Neu

EDDI v6 wurde veröffentlicht! Jetzt starten

Jetzt Starten

Globaler Datenschutz & Regulatorische Compliance

EDDI bietet integrierte Compliance für DSGVO, CCPA, EU AI Act, HIPAA, PIPEDA, LGPD, APPI, POPIA, PDPA und 6 weitere Regelwerke — mit kaskadierten Datenlöschungen, kryptografischen Audit-Trails und einer einheitlichen API.

Jetzt Starten → Auf GitHub ansehen ↗
Globaler Datenschutz & Regulatorische Compliance

Compliance durch Architektur

Regulierte Branchen können Compliance nicht nachträglich an KI-Systeme anbringen. EDDI verankert die technischen Grundlagen für globale regulatorische Compliance direkt in der Plattformarchitektur — unveränderliche Audit-Trails, kaskadierte Datenlöschung, Verarbeitungsbeschränkungen, kryptografische Integrität und rollenbasierte Zugriffskontrolle sind Kernfunktionen, keine Zusatzmodule. Eine einheitliche API deckt Betroffenenrechte für jede Jurisdiktion ab.

KI-Governance-Rahmenwerke

Während Regierungen weltweit KI-spezifische Gesetzgebung einführen, benötigen Organisationen Plattformen, die von Anfang an Transparenz, Nachvollziehbarkeit und menschliche Aufsicht bieten. EDDIs Architektur adressiert die zentralen technischen Anforderungen der wichtigsten KI-Governance-Rahmenwerke.

EU AI Act — Europäische Union

Der EU AI Act (Verordnung 2024/1689) ist das weltweit erste umfassende KI-Gesetz und stellt risikobasierte Anforderungen an KI-Systeme. EDDI liefert die technischen Grundlagen zur Erfüllung der Anforderungen an Hochrisiko-KI-Systeme:

  • Unveränderliche Audit-Trails — Jede Operation wird mit kryptografischer HMAC-SHA256-Integrität aufgezeichnet (Art. 12 — Aufzeichnungspflichten)
  • Entscheidungstransparenz — Vollständiges Pipeline-Tracing zeigt, wie KI-Entscheidungen getroffen wurden, einschließlich Modellname, Prompt und Antwort (Art. 13 — Transparenz)
  • Menschliche Aufsicht — Die Management-UI ermöglicht menschliche Überprüfung, Intervention und Notabschaltung (Art. 14 — Menschliche Aufsicht)
  • Risikoklassifizierung — Die Architektur unterstützt Anforderungen an Hochrisiko-KI-Systeme mit konfigurierbaren Kontrollen (Art. 9 — Risikomanagement)
  • Reproduzierbarkeit — Configuration-as-Code ermöglicht die exakte Reproduktion des KI-Verhaltens für regulatorische Audits (Art. 17 — Qualitätsmanagement)
  • Daten-Governance — OIDC/Keycloak RBAC, Vault-basiertes Geheimnis-Management, Input/Output-Protokollierung (Art. 10 — Daten-Governance)

NIST AI Risk Management Framework — USA

Das NIST AI RMF (AI 100-1) bietet ein freiwilliges Rahmenwerk für das Management von KI-Risiken in vier Funktionen: Govern, Map, Measure und Manage. EDDIs Architektur stellt technische Fähigkeiten bereit, die Organisationen bei der NIST AI RMF-Ausrichtung unterstützen:

  • Govern — RBAC-Rollen (eddi-admin, eddi-editor, eddi-viewer), unveränderliches Audit-Ledger und dokumentierte Datenflüsse unterstützen KI-Governance-Strukturen
  • Map — Pipeline-Tracing und Konversationsprotokollierung ermöglichen umfassende KI-Risikoidentifikation und Dokumentation
  • Measure — Prometheus-Metriken, Token-/Kostenerfassung und agentenbezogene Nutzungsanalysen liefern messbare KI-Leistungs- und Risikoindikatoren
  • Manage — Verarbeitungsbeschränkungs-API, menschliche Aufsicht über die Manager-UI und konfigurierbare Aufbewahrungsrichtlinien ermöglichen Risikominderungskontrollen

ISO/IEC 42001 — KI-Managementsysteme

ISO/IEC 42001:2023 legt Anforderungen für ein KI-Managementsystem (AIMS) fest. EDDI stellt technische Fähigkeiten bereit, die Organisationen bei der ISO 42001-Zertifizierung unterstützen:

