Trust Center

Trust Center

Transparenz steht im Mittelpunkt von allem, was wir tun. Erkunden Sie unsere Sicherheitspraktiken, unseren Compliance-Status und die Maßnahmen, die wir zum Schutz Ihrer Daten ergreifen.

Sicherheit im Überblick

Datenverschlüsselung

Alle Daten werden bei der Übertragung mit TLS 1.3 und im Ruhezustand mit AES-256-Verschlüsselung verschlüsselt.

Infrastruktur

Gehostet auf EU-basierter Infrastruktur mit Bunny.net CDN für globale Performance und DDoS-Schutz.

Zugriffskontrolle

Multi-Faktor-Authentifizierung, rollenbasierte Zugriffskontrollen und umfassende Audit-Protokollierung.

Privacy by Design

Minimale Datenerhebung, keine Tracking-Cookies und datenschutzorientierte Architektur von Grund auf.

Incident Response

Dokumentierter Incident-Response-Prozess mit Verpflichtung zur Benachrichtigung innerhalb von 24 Stunden bei Datenschutzverletzungen.

Kontinuierliches Monitoring

Automatisiertes Schwachstellen-Scanning, Abhängigkeitsprüfungen und kontinuierliche Sicherheitsbewertungen.

Compliance & Regulierung

Wir verpflichten uns, regulatorische Anforderungen zu erfüllen und zu übertreffen. Nachfolgend finden Sie unseren aktuellen Compliance-Status.

Konform

DSGVO

Vollständige Einhaltung der EU-Datenschutz-Grundverordnung, einschließlich Datenminimierung, Einwilligungsverwaltung und Betroffenenrechte.

Konform

EPrivacy-Richtlinie

Konform mit den EU-ePrivacy-Anforderungen. Unsere Analysen funktionieren ohne Tracking-Cookies.

Konform

CCPA

Einhaltung des California Consumer Privacy Act mit transparenten Datenpraktiken und Nutzerrechten.

Geplant

SOC 2 Type II

Die SOC 2 Type II-Auditierungszertifizierung ist als Teil unserer Sicherheits-Roadmap geplant.

Geplant

ISO 27001

Die Zertifizierung für Informationssicherheitsmanagement ist als Teil unserer Compliance-Roadmap geplant.

Unterauftrags-Verarbeiter

Wir glauben an vollständige Transparenz über die Drittanbieterdienste, die wir zur Bereitstellung unserer Plattform nutzen. Alle Unterauftragsverarbeiter sind durch Auftragsverarbeitungsverträge gebunden.

AnbieterZweckStandortRechtsraumVerarbeitete Daten
ScalewayCloud-Infrastruktur (Kubernetes, PostgreSQL, MySQL, NATS, Image-Registry)EU (Frankreich)Nur EUAlle Anwendungsdaten
Bunny.netCDN und DNSEU (Slowenien)Nur EUAnfrage-Metadaten, IP-Adressen
ProtonE-Mail und ArbeitsbereichSchweizDSG (Schweiz)E-Mail-Kommunikation
PaddleZahlungsabwicklung (Merchant of Record)UKUK (kein FISA)Abrechnungs- und Zahlungsdaten
GitHubCode-RepositoriesUSAFISA Section 702 / Cloud ActQuellcode, Entwicklungsdaten
BillyBuchhaltungEU (Dänemark)Nur EUFinanz- und Rechnungsdaten
Simply.comDomain-Registrar (primäre Domains)EU (Dänemark)Nur EUDomainregistrierungsdaten
CloudflareDomain-Registrar (Marken-TLDs)USAFISA Section 702 / Cloud ActDomainregistrierungsdaten

Wir informieren mindestens 30 Tage im Voraus über Änderungen an unseren Unterauftragsverarbeitern, wie in unserem Auftragsverarbeitungsvertrag beschrieben.

