Workspace Jetzt starten
🇩🇪 In Deutschland entwickelt · DSGVO-konform · EU-Hosting Frankfurt

KI nutzen.
Ohne die DSGVO zu riskieren.

Der KI-Workspace fuer den deutschen Mittelstand: Claude, ChatGPT, Gemini und Mistral — mit PII-Maskierung vor jedem Cloud-Aufruf, verarbeitet in Frankfurt, mit vollstaendiger AVV-Kette. Plus Experten-Agenten, Cybersecurity und Datenschutzberatung aus einer Hand.

Workspace testen Passendes Paket finden
Claude Opus 4.8
DSFA-Checkliste fuer unsere Arztpraxis?
Gesundheitsdaten (Art. 9) – eine DSFA ist hier in der Regel Pflicht. Kernpunkte: Verarbeitungsuebersicht, Risikobewertung, TOM nach Art. 32 …
EU / Frankfurt · 3 Belege
Nachricht schreiben…
1.880Experten-Agenten
EUVerarbeitung Frankfurt
0Training auf Ihren Daten
A+…FCybersecurity-Score
Die Plattform

Eine Plattform.
Vier souveraene Bausteine.

DSGVO-konformer KI-Workspace, 1.880 Experten-Agenten, echte Cybersecurity und externe Datenschutzberatung — alles auf EU-Infrastruktur in Frankfurt, fuer den deutschen Mittelstand.

/0.1

KI‑Workspace

Multi‑Model‑KI — Claude Opus 4.8, ChatGPT, Gemini, Mistral — ueber ein EU‑Gateway in Frankfurt. Jede Eingabe wird vor dem Cloud‑Aufruf per PII‑Maskierung anonymisiert. Inklusive DSGVO‑Websuche, Wissensbasis (RAG) und Export nach PDF, Word, Excel und PowerPoint.

PII‑Maskierung RAG / Wissensbasis 6 Sprachen
/0.2

Experten‑Agenten

1.880 spezialisierte KI‑Agenten und ein Experten‑Lotse, der Sie zum richtigen Profil fuehrt — von der Arztpraxis bis zur Kanzlei. Analysen laufen serverseitig auf Bedrock‑EU weiter, auch wenn die App geschlossen ist, und werden automatisch als Datei gespeichert.

1.880 Agenten Experten‑Lotse Laeuft serverseitig weiter
/0.3

Cybersecurity

Echter Sicherheits‑Scanner: TLS‑Enumeration, OWASP‑Header, DNS‑Pruefung (SPF, DKIM, DMARC, DNSSEC, CAA), security.txt und ein Observatory‑Score von A+ bis F. Der Desktop‑Agent erfasst Endpoint, Software‑Inventar und Verschluesselungsstatus.

TLS & OWASP DNS‑Audit Desktop‑Agent
/0.4

Datenschutz‑Beratung

Externer Datenschutzbeauftragter und persoenliche Beratung durch zertifizierte Experten. AVV‑Kette nach Art. 28 DSGVO, Verarbeitungsverzeichnis, NIS2‑Readiness und Schulungen nach Art. 4 EU AI Act — aus einer Hand.

Externer DSB AVV Art. 28 NIS2‑Readiness
Einsatzbereiche

Wo XDAB konkret arbeitet.

Von der ersten Bestandsaufnahme bis zum laufenden Betrieb — abgestimmt auf Branche, Risiko und Datenschutzbedarf.

  • 01 Datenschutz‑Audit & VVT
    Bestandsaufnahme, Verarbeitungsverzeichnis, Risikobewertung
  • 02 KI‑Integration mit PII‑Schutz
    Anonymisierung per Presidio + Flair NER vor jedem Cloud‑Aufruf
  • 03 NIS2 & Cybersecurity
    Scanner, Endpoint‑Agent, Haertungs‑Empfehlungen
  • 04 Externer Datenschutzbeauftragter
    Mandat, laufende Betreuung, Behoerdenkontakt
  • 05 KI‑Schulungen (Art. 4 EU AI Act)
    Pflichtschulung zur KI‑Kompetenz fuer Ihr Team
  • 06 Branchen‑Experten
    Arztpraxis, Kanzlei, Handwerk, Steuerberatung u. v. m.
Warum XDAB

XDAB statt US‑KI‑Tool direkt.

