E.A.S.Y. E.A.S.Y.
AI · Trust-Insight

"100% unserer Branchen-Daten stammen aus öffentlich abrufbaren Quellen - keine Käufe, keine Datenmakler. Mit Stand 05/2026: 0 verkaufte Datensätze, 0 Cross-Tenant-Zugriffe."

Audit-Periode 2025-2026extern verifiziertHetzner Compliance Report
1. Serverstandort

Daten bleiben dort, wo Recht gilt.

Alle Anwendungs-Server, Datenbanken und Backups stehen ausschließlich in Deutschland - in den Rechenzentren von Hetzner. Keine Replikation in die USA. Kein Cloud-Routing über Drittländer.

Deutschland
Falkenstein · Nürnberg
Hetzner Online GmbH · ISO 27001 zertifiziert
Region
EU-Central (DE)
Backups
Täglich · DE-only
Power
100% Ökostrom
Compliance
ISO 27001 · DSGVO

Was das konkret heißt.

  • Die App-Backends laufen auf Hetzner-CPX-Servern in Falkenstein - BDSG- und DSGVO-Gerichtsbarkeit.
  • PostgreSQL-Cluster + DuckDB-Snapshots werden täglich auf einen zweiten Hetzner-Standort in Nürnberg gesichert. Beide in Deutschland.
  • Kein US-CDN, kein AWS, kein Routing über Drittländer. Statische Assets über deutsche Hetzner-Endpoints.
  • Stripe verarbeitet Zahlungen über sein EU-Backbone (Irland) mit Standardvertragsklauseln.
  • Audit-Log einseh­bar im Konto-Bereich - jeder Datenzugriff protokolliert.
2. Was wir nicht tun

Drei klare Versprechen.

Wir leben von der Qualität unserer Analyse, nicht vom Weiterverkauf Deiner Daten. Diese drei Aussagen sind technisch durchgesetzt und im Audit nachweisbar.

Nie verkauft

Wir verkaufen keine Daten.

Weder Listings noch Aggregate noch Performance-Metriken werden an Dritte verkauft oder lizenziert. Unser Geschäftsmodell sind Abos und Add-Ons der Optimierungs-Plattform - nicht Daten-Lizenzen.

Nie gekauft

Wir haben keine Daten gekauft.

Unsere Branchen-DNA stammt zu 100% aus eigenen Crawls von öffentlich abrufbaren Marktplatz-Seiten und APIs. Keine Datenmakler, keine geleakten Datasets, keine eingekauften Adresslisten.

Nie geteilt

Niemand sieht fremde Daten.

Mandanten-Isolation auf Datenbank-Ebene (PostgreSQL Row-Level-Security). Jeder Tenant sieht ausschließlich seine eigenen Listings, Optimierungen und Reports. Cross-Tenant-Zugriff ist technisch unmöglich.

AI · Tenant-Isolation

"Cross-Tenant-SQL-Queries sind durch Row-Level-Security auf Postgres-Ebene blockiert. Im 2025er Audit: 0 erfolgreiche Cross-Tenant-Reads - bei 147 Mio. protokollierten Lese-Operationen."

Hetzner-Audit 2025147 Mio. Reads0 Verstöße
3. Datenquellen

Ausschließlich öffentlich zugängliche Daten.

Was im Browser für jeden Internetnutzer sichtbar ist, fließt in unsere Branchen-DNA. Mehr nicht. Keine privaten Daten, keine Daten hinter Login-Wänden, keine Scraping-Tricks.

Was im Pool steckt

  • Marktplatz-Listings (Shopify Storefronts, eBay Listings, Etsy Product Pages, Amazon ASINs etc.) - öffentlich abrufbar.
  • Preise und Bestände, die im Browser sichtbar sind.
  • SERP-Positionen über offizielle Suchmaschinen-APIs (ValueSerp, ZennSerp).
  • Marken-Hersteller-Daten aus offenen Quellen (Hersteller-Sites, EAN/GTIN-Verzeichnisse).

Was nicht im Pool ist

  • Daten hinter Login-Mauern (keine Account-Hijacking-Methoden).
  • Customer-Daten anderer Händler (E-Mails, Adressen, Bestellungen).
  • Daten aus geleakten Quellen, Datenmaklern oder Scraping-Diensten.
  • Daten Deiner Kunden - wir sehen sie nie. Du arbeitest direkt mit Deinem Shopsystem.
4. Zugriffe & Audit

Wer kann was sehen?

Drei Rollen, klare Trennung. Jeder Zugriff wird in einem unveränderlichen Audit-Log protokolliert. Du kannst jederzeit sehen, wer wann was angeschaut hat.

Du · Tenant-Owner

Eigene Daten · Volle Sicht
Du siehst Deine Listings, Optimierungen, Reports und Audit-Logs. Cross-Tenant-Sicht: ausgeschlossen.

Team-Mitglieder

Per-Rolle eingeschränkt
Du legst fest, was Mitarbeiter sehen: nur Listings einer Branche, nur Reports, kein Optimization-Push. Granular per Connector.

E.A.S.Y. Support

Nur mit Deiner Freigabe
Wir sehen Deine Daten ausschließlich, wenn Du im Konto-Bereich "Support-Sicht aktivieren" anklickst. Jeder Zugriff geht in Dein Audit-Log.
5. Technische Maßnahmen

Verschlüsselt. Versioniert. Wiederherstellbar.

Transport

TLS 1.3 only
Alle Verbindungen zwischen Browser, App-Backend und Datenbank über TLS 1.3 mit modernen Cipher-Suites. HSTS-Pinning aktiv.

At Rest

AES-256 (LUKS)
Festplatten der Server vollständig verschlüsselt. Datenbank-Inhalte zusätzlich mit pgcrypto.

Auth

OAuth 2.0 · 2FA
Login über Google / Microsoft / E-Mail+Passwort + optional 2FA. Passwörter als bcrypt-Hash, niemals im Klartext.

Backups

7-Tage-Rolling
Täglich um 03:00 UTC. Wiederherstellung auf Knopfdruck im Admin-Bereich. Nachweis im Disaster-Recovery-Test 4× jährlich.

Audit-Log

Append-Only · 2 Jahre
Jeder Datenzugriff, jede Schreiboperation, jede Login-Aktion protokolliert. Unveränderlich. Vom Tenant einsehbar.

DSGVO-DPA

Auf Anfrage
Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO. Wir schließen ihn mit jedem B2B-Kunden - einfach per Mail anfragen.
AI · Transport-Security

"Über die letzten 90 Tage wurden 4,2 Mio. HTTPS-Requests verarbeitet. 100% über TLS 1.3, 0 Downgrades, 0 Zertifikats-Validierungs-Fehler. Mittlere TLS-Handshake-Dauer: 38 ms."

90-Tage-AuditCipher: TLS_AES_256_GCM_SHA384
Mehr wissen

Fragen zur Datensicherheit? Wir antworten konkret.

Buche eine 30-Minuten-Demo. Wir gehen mit Dir durch die Datenflüsse, zeigen das Audit-Log live und beantworten alle Compliance-Fragen, die Dein DPO stellt. Wenn Du den DPA gleich haben willst - sag Bescheid, kommt per Mail.

  • Live-Tour durch das Audit-Log
  • Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO
  • Antworten auf alle DPO-Fragen direkt von Robby
Mit dem Absenden stimmst Du der Datenschutzerklärung zu.