TOTUS Rechtliches Sicherheit

Sicherheit ist kein Add-On.

Wir verarbeiten Daten, die zu den sensibelsten gehören, die ein Investment-Team hat. Hier ist transparent dokumentiert, was wir technisch und organisatorisch tun, um sie zu schützen.

Stand: 12. November 2026
Art. 32 DSGVO · TOMs dokumentiert
Security at a glance
EU-Only Hosting

Hetzner Frankfurt & Falkenstein, ISO 27001-zertifiziertes Rechenzentrum.

Verschlüsselung

TLS 1.2+ in transit, AES-256 at rest. Standard, keine Ausnahmen.

2FA & Audit Logs

Zwei-Faktor-Authentisierung für alle Nutzer, vollständige Audit Trails.

48h Breach Notify

Meldung an betroffene Kunden innerhalb von 48 Stunden nach Kenntnis.

01

Hosting & Infrastruktur.

Die TOTUS-Plattform wird vollständig in der EU betrieben. Wir nutzen Hetzner Online GmbH als Hosting-Provider — Rechenzentren in Frankfurt am Main und Falkenstein, beide ISO 27001-zertifiziert. Es findet keine Datenverarbeitung außerhalb der EU/EWR statt, außer dies wäre vertraglich mit dem Kunden vereinbart und durch geeignete Garantien gemäß Kapitel V DSGVO abgesichert.

Standorte
Frankfurt am Main · Falkenstein
Beide innerhalb Deutschland / EU
Zertifizierung Hosting
ISO 27001
Auditiert durch unabhängige Stellen
Physische Sicherheit
MFA + Biometrie
24/7 Wachpersonal, Videoüberwachung
Ausfallsicherheit
USV + Generatoren
Redundante Strom-, Netz- und Storage-Pfade

Der Zugang zum Rechenzentrum ist auf autorisiertes Personal beschränkt, gesichert durch Multi-Faktor-Authentisierung (z. B. Smartcard plus biometrisches Merkmal). Eingänge und sicherheitsrelevante Bereiche werden videoüberwacht. Eine dokumentierte Besucher-Policy mit Begleitung innerhalb des Rechenzentrums ist Standard.

02

Verschlüsselung.

Daten sind sowohl in der Übertragung als auch in der Ablage durchgängig verschlüsselt. Es gibt keine Endpoints, die unverschlüsselte Daten akzeptieren oder ausliefern.

In Transit
TLS 1.2+
HTTP Strict Transport Security, moderne Cipher Suites
At Rest
AES-256
Sensible Felder zusätzlich Spalten-verschlüsselt

In Entwicklungs- und Testumgebungen werden personenbezogene Daten pseudonymisiert, soweit technisch sinnvoll. Produktiv- und Entwicklungs-Datenbanken sind strikt voneinander getrennt.

03

Zugriffskontrollen.

Zugriff auf die Plattform und auf personenbezogene Daten ist konsequent nach dem Need-to-Know-Prinzip organisiert. Berechtigungen werden rollenbasiert vergeben und mindestens jährlich überprüft.

  • Individuelle Benutzerkennungen, keine geteilten Accounts
  • Starke Passwort-Policy mit Komplexitäts-Anforderungen
  • Zwei-Faktor-Authentisierung (2FA) für alle Nutzer verfügbar — Enterprise-Kunden können MFA erzwingen
  • Automatische Sperrung des Accounts nach mehrfach fehlgeschlagenen Login-Versuchen
  • Automatischer Bildschirm-Lock nach Inaktivität
  • Strikte Trennung zwischen administrativem und produktivem Zugriff
  • Jährliche Berechtigungs-Reviews durch die Geschäftsführung

SSO-ready: Single Sign-On via Azure AD, Okta oder anderen SAML 2.0 / OIDC-Providern. Für Enterprise-Kunden im Standardumfang enthalten.

04

Mandantentrennung.

Die Plattform verwendet eine Multi-Tenant-Architektur mit strikter logischer Trennung der Daten pro Kunde. Jede Anfrage wird auf Tenant-Ebene autorisiert, bevor sie überhaupt Daten erreicht.

  • Tenant-ID als unveränderliche Pflicht-Spalte in jeder Tabelle
  • Row-Level-Security in der Datenbank, durch Code und Datenbank-Policies erzwungen
  • Separate Umgebungen für Test, Entwicklung und Produktion
  • Verarbeitung von Kundendaten ausschließlich gemäß des jeweiligen Verarbeitungszwecks
05

Audit Logs & Integrität.

Alle Schreiboperationen auf personenbezogenen Daten werden vollständig protokolliert. Logs sind so gestaltet, dass nachträgliche Manipulation auffällt.

  • Protokollierung jeder Erstellung, Änderung und Löschung von Datensätzen — mit Zeitstempel und Nutzer-ID
  • Vorhaltedauer der Logs: mindestens 90 Tage
  • Schutz der Log-Daten vor unberechtigtem Zugriff und nachträglicher Manipulation
  • Auf Anfrage erhalten Kunden Zugriff auf ihre tenant-spezifischen Audit Logs
  • Authentifizierte und dokumentierte Schnittstellen mit Logging aller Datentransfers
06

Backup & Disaster Recovery.

Backups sind verschlüsselt, geografisch getrennt innerhalb der EU gespeichert und werden regelmäßig auf Restore-Fähigkeit geprüft.

