Sicherheit & Infrastruktur
Technische Sicherheit & Datenschutz
ObjektDesk ist eine B2B-SaaS-Plattform für professionelle Hausverwaltungen in Deutschland. Diese Seite beschreibt die technischen und organisatorischen Maßnahmen, die den Betrieb, die Datensicherheit und die DSGVO-Konformität des Dienstes gewährleisten.
ObjektDesk wird im Rahmen eines kontrollierten Pilotzugangsprogramms betrieben. Es findet keine offene Massenregistrierung statt. Zugang wird nach persönlicher Prüfung und expliziter Freischaltung durch den Betreiber gewährt.
Hosting & Datenstandort
Ausschließlich in Deutschland. ObjektDesk wird auf dedizierten Servern der Hetzner Online GmbH (Nürnberg / Falkenstein, Deutschland) betrieben. Alle personenbezogenen Daten — Stammdaten, Verträge, Dokumente, Finanzdaten — werden ausschließlich auf diesen Servern verarbeitet und gespeichert. Eine Übermittlung in Drittländer außerhalb der EU/EWR findet nach aktuellem Stand nicht statt. Hetzner ist als Auftragsverarbeiter gemäß Art. 28 DSGVO vertraglich gebunden.
Transportverschlüsselung (TLS / HTTPS)
Alle Verbindungen zur Plattform sind ausschließlich über HTTPS zugänglich. TLS-Zertifikate werden automatisch über Let's Encrypt bezogen und durch den Reverse-Proxy (Caddy) verwaltet. Der Dienst setzt HTTP Strict Transport Security (HSTS) mit einer Laufzeit von einem Jahr einschließlich Subdomain-Deckung und Preload-Flag ein. HTTP-Verbindungen werden automatisch auf HTTPS umgeleitet.
HTTP-Sicherheits-Header
Der Dienst setzt folgende Sicherheits-Header konsequent auf allen Antworten:
Strict-Transport-Security— HSTS, 1 Jahr, inkl. SubdomainsX-Content-Type-Options: nosniff— verhindert MIME-SniffingX-Frame-Options: DENY— verhindert Einbettung (Clickjacking-Schutz)Referrer-Policy: strict-origin-when-cross-originContent-Security-Policy— restriktive Whitelist eigener OriginsPermissions-Policy— Kamera, Mikrofon, Geolocation deaktiviert
X-Powered-By-Header wird unterdrückt, um keine Hinweise auf die eingesetzte Technologie zu exponieren.Authentifizierung & Zugriffskontrolle
Nutzer authentifizieren sich mit Organisations-Slug, E-Mail und Passwort. Nach erfolgreicher Anmeldung wird ein signiertes JSON Web Token (JWT) mit konfigurierbarer Ablaufzeit ausgestellt. Der JWT-Secret wird über die Server-Umgebung bezogen und nie im Quellcode gespeichert.
Auth-Endpunkte (Login, Registrierung, Freischaltung) sind mit Rate-Limiting geschützt: maximal 20 Anfragen pro Minute pro IP-Adresse. Damit wird Brute-Force und automatisierten Angriffen entgegengewirkt.
Das Rollenmodell unterscheidet: Admin (Mandantensteuerung), Verwalter (operative Hauptrolle), Buchhaltung (Finanz/DATEV) und Lesezugriff. Berechtigungen werden serverseitig geprüft.
Auth-Endpunkte (Login, Registrierung, Freischaltung) sind mit Rate-Limiting geschützt: maximal 20 Anfragen pro Minute pro IP-Adresse. Damit wird Brute-Force und automatisierten Angriffen entgegengewirkt.
Das Rollenmodell unterscheidet: Admin (Mandantensteuerung), Verwalter (operative Hauptrolle), Buchhaltung (Finanz/DATEV) und Lesezugriff. Berechtigungen werden serverseitig geprüft.
Datenspeicherung & Datenintegrität
Stamm- und Transaktionsdaten werden in einer PostgreSQL-Datenbankauf dem Hetzner-Server gespeichert. Dokumente (PDF, Vertragsunterlagen etc.) werden in einem S3-kompatiblen Objektspeicher abgelegt; nur Referenzen verbleiben in der Datenbank.
Operative Löschvorgänge sind als Soft-Delete implementiert (
Mandantentrennung ist auf Datenbankebene erzwungen: alle Entitäten tragen eine Organisations-ID, die bei jeder Abfrage serverseitig geprüft wird.