Die gleiche KI‑Leistung — aber mit vollstaendiger DSGVO‑Kette, PII‑Schutz und Datenschutzberatung statt blankem API‑Zugang.

Kriterium XDAB US‑KI‑Tool direkt
EU‑Verarbeitung (Frankfurt) Bedrock / Azure EU US‑Drittland
PII‑Maskierung vor Cloud‑Aufruf Presidio + Flair NER
AVV‑Kette nach Art. 28 KMU → XDAB → Provider selbst zu klaeren
Kein Training auf Ihren Daten vertraglich zugesichert tarifabhaengig
Compliance‑Killswitch (Art. 38 Abs. 6)
Datenschutzberatung inklusive externer DSB
Cybersecurity‑Scanner & Agent TLS, DNS, Endpoint

Anthropic, OpenAI, AWS und Microsoft sind nach ISO/IEC 27001 zertifiziert und SOC 2 Type II auditiert — die EU‑Verarbeitung erfolgt ueber Bedrock Frankfurt bzw. Azure OpenAI EU.

Der Workspace

Ein Terminal. Fuenf Werkzeuge.
Alles DSGVO-konform aus Frankfurt.

Chat, Experten-Agenten, PII-Schutz, Cybersecurity und Wissensbasis — nahtlos verbunden in einer Oberflaeche. Klicken Sie sich durch.

01 — Multi-Model-KI

Fragen Sie. Vier Modelle antworten — alle ueber das EU-Gateway.

Claude Opus 4.8, ChatGPT, Gemini und Mistral, erreichbar im selben Composer. Jeder Aufruf laeuft ueber das EU-Gateway in AWS Bedrock Frankfurt — kein US-Drittland im Standardpfad.

Quellen aus der DSGVO-Websuche (SearXNG, Frankfurt) werden direkt am Ergebnis als Chip ausgewiesen. Kein Training auf Ihren API-Daten.

  • Modellwechsel mit einem Klick
  • Belegte Quellen, keine Halluzinations-Blackbox
  • Vorlesen nach WCAG 2.2, 6 Sprachen
app.xdab.de / chat
Claude Opus 4.8 ChatGPT Gemini Mistral
DW
Fasse die neuen Pflichten aus dem EU AI Act fuer KMU zusammen.
KMU mit Hochrisiko-KI muessen ab 2026 Risikomanagement, Daten-Governance und menschliche Aufsicht nachweisen. Transparenzpflichten gelten frueher…
EU-Quelle · Frankfurt3 Belege
Nachricht an XDAB…
02 — 1.880 Experten-Agenten

Spezialisierte Agenten plus Lotse, der den richtigen findet.

Vom Datenschutz-Audit bis zur Foerdermittel-Recherche: 1.880 vorkonfigurierte Experten-Agenten stehen bereit. Der Lotse waehlt den passenden, Sie starten per Klick.

Analysen laufen serverseitig auf Bedrock-EU weiter — auch wenn die App geschlossen ist. Das Ergebnis wird automatisch als Datei in Ihrer Ablage gespeichert.

  • Laeuft im Hintergrund weiter
  • Auto-Speicherung als PDF/Word/Excel
app.xdab.de / agenten
Lotse-Empfehlung fuer „DSGVO-Audit“
DSlaeuft
Datenschutz-Auditor
VVbereit
VVT-Generator
Verarbeitungsverzeichnis
TObereit
TOM-Pruefer
Art. 32 Massnahmen
FMfertig
Foerdermittel-Scout
Bericht gespeichert
2 Berichte automatisch in Ablage gespeichert
03 — PII-Maskierung

Namen und Orte verlassen Ihr Haus nie im Klartext.

