Sicherheit & Datenschutz
Ihre Daten sind in sicheren Händen. Protime agiert als Auftragsbearbeiter und verarbeitet Ihre Daten ausschließlich in der EU.
Drei Sicherheitsstufen — Sie wählen
Standard-Vertraulichkeit, erhöhte Compliance, oder strukturelle Trennung in Ihre eigene Cloud — das Sicherheits-Setup gilt firmenweit und ist nachträglich upgradebar. 1-Pager mit Übersicht der drei Tiers, im täglichen Pilot-Einsatz bei der Loeb AG (Schweizer Familienunternehmen) seit Anfang März 2026.
Ihre Fragen, beantwortet
Sind meine E-Mails sicher?
Protime greift per OAuth auf Ihre E-Mails zu — wir kennen Ihr Passwort nicht, und Sie können den Zugriff jederzeit widerrufen. Bei Standard-Briefings werden verarbeitete E-Mails nach maximal 3 Monaten automatisch gelöscht. Bei Inbox-Briefings werden E-Mails nur gelesen und analysiert — es werden keine E-Mail-Inhalte gespeichert. Ihre Inbox bleibt immer unberührt.
Kann das Protime-Team meine E-Mails lesen?
Nein. Ihre E-Mail-Inhalte werden automatisch durch KI verarbeitet — kein Mensch liest sie. Der Zugriff auf Kundendaten ist auf autorisiertes Personal beschränkt und erfolgt ausschließlich zur Fehlerbehebung oder auf Ihre Support-Anfrage. Wir können und werden nicht in Ihrem Postfach stöbern.
Kann Protime gehackt werden?
Wir betreiben keine eigenen Server. Alles läuft auf Google Cloud — dieselbe Infrastruktur, die Gmail und Google Workspace schützt. Unsere Anwendung ist Google CASA Tier 2 verifiziert — die strengste Sicherheitsprüfung, die Google für Apps mit E-Mail-Zugriff verlangt. Continuous Monitoring durch Google Security Command Center.
Können meine Geschäftsgeheimnisse verloren gehen?
Ihre Daten werden nie für KI-Training verwendet. Kein Protime-Mitarbeiter liest Ihre Inhalte. Alles verschlüsselt (AES-256), alles in der EU (Frankfurt). Die KI-Verarbeitung erfolgt unter Googles Cloud-Vertrag — Google darf Ihre Daten nicht weitergeben.
Unsere Versprechen
Datenschutz
Protime agiert als Auftragsbearbeiter (Data Processor) im Sinne von Art. 28 DSGVO und Art. 9 des Schweizer Datenschutzgesetzes (revDSG). Wir verarbeiten personenbezogene Daten ausschließlich im Auftrag und nach Weisung unserer Kunden.
Für Geschäftskunden stellen wir auf Anfrage einen Auftragsverarbeitungsvertrag (AVV) bereit — verfügbar als Schweizer Version (revDSG) und als EU/deutsche Version (DSGVO). Wir führen eine aktuelle Liste aller Unterauftragsbearbeiter, die auf Anfrage verfügbar ist.
Zuständige Aufsichtsbehörde in der Schweiz ist der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte). Für Nutzer im EU-/EWR-Raum ist die jeweils zuständige Landesdatenschutzbehörde Ansprechpartner.
Datenhosting & Infrastruktur
Alle Daten werden auf der Google Cloud Platform im Google-Rechenzentrum in Frankfurt, Deutschland gehostet. Wir nutzen Firebase Authentication, Cloud Firestore und Cloud Functions. Es werden keine Daten außerhalb der EU gespeichert.
Verschlüsselung
- ✓Übertragung: Alle Verbindungen sind mit TLS/SSL verschlüsselt.
- ✓Speicherung: Google Cloud Standardverschlüsselung (AES-256) für alle gespeicherten Daten.
- ✓Authentifizierung: OAuth 2.0 für Gmail- und Outlook-Zugriff. Es werden keine Passwörter gespeichert.
KI-Verarbeitung
Wir nutzen ausschließlich Google Gemini für die Erstellung von Briefings. Die Verarbeitung erfolgt im Rahmen der Google Cloud Datenverarbeitungsvereinbarung (DPA) im Google-Rechenzentrum in Frankfurt, Deutschland. Google verwendet Ihre Daten nicht zum Training allgemeiner KI-Modelle (gemäß den Google Cloud Nutzungsbedingungen).
E-Mail- & Kalenderzugriff
- ✓Wir verwenden OAuth 2.0 für den sicheren Zugriff auf Ihre E-Mails und Ihren Kalender. Der Zugriff kann jederzeit über die Kontoeinstellungen Ihres E-Mail-Anbieters widerrufen werden.
- ✓Verarbeitete E-Mails werden nach maximal 3 Monaten automatisch gelöscht. Die daraus generierten Zusammenfassungen bleiben erhalten.
- ✓Protime entspricht der Google Limited Use Policy und der Google API Services User Data Policy.
Infrastruktur-Sicherheit & Monitoring
- ✓Google Security Command Center für kontinuierliche Bedrohungserkennung, Intrusion-Monitoring und Fehlkonfigurations-Warnungen.
- ✓Cloud Monitoring mit Verfügbarkeitsprüfungen, Performance-Metriken und automatisierter Fehlermeldung für alle Dienste.
- ✓Strukturiertes Logging über alle Cloud Functions mit Schweregrad-Stufen für Echtzeit-Anomalieerkennung.
