(+49)(0)7542 8210Kontakt

Sicherheit

Häufige Fragen zu Datenschutz, DSGVO und Sicherheitsmaßnahmen.

Zuletzt aktualisiert: 2025-01-01

FAQ: Sicherheit

Antworten auf häufige Fragen zu Datenschutz, DSGVO-Konformität und den Sicherheitsmaßnahmen der Plattform.

Ist die Plattform DSGVO-konform?

Ja. Die Plattform ist so konzipiert, dass Sie Ihren Shop DSGVO-konform betreiben können:

  • Alle Daten werden auf Servern in der EU (Deutschland) gespeichert.
  • Personenbezogene Daten (Kundendaten, Bestellungen) werden nicht an Dritte außerhalb der EU übermittelt, sofern Sie keine entsprechenden Dienste aktivieren.
  • Die Plattform stellt eine Cookie-Consent-Lösung bereit.
  • Kunden können über Ihr Admin-Panel ihr Recht auf Löschung gemäß Art. 17 DSGVO ausüben.
  • Auftragsverarbeitungsvertrag (AVV) auf Anfrage verfügbar.

Beachten Sie: Sie sind als Shopbetreiber selbst für die datenschutzkonforme Nutzung Ihrer Kundendaten verantwortlich.

Wer hat Zugriff auf meine Kundendaten?

Nur Sie (als Shopbetreiber) und die technisch notwendigen Systeme haben Zugriff auf Ihre Kundendaten. Unsere Mitarbeiter greifen auf Ihre Daten nur zu, wenn Sie ausdrücklich Support angefordert haben und dies zur Problemlösung erforderlich ist.

Wie werden Passwörter gespeichert?

Passwörter werden niemals im Klartext gespeichert. Wir verwenden bcrypt mit einem ausreichend hohen Kostenfaktor (Work Factor) für das Hashing. Selbst im unwahrscheinlichen Fall eines Datenbankzugriffs sind Passwörter damit nicht rekonstruierbar.

Sind Zahlungsdaten meiner Kunden bei mir gespeichert?

Nein. Kartendaten (Kreditkartennummern, CVV) werden niemals auf unseren Servern gespeichert oder verarbeitet. Die Zahlungsabwicklung erfolgt direkt über die Zahlungsanbieter (Stripe, PayPal), die PCI DSS Level 1-zertifiziert sind. Sie erhalten nur einen tokenisierten Verweis auf die Zahlung.

Was ist PCI DSS und ist mein Shop compliant?

PCI DSS (Payment Card Industry Data Security Standard) ist ein Sicherheitsstandard für die Verarbeitung von Kartenzahlungen. Da Kartendaten direkt durch Stripe verarbeitet werden und nie Ihre Server passieren, gilt Ihr Shop als SAQ A-EP-konform — die niedrigste Compliance-Stufe mit den wenigsten Anforderungen.

Wie ist der Admin-Bereich abgesichert?

  • HTTPS für alle Verbindungen (erzwungen).
  • JWT-basierte Authentifizierung mit kurzlebigen Tokens (4 Stunden) und Refresh-Tokens (7 Tage).
  • Rollenbasierte Zugriffssteuerung (RBAC): Sie können Admin-Mitarbeitern eingeschränkte Rollen zuweisen (z. B. nur Bestellansicht, keine Produktbearbeitung).
  • Rate Limiting auf Login-Endpunkten zum Schutz vor Brute-Force-Angriffen.

Kann ich Zwei-Faktor-Authentifizierung aktivieren?

Die Zwei-Faktor-Authentifizierung (2FA) für den Admin-Bereich ist in Entwicklung und wird in einer der nächsten Versionen verfügbar sein.

Was passiert bei einem Sicherheitsvorfall?

Im Fall eines Sicherheitsvorfalls, der Ihre Daten betrifft:

  1. Sie werden unverzüglich per E-Mail informiert (in der Regel innerhalb von 24 Stunden nach Bekanntwerden).
  2. Wir leiten sofortige Gegenmaßnahmen ein.
  3. Bei datenschutzrelevanten Vorfällen unterstützen wir Sie bei der Meldung an die zuständige Datenschutzbehörde (72-Stunden-Frist nach Art. 33 DSGVO).

Werden Backups erstellt?

Ja. Datenbankbackups werden täglich erstellt und für 30 Tage aufbewahrt. Backups werden verschlüsselt auf einem von der Produktivumgebung getrennten System gespeichert. Auf Anfrage können wir Backups für Sie wiederherstellen.

Wie schütze ich meinen Shop vor Missbrauch?

Empfehlungen für Shopbetreiber:

  • Vergeben Sie starke, einmalige Passwörter für Admin-Konten.
  • Geben Sie Mitarbeitern nur die Berechtigungen, die sie wirklich benötigen (Prinzip der minimalen Berechtigung).
  • Überprüfen Sie regelmäßig aktive Admin-Konten unter Einstellungen → Benutzer.
  • Aktivieren Sie E-Mail-Benachrichtigungen bei neuen Admin-Logins (verfügbar unter Konto → Benachrichtigungen).
  • Verwenden Sie für Zahlungsanbieter-Accounts (Stripe, PayPal) separate, starke Passwörter und aktivieren Sie dort 2FA.

Wo kann ich einen Sicherheitsfehler melden?

Wenn Sie eine Sicherheitslücke entdecken, melden Sie diese bitte verantwortungsvoll (Responsible Disclosure) per E-Mail an unseren Support. Bitte veröffentlichen Sie die Schwachstelle nicht öffentlich, bevor wir die Möglichkeit hatten, sie zu beheben. Wir bestätigen den Eingang innerhalb von 2 Werktagen.