Wie wir mit Daten umgehen, wo wir hosten und warum Sicherheit kein Feature ist, sondern Grundlage.
Unser Grundsatz
Wir entwickeln operative Systeme, die im Kern eines Unternehmens laufen. Kundendaten, Mitarbeiterdaten, Auftragsdaten, Finanzdaten – sensiblere Informationen gibt es kaum. Deshalb ist Datenschutz und Sicherheit für uns keine Checkliste, die wir am Ende abhaken. Es ist ein Architekturprinzip, das von Anfang an in jedes System eingebaut wird.
DSGVO-Konformität
Alle Systeme, die wir entwickeln, sind DSGVO-konform. Das bedeutet konkret:
| 📋 | Verarbeitung personenbezogener Daten nur mit klarer Rechtsgrundlage |
| 🔍 | Transparenz darüber, welche Daten wo und warum gespeichert werden |
| 🗑️ | Löschkonzepte und Aufbewahrungsfristen sind Teil der Architektur |
| 📄 | Auftragsverarbeitungsverträge (AVV) mit allen relevanten Parteien |
| 🛡️ | Privacy by Design – Datenschutz wird in die Systemarchitektur eingebaut, nicht nachgerüstet |
DSGVO ist für uns kein Zusatzaufwand. Es ist die Baseline, auf der wir entwickeln.
Hosting in Deutschland
Die Systeme unserer Kunden werden bei deutschen Cloud-Anbietern gehostet. Keine Datenverarbeitung in unsicheren Drittstaaten. Keine Abhängigkeit von US-Anbietern, bei denen europäische Datenschutzstandards nicht garantiert werden können. Das bedeutet:
- Serverstandort Deutschland
- Daten unterliegen deutschem und europäischem Recht
- Keine Übertragung an Dritte ohne vertragliche Grundlage
- Volle Kontrolle über den Speicherort und die Datenhoheit Wenn ein Projekt spezifische Hosting-Anforderungen hat – etwa eigene Server oder bestimmte Anbieter – setzen wir das um. Die Architektur ist flexibel genug dafür.
Technische Sicherheit
Sicherheit ist kein einzelnes Feature. Sie durchzieht die gesamte Architektur:
Verschlüsselung
Daten werden sowohl bei der Übertragung (TLS/SSL) als auch bei der Speicherung (Encryption at Rest) verschlüsselt. Sensible Felder können zusätzlich auf Anwendungsebene verschlüsselt werden – abhängig von den Anforderungen.
Rollenbasierte Zugriffsrechte
Nicht jeder sieht alles. Unsere Systeme arbeiten mit granularen Berechtigungskonzepten: Wer darf welche Daten sehen, bearbeiten oder löschen? Diese Rechte werden auf Rollen- und Benutzerebene definiert und lassen sich jederzeit anpassen.
Backup und Disaster Recovery
Regelmäßige automatische Backups sind Standard. Die Backup-Strategie – Intervalle, Aufbewahrung, Wiederherstellungszeiten – wird projektspezifisch definiert. Ziel ist immer: Im Ernstfall geht nichts verloren, und das System ist schnell wieder verfügbar.
Monitoring und Updates
Systeme werden kontinuierlich überwacht. Sicherheitsupdates werden zeitnah eingespielt. Schwachstellen werden proaktiv identifiziert und behoben – nicht erst, wenn etwas passiert.
Umgang mit KI und Daten
KI ist ein zentraler Bestandteil unserer Systeme. Deshalb ist die Frage berechtigt: Was passiert mit den Daten, die KI verarbeitet? Unsere Antwort ist klar:
| 🚫 | Kein Training mit Kundendaten. Eure Daten werden nicht verwendet, um KI-Modelle zu trainieren. |
| 🔒 | Daten bleiben bei euch. KI-Verarbeitung findet innerhalb der definierten Infrastruktur statt. |
| 📋 | Transparenz. Welche KI-Dienste eingesetzt werden und wie Daten fließen, wird dokumentiert. |
| 🇪🇺 | EU-konforme KI-Dienste. Wo externe KI-Modelle eingebunden werden, achten wir auf DSGVO-konforme Anbieter und, wenn möglich, Datenverarbeitung innerhalb der EU. |
Wenn wir KI in ein System integrieren, wissen unsere Kunden immer: welche Daten die KI verarbeitet, wo das passiert und was mit den Ergebnissen geschieht. Keine Blackbox.
Datenhoheit bleibt bei dir
Ein Grundsatz, der über Datenschutz hinausgeht: Die Daten gehören dir. Das System gehört dir. Wir entwickeln keine Abhängigkeiten. Wir setzen auf offene Technologien, dokumentierte Schnittstellen und eine Architektur, die es dir erlaubt, das System jederzeit selbst zu betreiben oder mit einem anderen Partner weiterzuführen. Das gilt für den Code. Das gilt für die Daten. Und das gilt für die gesamte Infrastruktur.