Wortflink
Anmelden Für Windows laden
Compliance & Sicherheit

Wortflink Trust-Center

Wo deine Daten verarbeitet werden, wer sonst noch dran ist und welche Schutzmaßnahmen dazwischen stehen. Alles auf einen Blick, immer aktuell.

Stand:

Zertifizierte Sub-Auftragsverarbeiter

Die KI-Verarbeitung läuft bei Mistral AI mit ISO 27001, ISO 27701 (Privacy Information Management) und SOC 2 Type II, das Hosting bei Hetzner mit ISO 27001/ 27017/27018, die Zahlungsabwicklung bei Stripe mit PCI-DSS Level 1, SOC 1 und SOC 2. Vollständige Zertifikate über die Trust-Center-Links der jeweiligen Anbieter (siehe unten).

Vier Versprechen

Was Wortflink zu deinen Daten verspricht, in einem Satz pro Punkt.

  1. EU-Hosting

    Sämtliche Datenverarbeitung erfolgt innerhalb der EU. Keine US-Cloud-Anbieter.

  2. DSGVO-konform

    Mit allen Sub-Auftragsverarbeitern bestehen AVVs nach Art. 28 DSGVO. Eigene AVV-Vorlage für Geschäftskunden im Kundenbereich.

  3. Audio nicht gespeichert

    Sprachaufnahmen werden direkt nach der Transkription verworfen, weder bei uns noch bei Mistral.

  4. Verschlüsselt End-to-End

    TLS 1.3 zwischen App, API und Sub-Processoren. Passwörter mit Argon2id, API-Keys nur als Hash gespeichert.

Datenstandorte

Komponente Anbieter Standort
Wortflink Backend (API, Datenbank, Webhosting) Hetzner Falkenstein, Deutschland
Wortflink Frontend (statische Seiten) Hetzner Falkenstein, Deutschland
Spracherkennung + Text-Politur Mistral AI Paris, Frankreich
Zahlungsabwicklung Stripe Irland (EU)
E-Mail-Versand All-Inkl.com Friedersdorf, Deutschland

Sub-Auftragsverarbeiter

Diese Anbieter unterstützen Wortflink bei spezialisierten Aufgaben. Mit allen bestehen AVVs nach DSGVO Art. 28.

Mistral AI SAS

KI-Spracherkennung (Voxtral) + Text-Politur (Mistral Small)

Anschrift
5 Rue de l'Échelle, 75001 Paris, Frankreich
Standort der Verarbeitung
Frankreich
Verarbeitete Daten
Audio (temporär), Text (temporär)
Zertifizierungen
ISO 27001, ISO 27701, SOC 2 Type II
Trust-/Compliance-Center AVV / DPA herunterladen

Hetzner Online GmbH

Hosting Backend (API), Datenbank, statisches Webhosting, Speicherung verschlüsselter Wörterbuch-Sync-Daten

Anschrift
Industriestr. 25, 91710 Gunzenhausen, Deutschland
Standort der Verarbeitung
Deutschland (Falkenstein)
Verarbeitete Daten
Account-Daten, Subscription-Daten, Audit-Logs, Ende-zu-Ende-verschlüsselte Wörterbuch-Blobs (Klartext nur auf Endgerät)
Zertifizierungen
ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018
Trust-/Compliance-Center AVV / DPA herunterladen

Stripe Payments Europe Ltd.

Zahlungsabwicklung, Rechnungserstellung, Customer-Portal

Anschrift
1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland
Standort der Verarbeitung
Irland (EU)
Verarbeitete Daten
Name, Adresse, Karten-/PayPal-Daten (verschlüsselt bei Stripe), Rechnungs-Metadaten
Zertifizierungen
PCI-DSS Level 1, SOC 1, SOC 2
Trust-/Compliance-Center AVV / DPA herunterladen

Neue Medien Münnich (All-Inkl.com)

SMTP-Versand von Transaktions-Emails (Welcome, Password-Reset, Rechnungs-Mails)

Anschrift
Hauptstr. 68, 02742 Friedersdorf, Deutschland
Standort der Verarbeitung
Deutschland
Verarbeitete Daten
Empfänger-Email, Email-Inhalt
Trust-/Compliance-Center

Wir informieren bestehende Geschäftskunden über Änderungen an dieser Liste vor Aktivierung neuer Sub-Auftragsverarbeiter.