Vor jedem Cloud-Aufruf erkennt eine deutschsprachige NER-Pipeline (Presidio plus Flair) personenbezogene Daten und maskiert sie zu Platzhaltern wie [NAME] oder [ORT].

Das Modell verarbeitet nur die maskierte Variante. Nach der Antwort werden die Platzhalter lokal wieder zurueckgesetzt — vollautomatisch.

  • Deutsche NER, kein generisches Regex
  • Audit-Log ohne Prompt-Inhalte
app.xdab.de / pii-schutz
Vorher — lokalNachher — an Cloud
Klartext

Der Mandant Thomas Berger aus Braunschweig meldet einen Vorfall. Kontakt: t.berger@firma.de

Maskiert

Der Mandant [NAME] aus [ORT] meldet einen Vorfall. Kontakt: [EMAIL]

3 Entitaeten maskiertvor Cloud-Aufruf
04 — Security-Scanner

Echter Scan: TLS, Header, DNS — in einer Note zusammengefasst.

Der Scanner prueft TLS-Enumeration, OWASP-Header, DNS (SPF/DKIM/DMARC/DNSSEC/CAA) und security.txt. Heraus kommt ein Mozilla-Observatory-Score von A+ bis F.

Ergaenzt durch einen Desktop-Agenten fuer Endpoint, Software-Inventar und Verschluesselung — Schwachstellen werden konkret benannt, nicht nur gezaehlt.

  • Konkrete Befunde, keine Pauschalwerte
  • Wiederholbar, dokumentiert, exportierbar
app.xdab.de / security
kunde-mittelstand.de
B
TLS 1.3 · HSTS aktivstark
SPF · DKIM · DMARCgesetzt
CSP-Header fehltoffen
DNSSEC nicht aktivoffen
Vollbericht als PDF exportieren
05 — RAG-Wissensbasis

Ihre Dokumente werden zur durchsuchbaren Wissensbasis.

Laden Sie Vertraege, Richtlinien und Handbuecher hoch. Embeddings entstehen ueber Bedrock-EU, gespeichert in pgvector — die Suche findet die relevanten Passagen, nicht nur Dateinamen.

Antworten zitieren die Fundstelle mit Quelle und Treffer-Score, sodass jede Aussage nachvollziehbar bleibt.

  • Semantische Suche statt Stichwort
  • Embeddings EU-nativ, kein US-Pfad
app.xdab.de / wissensbasis
Dokument hierher ziehen · PDF, DOCX, XLSX AVV-Vorlage.pdf hochgeladen
Aufbewahrungsfrist Auftragsverarbeitung?
AVV-Vorlage.pdf0.94

… nach Beendigung loescht der Auftragsverarbeiter saemtliche Daten binnen 30 Tagen …

Loeschkonzept.docx0.88

… Fristen richten sich nach Art. 17 DSGVO sowie handelsrechtlichen Vorgaben …

Datenfluss · Ende zu Ende

Wie eine Anfrage abläuft

Vom Tippen im Workspace bis zur fertigen Antwort — das KI-Modell sieht nie Klartext-PII. Jede personenbezogene Angabe wird in Frankfurt maskiert, bevor sie das EU-Gateway verlässt.

1

Eingabe im Workspace

Mitarbeiter:in formuliert die Anfrage — ganz normal, im Klartext. Lokal im Browser, noch nichts verlassen das Haus.

2

PII-Scan & Maskierung

Presidio + Flair NER (deutsch) erkennen Namen, Orte, Kontaktdaten — und ersetzen sie durch Platzhalter.

3

EU-Gateway Frankfurt

Nur die maskierte Anfrage läuft über AWS Bedrock in Frankfurt. Kein US-Drittland im EU-Pfad.

4

KI-Modell verarbeitet

Claude oder ChatGPT rechnen ausschließlich mit maskierten Daten. Kein Training auf API-Inhalten.

5

Antwort (maskiert)

Das Modell antwortet mit denselben Platzhaltern — PII bleibt außerhalb der EU-Infrastruktur unbekannt.

