Datenschutz, kurz und ehrlich. Wir messen nur anonym, welche Seiten ankommen. Cookieless, ohne Werbe-Cookies, ohne Tracker, ohne Weiterverkauf. Du entscheidest, ob die Statistik mitläuft. Details in der Datenschutzerklärung.

    Trust-Center

    Datenfluss, Subprozessoren,
    Sicherheit transparent.

    Welche Daten wo verarbeitet werden, welche Subprozessoren beteiligt sind, welche Sicherheitsmaßnahmen aktiv sind. Für Enterprise-Procurement, DSGVO-Audit und alle die wissen wollen wo ihre Daten leben bevor sie unterschreiben.

    Datenfluss-Pipelines

    Anfrage-Pipeline (Booking, Contact, AI-Check)

    1. 01Formular-Submit auf snap-site.de (TLS 1.3, Edge bei Cloudflare)
    2. 02Cloudflare Pages Function nimmt Request entgegen und validiert (Zod-Schema)
    3. 03Lead-Record landet in Supabase EU-Frankfurt mit DPA
    4. 04Transactional-Email via Resend an Hori plus CEO-BCC plus Kunden-Bestätigung
    5. 05Sentry-Trace für Performance-Monitoring, kein PII-Payload

    KI-Lead-Scoring-Pipeline (sobald aktiviert)

    1. 01Cron-Trigger zieht neue Leads aus Supabase (nur Lead-IDs plus Features)
    2. 02Anonymisiertes Feature-Set zu Anthropic Claude API mit Zero-Retention-Modus
    3. 03Score plus Reasoning landet zurück in Supabase
    4. 04PII verlässt die SnapSite-Infrastruktur nie, nur Feature-Vektoren

    Analytics-Pipeline (cookieless)

    1. 01Plausible-Skript laedt einmal pro Visit, ohne Cookie-Setting
    2. 02Anonymisierte Aggregat-Events an Plausible Frankfurt
    3. 03Plausible aggregiert in Dashboard, kein Personenbezug

    Subprozessoren

    Cloudflare

    AVV ja

    Hosting, DNS, DDoS-Schutz, Pages-Functions

    DACH-Edge plus US-Failover

    Supabase

    AVV ja

    PostgreSQL für ausgewählte Kundenprojekte

    Frankfurt EU

    Resend

    AVV ja

    Transactional-Email-Delivery

    US, EU-Region wählbar

    Sentry

    AVV ja

    Error-Monitoring, Performance-Tracking

    EU-Region aktiv

    Plausible Analytics

    AVV ja

    Cookieless-Web-Analytics

    Frankfurt DE

    Anthropic Claude

    AVV ja

    KI-Reasoning für Lead-Scoring und Content-Hilfe

    US, Zero-Retention-Modus aktiv

    GitHub

    AVV ja

    Source-Code-Hosting, CI/CD

    US, EU-Failover

    Sicherheits-Maßnahmen

    TLS plus HSTS

    Alle Endpoints HTTPS only, HSTS max-age 1 Jahr, includeSubDomains, preload

    Content-Security-Policy

    CSP-Header aktiv mit Whitelist statt Default-Open. Inline-Scripts nur mit Nonce

    Cookie-Strategie

    Cookieless-Standard. Nur essential Session-Cookies. Keine Tracking-Cookies ohne Consent

    Encryption-at-Rest

    PostgreSQL plus Cloudflare KV vollverschlüsselt mit Provider-managed Keys

    Access-Control

    Cloudflare Access mit MFA für alle internen Tools. Externe APIs Token-rotierend

    Backup-Strategy

    Daily-Snapshots der DB mit 30-Tage-Retention. Restore-Test alle 90 Tage

    Incident-Response

    Sentry-Alert plus Slack-Webhook plus Runbook für Sicherheitsvorfälle in unter 2 Stunden

    Penetration-Testing

    Annual Pen-Test durch externen Vendor, nächstes geplant Q3 2026

    Haeufige Fragen aus Procurement

    +Wo werden personenbezogene Daten gespeichert?

    Standardmäßig in der EU. Supabase in Frankfurt für Datenbank, Resend mit EU-Region für Email, Plausible in Frankfurt für Analytics, Sentry mit EU-Region für Error-Tracking. Anthropic Claude läuft in US, aber im Zero-Retention-Modus, ohne dass PII die SnapSite-Infrastruktur verlässt.

    +Wer hat Zugriff auf meine Daten?

    Intern: Hori plus zwei Senior-Engineers mit MFA und Cloudflare-Access-Logging. Subprozessoren nur für den definierten Zweck. Kein Drittanbieter-Zugriff ohne dokumentierten Use-Case. Audit-Logs werden 13 Monate aufbewahrt.

    +Wie wird gewährleistet, dass KI-Modelle keine Daten mitlernen?

    Anthropic Claude API läuft im Zero-Retention-Modus, der per DPA bestätigt ist. Anfragen werden nicht zum Modell-Training verwendet. Lead-Daten werden vor API-Aufruf anonymisiert auf Feature-Vektoren reduziert, keine Klartext-Namen, Email-Adressen oder Telefonnummern verlassen die SnapSite-Infrastruktur.

    +Welche Compliance-Zertifizierungen liegen vor?

    Cloudflare ist ISO 27001 und SOC 2 Type II zertifiziert. Supabase ist SOC 2 Type II zertifiziert plus DSGVO-DPA. Resend, Sentry und Plausible haben SOC 2 Type II. SnapSite selbst arbeitet entlang ISO 27001 ohne formelle Zertifizierung (Audit-Aufwand vs Klienten-Bedarf in Prüfung).

    +Wie funktioniert das Auftragsverarbeitungsverhältnis (AVV) bei SnapSite-Projekten?

    Pro Projekt wird ein AVV nach DSGVO Artikel 28 unterzeichnet, vorab oder spätestens bei Projektstart. SnapSite stellt Standard-AVV-Template bereit, individuelle Anpassungen möglich. Subprozessor-Liste ist Bestandteil des AVV und wird bei Änderungen mit 30-Tage-Vorlauf kommuniziert.

    +Was passiert mit Daten am Projektende?

    Löschfrist standardmäßig 90 Tage nach Projektende, in dieser Zeit Datenexport möglich. Auf Anfrage Sofort-Löschung mit Lösch-Protokoll. Datenexport in Standard-Formaten (CSV, JSON, SQL-Dump). Kein Vendor-Lock-in, Migrations-Unterstützung im Sprintzyklus möglich.

    Procurement-Anfrage oder Security-Whitepaper

    Wir liefern AVV, DSGVO-Dokumentation und Security-Whitepaper auf Anfrage. Pre-Sales-Procurement-Checks werden innerhalb von 48 Stunden bearbeitet. Direkter Kontakt: [email protected].