Software-Sicherheit & DSGVO
Für unsere Kund:innen – Versicherer, Banken, Energieversorger, Gesundheitseinrichtungen und Tausende mittelständische Unternehmen – ist Sicherheit kein Marketing-Versprechen, sondern Voraussetzung. Auf dieser Seite finden Sie alle relevanten Informationen, ob Flixcheck sicher ist, welche Sicherheitsstandards wir erfüllen, was DSGVO-konform für unsere Software konkret bedeutet – und wie Sie unseren Auftragsverarbeitungsvertrag (AVV) erhalten.
Features
Die folgende Übersicht zeigt im Detail, welche Maßnahmen wir täglich umsetzen, damit Flixcheck als DSGVO-konforme Software auch in regulierten Branchen wie Versicherungen, Banken und Gesundheitswesen Bestand hat. Software-Sicherheit ist bei uns kein Add-on, sondern Architekturprinzip.
Alle Datenübertragungen erfolgen ausschließlich über TLS 1.2+ (HTTPS). Daten im Speicher werden verschlüsselt abgelegt. Schlüsselverwaltung erfolgt nach den Empfehlungen des BSI.
Alle Daten werden in zertifizierten Rechenzentren in Deutschland verarbeitet und gespeichert. Es findet kein Drittlandtransfer statt – damit entfallen die Risiken aus dem CLOUD Act und vergleichbaren US-Regelungen.
Zwei-Faktor-Authentifizierung ist für alle Konten verfügbar. Im Enterprise-Setup unterstützt Flixcheck Single Sign-on über SAML 2.0 und OIDC – kompatibel mit Azure AD/Entra ID, Okta, Keycloak und vergleichbaren Identity-Providern.
Granulare Berechtigungen pro User, Team und Mandant. Sensible Aktionen sind durch zusätzliche Bestätigungen geschützt. Audit-Logs dokumentieren jede sicherheitsrelevante Aktion.
Tägliche, verschlüsselte Backups mit georedundanter Speicherung in deutschen Rechenzentren. Definierte Recovery-Zeitziele (RTO/RPO) für Wiederherstellungsfälle.
Drei Sicherheitsstufen für elektronische Unterschriften: EES (einfach), FES (fortgeschritten mit 2FA), QES (qualifiziert mit geprüfter Identität). Jede Unterschrift wird audit-fähig protokolliert.
Regelmäßige Penetrationstests durch externe, unabhängige Sicherheitsdienstleister. Kontinuierliches Schwachstellen-Scanning, 24/7-Monitoring und ein definierter Incident-Response-Prozess.
Datenschutz ist in jedes Feature von Beginn an eingebaut – nicht nachträglich aufgesetzt. Eingaben werden minimiert, Speicherfristen sind konfigurierbar, Lösch- und Auskunftsprozesse vollständig digitalisiert.
Detaillierte technische Sicherheits-Dokumentationen (z. B. zu Verschlüsselung, Backup-Konzept, Pen-Test-Berichten oder TOMs nach Art. 32 DSGVO) stellen wir nach Anfrage über die Datenschutz-Beratung zur Verfügung.
Unsere Datenschutz- und Sicherheits-Expert:innen beantworten in einem persönlichen Gespräch alle Fragen, die über die öffentlichen Informationen hinausgehen – etwa zu Pen-Test-Reports, technisch-organisatorischen Maßnahmen (TOMs), Branchen-Compliance (BaFin, KRITIS, Patientenrechte-Gesetz) oder Custom-SSO-Setups. Auf Wunsch beziehen wir auf Ihrer Seite Ihre IT-Sicherheits- und Datenschutz-Beauftragten direkt mit ein.
Auftragsverarbeitungsvertrag (AVV)
Für jede DSGVO-konforme Nutzung von Flixcheck als Software ist ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO Voraussetzung. Unseren AVV stellen wir vorbereitet zur Verfügung – Sie können ihn vorab prüfen, mit Ihrer Rechtsabteilung abstimmen und im Rahmen Ihres Vertrages mit uns abschließen.
