Tadoro

Sicherheit

Tadoro ist ein Index, kein Aktenschrank. Diese Seite fasst zusammen, was wir technisch und organisatorisch tun, damit Ihre Familienvorsorge-Informationen sicher bleiben, und was wir bewusst NICHT tun.

Firmensitz DeutschlandDatenbank in der EU

Tadoro ist Index, nicht Aktenschrank

Wir sind bewusst kein Aktenschrank, für die folgenden vier Datenarten ist Tadoro nicht vorgesehen. So bleibt Ihre Vorsorge sicher, auch wenn einmal etwas schiefgeht.

  • Keine Dokumentinhalte

    Keine Uploads, keine Scans, keine PDFs. Bitte kopieren Sie keine vollständigen Inhalte von Vollmachten, Testamenten, Policen oder Verträgen in Freitextfelder. Tadoro erfasst nur organisatorische Hinweise, etwa ob ein Dokument existiert und wo es außerhalb von Tadoro liegt. Dokumente, die Sie mit Tadoro erstellen und behalten, liegen Ende-zu-Ende verschlüsselt, sodass nur Sie sie öffnen können.

  • Keine Passwörter

    Bitte speichern Sie keine Passwörter, PINs, TANs, Wiederherstellungscodes oder Zugangsdaten zu Banken, Versicherungen, E-Mail-Konten, Passwort-Managern oder anderen Diensten in Tadoro.

  • Keine Kontonummern oder IBANs

    Bitte tragen Sie keine IBANs, Kontonummern, Kreditkartendaten oder sonstigen Zahlungsdaten in Tadoro ein. Das Standort-Feld beschreibt, wo Informationen zu finden sind, nicht ihren vertraulichen Inhalt.

  • Keine Krankenakten

    Tadoro ersetzt keine medizinische Dokumentation. Bitte speichern Sie keine Diagnosen, Befunde, Medikationspläne oder Krankenakten. Erfassen Sie nur organisatorische Hinweise: etwa „Medikamentenliste vorhanden, liegt im Notfallordner“.

Ihre Daten. Ihr Schutz.

Datenbank in der EU

Die zentrale Datenbank steht in Frankfurt am Main, DSGVO-konform. Alle Auftragsverarbeiter sind in der Datenschutzerklärung mit Standort und Übermittlungsweg aufgeführt.

Original-Dokumente bleiben bei Ihnen

Tadoro speichert keine Kopien Ihrer fertigen Dokumente oder Originale aus Notar, Bank oder Klinik. Im Plan steht nur, dass etwas existiert und wo es liegt.

Ende-zu-Ende verschlüsselt

Dokumente, die Sie mit Tadoro erstellen, werden auf Ihrem Gerät verschlüsselt, bevor sie unsere Server erreichen. Nicht einmal Tadoro kann sie öffnen – nur Sie.

Jederzeit löschbar

Sie können Ihr Konto und Ihre Plan-Daten jederzeit löschen, keine Nachfragen. Was gesetzlich nötig ist (Rechnungen, Sperrlisten), bleibt für die vorgeschriebene Frist.

Wir verkaufen Ihnen nichts

Keine Versicherungen, keine Anwaltsleistungen, keine Provisionen, keine Werbung. Sie zahlen direkt für Tadoro, und Tadoro arbeitet ausschließlich für Sie.

KI nur, wenn Sie wollen

Tadoro setzt KI bei der Onboarding-Analyse ein, optional. Sie können den Plan auch komplett manuell aufbauen, ohne dass Inhalte an externe KI-Dienste gesendet werden.

Eigenfinanziert. Keine externen Investoren: kein Druck, Ihre Daten zu monetarisieren.

EU-Hosting und Datenstandort

Die zentrale Datenbank (Supabase / PostgreSQL) läuft in Frankfurt am Main. Anwendungs-Hosting erfolgt über Vercel, transaktionale E-Mails über Resend, Bot-Schutz über Cloudflare Turnstile. Eine vollständige Übersicht aller Auftragsverarbeiter mit Standort und Übermittlungsmechanismen finden Sie in der Datenschutzerklärung (§ 5).

