Kostenlos testen Login

Sicherheitsstandards

Ihre Daten bleiben sicher. Zertifiziert. DSGVO-konform.

Für unsere Kunden – Versicherer, Banken, Energieversorger und tausende mittelständische Unternehmen – ist Sicherheit kein Marketing-Versprechen, sondern Voraussetzung. Auf dieser Seite finden Sie alle relevanten Informationen, wie sicher Flixcheck ist, welche Sicherheitsstandards wir erfüllen, was DSGVO-konform für unsere Software konkret bedeutet und wie Sie unseren Auftragsverarbeitungsvertrag (AVV) erhalten.

DSGVO-konform und auf Enterprise-Niveau

Unsere Sicherheitsstandards

Die folgende Übersicht zeigt im Detail, welche Maßnahmen wir täglich umsetzen, damit Flixcheck als DSGVO-konforme Software auch in regulierten Branchen wie Versicherungen, Banken und Gesundheitswesen Bestand hat. Software-Sicherheit ist bei uns kein Add-on, sondern Architekturprinzip.

Verschlüsselung in Transit & at Rest

Alle Datenübertragungen erfolgen ausschließlich über TLS 1.2+ (HTTPS). Daten im Speicher werden verschlüsselt abgelegt. Schlüsselverwaltung erfolgt nach den Empfehlungen des BSI.

Hosting ausschließlich in Deutschland

Alle Daten werden in Rechenzentren in Deutschland verarbeitet und gespeichert. Es findet kein Drittlandtransfer statt – damit entfallen die Risiken aus dem CLOUD Act und vergleichbaren US-Regelungen.

Zugriffsschutz: SSO

Im Enterprise-Setup unterstützt Flixcheck Single Sign-on über SAML 2.0 – kompatibel mit Azure AD/Entra ID, Okta, Keycloak und vergleichbaren Identity-Providern.

Rollen- und Rechtekonzept

Granulare Berechtigungen pro User, Team und Mandant. Sensible Aktionen sind durch zusätzliche Bestätigungen geschützt. Audit-Logs dokumentieren jede sicherheitsrelevante Aktion.

Backups & Recovery

Tägliche, verschlüsselte Backups mit georedundanter Speicherung in deutschen Rechenzentren. Definierte Recovery-Zeitziele (RTO/RPO) für Wiederherstellungsfälle.

eIDAS-konforme Unterschriften

Drei Sicherheitsstufen für elektronische Unterschriften: EES (einfach), FES (fortgeschritten mit 2FA), QES (qualifiziert mit geprüfter Identität).

Pen-Tests, Schwachstellen-Management & Monitoring

Regelmäßige Penetrationstests durch externe, unabhängige Sicherheitsdienstleister. Kontinuierliches Schwachstellen-Scanning, 24/7-Monitoring und ein definierter Incident-Response-Prozess.

Datenschutz-by-Design & by-Default

Datenschutz ist in jedes Feature von Beginn an eingebaut – nicht nachträglich aufgesetzt. Eingaben werden minimiert, Speicherfristen sind konfigurierbar, Lösch- und Auskunftsprozesse vollständig digitalisiert.

Sie haben spezifische Anforderungen an die Sicherheit Ihrer neuen Software?

Unsere Datenschutz- und Sicherheits-Expert:innen beantworten in einem persönlichen Gespräch gerne alle offenen Fragen zur Nutzung von Flixcheck. Auf Wunsch beziehen wir auf Ihrer Seite Ihre IT-Sicherheits- und Datenschutz-Beauftragten direkt mit ein.

Beratungstermin anfragen

ISO 27001

Ihre Daten in zertifizierter Sicherheit.

