Datenschutz ist Architektur, nicht Marketing.

Hosting

Planakte läuft ausschließlich in deutschen Rechenzentren der Hetzner Online GmbH, Standort Falkenstein (Sachsen). Die Server sind nach ISO 27001 zertifiziert; eine Liste der zertifizierten Standorte stellt Hetzner öffentlich bereit.

Wir setzen keine CDN-Dienste ein, die Inhalte auf US-Server replizieren, kein Cloudflare-Workers, kein AWS-Edge, kein Vercel. Alle Anfragen deines Browsers landen direkt bei einem Hetzner-Server in Sachsen.

Auftragsverarbeitungsvertrag (AVV)

Nach Art. 28 DSGVO ist Planakte dein Auftragsverarbeiter. Den AVV findest du im Onboarding-Paket, unterschriftsreif, ohne dass du ihn von einem Anwalt prüfen lassen musst (kannst du natürlich trotzdem). Enthalten ist:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Kategorien betroffener Personen und Datenarten
• Anhang I: Rechte und Pflichten des Verantwortlichen
• Anhang II: Technisch-organisatorische Maßnahmen (TOM)
• Anhang III: Sub-Auftragnehmer

Den AVV-Entwurf kannst du hier herunterladen oder vorab bei avv@planakte.de anfordern.

Technisch-organisatorische Maßnahmen (TOM)

Ein Auszug, die volle Liste ist Anhang II des AVV:

Vertraulichkeit

• Zutrittskontrolle: ISO-27001-zertifiziertes RZ, biometrischer Zugang, 24/7 Bewachung (Hetzner)
• Zugangskontrolle: Passwörter mit bcrypt gehasht, optional WebAuthn / Hardware-Keys, automatische Sperre nach 5 Fehlversuchen
• Zugriffskontrolle: Rollen- und projektspezifische Berechtigungen, Audit-Log
• Trennungskontrolle: Mandantentrennung auf Container-Ebene (eine SQLite-Datenbank pro Mandant), kein Cross-Tenant-Read möglich

Integrität

• Übertragungskontrolle: TLS 1.3 only, HSTS preload, keine HTTP-Fallbacks
• Eingabekontrolle: Audit-Log über alle schreibenden Operationen, Aufbewahrung 12 Monate

Verfügbarkeit & Belastbarkeit

• Verfügbarkeitskontrolle: täglich verschlüsselte Backups (AES-256), 30 Tage Rotation
• Wiederherstellbarkeit: RTO < 4 Stunden, RPO < 24 Stunden, Wiederherstellung quartalsweise getestet

Sub-Auftragnehmer

Die vollständige Liste, kurz weil bewusst minimal:

Keine sonstigen US-Anbieter. Kein Google, kein AWS, kein Microsoft Azure, kein Cloudflare. Falls sich daran etwas ändert, informieren wir dich 30 Tage vorab schriftlich, du hast in dem Fall ein Sonderkündigungsrecht.

Löschfristen

Wann werden welche Daten gelöscht?

• Bei Kündigung: 30 Tage Karenz mit Voll-Zugriff (Export jederzeit möglich), danach definitive Löschung inkl. Backup-Rotationen. Bestätigung per E-Mail.
• Audit-Logs: 12 Monate, danach automatische Löschung.
• System-Mails: 30 Tage in den Mailjet-Logs, danach gelöscht.
• Inaktive Accounts: Nach 18 Monaten ohne Login bekommst du eine Reminder-Mail, nach 24 Monaten Daten-Sperre, nach 30 Monaten Löschung. Du kannst diesen Prozess pausieren.

ZIP-Export

Jederzeit selbst auslösbar unter Einstellungen → Daten-Export. Du bekommst eine ZIP-Datei mit:

• Alle Projekte als JSON-Strukturen plus Markdown-Lesedateien
• Alle Briefe als .docx und .pdf
• Alle Foto-Dokus als Original-JPG mit EXIF
• Alle Protokolle als PDF
• Alle markierten Pläne als annotierte PDF
• Stammdaten der Mitarbeitenden, Stundenerfassung als CSV (DATEV-kompatibel)

Größere Exports (mehrere GB) werden asynchron erzeugt, du bekommst eine Mail, wenn die ZIP fertig zum Download ist. Der Download-Link ist 7 Tage gültig.

Kein Tracking

Wir setzen keinerlei Tracking-Cookies. Kein Google Analytics, kein GA4, kein Hotjar, kein Posthog, kein Plausible, nichts. Wir messen lediglich anonymisierte Ladezeiten in den Server-Logs, um Performance-Regressionen zu erkennen, diese Logs enthalten weder IP-Adressen noch User-Agents in identifizierbarer Form.

Folgerichtig brauchen wir auch keinen Cookie-Banner. Wir setzen genau einen Cookie: planakte_session, der deinen Login hält. Strict-Same-Site, HttpOnly, Secure, läuft beim Logout aus.

Datenschutzbeauftragter

Externer Datenschutzbeauftragter: [wird im Onboarding benannt]. Erreichbar unter datenschutz@planakte.de.