EU-Hosting als Standard. Dokumentiert, nicht behauptet.
Jedes Helm-Labs-Engagement läuft auf EU-gehosteter Infrastruktur — AWS Frankfurt (eu-central-1) oder Hetzner (Nürnberg / Falkenstein) standardmäßig. Die folgenden Seiten dokumentieren unser Hosting-Commitment, die Subunternehmer-Liste, den Datenfluss je Tier und wie Sie einen unterschriebenen AVV erhalten.
Hosting-Commitments
Ausschließlich EU-Regionen
Produktiv-Workloads laufen in AWS Frankfurt (eu-central-1) oder Hetzner (Nürnberg / Falkenstein). Keine Daten verlassen die EU-Region ohne ausdrückliche, schriftliche Engagement-Ausnahme.
On-Premise-Option
Foundry-Kund:innen können die Agenten-Laufzeit in ihre eigene VPC oder On-Prem-Umgebung ausrollen. Wir unterstützen selbst-gehostetes Kubernetes, AWS PrivateLink und Air-Gapped-Deployments wo erforderlich.
Modell-Hosting
Wir setzen standardmäßig auf EU-gehostete Inferenz-Endpoints (AWS Bedrock EU, Azure OpenAI Schweden, selbst-gehostete Open Weights via vLLM in Frankfurt). Nicht-EU-Endpoints werden nur mit dokumentierter Begründung und AVV-Abdeckung eingesetzt.
Subunternehmer-Liste
Aktualisiert 25.05.2026. Wir informieren 30 Tage im Voraus über neue Subunternehmer. Abonnement via hello@helmlabs.de für Änderungsmeldungen.
| Subunternehmer | Zweck | Standort | Übermittlungsmechanismus |
|---|---|---|---|
| Amazon Web Services EMEA SARL | Primäres Cloud-Hosting (Compute, Storage, Networking) | Frankfurt, Deutschland (eu-central-1) | EU — keine Übermittlung |
| Hetzner Online GmbH | Sekundäres Hosting (kostengünstige Workloads, Dev/Staging) | Nürnberg / Falkenstein, Deutschland | EU — keine Übermittlung |
| Resend Inc. | Transaktionale E-Mail-Zustellung (Kontaktformular, Buchungsbestätigungen) | USA | SCCs + ergänzende Maßnahmen (DPF-zertifiziert) |
| Cal.com Inc. | Kalender-Buchungs-Embed | USA (EU-Datenresidenz verfügbar) | SCCs |
| Langfuse GmbH | LLM-Observability und Evaluation (selbst-gehostet in unserer Infrastruktur) | Selbst-gehostet in AWS Frankfurt | EU — keine Übermittlung |
| Anthropic PBC | Modell-Inferenz für ausgewählte Agenten (wo engagement-freigegeben) | USA (EU-Region im Rollout) | SCCs + engagement-bezogener AVV-Anhang |
Datenfluss im Überblick
Wie Ihre Daten durch einen typischen Helm-Labs-Agenten fließen. Detaillierte Diagramme je Tier werden mit jedem Angebot ausgegeben.
- 01Eingang
Ihre operativen Daten kommen über API, SFTP-Drop oder Live-Integration. Transport via TLS 1.2+; Ruhedaten verschlüsselt mit AES-256.
- 02Verarbeitung
Agenten-Workflow läuft in Ihrem dedizierten Namespace in AWS Frankfurt. Personenbezogene Daten werden vor jedem Drittanbieter-LLM-Aufruf maskiert.
- 03Speicherung
Persistente Daten in EU-gehostetem Postgres + S3. Aufbewahrung standardmäßig 90 Tage; je Engagement konfigurierbar.
- 04Observability
Eval-Scores, Tool-Calls und Audit-Trails in selbst-gehostetem Langfuse innerhalb derselben EU-Region. Lesezugriff für Ihr Team verfügbar.
- 05Ausgabe
Agenten-Ausgaben werden über denselben Kanal zurückgespielt, über den die Daten kamen. An keinem Nicht-EU-Modell-Endpoint werden Daten über die einzelne Anfrage hinaus aufbewahrt.
Auftragsverarbeitungsvertrag (AVV)
Ein Standard-AVV wird zu Beginn jedes bezahlten Engagements unterzeichnet. Die Vorlage entspricht Art. 28 DSGVO und den Standardvertragsklauseln der EU-Kommission.
Wir senden Ihnen die aktuelle Version innerhalb eines Werktages. Verhandelte Änderungen werden pro Engagement nachverfolgt.
Compliance-Haltung
- DSGVO-Datenfluss in jedem Engagement abgebildet und dokumentiert.
- Risikoklassifizierung nach EU AI Act zu Kickoff jedes produktiven Agenten.
- Kundendaten werden ohne separate, schriftliche Vereinbarung niemals für Modelltrainings genutzt.
- Subunternehmer-Änderungen werden 30 Tage im Voraus angekündigt.
- Vorfälle werden innerhalb von 72 Stunden gemäß Art. 33 DSGVO gemeldet; ein Incident-Workbook liegt jedem Foundry-Engagement bei.
- Jährliche Penetrationstests auf Anfrage; Ergebnisse unter NDA geteilt.
Brauchen Sie etwas, das wir noch nicht veröffentlicht haben?
Wenn Ihr Procurement-Team ein bestimmtes Dokument benötigt — AVV, Subunternehmer-Änderungslog, EU-AI-Act-Klassifizierungsvorlage, ISO-27001-Readiness-Statement — schreiben Sie uns, wir senden es zu.