Datensicherheit und Verschlüsselung bei CuraDesk
Auf dieser Seite zeigen wir, wie Datensicherheit in CuraDesk technisch umgesetzt ist: von der Verschlüsselung sensibler Inhalte im Browser über die Speicherung auf dem Server bis zur Entschlüsselung auf dem Gerät der berechtigten Nutzer:innen.
- Ende-zu-Ende-verschlüsselt (Zero-Knowledge)
- Server in der EU, keine US-Cloud
- DSGVO- & DSG-konform
- Video ohne Drittanbieter
Der Anbieter hat den Schlüssel. Daten liegen im Klartext auf dem Server, häufig bei US-Cloud-Anbietern wie AWS oder Microsoft Azure.
⚠️ Bei Servereinbruch: Daten lesbar.
Nur Ihr Browser hat den Schlüssel. Der Server speichert ausschließlich Ciphertext.
✅ Bei Servereinbruch: Daten unlesbar.
Sicherheit im Detail
Für alle, die es genau wissen wollen. Jedes technische Detail mit einer Erklärung, was es konkret für die Sicherheit Ihrer Klient:innendaten bedeutet.
Was es ist: Alle Klient:innendaten werden direkt in Ihrem Browser verschlüsselt, bevor sie den Server erreichen. CuraDesk verwendet dafür AES-256-GCM, denselben Standard, der auch im Bankwesen eingesetzt wird.
Was das für Ihre Daten bedeutet: Kein unverschlüsselter Datensatz verlässt jemals Ihren Computer.
Was es ist: Der Verschlüsselungsschlüssel existiert nur im Arbeitsspeicher Ihres Browsers und wird beim Schließen des Tabs gelöscht. CuraDesk speichert ihn weder auf dem Server noch in Cookies.
Was das für Ihre Daten bedeutet: Selbst auf behördliche Anordnung könnte CuraDesk nur verschlüsselten Text herausgeben.
Was es ist: Alle Daten liegen im Hetzner-Rechenzentrum in Falkenstein, Deutschland. Kein AWS, kein Azure, kein US-Cloud-Anbieter. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen.
Was das für Ihre Daten bedeutet: Ihre Daten unterliegen ausschließlich europäischem Datenschutzrecht. Kein Cloud Act, kein FISA.
Was es ist: Videositzungen laufen über WebRTC direkt von Browser zu Browser, verschlüsselt nach Stand der Technik (DTLS). Kein Videostream berührt einen externen Server.
Was das für Ihre Daten bedeutet: Kein Zoom, kein Teams, kein Drittanbieter. Klient:innen nehmen per Link im Browser teil.
Fakten auf einen Blick
- Verschlüsselung
- AES-256-GCM, clientseitig
- Schlüsselableitung
- Argon2id (rechenintensiv, erschwert Brute-Force-Angriffe)
- Transport
- TLS 1.3 mit HSTS
- Hosting
- Hetzner Falkenstein, Deutschland (EU)
- Video-Telefonie
- WebRTC, DTLS-verschlüsselt
- Tenant-Isolation
- Row Level Security auf Datenbankebene
- Audit Trail
- Protokollierung aller sicherheitsrelevanten Aktionen
- Rechtsgrundlage
- DSGVO (EU 2016/679) und österreichisches DSG
- AV-Vertrag
- Nach Art. 28 DSGVO auf Anfrage: support@curadesk.at
- Tracking
- Keine Werbe-Cookies, keine Analyse-Cookies, keine Profilbildung
- Sicherheitsstandards
- Orientiert an ISO/IEC 27001 und BSI TR-02102
Kein System ist absolut sicher – aber ohne Ihr Passwort bleiben Klient:innendaten unlesbar.
Ihre Daten gehören Ihnen
- Jederzeit exportieren: Honorarnoten, Buchhaltungsdaten und Klient:innenübersichten als PDF oder CSV. Vollständiger DSGVO-Export nach Art. 20 auf Anfrage.
- Jederzeit löschen: Nach Kündigung haben Sie 90 Tage für den Export. Danach werden alle Daten unwiderruflich gelöscht.
- Passwort vergessen? Bei der Registrierung erhalten Sie einen Wiederherstellungsschlüssel. Bewahren Sie diesen sicher auf, zum Beispiel ausgedruckt oder in einem Passwort-Manager. Falls Sie Ihr Passwort vergessen, können Sie damit den Zugang zu Ihren Daten wiederherstellen. CuraDesk selbst kann Ihr Passwort nicht zurücksetzen, da der Schlüssel nur bei Ihnen liegt.
Häufige Fragen zum Datenschutz
Die App ist noch im Aufbau. Bei Interesse schreiben Sie an kontakt@curadesk.at.