Unser Ansatz zur Datensouveränität

US-basierte Anbieter unterliegen FISA Section 702 und dem Cloud Act, die die Herausgabe von Daten erzwingen können, unabhängig davon, wo sie gespeichert sind. Der Serverstandort allein schützt Daten nicht vor diesen Gesetzen. FISA Cloud Act

Wir arbeiten aktiv daran, unsere Abhängigkeit von Diensten unter US-Jurisdiktion zu minimieren. Unsere Kerninfrastruktur (Hosting, Datenbanken, CDN, DNS, E-Mail und Zahlungen) wird ausschließlich von EU-basierten Anbietern außerhalb der Reichweite von FISA und Cloud Act betrieben. Die einzigen US-Dienste, die wir nutzen (GitHub, Cloudflare), verarbeiten Quellcode und Domainregistrierungen, keine personenbezogenen Kundendaten.

Unser langfristiges Ziel ist es, alle Abhängigkeiten von Anbietern zu eliminieren, die extraterritorialen US-Überwachungsgesetzen unterliegen.

Rechtliche Dokumente & Richtlinien

Sicherheitsproblem melden

Wir nehmen Sicherheit ernst und schätzen verantwortungsvolle Offenlegung. Wenn Sie eine Schwachstelle entdecken, kontaktieren Sie uns bitte direkt.

[email protected]

Glossar

DSGVO
Datenschutz-Grundverordnung: das umfassende Datenschutzgesetz der EU, das regelt, wie personenbezogene Daten von EU-Bürgern erhoben, verarbeitet und gespeichert werden.
EPrivacy-Richtlinie
EU-Richtlinie 2002/58/EG zur Regulierung des Datenschutzes in der elektronischen Kommunikation, einschließlich Cookies, Tracking und Vertraulichkeit der Kommunikation.
CCPA
California Consumer Privacy Act: ein US-Bundesstaatsgesetz, das Einwohnern Kaliforniens Rechte über ihre personenbezogenen Daten gewährt, einschließlich des Rechts auf Auskunft, Löschung und Widerspruch gegen den Verkauf.
FISA Section 702
Foreign Intelligence Surveillance Act, Section 702: ermächtigt US-Geheimdienste, Kommunikation von Nicht-US-Personen außerhalb der USA zu sammeln, einschließlich Daten bei US-Cloud-Anbietern, ohne richterlichen Beschluss.
Cloud Act
Clarifying Lawful Overseas Use of Data Act (2018): ein US-Bundesgesetz, das US-Strafverfolgungsbehörden ermöglicht, US-Technologieunternehmen zur Herausgabe von Daten zu zwingen, unabhängig davon, ob die Daten in den USA oder im Ausland gespeichert sind.
DSG (Schweiz)
Bundesgesetz über den Datenschutz: Schweizer nationales Datenschutzgesetz mit einem von der EU als angemessen anerkannten Schutzniveau. Schweizer Anbieter unterliegen weder FISA noch dem Cloud Act.
AVV
Auftragsverarbeitungsvertrag: ein rechtsverbindlicher Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der festlegt, wie personenbezogene Daten verarbeitet werden, gemäß DSGVO erforderlich.
SOC 2
Service Organization Control 2: ein Prüfungsstandard, der die Kontrollen einer Organisation in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz bewertet.
ISO 27001
Ein internationaler Standard für Informationssicherheits-Managementsysteme (ISMS), der einen systematischen Ansatz für den Umgang mit sensiblen Unternehmensinformationen bietet.
TLS 1.3
Transport Layer Security Version 1.3: das neueste kryptografische Protokoll, das Daten bei der Übertragung zwischen dem Browser eines Nutzers und einem Server verschlüsselt.
AES-256
Advanced Encryption Standard mit 256-Bit-Schlüsseln: ein weit verbreiteter symmetrischer Verschlüsselungsalgorithmus zum Schutz ruhender Daten.
Merchant of Record (MoR)
Ein Drittanbieter, der Zahlungsabwicklung, Steuerkonformität und Rechnungsstellung im Auftrag eines Verkäufers übernimmt und als rechtlicher Verkäufer für Transaktionen fungiert.

Fragen zur Sicherheit?

Unser Team steht bereit, um Ihre Sicherheits- und Compliance-Anforderungen zu besprechen.