Trust & Sicherheit
Wir bauen Custom-CRMs, AI-Agents und Marketing-Automations für Unternehmen, die in Deutschland (oder zumindest in der EU) Daten verarbeiten. Das heißt: EU-Hosting ab Tag 1, AVV vor Vertragsstart, Lösch-Konzepte schon im Architektur-Draft. Keine nachträglichen Compliance-Layer, die man drüberbügelt.
Position
Keine "Wir nehmen Sicherheit sehr ernst"-Floskeln — sondern konkrete Default-Entscheidungen, die wir bei jedem Projekt vor dem ersten Commit treffen.
Germany West Central.
US-Hosting nur, wenn der Kunde es explizit verlangt.Sub-Prozessoren
Vollständige Liste der Tools, die wir typischerweise einsetzen — mit Serverstandort, Zweck und DSGVO-Status. Bei Projektstart bekommst du eine projektspezifische Version dieser Tabelle als Anhang zum AVV.
| Anbieter | Standort | Zweck | DSGVO-Status |
|---|---|---|---|
| Anthropic (Claude) | US / EU (Bedrock EU) | LLM-Inferenz für AI-Agents | TADPF + DPA |
| OpenAI | US (oder Azure-OpenAI EU) | GPT-4/o, Whisper, Embeddings | TADPF · EU via Azure-OpenAI |
| Supabase | EU-Frankfurt (eu-central-1) | PostgreSQL, Auth, Storage | EU-AVV |
| Hetzner | Falkenstein / Nürnberg (DE) | Self-hosted n8n, Datenbanken, Worker | DE-AVV |
| Microsoft Azure | Germany West Central / EU-Region wählbar | Container Apps, Key Vault, SignalR | EU-AVV · DPA-DACH |
| Cloudflare | US-HQ · EU-Edge-Nodes | CDN, DNS, WAF, Pages-Hosting | EU-AVV via TADPF |
| n8n | Self-hosted (Hetzner DE) oder n8n.cloud EU | Workflow-Orchestrierung | EU-AVV / Self-hosted |
| Make (Integromat) | EU-Region wählbar | No-Code-Workflows für Side-Integrations | EU-AVV |
| Apify | EU (Prag, CZ) | Web-Scraping, Crawler-Infrastruktur | EU-AVV |
| Vercel | US · EU-Edge (Frankfurt) | Frontend-Hosting (Next.js) | TADPF · DPA |
| Meta (WhatsApp Business API, Marketing-API) | US · Meta-EU-Cloud (IE) optional | WhatsApp-CRM, Ads-Reporting | EU-AVV via TADPF + Meta-EU-Cloud |
| Resend / Postmark | EU-Region (Resend EU, Postmark EU) | Transaktionale Mails | EU-AVV |
TADPF = EU-US Data Privacy Framework · AVV = Auftragsverarbeitungsvertrag (Art. 28 DSGVO) · DPA = Data Processing Addendum
Architektur-Standards
Die meisten "Hacks", die wir bei Audits anderer Setups finden, sind keine exotischen Angriffe — sondern hardcoded Keys, fehlende Audit-Logs und Backup-Strategien, die niemand je getestet hat. Hier ist unser Default-Stack.
API-Keys, DB-Passwörter und Webhook-Signing-Secrets landen ausschließlich
in Azure Key Vault, AWS Secrets Manager oder
n8n Credentials Store (verschlüsselt at-rest). Im Code
stehen Platzhalter, gerendert wird zur Laufzeit.
Wo möglich: Stateless-Auth mit kurzlebigen JWT-Tokens
(15 Min Access, 7 Tage Refresh) plus PKCE-OAuth2-Flow. Cookie-Auth nur
dort, wo Legacy-Integrationen es zwingend brauchen — und dann mit
HttpOnly + SameSite=Strict.
Jeder Daten-Zugriff (Read/Write/Delete) wird in eine separate
audit_log-Tabelle geschrieben — User-ID, IP, Zeitstempel,
Resource. Logs sind append-only, 90 Tage online, 2 Jahre im Cold-Storage.
PostgreSQL: tägliche pg_dump ins encrypted S3-EU-Bucket
(7-Tage-Retention) plus wöchentlicher Full-Snapshot
(30 Tage). Restore-Drill einmal pro Projekt-Quartal — dokumentiert mit
RTO/RPO-Messung.
Jedes Projekt hat ein RUNBOOK.md im Repo mit konkreten
Recovery-Steps: Was tun, wenn die DB weg ist, wenn der Worker hängt,
wenn ein API-Provider down ist. Kein "schreib Tim eine Mail" als
Single-Point-of-Failure.
Cloudflare-Edge erzwingt TLS 1.3 mit
HSTS max-age=31536000; includeSubDomains; preload.
Interne Service-zu-Service-Calls über Azure Private Endpoints, nie über
Public Internet.
AVV-Template
Unser Standard-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO inklusive TOM-Anhang und Sub-Prozessoren-Liste. Du kannst die Vorlage vorab durch deinen Datenschutzbeauftragten prüfen lassen — die unterzeichnete Version gibt's vor Projektstart.
Persönlich unterzeichnet auf Anfrage · [email protected]
DSGVO-FAQ
EU-US Data Privacy Framework (TADPF) zertifiziert, und mit beiden
haben wir AVVs / DPAs unterzeichnet. Für Anthropic Claude steht zusätzlich
die EU-Region via AWS Bedrock eu-central-1 zur Verfügung,
für OpenAI nutzen wir bei sensiblen Daten Azure OpenAI (EU).
Im Zweifel = EU-Variante per Default.
no-train-Default auf der API seit 2023). Bei jedem
Projekt verifizieren wir nochmal explizit auf Account-Ebene, dass kein
Data-Sharing für Modell-Verbesserung aktiv ist.
POST /api/users/{id}/erase-Endpoint mit Audit-Trail.
Anthropic Claude ist über AWS Bedrock in eu-central-1
(Frankfurt) verfügbar. OpenAI-Modelle (GPT-4o, Whisper, Embeddings)
gibt es über Azure OpenAI in der Region Sweden Central oder
Germany West Central. Bei Voice-AI: ElevenLabs hat
ebenfalls EU-Endpoints. Für jedes Projekt mit DSFA-Pflicht ist das Default.
OWASP ZAP.
Sicherheits-Briefing
30 Min Call, in dem wir Sub-Prozessoren, Datenflüsse und TOMs für deinen konkreten Use-Case durchgehen — gerne mit deinem DSB im Call. Danach weiß deine Rechts-Seite, ob's grünes Licht gibt.