- ✓Cloud Armor Web Application Firewall zum Schutz gegen OWASP Top 10 Angriffe.
- ✓GitHub Branch Protection und Code-Review-Pflicht für alle Produktionsänderungen.
- ✓Automatisches Vulnerability Scanning für alle Container-Images und Abhängigkeiten.
Organisatorische Sicherheit
- ✓Der Zugriff auf Kundendaten ist auf autorisiertes Personal beschränkt und erfolgt ausschließlich zur Fehlerbehebung oder auf Support-Anfrage.
- ✓Multi-Faktor-Authentifizierung (MFA) auf allen kritischen Systemen: Cloud-Infrastruktur, Code-Repositories, Zahlungsabwicklung und E-Mail-Zustellung.
- ✓Passwort-Management nach NIST SP 800-63B: einzigartige generierte Passwörter pro Dienst, keine planmäßige Rotation, Änderung nur bei Kompromittierung.
- ✓Vollständige Festplattenverschlüsselung (AES-256) auf allen Firmengeräten. Kein unverschlüsselter Zugriff auf Kundendaten möglich.
- ✓Wir verfügen über einen Incident-Response-Prozess mit einer 72-Stunden-Benachrichtigungsfrist gemäß DSGVO-Anforderungen.
- ✓Regelmäßige Sicherheitsbewertungen, einschließlich Google CASA Tier 2 (Cloud Application Security Assessment, verifiziert bis Feb 2027).
- ✓Alle Systemprotokolle werden 365 Tage aufbewahrt, um vollständige Nachvollziehbarkeit und Audit-Fähigkeit zu gewährleisten.
- ✓Datenschutz-Ansprechpartner: Marc Loeb, data@protime.ai
Compliance & Standards
Protime setzt angemessene technische und organisatorische Maßnahmen um, die an aktuellen europäischen Sicherheitsstandards ausgerichtet sind. Unsere Sicherheitskontrollen unterstützen Ihre NIS2-Lieferketten-Compliance.
| Standard / Framework | Status | Details |
|---|---|---|
| GDPR & revDSG | Zertifiziert | DSGVO & revDSG — Vollständige Konformität mit EU- und Schweizer Datenschutzvorschriften, einschließlich Auftragsverarbeitungsverträge (AVV), dokumentierter technischer und organisatorischer Maßnahmen (TOMs) und Unterauftragsbearbeiter-Transparenz. |
| Google CASA Tier 2 | Zertifiziert | Google CASA Tier 2 — Unabhängige Sicherheitsprüfung durch ein von der App Defence Alliance autorisiertes Labor, die Anwendungssicherheit über 13 OWASP-ASVS-Kategorien verifiziert. Zertifiziert bis Februar 2027. |
| ISO 27001:2022 | In Bearbeitung | ISO 27001:2022 — Vollständiges ISMS implementiert: Statement of Applicability v1.3, 12 konsolidierte Policies decken alle anwendbaren Annex-A-Controls ab, Risk Register, Verzeichnis der Verarbeitungstätigkeiten (ROPA), Business Continuity Plan. Zertifizierungs-Audit mit SGS Schweiz im April 2026 eingeleitet. |
| SOC 2 Type I | Geplant | SOC 2 — Kontrollen SOC-2-bereit. Type-I-Engagement mit TAC Security geplant (Fertigstellung ~30 Tage nach Start). |
| NIS2 supply chain | Ausgerichtet — Zertifizierung ausstehend | NIS2-Lieferkette — Unsere Sicherheitsmaßnahmen unterstützen regulierte Organisationen bei der Erfüllung ihrer NIS2-Sorgfaltspflichten in der Lieferkette (Art. 21(2)(d)). |
Unterauftragsbearbeiter
Eine aktuelle Übersicht der Dienste, die zur Erbringung von Protime eingesetzt werden:
| Sub-Processor | Zweck | Datenstandort | Zertifizierungen | Übertragungs-Schutz |
|---|---|---|---|---|
| Google Cloud Platform | Firestore, Cloud Functions, Firebase Auth | europe-west3 (Frankfurt) | ISO 27001, SOC 2 Type II, ISO 27701 | Swiss-US DPF |
| Google Vertex AI (Gemini) | AI inference (briefings, inbox classification, drafts) | EU region | ISO 27001, SOC 2 Type II | Swiss-US DPF |
| Microsoft Graph | Outlook OAuth (Mail.Read) | EU / US | ISO 27001, SOC 2 Type II | Swiss-US DPF |
| Stripe | Payment processing | US / EU | PCI DSS Level 1, SOC 2 Type II, ISO 27001 | Swiss-US DPF |
| SendGrid (Twilio) | Transactional email delivery | US | ISO 27001, SOC 2 Type II | Swiss-US DPF |
| GitHub (Microsoft) | Source code hosting (no customer data) | US | ISO 27001, SOC 2 Type II | Swiss-US DPF |
Verantwortungsvolle Offenlegung
Sicherheitsforscher und Kunden können Schwachstellen über unseren koordinierten Offenlegungskanal melden.
Wir bestätigen Meldungen innerhalb von 3 Werktagen und halten eine 90-tägige Offenlegungsfrist für die Behebung ein.
Kontakt
Für Sicherheitsanfragen, Datenschutzfragen oder die Meldung von Schwachstellen kontaktieren Sie uns unter:
data@protime.ai