Dokuflex setzt die anspruchsvollsten technischen und organisatorischen Maßnahmen (TOM) des europäischen Marktes um. EU-Datenresidenz, Ende-zu-Ende-Verschlüsselung und vollständige Nachvollziehbarkeit. Für Teams, die sich keine Ausfälle leisten können.
Unsere Plattform ist an den maßgeblichen europäischen und spanischen Rechtsrahmen ausgerichtet. Nachweise und Audit-Berichte werden Kunden und qualifizierten Interessenten unter NDA bereitgestellt.
| Rahmenwerk | Geltungsbereich | Status | Letzte Überprüfung |
|---|---|---|---|
| DSGVO (VO (EU) 2016/679) | Auftragsverarbeitung und Verantwortlicher-Pflichten | Konform | 02/2026 |
| EU-KI-Verordnung | VO (EU) 2024/1689 — KI-Funktionen der Plattform | Ausgerichtet | 04/2026 |
| eIDAS / eIDAS 2.0 | VO (EU) Nr. 910/2014 — fortgeschrittene und qualifizierte elektronische Signatur (QES) | Konform | 10/2025 |
| NIS2-Richtlinie | RL (EU) 2022/2555 — Cybersicherheits-Maßnahmen für kritische Sektoren | Ausgerichtet | 03/2026 |
| ENS (Spaniens nationales Sicherheitsrahmenwerk) | Esquema Nacional de Seguridad — Kategorie Mittel, relevant für spanische öffentliche Verwaltungen | Ausgerichtet | 01/2026 |
| ISO/IEC 27001 | Informationssicherheits-Managementsystem (ISMS) der Dokuflex-Plattform | Ausgerichtet an | 11/2025 |
| SOC 2 Type II | Vertraulichkeit, Integrität, Verfügbarkeit und Datenschutz | In Vorbereitung | Q4 2026 |
Audit-Berichte und Erklärungen zur Anwendbarkeit werden Kunden und qualifizierten Interessenten unter NDA übermittelt. "Ausgerichtet an" bedeutet, dass die Kontrollen am genannten Rahmenwerk orientiert und intern umgesetzt sind.
Ausschließlich Hosting in der Europäischen Union, Verschlüsselung standardmäßig aktiviert, strikte Mandantentrennung.
Frankfurt (DE), Madrid (ES) und Irland. Daten verlassen den EWR nur, wenn der Kunde dies ausdrücklich unter SCC anfordert.
TLS 1.2+ (TLS 1.3 standardmäßig) im Transit, AES-256-Verschlüsselung at-rest. Schlüsselverwaltung mit HSM (FIPS 140-2 Level 3) und planmäßiger Rotation.
Tägliche verschlüsselte Sicherungen, Replikation über zwei Verfügbarkeitszonen, konfigurierbare Aufbewahrung (30-3.650 Tage) und Unveränderbarkeit (WORM).
Multi-Tenant mit strikter logischer Trennung. Single-Tenant-Option in Private Cloud oder On-Premise für regulierte Branchen.
24/7-SIEM, ML-gestützte Bedrohungserkennung, gemanagte WAF und DDoS-Schutz auf Layer 3/4/7.
CIS-Level-2-Baseline, signierte Container, SLSA-Provenance, kontinuierliches Schwachstellen-Scanning und Patching von kritischen CVE in < 72 Stunden.
Robuste Authentifizierung, granulare Autorisierung und durchgängiges Least-Privilege-Prinzip. Zero-Trust-Architektur über alle Plattformkomponenten.
EU-Rechenzentren mit Hochverfügbarkeit, redundanter Auslegung und getestetem Disaster-Recovery-Plan.
Tier-III/IV-Rechenzentren in Spanien und EU. Keine Datenübertragung in Drittländer ohne ausdrückliche Anweisung.
Hochverfügbarkeit über mehrere Availability Zones. Vertragliche SLA mit finanzieller Entschädigung.
DR-Plan zweimal jährlich getestet. Cross-Region-Replikation und Wiederherstellungs-Übungen dokumentiert.
Verschlüsselte tägliche Backups, optional unveränderbar (WORM), Aufbewahrung 30-3.650 Tage.
Wir handeln als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Der Auftragsverarbeitungsvertrag (AVV) liegt unterschriftsreif vor und enthält die Liste der Sub-Auftragsverarbeiter, technische und organisatorische Maßnahmen (TOM) sowie das Audit-Verfahren.
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, bereit zur Unterzeichnung. Enthält Sub-Auftragsverarbeiter, TOM und Audit-Klauseln.
AVV anfordern →Vorlage für die DSFA gemäß Art. 35 DSGVO für besondere Kategorien personenbezogener Daten oder automatisierte Entscheidungen.