6

Rück-Ersetzung lokal

Im Workspace werden [NAME] & [ORT] wieder zu „Dr. Müller, Hannover“ aufgelöst — nur für die berechtigte Person sichtbar.

Modell sieht nie Klartext-PII
AVV-Kette Art. 28 — KMU → XDAB → Provider
Kein Training auf API-Daten
Wissensbasis · Vektordatenbank

Ihre Dokumente werden zum
Wissen der KI — DSGVO-konform in der EU

Eigene Dateien, Vertraege und Handbuecher werden eingebettet (Embeddings) und in einer Vektordatenbank (pgvector) gespeichert. Die KI greift per RAG gezielt darauf zu und antwortet mit nachvollziehbaren Quellen — verarbeitet ausschliesslich in Frankfurt, kein Training auf Ihren Daten.

1

Hochladen & Einbetten

PDF, Word, Excel, E-Mails. Texte werden in Chunks zerlegt und per Embedding-Modell (Bedrock-EU) in Vektoren ueberfuehrt.

2

Vektordatenbank (pgvector)

Speicherung als durchsuchbare Vektoren in der EU. Aehnlichkeitssuche findet die relevanten Passagen — nicht nur Stichwort, sondern Bedeutung.

3

Antwort mit Quellen (RAG)

Die KI zitiert die Fundstellen aus Ihren eigenen Dokumenten. Jede Aussage bleibt nachpruefbar und belegbar.

workspace.xdab.eu / wissensbasis
Dokumente
PDF
AVV_Muster_2026.pdfindexiert · 142 Chunks
DOC
IT-Richtlinie.docxindexiert · 88 Chunks
XLS
Lieferanten.xlsxeinbetten · 61%
Embedding-Lauf61%
pgvector · Bedrock-EU Frankfurt
Wer ist Auftragsverarbeiter laut AVV?
3 Treffer aus Ihrer Wissensbasis
AVV_Muster_2026.pdf0.94

…der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich gemaess Art. 28 DSGVO und Weisung…

IT-Richtlinie.docx0.88

…Sub-Auftragsverarbeiter sind nur nach schriftlicher Genehmigung zulaessig, Kette dokumentiert…

AVV_Muster_2026.pdf0.81

…Loeschkonzept nach Vertragsende, Rueckgabe der Datentraeger

Konnektoren zu Ihrer vorhandenen Software
DATEV / Lexware
Microsoft 365
SharePoint
Google Workspace
E-Mail / IMAP
Cloud-Speicher
Eigene DB
n8n-Automation
EU-Verarbeitung Frankfurt Embeddings & Vektordatenbank bleiben in der EU. Kein Training auf Ihren Daten. PII-Maskierung vor jedem Cloud-Aufruf.
Datenschutz im Detail

DSGVO ist bei uns Architektur – kein Haftungsausschluss im Kleingedruckten.

Jede Anfrage durchläuft denselben Pfad: EU-Verarbeitung in Frankfurt, PII-Maskierung vor jedem Cloud-Aufruf, lückenlose AVV-Kette nach Art. 28 DSGVO. Hier ist, was technisch und rechtlich dahintersteht.

EU-Verarbeitung in Frankfurt — kein US-Drittland im EU-Pfad

Daten werden ausschließlich in der EU (AWS-Region Frankfurt) verarbeitet. Im Standard-Pfad (Bedrock-EU) verlässt nichts den EU-Raum, es greift kein US CLOUD Act auf Ihre Inhalte. Personenbezogene Daten werden bereits vor dem Cloud-Aufruf maskiert — das Modell sieht keine Klarnamen.

EU-only Default Kein Training auf API-Daten Audit-Log ohne Prompt-Inhalte

Anbieter-Zertifizierungen

Belegbare Standards unserer Sub-Auftragsverarbeiter im EU-Pfad.

