Art. 15
Recht auf Auskunft
Du erhältst jederzeit eine vollständige Übersicht aller über dein Weingut gespeicherten Daten, über die Benutzerverwaltung selbstbedient.
UI-Pfad: Einstellungen → Datenschutz → Datenauskunft
Datenschutz und Hosting
DSGVO-konforme Datenverarbeitung mit EU-Hosting Frankfurt
Cepaos ist eine US-LLC mit ausschließlich EU-Datenverarbeitung für deutsche Weingüter. Frankfurt-Hosting, SCC 2021/914 Modul 2, DPA Art. 28 DSGVO, vollständig transparent, juristisch wasserdicht.
Production-Ready seit DE 100% Native Sprint 2026-06-03
Abschnitt 1
Hosting-Architektur
Jede Komponente unserer Plattform ist nach Anbieter, Standort und Zertifizierung dokumentiert. du kannst diese Tabelle deinem Datenschutzbeauftragten oder Steuerberater zur Prüfung vorlegen.
| Komponente | Anbieter | Standort | Zertifizierung |
|---|---|---|---|
| Application | Vercel | EU (Frankfurt fra1) | SOC 2 Type II, ISO 27001 |
| Datenbank | Supabase | EU (Frankfurt eu-central-1) | SOC 2 Type II, ISO 27001, HIPAA |
| Datei-Storage | Supabase Storage | EU (Frankfurt) | private buckets + Row-Level-Security |
| Resend | EU + US Multi-region | SOC 2 Type II | |
| Fehler-Monitoring | Sentry | EU (Frankfurt) | SOC 2 Type II, ISO 27001 |
| Analytics | PostHog | EU (Frankfurt) | DSGVO-Standardconfig |
| CDN | Vercel Edge | Global, inkl. Frankfurt | TLS 1.3, HSTS |
Wichtig
deine Daten verlassen die EU nicht. Speicherung, Verarbeitung und Backup erfolgen ausschließlich in Frankfurt (Supabase EU eu-central-1). Die einzige Ausnahme sind Zahlungen über Stripe, und auch diese sind nur für DE-Kunden mit ausschließlich SEPA-Lastschrift komplett EU-intern abgewickelt.
Abschnitt 2
Schrems-II: wie wir es lösen
Das EuGH-Urteil Schrems II (C-311/18) hat den Privacy Shield gekippt und Datenübermittlungen in die USA mit strengen Auflagen versehen. Die Europäische Kommission hat 2021 neue Standardvertragsklauseln (Implementing Decision (EU) 2021/914) erlassen, die seither die Rechtsgrundlage für Drittlandübermittlungen darstellen.
Unsere Lösung
- SCC 2021/914 Modul 2 (Controller-to-Processor) für die wenigen US-bezogenen Sub-Processors (z. B. Stripe für Zahlungen außerhalb EU).
- 100% EU-Datenverarbeitung möglich für deutsche Kunden, Stripe optional. Alternativ: SEPA-Lastschrift direkt über GLS Bank / Sparkasse (rein EU).
- Cepaos LLC unterzeichnet DPA (Datenverarbeitungsvereinbarung) gemäß Art. 28 DSGVO mit jedem Geschäftskunden, standardmäßig bei Anmeldung, ohne Aufpreis.
- Transfer Impact Assessment (TIA) dokumentiert für jeden US-bezogenen Sub-Processor, auf Anfrage verfügbar.
- Zusätzliche technische Maßnahmen gem. EDSA-Empfehlungen 01/2020: Ende-zu-Ende-Verschlüsselung, Pseudonymisierung, Zugriff nur über EU-Mitarbeiter (kein US-CLOUD-Act-Zugriff auf Klartext).
Ehrliche Einschätzung: Cepaos LLC ist nach US-Recht inkorporiert (Delaware). Der US-CLOUD Act erlaubt theoretisch Zugriff auf Daten unter Kontrolle von US-Unternehmen. Wir kompensieren dies durch (a) ausschließlich EU-Datenverarbeitung, (b) keine Klartext-Speicherung auf US-Servern, (c) SCC + TIA und (d) Verpflichtung, jeden Behördenzugriff sofort an den Datenschutzbeauftragten zu melden. Wer absolute Schrems-II-Compliance braucht, sollte einen DE-inkorporierten Anbieter wählen.
Subprocessor-Liste
Wer deine Daten anfasst: vollständig dokumentiert
Jeder Subprocessor ist mit Zweck, Standort und SCC-Status dokumentiert. Änderungen werden 30 Tage im Voraus per E-Mail angekündigt, du hast das Recht zum Sonderkündigung.
| Anbieter | Zweck | Standort | SCC nötig |
|---|---|---|---|
| Supabase | Datenbank, Auth, Storage | EU (Frankfurt, eu-central-1) | Nein (EU-only) |
| Vercel | Application Hosting, Edge | EU (Frankfurt, fra1) | Nein (EU-only) |
| Resend | Transaktions-E-Mail | EU + US Multi-region | Ja (Modul 2) |
| Sentry | Fehler-Tracking | EU (Frankfurt) | Nein (EU-only) |
| PostHog | Produkt-Analytics | EU (Frankfurt) | Nein (EU-only) |
| Upstash | Rate-Limiting, Cache | EU (Frankfurt) | Nein (EU-only) |
| Stripe | Zahlungen (nur außerhalb EU) | Irland (EU) + US | Ja (Modul 2) |
| dLocal Go | Zahlungen LATAM (für DE-Kunden nicht relevant) | Uruguay, Argentinien | Ja (Modul 2) |
Abschnitt 3
DSGVO-Rechte für dein Weingut
Alle Betroffenenrechte nach DSGVO sind in der Cepaos-UI selbstbedient verfügbar, kein Ticket, kein Wartetag. Beschwerden können du jederzeit an den BfDI (Bundesbeauftragter für den Datenschutz) oder die zuständige Landesdatenschutzbehörde richten.
