Wo deine Daten liegen, wer sie sonst berührt, wie lange wir sie aufbewahren, was passiert wenn etwas bricht. Keine Badges, die wir nicht verdient haben — nur die Fakten, die dein Security-Review braucht.
Zuletzt geprüft · 2026-05-19
TLS 1.3
Transport-Verschlüsselung
AES-256
Verschlüsselung at rest
EU-only
Frankfurt + Amsterdam
99,9 %
Redirect-Verfügbarkeit ab Pro
Anwendungs-Workloads laufen auf Railway in Amsterdam (EU-West). Persistente Speicherung, Backups und transaktionale Mail liegen in AWS Frankfurt (eu-central-1). Cloudflare Workers bedienen den Redirect-Hot-Path am Edge: Der Scanner wird direkt am Cloudflare-Edge zum Ziel weitergeleitet; Analytics werden im Hintergrund an unser Backend gesendet und blockieren den Redirect nicht.
Browser / Scanner
TLS 1.3 vom Gerät zum Edge.
Cloudflare Edge
Slug → Target Cache. Der Worker leitet sofort weiter und sendet Scan-Events asynchron an das Backend.
Anwendung — Railway Amsterdam
Frontend, API, Worker. Keine Persistenz.
Daten — AWS Frankfurt
Postgres, S3, verschlüsselte Backups, SES + SQS. AES-256 at rest.
Jeder externe Dienst, der mit Kundendaten in Berührung kommt, ist hier gelistet. Die Liste wird live aus unserem Backend geholt — wenn wir einen Anbieter ergänzen oder entfernen, aktualisiert sich diese Seite automatisch.
Anbieter
Zweck
Datenfluss
Standort
AVV
Stripe Payments Europe Ltd.
Drittland-Transfer · SCC
Zahlungsabwicklung für kostenpflichtige Pläne. Karten-/Kontodaten werden direkt an Stripe übermittelt (PCI-DSS) — wir sehen nur Customer-ID, Plan und Zahlungsstatus.
Irland (EU)
AVV ansehenRailway Corp.
Drittland-Transfer · SCC
Hosting der Anwendungs-Workloads (Frontend, API, Worker). Workloads werden in der EU-Region Amsterdam betrieben.
Amsterdam (EU-West)
AVV ansehenAmazon Web Services EMEA SARL (S3, SES, SQS)
Speicherung von Bulk-CSV-Uploads, Render-Ergebnissen und DSGVO-Export-ZIPs (S3); Versand transaktionaler E-Mails (SES, via selbstbetriebenes DoubleZero-Gateway); Job-Queue (SQS).
Frankfurt (eu-central-1)
AVV ansehenDoubleZero (self-hosted)
Selbst betriebener Open-Source-Mail-Gateway zwischen Anwendung und AWS SES/SQS. Läuft auf unserer Railway-Infrastruktur — kein Drittanbieter-Datenfluss über das hinaus, was AWS und Railway bereits abdecken. Listung dient ausschließlich der Transparenz.
Eigene Railway-Workloads (Amsterdam)
AVV ansehenFoundry (Williams IT)
Zentrales Observability- und Operations-Backbone: Error-Tracking, lokale KI-gestützte Log-Analyse (nur lokal, nicht auf Railway), Deployment-Pipeline, Backups + Restores, Migrations-Pipeline mit Rollback, integriertes Ticket-System. Betrieben von uns selbst — keine Drittanbieter-Übermittlung über die ohnehin gelisteten Hoster hinaus.
EU (eigene Railway-Workloads, Backups in AWS S3 Frankfurt)
AVV ansehenMaxMind, Inc. (GeoLite2 database, local)
Drittland-Transfer · SCC
Geo-IP-Auflösung für Scan-Statistiken (Country/City). Lookup läuft lokal — keine Daten an MaxMind.
