Trust Center · Aktualisiert am 31. Mai 2026
Trust Center.
Alles, was Einkauf, Sicherheit und Rechtsabteilung vor der Unterzeichnung brauchen. AVV, Unterauftragsverarbeiter, Artikel-50-Offenlegungsvorlagen, ROPA, Sicherheitsüberblick.
Der Nachweis in einer Minute
Laden Sie genau die Quittung herunter, die der DSB Ihres Kunden prüft.
Anonymisiertes Muster der Nachweis-Quittung pro Anruf — dasselbe Artefakt, das ein DSB oder Auditor prüft. Öffnen Sie das PDF, sehen Sie sich das JSON an, gehen Sie die kryptografische Kette selbst durch.
Die Quittung istdarauf ausgelegt, vom DSB oder Auditor Ihres Kunden geprüft zu werden— jedes Feld ist offen und wird unabhängig überprüfbar sein unterverify.audact.ai (launching). Niemand muss uns einfach glauben.
Auf einen Blick
Was Rechtsabteilung & Einkauf heute überprüfen können.
- Rechtsträger
- Audact AI Ltd · UK Companies House 17059133 · London, Vereinigtes KönigreichImplementiert
- Hosting-Region
- AWS Frankfurt (eu-central-1) — physisch in der EUImplementiert
- Datenrollen
- Audact = Auftragsverarbeiter; Agenturkunde = Verantwortlicher (Art. 28 DSGVO)Vertraglich
- Unterauftragsverarbeiter
- Vollständige Liste unten · 30 Tage VorankündigungImplementiert
- Aufbewahrung
- Anruf-Audio 90 Tage (konfigurierbar) · Evidence Chain 7 JahreImplementiert
- Verschlüsselung
- TLS 1.3 bei Übertragung · AES-256 im Ruhezustand · Crypto-ShreddingImplementiert
- AVV / DPA
- An Art. 28 ausgerichtet · finales PDF im OnboardingVertraglich
- Muster-Signatur-Quittung
- Nachweis-Quittung pro Anruf — PDF + JSON prüfen HerunterladenImplementiert
- Sicherheitskontakt
- security@audact.ai · Responsible Disclosure E-MailImplementiert
- Launch-Umfang
- Voice live in DE/NL/AT/BE/FR · Artikel 50 in allen 27 EU-Staaten abgedecktIm Pilot
Pentest-Plan: jährlich extern (nächster: Q3 2026). AVV + Liste der Unterauftragsverarbeiter unten.
Nachweise statt Behauptungen
Sehen Sie jedes Artefakt, das wir signieren — bevor Sie etwas unterschreiben.
Über die Quittung pro Anruf oben hinaus: der anonymisierte monatliche Compliance-Bericht und die vollständige Muster-Artefakt-Bibliothek — dieselben Artefakte, die Ihr Auditor oder DSB prüfen wird.
Was heute live ist · 31. Mai 2026
Gebaut, ausgeliefert und jetzt überprüfbar.
Alles Folgende ist heute im Produktivbetrieb. Punkte, die noch der anwaltlichen Prüfung unterliegen, sind weiter unten klar gekennzeichnet.
Artikel-50-Offenlegung zur Laufzeit
Live seit 23. März 2026 · Offenlegungs-Attestierung pro Anruf
Kryptografische Evidence Chain
Merkle-Beweise pro Anruf + RFC-3161-TSA · Quittungen pro Anruf ausgestellt (bisher im Pilot)
In der EU gehostete Infrastruktur
AWS Frankfurt (eu-central-1)
Audact-Plattform M1-M10
MVP fertig · staging.audact.ai läuft
44 Patentfamilien
Q1-Q2 2026 beim UK IPO eingereicht (zum Patent angemeldet)
Policy-Engine pro Rechtsraum
DE/NL/AT/BE/FR live · alle 27 EU-Mitgliedstaaten für Artikel 50 abgedeckt
Muster-Quittung + Monatsbericht
Öffentliche Downloads unter /receipt-explorer
Prüfung durch externe Anwälte läuft· AVV + ROPA + DPIA-Vorlage + Audact-Garantie · Geplante konsolidierte Veröffentlichung Q3 2026. Die unten mit🟡 Vorschaugekennzeichneten Punkte unterliegen noch der anwaltlichen Prüfung — Inhalte sind jetzt verfügbar, die endgültige Formulierung steht unter dem Vorbehalt der anwaltlichen Freigabe.