Flixcheck ist offiziell nach ISO 27001 zertifiziert – dem international anerkannten Standard für Informationssicherheits-Managementsysteme. Damit erfüllen wir nachweislich höchste Anforderungen an den Schutz Ihrer Daten und der Daten Ihrer Kund:innen. Ergänzt wird die Zertifizierung durch eine DSGVO-konforme Datenverarbeitung, eIDAS-konforme elektronische Unterschriften (EES, FES, QES) und ein Hosting ausschließlich in deutschen Rechenzentren. So bietet Flixcheck ein Sicherheitsniveau, das auch in regulierten Branchen wie Versicherungen, Banken und dem Gesundheitswesen Bestand hat. 

Mehr zu Sicherheitsstandards

Auftragsverarbeitungsvertrag (AVV)

DSGVO-konform vorbereitet zum Download

Für jede DSGVO-konforme Nutzung von Flixcheck als Software ist ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO Voraussetzung. Unseren AVV stellen wir vorbereitet zur Verfügung – Sie können ihn vorab prüfen, mit Ihrer Rechtsabteilung abstimmen und im Rahmen Ihres Vertrages mit uns abschließen.

AVV (PDF) herunterladen

FAQ

Häufig gestellte Fragen

zu Software-Sicherheit und DSGVO-Konformität

  • Ja. Flixcheck ist nachweislich sicher und erfüllt die höchsten Standards für DSGVO-konforme SaaS-Software: ISO 27001-zertifiziertes Informationssicherheits-Managementsystem, Hosting in deutschen Rechenzentren ohne Drittlandtransfer, TLS-Verschlüsselung in Transit und Verschlüsselung at Rest und Single Sign-on, eIDAS-konforme Unterschriften (EES, FES, QES), regelmäßige Penetrationstests durch externe Sicherheitsdienstleister sowie ein vorbereiteter Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Zusätzlich ist Software-Sicherheit als Architekturprinzip („Security by Design") verankert – nicht als nachträgliches Add-on.

  • Eine DSGVO-konforme Software muss mindestens vier Anforderungen erfüllen:  

    1. Erstens technisch-organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO – darunter Verschlüsselung, Zugriffskontrolle, Backup-Konzept und Notfallplan.  
    1. Zweitens einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.  
    1. Drittens definierte Lösch- und Aufbewahrungsregeln.  
    1. Viertens nachweisbare Datenverarbeitung in der EU – idealerweise ohne Drittlandtransfer.  

    Eine ISO 27001-Zertifizierung ist nicht zwingend, gilt aber als Goldstandard für nachweisbare Software-Sicherheit und wird von vielen Konzernen als Beschaffungsvoraussetzung gefordert. Flixcheck vereint diese Maßnahmen und verfügt über eine Statement of Applicability (SOA), in der die Umsetzung aller Anforderungen und Anhänge der ISO 27001 dokumentiert sind. 

  • DSGVO-konform bedeutet für eine SaaS-Software, dass die Verarbeitung personenbezogener Daten im Einklang mit der EU-Datenschutz-Grundverordnung erfolgt. Konkret heißt das:  

    • Datenminimierung (nur erforderliche Daten erfassen),  
    • Zweckbindung (Daten nur für definierte Zwecke nutzen),  
    • Speicherbegrenzung (Lösch- und Aufbewahrungsregeln),  
    • Integrität und Vertraulichkeit (technische Schutzmaßnahmen),  
    • Rechenschaftspflicht (Dokumentation aller Verarbeitungstätigkeiten)  
    • sowie die Einbindung in einen Auftragsverarbeitungsvertrag.  

    Flixcheck unterstützt Auskunfts-, Berichtigungs- und Löschungsanfragen Betroffener prozessual und stellt die nötigen Funktionen bereit. 

  • Die ISO 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS) und damit der Maßstab für überprüfbare Unternehmenssicherheit. Sie zertifiziert nicht ein einzelnes Produkt, sondern das gesamte Unternehmen, identifiziert Risiken, kontrolliert und reduziert. Ein ISO 27001-zertifiziertes Unternehmen bietet damit nachweisbare Garantien bei Themen wie Zugriffskontrolle, Verschlüsselung, Lieferanten-Management, Mitarbeitersensibilisierung, Notfallplanung und Incident-Response. Die Zertifizierung wird regelmäßig durch unabhängige Auditor:innen erneut geprüft. Flixcheck ist bereits seit 2024 ein ISO 27001 zertifiziertes Unternehmen.

