Stand Juni 2026

Sicherheit & Datenschutz

Sicherheit und Datenschutz haben bei Bundaris denselben Rang wie der Funktionsumfang. Diese Übersicht fasst zusammen, wie wir Mitglieder-, Beitrags- und Finanzdaten schützen und nach welchen Grundsätzen wir die Plattform betreiben.

Details zu jedem Punkt stellen wir für Ihre IT- oder Datenschutz-Prüfung bereit.

Architektur: zwei getrennte Bereiche

  • Eigenentwickelte Plattform. Der Datenkern ist eine eigenständige Anwendung auf bewährten, etablierten Technologien — kein zusammengesetzter Baukasten aus Fremdkomponenten.

  • Kleine Angriffsfläche. Bewusst ohne eine Vielzahl fremder Zusatzmodule; jede datenverarbeitende Komponente ist überprüfbar.

  • Strikte Mandantentrennung. Jede Organisation erhält einen eigenen, abgetrennten Datenbereich; die Bestände verschiedener Mandanten sind technisch voneinander isoliert.

Trennung von der Website

  • Entkoppelt von WordPress & Co. Die öffentliche Website ist vom Datenkern entkoppelt und erhält keinen Zugriff auf Mitglieder-, Beitrags- oder Finanzdaten.

  • Nur freigegebene Inhalte, nur lesend. Die Anbindung liefert ausschließlich Inhalte, die der Vorstand öffentlich gestellt hat, und kann in der Plattform nichts verändern.

  • Abgesichert gegen Manipulation. Angezeigte Inhalte und Formular-Eingaben sind gegen Schadcode und Spam geschützt. Ein Angriff auf die Website erreicht den Datenkern nicht.

Hosting in Deutschland

  • Serverstandort Deutschland. Ausschließlich deutsche Rechenzentren eines DSGVO-konformen EU-Anbieters. Keine US-Cloud.

  • Zertifiziertes Rechenzentrum. Nach ISO/IEC 27001:2022 zertifiziert, mit BSI-C5-Typ-2-Testat für Cloud-Sicherheit und KRITIS-Einstufung nach § 8a BSIG.

  • Durchgängige Transportverschlüsselung. Sämtliche Verbindungen sind per TLS verschlüsselt; die Zertifikate erneuern sich automatisch.

Zugriffsschutz

  • Mehr-Faktor-Authentifizierung. Auf Wunsch verpflichtend — zusätzlich zum Passwort ein zweiter Faktor, gerätegebundene Passkeys werden unterstützt. Ein gestohlenes Passwort allein genügt nicht.

  • Passwörter nie im Klartext. Anmeldedaten werden nach anerkanntem Verfahren unkenntlich gemacht.

  • Abgestuftes Rechtesystem. Jede Rolle sieht und tut nur das Vorgesehene; besonders sensible Aktionen wie der vollständige Datenexport sind dem Inhaber vorbehalten.

  • Schutz vor automatisierten Angriffen. Restriktive Filterung (Default-Deny), begrenzte Anmeldeversuche und automatische Sperrung bei wiederholten Fehlversuchen.

  • Administrativer Zugang IP-beschränkbar. Die Verwaltung lässt sich auf feste Adressen oder Netze begrenzen; das Mitglieder-Portal bleibt frei erreichbar.

Datensicherung & Datenhoheit

  • Regelmäßige, gestaffelte Sicherung. Tägliche Sicherung des gesamten Datenbestands mit gestaffelter Aufbewahrung.

  • Eigenes Voll-Backup jederzeit. Jede Organisation kann ihren vollständigen Datenbestand selbst exportieren, auf Wunsch zusätzlich verschlüsselt.

  • Keine Anbieter-Abhängigkeit. Vollständiger Export in offenen Formaten jederzeit möglich — Ihre Daten sind bei uns nie eingeschlossen.

Nachvollziehbarkeit

  • Revisionssicheres Protokoll. Sicherheitsrelevante Aktionen werden lückenlos festgehalten — einschließlich Datenexporten.

  • Laufende Überwachung. Fehler- und Anomalie-Erkennung sowie Verfügbarkeits-Prüfungen.

  • GoBD-konforme Festschreibung. Unveränderbarkeit einmal erfasster Buchungen nach § 146 AO; Korrekturen ausschließlich per Storno.

Datenschutz (DSGVO)

  • Auftragsverarbeitungsvertrag mit jedem Kunden. Rechtsgrundlage der Verarbeitung in Ihrem Auftrag nach Art. 28 DSGVO.

  • Transparente Subprozessoren. Alle eingesetzten Dienstleister mit Sitz, Verarbeitungsort und AVV-Status — öffentlich einsehbar.

  • Betroffenenrechte umgesetzt. Auskunft, Export und Löschung direkt möglich.

  • Datensparsamkeit. Unter anderem eine cookiefreie Besucherstatistik.

Unterlagen für Ihre Prüfung

Tiefergehende Unterlagen — Auftragsverarbeitungsvertrag (AVV), technisch-organisatorische Maßnahmen (TOM) und das vollständige Sicherheits- und Datenschutzkonzept — stellen wir für Ihre IT- oder Datenschutz-Prüfung auf Anfrage bereit.

Fragen zur Sicherheit? Sprechen Sie mit uns.

AVV, technisch-organisatorische Maßnahmen und das vollständige Sicherheits- und Datenschutzkonzept stellen wir für Ihre IT- oder Datenschutz-Prüfung auf Anfrage bereit.