Operative Löschvorgänge sind als Soft-Delete implementiert (
deletedAt-Zeitstempel). Dokumente werden nicht überschrieben — neue Versionen erzeugen einen neuen Storage-Key (Immutable Versioning). Finanzkorrekturen erfolgen über Storno und Neuansatz, nicht destruktiv.Mandantentrennung ist auf Datenbankebene erzwungen: alle Entitäten tragen eine Organisations-ID, die bei jeder Abfrage serverseitig geprüft wird.
Audit-Protokollierung
Kritische Datenänderungen (Nutzerverwaltung, Finanzoperationen, Dokumentenversionen, Admin-Aktionen) werden in einem Audit-Log erfasst. Das Audit-Log ist append-only: Einträge können weder von Fachrollen gelöscht noch verändert werden. Dies unterstützt Nachvollziehbarkeit und Compliance-Anforderungen.
DSGVO & Auftragsverarbeitung
ObjektDesk verarbeitet personenbezogene Daten (Mieter, Eigentümer, Kontakte) ausschließlich auf Weisung des jeweiligen Mandanten (Hausverwaltung) und auf Basis der einschlägigen Rechtsgrundlagen (Art. 6 DSGVO).
Der Dienst stellt eine Vorlage für einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO bereit, der innerhalb der Anwendung zugänglich ist. Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) können über den Betreiber geltend gemacht werden.
Testumgebungen werden ausschließlich mit synthetischen Demo-Datenbetrieben — keine echten Mieterdaten in Staging oder Entwicklung.
Der Dienst stellt eine Vorlage für einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO bereit, der innerhalb der Anwendung zugänglich ist. Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) können über den Betreiber geltend gemacht werden.
Testumgebungen werden ausschließlich mit synthetischen Demo-Datenbetrieben — keine echten Mieterdaten in Staging oder Entwicklung.
Kein Tracking, kein Analytics
ObjektDesk setzt auf der öffentlichen Website keinerlei Tracking-, Analytics- oder Werbe-Cookies ein. Im Mieterportal wird ausschließlich ein technisch notwendiges Session-Cookie (
Es werden keine Nutzungsdaten an Drittanbieter-Analysedienste übermittelt. Keine Einbindung von Social-Media-Plugins, Werbenetzwerken oder externen Schriftarten die Tracking ermöglichen.
tp_session) gesetzt (HttpOnly, SameSite=Lax, in Produktion Secure), das für die Anmeldesitzung erforderlich ist.Es werden keine Nutzungsdaten an Drittanbieter-Analysedienste übermittelt. Keine Einbindung von Social-Media-Plugins, Werbenetzwerken oder externen Schriftarten die Tracking ermöglichen.
E-Mail-Sicherheit
Ausgehende E-Mails (Benachrichtigungen, Freischaltlinks) werden über einen konfigurierten SMTP-Dienst mit TLS-Verschlüsselung versandt. Die Domain objektdesk.de ist mit einem DMARC-Eintrag (Policy: reject) konfiguriert — E-Mails, die SPF- und DKIM-Prüfungen nicht bestehen, werden abgelehnt. Dies schützt vor Spoofing und Phishing unter der Absenderdomain.
Kontrollierter Pilotzugang
ObjektDesk ist kein offener Dienst. Neue Organisationen werden ausschließlich über einen kontrollierten Prozess freigeschaltet: Anfrage über das Kontaktformular, persönliche Prüfung durch den Betreiber, anschließende Freischaltung per E-Mail-Link. Kein Zugang ohne explizite Genehmigung.
Dieses Modell stellt sicher, dass ausschließlich geprüfte Hausverwaltungen Zugang zur Plattform erhalten und personenbezogene Mieterdaten nur in einem verifizierten Kontext verarbeitet werden.
Dieses Modell stellt sicher, dass ausschließlich geprüfte Hausverwaltungen Zugang zur Plattform erhalten und personenbezogene Mieterdaten nur in einem verifizierten Kontext verarbeitet werden.
Sicherheitsmeldungen & Kontakt
Sicherheitsrelevante Meldungen, Fragen zur Datenverarbeitung sowie Anfragen zu Compliance und AVV bitte direkt an:
info@objektdesk.de
Vollständige Angaben zum Verantwortlichen im Impressum. Detaillierte Informationen zur Datenverarbeitung in der Datenschutzerklärung.
info@objektdesk.de
Vollständige Angaben zum Verantwortlichen im Impressum. Detaillierte Informationen zur Datenverarbeitung in der Datenschutzerklärung.
Stand: Mai 2026