Wir wissen, dass du uns deine Betriebsdaten anvertraust. Deshalb nehmen wir Sicherheit und Datenschutz sehr ernst — und machen transparent, wie wir deine Daten schützen.
Server in Frankfurt. Kein Transfer in die USA oder anderswo.
Datenbank bei Supabase (AWS eu-central-1, Frankfurt). Web-Hosting bei Vercel mit EU-Edge-Nodes. Alle Sub-Auftragsverarbeiter in unserem AVV dokumentiert.
Deine Daten sind verschlüsselt — unterwegs und gespeichert.
Transport: TLS 1.2/1.3 (HTTPS). Speicherung: AES-256 Verschlüsselung. Passwörter: bcrypt-Hashing (irreversibel). Niemand — auch wir nicht — kann dein Passwort auslesen.
Strikte Trennung: Kein anderer Betrieb kann deine Einsätze, Fotos oder Mitarbeiter sehen.
Row-Level-Security (RLS) auf Datenbankebene. Jede Abfrage wird automatisch auf deine Organisation gefiltert — das passiert in der Datenbank selbst, nicht im Code. Selbst bei einem Software-Fehler sind deine Daten isoliert.
Wir tracken dich nicht. Kein Google Analytics, keine Werbe-Cookies.
Nur technisch notwendige Cookies (Login-Session). Kein Google, kein Facebook-Pixel, keine Drittanbieter-Analytics. GPS-Daten werden ausschließlich für die Einsatz-Dokumentation gespeichert — nie für Bewegungsprofile.
Mehrere Schutzebenen gegen unbefugten Zugriff. Automatische Abmeldung bei Inaktivität.
Client-seitige Sperre nach 5 Fehlversuchen (15 Minuten Wartezeit). Zusätzlich serverseitiges Rate-Limiting pro Instanz. Automatische Session-Abmeldung nach 35 Minuten Inaktivität mit Vorwarnung.
Wer hat was geändert? Jede Admin-Aktion wird aufgezeichnet.
Audit-Log für alle Verwaltungsaktionen: Team-Mitglieder anlegen/ändern, Module aktivieren, Daten exportieren. Nur Admins können das Protokoll einsehen — RLS-geschützt.
Bevor eine Änderung live geht, wird sie automatisch auf Fehler geprüft.
Umfangreiche Unit-Tests prüfen einzelne Funktionen. End-to-End-Tests simulieren echte Benutzer-Abläufe (Login, Einsatz erstellen, Admin-Bereich). Sicherheitstests für Open-Redirect, Path-Traversal und Injection-Angriffe.
Einsatz-Fotos sind geschützt. Nur dein Betrieb hat Zugriff.
Upload nur für JPEG, PNG, WebP (max. 5 MB). Dateipfade sind an die Organisation gebunden — fremde Betriebe können deine Fotos nicht abrufen. Pfad-Validierung verhindert Directory-Traversal-Angriffe.
Datenschutzerklärung, AGB, und Auftragsverarbeitungsvertrag — alles öffentlich einsehbar.
Vollständiger AVV gemäß Art. 28 DSGVO. Technische und organisatorische Maßnahmen (TOMs) dokumentiert. 72-Stunden-Meldefrist bei Datenpannen. Datenexport auf Anfrage innerhalb von 5 Werktagen.
Fragen zur Sicherheit? Schreib uns an info@hausmeista.app
Stand: März 2026