Sicherheit

Sicherheit und Vertrauen

Veesie zeigt, wie KI-Assistenten wie ChatGPT, Gemini und Perplexity über Ihre Marke sprechen. Dafür vertrauen Sie Veesie Ihre Markendaten an, manchmal auch Ihr Google Analytics. Auf dieser Seite lesen Sie genau, wie Veesie diese Daten schützt: verschlüsselt, in der EU und nur für Sie zugänglich.

Immer verschlüsselt

Sensible Felder, wie Ihre Google-Tokens, werden mit AES-256-GCM verschlüsselt. Alle Verbindungen laufen über HTTPS mit HSTS.

EU-Hosting

Ihr Konto, Ihre Marken und Ihre Ergebnisse befinden sich in einer PostgreSQL-Datenbank in Frankfurt. Keine zentralen Daten außerhalb der EU.

KI-Zugriff nur lesend

Die Verbindung zu Google Analytics ist ausschließlich lesend. Veesie kann Ihre Statistiken niemals ändern oder löschen.

Strikte Isolation

Jeder Kunde sieht nur seine eigenen Daten, doppelt erzwungen auf Datenbankebene (RLS) und in der Anwendung.

1. Ihre Daten und das KI-Monitoring

Um zu messen, wie die KI Ihre Marke wahrnimmt, sendet Veesie Ihre Prompts (Fragen zu Ihrer Marke, Ihrer Branche und Ihren Wettbewerbern) an KI-Anbieter wie OpenAI, Anthropic, Google und Perplexity. Wir bewahren deren Antworten in unserer EU-Datenbank auf.

Die Prompts betreffen Marken und Themen, nicht Personen. Sie enthalten normalerweise keine personenbezogenen Daten.
Die daraus resultierenden Antworten, Scores und Auswertungen werden in der EU gespeichert.
Veesie nutzt Ihre Daten niemals, um Modelle zu trainieren oder für Werbung.

Tipp: Tragen Sie nicht selbst personenbezogene Daten in Ihre Prompts ein. Das ist für das Marken-Monitoring nicht erforderlich, und so bleiben die verarbeiteten Daten minimal.

2. Verschlüsselung

Während der Übertragung (in transit)

Der gesamte Datenverkehr zu veesie.com läuft über HTTPS. Wir senden einen Strict-Transport-Security-Header (HSTS) mit einer Dauer von zwei Jahren und stehen auf der HSTS-Preload-Liste, sodass Browser sich niemals unverschlüsselt verbinden.

Im Ruhezustand (at rest)

Die sensiblen Felder unserer Datenbank, wie Ihre Google-Analytics-Zugriffs- und Aktualisierungstokens und etwaige Webhook-URLs, werden mit AES-256-GCM (authentifizierte Verschlüsselung) verschlüsselt. Wenn die verschlüsselten Daten manipuliert werden, schlägt die Entschlüsselung automatisch fehl. Der Schlüssel wird getrennt von der Datenbank als Cloudflare-Worker-Secret aufbewahrt.

3. Die Verbindung zu Google Analytics

Viele Kunden verbinden ihr Google Analytics 4 mit Veesie, um die Traffic-Daten neben ihrer KI-Sichtbarkeit zu sehen. Diese Verbindung ist bewusst minimal:

Nur lesend: Wir fordern ausschließlich den Scope analytics.readonly an. Veesie kann Ihr Analytics lesen, niemals ändern, löschen oder teilen.
Gegen CSRF geschützt: Der OAuth-Flow nutzt einen per HMAC signierten State, der an Ihre Sitzung gebunden ist und nach zehn Minuten abläuft. Niemand kann die Verbindung in Ihrem Namen erzwingen.
Verschlüsselt: Die Tokens, die Google zurückgibt, werden verschlüsselt gespeichert (siehe Verschlüsselung).
Trennbar: Sie widerrufen den Zugriff jederzeit, sowohl in Veesie als auch direkt in Ihrem Google-Konto.

4. Zugriff und Authentifizierung

Die Anmeldung läuft über Supabase Auth. Passwörter werden als Hash gespeichert, niemals im Klartext.
Die Anmelde- und Kontaktseiten sind mit Cloudflare Turnstile gegen Bots geschützt.
Während des Early Access erfolgt die Anmeldung auf Einladung (Einladungscode).
Interne Administrationsumgebungen laufen hinter Cloudflare Zero Trust Access und sind nicht öffentlich zugänglich. Die direkte workers.dev-URL ist deaktiviert, sodass diese Sicherheit nicht umgangen werden kann.

