Sicherheit & Datenschutz
Ihre Außendienstdaten gehören Ihnen. Wir schützen sie mit EU-Hosting, Verschlüsselung auf jeder Ebene und einem Datenschutzkonzept, das über die gesetzlichen Anforderungen hinausgeht.
EU-Hosting (Frankfurt)
Alle Daten werden ausschließlich in der EU gespeichert und verarbeitet. Datenbank, Dateispeicher und Hosting laufen in AWS eu-central-1 (Frankfurt). Kein Transfer personenbezogener Daten in Drittländer.
Verschlüsselung
TLS/HTTPS für alle Datenübertragungen. Verschlüsselung at rest auf Datenbankebene (AES-256). Passwörter werden mit bcrypt (Cost Factor 10) gehasht — niemals im Klartext gespeichert.
Row Level Security
Jede Datenbankabfrage wird durch Row Level Security (RLS) auf Ihre Organisation beschränkt. Mandantentrennung auf Datenbankebene — nicht nur in der Anwendungslogik.
Rollenbasierte Zugriffskontrolle
Manager sehen Teamdaten, Außendienstler nur eigene. Kein Nutzer kann auf Daten anderer Organisationen zugreifen. Einladung neuer Nutzer nur durch Manager.
Tägliche Backups
Automatische tägliche Datenbank-Backups mit Point-in-Time Recovery. Im Ernstfall können wir Ihre Daten minutengenau wiederherstellen.
Cookieless Analytics
Wir verwenden Vercel Analytics — komplett ohne Cookies, ohne Tracking-Pixel, ohne personenbezogene Daten. Kein Cookie-Banner nötig, weil es nichts zu consent-en gibt.
Compliance & Dokumentation
Alle Dokumente, die Sie für Ihre eigene DSGVO-Compliance brauchen — fertig und einsehbar.
AV-Vertrag (AVV)
Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO — inklusive TOMs, Subprocessor-Liste und Breach-Notification-Pflicht.
AVV einsehenDSGVO-Rechte Self-Service
Ihre Mitarbeiter können ihre Daten jederzeit als ZIP exportieren (Art. 20) und ihr Konto selbstständig löschen (Art. 17) — direkt in den Einstellungen.
Datenschutzerklärung
Vollständige Transparenz über alle Datenverarbeitungen, Rechtsgrundlagen, Aufbewahrungsfristen und Sub-Processors.
Datenschutzerklärung lesenDSFA für GPS-Tracking
Für die optionale GPS-Standorterfassung stellen wir ein DSFA-Template (Art. 35 DSGVO) bereit, das Sie als Arbeitgeber direkt verwenden können.
Sub-Processors
Vollständige Transparenz über alle Dienstleister, die an der Verarbeitung Ihrer Daten beteiligt sind.
| Anbieter | Zweck | Datenstandort | Transfergrundlage |
|---|---|---|---|
| Supabase | Datenbank, Auth, Storage | EU Frankfurt | AVV, Daten in EU |
| Vercel | Hosting, CDN, Analytics | EU Frankfurt | EU-US DPF |
| Stripe | Zahlungsabwicklung | USA | EU-US DPF, PCI DSS Level 1 |
| Resend | Transaktionale E-Mails | USA | EU-US DPF |
| Sentry | Fehlerüberwachung | EU (de.sentry.io) | EU-US DPF |
| CARTO | Kartenkacheln | USA | EU-US DPF |
Zertifizierungen unserer Infrastruktur-Partner
Unsere Infrastruktur läuft auf Plattformen mit branchenführenden Sicherheitsstandards.
Automatische Datenlöschung
Fotos aus Besuchsberichten werden automatisch nach 24 Monaten gelöscht — sowohl aus der Datenbank als auch aus dem Dateispeicher. Nach Kündigung bleiben alle Daten 30 Tage zum Export verfügbar und werden anschließend unwiderruflich gelöscht. Datenminimierung ist kein Versprechen, sondern ein automatisierter Prozess.
Fragen zur Sicherheit? Wir beantworten sie gerne.