FAQ
Ja. Flixcheck ist nachweislich sicher und erfüllt die höchsten Standards für DSGVO-konforme SaaS-Software: ISO 27001-zertifiziertes Informationssicherheits-Managementsystem, Hosting ausschließlich in deutschen Rechenzentren ohne Drittlandtransfer, TLS-Verschlüsselung in Transit und Verschlüsselung at Rest, 2FA und Single Sign-on, eIDAS-konforme Unterschriften (EES, FES, QES), regelmäßige Penetrationstests durch externe Sicherheitsdienstleister sowie ein vorbereiteter Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Zusätzlich ist Software-Sicherheit als Architekturprinzip („Security by Design") verankert – nicht als nachträgliches Add-on.
Eine DSGVO-konforme Software muss mindestens vier Anforderungen erfüllen: Erstens technisch-organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO – darunter Verschlüsselung, Zugriffskontrolle, Backup-Konzept und Notfallplan. Zweitens einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Drittens definierte Lösch- und Aufbewahrungsregeln. Viertens nachweisbare Datenverarbeitung in der EU – idealerweise ohne Drittlandtransfer. Eine ISO 27001-Zertifizierung ist nicht zwingend, gilt aber als Goldstandard für nachweisbare Software-Sicherheit und wird von vielen Konzernen als Beschaffungsvoraussetzung gefordert.
DSGVO-konform bedeutet für eine SaaS-Software, dass die Verarbeitung personenbezogener Daten im Einklang mit der EU-Datenschutz-Grundverordnung erfolgt. Konkret heißt das: Datenminimierung (nur erforderliche Daten erfassen), Zweckbindung (Daten nur für definierte Zwecke nutzen), Speicherbegrenzung (Lösch- und Aufbewahrungsregeln), Integrität und Vertraulichkeit (technische Schutzmaßnahmen), Rechenschaftspflicht (Dokumentation aller Verarbeitungstätigkeiten) sowie die Einbindung in einen Auftragsverarbeitungsvertrag. Eine DSGVO-konforme Software unterstützt Auskunfts-, Berichtigungs- und Löschungsanfragen Betroffener prozessual und stellt die nötigen Funktionen bereit.
Die ISO 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS) und damit der Maßstab für überprüfbare Software-Sicherheit. Sie zertifiziert nicht ein einzelnes Produkt, sondern den gesamten Prozess, mit dem ein Unternehmen Risiken identifiziert, kontrolliert und reduziert. Eine ISO 27001-zertifizierte Software bietet damit nachweisbare Garantien bei Themen wie Zugriffskontrolle, Verschlüsselung, Lieferanten-Management, Mitarbeitersensibilisierung, Notfallplanung und Incident-Response. Die Zertifizierung wird regelmäßig durch unabhängige Auditor:innen erneut geprüft.
Eine DSGVO-konforme Software sollte Daten ausschließlich innerhalb der EU verarbeiten – idealerweise in einem einzelnen Mitgliedsstaat, dessen Datenschutzaufsicht klar zuordenbar ist. Hosting in Deutschland gilt aktuell als der höchste praktikable Standard, weil die deutschen Datenschutzbehörden besonders strikt agieren und kein Drittlandtransfer in die USA oder andere unsichere Drittländer entsteht. Letzteres ist nach den EuGH-Urteilen Schrems I und II besonders relevant – Software-Sicherheit hängt damit unmittelbar an der Wahl des Hostingstandorts.
Die eIDAS-Verordnung der EU definiert drei Stufen elektronischer Unterschriften: Erstens die Einfache Elektronische Signatur (EES) – schnell und unkompliziert für Alltagsprozesse mit geringem Risiko, etwa AGB-Bestätigungen. Zweitens die Fortgeschrittene Elektronische Signatur (FES) – mit 2FA und höherer Beweiskraft, geeignet für Verträge mit erhöhten Nachweisanforderungen. Drittens die Qualifizierte Elektronische Signatur (QES) – mit geprüfter Identität, ersetzt rechtlich vollständig die handschriftliche Unterschrift. Eine DSGVO-konforme Software sollte alle drei Stufen pro Vorgang einstellbar bereitstellen und audit-fähig protokollieren.
