Voice AI, die Ihre Compliance-Abteilung freigibt.
EU-Hosting, DSGVO-konform, AES-256 verschlüsselt. Transparente Architektur, dokumentierte Sub-Processors, AVV inklusive.
Compliance-Status
DSGVO + revDSG
UmgesetztArt. 6 & 28 DSGVO sowie Schweizer revDSG (09/2023) gleichermaßen erfüllt. AVV, TOMs und DSFA-Vorlage verfügbar — für DE- und CH-Kunden.
EU-LLM-Inferenz
AWS Bedrock EUVoice-Sprachmodell-Inferenz läuft ausschließlich über Anthropic via AWS Bedrock in eu-central-1 (Frankfurt) — die LLM-Inferenz wird nicht in die USA geroutet. Telefonie-Transport (Telnyx, USA) und TTS-Fallbacks außerhalb der EU sind separat per SCC abgesichert (siehe unten).
AES-256
At-rest & in-transitVerschlüsselung aller gespeicherten und übertragenen Daten nach AES-256.
TLS 1.3
AktivMinimum-Standard für alle eingehenden und ausgehenden Verbindungen.
Zero-Retention (LLM)
Inferenz-ProviderBezieht sich auf den LLM-Inferenz-Provider: dort werden Prompts/Responses nicht gespeichert. Transkripte/Metadaten verbleiben in der EU (Supabase/R2) gemäß Aufbewahrungsfrist und werden danach automatisiert gelöscht.
TTS außerhalb EU
Fish Audio (SG)Primärer TTS-Provider Fish Audio sitzt in Singapur (außerhalb EU). Transfer per SCC + Transfer-Impact-Assessment abgesichert. Fallback ElevenLabs/Cartesia (USA, SCC).
AVV-Paket
Sofort verfügbarAuftragsverarbeitungsvertrag, TOMs, Subunternehmer-Liste — vorgeprüft.
Datenfluss bei einem Anruf
Transparent dokumentiert: So verarbeitet Flowent jeden Anruf — Schritt für Schritt. LLM-Inferenz und Speicherung in der EU; einzelne Provider (Telefonie, TTS) außerhalb der EU sind per SCC abgesichert.
Anruf eingehend
Anrufer wählt die Flowent-Nummer. Verbindung über SIP-Trunk (Telnyx) in die EU.
STT (Speech-to-Text)
Audio wird in Echtzeit transkribiert. Deepgram über den EU-Endpoint (erzwungen) — keine US-Datenübertragung des Audio-Streams.
LLM-Inferenz
Transkript wird ausschließlich von Anthropic via AWS Bedrock in der EU (eu-central-1, Frankfurt) verarbeitet. Zero-Retention beim Inferenz-Provider — dort keine Speicherung von Prompts/Responses. Die LLM-Inferenz wird nicht in die USA geroutet (der Telefonie-Transport via Telnyx und TTS-Fallbacks können außerhalb der EU liegen, SCC-abgesichert).
TTS (Text-to-Speech)
KI-Antwort wird in natürliche Stimme umgewandelt. Primär-Provider Fish Audio (Singapur, SCC-abgesichert außerhalb der EU); Fallback ElevenLabs/Cartesia (USA, SCC). Streaming zurück an den Anrufer.
Persistenz
Transkripte & Metadaten in Frankfurt (Supabase). Audio-Files in Cloudflare R2 (EU). Speicherung gemäß Aufbewahrungsfrist, danach automatisierte Löschung. Optional verschlüsselt mit Kunden-Key.
AES-256 at rest
Alle gespeicherten Audio-Files, Transkripte und Datenbank-Daten sind mit AES-256 verschlüsselt.
TLS 1.3 in transit
Jede Netzwerk-Verbindung — von SIP bis HTTPS — ist mit modernster TLS-Verschlüsselung gesichert.
EU-LLM-Inferenz
Voice-Sprachmodell-Inferenz und Datenspeicherung in Frankfurt. Telefonie und TTS-Provider außerhalb der EU sind per SCC abgesichert.