  • Dokumentierte KI-Richtlinien — Configuration-as-Code bedeutet, dass sämtliches Agentenverhalten in auditierbarem JSON definiert ist — Regeln, Workflows, LLM-Konfigurationen und Deployment-Deskriptoren
  • Risikobewertung — Audit-Trails erfassen vollständige Entscheidungshistorien für Risikoevaluierung und Folgenabschätzungen
  • Operative Kontrollen — RBAC, Vault-basiertes Geheimnis-Management und Verarbeitungsbeschränkungen gewährleisten operative Governance
  • Leistungsüberwachung — Prometheus-Metriken, Grafana-Dashboards und CQRS-Telemetrie ermöglichen kontinuierliche KI-Leistungsevaluierung

Datenschutzverordnungen

EDDI bietet einheitliche Betroffenenrechte-Endpunkte, die die technischen Anforderungen aller wichtigen Datenschutzverordnungen weltweit erfüllen. Eine API deckt kaskadierte Löschung, vollständigen Datenexport und Verarbeitungsbeschränkung ab — unabhängig von der Jurisdiktion.

DSGVO — Europäische Union / EWR

Die Datenschutz-Grundverordnung (EU 2016/679) ist der Goldstandard für Datenschutz. EDDI implementiert DSGVO-Betroffenenrechte als erstklassige API-Endpunkte, unterstützt durch Kaskadenoperationen über alle 5 Datenspeicher:

  • Recht auf Löschung (Art. 17)DELETE /admin/gdpr/{userId} kaskadiert über Benutzer-Erinnerungen, Konversationen, verwaltete Konversationszuordnungen, Datenbankprotokolle (SHA-256-pseudonymisiert) und Audit-Ledger (SHA-256-pseudonymisiert)
  • Recht auf Auskunft / Datenübertragbarkeit (Art. 15/20)GET /admin/gdpr/{userId}/export liefert alle Benutzerdaten als strukturiertes, maschinenlesbares JSON
  • Recht auf Einschränkung (Art. 18)POST /admin/gdpr/{userId}/restrict friert die Verarbeitung ein und bewahrt Daten, blockiert neue Konversationen und Nachrichtenverarbeitung
  • PII-sichere Protokollierung — DSGVO-Operationen protokollieren SHA-256-Pseudonyme, niemals Roh-Benutzer-IDs
  • Konfigurierbare Aufbewahrung — Kategorienbasierte Aufbewahrungsrichtlinien für Konversationen (Standard: 365 Tage), Benutzer-Erinnerungen (manuell) und Audit-Einträge (unbefristet für EU AI Act)
  • MCP-Toolsdelete_user_data und export_user_data ermöglichen KI-orchestrierte Compliance-Workflows

CCPA / CPRA — Kalifornien, USA

Der California Consumer Privacy Act und der California Privacy Rights Act gewähren Verbrauchern Rechte auf Auskunft, Löschung und Opt-out beim Datenverkauf. EDDI erfüllt die technischen Anforderungen des CCPA über seine DSGVO-kompatible API:

  • Recht auf Auskunft (§1798.100) — Der DSGVO-Export-Endpunkt liefert alle personenbezogenen Informationen in einem strukturierten, maschinenlesbaren Format
  • Recht auf Löschung (§1798.105) — Der DSGVO-Lösch-Endpunkt bietet kaskadierte Löschung über alle Datenspeicher
  • Kein Datenverkauf (§1798.120) — EDDI kann architekturbedingt keine personenbezogenen Daten verkaufen — es ist Middleware-Infrastruktur, die Daten ausschließlich im Auftrag des Betreibers verarbeitet

PIPEDA — Kanada

Kanadas Personal Information Protection and Electronic Documents Act (2000, geändert 2023) regelt die kommerzielle Datenverarbeitung durch 10 Fair-Information-Grundsätze. EDDIs Architektur bildet jeden Grundsatz direkt ab:

  • Rechenschaftspflicht — Unveränderliches HMAC-signiertes Audit-Ledger verfolgt alle Operationen
  • Datenminimierung — Token-bewusstes Windowing begrenzt die an LLMs gesendeten Daten; konfigurierbare Aufbewahrung löscht alte Konversationen automatisch
  • Nutzungs-/Offenlegungsbeschränkung — Daten werden nur für konfigurierte Agenteninteraktionen verwendet; Audit-Trail protokolliert jeden LLM-Aufruf
  • Sicherheitsvorkehrungen — AES-256-GCM-Hüllverschlüsselung (Secrets Vault), HMAC-SHA256-Audit-Integrität, Keycloak OIDC, RBAC
  • Individueller Zugang — Vollständiger Datenexport über REST-API liefert alle Erinnerungen, Konversationen und verwaltete Konversationszuordnungen als JSON
  • Anfechtung der Compliance — Kaskadierte Löschung über alle 5 Datenspeicher; Audit-Trail pseudonymisiert (nicht gelöscht) für gesetzliche Aufbewahrungspflichten

