Adjudon verarbeitet die Entscheidungsdaten regulierter KI-Systeme. Hier steht, wo diese Daten liegen, wer sie anfassen kann und wie sie versiegelt werden. Jeder Punkt hat einen Link auf den Nachweis, nicht auf ein Siegel.
Jede Zeile verweist auf einen prüfbaren Nachweis — kein „vertrauen Sie uns".
Worauf es ankommt
Was ein Auftragsverarbeiter offenlegen muss
Bevor ein Anbieter Ihre KI-Entscheidungsdaten anfasst, prüft eine Compliance-Abteilung dasselbe Raster. Die kurzen Antworten stehen hier, der vollständige Nachweis ist je verlinkt.
Wo Ihre Daten liegen
Frankfurt, eu-central-1. Keine Drittland-Übermittlung, kein externes LLM, keine Embedding-API außerhalb der EU. Fünf Sub-Prozessoren, alle in der EU.
Jede Entscheidung wird per SHA-256 an die vorige gekettet, append-only. Eine nachträgliche Änderung bricht die Folge und wird bei der Nachrechnung sichtbar. Löschung nach DSGVO bleibt möglich, ohne die Kette zu brechen.
Adjudon ist Auftragsverarbeiter nach DSGVO Art. 28. Der Vertrag liegt vor, vorausgefüllt mit den technischen Maßnahmen und der Sub-Prozessoren-Liste. PII-Scrubbing läuft bei Eingang und Ausgabe. Pflicht, nicht Option.
Am besten prüfen Sie mit Code, den nicht wir geschrieben haben. Adjudon signiert jedes Provenance-Manifest kryptografisch nach dem C2PA-Standard. Fügen Sie eines in den öffentlichen Verifier ein. Ohne Login, ohne Konto, Ihre Eingabe wird nicht gespeichert.
Manifest einfügen
SHA-256 · lokal
Vergleich
1 von 4 Verdikten
Der Verifier prüft ausschließlich C2PA-Provenance-Manifeste, keine internen Trace-IDs. Sie erhalten genau einen von vier Zuständen.
Gültig
Die Signatur stimmt, das Manifest liegt unverändert vor.
Widerrufen
Die Signatur ist gültig, aber das Manifest wurde zurückgezogen.
Ungültig
Die Prüfung schlägt fehl. Behandeln Sie die Herkunft als unbestätigt.
Unbekannt
Kein passendes Manifest gefunden. Bewusst nicht weiter aufgeschlüsselt, damit sich keine IDs durchprobieren lassen.
Audit-grade heißt bei uns: kryptografisch verkettet und deterministisch nachrechenbar. Eine nachträgliche Änderung bricht die Folge und wird bei der Prüfung sichtbar. Es heißt nicht gerichtsfest. Die Bewertung nach § 371a Abs. 3 ZPO ist Sache eines anwaltlichen Gutachtens, bei Hogan Lovells beauftragt, noch nicht erteilt. Solange das offen ist, behaupten wir es nicht.
Fünf Dinge behaupten wir heute nicht. Zertifikate (SOC 2, ISO 27001/42001) sind im Aufbau, nicht erteilt. Die Gerichts-Tauglichkeit nach § 371a hängt am Hogan-Lovells-Memo. Qualifizierte Zeitstempel kommen mit dem D-Trust-Vertrag. Ein externer Penetrationstest und das Witness-Konsortium mit Fraunhofer SIT sind angesetzt, aber nicht fertig.
Neun Bereiche sind heute öffentlich prüfbar, fünf weitere im Aufbau. Den Stand verfolgen Sie am besten über das Changelog.
2026: eine kleine erste Gruppe, ein abgegrenzter Pilot.
Wir nehmen Versicherer und Maklerpools auf. Ein 30-Minuten-Erstgespräch, dann ein abgegrenzter Pilot — Logging-only, mit synthetischen oder klar umrissenen Daten, ohne Eingriff in Ihre Live-Prozesse. Am Ende ein Audit-Paket, das Sie auch nach dem Pilot ohne uns nachrechnen.