1. Auftragsverarbeitungsvertrag (AVV)
VorschauAudacts an Artikel 28 DSGVO ausgerichteter Auftragsverarbeitungsvertrag deckt Compute-Anbieter, Unterauftragsverarbeiter, das Crypto-Shredding-Protokoll, Auditrechte und eine Meldepflicht bei Datenpannen innerhalb von 48 Stunden ab.
Version: 1.0-VORSCHAU · Zuletzt aktualisiert: 25.05.2026
Das finale AVV-PDF ist im Pilot-Onboarding verfügbar (1:1 mit dem ersten zahlenden Kunden). Die öffentliche Vorlage wird hier nach der anwaltlichen Freigabe verlinkt (Ziel Q3 2026 — siehe Banner oben).
2. Liste der Unterauftragsverarbeiter
Live| Anbieter | Land | Funktion | Datenkategorie |
|---|---|---|---|
| AWS (Frankfurt) | EU (Frankfurt) | Infrastruktur-Hosting | Alle Plattformdaten |
| Cloudflare | EU + globales Edge-Netz | CDN, DNS, DDoS-Schutz | Request-Metadaten |
| Telnyx | EU-PoPs — SCCs | SIP-Telefonie | Anruf-Audio während der Übertragung, Telefonie-Metadaten |
| LiveKit Cloud | EU-Region | WebRTC-Transport, Turn Detection | Audio während der Übertragung (keine Speicherung) |
| Deepgram Nova-3 | USA (EU-Endpunkt) — SCCs | Speech-to-Text (Standard) | Audio während der Übertragung (keine Speicherung konfiguriert) |
| ElevenLabs Flash | USA/EU — SCCs | Text-to-Speech (Standard) | Vom LLM generierter Text |
| OpenAI / Anthropic | USA (EU-Endpunkt sofern verfügbar) — SCCs | LLM-Inferenz (GPT-4o-mini Standard, Claude Sonnet Premium) | Gesprächstext (keine Speicherung konfiguriert) |
| Google Workspace | USA/EU — SCCs | E-Mail, Dokumente | Geschäftskommunikation |
| Slack | USA — SCCs | Interne Kommunikation | Interne Nachrichten |
| Notion | USA — SCCs | Wiki / Projektmanagement | Interne Betriebsdaten |
| 1Password | Kanada/EU | Verwaltung von Zugangsdaten | Verschlüsselte Zugangsdaten |
| Stripe (sobald live) | USA/IE — SCCs | Zahlungsabwicklung | Abrechnungsdaten |
Wir benachrichtigen Kunden30 Tage vor dem Hinzufügen neuer Unterauftragsverarbeiter. Zuletzt aktualisiert am 31.05.2026.
Voxtral (Mistral) wird Q3 2026 als EU-native TTS-Option evaluiert. Die Migration zu Hetzner Deutschland ist für Juli 2026 vorgesehen — siehe die Roadmap für einen EU-nativen Stack unten.
3. EU AI Act Artikel 50 + Marketing-Claim-Matrix
VorschauAudact ist darauf ausgelegt, die Attestierung der Artikel-50-Offenlegung in allen 27 EU-Mitgliedstaaten zu unterstützen — Voice-Deployments sind in 5 live (DE/NL/FR/AT/BE), weitere je nach Pilotnachfrage — jeweils in der bzw. den Amtssprachen des Mitgliedstaats. Die Skripte werden vor der Veröffentlichung anwaltlich geprüft und pro Anruf versionsfest verankert.
