Was Standard bei uns heißt: dass Sie nach dem Bauen genau wissen, wo Ihre Daten liegen, was die Software entscheidet und warum sie sich anfühlt wie ein gutes Werkzeug. Für Sie, Ihr Team und Ihre Kunden.
Bevor wir bauen, haben wir eine klare Vorstellung davon, wie gute Software aussehen muss. Sechs Erkennungsmerkmale - sie sind unser Maßstab bei allem.
Sie stehen ausformuliert auf einer eigenen Seite. Wenn Sie verstehen wollen, woher dieser Anspruch kommt, lesen Sie dort weiter - Wann ist Software wirklich gut?.
Server in Deutschland, Datenbanken in Frankfurt. Kein Umweg über Amerika, kein Speicherort, von dem Sie nicht wissen, wo er ist. Datenschutz nach DSGVO ist bei uns keine Checkbox - es ist die Architektur.
Sie bekommen den Auftragsverarbeitungsvertrag mit jedem Dienst, den wir für Sie nutzen. Sie sehen, wer auf was zugreift. Und wenn Sie einmal weiterziehen wollen, geben wir Ihnen Ihre Daten mit - vollständig, in einem Format, das Sie woanders einlesen können.
Geregelt ist das in der Datenschutz-Grundverordnung (DSGVO, in Kraft seit Mai 2018). Artikel 28 schreibt vor, dass jeder externe Dienstleister einen schriftlichen Auftragsverarbeitungsvertrag mit Ihnen hat. Artikel 20 gibt Ihnen das Recht auf Datenübertragbarkeit - das heißt: Sie dürfen jederzeit verlangen, dass wir Ihnen Ihre Daten in einem maschinenlesbaren Format aushändigen.
Konkret bei uns: Datenbank-Hosting bei Supabase in der Region eu-central-1 (Frankfurt). Anwendungs-Server bei IONOS in Deutschland. E-Mail-Versand über Resend - DSGVO-konform mit eigenem AVV. Mehr Details zu Anbietern und Verträgen unter Wie wir Datenschutz handhaben.
Verordnungstext im Original: eur-lex.europa.eu, Verordnung (EU) 2016/679 .
Wenn in Ihrer Software ein Bot mit jemandem spricht, sagt er das. Wenn ein Vorschlag von einem Sprachmodell stammt, ist das markiert. Wenn eine Entscheidung von KI vorbereitet wurde, kann man später nachvollziehen, was sie gesehen und gemacht hat - sechs Monate lang zurück.
Ab August 2026 verlangt das Gesetz, dass Menschen erkennen koennen, wenn sie mit einem KI-System sprechen. Wir bauen Software heute schon so, dass dieser Termin keine Umbauphase bedeutet.
Das sechsmonatige Protokoll machen wir fuer jede KI-Funktion - auch wenn das Gesetz das nur fuer hoeher eingestufte Systeme verlangt. Wer sechs Monate spaeter wissen will, wer eine Entscheidung getroffen hat, soll das nachvollziehen koennen. Punkt.
Der EU AI Act ist die erste umfassende Regulierung künstlicher Intelligenz weltweit. Verabschiedet 2024, schrittweise in Kraft. Für die meisten Anwendungen, die Sie als Mittelständler betreiben - Chatbots, Assistenzsysteme, automatische Klassifikation - greift Artikel 50 ab dem 2. August 2026: Wer mit einem KI-System interagiert, muss das wissen.
Artikel 12 verlangt für höher eingestufte Systeme ein Protokoll über sechs Monate, das nachvollziehbar macht, was die KI getan hat. Bei wendwerk wenden wir dieses Protokoll auf jede KI-Funktion an, nicht nur auf Hochrisiko-Systeme. Die Begründung ist nicht der AI Act allein - die DSGVO (Artikel 30) verlangt ohnehin ein Verzeichnis aller Verarbeitungstätigkeiten, und Kunden mit Compliance-Anforderungen werden früher oder später fragen: "Wer hat das entschieden?"
Detaillierte Erläuterung in einfacher Sprache unter Der EU AI Act - was er für Sie heißt. Verordnungstext im Original: digital-strategy.ec.europa.eu .
Unsere Software reagiert unter einer halben Sekunde auf jeden Klick. Nicht weil das ein schöner Wert ist, sondern weil bei dieser Schwelle etwas Magisches passiert: Sie hören auf, auf den Computer zu warten, und fangen an, mit ihm zu denken.