Datenbank wird auf eigenen Servern gehostet
AVV ansehenGoogle Ireland Limited (Safe Browsing API)
Drittland-Transfer · SCC
Anti-Quishing: Ziel-URLs werden gegen die Safe-Browsing-Blocklist gecheckt.
EU/US
AVV ansehenabuse.ch (URLhaus blocklist)
Anti-Quishing: hourly Mirror der URLhaus-CSV. Keine User-Daten werden ausgesendet (Pull-Only).
CH
AVV ansehenCloudflare, Inc. (Workers + KV)
Drittland-Transfer · SCC
Redirect-Hot-Path und Slug→Target Cache am Edge.
Globales Edge-Netz; Origin in EU
AVV ansehenSentry GmbH
Fehler-Tracking für Server-Errors (Scrubbed: keine PII, keine Headers).
EU (eu.sentry.io)
AVV ansehenLade den auto-personalisierten AVV / DPA als PDF — wird on-demand generiert, ohne Mail-Anfrage.
Personalisieren via URL: ?name=Deine%20Firma&workspace=Dein%20Workspace
Die Artikel, nach denen Compliance-Teams fragen — abgebildet auf das, was wir wirklich ausliefern.
Auftragsverarbeitung
AVV + Live-Subprocessor-Register (oben)
Sicherheit der Verarbeitung
TLS 1.3, AES-256, RBAC, Audit-Log, Pseudonymisierung
Meldung von Verletzungen
Innerhalb 72 h via In-App-Banner + Mail an Admins
Recht auf Löschung
Account-Löschung → 30 Tage Grace → Hard Delete (siehe Aufbewahrung)
Datenübertragbarkeit
CSV + JSON Export aus dem Dashboard; identisch via API
DSFA
Vorlage auf Anfrage — [email protected]
Der Redirect-Hot-Path läuft global am Cloudflare-Edge. Die Origin-API läuft in Frankfurt. Wir kommunizieren Ziele, keine Garantien — eine öffentliche Statuspage und vertragliche SLAs gelten erst, wenn beides extern gemessen wird.
Edge-Runtime
Cloudflare Workers (global)
Redirect + Slug-Cache laufen am Cloudflare-Edge. Kein Single-Point-of-Failure auf dem Redirect-Pfad.
Origin-Region
eu-central-1 (Frankfurt)
Nur EU — Origin in Frankfurt, Edge cacht ohne PII.
Drittland-Transfers
Nein — nur EU
Edge cacht ohne PII; persistente Speicherung liegt in Frankfurt.
Jedes Ziel hat eine Mess-Methode und explizit benannte Ausschlüsse. Vertragliche SLAs (mit Service-Credits) gibt es nur in Enterprise-Verträgen.
Öffentlicher Redirect (Scan → Ziel-URL) über das Cloudflare-Edge
Mess-Methode
Erbt die Verfügbarkeit der Cloudflare-Workers-Plattform (Cloudflare publiziert die historische SLA auf cloudflarestatus.com). Eigene externe Probes gegen /r/:slug-Pfade gehen zeitgleich mit unserer Statuspage live; bis dahin spiegelt dieses Ziel die Edge-Plattform wider, nicht eine eigene Messung.
Ausschlüsse
Jede Komponente trägt einen Status. Marketing-Aussagen sind nur auf GA-Bausteine bezogen.
Redirect Worker
GALöst Slug → Ziel-URL auf, schreibt Scan-Event in die Queue, antwortet < 50 ms p95.
Dispatcher Worker
GARoutet Custom-Domain-Anfragen je Kunde an den richtigen Redirect-Worker (per dispatch namespace).
Speicherbegrenzung ist kein Slogan — jeder Datensatz unten hat einen erzwungenen Lifecycle.
Plan-spezifische Aufbewahrung der `qr_scan_events`-Zeilen. Nach Ablauf werden die Rohzeilen unwiderruflich gelöscht — was bleibt, sind anonyme Tages-Aggregate (siehe unten).
