Tadoro

Sicherheit

Was wir tun, damit Ihre Familienvorsorge sicher bleibt: Wir hosten Ihre Daten in Frankfurt, verschlüsseln alles im Transport und im Ruhezustand, und schützen die Dokumente, die Sie mit Tadoro erstellen, zusätzlich Ende-zu-Ende – so dass selbst wir den Inhalt nicht öffnen können. Diese Seite zeigt im Detail, wie.

Dokumente, die Sie mit Tadoro erstellen: Ende-zu-Ende verschlüsselt

Wenn Sie mit dem Dokumenten-Assistenten ein Vorsorgedokument erstellen, werden Ihre Eingaben Ende-zu-Ende verschlüsselt – auf Ihrem Gerät, bevor sie unsere Server erreichen. Nicht einmal Tadoro kann sie öffnen.

Nicht Ende-zu-Ende verschlüsselt, sondern bewusst für Tadoro lesbar, sind die organisatorischen Index-Daten: welche Dokumente und Kontakte existieren, wo sie liegen und ihr Status. Genau das ist der Zweck der Plattform – sie zeigt, wo alles liegt. Diese Index-Daten sind im Transport über HTTPS und im Ruhezustand verschlüsselt (Details unten unter „Verschlüsselung im Transport und im Ruhezustand“) und zusätzlich durch Zugriffskontrollen geschützt. Sensible Inhalte gehören nicht in den Index, sondern in den Dokumenten-Assistenten, der sie Ende-zu-Ende schützt.

Ihr Gerät
Verschlüsselung passiert hier, mit Ihrem Passwort
Tadoro-Server
Sieht nur den verschlüsselten Block, nicht den Inhalt
Ihr Gerät
Entschlüsselung passiert mit Ihrem Passwort, lokal
  • Was wird verschlüsselt?
    Ihre Eingaben für den Dokumenten-Assistenten – zum Beispiel die Daten der bevollmächtigten Person in Ihrer Vorsorgevollmacht, Ihre Behandlungswünsche in der Patientenverfügung, die genannten Empfänger in der Schweigepflichtentbindung. Alles, was Sie tippen, bevor das Dokument erstellt wird.
  • Wie funktioniert die Verschlüsselung?
    Auf Ihrem Gerät, im Browser, mit AES-256-GCM. Der Schlüssel wird aus Ihrer Vorsorge-Passphrase mit PBKDF2 (600.000 Iterationen, OWASP-Standard 2023) abgeleitet. Wir verwenden ausschließlich die Web-Crypto-API Ihres Browsers – keine externen Bibliotheken, keine versteckten Abhängigkeiten. Implementiert in einer einzigen, überschaubaren Datei: src/lib/crypto/document-vault.ts.
  • Was sehen wir?
    Nur den verschlüsselten Block. Tadoro kann ihn nicht entschlüsseln, nicht durchsuchen, nicht für andere Zwecke verwenden. Das ist nicht eine Frage von „dürfen wir nicht“ – es ist eine Frage von „können wir nicht“. Diese Architektur heißt Zero-Knowledge: der Anbieter hat technisch keinen Zugriff auf den Klartext, selbst auf Anfrage von Behörden oder im Falle einer Server-Kompromittierung.
  • Was, wenn Sie das Passwort vergessen?
    Beim Anlegen Ihres Tresors erhalten Sie einen 25-stelligen Wiederherstellungscode. Bewahren Sie ihn getrennt vom Passwort auf – ausgedruckt im Aktenordner, in einem zweiten Passwortmanager, oder bei einer Vertrauensperson. Mit dem Code können Sie ein neues Passwort vergeben und Ihre Entwürfe wiederherstellen. Geht beides verloren (Passwort und Wiederherstellungscode), sind die Entwürfe unwiederbringlich verloren – das ist die Konsequenz von Zero-Knowledge. Schon erstellte und heruntergeladene PDF-Dokumente bleiben davon unberührt, die liegen bei Ihnen.
  • Wir können das beweisen
    Die gesamte Verschlüsselungslogik lebt in einer einzigen Datei: src/lib/crypto/document-vault.ts. Eine einzige, überschaubare Datei. Auf Anfrage stellen wir Ihnen den vollständigen Inhalt dieser Datei zur Einsicht bereit – zum Beispiel für IT-Sicherheits-Audits Ihres Arbeitgebers, für Datenschutzbeauftragte oder für Ihre eigene Prüfung. Schreiben Sie an datenschutz@tadoro.com mit Stichwort „Quellcode-Einsicht document-vault.ts“.

Verschlüsselung im Transport und im Ruhezustand

Zusätzlich zur Ende-zu-Ende-Verschlüsselung der Dokumenten-Assistenten-Inhalte oben:

  • Im TransportÜbertragungen zwischen Ihrem Gerät und Tadoro sind über HTTPS verschlüsselt.
  • Im RuhezustandDie Datenbank speichert Inhalte verschlüsselt im Ruhezustand (AES-256, durch Supabase).
  • PasswörterPasswörter werden nicht im Klartext gespeichert, sondern nach dem Stand der Technik gehasht.
  • PasskeysBei Passkeys speichert Tadoro keine privaten Schlüssel; diese verbleiben auf Ihrem Gerät beziehungsweise bei Ihrem Passkey-Anbieter.

EU-Hosting und Datenstandort

  • DatenbankDie zentrale Datenbank (Supabase / PostgreSQL) läuft in Frankfurt am Main.
  • HostingAuch die Anwendung selbst läuft in Frankfurt am Main (Vercel). Hosting und Datenbank befinden sich damit vollständig in Deutschland.
  • Weitere DiensteTransaktionale E-Mails über Resend, Bot-Schutz über Cloudflare Turnstile. Eine vollständige Übersicht aller Auftragsverarbeiter mit Standort und Übermittlungsmechanismen finden Sie in der Datenschutzerklärung (§ 5).

