cepaos

Sicherheit und Datenschutz

deine Weingutsdaten gehören dir: und bleiben in der EU

Vollständige DSGVO-Konformität, Aufsicht durch die österreichische Datenschutzbehörde (DSB Wien), Hosting ausschließlich in der Europäischen Union, Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und ein Sicherheitsteam, das die Verantwortung für jeden gespeicherten Hektoliter ernst nimmt.

Wenn ein österreichischer Winzer uns seine Daten anvertraut, übernimmt er gegenüber seinem Steuerberater, der Agrarmarkt Austria (AMA), der Wirtschaftskammer und dem Bundesamt für Weinbau weiterhin die volle Verantwortung. Unsere Aufgabe ist es, ihm diese Verantwortung nicht zu erschweren, sondern sie technisch abzusichern.

Sechs Säulen

Sicherheit, die in der Architektur verankert ist

DSGVO und österreichisches DSG

Cepaos wurde von Grund auf so konzipiert, dass die Grundsätze der Datenschutz-Grundverordnung, Rechtmäßigkeit, Zweckbindung, Datenminimierung, Speicherbegrenzung, sowie die Bestimmungen des österreichischen Datenschutzgesetzes (DSG, BGBl. I Nr. 165/1999 idgF) in der Architektur verankert sind.

  • Verfahrensverzeichnis nach Art. 30 DSGVO im Selbstbedienungsmodus
  • Datenpannenmeldung an die Datenschutzbehörde (DSB Wien) innerhalb von 72 Stunden
  • Recht auf Auskunft, Berichtigung und Löschung über die Anwenderverwaltung
  • Standardvertragsklauseln (SCC) für nicht-EU-Subunternehmer

Hosting ausschließlich in der EU

Alle personenbezogenen Daten und Geschäftsdaten unserer Kunden werden in Rechenzentren innerhalb der Europäischen Union gespeichert, keine Übermittlung in Drittländer ohne Angemessenheitsbeschluss. Frankfurt am Main ist der nächstgelegene EU-Standort für österreichische Weingüter.

  • Primärspeicher in Frankfurt am Main (Supabase / AWS eu-central-1)
  • Geo-redundante Sicherung in Dublin (AWS eu-west-1)
  • CDN-Edge ausschließlich an EU-Standorten (Cloudflare EU-only Option)
  • Keine Datenübermittlung an US-Subunternehmer ohne ausdrückliche Einwilligung

Auftragsverarbeitungsvertrag (AVV)

Mit jedem österreichischen Geschäftskunden schließen wir vor der ersten Datenverarbeitung einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ab, standardmäßig oder nach deiner Mustervorlage.

  • AVV-Mustervorlage konform DSGVO und österreichischem DSG
  • Liste aller Subunternehmer mit Standort und Verarbeitungszweck
  • Technische und organisatorische Maßnahmen (TOM) als Anhang
  • Elektronische Unterschrift über DocuSign oder eIDAS-konformen Anbieter (z. B. A-Trust)

Identitäts- und Zugriffsverwaltung

Jeder Zugriff auf deine Daten wird protokolliert und kann nachvollzogen werden. Mehrfaktor-Authentifizierung ist für alle Anwender kostenlos, Single Sign-on im Industrie-Plan enthalten, auch kompatibel mit Handy-Signatur / ID Austria.

  • Mehrfaktor-Authentifizierung (TOTP, WebAuthn) für alle Pläne
  • Single Sign-on über SAML 2.0 und OpenID Connect (Industrie-Plan)
  • Rollenbasierte Zugriffskontrolle (RBAC) mit feingranularen Berechtigungen
  • Vollständige Prüfprotokolle aller administrativen Aktionen

Verschlüsselung in Übertragung und Ruhe

Deine Daten werden in der gesamten Verarbeitungskette verschlüsselt, vom Endgerät bis zum Festplattenträger im Rechenzentrum.

