CAIQ-Lite Self-Assessment

Wo werden die primären Anwendungs- und Kundendaten gespeichert?

Sämtliche Primärdaten liegen in Supabase Postgres in Irland (eu-west-1). Der Edge-Layer (Vercel) cached statische Inhalte in Frankfurt (fra1) und weiteren EU-Edges.

Ist EU-Datenresidenz garantiert?

Für Primärdaten: ja. Optionale KI-Features (Anthropic, USA) sind Opt-in pro Account und im UI klar gekennzeichnet. Kunden, die das nicht wollen, können das Feature pro Account deaktivieren.

Welche Sub-Region wird genutzt und kann sie geändert werden?

Aktuell eu-west-1 (Irland). Ein Wechsel auf eu-central-1 (Frankfurt) ist auf Anfrage für Enterprise-Kunden möglich, derzeit aber nicht Default.

Wie melden sich Endnutzer in Marginly an?

Aktuell über Magic-Link (E-Mail + zeitlich begrenzter Token, 15 Minuten gültig). Eine vollständige passwortbasierte Authentifizierung mit MFA-Pflicht für Admins ist in Entwicklung; geplante Aktivierung Q3 2026.

Ist MFA verpflichtend?

Für Endnutzer aktuell nicht erforderlich (Magic-Link ersetzt das Passwort). Für interne Admin-Zugänge zu Vercel, Supabase, Anthropic, Resend und Plausible ist MFA durchgehend erzwungen.

Wie ist die Session-Expiry geregelt?

Sessions laufen nach 30 Tagen Inaktivität ab. Sicherheitsrelevante Aktionen (Account-Wechsel, Einladungen) erfordern eine frische Session (≤ 15 Minuten).

Wird Brute-Force-Schutz angewendet?

Ja: Rate-Limiting auf Login- und Magic-Link-Endpoints (5 Anfragen / 5 Minuten / IP). Bei wiederholten Fehlversuchen wird der Account temporär gesperrt.

Wie sind Daten in Transit verschlüsselt?

TLS 1.2+ für sämtliche Verbindungen (Browser→Edge, Edge→DB, Service-zu-Service). HSTS aktiviert mit 1-Jahres-Max-Age.

Wie sind Daten at Rest verschlüsselt?

AES-256 auf Festplattenebene durch Supabase und Vercel. Zusätzlich Application-Level-Encryption (AES-256-GCM) für Secrets in der AppSetting-Tabelle (z. B. OAuth-Tokens, API-Keys).

Wie werden kryptografische Schlüssel verwaltet?

Master-Encryption-Key liegt als Vercel-Environment-Secret, nicht in der Datenbank. Rotation: jährlich oder bei Verdacht auf Kompromittierung. Sub-Processor-Schlüssel (Supabase, Vercel) werden von den Anbietern verwaltet, dokumentiert in deren SOC-2-Berichten.

Gibt es Point-in-Time Recovery (PITR)?

Ja, 7 Tage rollierend bei Supabase. Wiederherstellung auf jeden beliebigen Zeitpunkt innerhalb dieses Fensters (RPO < 1 Minute).

Wie häufig werden Backups erstellt?

Kontinuierliche WAL-Streams (PITR) plus tägliche Snapshots, 30 Tage aufbewahrt.

Werden Restore-Tests durchgeführt?

Ja, halbjährlich. Letzter erfolgreicher Test: Februar 2026. Ergebnis im internen Audit-Log.

Welche RTO / RPO werden angestrebt?

RTO: 4 Stunden für vollständige Wiederherstellung. RPO: < 1 Minute (durch kontinuierliches WAL-Streaming).

Existiert ein Audit-Log?

Ja. Sicherheitsrelevante Aktionen (Login, Logout, Account-Wechsel, Zugriff auf Mandantendaten, Konfigurationsänderungen) werden in einer separaten AuditLog-Tabelle protokolliert.

Wie lange werden Audit-Logs aufbewahrt?

365 Tage. Danach automatische Löschung. Kunden können ihre eigenen Audit-Logs jederzeit als CSV exportieren.

Werden Sub-Processor-Logs verwendet?