KI-Verarbeitung

  • Was wird gesendet?Tadoro nutzt KI an drei Stellen – Gesprächsleitfaden, Aufbewahrungs-Analyse und Pflegegutachter-Brief – und jede läuft erst, wenn Sie sie selbst auslösen. Vor der Übermittlung ersetzen wir Namen durch Platzhalter (P1, P2 …) und entfernen weitere Bezeichner wie Telefonnummern. Den Plan bauen Sie und Ihre Personen legen Sie strukturiert an – diese Angaben erfassen wir bei Ihnen, ohne externe KI.
  • Was speichert Anthropic?Vertragspartner ist Anthropic Ireland Limited (Irland); die Eingaben werden zur Analyse verarbeitet, nicht zum Modell-Training gespeichert und nach Verarbeitung gelöscht. Soweit die Verarbeitung in die USA reicht, ist sie über EU-Standardvertragsklauseln abgesichert. Ein Auftragsverarbeitungsvertrag (DPA) liegt vor.
  • Wenn nicht?Jede der drei Funktionen ist einzeln freiwillig. Lösen Sie eine nicht aus, verlässt zu diesem Zweck auch nichts Ihren Plan. Den restlichen Aufbau – Bereiche, Personen, Themen – erfassen Sie strukturiert, ohne Anthropic. Funktional bleibt die Plattform vollständig.

Details zur KI-Verarbeitung finden Sie in der Datenschutzerklärung (§ 5b) und in den Nutzungsbedingungen (§ 12).

Ihre Daten gehören Ihnen

  • Keine Weitergabe. Wir geben Ihre Daten nicht an Dritte weiter und verkaufen sie nicht. Zugriff haben nur die Personen, die Sie selbst in Ihren Vorsorge-Plan einladen – und nur auf das, was Sie freigeben.
  • Jederzeit exportieren. Lesbar als HTML (zum Ausdrucken oder als PDF speichern) oder als JSON für eigene Auswertungen. Beides direkt aus den Einstellungen.
  • Jederzeit Löschung anstoßen. Konto und Plan-Daten werden aus dem aktiven System gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen entgegenstehen.
  • Funktioniert auch ohne Tadoro. Die generierten PDF-Übersichten und Ernstfallpläne bleiben bei Ihnen: als reine Dateien, ohne App-Bindung. Wenn Sie aufhören, behalten Sie alle wichtigen Inhalte in der Hand.

Was wir bewusst nicht tun

  • Wir geben Arbeitgebern keinen Einblick in die Vorsorge ihrer Mitarbeitenden. Wird Tadoro als Mitarbeiter-Benefit eingeführt, sehen Arbeitgeber nichts Individuelles: keine Inhalte, keine Namen, keine Mitarbeitenden-Listen, keine Aktivitätsdaten. Die Vorsorge läuft über das private, freiwillige Konto der Mitarbeitenden.
  • Und wir verkaufen Ihnen nichts und zeigen keine Werbung: Sie zahlen für die Plattform, mehr nicht. Versicherungen, Finanzprodukte oder Pflegedienste überlassen wir anderen.

Eigenfinanziert. Keine externen Investoren: kein Druck, Ihre Daten zu monetarisieren.

Tadoro ist Ihr Index für die Vorsorge

Tadoro hält fest, was wo liegt, und führt Sie durch die Vorsorge. Vier Datenarten gehören bewusst nicht hinein – so bleibt Ihre Vorsorge sicher, auch wenn anderswo einmal etwas schiefgeht.

  • Keine hochgeladenen Dokumente

    Keine Uploads, keine Scans, keine PDF-Dateien. Bitte kopieren Sie auch keine vollständigen Vollmachten, Testamente, Policen oder Verträge in Freitextfelder. Tadoro erfasst nur organisatorische Hinweise – ob ein Dokument existiert und wo es außerhalb von Tadoro liegt. Die Ausnahme sind Dokumente, die Sie mit Tadoro erstellen und behalten: Sie liegen Ende-zu-Ende verschlüsselt, sodass nur Sie sie öffnen können.

  • Keine Passwörter

    Bitte speichern Sie keine Passwörter, PINs, TANs, Wiederherstellungscodes oder Zugangsdaten zu Banken, Versicherungen, E-Mail-Konten, Passwort-Managern oder anderen Diensten in Tadoro.

  • Keine Kontonummern oder IBANs

    Bitte tragen Sie keine IBANs, Kontonummern, Kreditkartendaten oder sonstigen Zahlungsdaten in Tadoro ein. Das Standort-Feld beschreibt, wo Informationen zu finden sind, nicht ihren vertraulichen Inhalt.

  • Keine Krankenakten

    Tadoro ersetzt keine medizinische Dokumentation. Bitte speichern Sie keine Diagnosen, Befunde, Medikationspläne oder Krankenakten. Erfassen Sie nur organisatorische Hinweise: etwa „Versicherungspolice vorhanden, liegt im Aktenordner“.

Kontakt

  • Sicherheitsvorfall
    Wenn Sie einen Sicherheitsvorfall vermuten: verdächtige Anmeldeversuche, ungewöhnliche Account-Aktivität, oder eine mögliche Schwachstelle, schreiben Sie an hilfe@tadoro.com. Wir bestätigen Ihre Meldung innerhalb von 2 Werktagen.
  • Datenschutz-Anfragen
    Bei datenschutzrechtlichen Anfragen wenden Sie sich an datenschutz@tadoro.com.
So rollen Sie Tadoro aus

Stand: Juni 2026