Sicherheit

Ihre Daten. Ihr Land. Ihr Recht.

Auroplan speichert Ihre Projekte, Fotos und Kunden-Kommunikation in der Europäischen Union. Was das konkret bedeutet, finden Sie hier in fünf Säulen, nicht in einem Hochglanz-PDF.

Hosting

Irland, EU

Datenbank und Dateien in AWS eu-west-1, vertraglich zugesicherte EU-Region.

Recht

Luxemburger DSGVO

Verträge nach Lux-Recht, Aufsicht: CNPD.

Verschlüsselung

TLS 1.3 + AES-256

Übertragung und Speicherung vollständig verschlüsselt.

Backup

Tägliches Backup

Automatisch, täglich, 7 Tage Wiederherstellungsfenster.

Worauf Auroplan aufgebaut ist.

Sicherheit ist kein einzelnes Feature, sondern eine Kombination aus Standort, Architektur, Rechten und Gewohnheiten. Hier sind die fünf Säulen, die Auroplan tragen · jede mit drei nachprüfbaren Punkten.

IDSGVO

Datenverarbeitung nach EU-Recht.

Auroplan ist nach den Grundsätzen der DSGVO aufgebaut. Ihre Daten gehören Ihnen · wir verarbeiten sie ausschließlich zur Erbringung der Leistung, die Sie gebucht haben. Kein Weiterverkauf, kein Profiling, kein Training externer KI-Modelle mit Ihren Projektdaten.

  • Auftragsverarbeitungsvertrag (AVV) mit jedem Kunden · nach Art. 28 DSGVO, Musterformular auf Anfrage.
  • Dokumentiertes Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO.
  • Aufsichtsbehörde: Commission nationale pour la protection des données (CNPD), Luxemburg.
IIHosting

Server stehen in der EU, nicht in Virginia.

Alle Produktions-Daten (Datenbank, Dateispeicher) werden in der AWS-Region eu-west-1 (Irland) gespeichert. Supabase als Plattform-Provider bestätigt die EU-Region vertraglich.

  • Primär-Region: AWS Irland (eu-west-1).
  • Fotos und Dokumente liegen im Supabase Storage in derselben EU-Region.
  • Tägliche automatische Backups innerhalb der EU.
IIIZugriff

Niemand sieht, was er nicht sehen soll.

Auf Datenbank-Ebene greifen Row-Level-Security-Regeln: Admin sieht nur seine eigene Firma, Teammitglieder nur die zugewiesenen Projekte, Bauherren nur ihr Projekt, Gäste nur das konkret freigegebene Projekt. Diese Regeln werden in der Datenbank erzwungen · nicht im Frontend.

  • Row-Level-Security (RLS) aktiv auf allen Tabellen mit personenbezogenen Daten.
  • Least-Privilege-Policies: jeder Datenbank-User hat nur die minimal nötigen Rechte.
  • Ein Audit-Log protokolliert sicherheitsrelevante Änderungen (Rollen, Team-Zugänge, Abrechnungs-Aktionen).
IVVerschlüsselung

Verschlüsselt in Übertragung und Speicherung.

Alle Verbindungen zur App laufen über TLS 1.3. Daten in der Datenbank, Fotos im Storage und Backups werden mit AES-256 verschlüsselt abgelegt. Zugangspasswörter werden ausschließlich als Salted-Hash gespeichert (Supabase Auth), niemals im Klartext.

  • Transport: TLS 1.3, HSTS Preload, automatische Zertifikats-Rotation.
  • Speicherung: AES-256 at rest.
  • Passwörter: Salted-Hash (Supabase Auth), keine Klartext-Log-Ausgabe.
VBackup

Täglich gesichert, gezielt wiederherstellbar.

Ein vollständiges Backup läuft jede Nacht. Gesicherte Stände lassen sich innerhalb eines Aufbewahrungsfensters von 7 Tagen wiederherstellen.

