Zum Hauptinhalt springen
teamspace

Sicherheit und Compliance: Made in Germany, in Frankfurt gehostet.

In teamspace liegen Personendaten und wirtschaftlich sensible Zahlen: Stunden, Honorare, Margen. Wir behandeln deren Schutz als Teil des Betriebs, nicht als Verkaufsargument.

Die wichtigsten Anker

Drei Anker für Sicherheit und Compliance.

ISO-27001-Rechenzentrum

Hosting in einem nach ISO/IEC 27001 zertifizierten Rechenzentrum in Frankfurt am Main, betrieben von Aixit. Die schriftliche Bestätigung dazu bekommen Sie auf Anfrage.

DSGVO und Standard-AVV

Verarbeitung nach DSGVO, mit Standard-AVV nach Art. 28. Für Betroffenen-Anfragen läuft ein fester Auskunfts-Workflow.

Verarbeitung in der EU

Ihre Daten bleiben in zwei georedundanten Rechenzentren in Frankfurt am Main. Subdienstleister außerhalb der EU sind nicht im Spiel.

Herkunft

Entwickelt in Darmstadt, betrieben in Frankfurt.

Hinter teamspace steht die 5 POINT AG, eine Aktiengesellschaft aus Darmstadt. Wir entwickeln die Software seit 1999 selbst und betreiben sie auch selbst, ohne ausgelagerte Teams und ohne Konzern im Rücken.

Gehostet wird in einem ISO-27001-zertifizierten Rechenzentrum in Frankfurt am Main, betrieben von Aixit, an zwei georedundanten Standorten. Ihre Daten werden ausschließlich in der EU verarbeitet. Subdienstleister außerhalb der EU haben keinen Zugriff.

Geltungsbereich

ISO 27001 gilt dem Rechenzentrum, nicht teamspace.

Die ISO/IEC-27001-Zertifizierung gilt dem Rechenzentrum in Frankfurt am Main, in dem teamspace läuft. Sie betrifft das Informationssicherheits-Management des Hosting-Betreibers.

Die 5 POINT AG selbst und der Betrieb von teamspace sind nicht nach ISO 27001 zertifiziert. So wissen Sie im Audit genau, worauf Sie sich berufen können und worauf nicht. Eine schriftliche Bestätigung über das ISO-27001-Hosting senden wir Ihnen auf Anfrage.

Nachweise anfordern

Im Betrieb

Sicherheit entsteht im täglichen Betrieb.

  1. 1

    Geschulte Mitarbeitende

    Alle Mitarbeitenden durchlaufen dokumentierte Sensibilisierungs-Schulungen zur Informationssicherheit.

  2. 2

    Verschlüsselung

    In Transit verschlüsselt teamspace per TLS in der aktuellen Version. Im Rechenzentrum liegen die Storage-Volumes mit AES-256 verschlüsselt.

  3. 3

    Berechtigungen und Zwei-Faktor

    Zugriffe folgen dem Need-to-know-Prinzip, rollenbasiert. Die Zwei-Faktor-Anmeldung über TOTP oder FIDO2 lässt sich pro Mandant erzwingen.

  4. 4

    Audit-Trail und GoBD

    Jede Buchung und Korrektur wird mit Bearbeiter, Zeitstempel und Grund festgehalten. Im GoBD-Modus bleibt sie zehn Jahre revisionssicher erhalten.

  5. 5

    Backups

    teamspace sichert täglich, mit Aufbewahrung über 7 Tage, 4 Wochen und 3 Monate. Wiederherstellungen sind dokumentiert und werden geprobt.

Auftragsverarbeitung

Den AVV legen wir dem Vertrag bei.

Gegenüber Ihnen ist die 5 POINT AG Auftragsverarbeiterin im Sinne von Art. 28 DSGVO. Den Standard-AVV legen wir dem Vertrag bei, vorbereitet für Mandanten in der EU.

Die Liste der Subunternehmer für Hosting, Backup, Mail und Monitoring bekommen Sie auf Anfrage. Fragt eine betroffene Person ihre Daten an, läuft ein fester Auskunfts-Workflow innerhalb von 30 Tagen. Endet der Vertrag, gilt die Löschpflicht mit dokumentierter Bestätigung.

Bringen Sie Ihre Compliance-Anforderungen mit.

Im Erstgespräch gehen wir Ihre Anforderungen Punkt für Punkt durch, von der AVV-Vorbereitung bis zum passenden Nachweis.

Verschlüsselung

Verschlüsselt übertragen, verschlüsselt gespeichert.

Auf dem Weg zwischen Browser und Server verschlüsselt teamspace die Übertragung per TLS in der jeweils aktuellen Version. Ältere Verfahren sind abgeschaltet.

