ISO-27001-Rechenzentrum
Hosting in einem nach ISO/IEC 27001 zertifizierten Rechenzentrum in Frankfurt am Main, betrieben von Aixit. Die schriftliche Bestätigung dazu bekommen Sie auf Anfrage.
In teamspace liegen Personendaten und wirtschaftlich sensible Zahlen: Stunden, Honorare, Margen. Wir behandeln deren Schutz als Teil des Betriebs, nicht als Verkaufsargument.
Die wichtigsten Anker
Hosting in einem nach ISO/IEC 27001 zertifizierten Rechenzentrum in Frankfurt am Main, betrieben von Aixit. Die schriftliche Bestätigung dazu bekommen Sie auf Anfrage.
Verarbeitung nach DSGVO, mit Standard-AVV nach Art. 28. Für Betroffenen-Anfragen läuft ein fester Auskunfts-Workflow.
Ihre Daten bleiben in zwei georedundanten Rechenzentren in Frankfurt am Main. Subdienstleister außerhalb der EU sind nicht im Spiel.
Herkunft
Hinter teamspace steht die 5 POINT AG, eine Aktiengesellschaft aus Darmstadt. Wir entwickeln die Software seit 1999 selbst und betreiben sie auch selbst, ohne ausgelagerte Teams und ohne Konzern im Rücken.
Gehostet wird in einem ISO-27001-zertifizierten Rechenzentrum in Frankfurt am Main, betrieben von Aixit, an zwei georedundanten Standorten. Ihre Daten werden ausschließlich in der EU verarbeitet. Subdienstleister außerhalb der EU haben keinen Zugriff.
Geltungsbereich
Die ISO/IEC-27001-Zertifizierung gilt dem Rechenzentrum in Frankfurt am Main, in dem teamspace läuft. Sie betrifft das Informationssicherheits-Management des Hosting-Betreibers.
Die 5 POINT AG selbst und der Betrieb von teamspace sind nicht nach ISO 27001 zertifiziert. So wissen Sie im Audit genau, worauf Sie sich berufen können und worauf nicht. Eine schriftliche Bestätigung über das ISO-27001-Hosting senden wir Ihnen auf Anfrage.
Im Betrieb
Alle Mitarbeitenden durchlaufen dokumentierte Sensibilisierungs-Schulungen zur Informationssicherheit.
In Transit verschlüsselt teamspace per TLS in der aktuellen Version. Im Rechenzentrum liegen die Storage-Volumes mit AES-256 verschlüsselt.
Zugriffe folgen dem Need-to-know-Prinzip, rollenbasiert. Die Zwei-Faktor-Anmeldung über TOTP oder FIDO2 lässt sich pro Mandant erzwingen.
Jede Buchung und Korrektur wird mit Bearbeiter, Zeitstempel und Grund festgehalten. Im GoBD-Modus bleibt sie zehn Jahre revisionssicher erhalten.
teamspace sichert täglich, mit Aufbewahrung über 7 Tage, 4 Wochen und 3 Monate. Wiederherstellungen sind dokumentiert und werden geprobt.
Auftragsverarbeitung
Gegenüber Ihnen ist die 5 POINT AG Auftragsverarbeiterin im Sinne von Art. 28 DSGVO. Den Standard-AVV legen wir dem Vertrag bei, vorbereitet für Mandanten in der EU.
Die Liste der Subunternehmer für Hosting, Backup, Mail und Monitoring bekommen Sie auf Anfrage. Fragt eine betroffene Person ihre Daten an, läuft ein fester Auskunfts-Workflow innerhalb von 30 Tagen. Endet der Vertrag, gilt die Löschpflicht mit dokumentierter Bestätigung.
Im Erstgespräch gehen wir Ihre Anforderungen Punkt für Punkt durch, von der AVV-Vorbereitung bis zum passenden Nachweis.
Verschlüsselung
Auf dem Weg zwischen Browser und Server verschlüsselt teamspace die Übertragung per TLS in der jeweils aktuellen Version. Ältere Verfahren sind abgeschaltet.