LGPD — Brasilien

Brasiliens Lei Geral de Proteção de Dados (2018, wirksam seit 2020) gewährt umfangreiche Betroffenenrechte, die der DSGVO weitgehend entsprechen. EDDI deckt alle Rechte nach Artikel 18 mit integrierten technischen Fähigkeiten ab:

  • Datenzugang (Art. 18, II) — Vollständiger JSON-Datenexport
  • Berichtigung (Art. 18, III) — Benutzer-Erinnerungen aktualisierbar über PUT /usermemorystore/memories
  • Anonymisierung/Löschung (Art. 18, IV) — Kaskadierte Löschung mit SHA-256-Pseudonymisierung von Audit-Einträgen
  • Datenübertragbarkeit (Art. 18, V) — Maschinenlesbarer JSON-Export umfasst alle Benutzerdaten
  • Löschung unnötiger Daten (Art. 18, VI) — Konfigurierbare Aufbewahrungsrichtlinien mit automatischer Bereinigung
  • Widerruf der Einwilligung (Art. 18, IX) — Konversationsbeendigung und kaskadierte Lösch-Endpunkte bieten den technischen Mechanismus

APPI — Japan

Japans Act on the Protection of Personal Information (2003, wesentlich geändert 2022) ist eines der ausgereiftesten Datenschutzgesetze Asiens. Japan verfügt über einen EU-Angemessenheitsbeschluss, der grenzüberschreitende Datenflüsse erleichtert. EDDI bietet:

  • Sicherheitsmaßnahmen (Art. 23) — AES-256-GCM-Vault-Verschlüsselung, HMAC-SHA256-Audit-Integrität, Keycloak OIDC, RBAC, SSRF-Schutz
  • Offenlegung gegenüber Betroffenen (Art. 33) — Vollständiger Datenexport über REST-API
  • Berichtigung und Löschung (Art. 34-35) — Erinnerungsaktualisierungen zur Berichtigung; kaskadierte Löschung zur Tilgung
  • Pseudonymisierte Informationen (Änderung 2022) — DSGVO-Löschung verwendet SHA-256-Pseudonymisierung und erfüllt die APPI-Kategorie pseudonymisierter Informationen
  • Grenzüberschreitende Transferdokumentation (Art. 28) — LLM-Anbieter-Datenflüsse dokumentiert; Audit-Trail protokolliert, welches Modell/welcher Anbieter jede Interaktion verarbeitet hat

POPIA — Südafrika

Südafrikas Protection of Personal Information Act (2013, wirksam seit 2021) legt 8 Datenverarbeitungsbedingungen fest, die an EU-Standards angelehnt sind. EDDI bietet integrierte technische Fähigkeiten für jede Bedingung:

  • Rechenschaftspflicht (Bedingung 1) — HMAC-signiertes Audit-Ledger, dokumentierte Datenflüsse, Apache 2.0 Open-Source-Code
  • Verarbeitungsbeschränkung (Bedingung 2) — Token-bewusstes Windowing, konfigurierbare Aufbewahrung, automatische Beendigung inaktiver Konversationen
  • Informationsqualität (Bedingung 5) — Zeitgestempelte, versionierte Konversationszustände; Benutzer-Erinnerungen über REST-API aktualisierbar
  • Sicherheitsvorkehrungen (Bedingung 7) — AES-256-GCM-Verschlüsselung, HMAC-Integrität, Keycloak OIDC, RBAC, SSRF-Schutz
  • Betroffenenbeteiligung (Bedingung 8) — Vollständige Datenexport- und kaskadierte Lösch-Endpunkte

PDPA — Singapur & Thailand

Die Personal Data Protection Acts in Singapur (2012, geändert 2021) und Thailand (2019, wirksam seit 2022) sind die ausgereiftesten Datenschutzrahmenwerke Südostasiens. EDDI deckt die technischen Verpflichtungen beider Jurisdiktionen ab:

  • Zugangspflicht — Vollständiger Datenexport über REST-API und MCP-Tools
  • Berichtigungspflicht — Benutzer-Erinnerungen über REST-API aktualisierbar
  • Schutzpflicht — AES-256-GCM-Verschlüsselung, HMAC-Audit-Integrität, Keycloak OIDC, RBAC
  • Aufbewahrungsbeschränkung — Konfigurierbare automatische Bereinigung mit Timeout für inaktive Konversationen
  • Datenschutzverletzungsmeldung — Vorlage für Incident-Response-Runbook in der EDDI-Dokumentation enthalten

