Sicherheit & Datenschutz

Ihre Daten bleiben in der EU

Kit wird auf Hetzner Cloud in Nürnberg, Deutschland, gehostet. Ihre Bewerbungsdaten werden im Ruhezustand und bei der Übertragung verschlüsselt, durch kontinuierliche Sicherheitsscans geschützt und innerhalb der Europäischen Union gespeichert.

EU-gehostet (Deutschland)
Verschlüsselt im Ruhezustand und bei Übertragung Cloudflare-geschützt CI-Sicherheitsscans

Datenschutz & DSGVO

Datenspeicherort

Alle Kerndaten werden in der Europäischen Union gespeichert (Hetzner Cloud, Nürnberg, Deutschland). Keine routinemäßige Übermittlung personenbezogener Daten in die Vereinigten Staaten für Infrastrukturzwecke.

DSGVO-Konformität

Kit wurde entwickelt, um Sie bei der Einhaltung der DSGVO zu unterstützen. Wir bieten einen umfassenden Auftragsverarbeitungsvertrag, unterstützen Betroffenenrechte und stellen integrierte Werkzeuge für Datenexport, Anonymisierung und Einwilligungsmanagement bereit.

Auftragsverarbeitungsvertrag

Unser Auftragsverarbeitungsvertrag deckt alle Pflichtklauseln nach Art. 28 DSGVO ab, einschließlich Unterauftragsverarbeitermanagement, Meldung von Datenschutzverletzungen, Prüfrechte und Schutzmaßnahmen für internationale Datenübermittlungen.

Unseren AVV einsehen

Einwilligungsmanagement

Integriertes Einwilligungsmanagement für Kandidatendaten mit konfigurierbaren Aufbewahrungsfristen, automatischem Ablauf, Erneuerungs-Workflows und Audit-Trail.

Compliance

DSGVO

  • Auftragsverarbeitungsvertrag verfügbar
  • Betroffenenrechte werden unterstützt (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch)
  • Werkzeuge für Datenexport und Anonymisierung
  • Einwilligungsmanagement mit Audit-Trail
  • Infrastruktur mit Sitz in der EU
  • Deckt auch UK GDPR und das Schweizer Datenschutzgesetz (DSG) ab

ePrivacy

  • Cookie-Einwilligung mit Opt-in für Analysen
  • Standardmäßig nur essenzielle Cookies
  • Microsoft Clarity auf Marketingseiten beschränkt
  • Ein-Klick-Abmeldung von E-Mails (RFC 8058)

CCPA

  • Kein Verkauf oder Weitergabe personenbezogener Daten
  • Datenlöschung auf Anfrage
  • Recht auf Auskunft über erhobene Daten
  • Keine Benachteiligung bei Ausübung von Datenschutzrechten

Infrastruktur

Hosting

Die gesamte Infrastruktur läuft auf Hetzner Cloud in Nürnberg, Deutschland (Rechenzentrum nbg1-dc3, Netzwerkzone eu-central). Keine US-Unterauftragsverarbeiter für die Kerninfrastruktur. Ihre Kernanwendungsdaten werden in der EU gespeichert.

Datenspeicherort

Ihre Datenbank läuft in einem privaten Netzwerk ohne öffentlichen Internetzugang. Sämtlicher Datenbankverkehr bleibt auf lokalen Schnittstellen. Backups sind verschlüsselt und werden innerhalb der EU gespeichert.

E-Mail-Infrastruktur

Selbst gehosteter Mailserver in der EU. Kandidaten-E-Mails und Benachrichtigungen berühren keine US-amerikanische E-Mail-Infrastruktur von Drittanbietern. Volle Kontrolle über E-Mail-Zustellung und Datenspeicherort.

Edge-Sicherheit

Cloudflare bietet DDoS-Schutz, Web Application Firewall (WAF) und TLS-Terminierung. EU-Verarbeitung ist für Cloudflare-Dienste verfügbar.

Verschlüsselung

Bei Übertragung

Alle Verbindungen sind mit TLS 1.2 oder höher verschlüsselt. HSTS wird erzwungen. API-Endpunkte erfordern HTTPS.

