Wer hat Zugang zu meinen Verkaufsdaten?

Nur du und die Teammitglieder, die du explizit einlädst. Verifizierte Boloo-Ingenieure haben technisch Zugang für Support und Wartung, aber jede Handlung wird protokolliert und nur auf Anfrage durchgeführt. Wir betrachten nie deine Daten ohne Grund.

Wo werden meine Daten physisch gespeichert?

In ISO 27001-zertifizierten Rechenzentren in Deutschland. Damit bleiben deine Daten innerhalb der Europäischen Union und unter dem strengen europäischen Datenschutzregime (DSGVO plus das deutsche BDSG) — nicht unter dem amerikanischen Cloud Act oder ähnlichen Regulierungen.

Was passiert bei einem Datenleck?

Wir haben ein Incident-Response-Verfahren. Bei einem nachgewiesenen Datenleck, das personenbezogene Daten betrifft, melden wir dies innerhalb von 72 Stunden der Datenschutzbehörde (verpflichtend nach DSGVO) und informieren die betroffenen Nutzer direkt mit konkreten Handlungen.

Kann ich meine Daten exportieren oder mitnehmen?

Ja. Du hast nach DSGVO das Recht auf Datenübertragbarkeit und wir ermöglichen dies — wende dich an den Support und du erhältst eine Exportierung in einem gängigen Format (JSON, CSV).

Was passiert, wenn ich mein Konto kündige?

Deine Daten werden innerhalb der gesetzlichen Fristen endgültig gelöscht. Bestimmte administrative Daten (z.B. Rechnungen) müssen wir nach dem Steuerrecht 7 Jahre aufbewahren — diese sind dann vom Profil getrennt und nur für unsere Verwaltung zugänglich.

Was passiert, wenn ich mein 2FA-Gerät verliere?

Bei der Aktivierung von 2FA erhältst du 10 Wiederherstellungs-Codes — bewahre diese an einem sicheren Ort auf (Passwort-Manager, ausgedruckte Kopie oder in einer abgeschlossenen Schublade). Mit einem dieser Codes kannst du dich erneut anmelden und deine 2FA neu einrichten. Hast du keine Codes mehr? Wende dich an den Support; wir führen dann eine Identitätsprüfung durch, bevor wir 2FA zurücksetzen.

Verkauft Boloo meine Daten oder verwendet sie für Werbung?

Nein. Deine Verkaufsdaten, Lagerbestände und Kundendaten sind nur für dich und dein Team zugänglich. Wir verkaufen, vermieten oder teilen keine Daten mit Dritten für Marketing- oder Profilierungszwecke. Der einzige Zweck, für den wir deine Daten verwenden, ist die Bereitstellung der Boloo-Funktionalität.

Wie melde ich ein Sicherheitsproblem?

Hast du eine Schwachstelle entdeckt? Schreibe uns eine E-Mail an support@boloo.co mit "Sicherheit" im Betreff und wir leiten deine Meldung intern direkt an das entsprechende Team weiter. Wir schätzen verantwortungsvolle Meldungen und reagieren in der Regel innerhalb eines Arbeitstages. Verwende keine Ausnutzung, teile Schwachstellen nicht öffentlich, bevor wir sie behoben haben, und berühre keine Daten anderer Nutzer.

Sicherheit

Deine Verkaufsdaten, geschützt auf Bankniveau

Deine bol.com-Umsätze, Lagerbestände und Kundendaten sind sensible Geschäftsdaten. Auf dieser Seite liest du genau, wie Boloo sie schützt — keine Marketing-Sprache, nur die tatsächlichen technischen Maßnahmen, die du nachvollziehen kannst.

Frag das Sicherheitsteam

Phishing-resistente Authentifizierung

Passkeys (FIDO2), Zwei-Faktor-Authentifizierung und Google SSO — die modernsten Methoden, um anzumelden, ohne dass ein Passwort gestohlen werden kann

Verschlüsselung auf allen Ebenen

AES-256 für gespeicherte Daten, TLS 1.2+ für Datenverkehr und industrieübliches Hashing für Passwörter und 2FA-Geheimnisse

Hosting in Deutschland

ISO 27001-zertifizierte Rechenzentren innerhalb der EU — 24/7-Überwachung und strenge Zugangskontrolle

Authentifizierung wie sie sein sollte

Der schwächste Punkt in den meisten Online-Konten ist das Passwort. Deshalb haben wir drei modernere Alternativen integriert — du entscheidest selbst, welche du verwendest.

Passkeys (FIDO2 / WebAuthn)

Melde dich mit deinem Fingerabdruck, Gesicht oder einem Hardware-Schlüssel wie einem YubiKey an. Ein Passkey ist kryptografisch an boloo.co gebunden — selbst eine perfekt gemachte Phishing-Seite kann ihn nicht stehlen. Seit 2024 der empfohlene Industriestandard von Apple, Google und Microsoft.

Zwei-Faktor-Authentifizierung (2FA)

Neben deinem Passwort fordern wir einen 6-stelligen Code aus deiner Authentifizierungs-App (1Password, Google Authenticator, Authy) an. Funktioniert offline, ist unabhängig von SMS (das umgehbar ist durch SIM-Swap-Angriffe) und der geheime Schlüssel ist auf unseren Servern verschlüsselt.

