Compliance-Dossier

Vertrauen &
Transparenz.

Vertrauen entsteht durch Transparenz, nicht durch Marketing-Versprechen. Diese Seite dokumentiert exakt, wohin deine Daten fließen, wer sie verarbeitet und wie wir sie schützen.

Wo werden FoundersDeck-Daten gespeichert?

Alle Daten — Monitoring-Checks, Incident-Historie, Status-Seiten und Account-Informationen — werden ausschließlich in Nürnberg, Deutschland, auf Netcup-Infrastruktur gespeichert und verarbeitet. Monitoring-Daten verlassen die EU zu keinem Zeitpunkt.

Hosting-Anbieter
Netcup GmbH, Nürnberg, Deutschland
Rechenzentrum
Nürnberg, Bayern, Deutschland
Rechtsraum
Ausschließlich deutsches Recht und EU-Verordnungen
Transatlantische Transfers
Keine für Monitoring-Daten (Zahlungen über Polar.sh in den USA, siehe unten)

Unterliegt FoundersDeck dem US CLOUD Act?

Nein. FoundersDeck ist ein deutsches Einzelunternehmen und wird ausschließlich nach deutschem und EU-Recht betrieben. Wir unterliegen:

  • Nicht dem US CLOUD Act
  • Nicht FISA Section 702
  • Keiner Datenzugriffs-Gesetzgebung außerhalb der EU
  • Keinem US-Mutterkonzern und keinem US-VC-Fonds (weder im Eigentum noch in der Kontrolle)

Das heißt: Keine ausländische Regierung kann uns über Rechtsmechanismen, die EU-Schutzstandards umgehen, zur Herausgabe deiner Daten zwingen.

Welche Unterauftragsverarbeiter setzt FoundersDeck ein?

Drei Unterauftragsverarbeiter sind an der Bereitstellung von FoundersDeck beteiligt — zwei in der EU, über die sämtliche Kunden- und Monitoring-Daten laufen, und einer außerhalb der EU, beschränkt auf die Zahlungsabwicklung ohne Zugriff auf Monitoring-Daten. Nach Art. 28 DSGVO führen wir dieses vollständige Register und kündigen Änderungen mindestens 30 Tage im Voraus an.

AnbieterZweckStandortRechtsgrundlage
Netcup GmbHServer-Hosting, DatenbankNürnberg, DeutschlandAVV
Scaleway SASTransaktionale E-Mails (TEM)Paris, FrankreichAVV
Polar.shMerchant of Record (Zahlungen, Rechnungsstellung, Steuern)USA *AVV + SCCs
Änderungshistorie
  • 2026-07-08 — Cloudflare aus dem Register der Unterauftragsverarbeiter entfernt: ausschließlich DNS-Auflösung, keine Verarbeitung personenbezogener Daten, damit kein Unterauftragsverarbeiter im Sinne von Art. 28 DSGVO. Als Transparenz-Hinweis unten weitergeführt.
  • 2026-04-13 — Standort von Polar.sh von EU auf USA korrigiert. Transparenz-Hinweis zum Übergangsstatus des Zahlungsanbieters ergänzt.
  • 2026-04-08 — Resend (US) für transaktionale E-Mails durch Scaleway TEM (Frankreich) ersetzt. Cloudflare-Klarstellung ergänzt (nur DNS, keine Kundendaten).
  • 2026-03-25 — Initiale Liste der Unterauftragsverarbeiter veröffentlicht.

* Zu Polar.sh (Merchant of Record). Polar.sh fungiert als unser Merchant of Record und übernimmt die gesamte Zahlungsabwicklung, Rechnungsstellung und steuerliche Compliance. FoundersDeck speichert zu keinem Zeitpunkt Kreditkartennummern, Rechnungsadressen oder Zahlungsdaten. Deine Zahlungsdaten werden ausschließlich von Polar.sh verarbeitet und berühren unsere Server nie. Polar.sh hat seinen Sitz derzeit in den USA. Wir setzen sie ein, weil es heute keinen vergleichbaren EU-basierten Merchant of Record gibt, der unsere technischen Anforderungen erfüllt. Sobald eine geeignete EU-Alternative verfügbar ist, wechseln wir. Das ist eine bewusste Übergangsentscheidung, kein dauerhafter Kompromiss.