Ein Auftragsverarbeitungsvertrag (AVV) regelt nach Art. 28 DSGVO die Beziehung zwischen Verantwortlicher (Kund:in der Software) und Auftragsverarbeiterin (Software-Anbieter:in). Er legt fest, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden, welche technisch-organisatorischen Maßnahmen die Auftragsverarbeiterin ergreift, welche Subunternehmer eingebunden sind und wie Lösch- und Rückgabe-Pflichten nach Vertragsende geregelt werden. Eine DSGVO-konforme Software stellt einen vorbereiteten AVV als Standard-Dokument bereit – Anpassungen durch die Rechtsabteilung der Kund:innen sind im Rahmen klar markierter Klauseln möglich.
Software-Sicherheit setzt heute zwei Verschlüsselungs-Ebenen voraus: Erstens Transport-Verschlüsselung über TLS 1.2 oder höher (HTTPS) für jede Datenübertragung zwischen Endgerät und Server. Zweitens Verschlüsselung „at Rest" – also der gespeicherten Daten auf den Servern – mit anerkannten Algorithmen wie AES-256. Schlüsselverwaltung sollte nach den Empfehlungen des BSI erfolgen, idealerweise mit getrennten Key-Management-Systemen. Zusätzlich sind Backups verschlüsselt zu speichern. Eine DSGVO-konforme Software dokumentiert diese Maßnahmen in den TOMs.
Single Sign-on (SSO) ist ein zentrales Element moderner Software-Sicherheit: Es ermöglicht die Anmeldung einer Software über einen zentralen Identity-Provider (z. B. Azure AD/Entra ID, Okta, Keycloak) – Benutzer:innen pflegen ihre Zugangsdaten an einer einzigen Stelle, Unternehmen können Zugriff bei Austritt sofort entziehen. SSO erhöht damit gleichzeitig Komfort und Sicherheit, weil schwache, mehrfach verwendete Passwörter entfallen. Eine DSGVO-konforme Software sollte SAML 2.0 oder OIDC unterstützen, idealerweise zusätzlich Just-in-Time-Provisioning und SCIM für die Benutzerverwaltung.
DSGVO-konforme Software europäischer Anbieter unterscheidet sich von vielen US-Anbietern in drei Punkten: Erstens Hosting-Standort – ausschließlich in der EU, idealerweise in Deutschland, ohne Drittlandtransfer. Zweitens rechtlicher Rahmen – Anbieter unterliegen direkt der DSGVO und nicht dem US-CLOUD Act, der US-Behörden Zugriff auf Daten von US-Konzernen weltweit erlaubt. Drittens vorbereiteter AVV nach Art. 28 DSGVO ohne ergänzende Standardvertragsklauseln (SCC). Nach den EuGH-Urteilen Schrems I und II ist diese Unterscheidung in regulierten Branchen (Versicherung, Bank, Gesundheit) faktisch entscheidend für die Beschaffungs-Entscheidung.
Bei einem Datenschutzvorfall in einer SaaS-Software haften je nach Verursachung Verantwortliche und Auftragsverarbeiter unterschiedlich: Die Verantwortliche (Kund:in der Software) trägt die primäre Verantwortung gegenüber Betroffenen. Die Auftragsverarbeiterin (Software-Anbieter:in) haftet, wenn der Vorfall auf ihrer Seite verursacht wurde – z. B. durch unzureichende technisch-organisatorische Maßnahmen. Konkret geregelt wird das im AVV. Eine DSGVO-konforme Software unterstützt zudem die nach Art. 33 DSGVO geforderte Meldepflicht: Vorfälle werden dokumentiert und können binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.
Starten Sie kostenlos. Kein Abo, keine Kreditkarte.
Über 30.000 Unternehmen vertrauen Flixcheck.
Sie sehen gerade einen Platzhalterinhalt von Active Campaign. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