Anbieter Rolle Zertifizierungen
AnthropicClaude KI-Modell ISO/IEC 27001 SOC 2 Type II
OpenAIChatGPT KI-Modell ISO/IEC 27001 SOC 2 Type II
AWSBedrock, Frankfurt EU-Gateway ISO 27001 ISO 27017 ISO 27018 SOC 2
Microsoft AzureAzure OpenAI EU T2-Routing ISO 27001 ISO 27017 ISO 27018 SOC 2

Mistral ist EU-nativ (Paris). Anthropic und OpenAI sind nach ISO/IEC 27001 zertifiziert und SOC 2 Type II auditiert; AWS und Azure zusätzlich nach ISO 27017/27018.

Schutzmechanismen im Überblick

Acht technische und organisatorische Maßnahmen, die ineinandergreifen.

PII-Maskierung vor dem Cloud-Aufruf

Presidio + Flair-NER (deutsch) erkennen und ersetzen personenbezogene Daten, bevor eine Anfrage das Gateway verlässt. Modelle sehen Platzhalter, keine Klarnamen.

AVV-Kette nach Art. 28 DSGVO

Lückenlose Auftragsverarbeitung: KMU → XDAB (Auftragsverarbeiter) → Provider (Sub-AV). Vertraglich abgesichert, dokumentiert, prüfbar.

Kein Training auf API-Daten

Ihre Inhalte werden nicht zum Trainieren von Modellen verwendet. Vertraglich zugesichert über die gesamte Anbieterkette im EU-Pfad.

Audit-Log ohne Prompt-Inhalte

Protokolliert werden Zeitpunkt, Modell und Routing-Stufe — nicht der Inhalt Ihrer Eingaben. Nachvollziehbarkeit ohne neue Datenrisiken.

3-Stufen-Routing — transparent steuerbar

T1
Bedrock-EU Standard. EU-Frankfurt, kein US-Drittland.
T2
Azure OpenAI EU ChatGPT-Modelle, EU-Verarbeitung.
T3
BYOK Opt-in, nur mit ausdrücklicher Warnung.

Art. 38 Abs. 6 Killswitch

Interessenkonflikte ausgeschlossen: Ein DSB-Mandat (A) ist nicht mit KI- oder Security-Leistungen (C/D) kombinierbar — technisch erzwungen.

„Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch.“
Art. 28 Abs. 2 DSGVO Genau diese Genehmigungskette bilden wir vertraglich ab — KMU als Verantwortlicher, XDAB als Auftragsverarbeiter, Provider als Sub-AV.
Cybersecurity im Detail

Zwei Saeulen, ein Lagebild: Aussen-Scan und Endpoint-Agent

Wir pruefen Ihre Angriffsflaeche von aussen wie von innen. Der Website-/Domain-Scan bewertet TLS, Header, DNS und Cookies nach OWASP- und Mozilla-Massstab. Der Desktop-Agent inventarisiert Endgeraete, Verschluesselung und Patch-Stand — mit pseudonymisierten Hostnames.

01
Aussen-Perspektive

Website- & Domain-Scan

Ein nicht-invasiver Scan Ihrer oeffentlich erreichbaren Domain. Keine Logins, keine Exploits — nur das, was ein Angreifer ohnehin sieht.

TLS & Cipher
Protokoll-Enumeration (TLS 1.0–1.3), aktive Cipher-Suiten, schwache/veraltete Verfahren, Zertifikatskette & Ablauf.
OWASP Security-Header
HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy.
DNS-Sicherheit
SPF, DKIM, DMARC gegen Mail-Spoofing — plus DNSSEC und CAA fuer manipulationssichere Aufloesung.
security.txt (RFC 9116)
Pruefung auf einen standardkonformen Kontaktkanal fuer Sicherheitsmeldungen — Pflicht fuer professionelle Disclosure.
Cookie-Sicherheit
Secure-, HttpOnly- und SameSite-Flags je Cookie — Schutz vor Session-Diebstahl und CSRF.
Mixed-Content & SRI
Unsichere HTTP-Ressourcen auf HTTPS-Seiten und fehlende Subresource-Integrity bei externen Skripten.
xdab.de/scan/report
A
www.musterfirma-gmbh.de
Mozilla-Observatory-Score
92/100
TLS 1.3 erzwungen Stark
HSTS + CSP gesetzt Aktiv
Referrer-Policy Schwach
SPF / DKIM / DMARC 3/3
security.txt (RFC 9116) Fehlt
Cookies: Secure + SameSite OK
02
Innen-Perspektive

Desktop-Agent (Endpoint)

Ein schlanker Agent auf Ihren Endgeraeten meldet sicherheitsrelevante Telemetrie — ohne Inhalte, ohne Tastatur-Mitschnitt. Datensparsam by design.

