Trust Center

Transparenz ist kein Feature — sie ist Pflicht. Live-Status unserer Sicherheitsmaßnahmen.

Sicherheitskontrollen

Alle Kundendaten werden ausschließlich in der EU (Deutschland/Frankfurt) verarbeitet und gespeichert. Exporte nur mit expliziter Kundenfreigabe.

Provider: AWS eu-central-1 (Supabase)

Backup: AES-256 verschlüsselt

Transfer: Keiner (ohne Freigabe)

Strikte "No training on your data" Policy via Enterprise-Vereinbarung mit LLM-Anbietern. Opt-in nur auf ausdrücklichen Kundenwunsch.

Model: Claude 3.5 Sonnet

Retention: Zero (Stateless Processing)

Training Opt-out: Default

Branchenstandard-Verschlüsselung für Daten im Ruhezustand und bei der Übertragung.

At Rest: AES-256 (GCM)

In Transit: TLS 1.3

Key Mgmt: AWS KMS

Striktes RBAC und MFA-Pflicht für alle administrativen Zugänge. Break-Glass-Verfahren für Produktionszugriff.

MFA: Erzwungen (YubiKey/TOTP)

Review: Quartalsweise

Prinzip: Least Privilege

Strikte Datentrennung via Row Level Security (RLS). Jeder Kunde hat eine eigene tenant_id.

Model: tenant_id Scoping

Enforcement: PostgreSQL RLS

Audit: Jeder Query geloggt

Definierter Incident Response Plan mit garantierten Meldefristen.

Monitoring: Sentry + App Logs

Meldung: ≤24h nach Bekanntwerden

Post-Mortem: innerhalb 72h

Name	Zweck	Standort	Rechtsgrundlage
Supabase	Datenbank & Storage	DE (Frankfurt)	AVV + SCCs
Vercel	Frontend Hosting	CDN (Core EU)	AVV + SCCs
Anthropic	LLM Inference	USA (Zero Retention)	AVV + Enterprise Addendum
Stripe	Zahlungsabwicklung	IE (Irland)	Eigener Controller

Dokumente werden nach Anfrage per E-Mail zugesendet. Manche Dokumente erfordern eine NDA.

Jederzeit alle Daten als JSON/Excel exportieren. Kein Daten-Gefängnis.

Auf Anfrage: unwiderrufliche Löschung innerhalb von 72 Stunden.

Automatische vollständige Löschung innerhalb von 30 Tagen.