PDPA — Malaysia

Malaysias Personal Data Protection Act 2010 (Act 709, geändert 2024) regelt die kommerzielle Verarbeitung personenbezogener Daten durch 7 Datenschutzprinzipien. EDDI bietet die technischen Kontrollen zur Unterstützung der Compliance des Betreibers:

  • Allgemeines Prinzip (§6) — Konfigurierbare Aufbewahrungsrichtlinien und Verarbeitungsbeschränkungsendpunkt unterstützen zweckgebundene, einwilligungsbasierte Verarbeitung
  • Sicherheitsprinzip (§9) — AES-256-GCM Vault-Verschlüsselung, HMAC-SHA256 Audit-Integrität, Keycloak OIDC, RBAC, SSRF-Schutz
  • Aufbewahrungsprinzip (§10) — Konfigurierbare kategoriebasierte Aufbewahrung mit automatischer Bereinigung; automatisches Beenden inaktiver Konversationen
  • Datenintegritätsprinzip (§11) — Zeitgestempelter, versionierter Konversationsstatus; Benutzerspeicher über REST API aktualisierbar
  • Zugriffsprinzip (§12) — Vollständiger Datenexport über GET /admin/gdpr/{userId}/export liefert alle Benutzerdaten als strukturiertes JSON
  • Grenzüberschreitende Übertragungen (§129) — Self-Hosted-Architektur ermöglicht Betreibern die Kontrolle über die Datenresidenz; Audit-Trail dokumentiert alle LLM-Provider-Datenflüsse

PIPL — China

Chinas Gesetz zum Schutz personenbezogener Daten (2021) ist eines der umfassendsten Datenschutzgesetze der Welt und regelt die Verarbeitung personenbezogener Daten von Personen in China. EDDI bietet die technische Infrastruktur für PIPL-konforme Bereitstellungen:

  • Rechtmäßige Verarbeitung (Art. 13) — Konfigurationsgesteuerte Agentenverhaltensweisen stellen sicher, dass die Verarbeitung im definierten Zweck bleibt; Verarbeitungsbeschränkungs-API friert Aktivitäten bei Bedarf ein
  • Individuelle Rechte (Art. 44–49) — Vollständiger Datenexport, Kaskadenlöschung und Verarbeitungsbeschränkungsendpunkte decken Auskunfts-, Kopie-, Berichtigungs-, Lösch- und Einschränkungsrecht ab
  • Datensicherheit (Art. 51) — AES-256-GCM Vault-Verschlüsselung, HMAC-SHA256 Audit-Integrität, Keycloak OIDC, RBAC, kein eval()
  • Grenzüberschreitende Übertragungen (Art. 38–39) — Self-Hosted-Architektur ermöglicht On-Premises-Bereitstellung in China; Audit-Trail dokumentiert alle externen Datenflüsse für Sicherheitsbewertungen
  • Automatisierte Entscheidungsfindung (Art. 24) — Unveränderliche Audit-Trails mit vollständiger Pipeline-Nachverfolgung bieten Transparenz bei KI-Entscheidungen; menschliche Aufsicht über das Management-UI
  • Datenaufbewahrung (Art. 19) — Konfigurierbare Aufbewahrungsrichtlinien mit automatischer Bereinigung setzen minimale notwendige Speicherzeiträume durch

Weitere Jurisdiktionen

UK GDPR (Vereinigtes Königreich) — Spiegelt im Wesentlichen die EU-DSGVO; EDDIs DSGVO-Endpunkte erfüllen alle UK-GDPR-Betroffenenrechte. ICO-Aufsicht.PIPA (Südkorea) — Strenge Einwilligungsanforderungen, verpflichtender DSB, 72-Stunden-Meldepflicht bei Datenschutzverletzungen. EDDI bietet die technische Audit- und Löschinfrastruktur.DPDPA (Indien, 2023) — Einwilligungsbasiertes Rahmenwerk mit grenzüberschreitenden Beschränkungen. EDDIs Export- und Lösch-Endpunkte erfüllen die Anforderungen des Digital Personal Data Protection Act.Privacy Act + APPs (Australien) — 13 Australian Privacy Principles; meldepflichtiges Datenschutzverletzungsschema. EDDIs Audit-Trail und Datenexport decken die technischen Verpflichtungen ab.CCPA-artige Landesgesetze (Virginia VCDPA, Colorado CPA, Connecticut CTDPA usw.) — Die DSGVO-/CCPA-kompatible API erfüllt alle aufkommenden US-Landes-Datenschutzgesetze.