Verfügbare Sprachen: NL, DE, FR, IT, ES, PT, PL, DA, SV (weitere auf Anfrage)
Marketing-Claim-Matrix
Was Agenturen und Audact öffentlich behaupten dürfen und was nicht.
| Aussage | Zulässig | Begründung |
|---|---|---|
| Auf Artikel-50-Offenlegung ausgelegte Architektur | Architektur darauf ausgelegt, Attestierung pro Anruf und Offenlegungsskripte je Mitgliedstaat zu unterstützen | |
| Kryptografische Evidence Chain | SHA-256 + Merkle-Aggregation + RFC-3161-TSA — überprüfbare Architektur | |
| 44 Patentfamilien | Alle beim UK IPO angemeldet, Anmeldebestätigungen verfügbar, siehe /patents | |
| Zum Patent angemeldet | Korrekt — noch keines erteilt, alle angemeldet | |
| Audact-Inside-Badge | Kunde muss es aktivieren; das Badge verlinkt auf einen öffentlichen Verifier mit kryptografischer Hash-Prüfung. | |
| Patentgeschützt | Irreführend, solange das UK IPO nicht erteilt hat. Stattdessen „zum Patent angemeldet“ verwenden. | |
| EU-souverän | AWS Frankfurt ist physisch in der EU, aber rechtlich in den USA. Stattdessen „in der EU gehostet“ verwenden. | |
| Gerichtsfeste Nachweise | Architektur-Aussage, kein Rechtsgutachten. Stattdessen „auditfähige Quittungen“ oder „manipulationssichere Nachweise“ verwenden. | |
| Illegale alternative Plattformen | Geschäftsschädigend. Stattdessen konkrete, belegbare Tatsachenaussagen verwenden (z. B. „keine Self-Service-Löschung nach Art. 17 DSGVO“) mit öffentlicher Quelle. | |
| Garantiert konform | Die Audact-Garantie deckt nur Fehler der Governance-Engine ab. Keine bedingungslose Konformität versprechen. |
4. Verzeichnis von Verarbeitungstätigkeiten (ROPA)
VorschauÖffentliche Zusammenfassung des Verzeichnisses nach Artikel 30 DSGVO. Das vollständige kundenspezifische ROPA ist nach der Pilot-Anmeldung im AVV-Portal verfügbar.
- Verarbeitungskategorien:Anrufe durch Voice-AI-Agenten (Inbound + Outbound), Attestierung der Evidence Chain, Brand-Governance-Validierung, Abrechnung
- Betroffene Personen:Endkunden der Agenturkunden von Audact (Anrufer, die von Agenturen bereitgestellte Voice-AI-Agenten erreichen)
- Aufbewahrung:kundenspezifisch konfigurierbar, standardmäßig 90 Tage für Anruf-Audio, 7 Jahre für die kryptografische Evidence Chain (Audit-Anforderung)
- Rechtsgrundlage:Vertragserfüllung (Art. 6 Abs. 1 lit. b) für das Verhältnis zwischen Audact und Agentur; die Agentur ist für die Rechtsgrundlage gegenüber dem Endanrufer verantwortlich
4.5. Geistiges Eigentum
LivePatentportfolio:
- 44 zum Patent angemeldete Familien, eingereicht beim UK Intellectual Property Office durch Audact AI Ltd
- Alle Einreichungen sind Anmeldungen in Prüfung; noch keine ist erteilt
Gesellschaftsstruktur:
- Audact AI Ltd (UK Companies House Nr. 17059133): IP-Holdinggesellschaft
- Audact (Ireland) Ltd: operative Gesellschaft
Eine detaillierte IP-Dokumentation steht Kunden und Anwälten auf Anfrage zur Verfügung.
5. DPIA-Vorlage
VorschauVorausgefüllte Vorlage für die Datenschutz-Folgenabschätzung, die Agenturen mit Endkunden in risikoreicheren Branchen (medizinisch, finanziell, schutzbedürftige Personen) nutzen können.
Jetzt im Pilot-Onboarding zum Download verfügbar; die öffentliche Version folgt nach der anwaltlichen Freigabe (siehe Banner oben).
6. Statusseite
LiveLive-Status, Verfügbarkeitskennzahlen und aktuelle Vorfälle:status.audact.ai(betrieben mit BetterStack)
Abonnieren Sie Status-Updates per RSS, E-Mail oder SMS über den Link oben.
