Sicherheit & Datenschutz
Sicherheit und Datenschutz haben bei Bundaris denselben Rang wie der Funktionsumfang. Diese Übersicht fasst zusammen, wie wir Mitglieder-, Beitrags- und Finanzdaten schützen und nach welchen Grundsätzen wir die Plattform betreiben.
Details zu jedem Punkt stellen wir für Ihre IT- oder Datenschutz-Prüfung bereit.
Architektur: zwei getrennte Bereiche
Eigenentwickelte Plattform. Der Datenkern ist eine eigenständige Anwendung auf bewährten, etablierten Technologien — kein zusammengesetzter Baukasten aus Fremdkomponenten.
Kleine Angriffsfläche. Bewusst ohne eine Vielzahl fremder Zusatzmodule; jede datenverarbeitende Komponente ist überprüfbar.
Strikte Mandantentrennung. Jede Organisation erhält einen eigenen, abgetrennten Datenbereich; die Bestände verschiedener Mandanten sind technisch voneinander isoliert.
Trennung von der Website
Entkoppelt von WordPress & Co. Die öffentliche Website ist vom Datenkern entkoppelt und erhält keinen Zugriff auf Mitglieder-, Beitrags- oder Finanzdaten.
Nur freigegebene Inhalte, nur lesend. Die Anbindung liefert ausschließlich Inhalte, die der Vorstand öffentlich gestellt hat, und kann in der Plattform nichts verändern.
Abgesichert gegen Manipulation. Angezeigte Inhalte und Formular-Eingaben sind gegen Schadcode und Spam geschützt. Ein Angriff auf die Website erreicht den Datenkern nicht.
Hosting in Deutschland
Serverstandort Deutschland. Ausschließlich deutsche Rechenzentren eines DSGVO-konformen EU-Anbieters. Keine US-Cloud.
Zertifiziertes Rechenzentrum. Nach ISO/IEC 27001:2022 zertifiziert, mit BSI-C5-Typ-2-Testat für Cloud-Sicherheit und KRITIS-Einstufung nach § 8a BSIG.
Durchgängige Transportverschlüsselung. Sämtliche Verbindungen sind per TLS verschlüsselt; die Zertifikate erneuern sich automatisch.
Zugriffsschutz
Mehr-Faktor-Authentifizierung. Auf Wunsch verpflichtend — zusätzlich zum Passwort ein zweiter Faktor, gerätegebundene Passkeys werden unterstützt. Ein gestohlenes Passwort allein genügt nicht.
Passwörter nie im Klartext. Anmeldedaten werden nach anerkanntem Verfahren unkenntlich gemacht.
Abgestuftes Rechtesystem. Jede Rolle sieht und tut nur das Vorgesehene; besonders sensible Aktionen wie der vollständige Datenexport sind dem Inhaber vorbehalten.
Schutz vor automatisierten Angriffen. Restriktive Filterung (Default-Deny), begrenzte Anmeldeversuche und automatische Sperrung bei wiederholten Fehlversuchen.
Administrativer Zugang IP-beschränkbar. Die Verwaltung lässt sich auf feste Adressen oder Netze begrenzen; das Mitglieder-Portal bleibt frei erreichbar.
Datensicherung & Datenhoheit
Regelmäßige, gestaffelte Sicherung. Tägliche Sicherung des gesamten Datenbestands mit gestaffelter Aufbewahrung.
Eigenes Voll-Backup jederzeit. Jede Organisation kann ihren vollständigen Datenbestand selbst exportieren, auf Wunsch zusätzlich verschlüsselt.
Keine Anbieter-Abhängigkeit. Vollständiger Export in offenen Formaten jederzeit möglich — Ihre Daten sind bei uns nie eingeschlossen.
Nachvollziehbarkeit
Revisionssicheres Protokoll. Sicherheitsrelevante Aktionen werden lückenlos festgehalten — einschließlich Datenexporten.
Laufende Überwachung. Fehler- und Anomalie-Erkennung sowie Verfügbarkeits-Prüfungen.
GoBD-konforme Festschreibung. Unveränderbarkeit einmal erfasster Buchungen nach § 146 AO; Korrekturen ausschließlich per Storno.
Datenschutz (DSGVO)
Auftragsverarbeitungsvertrag mit jedem Kunden. Rechtsgrundlage der Verarbeitung in Ihrem Auftrag nach Art. 28 DSGVO.
Transparente Subprozessoren. Alle eingesetzten Dienstleister mit Sitz, Verarbeitungsort und AVV-Status — öffentlich einsehbar.
Betroffenenrechte umgesetzt. Auskunft, Export und Löschung direkt möglich.
Datensparsamkeit. Unter anderem eine cookiefreie Besucherstatistik.
Unterlagen für Ihre Prüfung
Tiefergehende Unterlagen — Auftragsverarbeitungsvertrag (AVV), technisch-organisatorische Maßnahmen (TOM) und das vollständige Sicherheits- und Datenschutzkonzept — stellen wir für Ihre IT- oder Datenschutz-Prüfung auf Anfrage bereit.
Fragen zur Sicherheit? Sprechen Sie mit uns.
AVV, technisch-organisatorische Maßnahmen und das vollständige Sicherheits- und Datenschutzkonzept stellen wir für Ihre IT- oder Datenschutz-Prüfung auf Anfrage bereit.