Daten & Sicherheits-FAQ
Sind meine Daten sicher?
Ja! Unternehmenssicherheit auf höchstem Niveau:
Verschlüsselung:
Daten im Ruhezustand: AES-256-Verschlüsselung
Daten in Übertragung: TLS 1.3 (min. TLS 1.2)
Datenbank: Verschlüsselte MongoDB
Backups: Verschlüsselter S3-Speicher
Datei-Uploads: Verschlüsselt (ENTERPRISE)
Infrastruktur:
Hetzner-Hosting (Deutschland, EU-Region)
Selbst gehostete MongoDB (Docker-Container)
CDN: Vercel (global, EU-Edge-Knoten)
Firewall-Schutz
Regelmäßige Sicherheitsaudits
Penetrationstests (jährlich)
Zugriffssteuerung:
Starke Passwortanforderungen
Zwei-Faktor-Authentifizierung (2FA) — Backup-Codes als bcrypt-Hashes gespeichert
Einladungs-Tokens: SHA-256-gehasht vor der Speicherung
Admin-Zugriffsprotokolle: Operator-E-Mail nur als SHA-256-Hash gespeichert
Rechnungs-PII (Kontaktname, E-Mail, Telefon, USt-ID/Steuernummer) aus allgemeinen Abfragen ausgeschlossen (Datenbankebene select: false)
VIES-Validierungs-Snapshots (Firmenname, Adresse) nach 180 Tagen automatisch gelöscht (DSGVO Art. 5(1)(e))
SSO/SAML (ENTERPRISE)
IP-Allowlisting (ENTERPRISE)
Sitzungsverwaltung
Automatisches Abmelden (konfigurierbar)
Weitere Details: Sicherheitseinstellungen →
Wo werden meine Daten gespeichert?
Rechenzentren:
Primäre Region: Europa (Deutschland)
Warum Europa?
DSGVO-Konformität
EU-Datenspeicherung (Hetzner)
Geringe Latenz für europäische Benutzer
Datenschutzfreundliche Rechtsprechung
Infrastruktur:
• Hosting: Hetzner Online GmbH (Deutschland) • Datenbank: Selbst gehostete MongoDB (EU) • CDN: Vercel (global mit EU-Edge) • E-Mail: Tarhely.eu (Ungarn, EU)
Alle Infrastruktur:
In der EU (Datenspeicherung)
DSGVO-konforme DPAs unterzeichnet
Regelmäßige Sicherheitsaudits
Backups:
Tägliche automatische Backups
30-Tage-Aufbewahrung (PRO)
90-Tage-Aufbewahrung (ENTERPRISE)
Georedundante Speicherung (3 Regionen)
Im Ruhezustand verschlüsselt
Regelmäßige Wiederherstellungstests
Ist CADENSA DSGVO-konform?
Ja! Vollständig DSGVO-konform:
Deine Rechte:
Recht auf Zugang
→ Daten jederzeit exportieren
→ Einstellungen → Profil → Daten exportieren
Recht auf Berichtigung
→ Daten in der App bearbeiten
→ Profil, Zeiteinträge aktualisieren
Recht auf Löschung („Recht auf Vergessenwerden")
→ Konto dauerhaft löschen
→ Einstellungen → Profil → Konto löschen
Recht auf Datenübertragbarkeit
→ Daten im JSON-Format exportieren
→ Vollständig maschinenlesbar
Recht auf Einschränkung der Verarbeitung
→ Support kontaktieren
→ Verarbeitung vorübergehend einschränken
Unsere DSGVO-Verpflichtungen:
Datenschutz-Folgenabschätzung (DPIA) durchgeführt
Datenschutzbeauftragter ernannt
Datenschutzrichtlinie: cadensa.io/privacy
Cookie-Richtlinie: cadensa.io/cookies
Auftragsverarbeitungsvertrag (AVV) verfügbar
Alle Unterauftragsverarbeiter gelistet
Daten nie für Werbung verwendet
Daten nie an Dritte verkauft
Wie kann ich meine Daten exportieren?
Vollständiger Datenexport:
1. Einstellungen → Profil
2. Auf „Daten exportieren" klicken
3. Export-Umfang auswählen:
• Nur Zeiteinträge
• Alle Daten (vollständig)
4. Format auswählen: JSON, CSV
5. „Export starten" klicken
6. E-Mail mit Download-Link erhalten
7. Innerhalb von 24 Stunden herunterladen
Enthaltene Daten:
Vollständiger Export:
Profildaten
Arbeitsbereiche
Projekte
Aufgaben
Zeiteinträge
Berichte
Einstellungen
Rechnungshistorie
Wie lösche ich mein Konto?
Kontolöschung:
Kontolöschung ist dauerhaft! Alle Daten werden unwiderruflich gelöscht.
Vor dem Löschen:
- Daten exportieren (Einstellungen → Profil → Daten exportieren)
- Aktive Abonnements kündigen
- Teammitglieder benachrichtigen
Löschschritte:
1. Einstellungen → Profil
2. Nach unten scrollen zu „Gefahrenzone"
3. Auf „Konto löschen" klicken
4. Passwort zur Bestätigung eingeben
5. „Dauerhaft löschen" klicken
6. Bestätigungs-E-Mail erhalten
Wie melde ich eine Sicherheitslücke?
Responsible Disclosure:
Sicherheitslücke gefunden?
1. E-Mail: <a data-action="security" href="#">security@cadensa.io</a>
2. Beschreibe:
• Schwachstellentyp
• Schritte zum Reproduzieren
• Mögliche Auswirkungen
3. Wir antworten innerhalb von 48 Stunden
4. Wir beheben innerhalb von 30 Tagen
Bitte KEINE öffentliche Offenlegung vor Benachrichtigung und Behebung.
Welche Drittanbieter nutzt CADENSA?
Nur vertrauenswürdige EU-Partner:
Analyse & Feedback:
Plausible Analytics (plausible.io)
• Zweck: Datenschutzfreundliche Website-Analyse (Seitenaufrufe)
• Region: EU (Estland — Plausible OÜ)
• Rechtsgrundlage: Keine Einwilligung erforderlich — cookie-frei, keine personenbezogenen Daten
• DPA: Nicht erforderlich
Formbricks (selbst gehostet: surveys.cadensa.io)
• Zweck: NPS-Umfragen und In-App-Feedback
• Region: EU — Hetzner Deutschland (selbst gehostet, kein US-Datentransfer)
• Rechtsgrundlage: Einwilligung (optionale Analytics-Kategorie)
• Nur nach erteilter Einwilligung geladen
• DPA: Nicht erforderlich (selbst gehostet, kein Drittanbieter-Auftragsverarbeiter)
Überwachung:
Sentry (nur Staging-Umgebung)
• Zweck: Fehlerverfolgung in Staging/QA
• Daten: Anonymisierte Fehlerprotokolle
• Nicht in der Produktion verwendet
• DPA: Ja