Trust Center

Transparenz ist kein Feature — sie ist Pflicht. Live-Status unserer Sicherheitsmaßnahmen.

Sicherheitskontrollen

DATA-01: Datenspeicherung & Verarbeitung

Kundendaten werden in der EU (Deutschland/Frankfurt) gespeichert. Die KI-gestützte Verarbeitung erfolgt über die Anthropic API (USA) unter einem Zero Data Retention Arrangement — Daten werden dort weder gespeichert noch für Training verwendet.

Speicherung: AWS eu-central-1 (Supabase, Frankfurt)

LLM-Verarbeitung: Anthropic API (USA, Zero Retention)

Backup: AES-256 verschlüsselt

Transfer: Datentransfer an LLM-Provider unter DPF + SCCs

AI-01: Zero Data Retention (ZDR)

Wir nutzen die Anthropic-API unter einem ZDR-Arrangement, ausschließlich über ZDR-fähige Endpoints (Messages API). Keine Nutzung von Files/Batch Features.

Model: Claude 3.5 Sonnet (Messages API)

Retention: gemäß Anthropic ZDR-Arrangement

Ausnahmen: Gesetzl. Pflichten / Usage-Policy-Durchsetzung (Flagged Content bis 2 Jahre möglich)

Training: Kein Training mit API-Inputs/Outputs (Commercial API Default)¹

¹ Gilt für Commercial API, nicht für Consumer-Produkte. Quelle: privacy.anthropic.com — ZDR Docs

ENC-01: Verschlüsselung

Branchenstandard-Verschlüsselung für Daten im Ruhezustand und bei der Übertragung.

At Rest: AES-256 (GCM)

In Transit: TLS 1.3

Key Mgmt: AWS KMS

IAM-01: Zugriffskontrolle

Striktes RBAC und MFA-Pflicht für alle administrativen Zugänge. Break-Glass-Verfahren für Produktionszugriff.

MFA: Erzwungen (YubiKey/TOTP)

Review: Quartalsweise

Prinzip: Least Privilege

ISO-01: Mandantentrennung

Strikte Datentrennung via Row Level Security (RLS). Jeder Kunde hat eine eigene tenant_id.

Model: tenant_id Scoping

Enforcement: PostgreSQL RLS

Audit: Jeder Query geloggt

IR-01: Incident Response

Definierter Incident Response Plan mit garantierten Meldefristen.

Monitoring: Sentry + App Logs

Meldung: ≤24h nach Bekanntwerden

Post-Mortem: innerhalb 72h

Unterauftragsverarbeiter

Name	Zweck	Standort	Rechtsgrundlage
Supabase	Datenbank & Storage	DE (Frankfurt)	AVV + SCCs
Vercel	Frontend Hosting	CDN (Core EU)	AVV + SCCs
Anthropic	LLM Inference	USA (Zero Retention)	AVV + Enterprise Addendum
Stripe	Zahlungsabwicklung	IE (Irland)	Eigener Controller

Compliance Downloads

PDFDSGVO-Konformitätsnachweis PDFSecurity Overview PDFTOMs (Art. 32 DSGVO)DIGITALAVV / DPA — Jetzt digital akzeptieren

Dokumente werden nach Anfrage per E-Mail zugesendet. Manche Dokumente erfordern eine NDA.

Ihre Rechte

Export

Jederzeit alle Daten als JSON/Excel exportieren. Kein Daten-Gefängnis.

Löschung

Auf Anfrage: unwiderrufliche Löschung innerhalb von 72 Stunden.

nach Vertragsende

Automatische vollständige Löschung innerhalb von 30 Tagen.

Sie arbeiten regelmäßig mit Vendor Questionnaires?

Erfahren Sie mehr über FormConcierge →

Noch 25 Early-Access-Plätze verfügbar.