Backup-Frequenz
Täglich
Automatisiert über Hetzner-Infrastruktur
Vorhaltedauer
≥ 30 Tage
Point-in-Time-Recovery innerhalb des Fensters
Speicherort
EU, geografisch getrennt
Backups in anderem Standort als Produktiv-System
DR-Plan
Dokumentiert
Business-Continuity-Konzept regelmäßig getestet
07

Sub-Prozessoren.

Wir setzen ausgewählte technische Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit jedem wurde ein AVV abgeschlossen und ihre Datenschutz-Compliance wird regelmäßig überprüft.

Dienstleister
Zweck
Standort
Grundlage
Hetzner Online GmbHHosting · ISO 27001
Server-Infrastruktur, Datenbanken, Backups
Frankfurt & Falkenstein, DE
Art. 28
Strato AGBusiness-E-Mail · ISO 27001
Geschäfts-E-Mail-Hosting (hello@totus.info)
Berlin & Karlsruhe, DE
Art. 28
Postmark (ActiveCampaign)Transaktionale Mails
Versand von System-E-Mails, Passwort-Resets
Chicago, USA
SCC + DPF
Anthropic IrelandAI · kein Training auf Kundendaten
Claude API für AI-Deal-Assessments, IC-Memos, Meeting-Notes
Dublin, IE
Art. 28
Google IrelandGoogle Maps Platform
Location- und Infrastruktur-Analyse für Deal-Standorte
Dublin, IE
SCC + DPF

Vor Änderungen am Sub-Prozessor-Stack informieren wir Kunden mindestens 30 Tage im Voraus. Bei wichtigem Grund können Kunden innerhalb von 14 Tagen widersprechen — kein Lock-in.

AI-Verarbeitung mit Anthropic: Kunden-Eingaben in unsere AI-Features werden über die Anthropic API (Dublin, EU) verarbeitet. Es findet kein Training auf Kundendaten statt — vertraglich abgesichert.

08

Incident Response & Breach Notification.

Wir haben einen dokumentierten Incident-Response-Prozess. Im Fall einer Datenschutzverletzung gilt:

  • 48 Stunden maximale Zeit zwischen Kenntnis und Meldung an betroffene Kunden
  • Beschreibung von Art, Umfang, betroffenen Datenkategorien und Anzahl der Betroffenen
  • Beschreibung der bereits getroffenen oder geplanten Gegenmaßnahmen
  • Folge-Informationen werden unverzüglich nachgereicht, sobald verfügbar
  • Unterstützung des Kunden bei eventuellen Meldungen an die Aufsichtsbehörde nach Art. 33 DSGVO
09

Responsible Disclosure.

Wir freuen uns über Hinweise zu Sicherheitslücken durch Security-Researcher und Penetrationstester. Bitte folgen Sie dem Responsible-Disclosure-Prinzip:

  • Melden Sie Findings an security@totus.info
  • Geben Sie uns angemessene Zeit zur Reaktion (üblicherweise 90 Tage), bevor Sie öffentlich publizieren
  • Vermeiden Sie Aktionen, die andere Nutzer beeinträchtigen könnten (kein DoS, keine Daten-Exfiltration über das Nötige hinaus)
  • Wir antworten innerhalb von 48 Stunden mit einer initialen Einschätzung

Zusätzlich überwachen wir kontinuierlich Schwachstellen — über die Sicherheitsmaßnahmen unseres Hosting-Providers (Hetzner) sowie über automatische Dependency-Checks im Code-Repository.

Wir betreiben (noch) kein formelles Bug-Bounty-Programm, aber wir bedanken uns gerne in angemessener Form für ernsthafte Findings — von Hall-of-Fame-Eintrag bis Kompensation, abhängig von Schweregrad.

10

Compliance & Audits.

Wir bauen TOTUS so, dass es enterprise-tauglich wird — auch in puncto Zertifizierungen. Aktueller Stand:

DSGVO / Art. 28

Vollständig DSGVO-konformer AVV inkl. dokumentierter TOMs, EU-only Verarbeitung.

Live
ISO 27001 (Hosting)

Unser Rechenzentrum (Hetzner) ist ISO 27001-zertifiziert. Daten liegen in geprüfter Infrastruktur.

Live
ISO 27001 (Unternehmen)

Eigene Unternehmens-Zertifizierung in Vorbereitung. Aktuell auditieren wir uns intern gegen den ISO 27001-Katalog.

In Vorbereitung
SOC 2 Type II

Geplant für 2027, sobald die Kundenbasis dies wirtschaftlich rechtfertigt.

Roadmap
Kunden-Audits

Enterprise-Kunden können gemäß § 8 unseres AVV mit 30 Tagen Vorlauf Audits durchführen oder beauftragen.

Live

Wir sind ehrlich: Als 4-Personen-UG haben wir noch keine eigene ISO-27001-Zertifizierung. Was wir haben: vollständig dokumentierte TOMs, eine ISO-27001-zertifizierte Infrastruktur, und einen klaren Pfad. Auf Wunsch stellen wir den vollständigen Auftragsverarbeitungsvertrag inkl. aller Anhänge zur Prüfung bereit.

Auftragsverarbeitungs­vertrag (AVV)

Vollständiges AVV-Dokument inkl. TOMs und Sub-Prozessor-Liste — auf Anfrage.

AVV anfragen
Weitere rechtliche Seiten
Datenschutz AGB Impressum