Sicherheit & Datenschutz bei Checker

Letzte Aktualisierung: 03.05.2026

Checker richtet sich an Compliance-Manager, Marketing-Teams und Hersteller, die Verpackungsdesigns und Etiketten EU-konform halten müssen. Wir wissen: Wenn Sie uns Ihre Etiketten anvertrauen, vertrauen Sie uns gleichzeitig Geschäftsgeheimnisse, Markenstrategie und mitunter personenbezogene Daten an. Auf dieser Seite dokumentieren wir transparent, wie wir damit umgehen.

Für die rechtsverbindlichen Texte siehe Datenschutzerklärung und Auftragsverarbeitungsvereinbarung.

1. Wo Ihre Daten liegen

  • Datenbank, Authentifizierung, Datei-Speicher: Supabase, Region eu-central-1 (Frankfurt am Main, Deutschland)
  • Web-Hosting und Server-Funktionen: Vercel, Region fra1 (Frankfurt am Main, Deutschland) — im Repository per vercel.json festgeschrieben
  • KI-Analyse: Google Vertex AI, Region europe-west4 (Eemshaven, Niederlande)
  • Transaktionale E-Mails: Hetzner Online GmbH, Deutschland

Die Verarbeitung Ihrer Daten findet ausschließlich innerhalb der EU/EWR statt. Es findet keine aktive Übermittlung in Drittländer statt.

2. Subprozessoren (Auftragsverarbeiter)

Mit allen unten gelisteten Anbietern besteht ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Die vollständige aktuelle Liste pflegen wir in der AVV (Punkt 5) und der Datenschutzerklärung.

AnbieterZweckRegion
SupabaseDB / Auth / Storage / EdgeEU, Frankfurt
VercelHosting der Web-AnwendungEU, Frankfurt
Google Cloud (Vertex AI)KI-gestützte AnalyseEU, Eemshaven (NL)
Hetzner Online GmbHSMTP-VersandDeutschland

3. Was mit Ihren Etiketten passiert

  1. Der Upload geht direkt aus Ihrem Browser in den privaten Supabase-Storage — nicht über einen Zwischenserver.
  2. Eine serverseitige Edge Function lädt die Datei und übermittelt sie an Google Vertex AI in Eemshaven zur Analyse.
  3. Die generierten Findings werden in der Datenbank Ihrem Account zugeordnet und sind nur für Sie und Ihr Team sichtbar.
  4. Die hochgeladenen Originale verbleiben in Ihrem privaten Storage-Bereich und werden ausschließlich Ihnen über zeitlich befristete Signed URLs ausgeliefert.

Kein KI-Training auf Ihren Daten: Google Cloud hat sich im Rahmen des Google Cloud Data Processing Addendum vertraglich verpflichtet, Vertex-AI-Eingaben nicht zum Training eigener Modelle zu verwenden. Die Verarbeitung erfolgt ausschließlich zur Beantwortung der konkreten Analyse-Anfrage.

4. Authentifizierung und Zugriffskontrolle

  • Anmeldung mit E-Mail und Passwort, serverseitig validiert über JWT, in HttpOnly-Cookies abgelegt
  • Passwörter werden ausschließlich gehasht gespeichert (bcrypt via Supabase Auth) — keine Klartext-Ablage
  • Strikte mandantenbasierte Trennung über Row-Level-Security in der Datenbank — Daten anderer Unternehmen sind selbst bei einem Bug im Anwendungscode nicht erreichbar
  • Hochgeladene Dateien liegen in einem privaten Storage-Bucket und werden ausschließlich über kurzlebige Signed URLs ausgeliefert (Standard-TTL 1 Stunde)
  • Server-Funktionen mit erhöhten Rechten laufen durch ein zentrales Auth-Guard-Modul, das ausschließlich System-Tokens oder berechtigte User-Tokens akzeptiert

5. Verschlüsselung

  • In Transit: TLS 1.2+ auf allen Verbindungen — Browser ↔ Checker, Checker ↔ Subprozessoren
  • At Rest: AES-256 für Datenbank- und Storage-Inhalte (Supabase-Standard)
  • Tokens: Kurzlebige, signierte Tokens für interne Service-Calls (Vertex AI Service-Account, kein statischer API-Key)

6. Mandantentrennung

Jeder Datensatz ist auf Datenbank-Ebene mit der Company verknüpft und wird durch Row-Level-Security geschützt. Datenbank-Trigger pinnen den User-Bezug von Findings — ein versehentliches oder böswilliges Überschreiben des Eigentümers durch einen Bug im Anwendungscode ist technisch ausgeschlossen. Diese Trennung wurde im Rahmen unseres internen Sicherheits-Audits im Mai 2026 verifiziert.

