xH
FluxHuman
Compliance

Compliance durch Design.

Wir bauen Automatisierung, die Gesetze respektiert. Keine Black-Boxen, kein Datenabfluss, volle Kontrolle.

DSGVOEU AI ActNIS2DORA
Seit 2018

DSGVO

Die Datenschutz-Grundverordnung regelt, wie personenbezogene Daten von EU-Bürgern erhoben, gespeichert und verarbeitet werden.

Wer ist betroffen?

Jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet – unabhängig vom Firmensitz.

Wichtige Anforderungen

  • Zweckbindung: Daten nur für festgelegte Zwecke
  • Datenminimierung: Nur erheben, was nötig ist
  • Recht auf Löschung: Daten auf Anfrage löschen
  • Meldepflicht: 72 Stunden bei Datenpannen
  • Auftragsverarbeitungsverträge mit allen Dienstleistern

Praktische Auswirkungen

  • US-Cloud-Dienste erfordern Standardvertragsklauseln (SCCs) und zusätzliche Maßnahmen
  • KI-Tools mit personenbezogenen Daten brauchen Auftragsverarbeitungsverträge
  • Automatisierte Entscheidungen erfordern Option zur menschlichen Prüfung

FluxHuman Vorteil

  • Data Sovereignty by Design: Wir bevorzugen n8n auf Ihren Servern (oder EU-Cloud wie Hetzner). Daten bleiben im Rechtsraum.
  • Lokale KI: Mit unserem "Sovereign"-Paket laufen LLMs (wie Llama 3) lokal. Keine Daten an OpenAI.
  • Datensparsamkeit: Unsere Skripte verarbeiten Daten flüchtig, ohne sie unnötig zu speichern.

FAQ

Stufenweise 2024-2027

EU AI Act

Die weltweit erste umfassende KI-Verordnung. Klassifiziert KI-Systeme nach Risikolevel und setzt entsprechende Anforderungen.

Wer ist betroffen?

Jeder, der KI-Systeme in der EU entwickelt oder einsetzt. Anforderungen hängen von der Risikoklassifizierung ab.

Zeitplan

Phase 1Feb 2025: Verbotene KI-Praktiken untersagt
Phase 2Aug 2025: GPAI-Modell-Regeln gelten
Phase 3Aug 2026: Hochrisiko-KI-Regeln durchgesetzt

Risikokategorien

  • Verboten: Social Scoring, manipulative KI, Echtzeit-Biometrie im öffentlichen Raum
  • Hochrisiko: HR-Entscheidungen, Kreditwürdigkeitsprüfung, kritische Infrastruktur
  • Begrenztes Risiko: Chatbots (Transparenzpflicht)
  • Minimales Risiko: Die meiste Geschäftsautomatisierung

Praktische Auswirkungen

  • Hochrisiko-KI erfordert Konformitätsbewertung, Dokumentation, menschliche Aufsicht
  • Chatbots müssen als KI gekennzeichnet werden
  • Die meiste Workflow-Automatisierung fällt unter minimales Risiko

FluxHuman Vorteil

  • Determinismus statt Halluzination: "Human-in-the-Loop" Prozesse erfordern Freigabe für kritische Entscheidungen.
  • Transparenz: Da Sie den Code besitzen, ist die KI auditierbar. Keine "Black Box", die keiner erklären kann.
  • Kategorisierung: Wir bauen primär "Minimales Risiko" Automation und "Begrenztes Risiko" Chatbots.

FAQ

DE: Dez 2025 / AT: Okt 2026

NIS2

Die Netzwerk- und Informationssicherheitsrichtlinie 2 erweitert Cybersecurity-Anforderungen auf mehr Sektoren und kleinere Unternehmen.

Wer ist betroffen?

Mittlere und große Unternehmen (50+ Mitarbeiter oder €10M+ Umsatz) in betroffenen Sektoren. In Deutschland: ~30.000 Unternehmen.

Betroffene Sektoren

Energie, Transport, Banken, Gesundheit, Digitale Infrastruktur, Produktion, Abfall, Chemie, Lebensmittel, Post, Forschung

Wichtige Anforderungen

  • Risikomanagement-Richtlinien und -Verfahren
  • Vorfallmeldung innerhalb von 24 Stunden
  • Lieferketten-Sicherheitsaudits
  • Business-Continuity-Pläne
  • Geschäftsführerhaftung: Persönliche Verantwortlichkeit

Praktische Auswirkungen

  • Software-Anbieter werden Teil Ihrer Angriffsfläche
  • Sicherheitsfragebögen für jedes neue Tool
  • Keine Schatten-IT-Käufe mehr durch Abteilungen

FluxHuman Vorteil

  • Kein Lieferketten-Risiko: Sie bekommen die Schlüssel. Kein permanenter Vendor-Zugang.
  • Minimierte Angriffsfläche: Durch Self-Hosting (VPNs/Firewalls) ist Automation nicht öffentlich exponiert.
  • Update-Hoheit: Sie entscheiden über Updates. Keine erzwungenen Cloud-Updates, die Prozesse brechen.

FAQ

Seit Jan 2025

DORA

Der Digital Operational Resilience Act schafft einen einheitlichen Rahmen für IKT-Risikomanagement im Finanzsektor.

Wer ist betroffen?

Banken, Versicherer, Investmentfirmen, Zahlungsdienstleister, Krypto-Anbieter und deren kritische IKT-Dienstleister.

Wichtige Anforderungen

  • IKT-Risikomanagement-Framework
  • Vorfallklassifizierung und -meldung
  • Regelmäßige Resilienztests
  • Drittanbieter-Register (Frist April 2025)
  • Exit-Strategien für alle kritischen Anbieter

Praktische Auswirkungen

  • Kein Vendor-Lock-in erlaubt, Anbieterwechsel muss möglich sein
  • Alle IKT-Anbieter müssen dokumentiert und überwacht werden
  • Verträge müssen Sicherheit, Audit-Rechte und Exit-Klauseln enthalten

FluxHuman Vorteil

  • Die perfekte Exit-Strategie: Source Code Ownership. Wenn wir verschwinden, läuft Ihr System weiter.
  • Unabhängigkeit: Jeder fähige Entwickler kann das System warten. Keine Abhängigkeit von uns.
  • Keine proprietäre Cloud: Wir nutzen Open-Source-Standards (Docker, Postgres, Python), keine geschlossenen Plattformen.

FAQ

Unsere Prinzipien

Besitz statt Miete

Compliance erfordert Kontrolle. Sie mieten unsere Lösungen nicht – Sie kaufen sie. Der Code gehört Ihnen.

Open Source Standards

Wir nutzen n8n, Docker und Python. Auditoren verstehen und lieben diese Standards. Keine obskuren Eigenentwicklungen.

Safety First Architecture

Wir trennen Logik (Code) von Daten (Datenbank). Sensible Daten fließen durch, werden aber nicht unnötig protokolliert.

Dokumentation inklusive

Sie erhalten Code und Datenfluss-Dokumentation. Das spart Ihrem Datenschutzbeauftragten Tage an Arbeit.

Unsicher, welche Regulatorien greifen?

Ein kurzer Call, um Ihre Compliance-Situation einzuschätzen. Unverbindlich.