DSFA-Vorlage anfragen →Bestellter interner Datenschutzbeauftragter, gemeldet bei der spanischen Aufsichtsbehörde (AEPD). Direkter Kanal für Betroffene und Kunden.
dpo@dokuflex.com →Aktuelle Liste der eingesetzten Sub-Auftragsverarbeiter (IaaS-Provider mit EU-Regionen, Mail-Versand, Monitoring) inklusive Standort und Zweck — auf Anfrage.
Liste anfordern →Namentliche Sub-Auftragsverarbeiter werden im AVV-Annex verbindlich aufgeführt und bei Änderungen mit angemessener Frist mitgeteilt (Widerspruchsrecht des Verantwortlichen gemäß Art. 28 Abs. 2 DSGVO).
Standardmäßig verlassen Ihre Daten den Europäischen Wirtschaftsraum (EWR) nicht.
Alle Produktivdaten werden in EU-Rechenzentren gespeichert und verarbeitet. Kein automatischer Zugriff durch Konzerngesellschaften außerhalb des EWR.
Sollte eine Drittland-Übermittlung erforderlich werden, gelten die EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) inklusive Transfer Impact Assessment (TIA).
Bei berechtigter Anforderung: Pseudonymisierung, Verschlüsselung mit kundenseitig verwalteten Schlüsseln (BYOK) und vertragliche Auskunfts- und Zugriffsbeschränkungen für US-Behördenanfragen.
Da Dokuflex ein spanisches Unternehmen ist und der Betrieb in EU-Rechenzentren erfolgt, besteht standardmäßig kein direkter Geltungsbereich des US CLOUD Act.
Die KI-Funktionen von Dokuflex sind an der EU-KI-Verordnung (Verordnung (EU) 2024/1689) ausgerichtet. Wir behandeln BPM-KI-Agenten als unterstützende, prüfbare Systeme — nicht als Black Box.
Kundendaten werden nicht zum Training von Foundation Models oder generativen Modellen verwendet — weder durch Dokuflex noch durch Drittanbieter-Modelle.
Geschäftsrelevante Entscheidungen erfordern menschliche Freigabe. Automatisierte Einzelentscheidungen gemäß Art. 22 DSGVO sind konfigurierbar und ausweisbar.
Jede KI-Entscheidung ist im Audit-Log mit Modellversion, Eingabe-Hash und Konfidenz erfasst. Erklärbarkeits-Hinweise im Frontend.
Bevorzugte Nutzung von Modellen mit EU-Inferenz-Endpunkten. Modell-Lieferanten unter AVV und mit dokumentierter Datenverarbeitung.
Keine Social-Scoring-, Emotions- oder biometrischen Massen-Identifizierungs-Funktionen im Sinne der EU-KI-Verordnung.
Vor Produktivsetzung eines KI-Agenten: Risikobewertung, Bias-Test und Dokumentation des bestimmungsgemäßen Verwendungszwecks.
Sicherheit ist integraler Bestandteil des gesamten Software-Lebenszyklus, nicht nachträglich ergänzt.
Statische und dynamische Codeanalyse, Software-Composition-Analysis und Geheimnis-Scan in jeder Pull Request.
Penetrationstest jährlich durch akkreditierte Drittanbieter (CREST/OSSTMM). Zusammenfassung unter NDA verfügbar.
Patching kritischer CVE innerhalb von 72 Stunden, hoch innerhalb von 7 Tagen, mittel innerhalb von 30 Tagen.
Software Bill of Materials (SBOM), signierte Container, SLSA-Provenance und reproduzierbare Builds.
Dediziertes Computer Security Incident Response Team (CSIRT) mit 24/7-Erreichbarkeit, etablierte Playbooks und definierte Kundenkommunikation.
{
"event": "document.signed",
"ts": "2026-04-20T14:32:07Z",
"user": "max.mustermann@kunde.de",
"ip": "185.x.x.12",
"tenant": "kunde-prod",
"resource": "doc/8e2c-...-4f11",
"cert_serial": "0xA2F...",
"hash": "sha256:ef3a...",
"result": "ok"
}Wir begrüßen verantwortungsvolle Meldungen von Schwachstellen durch Sicherheitsforscher. Für gutgläubige Forschung gewähren wir Safe Harbor.
Meldungen ausschließlich verschlüsselt an security@dokuflex.com. PGP-Schlüssel auf Anfrage. Bitte keine Veröffentlichung vor koordiniertem Disclosure.
Eingangsbestätigung innerhalb von 48 Stunden. Triage und Risikoeinstufung innerhalb von 7 Tagen. Koordiniertes Disclosure nach Behebung in Abstimmung mit der meldenden Person.
Wir verfolgen keine rechtlichen Schritte gegen gutgläubige Sicherheitsforschung, die in unserer veröffentlichten Disclosure-Policy beschriebene Grenzen einhält.
Security: security@dokuflex.com
Datenschutz (DSB): dpo@dokuflex.com
Recht: legal@dokuflex.com
Wir teilen die vollständige Dokumentation unter NDA und vereinbaren einen Termin mit unserem Security- und Engineering-Team.