Im Ruhezustand

Sensible personenbezogene Datenfelder werden auf Anwendungsebene verschlüsselt (deterministisch und nicht-deterministisch). Speichervolumen sind verschlüsselt. Backups sind verschlüsselt.

Zahlungsdaten

Die gesamte Zahlungsabwicklung erfolgt über Stripe. Kit speichert, verarbeitet oder hat niemals Zugriff auf vollständige Kreditkartennummern. Stripe ist PCI DSS Level 1 zertifiziert.

Anwendungssicherheit

Automatisierte Sicherheitsscans

Jedes Deployment setzt das Bestehen von Brakeman (statische Analyse für Rails-Schwachstellen), bundler-audit (CVE-Prüfung von Ruby-Gems) und importmap audit (Prüfung von JavaScript-Abhängigkeiten) voraus. Kein Code wird ohne bestandene Prüfung ausgeliefert.

Framework-Schutzmaßnahmen

Basiert auf Ruby on Rails 8, das integrierten Schutz gegen CSRF, XSS, SQL Injection und weitere OWASP-Top-10-Schwachstellen bietet. Content Security Policy Header werden erzwungen.

Code Review

Alle Änderungen durchlaufen ein Pull-Request-Review vor dem Mergen. Automatisiertes Linting (RuboCop, ERB Lint) sichert die Einhaltung von Code-Qualitätsstandards.

Abhängigkeitsmanagement

Automatische Benachrichtigungen bei anfälligen Abhängigkeiten. Regelmäßige Aktualisierung von Framework- und Bibliotheksversionen. Kontinuierliche Überwachung von Sicherheitshinweisen.

Zugriffskontrolle

Authentifizierung

Benutzerpasswörter werden sicher gehasht. Optionale Zwei-Faktor-Authentifizierung ist verfügbar. Sitzungsverwaltung mit sicheren, HTTP-only Cookies.

Teamberechtigungen

Rollenbasierte Zugriffskontrolle (Eigentümer, Admin, Mitglied) pro Konto. Granulare Berechtigungen für die Stufen der Bewerbungspipeline. Audit-Trail für sicherheitsrelevante Aktionen.

API-Sicherheit

JWT-basierte API-Token mit eingeschränkten Berechtigungen. Rate Limiting auf allen API-Endpunkten. Token-Rotation wird unterstützt.

Interner Zugang

Kleines Entwicklungsteam (2–3 Personen). Keine geteilten Zugangsdaten. Prinzip der minimalen Rechtevergabe für alle Systemzugriffe.

Unterauftragsverarbeiter

Wir setzen die folgenden Dienstleister ein. Vollständige Angaben einschließlich Übermittlungsmechanismen finden Sie in unserem AVV (Anlage 3):

Anbieter Zweck Standort
Hetzner Online GmbH Infrastruktur, Compute, Speicher Nürnberg, Deutschland
Cloudflare, Inc. CDN, DNS, DDoS-Schutz Global (DPF + SVK)
Stripe, Inc. Zahlungsabwicklung Vereinigte Staaten (DPF + SVK)
Functional Software, Inc. (Sentry) Fehlerüberwachung Vereinigte Staaten (DPF + SVK)
Vollständige Liste der Unterauftragsverarbeiter in unserem AVV

Offenlegung von Schwachstellen

Kit betreibt ein Programm zur verantwortungsvollen Offenlegung von Schwachstellen mit einem eigenen Meldeformular, strukturierter Triage und einer veröffentlichten Sicherheitsrichtlinie. Wir streben an, Meldungen innerhalb von 48 Stunden zu bestätigen.

Schwachstelle melden Unsere Sicherheitsrichtlinie einsehen

Unsere security.txt ist unter /.well-known/security.txt veröffentlicht

Verfügbarkeit & Status

Wir veröffentlichen Statusinformationen in Echtzeit, einschließlich Verfügbarkeitshistorie und Störungsberichten.

Statusseite aufrufen

Fragen?

Bei Fragen zur Sicherheit erreichen Sie uns unter:

[email protected]

Zuletzt aktualisiert: 31. März 2026