Sicherheit & Datenschutz bei SBS Deutschland — mit Fokus auf transparente Maßnahmen, Rollen-/Rechtekonzept und nachvollziehbare Prozesse für den deutschen Mittelstand.
Stand: 12. Februar 2026
Wichtiger Hinweis: Diese Seite beschreibt den technischen Umsetzungsstand. Rechtliche Bewertung, vertragliche Reichweite und steuerliche Einordnung sind je Einsatzfall zu prüfen (juristisch prüfen, DSB prüfen, steuerlich validieren).
Alle Daten werden ausschließlich in deutschen Rechenzentren (Frankfurt am Main) gespeichert und verarbeitet. Keine Datenübertragung in Drittländer.
AES-256 für Daten at rest. TLS 1.3 für alle Datenübertragungen. Keine unverschlüsselten Verbindungen möglich. HTTPS erzwungen auf allen Domains.
Granulare Berechtigungen für jeden Benutzer. Trennung zwischen Admin, User und Read-Only Rollen. Abteilungsspezifische Zugriffsrechte.
Vollständige Protokollierung aller Benutzeraktionen. Export-Funktion für Compliance-Audits. 12 Monate Aufbewahrung standardmäßig, erweiterbar auf Anfrage.
Google OAuth 2.0 verfügbar. Microsoft Entra ID (Azure AD) in Entwicklung für Q2 2026. SAML 2.0 für Enterprise-Kunden auf Anfrage.
Kundendaten werden nicht zum Training eigener KI-Modelle verwendet. Für KI-Funktionen gelten providerabhängige Verarbeitungs- und Aufbewahrungsregeln, die vertraglich dokumentiert werden.
UFW Firewall mit Whitelist-Prinzip. Fail2Ban gegen Brute-Force-Angriffe. Nginx Rate Limiting. DDoS-Schutz auf Infrastrukturebene. SSH nur per Key-Authentifizierung.
Regelmäßige Backups und Wiederherstellungsprozesse sind eingerichtet. Verbindliche RPO/RTO-Zusagen erfolgen ausschließlich vertraglich.
Mandanten- und Benutzertrennung wird technisch umgesetzt (u. a. user_id-basierte Datenzugriffe). Administrativer Zugriff ist rollengebunden und nachvollziehbar protokolliert.
| Standard | Status | Details |
|---|---|---|
| DSGVO | In Umsetzung | Datenschutzprozesse und AVV-Struktur sind vorhanden; finale rechtliche Bewertung erfolgt je Vertrag und Einsatzkontext. |
| GoBD | Orientiert | GoBD-orientierte Prüfspur mit Audit-Log und versionierbaren Prozessschritten; steuerliche Gesamtbewertung erfolgt durch Steuerberatung. |
| EU AI Act | Transparenzfokus | KI-Hinweise und Human-in-the-loop sind produktseitig vorgesehen. Vollständige regulatorische Einordnung ist fallabhängig zu prüfen. |
| DDG | Konform | Anbieterkennzeichnung gemäß § 5 Digitale-Dienste-Gesetz (seit 14.05.2024). Ersetzt § 5 TMG. |
| BDSG / TDDDG | Konform | Bundesdatenschutzgesetz und Telekommunikation-Digitale-Dienste-Datenschutzgesetz. Cookie-Consent und Einwilligungsmanagement implementiert. |
| ISO 27001 | In Vorbereitung | Implementierung eines ISMS (Informationssicherheits-Managementsystem). Zertifizierung geplant für 2027. Grundlegende Kontrollen bereits implementiert. |
| SOC 2 Type II | Geplant Q3 2026 | Basierend auf bereits implementierten Kontrollen. Unabhängige Prüfung durch akkreditierten Auditor. Trust Services Criteria: Sicherheit, Verfügbarkeit, Vertraulichkeit. |
Jedes Dokument durchläuft einen definierten, verschlüsselten Verarbeitungspfad. Zu keinem Zeitpunkt verlassen Ihre Daten deutsche Rechenzentren.
Dokumente werden über HTTPS mit TLS 1.3 verschlüsselt hochgeladen. Maximale Dateigröße: 20 MB.
Verarbeitung in isolierter Umgebung. Zero Data Retention bei AI-Providern. Keine Datenweitergabe an Dritte.
AES-256 verschlüsselt im deutschen Rechenzentrum Frankfurt. Mandantenisoliert. Zugriff nur per RBAC.
DATEV / SAP-Export über sichere API. Verschlüsselte E-Mail-Zustellung. Automatische Löschung nach Ablauf.
Schematische Darstellung der technischen Infrastruktur aller SBS-Dienste:
Gemäß Art. 32 DSGVO haben wir folgende technische und organisatorische Maßnahmen implementiert:
Serverstandort in einem professionellen Rechenzentrum in Frankfurt am Main mit 24/7-Sicherheitspersonal, biometrischer Zugangskontrolle und Videoüberwachung. Zugang nur für autorisiertes Personal des Rechenzentrumsbetreibers.
SSH-Zugang ausschließlich per Key-Authentifizierung (keine Passwörter). Fail2Ban mit automatischer IP-Sperrung nach fehlgeschlagenen Anmeldeversuchen. Kein Root-Login per SSH. Alle administrativen Zugriffe werden protokolliert.