Auf dem Handy genauso wie am Schreibtisch. Tap-Flächen so groß, dass man sie auch unterwegs trifft. Kein horizontales Wischen, keine Tabellen, die nur am Monitor lesbar sind. Wenn ein Kunde Ihre Software in der Bahn auf dem Telefon öffnet, soll es sich genauso gut anfühlen wie im Büro.
Die 400-Millisekunden-Grenze heißt Doherty Threshold, beschrieben von Walter Doherty und Ahrvind Thadani im IBM Systems Journal 1982. Sie wiesen damals nach: Unter dieser Schwelle steigt die Produktivität nicht linear, sondern sprunghaft - weil der Nutzer aufhört, auf den Computer zu warten.
Heute existiert mit den Core Web Vitals von Google ein international anerkanntes Messverfahren für Website-Geschwindigkeit: unter 2,5 Sekunden für den ersten sichtbaren Inhalt, unter 200 Millisekunden Reaktion auf Interaktion. Diese Werte sind das Mindeste - bei uns gelten sie für jedes Projekt, das wir ausliefern.
Doherty-Originalstudie: research.ibm.com, IBM Systems Journal 1982. Core Web Vitals: web.dev/articles/vitals.
Login per E-Mail-Link. Sie geben Ihre Adresse ein, klicken den Link in der Mail, sind drin. Kein Passwort zum Vergessen, kein Zettel-am-Bildschirm, keine 90-Tage-Wechsel-Pflicht. Wer trotzdem ein Passwort will, kann eins einrichten - es ist eine Option, nicht die Norm.
Wer was sehen darf, ist in der Datenbank festgeschrieben - nicht im Code, der sich morgen ändern könnte. Aktualisierungen laufen ohne Ausfall. Wenn etwas schief geht, schalten wir zurück, bevor Sie es merken.
Magic Links - so heißt der E-Mail-Link-Login in der Branche - sind für die meisten Unternehmenstools 2026 der Standard geworden. Der Grund ist nicht Bequemlichkeit, sondern Sicherheit: Ein E-Mail-Link ist nur einmal nutzbar, läuft schnell ab und kann nicht in einem Datenleck mit Millionen anderen Passwörtern auftauchen.
Berechtigungen prüfen wir mit Row-Level-Security - die Datenbank selbst entscheidet, welcher Datensatz an wen ausgegeben wird. Das ist robuster als Berechtigungs-Checks im Anwendungs-Code, weil ein vergessener Check dort sofort eine Lücke wäre. Bei uns gibt es diese Trennung an jeder Stelle, an der personenbezogene Daten liegen.
Wie wir Sicherheit insgesamt denken, steht unter Sicherheit - der Maßstab, nicht das Add-on.
Sie können erklären, was Ihre Software macht - in einer Sitzung mit Ihrem Datenschutzbeauftragten, einem Kunden mit Compliance-Fragen oder einem Wirtschaftsprüfer.
Sie sind nicht auf einen einzelnen Anbieter angewiesen. Wenn wir uns trennen, bekommen Sie alles, was wir gebaut haben. Den Quellcode, die Daten, die Verträge. Kein Lock-In, kein versteckter Schlüssel.
Sie sind auf den August 2026 vorbereitet, bevor er kommt. Wenn andere anfangen, Banner einzubauen und Logs nachzurüsten, haben Sie das schon.
Vor allem: Ihre Mitarbeiter benutzen die Software gern. Das ist der einzige Maßstab, an dem man am Ende erkennt, ob sie wirklich gut gebaut wurde.
Standard heißt bei uns nicht "irgendwie konform" - sondern: wir wissen, was die Forschung sagt, was das Gesetz fordert, und was Sie morgen brauchen.
Software, die diesem Standard genügt, ist langweilig zu beschreiben. Sie hat keinen Wow-Effekt im Demo-Video. Aber sie ist der Grund, warum man ein Jahr später nicht mehr nachdenkt, ob sie funktioniert - sondern nur noch darüber, was man damit als nächstes macht.
Die Haltung dahinter steht unter Wann ist Software wirklich gut?. Wie wir vor dem Bauen das eigentliche Problem klären, steht unter Bevor wir bauen, klären wir, was kaputt ist. Und welche Hürden in Betrieben am häufigsten zwischen guter Software und ihrer Nutzung stehen, steht unter Die größten Hürden liegen selten in der Technik.