Zum Hauptinhalt springen

Sicherheit & Compliance

Ihre Mandantendaten sind das Vertrauenskapital Ihrer Kanzlei. Wir behandeln sie entsprechend.

DSGVO-konform
EU-Datenhaltung (Hetzner, Nürnberg)
TLS 1.3 Verschlüsselung

Verschlüsselung

Daten in Übertragung

TLS 1.3 für alle Verbindungen. HSTS mit 2-Jahres-Preload — Ihr Browser merkt sich die sichere Verbindung dauerhaft.

Daten im Ruhezustand

AES-256 Verschlüsselung auf Datenbankebene über Hetzner Cloud Volume Encryption.

Backups

Verschlüsselte tägliche Snapshots. Aufbewahrung 30 Tage. Regelmäßig getestete Wiederherstellung.

Zertifikate

Let's Encrypt mit automatischer Erneuerung via Certbot — keine abgelaufenen Zertifikate möglich.

Datenhaltung & Infrastruktur

  • Alle Daten auf Hetzner Online GmbH, Rechenzentrum Nürnberg (Deutschland).

  • Alle Kerndaten (Mandantendokumente, Nutzerdaten, Analyse-Ergebnisse) werden ausschließlich auf Hetzner-Servern in Nürnberg (Deutschland) gespeichert. Für Zahlungsabwicklung (Stripe) und transaktionale E-Mails (Resend) werden Daten an US-Anbieter übermittelt — abgesichert durch Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO.

  • Kein Einsatz von US-amerikanischen Cloud-Diensten für Kernfunktionen (kein AWS, GCP oder Azure).

  • KI-Analyse: Mistral AI SAS, Paris (Frankreich) — ausschließlich mit geschwärzten Daten (PII entfernt vor Übermittlung).

  • Plausible Analytics: cookielos, keine personenbezogenen Daten.

  • PostHog: selbst gehostet auf demselben Hetzner-Server — keine Daten an Dritte.

PII-Schwärzung vor KI-Analyse

Bevor Dokumente zur KI-Analyse an Mistral AI übertragen werden, werden alle identifizierenden Informationen automatisch entfernt:

  • Sozialversicherungsnummern (SVNR)
  • Steuernummern
  • Adressen und Namen
  • Kontodaten und IBANs

Original

Name: Max Mustermann

SVNR: 1234 010180

IBAN: AT61 1904 3002 3457 3201

Bescheid vom 15.03.2026

Betrag: EUR 4.820,00

Anonymisiert (an KI gesendet)

Name: [PERSON_1]

SVNR: [SVNR_REDACTED]

IBAN: [IBAN_REDACTED]

Bescheid vom 15.03.2026

Betrag: EUR 4.820,00

Die Original-Dokumente verlassen den Hetzner-Server nie. Nur der anonymisierte Text wird zur Analyse übermittelt.

Zugriffsrechte & Audit-Trail

  • Rollenbasiertes Zugriffsmodell: Admin, Partner, Supervisor, Sachbearbeiter — jede Rolle sieht nur, was sie sehen darf.

  • Audit-Trail: Jede Aktion wird protokolliert — Zeitstempel, Benutzer, IP-Adresse, Aktion.

  • Mandanten-Isolation: Vollständig isolierte Datenhaltung — kein kanzleiübergreifender Datenzugriff möglich.

  • 2-Faktor-Authentifizierung: In Planung (Q2 2026).

Datenschutz by Design

  • Minimale Datenerhebung: nur für die Funktion notwendige Daten
  • Automatische Löschung nach Kündigung + 30 Tage (DSGVO Art. 17)
  • Auftragsverarbeitungsvertrag (AVV) auf Anfrage (Art. 28 DSGVO)
  • Keine Datenweitergabe an Dritte zu Werbezwecken

Systemsicherheit

  • Systemd + nginx + gunicorn Stack mit Security-Hardening-Directives
  • NoNewPrivileges, PrivateTmp, ProtectSystem=strict
  • Firewall: nur Ports 80 und 443 offen
  • SSH: ausschließlich Public-Key-Authentifizierung, Root-Login deaktiviert
  • Automatische Sicherheitsupdates (unattended-upgrades)
  • Rate-Limiting auf allen API-Endpunkten

Meldeprozess bei Datenpannen

  • Erkennung und interne Analyse innerhalb 24 Stunden.

  • Meldung an die österreichische Datenschutzbehörde (DSB) innerhalb 72 Stunden (Art. 33 DSGVO).

  • Betroffene Nutzer werden ohne Verzug informiert (Art. 34 DSGVO).

Sicherheitsvorfälle bitte melden an: security@xn--fristenwchter-ifb.at

Sie haben Sicherheitsfragen?

Wir beantworten Ihre Anfragen zu Datensicherheit und Compliance gerne persönlich.

Kontaktieren Sie uns