Google SSO

Verwende dein bestehendes Google-Konto, um dich anzumelden — Google übernimmt die Identitätsprüfung. Du kannst 2FA auch auf Google aktivieren, um eine zusätzliche Schicht hinzuzufügen.

Anmelde-Sicherheit auf API-Ebene

Unsere Anmelde-Endpunkte werden aktiv gegen Brute-Force-Angriffe abgeschottet und verhalten sich identisch für bestehende und nicht bestehende Konten — ein Angreifer kann durch Antwortzeiten nicht herausfinden, ob eine E-Mail-Adresse bei uns bekannt ist.

Verschlüsselung von Daten auf jeder Ebene

Verschlüsselung ist nur wertvoll, wenn sie konsequent auf allen Ebenen angewendet wird. Deshalb decken wir jede Ebene ab:

In Ruhe — AES-256

Dateien in unserem Speicher sind mit AES-256 verschlüsselt, demselben Algorithmus, den die amerikanische Regierung für topgeheime Dokumente verwendet.

Unterwegs — TLS 1.2+

Alle Datenverkehr zwischen deinem Browser und unseren Servern läuft über HTTPS mit modernen Cipher-Suiten. Keine veraltete TLS 1.0/1.1-Unterstützung, keine unverschlüsselten Fallbacks.

Passwörter sind unlesbar gespeichert

Passwörter werden nie als Klartext gespeichert. Wir verwenden eine industrieübliche Hash-Pipeline, die absichtlich langsam ist, damit Brute-Force-Angriffe auf gestohlene Hashes unmöglich sind. Selbst unsere eigenen Ingenieure können dein Passwort nicht lesen.

2FA-Geheimnisse verschlüsselt in Ruhe

Der geheime Schlüssel, den deine Authentifizierungs-App verwendet, wird in unserer Datenbank mit einer validierten Kombination aus symmetrischer Verschlüsselung und Authentifizierung verschlüsselt. Ein Datenbank-Dump liefert also keine funktionierenden 2FA-Codes.

Wiederherstellungs-Codes einsehbar

Die 10 Wiederherstellungs-Codes, die du bei der Aktivierung von 2FA erhältst, werden direkt nach der Anzeige verschlüsselt gespeichert. Wir sehen die Codes nur einmal — danach nur die verschlüsselte Version.

Infrastruktur, auf die du vertrauen kannst

Wir bauen keine eigenen Rechenzentren. Wir verwenden die besten — und stellen sicher, dass unsere Konfiguration ihr Sicherheitsprofil nicht schwächt.

Hosting innerhalb der Europäischen Union

Unsere Server laufen in Rechenzentren in Deutschland. Damit bleibt deine Verkaufsdaten unter europäischem Recht — unter anderem der DSGVO, dem deutschen BDSG und den strengen Anforderungen, die die EU an die Datenverarbeitung stellt. Nicht unter dem amerikanischen Cloud Act oder ähnlichen Gesetzen.

ISO 27001-zertifiziert

Unser Hosting-Partner ist nach ISO 27001 (Informationssicherheit), ISO 27017 (Cloud-spezifische Kontrollen) und ISO 27018 (Schutz personenbezogener Daten) zertifiziert. Unabhängige Prüfer verifizieren diese Zertifizierungen jährlich.

Strenge Zugangskontrolle

Nur eine begrenzte Gruppe verifizierter Teammitglieder hat Zugang zu Produktions-Systemen und nur wenn es für Support oder Wartung notwendig ist. Keine gemeinsamen Konten, keine Passwort-Tabellen.

24/7-Fehlerüberwachung

Ein industrieübliches Überwachungs-Tool überwacht jeden Request und jede Hintergrund-Aufgabe. Eine Abweichung, ein Fehler oder ein verdächtiges Muster löst innerhalb von Sekunden eine Warnung aus — wir sehen Probleme oft, bevor du sie bemerkst.

Datenschutz und Compliance

Sicherheit geht nicht nur darum, Hacker fernzuhalten. Es geht auch darum, was wir mit deinen Daten tun und was nicht. Die vollständige Ausarbeitung findest du in unserer Datenschutzerklärung.

DSGVO-konform

Vollständig konform mit der Datenschutz-Grundverordnung. Du hast das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung und Datenübertragbarkeit — in unseren Prozessen geregelt und in unserer Datenschutzerklärung ausgearbeitet.

Daten gehören dir

Wir verkaufen deine Daten nie an Dritte für Werbezwecke, Profiling oder andere Zwecke. Deine Verkaufsdaten werden nur verwendet, um die Boloo-Funktionalität bereitzustellen.

Minimale Datenverarbeitung

Wir speichern nur das, was wir benötigen, um dir zu helfen, erfolgreich auf bol.com zu verkaufen. Keine versteckte Nachverfolgung, keine unerwünschte Profilierung.

Löschung auf Anfrage

Möchtest du dein Konto kündigen? Dann werden deine Daten innerhalb der gesetzlichen Fristen endgültig gelöscht — nicht "archiviert" oder "anonymisiert" mit einer rückverfolgbaren ID.

Häufig gestellte Fragen

Datenschutzerklärung — wie wir personenbezogene Daten unter der DSGVO verarbeiten.
Allgemeine Geschäftsbedingungen — die Vereinbarungen, die zwischen dir und Boloo gelten.
Kontakt — Fragen zu unseren Sicherheitsmaßnahmen oder eine Schwachstelle melden.