Dokumente, die Sie mit Tadoro erstellen: Ende-zu-Ende verschlüsselt

Wenn Sie mit dem Dokumenten-Assistenten ein Vorsorgedokument erstellen, werden Ihre Eingaben Ende-zu-Ende verschlüsselt – auf Ihrem Gerät, bevor sie unsere Server erreichen. Nicht einmal Tadoro kann sie öffnen.

Ihr Gerät
Verschlüsselung passiert hier, mit Ihrem Passwort
Tadoro-Server
Sieht nur den verschlüsselten Block, nicht den Inhalt
Ihr Gerät
Entschlüsselung passiert mit Ihrem Passwort, lokal

Was wird verschlüsselt?

Ihre Eingaben für den Dokumenten-Assistenten – zum Beispiel die Daten der bevollmächtigten Person in Ihrer Vorsorgevollmacht, Ihre Behandlungswünsche in der Patientenverfügung, die genannten Empfänger in der Schweigepflichtentbindung. Alles, was Sie tippen, bevor das Dokument erstellt wird.

Wie funktioniert die Verschlüsselung?

Auf Ihrem Gerät, im Browser, mit AES-256-GCM. Der Schlüssel wird aus Ihrer Vorsorge-Passphrase mit PBKDF2 (600.000 Iterationen, OWASP-Standard 2023) abgeleitet. Wir verwenden ausschließlich die Web-Crypto-API Ihres Browsers – keine externen Bibliotheken, keine versteckten Abhängigkeiten. Implementiert in einer einzigen Datei: src/lib/crypto/document-vault.ts (214 Zeilen Code).

Was sehen wir?

Nur den verschlüsselten Block. Tadoro kann ihn nicht entschlüsseln, nicht durchsuchen, nicht für andere Zwecke verwenden. Das ist nicht eine Frage von „dürfen wir nicht“ – es ist eine Frage von „können wir nicht“. Diese Architektur heißt Zero-Knowledge: der Anbieter hat technisch keinen Zugriff auf den Klartext, selbst auf Anfrage von Behörden oder im Falle einer Server-Kompromittierung.

Was, wenn Sie das Passwort vergessen?

Beim Anlegen Ihres Tresors erhalten Sie einen 25-stelligen Wiederherstellungscode. Bewahren Sie ihn getrennt vom Passwort auf – ausgedruckt im Aktenordner, in einem zweiten Passwortmanager, oder bei einer Vertrauensperson. Mit dem Code können Sie ein neues Passwort vergeben und Ihre Entwürfe wiederherstellen. Geht beides verloren (Passwort und Wiederherstellungscode), sind die Entwürfe unwiederbringlich verloren – das ist die Konsequenz von Zero-Knowledge. Schon erstellte und heruntergeladene PDF-Dokumente bleiben davon unberührt, die liegen bei Ihnen.

Was wir bewusst (noch) nicht tun

Argon2id ist eine modernere Schlüsselableitung als PBKDF2 und steht auf der Roadmap. Passkey-basierte Verschlüsselung (statt Passphrase) ebenfalls. Für unser aktuelles Bedrohungsmodell – ehrlich-aber-neugieriger Server, vertrauenswürdiger Client – reicht PBKDF2 mit 600.000 Iterationen. Geräteseitige Kompromittierung (Malware auf Ihrem Computer, das Ihre Tastatur mitliest) liegt außerhalb unseres Schutzbereichs; davor schützt keine Anwendung.

Wir können das beweisen

Die gesamte Verschlüsselungslogik lebt in einer einzigen Datei: src/lib/crypto/document-vault.ts. 214 Zeilen Code. Auf Anfrage stellen wir Ihnen den vollständigen Inhalt dieser Datei zur Einsicht bereit – zum Beispiel für IT-Sicherheits-Audits Ihres Arbeitgebers, für Datenschutzbeauftragte oder für Ihre eigene Prüfung. Schreiben Sie an datenschutz@tadoro.com mit Stichwort „Quellcode-Einsicht document-vault.ts“.

Verschlüsselung im Transport und im Ruhezustand

Zusätzlich zur Ende-zu-Ende-Verschlüsselung der Dokumenten-Assistenten-Inhalte oben: Übertragungen zwischen Ihrem Gerät und Tadoro sind über HTTPS verschlüsselt. Die Datenbank speichert Inhalte verschlüsselt im Ruhezustand (AES-256, durch Supabase). Passwörter werden nicht im Klartext gespeichert, sondern nach dem Stand der Technik gehasht. Bei Passkeys speichert Tadoro keine privaten Schlüssel; diese verbleiben auf Ihrem Gerät beziehungsweise bei Ihrem Passkey-Anbieter.