7. Versionierte Rechtsdokumente

Wir dokumentieren Ihre Zustimmung zu unseren Rechtsdokumenten — AGB, Datenschutzerklärung und AVV — revisionssicher mit Versionsstand, Zeitstempel, IP-Adresse und User-Agent. Bei wesentlichen Änderungen werden Sie aktiv um Re-Consent gebeten und können vor der Annahme die Diff-Version einsehen.

8. Self-Service-Rechte

Sie können Ihre Betroffenenrechte aus DSGVO Art. 15, 17 und 20 ohne Support-Ticket direkt aus dem Dashboard wahrnehmen:

  • Datenexport (Art. 15 + 20): Ein Klick liefert ein ZIP-Archiv mit Profil, Produkten, Versionen, Findings, Credits, Consent-Nachweisen und allen Original-Designs in strukturiertem JSON-Format.
  • Account-Löschung (Art. 17): Zwei-Stufen- Bestätigung mit E-Mail-Verifikation. Domain-Daten und Storage-Files werden direkt entfernt; Consent-Nachweise bleiben anonymisiert (E-Mail-Hash) drei Jahre erhalten — der gesetzlich vorgeschriebenen Nachweispflicht entsprechend.

9. Aufbewahrungsfristen

Die exakten Speicherdauern dokumentiert die Datenschutzerklärung, Punkt 4. Im Überblick:

  • Account-Daten und Inhalte: bis zur Account-Löschung
  • Server-Logs: maximal 30 Tage
  • Consent-Nachweis nach Account-Löschung: 3 Jahre, anonymisiert
  • Künftige Rechnungsbelege: 7 Jahre gem. § 132 BAO / § 212 UGB

10. Backups und Verfügbarkeit

Die Datenbank wird durch Supabase im EU-Rechenzentrum täglich automatisch gesichert. Wir streben höchstmögliche Verfügbarkeit an, geben in der Open Beta aber bewusst keine vertragliche Verfügbarkeitsgarantie. Geplante Wartungen werden im Voraus kommuniziert.

11. Audit-Status

Interner Sicherheits-Audit: Mai 2026, 19 identifizierte und behobene Befunde. Geprüft wurden: RLS- Konsistenz, Authentifizierungs-Pfade in Edge-Funktionen, SSRF-Schutz, Storage-Privacy, Trigger-basiertes User-Pinning, Signed-URL-Lebenszyklus.

Zertifizierungen der Infrastruktur: Wir betreiben Checker auf Infrastruktur, die nach ISO/IEC 27001 und SOC 2 Type II zertifiziert ist (Supabase, Vercel, Google Cloud, Hetzner). Checker selbst ist nicht ISO-zertifiziert — wir kommunizieren das transparent, statt Zertifikate Dritter als eigene auszugeben.

12. Unterstützung Ihrer Compliance

Checker unterstützt Sie bei Lieferantenpflichten aus DSGVO und NIS2-Risikomanagement. Auf Anfrage erhalten Sie:

  • Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO — bereits in der Anwendung als Click-Wrap aktiviert, zusätzlich als HTML-Fassung einsehbar
  • Aktuelle Subprozessoren-Liste mit Region und Zweck
  • Datenflussbeschreibung pro Verarbeitungsschritt
  • Anlage 1: Technisch-organisatorische Maßnahmen (in der AVV enthalten)
  • Sicherheitskontakt für Audits und Lieferantenfragebögen

Hinweis zu NIS2: Checker selbst fällt aufgrund der Unternehmensgröße nicht unmittelbar unter die NIS2-Richtlinie. Für unsere Kunden, die selbst unter NIS2 fallen, dokumentieren wir unsere Sicherheitslage so, dass sie in deren Lieferanten-Risikobewertung einfließen kann.

13. Sicherheitsmeldungen

Wenn Sie eine Schwachstelle oder einen Sicherheitsvorfall melden möchten, schreiben Sie uns bitte an office@seel-digital.com mit Betreff „Sicherheitsmeldung Checker“. Wir bestätigen den Eingang innerhalb eines Werktages und halten Sie über die Bearbeitung auf dem Laufenden. Für DSGVO-Auskunfts- und Löschungsanfragen steht dieselbe Adresse zur Verfügung.