MGMSYS ist ein modulares Compliance-Cockpit mit mehr als 70 Fachmodulen fuer DSGVO, ISO 27001, NIS2, TISAX, EU AI Act, CRA, CSRD, BFSG, EntgT, GPSR, ISO 9001, ISO 14001, ISO 50001, DORA, LkSG und weitere Regelwerke. Es ist eine mandantenfaehige SaaS-Plattform mit Hosting in Deutschland.

Kann ich MGMSYS kostenlos testen?

Ja, MGMSYS bietet einen kostenlosen Testzugang mit allen Modulen. Es wird lediglich eine Unternehmens-E-Mail-Adresse benoetigt – keine Kreditkarte, keine Verpflichtung.

Wo werden die Daten gespeichert?

Alle Daten werden ausschliesslich in Deutschland verarbeitet und gespeichert, in einem ISO 27001-zertifizierten Rechenzentrum. Es bestehen keine Abhaengigkeiten von US-Cloud-Anbietern.

Welche Zertifizierungen und Standards werden unterstuetzt?

MGMSYS unterstuetzt unter anderem DSGVO, ISO 27001, ISO 9001, ISO 14001, ISO 50001, NIS2, TISAX, DIN 27076, EU AI Act (KIMS), GPSR und das Hinweisgeberschutzgesetz (HinSchG).

Ist MGMSYS mandantenfaehig?

Ja, MGMSYS ist vollstaendig mandantenfaehig mit strikter PostgreSQL Schema-Isolation. Jeder Mandant arbeitet in einer vollstaendig getrennten Umgebung mit eigenem Branding, eigenen Benutzern und eigener Konfiguration.

Bietet MGMSYS eine API an?

Ja, MGMSYS verfuegt ueber eine vollstaendige externe REST-API mit API-Schluesseln, Scopes (read/readwrite), modulbasierter Zugriffsbeschraenkung, Rate-Limiting und OpenAPI/Swagger-Dokumentation.

Sicherheit · Datenschutz · Datensouveränität

Sicherheit, Datenschutz & Datensouveränität

Datenschutz, Informationssicherheit und Datensouveränität sind für uns oberstes Gebot – kein nachträgliches Feature, sondern Grundlage jeder Architektur- und Betriebsentscheidung. Diese Seite fasst transparent zusammen, wie die Plattform MGMSYS abgesichert ist und warum Ihre Daten bei uns in guten Händen sind.

Hosting: Zertifizierte Rechenzentren in Deutschland (EU)
Zertifizierungen (Infrastruktur): BSI C5:2020, ISO/IEC 27001, BSI IT-Grundschutz, ISO 50001, ISAE 3000
Verschlüsselung: TLS bei der Übertragung · Verschlüsselung im Ruhezustand
Authentifizierung: RBAC · JWT · SSO (OpenID Connect, z. B. Entra ID) · MFA (TOTP/E-Mail)
Mandantentrennung: Vollständig isolierte Mandanten mit eigenem Datenschema
Datenschutz: DSGVO-konform · AVV nach Art. 28 · EU-Unterauftragsverarbeiter (SCC)
Datensouveränität: Europäischer Rechtsraum · Gaia-X-Initiative

Hosting in Deutschland, innerhalb der EU

MGMSYS wird ausschließlich in zertifizierten Rechenzentren in Deutschland betrieben. Ihre Daten bleiben im europäischen Rechtsraum – ohne Cloud-Anbieter aus Drittstaaten und ohne unnötige Datenübermittlungen. Der gesamte Datenverkehr ist durchgängig TLS-verschlüsselt und läuft über einen abgesicherten Reverse-Proxy.

Damit ist die Plattform „Made & hosted in Germany“: ein bewusst gewählter Standortvorteil für Organisationen, die Wert auf Rechtssicherheit, kurze Wege und europäische Datensouveränität legen.

Unabhängig geprüft und zertifiziert

Die Rechenzentren, in denen MGMSYS betrieben wird, sind unabhängig zertifiziert bzw. testiert – unter anderem nach dem BSI C5:2020 (Cloud Computing Compliance Criteria Catalogue des Bundesamts für Sicherheit in der Informationstechnik), ISO/IEC 27001 (Informationssicherheits-Managementsystem), dem BSI IT-Grundschutz, ISO 50001 (Energiemanagement) sowie ISAE 3000 (unabhängiges Prüfungstestat).

Betrieben wird die Plattform bei einem Anbieter, der als erster deutscher Cloud-Provider zugleich das BSI-C5-Testat und die BSI-IT-Grundschutz-Zertifizierung nachweisen konnte und Mitglied der Gaia-X-Initiative für europäische Datensouveränität ist. Die aktuellen Zertifikatsnachweise stellen wir auf Wunsch bereit.

