Strukturierte Antworten für IT-Einkauf, Datenschutzbeauftragte und Security-Verantwortliche. Ohne Marketing-Floskeln.
1
Nutzt Nexoria im Backend heimlich OpenAI, Anthropic, Claude oder andere US-LLMs?
Nein. Die Kernplattform verwendet ausschließlich Mistral AI (Paris, Frankreich, EU). Keine US-LLMs, weder sichtbar noch im Hintergrund.
Nexoria setzt für die Antwortgenerierung ausschließlich Mistral AI ein — eine französische Société par actions simplifiée mit Sitz in Paris. Embeddings, semantische Suche, OCR, Reranking und Query Expansion laufen vollständig auf lokalen Modellen in unserem deutschen Rechenzentrum. Es gibt keine API-Aufrufe an OpenAI, Anthropic, Google, Azure Cognitive Services oder ähnliche US-Anbieter. Im Auftragsverarbeitungsvertrag ist dies verbindlich zugesichert.
Nachweis: Öffentlich einsehbar: Verarbeitungsverzeichnis (Art. 30 DSGVO), Datenschutzerklärung, AVV. Auf Anfrage zusätzlich: Subprozessorenliste.
Unterliegt Nexoria oder Mistral dem US CLOUD Act oder FISA Section 702?
Nein, die Kernplattform nicht. Mistral AI ist eine französische SAS ohne US-Mutter, US-Parent oder US-Infrastruktur. CLOUD Act und FISA 702 adressieren nur US-Rechtssubjekte.
Der US CLOUD Act (18 U.S.C. § 2713) verpflichtet nur US-amerikanische Rechtssubjekte zur Herausgabe von Daten an US-Behörden. Er betrifft Unternehmen wie Microsoft, Amazon, Google oder Meta — unabhängig davon, wo deren Server stehen. Mistral AI ist eine französische Société par actions simplifiée mit Sitz in Paris, ohne US-Mutter, ohne US-Infrastruktur-Abhängigkeit. Gleiches gilt für FISA Section 702. In der Kernplattform von Nexoria werden keine US-Rechtssubjekte in die Datenverarbeitung eingebunden — weder für Hosting, Datenbanken, noch für KI-Modelle. Die Plattform ist damit strukturell nicht erreichbar für US-Behördenzugriffe über diese Rechtsgrundlagen.
Nachweis: Mistral AI DPA (öffentlich verlinkt), französisches Handelsregister (Mistral AI SAS, Paris), EuGH-Schrems-II-konforme Verarbeitungskette.
Widerspricht der VoiceBot der Aussage 'keine US-Beteiligung'?
Nein. Der VoiceBot ist ein separates, ausdrücklich zu buchendes Opt-In-Zusatzprodukt. Die Kernplattform bleibt davon vollständig unberührt.
Der Nexoria VoiceBot ist ein eigenständiges Zusatzprodukt, das niemals automatisch aktiviert ist. Kunden müssen ihn bewusst und separat buchen. Wird der VoiceBot nicht aktiviert, sind keine Komponenten mit US-Bezug in der Plattform aktiv. Der VoiceBot selbst nutzt einen Telekom-Partner mit dedizierten Servern in Frankfurt am Main — Audiodaten verlassen Deutschland nicht. Die VoiceBot-KI ist technisch strikt von der Kernplattform isoliert: Sie hat keinen Zugriff auf Dokumente, E-Mails, Kalender, CRM-Daten oder andere Tenant-Daten. Für die Echtzeittelefonie existiert derzeit in der EU keine vollständig europäische Alternative mit akzeptabler Latenz; Nexoria verpflichtet sich, bei Verfügbarkeit einer solchen Lösung zu migrieren.
Die technischen Anforderungen an ISO 27001 nach BSI-Grundschutz sind vollständig erfüllt. Die TÜV-Zertifizierung ist geplant für das dritte Quartal 2026. SOC 2 ist nicht geplant.
Nexoria befindet sich aktuell in der Dokumentationsphase für die ISO 27001-Zertifizierung nach BSI-Grundschutz. Alle technischen und organisatorischen Maßnahmen sind bereits implementiert und orientieren sich strikt an ORP.4, CON.1, APP.5.3 und OPS.1.1.5. Die externe Auditierung und Zertifizierung durch den TÜV ist für das dritte Quartal 2026 eingeplant. Auf Anfrage stellen wir Interessenten bereits heute die vollständigen TOMs (Art. 32 DSGVO) zur Verfügung, ebenso wie unser Löschkonzept, den Incident-Response-Plan und einen Architektur-Überblick.
Nachweis: BSI IT-Grundschutz-Orientierung dokumentiert in der Datenschutzerklärung und DSFA. TOMs und Dokumentations-Pack auf Anfrage.
Nein. Weder Nexoria noch Mistral AI trainieren Modelle mit Kundendaten. Vertraglich ausgeschlossen — auch anonymisiert.
Im AVV zwischen Nexoria und Mistral AI ist die Trainings-Nutzung von Kundendaten explizit ausgeschlossen. Mistral AI bestätigt dies öffentlich in seinem Enterprise-DPA. Auch intern bei Nexoria findet keinerlei Training mit Kundendaten statt — weder in Form von Fine-Tuning noch als Trainings-Datensatz für zukünftige Modelle. Diese Zusage gilt unabhängig vom gewählten Tarif.
Nachweis: Mistral AI DPA (öffentlich), Nexoria AVV (auf Anfrage).
