Deine Daten.
Deine Schule.
Nicht verhandelbar.
Strikte Schul-Trennung per Row-Level Security. Datenbank und Speicher in Paris. Keine Trainings-Daten an KI-Anbieter. AVV digital signiert bei Registrierung.
HOSTING
Supabase EU
Region Paris (FR). Keine US-Server, keine CDN-Weiterleitung außerhalb EU.
DATENBANK
Postgres · EU
Managed Postgres in Paris. RLS auf Tabellen-Ebene, Schul-Kennung im JWT, AVV mit Supabase Pro-Plan.
KI-PROVIDER
Anthropic
Claude-Aufrufe ohne Training-Opt-In. Ephemere Verarbeitung, keine Speicherung auf Anbieter-Seite.
ZAHLUNG
Stripe EU
Stripe Dublin, SCA-konform, PCI-DSS Level 1. Keine Karten auf unseren Servern.
DSGVO-Checkliste
was wir liefern
- AVV (Auftragsverarbeitungsvertrag) digital beim ersten Manage-Login der Schule erzwungen — kein Manage-Zugriff ohne Annahme
- Server ausschließlich in der EU (Hostinger Kaunas, Supabase Paris); Stripe SCC für Drittland-Zahlungsabwicklung
- Subunternehmer-Liste vollständig in der Datenschutzerklärung: Hostinger, Supabase, Stripe, Anthropic, OpenAI, Google Workspace SMTP
- Cookie-Banner ohne Third-Party-Cookies, keine Werbe-Tracker — nur technisch notwendige Session-Cookies
- Art. 15 + 20 DSGVO: Kunden-Datenexport als JSON-Download auf Knopfdruck (Profil, Hunde, Buchungen, Karten, Rechnungen, Trainingspläne; PDF-Anhänge als 24h-Signed-URLs)
- Art. 17 DSGVO: Löschung mit 30-Tage-Grace, dann PII-Anonymisierung (Rechnungen bleiben gemäß §147 AO erhalten)
- §312k Abs. 2 BGB: digitaler Widerrufs-/Kündigungs-Button im Halter-Portal für Abos, mit automatischer Bestätigungsmail (§312k Abs. 4)
- Audit-Log via Postgres-Trigger auf tenants/users/invoices/customer_cards/expenses — append-only, RLS-gesichert
- Passwort-Policy: min. 12 Zeichen, HIBP-Check via Supabase Auth aktiv, Email-Confirm Pflicht
- Rate-Limiting auf sensiblen Endpoints (Login 36/h via Supabase, Contact-Form 3/10min, KI-Quota tier-basiert)
- SQL-Injection-Schutz durch Prepared Statements (Supabase JS-SDK)
- Multi-Tenant-Isolation: 17 Migrationen mit RLS-Policies, jede Tenant-Tabelle scopegetrennt
- Soft-Delete für Hunde/Workshops/Gruppen mit archived-Flag, finaler Hard-Delete bei Account-Anonymisierung
- Keine Trainings-Daten an KI-Anbieter — Anthropic Commercial Tier nutzt API-Daten standardmäßig nicht zum Training
- Stripe-Connect: Schul-Geld geht direkt aufs Connect-Konto, Plattform behält nur konfigurierte Application-Fee
- Datenschutz & Impressum pro Schule mit eigenen Schul-Daten gerendert (kein Template-Abklatsch)
Compliance-Features
DACH-spezifisch
§11 TIERSCHG
Sachkundenachweis
Upload pro Trainer als PDF. Ablaufdatum-Tracking, Reminder 90 Tage vor Ablauf. Pflicht in DE seit 2014.
§19 USTG
Kleinunternehmer
Option pro Schule. Keine USt auf Rechnungen, Kleinunternehmer-Hinweis automatisch ergänzt.
§312G BGB
Widerrufsrecht
Stornobedingungen auto-formuliert. Digitaler Widerruf-Button im Halter-Portal ab Mitte 2025.
§14 USTG
Rechnungs-Pflichtfelder
Lückenlose Nummern-Sequenz pro Schule. USt-Ausweis bei Regelbesteuerung korrekt.
CH-KANTONE
Sachkundenachweis CH
Kantonale Regeln konfigurierbar pro Schule. SKN-Tracking für Kantone, die es noch erfordern.