Verschlüsselung – im Transit und im Ruhezustand

Sensible Daten und sämtliche Zugangsdaten werden verschlüsselt gespeichert („encryption at rest“). Übertragungen erfolgen ausnahmslos über HTTPS/TLS. Passwörter werden niemals im Klartext gespeichert, sondern ausschließlich als gesalzene Hashes – ein Diebstahl der Datenbank gäbe Angreifern damit keine nutzbaren Passwörter in die Hand.

Zugriff, Authentifizierung, SSO und MFA

Der Zugriff wird über rollenbasierte Berechtigungen (RBAC) gesteuert: Jede Nutzerin und jeder Nutzer sieht und tut nur das, was die zugewiesene Rolle erlaubt. Die Anmeldung erfolgt über kurzlebige, signierte Tokens (JWT); die Mindest-Passwortlänge beträgt 12 Zeichen.

Auf Wunsch binden wir Ihre Plattform an Ihr eigenes Identitätsmanagement an: Single Sign-On (SSO) über den offenen OpenID-Connect-Standard – beispielsweise mit Microsoft Entra ID (Azure AD) – inklusive automatischer Benutzeranlage und Rollenzuordnung. Zusätzlich steht eine Mehr-Faktor-Authentifizierung (MFA) per Authenticator-App (TOTP) oder Einmalcode per E-Mail zur Verfügung, die für Ihre Nutzer verpflichtend gemacht werden kann.

Strikte Mandantentrennung

Jeder Kunde ist ein vollständig isolierter Mandant mit eigenem Datenschema. Ihre Daten sind dadurch logisch von denen anderer Kunden getrennt – ein versehentlicher Zugriff über Mandantengrenzen hinweg ist ausgeschlossen. Funktionsmodule werden pro Mandant freigeschaltet, sodass nur die tatsächlich gebuchten Bereiche sichtbar und nutzbar sind.

Datenschutz nach DSGVO – nachweisbar

Wir verarbeiten personenbezogene Daten im Auftrag unserer Kunden gemäß Art. 28 DSGVO und stellen hierfür einen Auftragsverarbeitungsvertrag (AVV) bereit. Es gilt der Grundsatz der Datenminimierung: Wir erheben nur, was für den jeweiligen Zweck erforderlich ist.

Eingesetzte Unterauftragsverarbeiter sind ausschließlich EU-Dienstleister und werden transparent ausgewiesen; etwaige Drittlandbezüge sind über EU-Standardvertragsklauseln (SCC) abgesichert. Betroffenenrechte – Auskunft, Berichtigung und Löschung nach Art. 15–17 DSGVO – unterstützen wir umgehend.

Volle Nachvollziehbarkeit

Sicherheitsrelevante Aktionen und Konfigurationsänderungen werden revisionssicher protokolliert (Audit-Logs). Verantwortliche sehen jederzeit nachvollziehbar, wer wann welche Änderung vorgenommen hat – eine wichtige Grundlage für interne Kontrollen, Audits und den Nachweis gegenüber Aufsichtsbehörden.

Modular und sicher erweiterbar

MGMSYS ist modular aufgebaut und problemlos erweiterbar. Zusätzliche Funktionen und sogar völlig neue Anwendungen lassen sich auf derselben, bereits abgesicherten Infrastruktur in kürzester Zeit umsetzen – ohne separate Systeme und ohne zusätzlichen Betriebsaufwand auf Ihrer Seite. Sicherheit „by design“ gilt dabei für jede Erweiterung automatisch mit.

Praxis und Theorie

Der Kopf hinter mgmsys.de ist Dr. Stefan Spörrer. Er entwickelt seit Jahrzehnten praxisnahe Softwarelösungen – darunter Programme, die bei Kunden bis heute nahezu unverändert im produktiven Einsatz sind. Diese langjährige praktische Erfahrung bildet eine wesentliche Grundlage für die Entwicklung der MGMSYS-Module: Sie sind nicht nur technisch gedacht, sondern aus realen Anforderungen, betrieblichen Abläufen und konkreten Umsetzungsproblemen heraus konzipiert.

Gleichzeitig verbindet Dr. Stefan Spörrer diese Praxiserfahrung mit dem fachlichen und theoretischen Hintergrund, der für Managementsysteme, Informationssicherheit, Datenschutz, Risiko- und Compliance-Themen erforderlich ist. Er ist Diplom-Kaufmann, Wirtschaftsinformatiker und Wirtschaftsjurist. Als LL.M. (Master of Laws) und M.A. (Master of Arts) lagen seine Schwerpunkte insbesondere in den Bereichen Informationssicherheit, Datenschutz, Risk and Compliance sowie Arbeitsrecht. Ergänzend verfügt er über weitere Qualifikationen und Zertifizierungen – unter anderem als Zertifizierter Datenschutzbeauftragter (RKW, TÜV, CA) sowie im Qualitätsmanagement.

MGMSYS steht damit für eine Verbindung aus praktischer Umsetzungserfahrung, technischer Entwicklungskompetenz und fundiertem fachlichem Verständnis.