knowmindknowmind

Trust-Center

Sicherheit, Hosting und Compliance im Überblick

Diese Seite listet die Maßnahmen auf, mit denen knowmind Ihre Daten schützt und Ihre DSGVO-Rechte wahrt — ohne Marketing-Begriffe, sondern als nachvollziehbare Aufstellung dessen, was tatsächlich umgesetzt ist.

Hosting & Datenstandort

Server in Nürnberg, Deutschland, bei Hetzner Online GmbH

ISO 27001-zertifiziertes Rechenzentrum (FSN1)

Keine Datenübertragung außerhalb der EU, sofern Sie kein US-Modell anbinden

Tägliches Backup der Datenbanken, sieben Tage Vorhaltung

Verschlüsselung

Übertragung: TLS 1.3 mit HSTS-Voreintragung

Eigene KI-Schlüssel: AES-256-GCM mit mandantenspezifischem Schlüssel, Klartext liegt nie dauerhaft im System

Zugriffstoken: kryptographisch gehasht mit serverseitigem Pepper und tokenspezifischem Salt — auch bei vollständigem Datenbank-Zugriff nicht rekonstruierbar

Anmeldung ohne Passwort: Einmal-Link, 15 Minuten Gültigkeit, einmalig einlösbar

Mandantentrennung

Strikte Trennung der Arbeitsbereiche direkt auf Datenbank-Ebene — der Mandantenfilter wird durch die Datenbank erzwungen, unabhängig vom Anwendungscode

Eigener Datenbestand pro Arbeitsbereich, mit Markierung jedes einzelnen Datensatzes

Der Anwendungs-Datenbankbenutzer kann diese Trennung nicht umgehen

Sicherheits-Protokoll pro Arbeitsbereich

Sub-Prozessoren (Stand 2026-05-16)

AnbieterZweckLandAVV
Hetzner Online GmbHServer-HostingDeutschlandgeschlossen
Stripe Payments Europe Ltd.ZahlungsabwicklungIrlandSCC + GDPR
Sendinblue SAS (Brevo)Transaktions-E-MailFrankreichgeschlossen

Änderungen werden mit 30 Tagen Vorlauf an die im Account hinterlegte Adresse angekündigt. Widerspruch + außerordentliche Kündigung möglich.

DSGVO-Rechte

Auskunft (Art. 15): Self-Service-Export im Dashboard, sofort verfügbar

Berichtigung (Art. 16): Erinnerungen lassen sich direkt in der Oberfläche bearbeiten

Löschung (Art. 17): Einzelne Erinnerungen löschen Sie selbst, die vollständige Konto-Löschung beantragen Sie per E-Mail an info@schuebeler-consulting.de — wir bestätigen die Löschung innerhalb von 30 Tagen

Datenübertragbarkeit (Art. 20): JSON-Export, vollständig, ohne Lock-in

Beschwerderecht: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW

Auftragsverarbeitung (AVV)

Für B2B-Kunden ist der AVV nach Art. 28 DSGVO bereits Teil der AGB. Eine separat signierte Fassung auf Briefbogen versenden wir auf Anfrage an info@schuebeler-consulting.de.

AVV-Volltext lesen →

Schwachstellen melden

knowmind betreibt eine offene Security-Policy nach RFC 9116. Wenn Sie eine Schwachstelle finden, melden Sie sie bitte an security@schuebeler-consulting.de. Wir antworten innerhalb von 72 Stunden.

/.well-known/security.txt

Sicherheitsprüfung

Am 16. Mai 2026 hat ein interner Sicherheits-Audit nach OWASP-Top-10 stattgefunden, ergänzt um Tests zur Mandantentrennung. Insgesamt elf Befunde wurden festgestellt:

  • Zwei Befunde der Kategorie kritisch — alle behoben
  • Zwei Befunde der Kategorie hoch — alle behoben
  • Vier Befunde der Kategorie mittel — alle behoben
  • Drei Befunde der Kategorie niedrig — alle behoben

Eine externe Sicherheitsprüfung durch einen unabhängigen Anbieter ist im dritten Quartal 2026 geplant.