Datenschutz bei Contri
Contri wurde von Anfang an mit dem Prinzip Privacy by Design entwickelt. Das bedeutet: Datenschutz ist keine nachträgliche Ergänzung, sondern ein Grundpfeiler der gesamten Architektur. Wir erheben nur die Daten, die für den Betrieb des Dienstes notwendig sind, und speichern sie ausschließlich auf EU-Servern.
Wir setzen keine Tracking-Cookies, keine Analyse-Tools von Drittanbietern und keine Werbepixel ein. Nur technisch notwendige Cookies (z. B. für die Authentifizierung) werden verwendet — dafür ist gemäß § 25 Abs. 2 TDDDG keine gesonderte Einwilligung erforderlich.
EU-Server in Frankfurt
Alle Daten werden auf Servern in Frankfurt am Main gespeichert. Wir nutzen Supabase als Backend-Infrastruktur, deren europäische Server sich in deutschen Rechenzentren befinden. Ihre Vertragsdaten verlassen niemals den EU-Raum.
- Rechenzentrum in Frankfurt am Main, Deutschland
- Supabase EU-Region (aws-eu-central-1)
- Keine Datenübertragung in Drittstaaten
- Georedundante Backups innerhalb der EU
Verschlüsselung
Contri schützt Ihre Daten mit mehreren Verschlüsselungsebenen. Alle Datenübertragungen erfolgen über TLS 1.3 (Transport Layer Security). Gespeicherte Daten werden mit AES-256 verschlüsselt (Encryption at Rest). So sind Ihre Vertragsinhalte sowohl während der Übertragung als auch im Ruhezustand geschützt.
- TLS 1.3 für alle Datenübertragungen
- AES-256 Encryption at Rest
- Verschlüsselte Datenbank-Verbindungen
- Sichere Authentifizierung mit bcrypt-gehashten Passwörtern
DSGVO-Konformität
Contri ist vollständig konform mit der Europäischen Datenschutz-Grundverordnung (DSGVO/GDPR). Wir verarbeiten personenbezogene Daten nur im erforderlichen Umfang, informieren transparent über die Datenverarbeitung und gewährleisten alle Betroffenenrechte.
- Datenminimierung: nur notwendige Daten werden erhoben
- Transparente Datenschutzerklärung
- Recht auf Auskunft, Berichtigung und Löschung
- Keine Tracking- oder Analyse-Cookies
Zugriffsrechte & Datenisolierung
Jeder Nutzer sieht ausschließlich seine eigenen Verträge, Vorlagen und Klauseln. Die Datenisolierung wird auf Datenbankebene durch Row Level Security (RLS) durchgesetzt. Selbst im Falle eines Sicherheitsvorfalls können Nutzer nicht auf Daten anderer Konten zugreifen.
- Row Level Security (RLS) auf Datenbankebene
- Strikte Mandantentrennung
- Kein plattformweiter Admin-Zugriff auf Vertragsinhalte
- Signaturlinks nur mit einmaligem Token gültig
Audit-Trail für Unterschriften
Jede digitale Unterschrift wird mit einem lückenlosen Audit-Trail dokumentiert. Gespeichert werden der exakte Zeitstempel (UTC), die IP-Adresse des Unterzeichners, Browser- und Geräteinformationen sowie der angegebene Ort. Diese Daten dienen als rechtssicherer Nachweis, dass die Unterschrift tatsächlich von der angegebenen Person geleistet wurde.
Nach vollständiger Unterzeichnung wird der Vertrag unveränderbar gespeichert. Das exportierte PDF enthält alle Signaturen und den vollständigen Audit-Trail — bereit zur langfristigen Archivierung.
Standards & Compliance
Contri orientiert sich an anerkannten Sicherheitsstandards und gesetzlichen Anforderungen. Unsere Infrastruktur basiert auf Supabase, das SOC 2 Type II zertifiziert ist und regelmäßigen Sicherheitsaudits unterzogen wird.
eIDAS-Verordnung
Unsere digitale Unterschrift entspricht den Anforderungen der EU-Verordnung Nr. 910/2014 für einfache elektronische Signaturen.
DSGVO / GDPR
Vollständige Konformität mit der Europäischen Datenschutz-Grundverordnung. Datenminimierung, Transparenz und alle Betroffenenrechte gewährleistet.
SOC 2 Type II (Infrastruktur)
Unsere Infrastruktur (Supabase) ist SOC 2 Type II zertifiziert — ein international anerkannter Standard für Sicherheit, Verfügbarkeit und Vertraulichkeit.