DSGVO-konformer KI-Workspace, 1.880 Experten-Agenten, echte Cybersecurity und externe Datenschutzberatung — alles auf EU-Infrastruktur in Frankfurt, fuer den deutschen Mittelstand.
Multi‑Model‑KI — Claude Opus 4.8, ChatGPT, Gemini, Mistral — ueber ein EU‑Gateway in Frankfurt. Jede Eingabe wird vor dem Cloud‑Aufruf per PII‑Maskierung anonymisiert. Inklusive DSGVO‑Websuche, Wissensbasis (RAG) und Export nach PDF, Word, Excel und PowerPoint.
1.880 spezialisierte KI‑Agenten und ein Experten‑Lotse, der Sie zum richtigen Profil fuehrt — von der Arztpraxis bis zur Kanzlei. Analysen laufen serverseitig auf Bedrock‑EU weiter, auch wenn die App geschlossen ist, und werden automatisch als Datei gespeichert.
Echter Sicherheits‑Scanner: TLS‑Enumeration, OWASP‑Header, DNS‑Pruefung (SPF, DKIM, DMARC, DNSSEC, CAA), security.txt und ein Observatory‑Score von A+ bis F. Der Desktop‑Agent erfasst Endpoint, Software‑Inventar und Verschluesselungsstatus.
Externer Datenschutzbeauftragter und persoenliche Beratung durch zertifizierte Experten. AVV‑Kette nach Art. 28 DSGVO, Verarbeitungsverzeichnis, NIS2‑Readiness und Schulungen nach Art. 4 EU AI Act — aus einer Hand.
Von der ersten Bestandsaufnahme bis zum laufenden Betrieb — abgestimmt auf Branche, Risiko und Datenschutzbedarf.
Die gleiche KI‑Leistung — aber mit vollstaendiger DSGVO‑Kette, PII‑Schutz und Datenschutzberatung statt blankem API‑Zugang.
| Kriterium | XDAB | US‑KI‑Tool direkt |
|---|---|---|
| EU‑Verarbeitung (Frankfurt) | Bedrock / Azure EU | US‑Drittland |
| PII‑Maskierung vor Cloud‑Aufruf | Presidio + Flair NER | |
| AVV‑Kette nach Art. 28 | KMU → XDAB → Provider | selbst zu klaeren |
| Kein Training auf Ihren Daten | vertraglich zugesichert | tarifabhaengig |
| Compliance‑Killswitch (Art. 38 Abs. 6) | ||
| Datenschutzberatung inklusive | externer DSB | |
| Cybersecurity‑Scanner & Agent | TLS, DNS, Endpoint |
Anthropic, OpenAI, AWS und Microsoft sind nach ISO/IEC 27001 zertifiziert und SOC 2 Type II auditiert — die EU‑Verarbeitung erfolgt ueber Bedrock Frankfurt bzw. Azure OpenAI EU.
Chat, Experten-Agenten, PII-Schutz, Cybersecurity und Wissensbasis — nahtlos verbunden in einer Oberflaeche. Klicken Sie sich durch.
Claude Opus 4.8, ChatGPT, Gemini und Mistral, erreichbar im selben Composer. Jeder Aufruf laeuft ueber das EU-Gateway in AWS Bedrock Frankfurt — kein US-Drittland im Standardpfad.
Quellen aus der DSGVO-Websuche (SearXNG, Frankfurt) werden direkt am Ergebnis als Chip ausgewiesen. Kein Training auf Ihren API-Daten.
Vom Datenschutz-Audit bis zur Foerdermittel-Recherche: 1.880 vorkonfigurierte Experten-Agenten stehen bereit. Der Lotse waehlt den passenden, Sie starten per Klick.
Analysen laufen serverseitig auf Bedrock-EU weiter — auch wenn die App geschlossen ist. Das Ergebnis wird automatisch als Datei in Ihrer Ablage gespeichert.
