← Zurück zur Startseite

Sicherheit & Datenschutz

Wir behaupten nicht nur, dass Ihre Vereinsdaten sicher sind — wir beweisen es. Jede Sicherheitsmaßnahme ist unabhängig überprüfbar.

Überprüfen Sie es selbst

Klicken Sie auf einen Test — die Ergebnisse kommen direkt vom unabhängigen Anbieter, nicht von uns.

Mozilla Observatory

HTTP-Header-Sicherheit, CSP, HSTS, X-Frame-Options und mehr.

A+
Jetzt prüfen

SSL Labs

TLS-Konfiguration, Zertifikatskette, Protokollversionen.

A+
Jetzt prüfen

Security Headers

Content-Security-Policy, Strict-Transport-Security, Referrer-Policy.

A+
Jetzt prüfen

Hardenize

DNS, E-Mail, TLS, HTTP-Sicherheit — Gesamtanalyse in einem Bericht.

A
Jetzt prüfen

Architektur im Detail

Mehrere unabhängige Sicherheitsschichten — jede Ebene schützt einzeln.

DSGVO-konform

  • Server ausschließlich in Frankfurt (EU) — kein US-Datentransfer
  • Datenexport jederzeit möglich (Art. 20 DSGVO)
  • Kontolöschung auf Anfrage (Art. 17 DSGVO)
  • AVV-Vertrag (Auftragsverarbeitung) sofort verfügbar
  • Kein Tracking, keine Drittanbieter-Cookies

GoBD-Auditprotokoll

  • Unveränderliches Protokoll aller Aktionen
  • Datenbanktrigger verhindern UPDATE und DELETE
  • 28 API-Routen lückenlos protokolliert
  • 10 Jahre Aufbewahrung (Abgabenordnung §147)
  • Prüfsicher für Finanzamt und Kassenprüfer

IBAN-Verschlüsselung

  • AES-256-Verschlüsselung über Supabase Vault
  • Schlüssel nur serverseitig zugreifbar (service_role)
  • Mitglieder sehen nur die letzten 4 Ziffern
  • Kassenwart sieht die volle IBAN (für SEPA)
  • Verschlüsselungsfunktionen nicht öffentlich aufrufbar

Mandantentrennung

  • 51 Row-Level-Security-Richtlinien in der Datenbank
  • Jede Abfrage auf verein_id eingeschränkt
  • Auth-Guards auf jeder API-Route (requireKassenwart / requireMitglied)
  • WITH CHECK verhindert Verein-Wechsel bei Updates
  • Verein A kann niemals Daten von Verein B sehen

Passwortlos sicher

  • Anmeldung per Magic Link (E-Mail-Verifizierung)
  • Passkey / WebAuthn als Alternative (FIDO2)
  • Keine Passwort-Datenbank, die gehackt werden kann
  • 7-Tage-Sitzungslimit erzwingt erneute Verifizierung
  • 15 Anfragen pro 15 Minuten auf Auth-Endpunkte

Rate-Limiting

  • 6-stufiges System: Auth, Mutation, Export, Bulk, Admin, Read
  • Verteiltes Rate-Limiting über Upstash Redis
  • Fail-Closed bei Auth, Export und Bulk (im Zweifel blockieren)
  • IP + User-ID als Identifier (kein Spoofing möglich)
  • PDF-Export: max. 10/Stunde, SEPA-Export: max. 10/Stunde

Weitere Schutzmaßnahmen

Content Security Policy

Nonce-basiert pro Anfrage. Kein unsafe-inline, kein unsafe-eval. strict-dynamic für Skripte.

CSRF-Schutz

Strikte Origin-Header-Validierung auf allen Mutationen (POST, PATCH, DELETE).

HTML-Sanitisierung

Alle Nutzereingaben werden serverseitig bereinigt. XSS-Schutz auf jeder Mutation.

Sitzungs-Ablauf

Harter 7-Tage-Limit. Keine endlose Token-Verlängerung. Standard für Finanz-Apps.

Privilege-Escalation-Schutz

Zod-Schemas beschränken editierbare Felder. DB-Trigger blockieren Änderungen an geschützten Spalten.

Schwachstellen-Scans

Regelmäßige Tests mit Mozilla Observatory, SSL Labs, OWASP ZAP und Nuclei.

Compliance & Standards

BeitragsKlar erfüllt diese deutschen und europäischen Standards:

DSGVO / GDPR

EU-Datenschutz-Grundverordnung

GoBD

Grundsätze ordnungsmäßiger Buchführung

EN 16931

Europäischer E-Rechnungsstandard

SEPA pain.008

SEPA-Lastschriftformat

Zusammenfassung

BeitragsKlar wurde von Anfang an mit Sicherheit als Kernprinzip entwickelt. Jede Funktion durchläuft eine 10-Punkte-Sicherheits-Checkliste. Alle Schutzmaßnahmen sind unabhängig verifizierbar — kein anderer Anbieter für Vereinsverwaltung bietet diese Transparenz.

51 RLS-Richtlinien AES-256-Verschlüsselung 6-stufiges Rate-Limiting GoBD-konform

Überzeugt?

Testen Sie BeitragsKlar 30 Tage kostenlos. Keine Kreditkarte nötig.

30 Tage kostenlos testen