  • TLS 1.3 für alle externen Verbindungen, HSTS aktiviert
  • AES-256-Verschlüsselung der Datenbank im Ruhezustand
  • Verschlüsselte tägliche Sicherungen mit getrennten Schlüsseln
  • Geheimnisse über Vault verwaltet, niemals im Quellcode

Überwachung und Vorfallerkennung

Sentry, Upstash und unsere internen Werkzeuge überwachen rund um die Uhr verdächtige Aktivitäten und sicherheitsrelevante Ereignisse. Du wirst bei Anomalien proaktiv informiert.

  • Rate-Limiting auf allen API-Endpunkten
  • Erkennung ungewöhnlicher Anmeldemuster (Geolokalisierung, Gerät)
  • Sofortige Sentry-Warnung bei Sicherheitsausnahmen
  • Wöchentliche Berichte über sicherheitsrelevante Ereignisse für Industrie-Plan

Zertifizierungen und Nachweise

Geprüft, dokumentiert, überprüfbar

ISO 27001, Statement of Applicability

Wir veröffentlichen unser Statement of Applicability (SoA) nach ISO 27001 Anhang A. Die formelle Zertifizierung wird im Q4 2026 erwartet. Aktueller SoA-Stand auf Anfrage verfügbar.

WKO Cyber-Sicherheits-Standard

Wir orientieren uns am Cyber-Sicherheits-Standard der Wirtschaftskammer Österreich (WKO) für KMU. Selbstauskunft und Maßnahmenkatalog auf Anfrage verfügbar, relevant für österreichische Steuerberater und Banken in Lieferkettenaudits.

Stripe: PCI-DSS Level 1

Wir verarbeiten keine Kartendaten direkt. Alle Zahlungsvorgänge werden über Stripe abgewickelt, das nach Payment Card Industry Data Security Standard Level 1 zertifiziert ist, die höchste verfügbare Stufe.

Datenresidenz

Wo deine Daten liegen: und wo sie nie liegen werden

Wir verstehen, dass österreichische Winzer und ihre Steuerberater besonders sensibel auf den Speicherort ihrer Geschäftsdaten reagieren , insbesondere bei Daten, die in einer Vor-Ort-Kontrolle der Bundeskellereiinspektion oder einer Außenprüfung des Finanzamts vorzulegen sind. Aus diesem Grund veröffentlichen wir transparent jede Datenkategorie, ihren Speicherort, ihre Aufbewahrungsfrist und jeden Subunternehmer.

Primärspeicher

Frankfurt am Main, AWS Region eu-central-1, Verfügbarkeitszone c. Verwaltet durch Supabase EU. Nächstgelegener EU-Standort für österreichische Kunden (ca. 600 km von Wien).

Geografische Redundanz

Dublin, AWS Region eu-west-1. Tägliche verschlüsselte Replikation, 35 Tage Aufbewahrung.

E-Mail-Versand

Resend, EU-Region (Frankfurt). Keine Speicherung von E-Mail-Inhalten über 30 Tage hinaus.

Beobachtung

Sentry, EU-Region (Frankfurt). Standardmäßige PII-Filterung. Aufbewahrung 90 Tage.

Aufsichtsbehörde

Datenschutzbehörde Wien als zuständige Aufsicht

Da du als österreichisches Weingut Cepaos nutzen, ist die österreichische Datenschutzbehörde (DSB) mit Sitz in Wien (Barichgasse 40-42, 1030 Wien) die für du zuständige Aufsichtsbehörde gemäß § 18 DSG, und nicht etwa die deutschen Landesdatenschutzbeauftragten.

Im Fall einer Datenpanne gemäß Art. 33 DSGVO unterstützen wir du bei der Meldung an die DSB Wien innerhalb der 72-Stunden-Frist. Den Online-Meldungsdienst der DSB finden du auf www.dsb.gv.at.

Unser Datenschutzbeauftragter ist EU-weit über das österreichische USP-Postfach erreichbar, alternativ per E-Mail an dpo@cepaos.com.

AVV oder Sicherheitsaudit angefragt?

Sende uns deine Anforderungen oder deine Mustervorlage, wir antworten innerhalb von zwei Werktagen mit einem unterschriftsbereiten Dokument im A-Trust-eIDAS-Format.

AVV anfordern
Sicherheit und Datenschutz, DSGVO, DSB Wien, EU-Hosting, AVV, WKO Cyber-Standard | Cepaos