Sicherheit & Datenschutz bei SBS Deutschland — Ihre Daten bleiben in Deutschland. DSGVO-konform by Design. Gebaut für die Sicherheitsanforderungen des deutschen Mittelstands.
Stand: 12. Februar 2026
Alle Daten werden ausschließlich in deutschen Rechenzentren (Frankfurt am Main) gespeichert und verarbeitet. Keine Datenübertragung in Drittländer.
AES-256 für Daten at rest. TLS 1.3 für alle Datenübertragungen. Keine unverschlüsselten Verbindungen möglich. HTTPS erzwungen auf allen Domains.
Granulare Berechtigungen für jeden Benutzer. Trennung zwischen Admin, User und Read-Only Rollen. Abteilungsspezifische Zugriffsrechte.
Vollständige Protokollierung aller Benutzeraktionen. Export-Funktion für Compliance-Audits. 12 Monate Aufbewahrung standardmäßig, erweiterbar auf Anfrage.
Google OAuth 2.0 verfügbar. Microsoft Entra ID (Azure AD) in Entwicklung für Q2 2026. SAML 2.0 für Enterprise-Kunden auf Anfrage.
Kundendaten werden nicht zum Training von KI-Modellen verwendet. Verarbeitung erfolgt mit Zero Data Retention Policy bei allen AI-Providern. Art. 50 EU AI Act konform.
UFW Firewall mit Whitelist-Prinzip. Fail2Ban gegen Brute-Force-Angriffe. Nginx Rate Limiting. DDoS-Schutz auf Infrastrukturebene. SSH nur per Key-Authentifizierung.
Automatisierte tägliche Backups aller Datenbanken und Konfigurationen. Georedundante Speicherung. Recovery-Tests dokumentiert. RPO < 24h, RTO < 4h.
Strikte Mandantentrennung auf Datenbankebene. Jeder API-Aufruf wird gegen User-Ownership validiert. Kein Zugriff auf fremde Daten möglich — auch nicht durch Administratoren.
| Standard | Status | Details |
|---|---|---|
| DSGVO | Konform | Vollständig konform mit der EU-Datenschutz-Grundverordnung. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO verfügbar. Datenschutzbeauftragter benannt. |
| GoBD | Konform | Konform mit den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen. Revisionssichere Archivierung. |
| EU AI Act | Konform | Transparenzhinweise gemäß Art. 50 Verordnung (EU) 2024/1689. KI-generierte Inhalte als solche gekennzeichnet. Dokumentierte Risikoklassifizierung. |
| DDG | Konform | Anbieterkennzeichnung gemäß § 5 Digitale-Dienste-Gesetz (seit 14.05.2024). Ersetzt § 5 TMG. |
| BDSG / TDDDG | Konform | Bundesdatenschutzgesetz und Telekommunikation-Digitale-Dienste-Datenschutzgesetz. Cookie-Consent und Einwilligungsmanagement implementiert. |
| ISO 27001 | In Vorbereitung | Implementierung eines ISMS (Informationssicherheits-Managementsystem). Zertifizierung geplant für 2027. Grundlegende Kontrollen bereits implementiert. |
| SOC 2 Type II | Geplant Q3 2026 | Basierend auf bereits implementierten Kontrollen. Unabhängige Prüfung durch akkreditierten Auditor. Trust Services Criteria: Sicherheit, Verfügbarkeit, Vertraulichkeit. |
Jedes Dokument durchläuft einen definierten, verschlüsselten Verarbeitungspfad. Zu keinem Zeitpunkt verlassen Ihre Daten deutsche Rechenzentren.
Dokumente werden über HTTPS mit TLS 1.3 verschlüsselt hochgeladen. Maximale Dateigröße: 20 MB.
Verarbeitung in isolierter Umgebung. Zero Data Retention bei AI-Providern. Keine Datenweitergabe an Dritte.
AES-256 verschlüsselt im deutschen Rechenzentrum Frankfurt. Mandantenisoliert. Zugriff nur per RBAC.
DATEV / SAP-Export über sichere API. Verschlüsselte E-Mail-Zustellung. Automatische Löschung nach Ablauf.
Schematische Darstellung der technischen Infrastruktur aller SBS-Dienste:
Gemäß Art. 32 DSGVO haben wir folgende technische und organisatorische Maßnahmen implementiert:
Serverstandort in einem professionellen Rechenzentrum in Frankfurt am Main mit 24/7-Sicherheitspersonal, biometrischer Zugangskontrolle und Videoüberwachung. Zugang nur für autorisiertes Personal des Rechenzentrumsbetreibers.
SSH-Zugang ausschließlich per Key-Authentifizierung (keine Passwörter). Fail2Ban mit automatischer IP-Sperrung nach fehlgeschlagenen Anmeldeversuchen. Kein Root-Login per SSH. Alle administrativen Zugriffe werden protokolliert.