Zugriffskontrollen

Daten innerhalb eines Vorsorgeplans sind durch Workspace-Zugehörigkeit und Rollen-Logik geschützt; ein Mitglied eines Plans sieht nur die Daten dieses Plans. Admin-Zugriffe sind auf den Betreiber und technisch erforderliche Wartungszugriffe beschränkt, zusätzlich abgesichert (Passkey-Step-Up nach FIDO/WebAuthn) und werden protokolliert.

Backups

Die Datenbank wird täglich automatisch gesichert. Sicherungskopien werden nach dem regulären Zyklus überschrieben, derzeit innerhalb von 7 Tagen. Sicherungen dienen ausschließlich der Wiederherstellung im Fehlerfall und werden nicht für andere Zwecke genutzt.

Ihre Daten gehören Ihnen

  • Jederzeit exportieren. Lesbar als HTML (zum Ausdrucken oder als PDF speichern) oder als JSON für eigene Auswertungen. Beides direkt aus den Einstellungen.
  • Jederzeit Löschung anstoßen. Konto und Plan-Daten werden aus dem aktiven System gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen entgegenstehen.
  • Funktioniert auch ohne Tadoro. Die generierten PDF-Übersichten und Ernstfallpläne bleiben bei Ihnen: als reine Dateien, ohne App-Bindung. Wenn Sie aufhören, behalten Sie alle wichtigen Inhalte in der Hand.

Aufbewahrungsfristen aus gesetzlichen Pflichten oder berechtigten Interessen: etwa Stripe-Rechnungsdaten, Audit-Logs, E-Mail-Sperrvermerke, sind in der Datenschutzerklärung (§ 7 + § 8) im Detail dokumentiert.

KI-Verarbeitung

  • Was wird gesendet?Nur die Freitext-Beschreibung Ihrer Familiensituation während des Onboardings sowie die Eingaben für KI-gestützte Gesprächsleitfäden. Konkrete Eintragsinhalte wie Standortbeschreibungen werden nicht automatisch an die KI übermittelt. KI-gestützte Funktionen verarbeiten nur die Angaben, die Sie hierfür bewusst eingeben oder freigeben.
  • Was speichert Anthropic?Anthropic Ireland Ltd. verarbeitet die Eingaben zur Analyse, speichert sie nicht zum Modell-Training und löscht sie nach kurzer Frist. Auftragsverarbeitungsvertrag (DPA) liegt vor.
  • Wie ohne KI?Wählen Sie im Onboarding „Lieber selbst ausfüllen, ohne KI“. Sie geben dann Bereiche, Personen und Themen Schritt für Schritt manuell ein. Keine Freitext-Analyse, keine Übermittlung an Anthropic. Funktional ist die Plattform identisch.

Details zur KI-Verarbeitung finden Sie in der Datenschutzerklärung (§ 5b) und in den Nutzungsbedingungen (§ 12).

Was Sie bitte NICHT eintragen

Tadoro ist nicht für die Speicherung sensibler Originalinhalte vorgesehen. Bitte tragen Sie keine Passwörter, PINs, TANs, vollständigen Kontonummern, IBANs, Ausweiskopien, Diagnosen, Medikationspläne oder vollständigen Inhalte rechtlicher, medizinischer oder finanzieller Dokumente ein. Erfassen Sie statt dessen nur, ob ein Dokument oder eine Information existiert und wo sie aufbewahrt wird. Diese Klarheit ist die Grundlage dafür, dass Tadoro selbst dann sicher bleibt, wenn ein einzelner Vorfall eintritt.

Sicherheitsvorfall melden

Wenn Sie einen Sicherheitsvorfall vermuten: verdächtige Anmeldeversuche, ungewöhnliche Account-Aktivität, oder eine mögliche Schwachstelle, schreiben Sie an hilfe@tadoro.com. Wir bestätigen Ihre Meldung innerhalb von 2 Werktagen.

Rückfragen

Bei datenschutzrechtlichen Anfragen wenden Sie sich an datenschutz@tadoro.com.

Stand: Mai 2026