Deine Daten — und die deiner Kunden — sind bei uns sicher.
RealPilot ist DSGVO-konform aufgebaut, mit Daten in deutschen Rechenzentren, technisch isolierten Mandanten und einem einzigartigen Doppelvertretungs-Schutz, der niemals Klartext-Kontaktdaten zwischen Maklern austauscht.
EU-Hosting (Frankfurt)
Datenbank, Bilder und Dateien liegen physisch in einem deutschen Rechenzentrum. USA-Anbieter (Cloudflare-CDN) sehen nur statisches HTML, niemals deine Datenbank-Inhalte.
Verschlüsselt — überall
TLS 1.2+ für jede Verbindung (wie Online-Banking). At-rest-Verschlüsselung in der Datenbank. Passwörter ausschließlich als bcrypt-Hash.
Kunden-Hashes statt Klartext
Endkunden-Kontaktdaten werden zusätzlich kryptografisch gehasht. Andere Makler erkennen Doppelvertretung — sehen aber NIE die echten Klartext-Daten.
Datenbank in Deutschland — Service weltweit
Die zentrale Datenbank inklusive Profile, Kunden, Objekte, Kooperationen und Chat-Verläufe liegt in einem Frankfurter Rechenzentrum (Supabase eu-central-1). Damit bleiben sensible Inhalte physisch in der EU.
| Datenart | Standort |
|---|---|
| Datenbank-Inhalte | Frankfurt (DE) — eu-central-1 |
| Bilder + Datei-Uploads | Frankfurt (DE) |
| Zahlungsabwicklung (Stripe) | Dublin (IE) |
| Webseiten-Cache (Cloudflare CDN) | EU-Edge (kein Datenbank-Zugriff) |
Drei Ebenen Schutz
Egal ob unterwegs, gespeichert oder als Login-Credential — deine Daten sind ständig verschlüsselt.
Unterwegs
TLS 1.2+
Jede Verbindung zu RealPilot läuft über verschlüsseltes HTTPS — gleicher Standard wie Online-Banking.
Gespeichert
AES-256
Datenbank und Datei-Storage sind at-rest verschlüsselt. Auch ein gestohlenes Backup-Medium wäre wertlos.
Passwörter
bcrypt-Hash
Wir speichern nie dein Klartext-Passwort. Nur ein bcrypt-Hash mit Salt — nicht zurückrechenbar.
Du siehst nur deine eigenen Daten — wir auch nicht mehr.
Jede Datenbank-Zeile ist über Row Level Security (RLS) auf den Eigentümer (oder ausdrücklich freigegebene Kooperations-Partner) gesperrt. Selbst wir bei RealPilot können nicht 'mal eben' in deine Kundenliste schauen — alle administrativen Zugriffe sind protokolliert.
- RLS auf Datenbank-Ebene — kein App-Bug kann das aushebeln
- RealPilot-Mitarbeiter-Zugriff nur über 2-Faktor-Auth + Audit-Log
- Deine Kunden sieht keiner außer dir — nur Such-Profile sind anonymisiert im Hub sichtbar
- Zugriffe von uns aus Support-Gründen werden gesondert dokumentiert
Beispiel — RLS-Regel auf der Kunden-Tabelle:
create policy clients_select_own on public.clients for select using (owner_agent_id = auth.uid()); → Du siehst nur Zeilen, bei denen DU der Owner bist. → Andere Makler? Nicht ein Eintrag.
Konflikt-Erkennung ohne Klartext-Datenaustausch
Wenn zwei Makler denselben Endkunden parallel führen, entsteht rechtlich ein Doppelvertretungs-Problem. Standard-Lösung in der Branche: Kontaktlisten austauschen — DSGVO-Albtraum.
Unsere Lösung: Wir speichern E-Mail, Telefon und Name deiner Endkunden zusätzlich als kryptografischen SHA-256-Hash mit serverseitigem Salt. Andere Makler bekommen nur das Hash-Ergebnis zu Gesicht — nie deine Klartext-Daten. Trotzdem erkennt das System Überschneidungen und warnt vor einem Match-Versuch.
Klartext-Eingabe deines Kunden
klaus.mueller@example.com
a3f9c2b1...e4d8 (SHA-256)
Andere Makler sehen nur den Hash. Aus dem Hash lässt sich die ursprüngliche E-Mail nicht rekonstruieren.
Komplett DSGVO-konform — mit allen Verträgen, die du brauchst
Wir liefern dir die gesamte rechtliche Dokumentation, die du als Verantwortlicher für deine Endkundendaten brauchst.
DSGVO-Datenschutzerklärung
Vollständig nach Art. 13 DSGVO mit Sub-Prozessoren-Liste, Drittland-Hinweis und allen Betroffenenrechten.
Auftragsverarbeitungs-Vertrag (AVV)
Nach Art. 28 DSGVO — wird automatisch bei deiner Registrierung Teil des Vertrags.
Sub-Prozessoren-Liste
Transparente Übersicht aller Anbieter (Supabase, Cloudflare, Resend, Workspace, Stripe) mit Drittland-Status.
AGB inkl. § 7a Kundenschutz-Klausel
Provisionsanspruch zwischen Maklern explizit geregelt — 12 Monate ab beidseitig bestätigter Besichtigung.
Was passiert bei einem Sicherheitsvorfall?
Im Ernstfall halten wir uns an unser internes Incident-Response-Playbook und die DSGVO-Pflichten:
- •Detektion und Sofort-Containment innerhalb der ersten Stunde
- •Meldung an die Aufsichtsbehörde (AEPD) innerhalb der gesetzlichen 72-Stunden-Frist (Art. 33 DSGVO)
- •Direkte Information aller betroffenen Maklerkunden, falls ihre Daten konkret betroffen sind (Art. 34 DSGVO)
Du willst es genau wissen?
Lies unsere vollständige Datenschutzerklärung oder schreib unserem Datenschutz-Team direkt — wir antworten typisch innerhalb 24 Stunden.