Branchenspezifische Compliance

HIPAA — US-Gesundheitswesen

Der Health Insurance Portability and Accountability Act legt Sicherheitsvorkehrungen für geschützte Gesundheitsinformationen (PHI) fest. EDDI stellt die technische Infrastruktur für HIPAA-konforme KI-Deployments bereit:

  • Zugriffskontrollen (§164.312(a)) — Keycloak OIDC mit rollenbasiertem Zugriff (eddi-admin, eddi-editor, eddi-viewer)
  • Audit-Kontrollen (§164.312(b)) — HMAC-signiertes, unveränderliches Audit-Ledger zeichnet jede Operation mit Zeitstempeln, Benutzer-IDs und Ergebnissen auf
  • Integritätskontrollen (§164.312(c)) — HMAC-SHA256-Manipulationserkennung bei allen Audit-Einträgen
  • Übertragungssicherheit (§164.312(e)) — TLS für den Transport; AES-256-GCM für gespeicherte Geheimnisse über Secrets Vault
  • Datenentsorgung (§164.310(d)(2)(i)) — DSGVO-Kaskadenlösch-Endpunkt entfernt PHI dauerhaft aus allen Datenspeichern
  • BAA-Vorlage — Vorlage für Business Associate Agreement in der EDDI-Dokumentation für Healthcare-Deployments enthalten

SOC 2-Bereitschaft

SOC 2 Type II bewertet Systeme anhand der Trust Services Criteria. EDDIs Architektur stellt technische Kontrollen bereit, die Organisationen bei der SOC 2-Attestierung unterstützen:

  • Sicherheit — OIDC/Keycloak-Authentifizierung, RBAC, Secrets Vault (AES-256-GCM), kein eval(), Path-Traversal-Schutz, URL-Validierung
  • Verfügbarkeit — Horizontale Skalierung über NATS JetStream, duale Datenbankunterstützung (MongoDB/PostgreSQL), Kubernetes-natives Deployment
  • Verarbeitungsintegrität — Unveränderliches HMAC-signiertes Audit-Ledger mit kryptografischer Integritätsprüfung pro Operation
  • Vertraulichkeit — Secret-Redaktionsfilter entfernt API-Schlüssel und Vault-Referenzen aus Audit-Einträgen; PII-sichere Protokollierung mit SHA-256-Pseudonymen
  • Datenschutz — Vollständige Betroffenenrechte-API (Löschung, Export, Einschränkung), konfigurierbare Aufbewahrung, Verarbeitungsbeschränkungskontrollen

Eine API für globale Compliance

Jede oben aufgeführte Datenschutzverordnung wird von derselben einheitlichen REST-API und denselben MCP-Tools bedient. Ob Sie auf eine DSGVO-Löschanfrage in Deutschland, eine CCPA-Löschanfrage in Kalifornien oder eine PDPA-Auskunftsanfrage in Singapur reagieren — dieselben Endpunkte erledigen alles:

DELETE /admin/gdpr/{userId} — Kaskadierte Löschung über 5 Datenspeicher (Benutzer-Erinnerungen, Konversationen, verwaltete Zuordnungen, Protokolle, Audit-Einträge)
GET /admin/gdpr/{userId}/export — Vollständiger Benutzerdatenexport als strukturiertes JSON (Erinnerungen, Konversationen, Audit-Einträge)
POST /admin/gdpr/{userId}/restrict — Verarbeitung einfrieren bei gleichzeitiger Datenerhaltung für Streitbeilegung
MCP: delete_user_data — KI-orchestrierte kaskadierte Löschung (erfordert explizite Bestätigung)
MCP: export_user_data — KI-orchestrierter Datenexport für automatisierte DSAR-Workflows

Entwickelt für regulierte Branchen weltweit

Gesundheitswesen, Finanzdienstleistungen, Behörden, Fertigung und andere regulierte Sektoren können EDDI mit Zuversicht einsetzen. Die Plattform bietet die Transparenz, Auditierbarkeit und Kontrollmechanismen, die von über 15 regulatorischen Rahmenwerken gefordert werden — vom EU AI Act und der DSGVO in Europa über HIPAA in den USA, PIPEDA in Kanada, LGPD in Brasilien, APPI in Japan, POPIA in Südafrika bis hin zum PDPA in Südostasien. Compliance ist kein Nachgedanke — sie ist ein architektonisches Fundament.

Jetzt Starten → Auf GitHub ansehen ↗