Glossar

Begriffe verständlich.
Status ehrlich.

Wo möglich verlinken die Begriffe in den anderen Texten direkt hierhin. Der kleine orange Marker neben einem Begriff bedeutet: Feature ist noch nicht produktiv. Wir wollen, dass das auf den ersten Blick erkennbar ist — keine Zertifikate auf der Marketing-Seite, die im Audit nicht halten.

Datenstandort & Hosting

Hosting EU/DE: Postgres, Redis, ClickHouse, MinIO, Keycloak und die Application-Container sind im KRITIS-Rechenzentrum Dortmund deployed. Es gibt keine Replikation in nicht-EU-Regionen, keine Cloud-Snapshots außerhalb der EU.
KRITIS-RZ Dortmund: saferouter wird auf dem Server vectigal-docker02 in diesem Rechenzentrum betrieben. KRITIS-RZs unterliegen verschärften physischen Zutrittskontrollen, redundanter Stromversorgung, Netzanbindung und Brandschutz, sowie regelmäßigen Audits durch das BSI.
EU-Residenz erzwungen: Bei den Levels L2–L5 lehnt der Gateway jeden Routing-Pfad ab, bei dem der gewählte Provider einen Endpoint außerhalb der EU bedienen würde. Bei fehlendem eligiblen Provider antwortet die API mit HTTP 403 no_eligible_provider — niemals stiller Downgrade.

Rechtsstatus & Verträge

DSGVO Art. 28 DPA: Der DPA legt die Pflichten von saferouter als Auftragsverarbeiter gegenüber dem Tenant als Verantwortlichem fest — Vertraulichkeit, technisch-organisatorische Maßnahmen, Subprozessor-Liste, Mitwirkung bei Betroffenenrechten, Löschpflichten. Ein Template ist über das Vertriebsteam erhältlich.
AVV + Subprozessor-Liste: Tenants müssen Sub-Prozessoren ihrerseits genehmigen. saferouter pflegt eine versionierte Liste mit Zweck, Datenkategorien, Standort und vertraglicher Bindung. Änderungen werden mit 30 Tagen Vorlauf angekündigt; Tenants haben Widerspruchsrecht.
Verantwortlicher Betreiber: Das bedeutet: der Tenant entscheidet, welche Daten er an saferouter sendet, und unterliegt der Rechenschaftspflicht gegenüber Betroffenen. saferouter handelt streng weisungsgebunden und stellt die nötigen Werkzeuge (Audit-Log, Datenexport, Löschung) bereit.
Vectigal GmbH: Die Vectigal GmbH (Sitz Deutschland) entwickelt und betreibt saferouter. Vollständige Firmierungsdaten (Handelsregister, USt-ID, Geschäftsführung) im Impressum.

Cloud-Act & Hyperscaler

Cloud-Act-Risiko: Hyperscaler wie Microsoft, AWS und Google haben EU-Tochtergesellschaften, die EU-Region-Endpoints betreiben. Die US-Mutter unterliegt aber dem Cloud Act. Eine richterliche US-Anordnung kann theoretisch dazu führen, dass Daten an US-Behörden herausgegeben werden müssen — auch ohne EU-Rechtshilfeabkommen. Ob diese Konstellation in der Praxis eintritt, ist umstritten; das Restrisiko bleibt dokumentationspflichtig.
Cloud-Act-Akzeptanz dokumentiert: Ohne diese explizite Bestätigung lehnt der Gateway L3-Routes über Hyperscaler ab und routet entweder auf einen EU-native Provider oder antwortet mit HTTP 403 no_eligible_provider. Die Bestätigung wird im audit_event mit Zeitstempel und Sub-Identität festgehalten.

Audit & Compliance-Standards

WORM Audit-Logs: Tägliche Snapshots der drei Hash-Chains (ledger_entry, request_record, audit_event) werden signiert und in einen Object-Lock-versiegelten Bucket geschrieben. Die Versiegelung ist 11 Jahre nicht aufhebbar — auch nicht durch Root-Credentials. Damit erfüllt das Audit-Log die Anforderungen an Manipulationssicherheit für externe Audits.
11 Jahre Aufbewahrung: Die Frist deckt sowohl die handelsrechtliche Buchführungspflicht (10 Jahre + Laufjahr) als auch die abgabenrechtliche Anforderung. Nach Ablauf werden die Snapshots automatisch gelöscht — bis dahin sind sie weder änderbar noch entfernbar.
ISO 27001in Vorbereitung: Die ISO 27001 definiert Anforderungen an die Etablierung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS. Der saferouter-Audit ist für 2026 in Vorbereitung; das interne Mapping ist bereits erstellt, eine externe Zertifizierung steht aus.
ISMS nach 2022er Fassungin Vorbereitung: Die 2022er Revision führt 11 neue Controls ein, darunter Threat Intelligence, Cloud-Service-Sicherheit, Identitäts- und Zugriffsverwaltung sowie Data Masking. saferouter implementiert den Anforderungskatalog dieser Fassung.
Type-2-Audit in Vorbereitungin Vorbereitung: Type 1 prüft das Design der Controls zu einem Stichtag, Type 2 prüft die operative Wirksamkeit über einen Zeitraum (mindestens 6 Monate). Der Type-2-Auditzyklus für saferouter ist für H2 2026 angesetzt; bis dahin wird im Voraudit gearbeitet.

Datenschutz-Mechanik (PII-Gate)

Reversible Pseudonymisierunggeplant: Beispiel: "Anna Müller, IBAN DE89..." wird zu "<PII_PERSON_001>, IBAN <PII_IBAN_001>". Der Provider sieht den Klartext nie. Das Mapping liegt nur kurzzeitig in Redis (TTL 10 Minuten) und ist an die Request-ID gebunden. PII-Gate ist Bestandteil von Level L4; Verfügbarkeit Q3 2026.
Kein Streaming (technisch erzwungen)geplant: Die Re-Substitution muss am vollständigen Antwort-Text arbeiten — sonst können Platzhalter über Stream-Chunks zerschnitten werden. saferouter lehnt deshalb auf L4 jeden stream=true-Request ab. UI-Konsumenten müssen die komplette Antwort abwarten.

Souveräne Modelle

Aleph Alpha Phariageplant: Aleph Alpha betreibt eigene Rechenzentren in Deutschland und liefert Modelle, die im saferouter-Stack ohne Hyperscaler-Beteiligung deployed werden können. Pharia ist die aktuelle Modellgeneration für deutschen Sprachraum.
BYO On-Prem-Modellegeplant: Im BYO-Modus liefert der Tenant einen OpenAI-kompatiblen Endpoint plus API-Key. saferouter routet, hält den Audit-Trail und die Ledger-Buchführung — die Inferenz läuft beim Kunden. Damit bleibt der Datenfluss vollständig in der Kunden-Hand.
Air-gap-fähiggeplant: In Air-gap-Deployments läuft saferouter komplett im Kunden-Netz. Voraussetzung: BYO-Modelle (L5), keine Hyperscaler-Provider. Updates werden offline via signiertes Container-Bundle ausgeliefert.

Etwas unklar? Schreib eine Mail an hello@saferouter.tech — wir ergänzen das Glossar gerne öffentlich.