  • Tägliches vollständiges Backup, 7 Tage Aufbewahrung.
  • Backups werden verschlüsselt in der EU gespeichert.
  • Die Aufbewahrung gelöschter Daten endet mit Ablauf des Backup-Fensters.

Was Sie jederzeit verlangen können.

Als Betroffener haben Sie nach der DSGVO konkrete Rechte · und wir sind verpflichtet, Ihnen darauf innerhalb eines Monats zu antworten. Hier sind die vier wichtigsten. Jede Anfrage können Sie formlos per E-Mail an unseren Datenschutz-Kontakt richten.

Auskunft (Art. 15)

Sie fragen, welche Daten wir über Sie gespeichert haben, woher sie stammen und an wen wir sie weitergegeben haben. Wir antworten schriftlich, strukturiert, kostenfrei.

Berichtigung (Art. 16)

Wenn Daten falsch oder unvollständig sind, korrigieren wir sie unverzüglich · und informieren Empfänger, falls Daten weitergegeben wurden.

Löschung (Art. 17)

Sobald die Daten nicht mehr nötig sind oder Sie widerrufen, werden sie aus allen Systemen (auch Backups nach Ablauf der Aufbewahrungsfrist) entfernt.

Datenübertragbarkeit (Art. 20)

Sie bekommen Ihre Daten in einem strukturierten, gängigen Format (CSV, JSON) · und können sie an einen anderen Anbieter mitnehmen.

DPO

Datenschutz-Kontakt

Fragen zum Datenschutz, zu Ihren Rechten oder zu einer konkreten Verarbeitung beantwortet unser Datenschutz-Kontakt. Antwortzeit: innerhalb eines Monats, meist deutlich schneller.

E-MAILsupport@buildflow.lu
POSTLux Digital Solutions S.à r.l.-S · 5, Biirkewee · L-3896 Foetz · Luxemburg

Was Kunden immer fragen.

Kann Auroplan meine Daten für eigene KI-Modelle nutzen?
Nein. Ihre Projektdaten, Fotos, Nachrichten und Kundeninformationen werden niemals zum Training externer oder interner KI-Modelle verwendet. Wenn KI-Funktionen genutzt werden (z. B. zur Bildanalyse), geschieht das ausschließlich zur Erstellung Ihrer Inhalte und für keinen anderen Zweck.
Was passiert mit meinen Daten, wenn ich kündige?
Nach der Kündigung eines kostenpflichtigen Plans läuft Ihr Konto im Free-Plan weiter, Ihre Daten bleiben erhalten. Wenn Sie Ihr Konto löschen, werden alle personenbezogenen Daten innerhalb von 30 Tagen aus den Produktiv-Systemen entfernt, soweit keine gesetzliche Aufbewahrungspflicht besteht. Aus Backups fallen sie nach Ablauf des Wiederherstellungsfensters ebenfalls heraus.
Wer hat intern bei Auroplan Zugriff auf meine Daten?
Produktions-Zugriffe sind auf wenige autorisierte Personen beschränkt und auf definierte Support- und Wartungszwecke begrenzt. Sicherheitsrelevante Änderungen werden protokolliert.
Sind Sie für ISO 27001 oder SOC 2 zertifiziert?
Noch nicht. Zertifizierungen wie ISO 27001 oder SOC 2 sind aufwendig und werden sinnvoll, sobald wir grössere Unternehmenskunden mit entsprechenden Anforderungen bedienen. Bis dahin veröffentlichen wir unsere Sicherheitsarchitektur offen und lassen uns bei Bedarf individuell auditieren.

Wir antworten direkt · nicht formularisiert.

Sicherheit ist ein laufendes Gespräch, keine einmalige Checkliste. Wenn Sie Bedenken haben, eine spezielle Anforderung prüfen müssen oder ein AVV unterzeichnen wollen · schreiben Sie direkt.