5. Infrastruktur und Isolation

Hosting: Die Anwendung läuft auf Cloudflare Workers, im globalen Edge-Netzwerk von Cloudflare.
Datenbank: eine PostgreSQL-Datenbank bei Supabase in Frankfurt (EU).
Mandantentrennung: Jede Organisation sieht nur ihre eigenen Daten. Das wird doppelt erzwungen: mit Row Level Security auf Datenbankebene und mit Eigentumsprüfungen in jeder Server-Aktion der Anwendung.
Cloudflare und Supabase sind beide nach internationalen Standards (darunter SOC 2 und ISO 27001) für ihre Infrastruktur zertifiziert.

6. Anwendungssicherheit

Veesie unterliegt einer kontinuierlichen internen Sicherheitskontrolle. Die Codebasis hat mehrere Sicherheitsaudits anhand der OWASP-Richtlinien für APIs und für LLM-Anwendungen durchlaufen. Konkrete Maßnahmen, unter anderem:

HTTP-Sicherheitsheader: eine strikte Content-Security-Policy, HSTS, X-Frame-Options (DENY), X-Content-Type-Options und eine restriktive Permissions-Policy.
SSRF-Schutz: Ausgehende Webhooks dürfen nur öffentliche HTTPS-Adressen ansteuern, interne IP-Bereiche werden blockiert.
Härtung gegen Prompt Injection: Gespeicherte KI-Antworten und Nutzereingaben werden neutralisiert, bevor sie wieder in einen KI-Prompt eingespeist werden.
Schutz gegen CSV-Formelinjektion in Exporten, zeitangriffsresistenter Vergleich von Secrets und parametrisierte Datenbankabfragen gegen SQL-Injection.

Kein Dienst kann absolute Sicherheit garantieren, aber wir arbeiten kontinuierlich daran, Risiken zu reduzieren und unsere Maßnahmen zu verbessern.

7. Zahlungen

Zahlungen laufen über Stripe Checkout. Ihre Kartendaten gehen direkt an Stripe, einen PCI-DSS-zertifizierten Zahlungsdienstleister. Veesie sieht oder speichert Ihre Kartendaten niemals; wir bewahren nur eine Referenz auf Ihren Stripe-Kunden auf.

8. Auftragsverarbeiter

Um den Dienst zu erbringen, arbeiten wir mit einer begrenzten Zahl sorgfältig ausgewählter Auftragsverarbeiter:

Auftragsverarbeiter	Funktion	Standort
Supabase (Postgres + Auth)	Datenbank, Authentifizierung	EU (Frankfurt)
Cloudflare (Workers)	Anwendungshosting, Edge-Verarbeitung	Globales Edge, Verarbeitung in der nächstgelegenen EU-Region
Resend	Transaktionale E-Mails (Benachrichtigungen, Berichte)	EU-Region
Stripe	Zahlungsabwicklung (nur im kostenpflichtigen Plan)	Irland (EU)
Sentry	Fehlerüberwachung (Error Tracking)	EU (Frankfurt, Deutschland)
OpenAI, Anthropic, Google, Perplexity	LLM-Aufrufe (die Prompts werden an die Anbieter gesendet)	US / EU (je nach Anbieter), auf Grundlage der SCC

Die zentralen Daten (Konto, Marken, Ergebnisse) befinden sich ausschließlich in der EU. Die Übermittlung an Anbieter außerhalb der EU erfolgt auf Grundlage der Standardvertragsklauseln (SCC). Die vollständige Liste und Erläuterungen finden Sie in der Datenschutzerklärung.

9. DSGVO und Ihre Rechte

Der Verantwortliche für Veesie ist Manon BV (handelnd unter dem Namen ClickForest), ansässig in Bonheiden, Belgien, Unternehmensnummer BE 0549.803.522.

Sie können Ihre gesamten Daten im JSON-Format über Einstellungen, Datenschutz exportieren.
Sie können Ihr Konto und alle zugehörigen Daten selbst über Einstellungen, Konto löschen entfernen. Die Löschung erfolgt sofort und greift kaskadierend auf alle verknüpften Daten durch.
Ihre gesamten DSGVO-Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch) werden ausführlich in unserer Datenschutzerklärung beschrieben.

10. Eine Schwachstelle melden

Sie glauben, ein Sicherheitsproblem gefunden zu haben? Teilen Sie es uns über hello@veesie.com mit. Wir prüfen jede Meldung und halten Sie auf dem Laufenden. Wir bitten Sie, Schwachstellen nicht öffentlich zu machen, bevor wir sie gemeinsam lösen konnten (Responsible Disclosure).

Zuletzt aktualisiert: 13. Juni 2026. Zurück zu veesie.com