Rollenbasiertes Berechtigungssystem (RBAC) mit den Rollen Admin, User und Read-Only. Mandantentrennung auf Datenbankebene. Jeder API-Request wird gegen User-Ownership validiert. Prinzip der minimalen Berechtigung (Least Privilege).
Alle Datenübertragungen erfolgen über TLS 1.3. API-Keys werden als Umgebungsvariablen gespeichert, niemals im Code. Export-Funktionen (DATEV, CSV, PDF) nur für authentifizierte und autorisierte Benutzer. E-Mail-Versand über verschlüsselte SMTP-Verbindungen.
Vollständiges Audit-Log mit Benutzer-ID, Zeitstempel, Aktion und betroffener Ressource. Alle Datenänderungen sind nachvollziehbar und revisionssicher dokumentiert. Logs werden 12 Monate aufbewahrt.
Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO verfügbar. Weisungsgebundene Datenverarbeitung. Unterauftragnehmer nur mit schriftlicher Genehmigung und Prüfung der Datenschutzmaßnahmen.
Automatisierte tägliche Backups mit georedundanter Speicherung. Systemd-basiertes Service-Management mit automatischem Restart. Monitoring und Alerting über mehrere Kanäle (Slack, E-Mail). Recovery Point Objective (RPO) < 24 Stunden, Recovery Time Objective (RTO) < 4 Stunden.
Strikte logische Trennung der Mandantendaten auf Datenbankebene. Separate Anwendungsinstanzen für verschiedene SaaS-Produkte (Rechnungsverarbeitung, Vertragsanalyse, HydraulikDoc AI). Keine Vermischung von Produktions- und Testdaten.
Im Falle eines Sicherheitsvorfalls folgen wir einem definierten Prozess gemäß Art. 33/34 DSGVO:
1. Erkennung & Bewertung — Automatisiertes Monitoring erkennt Anomalien. Manuelle Bewertung durch das Sicherheitsteam innerhalb von 2 Stunden.
2. Eindämmung — Sofortige Isolierung betroffener Systeme. Beweissicherung für forensische Analyse.
3. Meldung — Benachrichtigung der Aufsichtsbehörde (LfDI Baden-Württemberg) innerhalb von 72 Stunden. Information betroffener Kunden unverzüglich.
4. Behebung & Dokumentation — Root-Cause-Analyse. Implementierung von Gegenmaßnahmen. Vollständige Dokumentation und Lessons Learned.
Sicherheitslücken melden: Wenn Sie eine Sicherheitslücke in unseren Systemen entdecken, kontaktieren Sie uns bitte umgehend unter security@sbsdeutschland.com. Wir behandeln Ihre Meldung vertraulich und bestätigen den Eingang innerhalb von 24 Stunden.
| Dienst | Anbieter | Zweck | Standort |
|---|---|---|---|
| Hosting | DigitalOcean / Hetzner | Serverinfrastruktur | 🇩🇪 Frankfurt |
| KI-Verarbeitung | OpenAI (ZDR) | Dokumentenanalyse GPT-4o | 🇪🇺 EU (ZDR-Vertrag) |
| KI-Verarbeitung | Google AI (ZDR) | Multimodale Analyse Gemini | 🇪🇺 EU (ZDR-Vertrag) |
| Authentifizierung | Google OAuth | Single Sign-On | 🇪🇺 EU |
| Zahlungsabwicklung | Stripe | Abonnementverwaltung | 🇪🇺 EU (Irland) |
| E-Mail-Zustellung | Resend | Transaktionale E-Mails | 🇪🇺 EU (AVV vorhanden) |
| Benachrichtigungen | Slack | Interne Alerts & Monitoring | 🇺🇸 USA (SCC) |
ZDR = Zero Data Retention. SCC = EU-Standardvertragsklauseln. AVV = Auftragsverarbeitungsvertrag.
| Meilenstein | Zeitrahmen | Status |
|---|---|---|
| DSGVO Full Compliance + AVV | Abgeschlossen | Erledigt |
| EU AI Act Transparenz (Art. 50) | Abgeschlossen | Erledigt |
| GoBD-konforme Archivierung | Abgeschlossen | Erledigt |
| Microsoft Entra ID (SSO) | Q2 2026 | In Entwicklung |
| SOC 2 Type II Audit | Q3 2026 | Geplant |
| Penetrationstest (extern) | Q4 2026 | Geplant |
| ISO 27001 Zertifizierung | 2027 | Geplant |
Für einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO kontaktieren Sie uns bitte unter datenschutz@sbsdeutschland.com.
Unser Team steht Ihnen für Security-Reviews, Due-Diligence-Anfragen und individuelle Compliance-Anforderungen zur Verfügung.
Sicherheitsteam kontaktieren →
Hinweis: Dieses Trust Center gilt für alle Dienste der SBS Deutschland GmbH & Co. KG: sbsdeutschland.com, app.sbsdeutschland.com, contract.sbsdeutschland.com, sbsnexus.de.
Verantwortlich: Luis Schenk, Geschäftsführer · security@sbsdeutschland.com
Version: 1.0 (12. Februar 2026)