Modell 01
On-Premise
Server bei Ihnen im Haus. Maximale Kontrolle, vollständige Datenisolation. Für KRITIS und höchstschutzbedürftige Anwendungen.
Hardware-Sizing, Einbindung in Ihre Netz-Architektur, Betriebsübergabe.
HOST
Abgeschottete LLM-Infrastruktur für Gesundheitswesen, Behörden und KRITIS.
Daten, die Ihr Haus nicht verlassen dürfen, bleiben im Haus. On-Premise, Private Cloud in Deutschland — oder vollständig Air-Gapped.
Souveränitäts-Perimeter
Ihre Daten fließen ausschließlich durch Systeme, die Sie kontrollieren.
Ein Blick auf den Pfad: Von der Anfrage bis zum Datenspeicher — alles bleibt innerhalb Ihrer rechtlichen und technischen Grenze.
Datenfluss · Deutschland-gebundenPhase›Anfrage
01 · Eingang
Anfrage aus Ihrem Haus
Browser, Fachanwendung oder API — verlässt Ihr Netz nicht unverschlüsselt.
Ihr Souveränitäts-Perimeter
02 · System
Inferenz in Ihrem Stack
On-Prem, Private Cloud (DE) oder Air-Gapped — Ihre Wahl.
03 · Daten
Bleibt im Perimeter
Verschlüsselt, auditierbar, nachweisbare Sub-Processor-Kette.
Garantiert im Perimeter
Datenresidenz Deutschland · europäische Vertragsbasis · nachweisbare Sub-Processor-Kette
Datenresidenz DE
Verschlüsselt end-to-end
Auditierbar
Nachweisbare Jurisdiktion
Was wir liefern
Daten, die Ihr Haus nicht verlassen, bleiben im Haus.
Patientendaten, Personalakten, Behördendaten, KRITIS-Betriebsdaten — für all das gilt: Hosting in Deutschland, europäische Vertragsbasis, nachweisbare Sub-Processor-Ketten. DSGVO, KRITIS-Novelle und DORA planen wir von Anfang an mit, nicht als nachträgliche Auflage.
Drei belastbare Modelle: vollständig in Ihrem Rechenzentrum (On-Premise), in einer Private Cloud bei einem deutschen Provider, oder Air-Gapped ohne Außenanbindung. Sie wählen die Tiefe — wir tragen die Architektur, den Aufbau und den Betrieb.
Vertragliche Versprechen
Drei Garantien über die Infrastruktur hinaus.
Das Fundament unter jedem HOST-Setup — gilt für jedes Deployment-Modell.
01 · Training
Ihre Daten trainieren unsere Modelle nicht. Vertraglich festgehalten, technisch abgebildet — keine Heimlichkeiten über die Hintertür.
02 · Modelle
Dedizierte, abgeschottete LLM-Instanzen — keine öffentlichen Cloud-Endpunkte. Ihr Prompt sieht niemand außerhalb Ihrer Infrastruktur.
03 · Guardrails
Strikt definierte Leitplanken. Der Agent bewegt sich im freigegebenen Wissenskorridor — nicht auszutricksen, nicht zu erpressen, nicht zu halluzinieren.
Die Lösung
Drei Deployment-Modelle.
Jedes Modell hat eine klare Einsatzdomäne. Wir helfen, das richtige auszuwählen — nicht das teuerste.
Modell 02
Private Cloud (Deutschland)
Dedizierte Infrastruktur bei einem europäischen Hoster Ihrer Wahl. Vertragliche Datenresidenz, nachweisbare Sub-Processor-Kette.
Etablierte europäische Hoster mit Rechenzentren in Deutschland.
Modell 03
Air-Gapped
Vollständig vom Internet getrennte Betriebsumgebung. Für klassifizierte Szenarien und kritische Produktionsumgebungen.
Offline-Model-Deployment, kontrollierter Update-Zyklus.
Sicherheitsarchitektur
Sechs Schichten, ein Prinzip.
Sicherheit ist nicht eine Checkbox, sondern ein Fundament. Jede Ebene hat eigene Annahmen und eigene Kontrollen.
Defense-in-Depth
Abwehr auf Netz-, Container- und Applikationsebene. Kein Single-Point-of-Failure, kein Single-Point-of-Breach.
Encryption end-to-end
Encryption at Rest und in Transit. Rollenbasierte Zugriffskontrolle mit Prinzip der minimalen Rechte.
Secrets-Management
Vault oder SOPS — Secrets gehören nicht in Repos, nicht in CI-Variablen, nicht in Container-ENV.
Audit-Logging
Write-Once-Speicher für Beweissicherheit. Wer hat wann was mit welchen Daten getan — nachvollziehbar, unveränderbar.
Härtungs-Reviews
Regelmäßige Überprüfung der System-Härtung gegen aktuelle CIS-Benchmarks und BSI-Grundschutz-Empfehlungen.
Dokumentierte Changes
Infrastruktur als Code. Änderungen durchlaufen Review und sind vollständig versioniert — keine Out-of-Band-Eingriffe.
Compliance-Kontext
Die Regulatorik, in der wir uns bewegen.
- DSGVO
- Rechtsgrundlage, Auftragsverarbeitung, Datenresidenz, Betroffenenrechte — vertraglich und technisch abgebildet.
- BSI IT-Grundschutz
- Referenz-Framework für die Härtung. Keine Zertifizierung, aber nachvollziehbare Orientierung.
- KRITIS-Meldepflichten
- Begleitung bei Meldepflichten nach BSI-KritisV und dem KRITIS-Dachgesetz — vom Bauteil bis zur Meldung.
- KI-Verordnung
- Einordnung des Systems in die Risikoklassen der EU-KI-Verordnung. Dokumentation, Transparenzpflichten, Risiko-Management.
- MDR / MepV
- Bei medizinischen Anwendungen: Abgrenzung zum Medizinprodukt, Dokumentation, Schnittstelle zum zertifizierenden Fachpartner.
Abgrenzung
Was wir nicht anbieten.
ChatGPT Enterprise, Microsoft Copilot und vergleichbare Produkte sind keine Option, wenn Ihre Daten das Haus nicht verlassen dürfen. Wir bauen die Alternative — nicht den White-Label-Wiederverkauf einer US-Lösung.
Nächster Schritt
Beratungsgespräch — unverbindlich.
Wir prüfen gemeinsam, welches Deployment-Modell zu Ihrer Architektur passt und welche regulatorischen Fragen geklärt werden müssen.