Art. 16
Recht auf Berichtigung
Unrichtige oder unvollständige Daten korrigieren du direkt in der UI. Änderungen werden im Audit-Log nachvollziehbar protokolliert.
UI-Pfad: Stammdaten → bearbeiten
Art. 17
Recht auf Löschung
Bei Kündigung beginnt automatisch eine 90-Tage-Lösch-Frist. Danach werden alle personenbezogenen Daten vollständig gelöscht (außer gesetzlich aufbewahrungspflichtige Daten gem. § 147 AO).
UI-Pfad: Einstellungen → Abonnement → Konto löschen
Art. 20
Recht auf Datenübertragbarkeit
Vollständiger Export deiner Daten in CSV, Excel oder als Prisma-Datenbank-Backup. Du behältst deine Daten, auch nach Vertragsende.
UI-Pfad: Einstellungen → Datenschutz → Export
Art. 21
Widerspruchsrecht
Widerspruch gegen die Verarbeitung zu Direktwerbung oder Profiling jederzeit über die UI oder per E-Mail an dpo@cepaos.com.
UI-Pfad: Einstellungen → Datenschutz → Widerspruch
Beschwerderecht (Art. 77): du kannst sich jederzeit beim BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Graurheindorfer Str. 153, 53117 Bonn) oder bei der zuständigen Landesdatenschutzbehörde deines Sitzes beschweren.
Abschnitt 4
dein Datenschutzbeauftragter
Externer Datenschutzbeauftragter (EU-Vertretung gem. Art. 27 DSGVO)
Cepaos LLC hat einen externen Datenschutzbeauftragten in der EU benannt. Dieser dient als Ansprechpartner für deutsche und EU-Aufsichtsbehörden sowie für Betroffene.
Kontakt
Antwortzeit
Garantiert < 72 Stunden gemäß DPA
Abschnitt 5
Audit und Zertifizierungen
Wir sind ehrlich über den aktuellen Stand unserer Zertifizierungen. Cepaos befindet sich aktiv im Aufbau formaler Audits, bis dahin kommunizieren wir transparent.
ISO 27001: Zielzertifizierung 2027
Im Aufbau seit Q2 2026. Statement of Applicability (SoA) bereits dokumentiert nach Anhang A. Vollzertifizierung erwartet Q4 2027.
SOC 2 Type II: Zielzertifizierung 2027
Vorbereitung in Kooperation mit AssuranceLab. Audit-Periode startet Q1 2027.
Penetrationstest: jährlich
Externes Pentest-Unternehmen führt jährlich einen vollständigen Sicherheitstest durch. Berichts-Zusammenfassung auf Anfrage verfügbar.
Bug-Bounty-Programm
Vorbereitung in Q3 2026 über HackerOne. Verantwortliche Sicherheitsforscher erhalten Bug-Bounty-Prämien.
Abschnitt 6
Vergleich mit deutschen Anbietern
Wir sind ehrlich: deutsche Anbieter wie vinIT, Pixelpunkt oder MIV haben weniger Schrems-II-Risiko, da sie in Deutschland inkorporiert sind. Cepaos kompensiert mit expliziter SCC-Dokumentation, EU-only Datenverarbeitung und vollständiger Subprocessor-Transparenz.
| Frage | Cepaos | vinIT | Pixelpunkt | MIV |
|---|---|---|---|---|
| EU-Hosting | Frankfurt (Supabase eu-central-1) | Deutschland | Deutschland | Deutschland |
| ISO 27001 | In Vorbereitung (2027) | Nicht zertifiziert | Nicht zertifiziert | Nicht zertifiziert |
| DPA Art. 28 DSGVO | Automatisch bei Anmeldung | Auf Anfrage | Auf Anfrage | Manuell |
| Subprocessor-Transparenz | Vollständig öffentlich | Teilweise | Teilweise | Nicht veröffentlicht |
| Schrems-II SCC 2021/914 Modul 2 | Explizit dokumentiert | Nicht relevant (DE-only) | Nicht relevant (DE-only) | Nicht relevant (DE-only) |
| Open Source Stack | Next.js + Prisma + Supabase + PostgreSQL | Proprietär | Proprietär | Proprietär |
AVV-Vorlage, TIA oder Datenschutz-Fragebogen anfragen?
Schreib uns an dpo@cepaos.com , wir antworten innerhalb von 72 Stunden mit den angeforderten Dokumenten zur Vorlage bei deinem Datenschutzbeauftragten oder Steuerberater.