Vor jedem Cloud-Aufruf erkennt eine deutschsprachige NER-Pipeline (Presidio plus Flair) personenbezogene Daten und maskiert sie zu Platzhaltern wie [NAME] oder [ORT].
Das Modell verarbeitet nur die maskierte Variante. Nach der Antwort werden die Platzhalter lokal wieder zurueckgesetzt — vollautomatisch.
Der Mandant Thomas Berger aus Braunschweig meldet einen Vorfall. Kontakt: t.berger@firma.de
Der Mandant [NAME] aus [ORT] meldet einen Vorfall. Kontakt: [EMAIL]
Der Scanner prueft TLS-Enumeration, OWASP-Header, DNS (SPF/DKIM/DMARC/DNSSEC/CAA) und security.txt. Heraus kommt ein Mozilla-Observatory-Score von A+ bis F.
Ergaenzt durch einen Desktop-Agenten fuer Endpoint, Software-Inventar und Verschluesselung — Schwachstellen werden konkret benannt, nicht nur gezaehlt.
Laden Sie Vertraege, Richtlinien und Handbuecher hoch. Embeddings entstehen ueber Bedrock-EU, gespeichert in pgvector — die Suche findet die relevanten Passagen, nicht nur Dateinamen.
Antworten zitieren die Fundstelle mit Quelle und Treffer-Score, sodass jede Aussage nachvollziehbar bleibt.
… nach Beendigung loescht der Auftragsverarbeiter saemtliche Daten binnen 30 Tagen …
… Fristen richten sich nach Art. 17 DSGVO sowie handelsrechtlichen Vorgaben …
Vom Tippen im Workspace bis zur fertigen Antwort — das KI-Modell sieht nie Klartext-PII. Jede personenbezogene Angabe wird in Frankfurt maskiert, bevor sie das EU-Gateway verlässt.
Mitarbeiter:in formuliert die Anfrage — ganz normal, im Klartext. Lokal im Browser, noch nichts verlassen das Haus.
Presidio + Flair NER (deutsch) erkennen Namen, Orte, Kontaktdaten — und ersetzen sie durch Platzhalter.
Nur die maskierte Anfrage läuft über AWS Bedrock in Frankfurt. Kein US-Drittland im EU-Pfad.
Claude oder ChatGPT rechnen ausschließlich mit maskierten Daten. Kein Training auf API-Inhalten.
Das Modell antwortet mit denselben Platzhaltern — PII bleibt außerhalb der EU-Infrastruktur unbekannt.
Im Workspace werden [NAME] & [ORT] wieder zu „Dr. Müller, Hannover“ aufgelöst — nur für die berechtigte Person sichtbar.
Eigene Dateien, Vertraege und Handbuecher werden eingebettet (Embeddings) und in einer Vektordatenbank (pgvector) gespeichert. Die KI greift per RAG gezielt darauf zu und antwortet mit nachvollziehbaren Quellen — verarbeitet ausschliesslich in Frankfurt, kein Training auf Ihren Daten.
PDF, Word, Excel, E-Mails. Texte werden in Chunks zerlegt und per Embedding-Modell (Bedrock-EU) in Vektoren ueberfuehrt.
Speicherung als durchsuchbare Vektoren in der EU. Aehnlichkeitssuche findet die relevanten Passagen — nicht nur Stichwort, sondern Bedeutung.
Die KI zitiert die Fundstellen aus Ihren eigenen Dokumenten. Jede Aussage bleibt nachpruefbar und belegbar.
…der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschliesslich gemaess Art. 28 DSGVO und Weisung…
…Sub-Auftragsverarbeiter sind nur nach schriftlicher Genehmigung zulaessig, Kette dokumentiert…
…Loeschkonzept nach Vertragsende, Rueckgabe der Datentraeger…
Jede Anfrage durchläuft denselben Pfad: EU-Verarbeitung in Frankfurt, PII-Maskierung vor jedem Cloud-Aufruf, lückenlose AVV-Kette nach Art. 28 DSGVO. Hier ist, was technisch und rechtlich dahintersteht.
