Trust Center
Trust Center
Wo deine Daten liegen, wer sie verarbeitet, und wie sie geschützt sind.
Architektur & Datenfluss
Der Datenfluss ist linear und nutzt ausschließlich europäische Verarbeitungsregionen – mit einer dokumentierten Ausnahme für unser KI-Feature (Anthropic, USA, DPF).
- Browser des Nutzers · TLS 1.2+
- ↓
- Vercel Edge · Frankfurt (fra1)
- ↓
- Supabase Postgres · Irland (eu-west-1)
- ↓ optional, opt-in
- Anthropic API · USA, EU-US Data Privacy Framework
Sub-Processoren
Wir setzen folgende Auftragsverarbeiter ein. Die Liste ist mit der ausführlichen Fassung in unserer Datenschutzerklärung synchronisiert. Mit jedem Anbieter besteht ein AVV gemäß Art. 28 DSGVO.
| Dienstleister | Zweck | Sitz / Datenort | Drittlandtransfer |
|---|---|---|---|
| Vercel Inc. | Hosting, CDN, Edge-Funktionen | USA, EU-Edge fra1 | EU-SCC + DPF |
| Supabase Inc. | Postgres, Auth, Storage | Irland (eu-west-1) | Verarbeitung in EU |
| Anthropic PBC | KI-Anomalie-Erklärung, Hilfe-Chatbot | USA | EU-US DPF + SCC |
| Resend Ltd. | Transaktionale E-Mails, Newsletter | UK (Verarbeitung in EU) | UK-Angemessenheit |
| Plausible Insights OÜ | Cookieless Web-Analytics | Estland / Deutschland | Verarbeitung in EU |
Standard-AVV-Vorlage für unsere Kunden: AVV-Vorlage herunterladen.
Verschlüsselung & Zugriff
- Transport-Verschlüsselung: TLS 1.2+ für sämtliche Verbindungen, HSTS aktiviert.
- Verschlüsselung at Rest: AES-256 auf Festplattenebene durch unsere Infrastruktur-Provider (Supabase, Vercel). Diese Sub-Processoren sind ISO 27001 zertifiziert.
- EU-Hosting: Alle Primärdaten werden in Irland (Supabase eu-west-1) und Frankfurt (Vercel fra1) verarbeitet.
- Application-Level-Encryption für Secrets: Sensible Werte (API-Keys, OAuth-Refresh-Tokens) werden in der AppSetting-Tabelle zusätzlich mit AES-256-GCM verschlüsselt — der Master-Key liegt nicht in der Datenbank.
- MFA für Admin-Zugänge: Bei allen Sub-Processoren (Vercel, Supabase, Anthropic, Resend, Plausible) ist Multi-Faktor-Authentifizierung erzwungen.
- Audit-Log: Sicherheitsrelevante Aktionen (Login, Zugriff auf Mandantendaten, Konfigurationsänderungen) werden 365 Tage protokolliert.
Backups & Verfügbarkeit
- Point-in-Time Recovery (PITR): Supabase hält 7 Tage rollierender PITR vor; Wiederherstellung auf jeden beliebigen Zeitpunkt innerhalb dieses Fensters.
- Tägliche Backups: Zusätzlich automatisierte Snapshots der Datenbank.
- Restore-Test: Halbjährlich, Ergebnis im internen Audit-Log dokumentiert.
- Verfügbarkeit: Vercel SLA für die Edge-Layer; beobachtetes 99,9 % Uptime über die letzten 12 Monate. Wir geben aktuell keine formale SLA-Zusage; das ist Bestandteil des Enterprise-Plans (in Vorbereitung).
Compliance
- DSGVO: Unsere Verarbeitung erfüllt die Anforderungen der DSGVO. Datenschutzerklärung und AVV-Vorlage öffentlich verfügbar; interner Datenschutzbeauftragter benannt. Soweit wir personenbezogene Daten für unsere Kunden verarbeiten, agieren wir als Auftragsverarbeiter gemäß Art. 28 DSGVO.
- EU AI Act, Art. 50 (Transparenz): Marginly nutzt KI für Anomalie-Erklärungen und den KI-Hilfe-Chat. Sämtliche KI-Vorschläge sind beratend; finale Aktionen erfordern eine Bestätigung durch den Nutzer. Wir erfüllen die EU-KI-Verordnung (Verordnung (EU) 2024/1689) als Anbieter/Betreiber eines KI-Systems mit begrenztem Risiko. KI-generierte Inhalte sind im Produkt klar als solche gekennzeichnet (Banner, Icon, Tooltip).
- NIS2: Nicht direkt anwendbar (Unternehmensgröße + Sektor außerhalb des Anwendungsbereichs). Wir orientieren uns dennoch an den TOMs des BSI-Grundschutzes.
- ISO 27001: Unsere Hosting-Anbieter (AWS Frankfurt über Supabase, sowie Vercel) sind ISO 27001 zertifiziert. Unser eigenes ISO-27001-Audit ist in Vorbereitung. Zielzeitraum für Zertifizierung: Q4 2026. Bis dahin nutzen wir die Zertifizierungen unserer Sub-Processoren als unterstützende Evidenz.
Verantwortliche Offenlegung (Coordinated Disclosure)
Du hast eine Schwachstelle gefunden? Danke. Bitte melde sie an security@themarketplaceguys.com. Wir bestätigen den Eingang innerhalb von 48 Stunden und halten dich auf dem Laufenden.
Maschinenlesbare Kontaktdaten findest du in unserer security.txt (RFC 9116).
Hall of Fame
Researcher, deren Hinweise zur Verbesserung unserer Sicherheit beigetragen haben, listen wir hier mit ihrem Einverständnis auf. Aktuell: noch keine Einträge.
Downloads & weiterführende Dokumente
AVV-VorlageStandard-Auftragsverarbeitungs-Vertrag (Druckvorlage, anwaltlich zu prüfen)CAIQ-Lite Self-AssessmentCloud-Security-Alliance-Fragebogen, 8 Kategorien, ehrliche Antwortensecurity.txtRFC 9116 — maschinenlesbare Sicherheitskontakt-InformationenDatenschutzerklärungVollständige Datenschutzerklärung gemäß Art. 13 DSGVO
Frage zu unserem Setup? Schreib uns an security@themarketplaceguys.com. Antwort innerhalb von 1 Werktag.
Stand: 2026-05-10