Im Rechenzentrum liegen die Storage-Volumes durch den Betreiber Aixit verschlüsselt (AES-256). teamspace selbst legt keine zusätzliche Verschlüsselung auf Anwendungs- oder Datenbank-Ebene darüber. Eine Ende-zu-Ende-Verschlüsselung, bei der niemand außer Ihnen die Daten lesen kann, ist das ausdrücklich nicht.
Nachvollziehbarkeit
Hinter jeder Buchung und jeder Korrektur in teamspace stehen Bearbeiter, Zeitstempel und Grund. Wer wann was geändert hat, bleibt nachvollziehbar, ohne dass jemand ein zweites Protokoll führen muss.
Im GoBD-Modus lassen sich freigegebene Rechnungen, Stornos und Belege nicht mehr löschen. Aktiviert wird dieser Modus ausschließlich durch die 5 POINT AG, der Mandant kann ihn nicht umgehen. So ist die zehnjährige revisionssichere Aufbewahrung technisch erzwungen und nicht eine Frage der Disziplin. Für eine Betriebsprüfung liefern Sie einen Audit-Export, der den Stand zum Stichtag zeigt.
TOM nach DSGVO
Die Maßnahmen nach Art. 32 DSGVO, geordnet nach den vier Schutzzielen.
Datenhoheit
Endet die Zusammenarbeit, bekommen Sie alle Mandanten-Daten im Standardformat zurück, als JSON, CSV oder bei Bedarf als SQL-Dump. Für die Migration bleibt eine Karenz von 90 Tagen.
Danach löschen wir alle Daten unwiderruflich und bestätigen das schriftlich. Die Backups sind eingeschlossen, sobald die letzte Generation überschrieben ist, in der Regel nach weiteren 30 bis 90 Tagen. Einen Lock-in über Ihre eigenen Daten gibt es nicht.
Im Überblick
Vier Zahlen, die im Erstgespräch und im Audit immer wieder gefragt werden.
Rechenzentren
georedundant in Frankfurt am Main
Verarbeitung
ausschließlich, ohne Drittland-Transfer
GoBD-Aufbewahrung
revisionssicher im GoBD-Modus
Backups
Tage, Wochen, Monate
KI und Datenschutz
Was Sie in teamspace erfassen, dient Ihrem Betrieb, nicht dem Training von KI. Mandanten-Daten fließen nicht in KI-Modelle, nicht in ML-Verfahren und nicht in produktübergreifende Auswertungen.
Das gilt auch für die KI-Funktionen, an denen wir arbeiten: Sie unterstützen innerhalb Ihrer eigenen Umgebung, ohne Ihre Daten in ein Modelltraining zu geben. Eine anonymisierte, aggregierte Telemetrie zur Leistungsmessung lässt sich auf Wunsch abschalten.
Für regulierte Anforderungen
Viele unserer Kunden müssen selbst Anforderungen erfüllen, die ihre Auftraggeber stellen. Eine IT-Beratung, die für eine Bank arbeitet, ein Ingenieurbüro mit öffentlichen Aufträgen, eine Agentur mit ISO-9001-Pflicht beim Endkunden: In all diesen Fällen wird gefragt, wo die Daten liegen, wer Zugriff hat und wie lange aufbewahrt wird.
Auf diese Fragen gibt teamspace belegbare Antworten: Hosting in Frankfurt, Verarbeitung in der EU, Standard-AVV, ein lückenloser Audit-Trail und der GoBD-Modus für die revisionssichere Aufbewahrung. Haben Sie besondere Anforderungen aus BaFin-, KRITIS- oder B3S-Kontext, schauen wir im Gespräch gemeinsam, was davon teamspace abdeckt und wo Sie zusätzliche Maßnahmen brauchen. Die passenden Nachweise, von der AVV-Vorlage bis zur ISO-Bestätigung, finden Sie im Download-Bereich oder bekommen sie auf Anfrage.
Im 15- bis 30-minütigen Termin klären wir Ihre Compliance-Fragen Punkt für Punkt, von der AVV-Vorbereitung bis zum passenden Nachweis.