Software-Inventar
Vollstaendige Liste installierter Programme und Versionen je Geraet — die Basis fuer jede Schwachstellen-Bewertung.
Verschluesselungsstatus
BitLocker / FileVault aktiv? Wir erkennen unverschluesselte Datentraeger, bevor ein verlorenes Notebook zur Meldung wird.
Patch-Monitoring
Abgleich gegen bekannte Schwachstellen (CVE). Fehlende Updates und End-of-Life-Software werden priorisiert gemeldet.
Pseudonyme Hostnames
Geraete erscheinen als stabile Pseudonyme. Die Zuordnung zur Person bleibt bei Ihnen — nicht bei uns.
xdab.de/endpoint/flotte
Endpoint-Flotte
18 sicher 4 Updates 1 kritisch
host-4f1a verschluesselt · aktuell OK
host-9c30 3 Patches offen Patch
host-b82e Datentraeger offen Kritisch
host-1d77 verschluesselt · aktuell OK
host-7a05 EOL-Software erkannt Pruefen
Beide Scans laufen DSGVO-konform in der EU. Der Aussen-Scan ist nicht-invasiv, der Endpoint-Agent erhebt ausschliesslich sicherheitsrelevante Telemetrie — keine Inhalte, keine Prompts, kein US-Drittland im Datenpfad.
Fünf Module

Bausteine, die zusammenpassen

Stellen Sie Ihr Paket aus den Modulen zusammen — innerhalb der rechtlichen Grenzen, die unser System automatisch durchsetzt.

MODUL A

Externer DSB

Simon wird als Datenschutzbeauftragter bei Ihnen benannt — formal, gemeldet, haftungsklar.

MODUL B

Datenschutz-Beratung

Audits, Verarbeitungsverzeichnis (VVT), TOMs, DSFA — ohne formale DSB-Benennung.

MODUL C

KI-Integration

KI-Gateway-Proxy mit PII-Scan: nutzen Sie Claude, Mistral & Co. — pseudonymisiert, EU-konform.

MODUL D

Cybersecurity

Desktop-Agent + Live-Scans: Software-Inventar, Verschlüsselung, Schwachstellen-Monitoring.

MODUL E

KI-Schulungen

Kompetenzschulungen nach Art. 4 EU AI Act — Pflicht für jeden, der KI im Betrieb einsetzt.

Paket-Konfigurator

Was passt zu Ihnen?

Wählen Sie Ihre Module. Unser System prüft live, ob die Kombination rechtlich zulässig ist (Art. 38 Abs. 6 DSGVO).

Module wählen

Modul A (formaler DSB) lässt sich aus rechtlichen Gründen nicht mit C oder D kombinieren.
Noch nichts gewählt
    Passendes Paket ansehen
    Pakete & Preise

    Transparent, monatlich kündbar

    Self-Service-Pakete buchen Sie direkt. Pakete mit formalem DSB-Mandat (Modul A) starten mit einem persönlichen Erstgespräch — gesetzlich vorgeschrieben.

    Wer dahinter steht

    Zwei Gruender, ein Anspruch: Compliance, die haelt.

    DW
    David Wolkoff
    Technik & Plattform

    Baut den Workspace, das EU-Gateway, die Agenten und die Cybersecurity-Scanner.

    SM
    Simon
    Datenschutzbeauftragter (DSB)

    Externer DSB, Datenschutz-Audits, VVT, TOMs, DSFA — rechtssicher nach DSGVO.

    XDAB UG (haftungsbeschraenkt) · Braunschweig