Vertrauen & Datenschutz

Wie Time & Bill mit Daten umgeht

• Time & Bill ist eine gehostete Cloud-Anwendung.
• Anwendungsdaten werden auf Hetzner-Infrastruktur in Deutschland betrieben.
• AWS wird für den Versand von E-Mails und für das Hosting der Landing-Page verwendet.
• Sentry wird für technisches Fehler-Monitoring und Diagnose verwendet und ist für EU-basierte Server konfiguriert.
• Newsletter-Abonnentendaten werden in einer selbst gehosteten Listmonk-Instanz verarbeitet, die von Grobmeier Solutions betrieben wird.
• Kundendaten können exportiert und gelöscht werden.

Die rechtliche Fassung finden Sie in der Datenschutzerklärung. Die kompakte Dienstleisterliste steht auf der Subprocessor-Seite.

Was “Kontrolle” hier bedeutet

Time & Bill soll praktische Kontrolle über Daten ermöglichen:

• Sie können Daten exportieren,
• Sie können Daten löschen,
• und Sie können nachvollziehen, welche Dienstleister eingesetzt werden.

Time & Bill bleibt trotzdem ein gehostetes SaaS-Produkt. Wir betreiben die Infrastruktur. Es handelt sich nicht um ein Zero-Access-System, nicht um Ende-zu-Ende-Verschlüsselung und nicht um ein rein lokales Werkzeug.

Wenn Sie ein local-first Entwicklerwerkzeug ohne verpflichtenden Cloud-Account suchen, sehen Sie sich HumbleBee an.

Hosting und Dienstleister

Hetzner

• Zweck: Hosting der Anwendung
• Umfang: Anwendungsdaten von Time & Bill
• Standort: Deutschland
• Erforderlich: ja, für das gehostete Produkt

AWS

• Zweck: E-Mail-Versand und Hosting der Landing-Page
• Umfang: Empfängeradressen, technische Verarbeitung von System-E-Mails und Newsletter-E-Mails sowie Website-Infrastruktur für die Landing-Seite
• Erforderlich: ja, für das aktuelle gehostete Setup

Newsletter-Software

• Zweck: Newsletter-Abonnentenverwaltung, Anmeldeformulare, Abmeldeverwaltung und Kampagnenverwaltung
• Umfang: nur Daten von Newsletter-Abonnenten, betrieben von Grobmeier Solutions mit selbst gehosteter Listmonk-Software
• Erforderlich: optional, nur bei Newsletter-Anmeldung

Sentry

• Zweck: Fehler-Monitoring der Anwendung und technische Diagnose
• Umfang: technische Fehlerdaten, Stack Traces, betroffene Pfade oder URLs, Browser- und Betriebssysteminformationen, Informationen zur Anwendungsversion und technischer Request-Kontext, verarbeitet über die für Time & Bill konfigurierte EU-basierte Sentry-Umgebung
• Erforderlich: ja, für das aktuelle gehostete Setup

Die kompakte Übersicht steht auf der Seite zu Dienstleistern.

Manueller menschlicher Zugriff

Time & Bill wird von einer einzelnen Person betrieben. Manueller Zugriff auf Kundendaten gehört nicht zum normalen Arbeitsablauf.

Manueller Zugriff kann nur dann stattfinden, wenn er für Support oder Fehlersuche notwendig ist. Die praktischen Regeln sind:

• kein routinemäßiges Durchsehen von Kundendaten,
• nur so viel Zugriff wie für Diagnose oder Problembehebung nötig,
• nur bei einem konkreten Support- oder Technikfall,
• und kein Anspruch, dass es sich um ein Zero-Access-System handelt.

Wenn dieses Modell nicht passt, ist HumbleBee die local-first Alternative in derselben Produktfamilie.

Sicherheitsübersicht

Die derzeitige öffentliche Sicherheitszusammenfassung lautet:

• TLS wird für Website- und Anwendungsverkehr verwendet.
• Authentifizierung und Autorisierung werden mit Spring Security durchgesetzt.
• Aktuelle Passwörter werden BCrypt-basiert gehasht.
• Es werden tägliche Backups erstellt.
• MFA wird derzeit nicht unterstützt.

Bereitstellungsoptionen

Derzeit gibt es drei relevante Bereitstellungsmodelle in der Produktfamilie:

Verwandte Seiten

• Dienstleister
• Time & Bill vs HumbleBee