7. Sicherheitsüberblick
Live- Verschlüsselung:TLS 1.3 bei der Übertragung, AES-256 im Ruhezustand, Crypto-Shredding für PII nach Ablauf der Aufbewahrungsfrist
- ISO 27001:in Arbeit, voraussichtlich Q4 2026
- SOC 2 Type II:geplant 2027 (nach den ersten 10 zahlenden Kunden)
- Pentest-Plan:jährlicher externer Pentest (nächster: Q3 2026 mit QA Consulting)
- Zugriffskontrolle:RBAC, MFA verpflichtend für alle Admin-Zugriffe, Audit-Log 2 Jahre aufbewahrt
- Incident Response:Meldung an Behörden innerhalb von 72 Stunden, On-Call-Rotation über PagerDuty
8. Kontakt
Live- security@audact.ai— Sicherheitsmeldungen + Responsible-Disclosure-Richtlinie
- privacy@audact.ai— Anfragen betroffener Personen + DSGVO-Angelegenheiten
- legal@audact.ai— vertragsbezogene Fragen
Anwälte:externe Anwälte — EU AI Act, Auftragsverarbeitung nach Art. 28 DSGVO, Patentstrategie.
9. Roadmap für einen EU-nativen Stack
GeplantWir legen offen, wo wir stehen und wohin wir uns entwickeln. Einige aktuelle Unterauftragsverarbeiter sind in den USA ansässig (und unterliegen damit dem CLOUD Act), werden jedoch physisch in der EU gehostet. Unsere Roadmap führt uns dort, wo möglich, zu einer vollständig EU-nativen Aufstellung (rechtlich + physisch).
| Ebene | Aktuell | Ziel | Zeitplan |
|---|---|---|---|
| Compute | AWS Frankfurt (rechtlich USA, physisch EU) | Hetzner Deutschland (rechtlich + physisch EU) | Zielmigration Juli 2026 |
| Telefonie (SIP) | Telnyx EU-PoPs | Unverändert — Telnyx EU ist akzeptabel | Stabil |
| STT | Deepgram (USA, EU-Endpunkt) | Gladia (Paris, vollständig EU) | Evaluierung Q2-Q3 2026 |
| TTS | ElevenLabs Flash (USA/EU) | Voxtral (Mistral, Paris) — Zero-Shot-Voice-Cloning | Evaluierung Q2-Q3 2026 |
| LLM | OpenAI / Anthropic (USA, EU-Endpunkt) | Mistral (Paris) für sensible Anwendungsfälle | Ab sofort als Opt-in verfügbar |
| MCP (Model Context Protocol) | Noch nicht implementiert | Nativer Anthropic-MCP-Server (Audact-Plattform) | Geplant Q3 2026 (Launch Phase 1) |
10. Audact-Garantie — Umfang
Vorschau„Stuft eine Aufsichtsbehörde die Basisplattform als nicht konform ein, übernehmen wir das Bußgeld.“
Dies ist eine eng gefasste Garantie, die ausschließlich für von der Governance erfasste Gespräche gilt. Sie greift bei Fehlern der Audact-Governance-Engine — also in Fällen, in denen unsere Engine eine Äußerung gemäß den aktiven Regeln hätte blockieren müssen, dies aber nicht getan hat.
Was abgedeckt ist
- Nichtkonformität der Basisplattform mit Artikel 50 der EU-KI-Verordnung (wenn die Policy-Engine pro Rechtsraum aktiviert ist)
- Brand-Governance-Fehler (wenn Brand-Governance-Regeln konfiguriert und aktiv sind)
- Integritätsfehler der Evidence Chain pro Anruf (Validierung der kryptografischen Quittung)
Was NICHT abgedeckt ist
- Fehler beim Prompt Engineering des Kunden, die den Zweck der Richtlinie umgehen
- Missbrauch der Plattform durch Endkunden (z. B. Agenturen, die Compliance-Regeln deaktivieren)
- Compliance-Bereiche außerhalb der konfigurierten Rechtsräume
- Deployments mit FRIA-Pflicht, bei denen der Kunde die FRIA nicht durchgeführt hat
- Regulatorische Änderungen nach dem Deployment (wir aktualisieren; die Pflicht zur Migration verbleibt beim Kunden)
Vollständige Garantiebedingungen in der Reseller-Vertragsvorlage (im Pilot-Onboarding verfügbar, sobald die Anwälte freigeben — siehe Banner oben).
Wenn es zu einem Vorfall kommt —Audact Defense (geplant Q3 2026) →
Bereit, das an Ihren Einkauf zu senden?
Erhalten Sie AVV + Liste der Unterauftragsverarbeiter + Marketing-Claim-Matrix als ein einziges PDF-Paket — oder vereinbaren Sie einen 30-minütigen Security-Review-Call.