Sicherheit & Vertrauen
Hazonlive wurde für europäische Unternehmen gebaut. EU-Hosting, DSGVO-konform, KI-Transparenz und ein Freigabe-Workflow, der Sie die Kontrolle behalten lässt.
Stand: 2026-05-26 · Quartalsweise reviewt
EU-Hosting Frankfurt
Alle Daten werden in der EU verarbeitet. Datenbank, Storage und Web-App in AWS Frankfurt eu-central-1.
DSGVO-konform
Auftragsverarbeitung nach Art. 28 DSGVO. Keine Datenweitergabe an Dritte ohne Auftrag.
KI-Transparenz
Jeder KI-generierte Inhalt trägt eine KI-Kennzeichnung. EU AI Act ready.
Zero-Training
Ihre Daten werden nicht zum Trainieren von KI-Modellen verwendet — vertraglich abgesichert mit allen LLM-Anbietern.
Wo und wie Ihre Daten verarbeitet werden
Verschlüsselung: Alle Daten werden in Ruhe (AES-256) und während der Übertragung (TLS 1.3) verschlüsselt. Datenbank-Verbindungen laufen ausschließlich über verschlüsselte Channels.
Multi-Tenant-Isolation: Jeder Workspace ist über Supabase Row Level Security (RLS) strikt vom anderen getrennt. Es ist technisch nicht möglich, Daten eines anderen Workspaces zu sehen — auch nicht versehentlich, auch nicht über Bugs in der Anwendungsschicht.
Kein Training mit Ihren Daten: Wir nutzen ausschließlich Zero-Retention-Endpoints bei Anthropic (Claude) und OpenAI (gpt-image-1). Ihre Prompts und generierten Inhalte werden nicht für das Training von KI-Modellen verwendet — vertraglich abgesichert in unseren DPAs.
Authentifizierung: Passwörter werden ausschließlich als bcrypt-Hashes gespeichert, niemals im Klartext. Session-Cookies sind HttpOnly + Secure + SameSite=Lax. Rate-Limits gegen Brute-Force aktiv.
Backups & Disaster Recovery
Point-in-Time-Recovery
Supabase PITR. 7 Tage Granularität auf Sekundenebene.
RPO ≤ 24 Stunden
Recovery Point Objective: maximaler Datenverlust im Worst-Case-Szenario.
RTO ≤ 4 Stunden
Recovery Time Objective: maximale Ausfallzeit bei Disaster-Recovery.
Unsere Auftragsverarbeiter (Sub-Processoren)
Vollständige Liste aller Dienste, die Daten in unserem Auftrag verarbeiten. DPAs sind mit jedem Dienst abgeschlossen.
| Anbieter | Zweck | Region | Safeguards |
|---|---|---|---|
Supabase, Inc. DPA verfügbar unter supabase.com/privacy/dpa | Datenbank (PostgreSQL), Auth, Storage, Edge Functions | EU (AWS Frankfurt, eu-central-1) | Server in der EU, Verschlüsselung at-rest (AES-256) und in-transit (TLS 1.3) |
Anthropic PBC DPA und SCC abgeschlossen (anthropic.com/legal/dpa) | Claude LLM — Textgenerierung und Dokumentenanalyse | USA (US → EU: Standardvertragsklauseln nach EU-Beschluss 2021/914) | Zero-Retention-API (Prompts werden NICHT zu Trainingszwecken genutzt) |
OpenAI, L.L.C. DPA abgeschlossen | gpt-image-1 Bildgenerierung (nur auf Anforderung) | USA (SCC) | Keine Trainingsnutzung, Zero-Data-Retention für API-Nutzung |
Vercel Inc. DPA gemäß Art. 28 DSGVO | Hosting der Web-Anwendung und Serverless Functions | EU (Frankfurt) — Deployment-Region fix | EU-Region erzwungen via Vercel-Config, TLS 1.3 |
Sentry / Functional Software, Inc. DPA gemäß Art. 28 DSGVO | Error-Tracking und Performance-Monitoring | EU (ingest.de.sentry.io) | EU-Region-Endpoints, keine Klartext-Prompts in Error-Reports |
Lemon Squeezy, Inc. DPA und SCC abgeschlossen | Merchant of Record für Verkauf, Abrechnung und Steuer | USA — Lemon Squeezy ist rechtlicher Verkäufer (MoR-Modell) | PCI-DSS-konform, keine Kartendaten bei Hazonlive gespeichert |
Incident-Response
DSGVO Art. 33 — 72-Stunden-Meldepflicht: Bei einer Verletzung des Schutzes personenbezogener Daten informieren wir Sie und die zuständige Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden.
Eskalations-Pfad: Security-Events werden an unser Sentry-Monitoring (EU) automatisch gemeldet. Kritische Events lösen eine direkte Benachrichtigung beim Hazonlive-Team aus.
Audit-Trail: Alle sensiblen Operationen (Login, Plan-Wechsel, Daten-Export) werden mit Zeitstempel, User-ID und Workspace-ID in einem unveränderbaren Audit-Log gespeichert.
Compliance-Kontakt
Fragen zu Auftragsverarbeitung, DPA, Datenschutz?
Wir antworten innerhalb von 2 Werktagen auf alle Compliance-Anfragen.
Diensteanbieter: AGAPE INNOVATIONS GROUP INC., Toronto, Kanada · Impressum · Datenschutzerklärung
Auftragsverarbeitungsvertrag (AV/DPA)
Wir stellen jedem Pro- und Business-Kunden einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zur Verfügung. Dies regelt verbindlich:
- Verarbeitungszwecke und -kategorien
- Technische und organisatorische Maßnahmen (TOMs)
- Sub-Processoren-Genehmigung
- Datenübermittlung in Drittländer (SCC)
- Betroffenenrechte und Mitwirkung
- Audit-Rechte und Kontrollen
Den AV-Vertrag senden wir Ihnen im Rahmen des Onboarding-Prozesses oder auf Anfrage zu.