Free
30 Tage
30 Tage
Pro
12 Monate
365 Tage
Business
60 Monate
1825 Tage
Enterprise
60 Monate (vertraglich verlängerbar)
1825 Tage
Fallback ohne Plan-Match: 30 Tage.
`qr_scan_daily` enthält ausschließlich anonyme Tageszähler — kein User-, Geo- oder Device-Bezug. Diese Aggregate werden NICHT gepurged. Charts und Kampagnen-Vergleiche bleiben so über das Roh-Log-Fenster hinaus erhalten.
Unbegrenzt (anonyme Counter)
30 d
30 Tage nach Lösch-Antrag
Nach Bestätigung der Account-Löschung beginnt eine 30-tägige Grace-Period (`deletion_requested_at` wird im User-Record gesetzt). Während dieser Zeit kann die Löschung über POST /me/account/restore zurückgenommen werden. Nach Ablauf läuft der Job qr-account-purge nächtlich und entfernt alle personenbezogenen Daten unwiderruflich (Hard-Delete inkl. Scan-Logs und pseudonymisierter Daten; Backups laufen aus dem 90-Tage-Rolling heraus).
90 d
AES-256 at rest, TLS 1.3 in transit
AWS S3 Frankfurt (eu-central-1), separater Account
Foundry ist unsere selbstgebaute Operations-Plattform. Sie liest App-Logs, bündelt Regressionen, öffnet Tickets und eskaliert Incidents zur Prüfung. Dieselbe Pipeline unterstützt Deployment, Backup und Rollback. niccaswilliams.com
Bis das öffentliche Board live ist, informieren In-App-Banner und Admin-Mails alle Workspace-Owner innerhalb von Minuten nach einem bestätigten Vorfall.
Wir bauen Security von Tag eins ein. Formale Audits stehen auf der Roadmap — Termine veröffentlichen wir hier, sobald sie stehen. Transparenz vor Theater.
Compliance-Fragen, Security-Reviews, Vendor-Onboarding — schreib uns an die Adresse unten. Antwort innerhalb von einem Werktag.
PGP-Fingerprint auf Anfrage.
Built on DoubleZero for transactional email, Foundry for observability — both operated by us.
Authentifizierte Origin-API (Erstellen/Editieren von QR-Codes, Analytics-Lesen)
Mess-Methode
Ziel ist das Design-Goal der Node-Origin in eu-central-1. Externes Synthetic-Monitoring (Login + Health-Check aus mehreren Regionen, 5xx und Latenz > 5 s zählen als Ausfall) ist noch nicht live; bis zur öffentlichen Statuspage gilt dieser Wert ausdrücklich als Design-Ziel — Service-Credits greifen erst, wenn das Monitoring aktiv ist.
Ausschlüsse
Slug Map (KV)
GACloudflare KV als verteilter Cache für Slug → Ziel-URL; eventually consistent < 60 s.
Origin API (Node)
GAExpress-Backend für Auth, Dashboard, Analytics-Aggregation, Workspace-Verwaltung.
Primärdatenbank
GAPostgres in eu-central-1; Point-in-Time-Recovery + tägliche Off-Region-Backups.
Object Storage
GAS3-kompatibel in eu-central-1 für Logo-Uploads, exportierte CSVs, PDF-Renderings.
Scan-Ingest-Queue
GAAsynchron — Edge schreibt Scan-Events; Origin konsumiert mit at-least-once-Semantik.
365 d
Admin- und Sicherheits-Ereignisse (Login, Permission-Änderung, Subprocessor-Update, Datenexport) werden 12 Monate revisionssicher vorgehalten. Inhalte sind pseudonymisiert (User-ID statt PII).
14 d
ZIP-Exporte aus /me/data-export liegen 14 Tage auf verschlüsseltem Object-Storage; Download-URLs werden pro Aufruf mit 15 min TTL signiert. Abgelaufene Exporte werden durch qr-retention-cleanup entfernt.