Trust Center

Deine Daten und die KI-Inferenz bleiben in der EU. Wir löschen automatisch nach 90 Tagen. Im Vorfallsfall melden wir uns innerhalb von 72 Stunden bei der Aufsichtsbehörde.

• Hetzner Falkenstein — Anwendungs- und Datenbankserver. Region: Deutschland.
• AWS Bedrock Frankfurt (eu-central-1) — KI-Inferenz. Cross-Region-Inferenz ist explizit deaktiviert.
• AWS SES Frankfurt (eu-central-1) — transaktionaler E-Mail-Versand (Einladungen, Login-Links, Zustellberichte).
• Stripe Payments Europe (Irland) — Zahlungsabwicklung, Rechnungsstellung. Einzelne operative Vorgänge in den USA unter Standardvertragsklauseln.

Die vollständige Liste pflegen wir auf /legal/processors.

• TLS 1.3 mit HSTS-Preload auf allen Endpunkten.
• Server-Zugriff ausschließlich per SSH mit Public-Key- Authentifizierung. Kein Passwort-Login.
• SQLite-Datei auf dem Anwendungsserver mit 0600-Rechten im App-User-Kontext; kein Remote-Admin-Zugriff.
• Tägliche, AES-verschlüsselte restic-Backups in eine zweite Hetzner-Region.

Workshop-Inhalte werden 90 Tage nach Ende des Teilnahme- Fensters vollautomatisch gelöscht. Auf Wunsch des Managers jederzeit sofort. Nach der Löschung verbleiben die Daten bis zu 30 Tage in verschlüsselten Backups (Karenzzeit), danach sind sie auch dort weg.

Rechnungsrelevante Daten werden gemäss § 147 AO 10 Jahre aufbewahrt. Audit-Logs und Stripe-Webhook-Ereignisse 90 Tage.

Die Auswertung am Ende eines Workshops ist immer aggregiert. Weder die Manager-Oberfläche noch ein interner Admin-Zugang können Einzelantworten oder Mail-Adressen einzelner Teilnehmer einsehen. Es gibt keine Override.

Diese Garantie ist im Typ-System verankert: das Synthesis-Modul nimmt dokumentiert ein ParticipantDocumentForSynthesis, das per Omit keine Identität mehr trägt. Ein Versuch, die Identität wieder einzuschleifen, scheitert beim Kompilieren.

Wir benachrichtigen die zuständige Aufsichtsbehörde (Landes- beauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg) innerhalb von 72 Stunden ab Kenntnis einer Datenschutzverletzung, sofern ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.

Kontakt für sicherheitsrelevante Meldungen: security@v9labs.de.

Vollständige, immer aktuelle Übersicht auf /legal/processors. Änderungen kündigen wir mindestens 30 Tage im Voraus an.

Unsere Standard-AVV nach Art. 28 DSGVO: /legal/dpa (inline-Fassung) und /legal/dpa.pdf (Download, versionsgleich mit der inline-Darstellung, Version 2026-04-08).

Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch stellst du über das Formular unter /legal/data-request. Wir bestätigen innerhalb von drei Werktagen und antworten spätestens nach 30 Tagen (Art. 12 Abs. 3 DSGVO).

Ehrlichkeit ist uns lieber als Zertifikats-Sammlerei. Was wir aktuell nicht haben:

• Keine ISO 27001-Zertifizierung.
• Keine SOC 2 Type II-Zertifizierung.
• Keine TISAX-Bewertung.

Wenn eines davon ein harter Blocker für dich ist, sag uns Bescheid — das fliesst in unsere Roadmap ein.

Stand: 8. April 2026. Diese Seite wird gleichzeitig mit der Datenschutzerklärung aktualisiert.