Transparenz über Datenverarbeitung, Serverstandorte, Sub-Processor und technisch-organisatorische Maßnahmen unseres Tools.
EDI Global Business Solutions
Inhaber: Frank Edi
E-Mail: info@ediglobalsolutions.com
Website: ediglobalsolutions.com
Tool: ediglobalsolutions.digital
Hinweis: Die offizielle Geschäftsadresse (Dubai-Firmensitz) wird nach Abschluss der Unternehmensgründung hier ergänzt. Bis dahin gilt die obenstehende Kontaktadresse.
Die folgende Tabelle gibt Auskunft über den aktuellen Stand der DSGVO-Anforderungen für unser Tool.
| Anforderung | Status | Details |
|---|---|---|
| TLS-Verschlüsselung (Transport) | ✓ Erfüllt | Alle Verbindungen über HTTPS mit TLS 1.3 (Netlify CDN, automatisch) |
| Verschlüsselung at Rest | ✓ Erfüllt | Supabase speichert alle Daten AES-256 verschlüsselt auf AWS-Infrastruktur |
| E-Mail-Passwort | ✓ Sicher | Wird ausschließlich im Browser-LocalStorage gespeichert — verlässt das Gerät des Nutzers nie. Keine serverseitige Speicherung. |
| E-Mail-Inhalte | ✓ Nur lokal | E-Mail-Daten werden nur im Browser-LocalStorage gespeichert (nicht in der Cloud). Die serverlose Funktion liest E-Mails transient (ohne Persistenz). |
| Auftragsverarbeitungsvertrag (AVV) | ✓ Verfügbar | Standard-AVV auf Anfrage per E-Mail erhältlich. Sub-Processor (Netlify, Supabase) haben eigene DPAs. |
| Serverstandort — Datenbank | ✓ EU (Frankfurt) | Supabase-Datenbankregion: AWS eu-central-1 (Frankfurt, Deutschland) |
| Serverstandort — Funktionen | ⚠ USA (DPF) | Netlify Functions laufen auf AWS Lambda (us-east-1). Netlify ist EU-US Data Privacy Framework zertifiziert. E-Mail-Daten werden nur transient verarbeitet, nicht gespeichert. |
| Rollen- & Rechteverwaltung | ✓ Implementiert | 4 Rollen: Admin, Buchhaltung, Einkauf, Lager. Jede Rolle sieht nur relevante Module. |
| Datensparsamkeit | ✓ Erfüllt | Es werden nur für den Betrieb notwendige Daten erfasst. Keine Tracking-Cookies, keine Werbung. |
| Multi-Faktor-Authentifizierung (MFA) | ⚠ Geplant | Supabase-Auth unterstützt MFA. Wird in einem kommenden Update aktiviert. |
| Audit-Logs | ⚠ Geplant | Logging kritischer Aktionen (Login, Datenexport) ist für Q3 2026 geplant. |
| Löschkonzept | ✓ Vorhanden | Nutzer können alle eigenen Daten jederzeit löschen. Kontoschließung löscht alle Cloud-Daten. Keine automatische Aufbewahrungsfrist über Vertragsdauer hinaus. |
| ISO/IEC 27001 | ⚠ Sub-Processor | Supabase und Netlify (via AWS) sind ISO 27001 zertifiziert. EDI selbst als Startup noch nicht. |
| Backup-Konzept | ✓ Supabase | Supabase führt automatische tägliche Backups durch (PITR auf Pro-Plan). Daten können auf Anfrage wiederhergestellt werden. |
Folgende Dienstleister werden als Sub-Processor eingesetzt und sind vertraglich zur DSGVO-Konformität verpflichtet:
| Dienstleister | Funktion | Standort / Region | Rechtsgrundlage | DPA / Zertifizierung |
|---|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Cloud-Sync von Buchführungs- und Rechnungsdaten | 🇩🇪 AWS eu-central-1 (Frankfurt) | AVV + DSGVO Art. 28 | DPA verfügbar, SOC 2 Type II |
| Netlify Inc. | Hosting der Web-App, serverlose Funktionen (IMAP-Abruf, Bank-API, AI-Chat) | 🌍 CDN global, Functions: 🇺🇸 AWS us-east-1 | EU-US Data Privacy Framework (DPF), SCCs | DPA verfügbar |
| Anthropic PBC | KI-Analyse von E-Mails und Dokumenten (nur bei Premium-Plan, opt-in) | 🇺🇸 USA (San Francisco) | EU-US DPF, SCCs, Anthropic Enterprise DPA | Datenschutzrichtlinie |
| GoCardless Ltd. | PSD2-Bankanbindung (optional, nur bei Bank-Connect-Nutzung) | 🇬🇧 UK / 🇩🇪 EU-Lizenz | PSD2, FCA-lizenziert, UK GDPR | Privacy Policy |
| GitHub (Microsoft) | Quellcode-Versionierung — keine Kundendaten | 🇺🇸 USA | Nur Sourcecode, kein Art. 28-Verhältnis | Microsoft EU Data Boundary |
Hinweis zu Anthropic: Die KI-Analyse von E-Mails und Dokumenten überträgt Textinhalte an Anthropic. Anthropic verpflichtet sich vertraglich, API-Daten nicht für das Training eigener Modelle zu verwenden. Die Nutzung ist opt-in und nur für Premium-Nutzer verfügbar.
