Plattform & Souveränität
Hosting und Entwicklung vollständig in Deutschland
MGMSYS wird in Deutschland entwickelt, in Deutschland gehostet und ausschließlich nach deutschem Recht betrieben. Weder Code noch Kundendaten verlassen im regulären Verarbeitungspfad die Bundesrepublik.
Rechenzentrum
Deutsche Rechenzentren mit ungewöhnlich dichtem Zertifizierungsnetz
Der produktive Betrieb von MGMSYS läuft in deutschen Rechenzentren an den Standorten Frankfurt am Main und Berlin. Der Betreiber zählt zu den wenigen Anbietern am Markt, die sowohl ein BSI-Testat als auch eine BSI-IT-Grundschutz-Zertifizierung führen und Gründungsmitglied der europäischen Gaia-X-Initiative sind.
| Nachweis | Geltungsbereich | Prüfstelle |
|---|---|---|
| BSI C5 Type 1 | Cloud Computing Sicherheit, 125 Kriterien in 17 Themenbereichen | Bundesamt für Sicherheit in der Informationstechnik |
| IT-Grundschutz nach BSI | Compute, Object Storage und Managed Kubernetes an den Standorten Frankfurt und Berlin | Bundesamt für Sicherheit in der Informationstechnik |
| ISO/IEC 27001 | Informationssicherheits-Managementsystem der gesamten Unternehmensgruppe | akkreditierte Zertifizierungsstelle |
| ISO 50001 | Energiemanagementsystem aller Rechenzentren | akkreditierte Zertifizierungsstelle |
| ISAE 3000 | Prüfungsstandard für Sicherheit und Verfügbarkeit | Wirtschaftsprüfer |
| CNCF Certified Kubernetes | Konformität, API-Vollständigkeit und Plattform-Interoperabilität | Cloud Native Computing Foundation |
| Gaia-X | Teilnahme an der europäischen Initiative für souveräne Dateninfrastruktur | Gaia-X AISBL |
Standorte
Frankfurt am Main, Berlin
Stromversorgung
USV + Netzersatzanlage, redundant
Zutritt
Mehrstufig, protokolliert
Netz
Mehrere unabhängige Carrier
Datenhoheit
Ihre Daten bleiben in Deutschland
- • Keine Verarbeitung durch US-amerikanische Konzerne im produktiven Datenpfad
- • Keine Nutzung von Cloud-Diensten, die dem US CLOUD Act unterliegen, für Kundendaten
- • Backups innerhalb Deutschlands, geografisch getrennt von der Produktivumgebung
- • Entwicklung durch Mitarbeitende in der Bundesrepublik oder im EWR
- • Infrastrukturbasis bei einem Gaia-X-Teilnehmer mit dokumentiertem Bekenntnis zu digitaler Souveränität
Diese Konstellation ist nicht Zufall, sondern Geschäftsgrundlage. Ein Informationssicherheits- oder Datenschutz-Managementsystem, das auf US- Infrastruktur betrieben wird, löst genau die Probleme nicht, für die es angeschafft wurde.
Auftragsverarbeitung
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
Mit jedem Kunden schließen wir vor Produktivnutzung einen AV-Vertrag. Unser Muster liegt auf Anforderung als PDF vor und kann ohne Rückfragen als Grundlage Ihrer internen Prüfung dienen.
- Art, Umfang und Zweck der Verarbeitung
- Kategorien betroffener Personen und Datenarten
- Pflichten Auftragsverarbeiter und Verantwortlicher
- Technische und organisatorische Maßnahmen als Anlage
- Liste der Unterauftragsverarbeiter
- Kontrollrechte, Weisungsrecht und Beendigung
Mandantenfähigkeit
Technische Trennung – mehr als 100 Organisationen nutzen MGMSYS
MGMSYS trennt die Daten verschiedener Kunden auf Datenbankebene logisch und technisch. Jeder Mandant erhält einen eigenen Schema-Raum. Zugriffe erfolgen ausschließlich im authentifizierten Kontext des jeweiligen Mandanten; eine übergreifende Abfrage ist architektonisch ausgeschlossen.
Mehr zu den betroffenen Modulen finden Sie auf unserer Produktübersicht.
Häufige Fragen
- Wo genau stehen unsere Daten?
Sämtliche produktiven Daten liegen auf Servern in deutschen Rechenzentren an den Standorten Frankfurt am Main und Berlin. Backups werden innerhalb Deutschlands geografisch getrennt vom Hauptstandort aufbewahrt.
- Was passiert, wenn US-Behörden Daten anfordern?
MGMSYS unterliegt nicht dem US CLOUD Act. Auch unser Rechenzentrumsbetreiber ist als Gaia-X-Teilnehmer darauf ausgerichtet, Unabhängigkeit vom US CLOUD Act zu gewährleisten. Wir geben Kundendaten nur auf Grundlage einer rechtsverbindlichen deutschen oder europäischen Anordnung heraus und informieren Sie darüber, soweit uns dies rechtlich nicht untersagt ist.
- Welche Zertifikate liegen dem Betrieb zugrunde?
Das Rechenzentrum verfügt unter anderem über das BSI-C5-Testat, eine BSI-IT-Grundschutz-Zertifizierung, ISO/IEC 27001, ISO 50001 sowie ein ISAE-3000-Testat. Damit sind sowohl Informationssicherheit als auch Energiemanagement durch unabhängige Prüfer belegt.
- Werden Subunternehmer eingesetzt?
Ja, in überschaubarem, dokumentiertem Umfang. Die aktuelle Liste ist Bestandteil des Auftragsverarbeitungsvertrags.
- Was passiert mit unseren Daten nach Vertragsende?
Nach Vertragsende werden Ihre Daten auf Ihre Weisung hin entweder zurückgegeben oder revisionssicher gelöscht. Über den Vorgang erhalten Sie eine Bestätigung in Textform.
Digitale Souveränität ist keine Option, sondern Voraussetzung
Ein ISMS oder DSMS, dessen Betrieb selbst wieder im Einflussbereich fremder Rechtsordnungen liegt, widerspricht seinem Zweck.