Im Rechenzentrum liegen die Storage-Volumes durch den Betreiber Aixit verschlüsselt (AES-256). teamspace selbst legt keine zusätzliche Verschlüsselung auf Anwendungs- oder Datenbank-Ebene darüber. Eine Ende-zu-Ende-Verschlüsselung, bei der niemand außer Ihnen die Daten lesen kann, ist das ausdrücklich nicht.

Nachvollziehbarkeit

Jede Buchung trägt ihre Historie.

Hinter jeder Buchung und jeder Korrektur in teamspace stehen Bearbeiter, Zeitstempel und Grund. Wer wann was geändert hat, bleibt nachvollziehbar, ohne dass jemand ein zweites Protokoll führen muss.

Im GoBD-Modus lassen sich freigegebene Rechnungen, Stornos und Belege nicht mehr löschen. Aktiviert wird dieser Modus ausschließlich durch die 5 POINT AG, der Mandant kann ihn nicht umgehen. So ist die zehnjährige revisionssichere Aufbewahrung technisch erzwungen und nicht eine Frage der Disziplin. Für eine Betriebsprüfung liefern Sie einen Audit-Export, der den Stand zum Stichtag zeigt.

TOM nach DSGVO

Technische und organisatorische Maßnahmen

Die Maßnahmen nach Art. 32 DSGVO, geordnet nach den vier Schutzzielen.

Vertraulichkeit

  • Pseudonymisierung wo möglich
  • Storage-Volumes verschlüsselt (AES-256) im Rechenzentrum
  • TLS in der jeweils aktuellen Version in Transit
  • Zugriffskontrolle nach Need-to-know
  • Rollenbasierte Berechtigungen

Integrität

  • Audit-Trail für jede Datenänderung
  • GoBD-Modus aktivierbar, mindestens 10 Jahre Aufbewahrung
  • Sperrung freigegebener Perioden
  • Backups in zwei georedundanten Rechenzentren in Frankfurt
  • Regelmäßige Restore-Tests

Verfügbarkeit

  • Georedundant betrieben in zwei Rechenzentren in Frankfurt
  • DDoS-Schutz auf Netzwerk- und Anwendungsebene
  • Tägliche Backups, Aufbewahrung 7 Tage, 4 Wochen, 3 Monate
  • Disaster-Recovery-Plan dokumentiert

Auftragsverarbeitung

  • Standard-AVV nach Art. 28 DSGVO
  • Subunternehmer-Liste auf Anfrage
  • Auskunfts-Workflow innerhalb 30 Tage
  • Löschpflicht beim Vertragsende
  • Datenexport im Standardformat

Datenhoheit

Ihre Daten gehören Ihnen, auch am Ende.

Endet die Zusammenarbeit, bekommen Sie alle Mandanten-Daten im Standardformat zurück, als JSON, CSV oder bei Bedarf als SQL-Dump. Für die Migration bleibt eine Karenz von 90 Tagen.

Danach löschen wir alle Daten unwiderruflich und bestätigen das schriftlich. Die Backups sind eingeschlossen, sobald die letzte Generation überschrieben ist, in der Regel nach weiteren 30 bis 90 Tagen. Einen Lock-in über Ihre eigenen Daten gibt es nicht.

Im Überblick

Die Eckwerte, an denen Sicherheit messbar wird.

Vier Zahlen, die im Erstgespräch und im Audit immer wieder gefragt werden.

2

Rechenzentren

georedundant in Frankfurt am Main

EU

Verarbeitung

ausschließlich, ohne Drittland-Transfer

10 J.

GoBD-Aufbewahrung

revisionssicher im GoBD-Modus

7/4/3

Backups

Tage, Wochen, Monate

KI und Datenschutz

Ihre Daten trainieren keine fremden Modelle.

Was Sie in teamspace erfassen, dient Ihrem Betrieb, nicht dem Training von KI. Mandanten-Daten fließen nicht in KI-Modelle, nicht in ML-Verfahren und nicht in produktübergreifende Auswertungen.

Das gilt auch für die KI-Funktionen, an denen wir arbeiten: Sie unterstützen innerhalb Ihrer eigenen Umgebung, ohne Ihre Daten in ein Modelltraining zu geben. Eine anonymisierte, aggregierte Telemetrie zur Leistungsmessung lässt sich auf Wunsch abschalten.

Mehr zu Integrationen und KI

Für regulierte Anforderungen

Sicherheit, die der Betriebsprüfung und dem Kunden-Audit standhält.