Physischer Zugang zu Serversystemen liegt bei Supabase/AWS/Netlify mit ISO 27001 / SOC 2-zertifizierten Rechenzentren.
Authentifizierung via Supabase Auth (E-Mail + Passwort, bcrypt-gehasht). HTTPS-only, kein HTTP-Zugang. MFA-Aktivierung geplant.
Row-Level-Security (RLS) in Supabase: Jeder Nutzer sieht ausschließlich eigene Daten. Rollensteuerung im Team-Tab (Admin, Buchhaltung, Einkauf, Lager).
Mandantentrennung durch Supabase RLS. Daten verschiedener Nutzer sind voneinander isoliert und können nicht gegenseitig eingesehen werden.
Alle Datenübertragungen ausschließlich via TLS 1.3 (HTTPS). IMAP-Verbindungen zu E-Mail-Servern ebenfalls via TLS/SSL (Port 993).
Supabase (AWS): AES-256 Verschlüsselung aller gespeicherten Daten. Browser-LocalStorage: Geräteverschlüsselung des Betriebssystems.
E-Mail-Passwörter werden niemals an Server übermittelt oder gespeichert. Verbleiben ausschließlich im Browser-LocalStorage des Nutzers.
Supabase: Automatische tägliche Backups mit Point-in-Time-Recovery. Nutzer können eigene Daten jederzeit als Excel/ZIP exportieren.
Nutzer können alle eigenen Daten im Tool löschen. Kontoschließung löscht alle Cloud-Daten bei Supabase. E-Mail-Daten (lokal) werden bei Logout automatisch entfernt.
Nur funktional notwendige Daten werden gespeichert. Keine Tracking-Cookies, keine Werbeanzeigen, kein Google Analytics.
Minimalprinzip: Jede Rolle erhält nur Zugriff auf notwendige Module. Admin-Zugriff nur für autorisierte Personen.
Sicherheitsvorfälle werden gemäß Art. 33 DSGVO innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet.
Die E-Mail-Integration ist datenschutztechnisch besonders sensibel. Hier sind die genauen Verhältnisse:
Gemäß DSGVO stehen Ihnen folgende Rechte zu. Anfragen richten Sie bitte an info@ediglobalsolutions.com:
Die zuständige Aufsichtsbehörde für Deutschland ist der jeweilige Landesbeauftragte für Datenschutz und Informationsfreiheit Ihres Bundeslandes.
Für die Nutzung von EDI Global Business Solutions im gewerblichen Bereich ist gemäß Art. 28 DSGVO ein Auftragsverarbeitungsvertrag erforderlich.
So erhalten Sie den AVV:
Im AVV enthalten: Verarbeitungszweck, Art der Daten, Weisungsrecht, Vertraulichkeitsverpflichtung, Sub-Processor-Liste, TOMs-Referenz, Lösch- und Rückgabepflichten, Audit-Recht.
Das EDI-Tool verwendet keine Marketing-Cookies, keine Tracking-Pixel und kein Google Analytics.
Technisch notwendige Speicherung:
Da ausschließlich technisch notwendige Speicherung erfolgt, ist keine Cookie-Banner-Einwilligung nach TTDSG erforderlich.
Wir beantworten alle DSGVO-Fragen, stellen den AVV zur Verfügung und dokumentieren TOMs auf Anfrage.
📧 Datenschutz-Anfrage stellenStand: Juli 2026 · Diese Seite wird bei wesentlichen Änderungen der Datenverarbeitung aktualisiert. Für rechtlich verbindliche Auskünfte empfehlen wir die Hinzuziehung eines Datenschutzbeauftragten.