Security & Datenschutz
Belege statt Buzzwords: Datenfluss, Hosting in Deutschland, klare Subprocessor, Retention und ehrlicher Pen-Test-Status. Stand Pilotphase — Details werden vor Produktivkundeneinsatz finalisiert.
Datenfluss
Browser (Formular/Demo) → VORMANN API (DE/EU) → Postgres. Optional: OpenAI nur bei gesetztem API-Key; Resend für Bestätigungs-Mails. Logs mit PII-Redaction, keine Roh-Chats in Sentry.
Hosting
- Anbieter (Ziel)
- Hetzner Cloud, Region DE (Falkenstein/Nürnberg) — Alternativen: IONOS, AWS eu-central-1 (Frankfurt)
- Zertifizierung
- ISO 27001 (Rechenzentrum); TOMs dokumentiert
- Demos lokal
- Entwicklung kann auf localhost laufen — nicht für Kundendaten in Produktion
Subprocessor
| Dienst | Zweck | Region | AVV | Optional |
|---|---|---|---|---|
| Hetzner (Ziel-Hosting) | Compute, Netzwerk, Backups | DE (Falkenstein / Nürnberg) | AVV nach Hetzner-Standardvertrag | Nein |
| Managed Postgres (z. B. Hetzner / Supabase EU) | Leads, Kundendaten | DE / EU | Mit Hosting-/DB-Anbieter | Nein |
| OpenAI | Textformulierung in Demos (Chat, Nachtrag) | USA / ggf. EU Processing | DPA + SCC — nur mit Opt-in | Ja (Opt-out möglich) |
| Anthropic | Alternative KI-API (falls konfiguriert) | USA / EU je Vertrag | DPA — nur mit Opt-in | Ja (Opt-out möglich) |
| Resend | Transaktionale E-Mails (Pilot-Bestätigung) | USA / EU je Vertrag | Resend DPA | Nein |
| Cloudflare Turnstile | Bot-Schutz Formular | Global CDN | Cloudflare DPA | Ja (Opt-out möglich) |
| Slack / Notion | Lead-Benachrichtigung, CRM-Sync (intern) | USA / EU je Workspace | Workspace-AVV | Ja (Opt-out möglich) |
AVV-Vorlage zum Unterschreiben: /legal/avv
Verschlüsselung
- In transit: TLS 1.3 (HTTPS überall)
- At rest: AES-256 (Volumes/DB beim Hosting-Anbieter)
- Secrets nur in Umgebungsvariablen — nie im Git
Retention
- Server-Logs: 30 Tage
- Lead-Daten: Vertragslaufzeit + 90 Tage Löschfrist
- Demo-Chat: Session-bezogen, keine Trainingsnutzung
Zugriffskonzept
- Least-Privilege für Produktionssysteme
- MFA für Mitarbeitende mit Admin-Zugang
- Audit-Log für API- und Datenänderungen (Roadmap)
Backup & DR
- DB-Backup: täglich, 14 Tage Aufbewahrung (Ziel)
- RPO: 24h · RTO: 8h (Pilot); Produktion: RPO 1h / RTO 4h (Ziel)
Pen-Test-Status
Externer Pen-Test: geplant Q3 2026 (nach Stabilisierung Produktiv-Stack). Bis dahin: Dependency-Scan in CI (npm audit), Security-Header, Rate-Limits, PII-Redaction-Tests.
Technische Härtung (implementiert)
- CSP, HSTS (Prod), X-Frame-Options, Referrer-Policy, Permissions-Policy
- Rate-Limit
/chatund/api/leads(IP + API-Key) - Payload-Limits: Chat 200 KB, Leads 64 KB
- DSGVO-API:
GET /api/privacy/export,DELETE /api/privacy/data(Token)