Rollenbasiertes Berechtigungssystem (RBAC) mit den Rollen Admin, User und Read-Only. Mandantentrennung auf Datenbankebene. Jeder API-Request wird gegen User-Ownership validiert. Prinzip der minimalen Berechtigung (Least Privilege).
Alle Datenübertragungen erfolgen über TLS 1.3. API-Keys werden als Umgebungsvariablen gespeichert, niemals im Code. Export-Funktionen (DATEV, CSV, PDF) nur für authentifizierte und autorisierte Benutzer. E-Mail-Versand über verschlüsselte SMTP-Verbindungen.
Vollständiges Audit-Log mit Benutzer-ID, Zeitstempel, Aktion und betroffener Ressource. Alle Datenänderungen sind nachvollziehbar und revisionssicher dokumentiert. Logs werden 12 Monate aufbewahrt.
Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO verfügbar. Weisungsgebundene Datenverarbeitung. Unterauftragnehmer nur mit schriftlicher Genehmigung und Prüfung der Datenschutzmaßnahmen.
Automatisierte tägliche Backups mit georedundanter Speicherung. Systemd-basiertes Service-Management mit automatischem Restart. Monitoring und Alerting über mehrere Kanäle (Slack, E-Mail). Recovery Point Objective (RPO) < 24 Stunden, Recovery Time Objective (RTO) < 4 Stunden.
Strikte logische Trennung der Mandantendaten auf Datenbankebene. Separate Anwendungsinstanzen für verschiedene SaaS-Produkte (Rechnungsverarbeitung, Vertragsanalyse, HydraulikDoc AI). Keine Vermischung von Produktions- und Testdaten.
Im Falle eines Sicherheitsvorfalls folgen wir einem definierten Prozess gemäß Art. 33/34 DSGVO:
1. Erkennung & Bewertung — Automatisiertes Monitoring erkennt Anomalien. Manuelle Bewertung durch das Sicherheitsteam innerhalb von 2 Stunden.
2. Eindämmung — Sofortige Isolierung betroffener Systeme. Beweissicherung für forensische Analyse.
3. Meldung — Benachrichtigung der Aufsichtsbehörde (LfDI Baden-Württemberg) innerhalb von 72 Stunden. Information betroffener Kunden unverzüglich.
4. Behebung & Dokumentation — Root-Cause-Analyse. Implementierung von Gegenmaßnahmen. Vollständige Dokumentation und Lessons Learned.
Sicherheitslücken melden: Wenn Sie eine Sicherheitslücke in unseren Systemen entdecken, kontaktieren Sie uns bitte umgehend unter security@sbsdeutschland.com. Wir behandeln Ihre Meldung vertraulich und bestätigen den Eingang innerhalb von 24 Stunden.
| Dienst | Anbieter | Zweck | Standort |
|---|---|---|---|
| Hosting | DigitalOcean / Hetzner | Serverinfrastruktur | 🇩🇪 Frankfurt |
| KI-Verarbeitung | OpenAI (ZDR) | Dokumentenanalyse GPT-4o | 🇪🇺 EU (ZDR-Vertrag) |
| KI-Verarbeitung | Google AI (ZDR) | Multimodale Analyse Gemini | 🇪🇺 EU (ZDR-Vertrag) |
| Authentifizierung | Google OAuth | Single Sign-On | 🇪🇺 EU |
| Zahlungsabwicklung | Stripe | Abonnementverwaltung | 🇪🇺 EU (Irland) |
| E-Mail-Zustellung | Resend | Transaktionale E-Mails | 🇪🇺 EU (AVV vorhanden) |
| Benachrichtigungen | Slack | Interne Alerts & Monitoring | 🇺🇸 USA (SCC) |
ZDR = Zero Data Retention. SCC = EU-Standardvertragsklauseln. AVV = Auftragsverarbeitungsvertrag.
| Meilenstein | Zeitrahmen | Status |
|---|---|---|
| DSGVO Full Compliance + AVV | Abgeschlossen | Erledigt |
| EU AI Act Transparenz (Art. 50) | Abgeschlossen | Erledigt |
| GoBD-konforme Archivierung | Abgeschlossen | Erledigt |
| Microsoft Entra ID (SSO) | Q2 2026 | In Entwicklung |
| SOC 2 Type II Audit | Q3 2026 | Geplant |
| Penetrationstest (extern) | Q4 2026 | Geplant |
| ISO 27001 Zertifizierung | 2027 | Geplant |
Für einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO kontaktieren Sie uns bitte unter datenschutz@sbsdeutschland.com.
Unser Team steht Ihnen für Security-Reviews, Due-Diligence-Anfragen und individuelle Compliance-Anforderungen zur Verfügung.
Sicherheitsteam kontaktieren →
Hinweis: Dieses Trust Center gilt für alle Dienste der SBS Deutschland GmbH & Co. KG: sbsdeutschland.com, app.sbsdeutschland.com, contract.sbsdeutschland.com, sbsnexus.de.
Verantwortlich: Luis Schenk, Geschäftsführer · security@sbsdeutschland.com
Version: 1.0 (12. Februar 2026)