Sicherheit & Datenschutz

Übersicht

Sicherheit und Datenschutz haben bei Lymbe AI höchste Priorität. Unsere Plattform ist von Grund auf für die DSGVO-Konformität und den Schutz personenbezogener Daten konzipiert.

DSGVO-Konformität

Lymbe AI ist vollständig konform mit der Datenschutz-Grundverordnung (DSGVO / GDPR). Wir verarbeiten personenbezogene Daten ausschließlich im Auftrag unserer Kunden (Auftragsverarbeitung gemäß Art. 28 DSGVO).

• Auftragsverarbeitungsvertrag (AVV) – steht für jeden Kunden zum Download bereit
• Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
• Datenschutz-Folgenabschätzung durchgeführt
• Löschkonzept – automatische Löschung nach konfigurierbarer Aufbewahrungsfrist
• Auskunftsrecht – Export aller personenbezogenen Daten über das Dashboard oder die API
• Recht auf Löschung – Daten einzelner Besucher können gezielt gelöscht werden
• Cookie-freier Betrieb möglich – das Widget kann ohne Cookies betrieben werden

Hosting in Deutschland

Alle Daten werden ausschließlich in Deutschland gehostet und verarbeitet:

Verschlüsselung

In Transit

• Alle Verbindungen verwenden TLS 1.3 (min. TLS 1.2)
• HSTS (HTTP Strict Transport Security) aktiviert
• Certificate Pinning für mobile SDKs
• Websocket-Verbindungen über WSS (verschlüsselt)

At Rest

• AES-256 Verschlüsselung für alle gespeicherten Daten
• Datenbanken verschlüsselt auf Volume-Ebene
• Backups verschlüsselt mit separatem Key
• API-Keys werden gehasht gespeichert (bcrypt)
• Webhook-Secrets werden verschlüsselt gespeichert

Multi-Tenancy & Datenisolation

Jeder Kunde (Tenant) erhält eine eigene, vollständig isolierte Datenbank. Es gibt keine gemeinsam genutzten Tabellen zwischen verschiedenen Kunden.

• Eigene PostgreSQL-Datenbank pro Tenant
• Separate Datenbank-Credentials pro Tenant
• Kein Query kann versehentlich auf Daten anderer Tenants zugreifen
• Backups werden pro Tenant erstellt und verschlüsselt
• Bei Kündigung werden alle Daten vollständig gelöscht (inkl. Backups nach 30 Tagen)

Authentifizierung & Zugriffskontrolle

Zwei-Faktor-Authentifizierung (2FA)

Alle Benutzer können 2FA über TOTP (Time-based One-Time Password) aktivieren. Im Enterprise-Plan kann 2FA für alle Teammitglieder erzwungen werden.

• TOTP-basierte 2FA (kompatibel mit Google Authenticator, Authy, etc.)
• Recovery-Codes für den Notfall
• 2FA-Pflicht im Enterprise-Plan konfigurierbar
• Sitzungsdauer konfigurierbar (Standard: 7 Tage)

Rollen & Berechtigungen

Audit-Logs

Alle sicherheitsrelevanten Aktionen werden in einem Audit-Log protokolliert. Die Logs sind unveränderbar und können nicht gelöscht werden.

• Login-Versuche (erfolgreich und fehlgeschlagen)
• API-Key-Erstellung und -Löschung
• Benutzer eingeladen, Rolle geändert, entfernt
• Bot erstellt, konfiguriert, aktiviert/deaktiviert
• Wissensdatenbank geändert (Dokumente hinzugefügt/gelöscht)
• Einstellungen geändert (Billing, Webhooks, Domain-Whitelist)
• Datenexport und Datenlöschung

{
  "id": "log_abc123",
  "timestamp": "2026-03-18T10:15:00Z",
  "actor": {
    "id": "user_xyz789",
    "email": "admin@example.com",
    "role": "admin"
  },
  "action": "api_key.created",
  "resource": {
    "type": "api_key",
    "id": "key_def456",
    "name": "CRM-Integration"
  },
  "metadata": {
    "scopes": ["leads:read", "leads:write"],
    "expiresAt": "2026-06-18T10:15:00Z"
  },
  "ipAddress": "203.0.113.42",
  "userAgent": "Mozilla/5.0..."
}

PII-Filter (Personenbezogene Daten)

Der integrierte PII-Filter erkennt und maskiert automatisch personenbezogene Daten in Chat-Nachrichten, bevor sie an das KI-Modell gesendet werden:

Sicherheitsprüfungen

• Regelmäßige Penetration Tests durch externe Sicherheitsfirma
• Automatisierte Schwachstellenanalyse (OWASP Top 10)
• Dependency-Scanning für alle Bibliotheken
• Bug-Bounty-Programm für gemeldete Sicherheitslücken
• SOC 2 Type II Zertifizierung (in Vorbereitung)

Sicherheitskontakt

Falls du eine Sicherheitslücke entdeckst, melde sie bitte verantwortungsvoll an security@lymbe.ai. Wir antworten innerhalb von 24 Stunden und halten dich über den Fortschritt auf dem Laufenden.