Ja. Vercel-Access-Logs (14 Tage) und Supabase-DB-Logs (7 Tage) werden im Incident-Fall korreliert.

Wer hat Zugriff auf die Logs?

Nur die beiden Geschäftsführer (Alexander Schnelle, Bhavesh Tailor) sowie der interne Datenschutzbeauftragte. Zugriff erfolgt über MFA-geschützte Admin-Konsolen und wird selbst geloggt.

Wie lange braucht ihr, um einen Datenschutzvorfall an die Aufsichtsbehörde zu melden?

Innerhalb von 72 Stunden nach Kenntnisnahme gemäß Art. 33 DSGVO. Betroffene Kunden werden parallel oder vorher informiert, abhängig von der Schwere.

Wie sieht der interne Eskalationspfad aus?

Stufe 1: Tech-Lead-on-Call (innerhalb 30 Min). Stufe 2: Geschäftsführung + DSB (innerhalb 2 h). Stufe 3: Externe Anwälte / forensisches Team (innerhalb 24 h, falls erforderlich).

Gibt es einen Incident-Response-Plan?

Ja, dokumentiert. Halbjährlich überprüft, jährlich einmal als Tabletop-Exercise durchgespielt.

Werden Kunden bei einem Vorfall benachrichtigt?

Ja. Bei Vorfällen mit hohem Risiko gemäß Art. 34 DSGVO direkte Benachrichtigung der betroffenen Kunden per E-Mail innerhalb von 72 Stunden, bei niedrigem Risiko Information im Status-Page-Post-Mortem.

Gibt es eine vollständige, aktuelle Liste der Sub-Processoren?

Ja, öffentlich einsehbar unter /sicherheit und in der Datenschutzerklärung. Aktuell: Vercel, Supabase, Anthropic, Resend, Plausible.

Ist mit allen Sub-Processoren ein AVV gemäß Art. 28 DSGVO geschlossen?

Ja. Vercel und Supabase: Standard-DPA über deren Self-Service. Anthropic: Commercial Terms inkl. AVV ab 1.1.2026. Resend und Plausible: Standard-DPA per Self-Service.

Welche Drittlandtransfer-Mechanismen werden verwendet?

Vercel und Anthropic (USA): EU-US Data Privacy Framework + EU-Standardvertragsklauseln (2021/914). Resend (UK): Angemessenheitsbeschluss (EU 2021/1772). Supabase und Plausible: ausschließlich Verarbeitung in EU.

Werden Kunden über Änderungen an der Sub-Processor-Liste informiert?

Ja. Mindestens 30 Tage vor Aktivierung eines neuen Sub-Processors per E-Mail an alle aktiven Account-Owner. Kunden können widersprechen; in dem Fall folgt eine Einzelfallregelung.

Können Kunden ihre Daten exportieren?

Ja. Vollständiger Daten-Export als ZIP (CSV + JSON) jederzeit über die Account-Einstellungen verfügbar. Bereitstellung asynchron innerhalb von 24 Stunden.

Wie wird das Recht auf Löschung umgesetzt (Art. 17 DSGVO)?

Account-Löschung über die Account-Einstellungen, Bestätigung per E-Mail. Vollständige Löschung der Primärdaten innerhalb von 30 Tagen, der Backups innerhalb von 7 weiteren Tagen (PITR-Fenster).

Was passiert mit den Daten nach Vertragsende?

Nach Wahl des Kunden: (a) vollständige Löschung innerhalb von 30 Tagen oder (b) Rückgabe als ZIP-Export plus anschließende Löschung. Buchhaltungsrelevante Daten (Rechnungen) werden aus gesetzlichen Gründen 10 Jahre aufbewahrt (§ 257 HGB / § 147 AO).

Gibt es eine Retention-Policy für inaktive Accounts?

Ja. Trial-Accounts ohne Login werden nach 90 Tagen automatisch gelöscht. Bezahlte Accounts mit gekündigtem Abo werden 90 Tage nach Vertragsende gelöscht (sofern nicht der Kunde explizit eine längere Aufbewahrung wünscht).