Daten werden ausschließlich in der EU (AWS-Region Frankfurt) verarbeitet. Im Standard-Pfad (Bedrock-EU) verlässt nichts den EU-Raum, es greift kein US CLOUD Act auf Ihre Inhalte. Personenbezogene Daten werden bereits vor dem Cloud-Aufruf maskiert — das Modell sieht keine Klarnamen.
Belegbare Standards unserer Sub-Auftragsverarbeiter im EU-Pfad.
| Anbieter | Rolle | Zertifizierungen |
|---|---|---|
| AnthropicClaude | KI-Modell | ISO/IEC 27001 SOC 2 Type II |
| OpenAIChatGPT | KI-Modell | ISO/IEC 27001 SOC 2 Type II |
| AWSBedrock, Frankfurt | EU-Gateway | ISO 27001 ISO 27017 ISO 27018 SOC 2 |
| Microsoft AzureAzure OpenAI EU | T2-Routing | ISO 27001 ISO 27017 ISO 27018 SOC 2 |
Mistral ist EU-nativ (Paris). Anthropic und OpenAI sind nach ISO/IEC 27001 zertifiziert und SOC 2 Type II auditiert; AWS und Azure zusätzlich nach ISO 27017/27018.
Acht technische und organisatorische Maßnahmen, die ineinandergreifen.
Presidio + Flair-NER (deutsch) erkennen und ersetzen personenbezogene Daten, bevor eine Anfrage das Gateway verlässt. Modelle sehen Platzhalter, keine Klarnamen.
Lückenlose Auftragsverarbeitung: KMU → XDAB (Auftragsverarbeiter) → Provider (Sub-AV). Vertraglich abgesichert, dokumentiert, prüfbar.
Ihre Inhalte werden nicht zum Trainieren von Modellen verwendet. Vertraglich zugesichert über die gesamte Anbieterkette im EU-Pfad.
Protokolliert werden Zeitpunkt, Modell und Routing-Stufe — nicht der Inhalt Ihrer Eingaben. Nachvollziehbarkeit ohne neue Datenrisiken.
Interessenkonflikte ausgeschlossen: Ein DSB-Mandat (A) ist nicht mit KI- oder Security-Leistungen (C/D) kombinierbar — technisch erzwungen.
„Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch.“
Wir pruefen Ihre Angriffsflaeche von aussen wie von innen. Der Website-/Domain-Scan bewertet TLS, Header, DNS und Cookies nach OWASP- und Mozilla-Massstab. Der Desktop-Agent inventarisiert Endgeraete, Verschluesselung und Patch-Stand — mit pseudonymisierten Hostnames.
Ein nicht-invasiver Scan Ihrer oeffentlich erreichbaren Domain. Keine Logins, keine Exploits — nur das, was ein Angreifer ohnehin sieht.
Ein schlanker Agent auf Ihren Endgeraeten meldet sicherheitsrelevante Telemetrie — ohne Inhalte, ohne Tastatur-Mitschnitt. Datensparsam by design.
Stellen Sie Ihr Paket aus den Modulen zusammen — innerhalb der rechtlichen Grenzen, die unser System automatisch durchsetzt.
Simon wird als Datenschutzbeauftragter bei Ihnen benannt — formal, gemeldet, haftungsklar.
Audits, Verarbeitungsverzeichnis (VVT), TOMs, DSFA — ohne formale DSB-Benennung.
KI-Gateway-Proxy mit PII-Scan: nutzen Sie Claude, Mistral & Co. — pseudonymisiert, EU-konform.
Desktop-Agent + Live-Scans: Software-Inventar, Verschlüsselung, Schwachstellen-Monitoring.
Kompetenzschulungen nach Art. 4 EU AI Act — Pflicht für jeden, der KI im Betrieb einsetzt.
Wählen Sie Ihre Module. Unser System prüft live, ob die Kombination rechtlich zulässig ist (Art. 38 Abs. 6 DSGVO).