Zu Cloudflare (nur DNS). Cloudflare stellt die DNS-Auflösung für unsere Domain bereit. Es werden keinerlei Kundendaten, Monitoring-Daten oder Account-Informationen über Cloudflare verarbeitet. Der gesamte Anwendungs-Traffic fließt direkt zu unseren Netcup-Servern in Nürnberg — Cloudflare wird weder als Proxy, CDN noch als WAF eingesetzt. Da Cloudflare keine personenbezogenen Daten in unserem Auftrag verarbeitet, ist es kein Unterauftragsverarbeiter im Sinne von Art. 28 DSGVO — wir führen es hier ausschließlich aus Gründen der Transparenz auf.

Wie bekomme ich einen AVV mit FoundersDeck?

Du hast bereits einen: Unser AVV ist veröffentlicht und wird mit Annahme unserer Allgemeinen Geschäftsbedingungen automatisch geschlossen — kein Vertriebsgespräch, keine E-Mail, keine Wartezeit. Wenn du über FoundersDeck personenbezogene Daten verarbeitest, ist nach Art. 28 DSGVO ein Auftragsverarbeitungsvertrag (AVV, engl. DPA) erforderlich.

Der AVV deckt sämtliche Datenverarbeitungs-Aktivitäten innerhalb von FoundersDeck ab, einschließlich Monitor-Checks, Incident-Erkennung, Alarmierung und Status-Page-Auslieferung. Er enthält die vollständige Liste der Unterauftragsverarbeiter (siehe oben) sowie alle Auftragsverarbeiter-Pflichten nach Art. 28 DSGVO.

Wie verarbeitet FoundersDeck Monitoring-Daten?

Jeder Schritt läuft auf deutscher Infrastruktur — Checks, Speicherung, Alarmierung und Status-Page-Auslieferung. Hier siehst du exakt, was bei jedem Schritt mit deinen Daten passiert:

01

Monitor-Checks

Unser Server in Nürnberg sendet HTTP-/Ping-Requests an deine überwachten URLs. Der Response-Status, die Response-Zeit und etwaige Fehlerinformationen werden in unserer PostgreSQL-Datenbank gespeichert — ebenfalls in Nürnberg. Keine Daten verlassen Deutschland.

02

Alarmierung

Wird ein Incident erkannt, werden Alerts auf Basis deiner konfigurierten Kanäle ausgelöst. E-Mail-Alerts laufen über Scaleway TEM. Slack-, Discord- und Webhook-Alerts gehen direkt an den von dir angegebenen Endpoint. Alert-Inhalte enthalten ausschließlich den Namen deines Monitors, den Status und einen Zeitstempel.

03

Status-Seiten

Öffentliche Status-Seiten werden serverseitig in Nürnberg gerendert und ausgeliefert — ohne Cookies, ohne Tracking-Skripte, ohne Drittanbieter-Requests. Besucher-Browser verbinden sich ausschließlich mit unserem deutschen Server.

04

Zahlungen

Die gesamte Zahlungsabwicklung übernimmt Polar.sh als Merchant of Record. FoundersDeck speichert zu keinem Zeitpunkt Kreditkartennummern oder Zahlungsdaten. Polar.sh kümmert sich um Abrechnung, Rechnungsstellung und steuerliche Compliance.

Welche DSGVO-Rechte hast du?

Art. 15
Auskunftsrecht — fordere eine Kopie aller personenbezogenen Daten an, die wir über dich speichern.
Art. 16
Recht auf Berichtigung — korrigiere unrichtige personenbezogene Daten jederzeit über deine Account-Einstellungen.
Art. 17
Recht auf Löschung — lösche deinen Account und alle zugehörigen Daten. Automatisiert, ohne Support-Ticket.
Art. 20
Recht auf Datenübertragbarkeit — exportiere sämtliche Monitoring-Daten, deine Incident-Historie und Konfiguration in offenen Formaten (JSON, CSV).
Art. 21
Widerspruchsrecht — widersprich der Verarbeitung deiner personenbezogenen Daten jederzeit.
Weiterführende Lektüre

Du evaluierst gerade andere Anbieter? Wir pflegen einen direkten Vergleich DSGVO-konformer Monitoring-Plattformen — mit Hosting-Standort, Rechtsform und CLOUD-Act-Exposition für acht EU-native Tools (und drei der gängigsten US-eingetragenen Alternativen zum Kontrast).

Fragen zu unseren Datenverarbeitungs-Praktiken, der Liste der Unterauftragsverarbeiter oder deinen DSGVO-Rechten? Schreib an info@foundersdeck.dev — direkte Antwort vom Gründer, keine Support-Warteschlange.