MATPROOF AUF IHREM STACK ERLEBEN — BUCHEN SIE EINE 30-MINUTEN-DEMO

KI-Verarbeitungs-Statement

Zuletzt aktualisiert: 20. Mai 2026

Matproof setzt Large Language Models (LLMs) für Funktionen wie den Policy-Generator, den KI-Assistenten im Produkt, die Vendor-Recherche und die Sentinel-Penetrationstest-Agenten ein. Diese Seite erklärt in Klartext, wer welche Daten verarbeitet, unter welchen Garantien und wie sich das in unsere DSGVO- und EU-AI-Act-Position einfügt. Es ist eine Ergänzung zur Subprocessor-Tabelle — die formale Liste finden Sie unter /privacy.

Wer macht die LLM-Inferenz

Zwei Anbieter, beide unter EU-Standardvertragsklauseln (SCC 2021/914) für Verarbeitung außerhalb der EU:

— OpenAI Ireland Ltd. (Dublin, IE; Konzern OpenAI, Inc., USA). EU-Datenresidenz, wo verfügbar; sonst US-Region. — Anthropic, PBC (San Francisco, USA). US-Region (Anthropic API).

Beide verarbeiten LLM-Prompts, die wir im Auftrag des Kunden erzeugen. Die Prompts enthalten typischerweise Compliance-Text (Maßnahmen, Richtlinien, Risikobeschreibungen) — keine personenbezogenen Kundendaten — es sei denn, der Kunde lädt aktiv solche Daten in eine LLM-Funktion hoch.

Training und Datenspeicherung

Gemäß den API-Bedingungen beider Anbieter werden Ihre Prompts und Antworten NICHT zum Training, Fine-Tuning oder Evaluieren von Modellen verwendet. Zur Speicherung: Standardmäßig können die Anbieter API-Anfragedaten kurzzeitig (typischerweise bis zu 30 Tage) zur Missbrauchserkennung speichern und löschen sie danach — in diesem Zeitfenster werden sie nicht zum Training genutzt. Wir stellen beide Anbieter auf ihren Zero-Data-Retention-Tier um, um auch diese kurzzeitige Speicherung zu entfernen; bis das über alle Endpunkte hinweg umgesetzt ist, gelten die Standard-Kurzaufbewahrungsbedingungen.

Confidential AI — optionaler EU-Enklave-Tier

Regulierte Kunden können Confidential AI aktivieren. Ist sie aktiv, laufen die obigen KI-Funktionen in einer hardware-attestierten EU-Confidential-Computing-Enklave (AMD SEV-SNP), betrieben über Edgeless Systems (Privatemode) statt OpenAI/Anthropic. Prompts sind Ende-zu-Ende in die Enklave verschlüsselt — kein Infrastruktur-Betreiber, auch wir nicht, kann sie lesen, und nichts geht an einen US-Anbieter. Die Vektorsuche-Indizierung bleibt derzeit beim Standard-EU-SCC-Anbieter. Vollständige Beschreibung: /confidential-ai.

Matproof Sentinel — Verarbeitung von Quellcode

Sentinel ist unser Penetrationstest-Produkt. Wenn ein Kunde die Matproof-Sentinel-GitHub-App in seiner Organisation installiert, liest Sentinel Repository-Inhalte und schickt Auszüge zur Analyse an Anthropic im Rahmen der Agent-Reasoning-Phase. Diese Verarbeitung erfolgt ausschließlich bei aktivem Opt-in durch die GitHub-App-Installation. Befunde werden als GitHub Issues in das Repository des Kunden zurückgeschrieben (eigenes Datenhaltungssystem des Kunden) und im Matproof-Tenant des Kunden gespeichert. An Anthropic gesendete Quellcode-Auszüge werden nicht zum Training von Modellen verwendet; wir stellen diesen Traffic auf eine Zero-Data-Retention-Konfiguration um, um auch das kurzzeitige Speicherfenster der Anbieter zu entfernen.

Was wir bewusst NICHT tun

— Keine Kundendaten fließen in Training, Fine-Tuning oder Evaluierung eigener Matproof-Modelle. Wir betreiben keine Training-Pipelines. — Keine Kundendaten werden an LLM-Anbieter zu Marketing-, Benchmarking- oder Forschungszwecken weitergegeben. — Keine automatisierten Entscheidungen mit rechtlicher Wirkung (Art. 22 DSGVO) — jede KI-Ausgabe ist beratend; Menschen geben jede Veröffentlichung gegenüber Prüfern oder Behörden frei. — Keine biometrischen, Gesundheits- oder sonstigen besonderen Datenkategorien werden in den Standard-Flows an LLM-Anbieter gesendet.

DSFA + EU-AI-Act-Bereitschaft

Matproofs KI-Funktionen werden im EU AI Act als 'limited risk' (allgemeine KI-Assistenz für Compliance-Arbeit) eingestuft, nicht als hochriskant. Wir führen eine interne Datenschutz-Folgenabschätzung (Art. 35 DSGVO) für die LLM-Anwendungsfälle. Kunden, die eine Kopie für die eigene Audit-Akte benötigen, können diese unter privacy@matproof.com unter NDA anfordern.

Logging und Monitoring

Jeder Modell-Aufruf wird mit User-ID (pseudonym), Tenant-ID, Modellname und Zeitstempel protokolliert. Prompt- und Antwort-Inhalte werden standardmäßig NICHT geloggt. Wir loggen nur, was wir für Rate-Limiting, Abrechnung und das Verarbeitungsverzeichnis nach Art. 30 DSGVO brauchen — nicht mehr. Logs werden 90 Tage aufbewahrt und dann gelöscht.

Wenn Sie KI-Funktionen nicht nutzen möchten

Kunden können den KI-Assistenten im Produkt pro Workspace unter Einstellungen → KI deaktivieren. Policy-Generator und Sentinel sind Opt-in-Funktionen, die ruhen, bis Sie Ihre erste Richtlinie erstellen / die GitHub-App installieren. Das Deaktivieren von KI-Funktionen schränkt die übrige Plattform nicht ein — Maßnahmen-Mapping, Evidenz-Erfassung und Audit-Trails funktionieren ohne LLM-Inferenz.

Fragen

Wenn etwas unklar ist, fehlt oder Sie etwas für Ihren Prüfer dokumentiert haben möchten: privacy@matproof.com. Wir antworten innerhalb von 5 Werktagen.