← Zurück

Sicherheit & Datenschutz

Deine Kundendaten sind dein Geschäft. Wir behandeln sie entsprechend. Diese Seite erklärt klar und ohne Marketing-Floskeln, wie SimpleCRM technisch und organisatorisch schützt.

Stand: 15.6.2026

Datenstandort: Europäische Union

Die Web-Anwendung läuft über Vercel in der Region Frankfurt(Deutschland). Die Datenbank liegt bei Supabase in der EU-Region Irland (AWS eu-west-1). Beide Standorte liegen in der Europäischen Union; es findet keine routinemäßige Übermittlung deiner CRM-Inhalte in Drittländer statt.

Verschlüsselung

  • Übertragung: ausschließlich verschlüsselt über TLS (1.2 / 1.3), HTTPS-erzwungen via HSTS.
  • Speicherung: Verschlüsselung im Ruhezustand (AES-256) auf Infrastruktur-Ebene.
  • Passwörter: werden niemals im Klartext gespeichert, sondern als sicherer Hash.

Mandantentrennung (Row Level Security)

SimpleCRM nutzt Row Level Security direkt in der PostgreSQL-Datenbank: Jede Datenzeile ist an deinen Workspace gebunden, und die Datenbank selbst setzt durch, dass niemand Daten eines anderen Kontos lesen oder ändern kann — nicht nur die Anwendung, sondern die Datenbank-Ebene als zweite, harte Schutzschicht. Finanzdaten lassen sich im Team zusätzlich gezielt pro Mitglied freigeben.

Zugriffsschutz

  • Sichere Login-Sessions über HttpOnly-/Secure-Cookies.
  • Optionale PIN-Sperre für den Finanzbereich.
  • Brute-Force-Schutz: Rate-Limiting auf Login, Registrierung und öffentlichen Formularen.
  • In Vorbereitung: Zwei-Faktor-Authentifizierung (2FA / TOTP).

Anwendungs-Härtung

  • Strikte Sicherheits-Header inkl. Content-Security-Policy (CSP) und HSTS.
  • Signaturprüfung eingehender Stripe-Webhooks (manipulationssicher).
  • Schutz vor Open-Redirects und serverseitigen Anfrage-Fälschungen (SSRF).
  • Zeitkonstanter Vergleich sicherheitsrelevanter Geheimnisse.

Zahlungen

Zahlungen werden ausschließlich über Stripe (PCI-DSS-zertifiziert) abgewickelt. Wir speichern keine Kreditkartendaten.

Auftragsverarbeitung (AVV)

Wir stellen einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zur Verfügung. Den Entwurf findest du unter mysimplecrm.de/avv. Für eine unterschriebene Ausfertigung kontaktiere uns unter info@mysimplecrm.de.

Subdienstleister (Subprozessoren)

Zur Erbringung des Dienstes setzen wir folgende sorgfältig ausgewählte Subdienstleister ein. Mit allen bestehen Auftragsverarbeitungsverträge.

DienstleisterZweckStandortSchutz
Supabase Inc.Datenbank & AuthentifizierungEU (AWS, Irland / eu-west-1)AVV, EU-Hosting
Vercel Inc.Anwendungs-Hosting (Web)EU-Server (Region Frankfurt), Sitz USAAVV, Standardvertragsklauseln
Stripe Payments Europe Ltd.ZahlungsabwicklungIrland (EU)AVV, PCI-DSS
Resend Inc.Transaktionaler E-Mail-VersandSitz USA, EU-VersandAVV, Standardvertragsklauseln
Upstash Inc.Rate-Limiting (kurzlebige IP/User-IDs)EU-RegionAVV, kurze Speicherdauer
IONOS SEDomain & E-Mail-PostfachDeutschlandAVV

Sicherheitslücke melden

Du hast eine mögliche Schwachstelle gefunden? Melde sie uns verantwortungsvoll an info@mysimplecrm.de (Betreff „Security"). Wir bestätigen den Eingang und arbeiten an einer zeitnahen Behebung. Siehe auch /.well-known/security.txt.

DatenschutzerklärungAVVImpressum

Cookies, Statistik & Marketing

Mit deiner Zustimmung nutzen wir Google Analytics (Nutzungsstatistik), Google Ads sowie Meta/Facebook (Pixel & Conversions API), um den Erfolg unserer Werbeanzeigen zu messen (Conversion-Tracking). Dabei können Google und Meta Cookies setzen und Daten an Google bzw. Meta weitergeben. Ohne deine Zustimmung laufen diese Dienste nicht bzw. nur im cookielosen Einwilligungsmodus. Eine anonyme, cookielose Reichweiten-Statistik (Vercel Web Analytics) sowie technisch notwendige Cookies (Login-Session) nutzen wir immer. Details und Widerruf in der Datenschutzerklärung.