  • Flixcheck verarbeitet Daten ausschließlich innerhalb der EU, in einzelnen Mitgliedsstaaten, dessen Datenschutzaufsicht klar zuordenbar ist. Flixcheck wird darüber hinaus in Deutschland gehostet, dies gilt aktuell als der höchste praktikable Standard, weil deutsche Datenschutzbehörden besonders strikt agieren und kein Drittlandtransfer in die USA oder andere unsichere Drittländer entstehen. Letzteres ist nach den EuGH-Urteilen Schrems I und II besonders relevant – Software-Sicherheit hängt damit unmittelbar an der Wahl des Hostingstandorts.

  • Die eIDAS-Verordnung der EU definiert drei Stufen elektronischer Unterschriften:  

     

    1. Die Einfache Elektronische Signatur (EES) – schnell und unkompliziert für Alltagsprozesse mit geringem Risiko, etwa AGB-Bestätigungen.  
    2. Die Fortgeschrittene Elektronische Signatur (FES) – mit 2FA und höherer Beweiskraft, geeignet für Verträge mit erhöhten Nachweisanforderungen.  
    3. Die Qualifizierte Elektronische Signatur (QES) – mit geprüfter Identität, ersetzt rechtlich vollständig die handschriftliche Unterschrift.  

    Flixcheck stellt alle drei Stufen pro Vorgang bereit. 

  • Ein Auftragsverarbeitungsvertrag (AVV) regelt nach Art. 28 DSGVO die Beziehung zwischen Verantwortlicher (Kund:in der Software) und Auftragsverarbeiterin (Software-Anbieter:in). Er legt fest, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden, welche technisch-organisatorischen Maßnahmen die Auftragsverarbeiterin ergreift, welche Subunternehmer eingebunden sind und wie Lösch- und Rückgabe-Pflichten nach Vertragsende geregelt werden. Eine DSGVO-konforme Software stellt einen vorbereiteten AVV als Standard-Dokument bereit – Anpassungen durch die Rechtsabteilung der Kund:innen sind im Rahmen klar markierter Klauseln möglich.

  • Software-Sicherheit setzt heute zwei Verschlüsselungs-Ebenen voraus:  

    1. Transport-Verschlüsselung über TLS 1.2 oder höher (HTTPS) für jede Datenübertragung zwischen Endgerät und Server.
    2. Verschlüsselung „at Rest" – also der gespeicherten Daten auf den Servern – mit anerkannten Algorithmen wie AES-256. Schlüsselverwaltung sollte nach den Empfehlungen des BSI erfolgen, idealerweise mit getrennten Key-Management-Systemen.
    3. Zusätzlich sind Backups verschlüsselt zu speichern.  

    Flixcheck dokumentiert diese Maßnahmen über eine Statement of Applicability (SOA), in der die Umsetzung aller Anforderungen und Anhänge der ISO 27001 dokumentiert wird. 

  • Flixcheck, als DSGVO-konforme Software eines europäischen Anbieters, unterscheidet sich von vielen US-Anbietern in drei Punkten:  

    1. Erstens Hosting-Standort – ausschließlich in der EU, bei uns in Deutschland, ohne Drittlandtransfer.  
    2. Rechtlicher Rahmen – Anbieter unterliegen direkt der DSGVO und nicht dem US-CLOUD Act, der US-Behörden Zugriff auf Daten von US-Konzernen weltweit erlaubt.  
    3. Vorbereiteter AVV nach Art. 28 DSGVO. 

Bereit für digitale Kundenkommunikation?

Starten Sie kostenlos. Kein Abo, keine Kreditkarte.
Über 50.000 Nutzer:innen vertrauen Flixcheck.

Kostenlos testen Demo vereinbaren
Sofort starten
Testcheck
Sofort starten
Testcheck