Welche Nachweise (TOMs, Pen-Tests, Subprozessorenliste) sind verfügbar?
Auf Anfrage innerhalb von 24 Stunden: TOMs nach Art. 32 DSGVO, Subprozessorenliste, Löschkonzept, Incident-Response-Plan, Architektur-Überblick, Exit-Strategie.
Nexoria stellt Interessenten ein vollständiges Evaluations-Paket zur Verfügung: Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO, aktuelle Subprozessorenliste, Löschkonzept mit technischen Details, Incident-Response-Plan nach Art. 33/34 DSGVO, Architektur-Überblick mit Datenflussdiagrammen und Exit-/Migrationsleitfaden. Diese Dokumente sind nicht öffentlich hinterlegt, um spezifische Sicherheits- und Vertragsdetails vor ungezielten Crawls zu schützen, werden aber nach formloser Anfrage per E-Mail innerhalb von 24 Stunden bereitgestellt. Auf Wunsch auch unter NDA.
Nachweis: Anfrage per E-Mail an info@nexoria-systems.de mit Stichwort 'Evaluator Pack'.
Wo genau liegen unsere Daten? Welche Rechenzentren?
Ausschließlich in Deutschland. Dedizierte Server in ISO 27001-zertifizierten Rechenzentren, Standorte Frankfurt und Nürnberg. Keine Public Cloud.
Die gesamte Kernplattform läuft auf dedizierten Servern in zwei deutschen Rechenzentren mit ISO 27001-Zertifizierung. Wir nutzen keine Public-Cloud-Dienste wie AWS, Azure oder Google Cloud Platform. Die konkreten Hosting-Dienstleister sind im Verarbeitungsverzeichnis (Art. 30 DSGVO) und im AVV namentlich aufgeführt und damit vertraglich abgesichert. Ein Architektur-Überblick mit genauer Datenlokalisierung ist auf Anfrage verfügbar.
Ist das kleine Team (zwei Gründer) ein Lieferantenrisiko für ein Unternehmen mit 100+ Mitarbeitenden?
Das Team ist bewusst klein und direkt. Kompensiert wird das durch: direkte Ansprechpartner ohne Call-Center, klare SLAs, vollständige Dokumentation, Exit-Strategie, Open-Source-Komponenten im Stack.
Ja, Nexoria ist bewusst ein kleines Team — zwei Gründer (CTO und Geschäftsführer) plus eine Person für Brand & Kommunikation. Diese Größe ist eine aktive Entscheidung: kein Offshore-Support, keine Call-Center-Weiterleitungen, kurze Wege zu den Entscheidern. Konkret kompensieren wir das Lieferantenrisiko so: (1) Direkter Zugang zum CTO bei kritischen Fällen. (2) SLA mit 4h Reaktionszeit während der Geschäftszeiten. (3) Vollständige technische Dokumentation, die im Ernstfall eine Weiterführung durch Dritte ermöglicht. (4) Dokumentierte Exit-Strategie mit Datenexport in offenen Formaten. (5) Wo sinnvoll, Open-Source-Komponenten im Stack — keine Vendor-Lock-ins auf proprietäre Black-Boxes. Für regulierte Umgebungen mit harten Vendor-Risk-Policies ist ein persönliches Gespräch mit beiden Gründern üblich.
Wie lange werden Dokumente gespeichert? Was passiert beim Vertragsende?
Dokumente bleiben mandantengetrennt in Ihrem Workspace bis zur manuellen Löschung oder zum Vertragsende. Nach Kündigung: 30 Tage Export-Zeitraum, danach vollständige und unwiderrufliche Löschung.
Dokumente werden in einer mandantengetrennten Datenbank auf unseren deutschen Servern gespeichert — so lange, wie Sie sie benötigen. Die Verarbeitung für Embeddings, OCR und Wissensbasis-Indexierung erfolgt ausschließlich lokal. Es gibt keine automatische Zeitbegrenzung für Dokumenten-Speicherung — Sie entscheiden, wann Inhalte gelöscht werden. Bei Vertragsende haben Sie 30 Tage Zeit für einen vollständigen Datenexport in offenen Formaten (JSON, CSV, Original-Dateien). Danach werden alle Inhalte automatisch und unwiderruflich gelöscht. Löschkonzept und Export-Format sind dokumentiert.
In den AGB steht, dass Drittlandübermittlungen bei alternativer LLM-Konfiguration möglich sind. Was bedeutet das konkret?
Im Standard-Betrieb findet keine Drittlandübermittlung statt. Die Klausel ist ein rechtlicher Fallback für individuelle Enterprise-Setups, die ein Kunde explizit schriftlich anfragen müsste — niemals Default.
Im Standard-Betrieb der Nexoria-Plattform verwenden alle Kunden ausschließlich Mistral AI (Paris, EU). Es findet keine Drittlandübermittlung statt. Die AGB-Klausel §7 (4) ist eine rechtliche Absicherung für den hypothetischen Fall, dass ein Enterprise-Kunde im Rahmen einer individuellen Konfiguration ausdrücklich und schriftlich einen alternativen LLM-Anbieter mit Sitz in einem Drittland anfragt. Eine solche Konfiguration erfordert eine separate schriftliche Vereinbarung sowie geeignete Garantien nach Art. 46 DSGVO (SCCs, zusätzliche technische Maßnahmen). In der Standardkonfiguration, die zu über 99 % unserer Kunden passt, ist diese Klausel nicht aktiv.