keine Tracing-Felder, keine Stack-Traces enthalten den Klartext.

Pfad E: Webhook-Outbound

text
Ereignis (Memory, Edge, Tarif) ─► Webhook-Queue
                                          └─► Webhook-Worker
                                               └─► HTTP-POST an Ihre URL
                                                    (HMAC-SHA256-signiert)

knowmind versendet ausschließlich an die im Dashboard eingetragenen Webhook-Ziele. Inhalt ist auf das Notwendige reduziert (IDs, Zeitstempel, Event-Typ). Vollständige Erinnerungs-Inhalte werden nicht versendet — die Empfänger-Seite muss bei Bedarf über die API nachladen.

Subprozessor-Liste (Stand 23. Mai 2026)

SubprozessorZweckSitz
Hetzner Online GmbHServer-HostingDeutschland (Nürnberg/Nürnberg)
BrevoVersand transaktionaler MailsFrankreich
Stripe Payments Europe Ltd.Zahlungs-AbwicklungIrland
Let's EncryptTLS-ZertifikateUSA (nur CA, keine Inhalte)

Vollständige Liste mit Verarbeitungs-Zweck und Vertragsgrundlage im AVV. Anforderung per Mail an info@schuebeler-consulting.de.

Weiterführend