Sicherheit bei Sortico

Alle Daten von Sortico werden ausschließlich auf Servern in Deutschland gehostet — unter deutschem und europäischem Datenschutzrecht.

Deine Dokumente, Analysen und persönlichen Daten verlassen niemals den europäischen Rechtsraum. Das gilt sowohl für die Datenbank als auch für den Dateispeicher.

Durch den Standort in Deutschland unterliegen wir den strengen Vorgaben der DSGVO, des BDSG und des TMG. Du profitierst vom höchsten Datenschutzniveau weltweit.

Jede Verbindung zu Sortico ist mit TLS 1.3 verschlüsselt — dem aktuellsten und sichersten Standard für Datenübertragung im Internet. HTTPS ist für alle Endpoints erzwungen, unverschlüsselte Verbindungen werden automatisch umgeleitet.

Hochgeladene Dateien werden mit SHA-256 Hashes versehen. Bei jedem Zugriff wird die Integrität der Datei geprüft — so erkennen wir sofort, wenn eine Datei verändert wurde. Passwörter werden mit bcrypt (Cost Factor 12) gehasht und sind selbst bei einem Datenleck nicht rekonstruierbar.

Sämtliche API-Kommunikation zwischen Frontend und Backend erfolgt über verschlüsselte Kanäle. Interne Dienste kommunizieren über isolierte Netzwerke ohne öffentlichen Zugang.

Sortico ist vollständig DSGVO-konform. Du hast jederzeit das Recht auf Auskunft über deine gespeicherten Daten, das Recht auf Löschung und das Recht auf Datenportabilität. Alle diese Rechte kannst du direkt in deinem Konto ausüben oder per E-Mail an uns richten.

Wir erheben nur Daten, die für den Betrieb des Dienstes notwendig sind. Es findet kein Profiling statt, keine Weitergabe an Dritte zu Werbezwecken und keine Auswertung deines Nutzungsverhaltens für Marketingzwecke.

Die Löschung deines Kontos entfernt alle persönlichen Daten, Dokumente und Analyseergebnisse vollständig und unwiderruflich. Auf Anfrage stellen wir dir vorab einen Export aller Daten im maschinenlesbaren Format bereit.

Deine Dokumente werden ausschließlich zur Analyse an den KI-Dienstleister übermittelt — und zwar nur der Inhalt des jeweiligen Dokuments, das du gerade analysieren lässt. Die Daten werden nicht gespeichert, nicht zum Training von KI-Modellen verwendet und nach der Verarbeitung sofort verworfen.

Wir haben einen Auftragsverarbeitungsvertrag (AVV) mit unserem KI-Dienstleister geschlossen, der die Nicht-Speicherung und Nicht-Nutzung deiner Daten für Trainingszwecke vertraglich garantiert. Die API-Nutzungsrichtlinien schließen die Verwendung von Input-Daten für Modell-Training explizit aus.

Die KI-Analyse läuft über eine API-Schnittstelle mit Zero-Retention-Policy: Deine Daten existieren nur während der aktiven Verarbeitung im Arbeitsspeicher und werden danach sofort gelöscht.

Jede Aktion in Sortico wird in einem lückenlosen Audit-Trail protokolliert: Wer hat wann welches Dokument hochgeladen, geändert, gelöscht oder eingesehen. Diese Protokolle sind unveränderbar und können nicht nachträglich manipuliert werden.

Der Audit-Trail erfüllt die Anforderungen der GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form). Jede Änderung ist mit Zeitstempel, Akteur und Diff nachvollziehbar.

Für Unternehmen bietet der Audit-Trail die Grundlage für Compliance-Nachweise. Alle Protokolle können exportiert und bei Bedarf Wirtschaftsprüfern oder Behörden vorgelegt werden.

Sortico ist von Grund auf als Multi-Tenant-System konzipiert. Jeder Account ist vollständig von anderen Accounts isoliert. Die Isolation erfolgt auf Applikationsebene: Jede Datenbank-Abfrage enthält automatisch die Mandanten-ID als Filter.

Ein Zugriff auf Dokumente oder Daten anderer Accounts ist technisch unmöglich — nicht durch Berechtigungsregeln verhindert, sondern durch die Architektur des Systems ausgeschlossen. Es gibt keinen „Superadmin-Zugang“, der Mandantengrenzen überschreiten könnte.

Diese strikte Datentrennung gilt für alle Bereiche: Dokumente, Kontakte, Kategorien, Analysen, Chat-Verläufe und Einstellungen. Selbst bei einem hypothetischen Sicherheitsvorfall wären immer nur die Daten eines einzelnen Accounts betroffen.

Sortico unterstützt Zwei-Faktor-Authentifizierung (2FA) per TOTP — kompatibel mit gängigen Authenticator-Apps wie Google Authenticator, Authy oder 1Password. Damit ist dein Konto auch bei einem kompromittierten Passwort geschützt.

Für Zahlkunden (Abo-Plan) ist 2FA verpflichtend. Im kostenlosen Plan ist 2FA optional, wird aber ausdrücklich empfohlen. Die Aktivierung dauert weniger als eine Minute und erhöht die Kontosicherheit erheblich.