Zum Inhalt

FAQ

Antworten auf typische Fragen aus DSB-, Einkaufs- und Security-Reviews.

Allgemein

Wer betreibt solvevo ONE?

solvevo IT-Solutions GmbH, ansaessig in Deutschland. Vollstaendiges Impressum auf solvevo-it.com.

Welche Tenants koennen die Plattform nutzen?

Unternehmenskunden ab 5 Benutzern, IT-Dienstleister fuer Kunden-Verwaltung (Reseller-Modell), Behoerden, KRITIS-Sektoren mit On-Prem-Bereitstellung.

Welche Sprachen werden unterstuetzt?

Deutsch und Englisch in der Anwendungsoberflaeche. Vertraege koennen auf Wunsch in Englisch geschlossen werden.

Datenschutz / DSGVO

Wo werden meine Daten verarbeitet?

Standardmaessig in Deutschland. Drittland-Transfer findet nur bei expliziter Aktivierung optionaler AI-Provider statt — siehe Datenresidenz.

Wer ist Auftragsverarbeiter / Verantwortlicher?

Sie als Kunde sind Verantwortlicher (DSGVO Art. 4 Nr. 7). solvevo ist Auftragsverarbeiter (Art. 4 Nr. 8). Vertragsgrundlage ist unser AVV.

Wer hat Zugriff auf meine Tenant-Daten?

Nur Nutzer Ihres Tenants, denen Sie Berechtigungen erteilen. solvevo-Mitarbeiter haben keinen Default-Zugriff auf Tenant-Daten — Support-Zugriff erfolgt nur per ausdruecklicher Freigabe (Impersonation mit voller Audit-Spur). Implementierung: Multi-Tenant-Isolation auf zwei Schichten (Anwendungsebene + Datenbank-Row-Level-Security).

Wie lange werden meine Daten aufbewahrt?

Vertragsdaten waehrend der Vertragslaufzeit + gesetzliche Aufbewahrungsfristen (HGB / AO). Tenant-Daten werden bei Vertragsende auf Kunden-Wunsch gemaess Loeschkonzept entfernt — siehe AVV.

Bieten Sie ein Verarbeitungsverzeichnis nach Art. 30?

Ja — als integriertes Modul im Produkt, mit PDF-Export. Sub-Processor-Liste ist dort live verlinkt.

Was ist der Loesch-/Rueckgabe-Prozess am Vertragsende?

Wahlweise vollstaendige Loeschung mit schriftlicher Bestaetigung oder Daten-Export im JSON-Format. Frist: 30 Tage nach Vertragsende, sofern keine gesetzliche Aufbewahrungspflicht greift.

Sicherheit

Sind die Daten verschluesselt?

Ja. In-Transit: TLS 1.3 (mit TLS 1.2 als Fallback fuer alte Clients). At-Rest: AES-256-GCM fuer alle sensiblen Felder. Backups sind mit libsodium (XChaCha20-Poly1305) clientseitig verschluesselt — auch der Backup-Anbieter sieht nur Kryptobytes.

Welche Authentifizierungsmethoden gibt es?

Lokale Login mit Passwort + TOTP-MFA, SSO via OIDC (OpenID Connect) und SAML 2.0, sowie SCIM fuer User-Provisioning. Reseller-Tenants koennen diese individuell pro Sub-Tenant konfigurieren.

Gibt es Audit-Logs?

Ja, manipulationssicher mit SHA-256-Hash-Kette. Jede Aktion ist ueber 90+ Audit-Action-Typen dokumentiert. CSV/PDF-Export mit Hash-Fingerprint moeglich. Optional: SIEM-Export an externe Splunk/ELK/Datadog/Sentinel/Syslog-Systeme.

Wie schnell werden Sicherheitsupdates eingespielt?

Kritische Updates innerhalb 24 Stunden, hochpriorisierte innerhalb 7 Tage, regulaere im monatlichen Patch-Day. Patch-Routine ist dokumentiert und nachvollziehbar.

Compliance / Audits

Sind Sie ISO 27001 zertifiziert?

Stage-1-Audit ist beauftragt. Wir setzen die Anforderungen in der Praxis bereits um (>88 % Annex-A-Coverage). Roadmap-Dokument auf Anfrage. Siehe Zertifizierungen.

Sind Sie NIS2-konform?

NIS2 ist kein zertifizierbarer Standard mit offiziellem Pruefsiegel — es gibt also keine „NIS2-Zertifizierung", die wir oder ein anderer Anbieter vorzeigen koennten. solvevo ONE ist nach den Anforderungen aus NIS2 Art. 21 (Risikomanagement) und Art. 23 (Meldepflichten) entwickelt, und die Pflichten dieser Richtlinie liegen letztlich beim Betreiber des jeweiligen Dienstes. Wir liefern die technische Plattform, die die Erfuellung ermoeglicht — Mapping-Matrix mit Massnahmen je Anforderung siehe Zertifizierungen bzw. auf Anfrage.

Gibt es einen Pen-Test-Bericht?

Externer Pen-Test ist fuer dieses Jahr beauftragt — Bericht wird nach Erhalt unter NDA zur Verfuegung gestellt.

Liegt eine Datenschutzfolgenabschaetzung (DSFA) vor?

Eine generische DSFA-Vorlage stellen wir auf Anfrage zur Verfuegung. Eine Tenant-spezifische DSFA muss der Verantwortliche selbst erstellen — wir liefern die noetigen Bausteine (TOM, Sub-Processor-Liste, Datenkategorien).

Verfuegbarkeit / SLA

Welches Service Level garantieren Sie?

Standard-SLA: 99,5 % monatliche Verfuegbarkeit. Enterprise-SLA mit 99,9 % auf Anfrage. Verfuegbarkeit wird fortlaufend gemessen, monatliche Reports auf Anfrage.

Wie sind RTO und RPO definiert?

Recovery Time Objective (RTO) bei einzelnem Komponenten-Ausfall: < 10 Minuten. Bei Hoster-Komplettausfall: < 4 Stunden (mit Sekundaer-Region). Recovery Point Objective (RPO): < 15 Minuten (kontinuierliches WAL-Backup).

Wo liegen Backups?

In Deutschland, bei einem zweiten unabhaengigen Anbieter. Backups sind clientseitig verschluesselt. Restore-Drill quartalsweise.

Vertragliches

Welche Vertragslaufzeit?

Standard: monatlich kuendbar. Enterprise-Tarif: 12-Monats-Mindestlaufzeit gegen Rabatt. Trial: 14 Tage kostenlos, ohne Kreditkarte.

Wie wird abgerechnet?

Pro aktivem User pro Monat. Reseller koennen aggregiert ueber alle Sub-Tenants abrechnen. Stripe-basiertes Self-Service-Billing mit Rechnungs-PDF.

Akzeptieren Sie Kunden-eigene Vertragsmuster?

Ja — Pruefung innerhalb 5 Werktagen ab Eingang an datenschutz@solvevo-it.com.

Frage nicht dabei?

Schreiben Sie an vertrieb@solvevo-it.com oder datenschutz@solvevo-it.com — wir antworten innerhalb von 2 Werktagen.