Self-Service-Pakete buchen Sie direkt. Pakete mit formalem DSB-Mandat (Modul A) starten mit einem persönlichen Erstgespräch — gesetzlich vorgeschrieben.
KI rechnet in „Token". Damit Sie genau wissen, was Sie bekommen — hier alles ohne Fachchinesisch.
Ein Token ist ein Wortbaustein. Faustregel: 1.000 Token ≈ 750 Wörter ≈ 1,5 DIN-A4-Seiten. Sie zahlen nichts pro Token — die Mengen sind im Paket enthalten.
KI Sicher: 5 Mio. Token / Monat. Tech Komplett: 12 Mio. Token / Monat. Fair zwischen allen Nutzern Ihres Unternehmens teilbar.
Eine normale Frage kostet ~1.000–3.000 Token, eine ausführliche Agenten-Analyse ~20.000–60.000. 5 Mio. ≈ 50.000 Fragen oder rund 800 Analysen im Monat.
Kein harter Stopp: Der Workspace wechselt automatisch auf das lokale EU-Modell (ohne Aufpreis, unbegrenzt) — oder Sie buchen ein Token-Paket dazu. Premium-Modelle stehen im Folgemonat wieder voll bereit.
Baut den Workspace, das EU-Gateway, die Agenten und die Cybersecurity-Scanner.
Externer DSB, Datenschutz-Audits, VVT, TOMs, DSFA — rechtssicher nach DSGVO.
XDAB UG (haftungsbeschraenkt) · Braunschweig
Sieben kurze Fragen — am Ende erstellen wir Ihnen daraus eine fertige E-Mail mit Ihren Angaben. Keine Anmeldung, keine Verbindung zu Ihren Systemen. Sie senden selbst ab.
Nein. Alle eingebundenen Anbieter trainieren nicht auf API-Daten. Die Verarbeitung läuft über eine vertragliche AVV-Kette nach Art. 28 DSGVO, gehostet in der EU (Frankfurt). Sensible Inhalte werden zusätzlich vor jedem Cloud-Aufruf maskiert.
In der EU — primär in Frankfurt (AWS Bedrock, EU-Region). Personenbezogene Daten werden vor dem Versand an ein Cloud-Modell automatisch maskiert. Besonders sensible Aufgaben laufen vollständig lokal auf einem EU-Modell, ohne die Cloud zu verlassen.
Claude (inkl. Opus 4.8), ChatGPT, Google Gemini und Mistral — über einen einzigen, DSGVO-konform gerouteten Zugang. Sie wählen das Modell pro Aufgabe; das System routet sensible Inhalte automatisch sicher.
Pakete ab 49 €/Monat, monatlich kündbar. Token sind inklusive (siehe „Token einfach erklärt"). DSB-Pakete (mit formalem Datenschutzbeauftragten) starten per Erstgespräch — gesetzlich vorgeschrieben.
Nein. Der Workspace läuft im Browser, es ist nichts zu installieren — außer optional dem Cybersecurity-Agent für PC-Scans. Vorkonfigurierte Experten-Agenten übernehmen die Fachaufgaben.
DSGVO-Konformität (AVV, EU-Hosting, PII-Maskierung), Experten-Agenten für Ihre Branche, eine durchsuchbare Wissensbasis (RAG), Konnektoren zu DATEV/Microsoft 365/Google und ein Audit-Log ohne Prompt-Inhalte. Ein Zugang statt vieler Einzel-Abos.
Für Kanzleien, Praxen und Pflege gibt es eine eigene Konfiguration: besonders sensible Verarbeitung läuft lokal, und der proaktive Orchestra-Agent arbeitet im „Assist & Approve"-Modus — er bereitet alles vor, der Versand wird aber immer von einem Menschen freigegeben.
Self-Service-Pakete: kurzfristig nach Anfrage und Auftragsbestätigung. Pakete mit formalem DSB-Mandat: nach einem persönlichen Erstgespräch. Module lassen sich später monatlich anpassen.