Alles für die DSGVO-Prüfung an einem Ort

Trust Center: alle Antworten an einem Ort.

Bevor du mit einem SaaS-Anbieter sprichst, willst du DPA, Subprocessor-Liste, Hosting-Stack und Backup-Strategie sehen. Hier sind sie, vorbereitet, unterschriftsreif.

Diese Seite richtet sich an Datenschutzbeauftragte, IT-Leiter:innen und Verwaltungs-Compliance.

Hosting 100 % in Deutschland
TLS 1.3 AES-256 at rest
Backup täglich, Aufbewahrung 30 Tage
DPA nach Art. 28 DSGVO
Sechs Kernbereiche

Was du wissen musst, strukturiert

Statt 40 Seiten Whitepaper hier sechs klar abgegrenzte Themen.

DPA / AVV

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO — wir schließen ihn mit jeder Organisation, Muster online einsehbar.

Zum Abschnitt

Subprocessoren

Wer sonst noch Daten sieht — vollständige Liste mit Standort, Zweck und Status.

Zum Abschnitt

Hosting-Stack

Wo die Server stehen, welche Zertifikate, welche Standards.

Zum Abschnitt

Backup & Recovery

RPO, RTO, Aufbewahrungsfristen — was im Ernstfall wirklich passiert.

Zum Abschnitt

Verfügbarkeit

SLA-Versprechen für die Beta-Phase und für die produktive Nutzung.

Zum Abschnitt

Audits & Zertifikate

Was bereits geprüft wurde — und was wir bis Ende 2026 vorhaben.

Zum Abschnitt

1 Auftragsverarbeitung (AVV)

mandari work schließt mit jeder buchenden Organisation einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ab. Der Vertrag regelt Gegenstand und Dauer der Verarbeitung, Datenkategorien, Pflichten des Auftragsverarbeiters, Unterauftragsverhältnisse, Löschung nach Vertragsende und eure Kontrollrechte. Den vollständigen Mustertext könnt ihr vorab prüfen: Muster-AVV online lesen.

Eingesetzte Subunternehmer

  • Hetzner Online GmbH — Hosting, Rechenzentren in Deutschland
  • Mollie B.V. — Zahlungsabwicklung, Niederlande (EU)
  • Haufe-Lexware GmbH & Co. KG — Buchhaltung (lexware office), Deutschland

Technische und organisatorische Maßnahmen (Kurzübersicht)

  • Verschlüsselung sensibler Inhalte mit AES-256-GCM, organisationsspezifische Schlüssel
  • Transportverschlüsselung (TLS) für alle Verbindungen
  • Tägliche Backups mit definierter Aufbewahrung
  • Zugriffskontrolle über rollenbasiertes Berechtigungssystem (RBAC)
  • Betrieb ausschließlich in deutschen Rechenzentren

AVV anfordern: Schreib uns eine kurze Mail an hello@mandari.de mit dem Namen eurer Organisation — ihr bekommt den unterschriftsreifen AVV als Dokument zurück. Den Mustertext gibt es unter mandari.de/avv.

2 Subprocessoren — wer sonst noch Daten sieht

Vollständige Liste aller Unterauftragsverarbeiter. Es gibt keine weiteren — insbesondere keine Tracker, keine Analytics-Dienste und keine Anbieter außerhalb der EU.

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen (DE) — Hosting aller Systeme in deutschen Rechenzentren. AVV nach Art. 28 DSGVO besteht.
  • Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam (NL/EU) — Zahlungsabwicklung für mandari work (Name, E-Mail, Zahlungs- und Mandatsdaten).
  • Haufe-Lexware GmbH & Co. KG, Munzinger Str. 9, 79111 Freiburg (DE) — Rechnungsstellung und Buchhaltung (lexware office).

Über geplante Änderungen an dieser Liste informieren wir vorab; ihr habt ein Widerspruchsrecht gegen neue Subunternehmer (Details im AVV, Ziff. 7).

3 Hosting-Stack

Alle Systeme laufen bei der Hetzner Online GmbH in deutschen Rechenzentren (kein US-Cloud-Anbieter, kein CDN mit Drittland-Transfer).

  • TLS-Verschlüsselung für alle Verbindungen (Caddy, automatische Zertifikate)
  • Verschlüsselung sensibler Arbeitsinhalte at rest: AES-256-GCM mit organisationsspezifischen Schlüsseln
  • PostgreSQL 16, Redis und Elasticsearch — alles self-hosted im selben Stack
  • Kompletter Stack Open Source (AGPL-3.0) und damit auditierbar

4 Backup & Recovery

  • Tägliche Backups aller Datenbanken, Aufbewahrung 30 Tage
  • Backups liegen getrennt vom Produktivsystem, ebenfalls in Deutschland
  • Wiederherstellungen werden regelmäßig getestet
  • Nach Vertragsende: Datenexport auf Anfrage innerhalb von 30 Tagen, danach unwiderrufliche Löschung

5 Verfügbarkeit & Status

Ehrliche Beta-Ansage: Wir befinden uns in der Pilot-Phase und schulden vertraglich noch keine feste Verfügbarkeitsquote (siehe AGB Ziff. 6). Was wir stattdessen bieten:

6 Audits & Zertifikate

Auch hier keine Marketing-Übertreibung: Eine ISO-27001- oder BSI-Grundschutz-Zertifizierung ist für ein Solo-Projekt in der Beta-Phase nicht realistisch — und wir behaupten keine.

  • Der gesamte Code ist Open Source (AGPL-3.0) und öffentlich auditierbar
  • Responsible-Disclosure-Programm nach RFC 9116: /sicherheit/disclosure/
  • Abhängigkeiten werden automatisiert auf bekannte Schwachstellen geprüft
  • Externes Security-Audit ist für die General-Availability-Phase geplant

Frage übrig?

Wenn deine Datenschutz- oder IT-Compliance hier keine Antwort findet, schreib uns. Du redest direkt mit der Person, die das Setup verantwortet.