Belege liegen in Deutschland. Audit-Spur in Bitcoin verankert.
Wir betreiben Rechnungs-Kontor mit Substanz statt Siegel. Diese Seite führt jede Aussage, die wir auf der Startseite treffen, auf prüfbare Belege zurück: Hosting-Standort, Verschlüsselung im Ruhezustand, Unveränderbarkeit des Audit-Logs, DSGVO-Selbst- bedienung, Auftragsverarbeitung. Jeder Punkt ist verlinkt.
Architektur
Wo liegen die Daten, wer kann sie lesen, wie wird das geprüft.
Belegarchiv
Hetzner Object Storage in Nürnberg, content-addressed nach
SHA-256 (f:<hash>). Verschlüsselter
Transport per TLS, Server-Side-Encryption durch Hetzner.
Versionierung aktiv.
Datenbank
PostgreSQL 18.3, ausschließlich erreichbar über Cloudflare Tunnel + Hyperdrive (kein öffentlicher Port 5432). Daten- verzeichnis auf einem LUKS2-AES-XTS-512-verschlüsselten Volume. Tägliche verschlüsselte Off-Box-Backups (GPG-AES256) mit wöchentlichem Restore-Test gegen die Hash-Kette.
Audit-Chain
Jeder Audit-Eintrag erhält
this_hash = SHA-256(prev_hash || canonical(row)).
Eine Manipulation eines beliebigen Eintrags bricht die Kette
ab dieser Stelle.
Täglich verankern wir den aktuellen Ketten-Kopf in der Bitcoin-Blockchain (OpenTimestamps). Live-Nachweis öffnen →
Anwendungslayer
Cloudflare Pages Functions in der EU. Kein persistenter Kundendatenspeicher am Edge: Sessions, Belege und Audit-Log leben ausschließlich in der Hetzner-DB. Cloudflare ist Bereitstellungs-Layer, kein Datenhalter.
E-Mail-Eingang
Mailgun EU (Belgien) parst eingehende Mandanten-Mails und signiert die Webhook-Anfrage per HMAC. Wir verifizieren die Signatur bei jedem Aufruf. Die ursprüngliche E-Mail wird nicht dauerhaft bei Mailgun gespeichert.
Authentifizierung
PBKDF2-SHA256, 600 000 Iterationen (NIST-Empfehlung, OWASP 2023). Optionales TOTP-Zweitfaktor mit Notfallcodes. Sicherheitskritische Aktionen (Konto schließen, E-Mail ändern, Passwort ändern, 2FA deaktivieren) erfordern bei aktivem 2FA einen Step-Up-Code.
Auftragsverarbeiter
Vollständige Liste der Unter-Auftragsverarbeiter mit Rolle, Region und Rechtsgrundlage. Detailregelung in der AVV, Anlage 1. Änderungen werden mit 30 Tagen Vorlauf im Kundenbereich angekündigt; das Widerspruchsrecht bleibt unberührt.
| Anbieter | Rolle | Region | DPA / SCC |
|---|---|---|---|
| Hetzner Online GmbH | Datenbank, Object Storage, VPS | Deutschland (Nürnberg) | Hetzner AVV |
| Cloudflare, Inc. EU-Datenebene | Edge-Delivery, Pages Functions, Tunnel, WAF | EU (DE/IE) | Cloudflare DPA + EU-SCC 2021/914 |
| Mailgun Technologies Inc. EU-Region | Eingehende E-Mail-Verarbeitung | EU (Belgien) | Mailgun DPA + EU-SCC 2021/914 |
| Resend Inc. EU-Region | Transaktionale E-Mails (Bestätigungen, Quittungen) | EU (Irland) | Resend DPA + EU-SCC 2021/914 |
| Mistral AI | OCR und Kontierungsvorschlag (keine Trainingsnutzung) | Frankreich (EU) | Mistral DPA |
| Stripe Payments Europe Ltd. | Abrechnung, Stripe Tax (EU-USt) | EU (Irland) | Stripe DPA + EU-SCC 2021/914 |
| OpenTimestamps Calendars | Audit-Log-Verankerung (Hash, keine PII) | Verteilt (öffentlich) | Veröffentlichung eines 32-Byte-Hash, kein PII, kein DPA erforderlich |
Dokumente und Selbstbedienung
Was wir bewusst nicht tun
- Keine Tracking-Cookies, keine Drittparteien-Analyse. Wir setzen keine Cookies zu Marketing-Zwecken und betreiben kein Google Analytics oder vergleichbares Profil-Tracking.
- Keine Weitergabe oder Vermarktung Ihrer Daten. Mandantendaten, Belege und Auswertungen werden nicht anonymisiert verkauft, nicht aggregiert vermarktet, nicht für Werbezwecke weitergegeben.
- Keine Trainingsnutzung durch unsere KI-Anbieter. Mistral AI verarbeitet OCR-Eingaben ausschließlich zur Antwortgenerierung; nach DPA werden Inputs nicht in Modelltraining überführt.
- Keine Datenresidenz ausserhalb der EU. Alle persistenten Kundendaten liegen in Deutschland; alle Auftragsverarbeiter sind auf ihre EU-Datenebene festgelegt und im AVV namentlich benannt.
- Keine stillen Änderungen an der Auftragsverarbeiter-Liste. Neue oder gewechselte Sub-Prozessoren werden mit 30 Tagen Vorlauf vorher angekündigt; Sie behalten das Widerspruchsrecht.
Stand: 22. Mai 2026 · Diese Seite wird gepflegt, wenn sich Komponenten der Architektur oder die Sub-Prozessoren-Liste ändern. Materialige Änderungen werden mit 30 Tagen Vorlauf angekündigt.