Technisch-organisatorische Maßnahmen

Auszug aus unserer TOM-Liste, gruppiert nach den vier Schutzzielen der DSGVO. Die vollständige Fassung ist Bestandteil unserer AVV.

Vertraulichkeit

  • TLS 1.3 für alle Verbindungen zwischen Desktop-App, API und Sub-Processoren
  • Ende-zu-Ende-Verschlüsselung der Wörterbuch-Sync-Daten: AES-256-GCM auf dem Endgerät, Schlüssel aus Passwort via Argon2id abgeleitet, Server speichert ausschließlich Ciphertext
  • Argon2id für Passwort-Hashes (memory-hard, brute-force-resistent)
  • API-Keys werden nur als kryptografischer Hash in der Datenbank gespeichert
  • 2FA-Pflicht (TOTP) für alle Admin-Zugänge
  • Rate-Limiting pro Endpoint zur Brute-Force-Abwehr
  • Berechtigungstrennung: Mitarbeiter haben nur Zugriff auf Daten, die für ihre Aufgabe nötig sind

Integrität

  • Stripe-Webhook-Signaturen werden HMAC-validiert
  • Idempotenz-Schutz: Webhook-Events werden nur einmal verarbeitet
  • Audit-Log für alle Admin-Aktionen, 365 Tage Aufbewahrung
  • Automatisches Sicherheits-Patching der Server-Pakete

Verfügbarkeit

  • Health-Monitor mit automatischer Alarmierung bei Dienstausfall
  • Backup der Datenbank: täglich, verschlüsselt, off-site
  • Server-Hosting bei Hetzner mit redundanter Anbindung

Wiederherstellung

  • Backup-Restore-Tests werden regelmäßig durchgeführt
  • Disaster-Recovery-Plan: dokumentierte Wiederherstellungs-Schritte für DB, API und statisches Hosting
  • Backup-Aufbewahrung 30 Tage rolling

Auftragsverarbeitungs-Vereinbarung

Geschäftskunden, die Wortflink für die Verarbeitung personenbezogener Daten Dritter (Kunden, Patienten, Geschäftspartner) einsetzen, schließen mit uns eine AVV nach Art. 28 DSGVO ab. Direkt im Kundenbereich abschließbar, das fertige PDF kommt automatisch per Mail.

Im Kundenbereich verfügbar

Geschäftskunden schließen die AVV im Kundenbereich digital ab: Firmendaten eintragen, Vereinbarung akzeptieren, druckreifes PDF mit beidseitiger Signatur wird automatisch erzeugt und per Mail zugeschickt.

AVV im Kundenbereich abschließen

Sicherheitsvorfälle

Bei einem Datenschutzvorfall benachrichtigen wir betroffene Geschäftskunden binnen 72 Stunden gemäß Art. 33 DSGVO mit allen relevanten Details (Art und Umfang des Vorfalls, betroffene Datenkategorien, ergriffene und geplante Gegenmaßnahmen). Du findest den Vorfall danach zusätzlich auf dieser Seite mit Status-Update.

Aktueller Status: Keine offenen Vorfälle.

Fragen zur Compliance?

Konkrete rechtliche Fragen zur Anwendbarkeit in deiner Branche oder Konstellation beantwortest du am besten mit deinem Datenschutzbeauftragten oder einem auf Datenschutz spezialisierten Anwalt. Für allgemeine technische Fragen oder zur Anforderung der AVV-Vorlage steht unser Kontaktformular bereit.

Kontaktformular öffnen