Viele unserer Kunden müssen selbst Anforderungen erfüllen, die ihre Auftraggeber stellen. Eine IT-Beratung, die für eine Bank arbeitet, ein Ingenieurbüro mit öffentlichen Aufträgen, eine Agentur mit ISO-9001-Pflicht beim Endkunden: In all diesen Fällen wird gefragt, wo die Daten liegen, wer Zugriff hat und wie lange aufbewahrt wird.

Auf diese Fragen gibt teamspace belegbare Antworten: Hosting in Frankfurt, Verarbeitung in der EU, Standard-AVV, ein lückenloser Audit-Trail und der GoBD-Modus für die revisionssichere Aufbewahrung. Haben Sie besondere Anforderungen aus BaFin-, KRITIS- oder B3S-Kontext, schauen wir im Gespräch gemeinsam, was davon teamspace abdeckt und wo Sie zusätzliche Maßnahmen brauchen. Die passenden Nachweise, von der AVV-Vorlage bis zur ISO-Bestätigung, finden Sie im Download-Bereich oder bekommen sie auf Anfrage.

Häufige Fragen zu Sicherheit und Compliance

Wo werden die Daten gespeichert?
Ausschließlich in zertifizierten Rechenzentren in Frankfurt am Main, in der EU. Es gibt keine Datenübertragung in Drittländer (z. B. USA) und keine Subunternehmer außerhalb der EU. Vertragspartner ist die 5 POINT AG mit Sitz in Darmstadt.
Wie ist der AVV gestaltet?
Wir stellen einen Standard-AVV nach Art. 28 DSGVO zur Verfügung, vorbereitet für Mandanten in der EU. Auf Anfrage senden wir den Mustervertrag; individuelle Anpassungen sind nach Prüfung möglich.
Welche Zertifizierungen liegen vor?
Das Rechenzentrum in Frankfurt am Main ist nach ISO/IEC 27001 zertifiziert. Eine schriftliche Bestätigung der 5 POINT AG über dieses ISO-27001-Hosting erhalten Sie auf Anfrage. Die 5 POINT AG selbst ist nicht zertifiziert.
Welche Verfügbarkeit sichern Sie zu?
teamspace läuft georedundant in zwei Rechenzentren in Frankfurt, und wir bemühen uns um ständige Verfügbarkeit. Eine feste Prozent-Zusage geben wir bewusst nicht, weil wir nur zusichern, was auch vertraglich Bestand hat. Für Premium-Kunden gibt es definierte SLA-Reaktionszeiten.
Wer hat Zugriff auf unsere Daten?
Innerhalb der 5 POINT AG gilt das Need-to-know-Prinzip. Customer-Success-Manager betreuen ihre Mandanten, Tech-Support greift nur bei expliziter Freigabe und mit Audit-Trail zu. Entwickler haben keinen freien Zugriff auf Produktivdaten.
Wie funktioniert ein Daten-Export bei Vertragsende?
Beim Vertragsende exportieren wir alle Mandanten-Daten im Standardformat (JSON, CSV, ggf. SQL-Dump). Es gibt eine 90-Tage-Karenz für die Migration. Danach werden alle Daten unwiderruflich gelöscht, mit Lösch-Bestätigung.
Wie geht teamspace mit Sicherheits-Vorfällen um?
Der Incident-Response-Plan ist dokumentiert. Bei Verdacht auf ein Datenleck benachrichtigen wir Mandanten innerhalb der gesetzlichen Frist von 72 Stunden. Ein internes Forensik-Team und externe Spezialisten-Verträge stehen auf Abruf bereit. Post-Mortem-Berichte teilen wir mit den betroffenen Mandanten.
Welche Daten werden für KI-Training oder Analytics genutzt?
Mandanten-Daten werden ausdrücklich nicht für KI-Training, ML-Modelle oder produktübergreifende Analytics genutzt. Das gilt auch für die KI-Funktionen, an denen wir arbeiten: Sie unterstützen innerhalb Ihrer eigenen Umgebung, ohne dass Ihre Daten in das Training von Modellen einfließen. Eine anonymisierte, aggregierte Telemetrie zur Leistungsmessung lässt sich auf Wunsch deaktivieren.
Wie lange werden Daten aufbewahrt?
Buchhaltungs-relevante Daten (Stunden, Rechnungen, Belege) bleiben 10 Jahre nach GoBD erhalten. Personenbezogene Daten richten sich nach den DSGVO-Aufbewahrungspflichten oder der vertraglichen Vereinbarung. Detail-Logs werden 12 Monate vorgehalten und danach anonymisiert.

Gehen wir Ihre Anforderungen gemeinsam durch.

Im 15- bis 30-minütigen Termin klären wir Ihre Compliance-Fragen Punkt für Punkt, von der AVV-Vorbereitung bis zum passenden Nachweis.