Sub-Processors
Transparente Liste aller Dienstleister, die bei der Verarbeitung Ihrer Daten beteiligt sind.
| Anbieter | Zweck | Standort | Transfergrundlage |
|---|---|---|---|
| Telnyx LLC | SIP-Trunking & Telefonie-Infrastruktur (Roh-Audio, Rufnummern) | USA | SCC + DPA |
| Deepgram, Inc. | Speech-to-Text (Roh-Audio-Stream) | EU-Region (EU-Endpoint erzwungen) | DPA; SCC |
| Anthropic (via AWS Bedrock) | LLM-Inferenz Voice (primär & ausschließlich) — Zero-Retention beim Inferenz-Provider | EU (AWS eu-central-1, Frankfurt) | AWS-AVV |
| Fish Audio | Text-to-Speech (primär) | Singapur — außerhalb EU | SCC + Transfer-Impact-Assessment |
| ElevenLabs, Inc. | Text-to-Speech (Fallback) | USA | SCC + DPA |
| Cartesia, Inc. | Text-to-Speech (Fallback) | USA | SCC |
| Cloudflare R2 | Audio-Storage & Transkript-Ablage | EU (Frankfurt) | SCC + DPA |
| Supabase, Inc. | Datenbank (Postgres) | EU (Frankfurt/Irland) | EU-Hosting |
| Vercel, Inc. | Hosting & Edge Functions | USA/EU | EU-US DPF + SCC |
| Upstash / Redis | Session-Cache & Queue | EU-Region | SCC sofern US |
Fragen für IT & Compliance
Wo werden Audio-Aufnahmen und Transkripte gespeichert?
Alle Audio-Files liegen in Cloudflare R2 (Region EU-West, Frankfurt). Transkripte und Metadaten werden in Supabase Postgres (Region EU-West, Frankfurt) gespeichert. Speicherung und Verarbeitung der Sprachdaten erfolgen in EU-Rechenzentren.
Welche Provider sitzen außerhalb der EU — und wie ist das abgesichert?
Drei Bausteine liegen außerhalb der EU: Telefonie/SIP (Telnyx, USA), der primäre TTS-Provider Fish Audio (Singapur) sowie die TTS-Fallbacks ElevenLabs und Cartesia (USA). Diese Transfers sind über EU-Standardvertragsklauseln (SCC) und — bei Fish Audio — ein zusätzliches Transfer-Impact-Assessment abgesichert. Die LLM-Inferenz im Voice-Pfad findet ausschließlich in der EU statt (Anthropic via AWS Bedrock, Frankfurt). Speicherung von Transkripten und Audio erfolgt in der EU.
Wer hat Zugriff auf die Anruf-Transkripte?
Nur authentifizierte Nutzer Ihres Workspaces über die Flowent-UI. Support-Mitarbeiter haben keinen Default-Zugriff auf Kunden-Transkripte. Zugriffe werden im Audit-Log protokolliert.
Wie funktioniert die Löschung nach Vertragsende?
Auf Anfrage löschen wir alle personenbezogenen Daten innerhalb von 30 Tagen vollständig. Backup-Rollover bis max. 90 Tage. Eine Löschbestätigung wird schriftlich ausgestellt.
Werden Trainingsdaten aus meinen Anrufen generiert?
Nein. Wir nutzen Kundendaten nicht für Modell-Training. Der LLM-Inferenz-Provider im Voice-Pfad (Anthropic via AWS Bedrock, EU) wird im Zero-Retention-Modus betrieben — dort werden Prompts und Responses nach der Verarbeitung nicht gespeichert. Transkripte und Metadaten werden in der EU (Supabase/R2) gemäß der konfigurierten Aufbewahrungsfrist gespeichert und danach automatisiert gelöscht.
Gibt es eine On-Premise-Option?
Ja, für Enterprise- und regulierte Branchen (Gesundheitswesen, Finanzdienstleister). Deployment auf Ihrer Infrastruktur oder in dediziertem EU-Cloud-Tenant.
Wie funktioniert der Auftragsverarbeitungsvertrag (AVV)?
Ein AVV nach Art. 28 DSGVO wird mit Vertragsabschluss automatisch Teil Ihres Vertrags. Wir senden Ihnen ein signiertes Dokument. Bei Enterprise-Verträgen auch individuelle Anpassungen möglich.
Wie lange werden Aufzeichnungen aufbewahrt?
Die Aufbewahrungsdauer ist pro Workspace konfigurierbar (Standard: 90 Tage, Minimum: 7 Tage, Maximum: 2 Jahre). Nach Ablauf werden Audio-Files automatisch gelöscht, Transkripte anonymisiert.
Sicherheits-Dokumentation anfordern
AVV, Sub-Processor-Liste, Security-Whitepaper und Architektur-Dokumentation — alles auf Anfrage für Ihre Compliance-Prüfung.
Unterlagen anfragen