Trust & Beschaffung für Unternehmen

Was Einkauf und Security-Prüfung vor der Unterschrift brauchen

Die kaufmännischen, rechtlichen und sicherheitsrelevanten Antworten, nach denen eine Due-Diligence-Checkliste fragt, alle auf einer Seite. Wo die vollständigen Details woanders auf der Website liegen, verlinken wir direkt dorthin. Kein Schöngerede, keine Behauptungen, die wir nicht belegen können.

Auf einen Blick 1 Seitefür die komplette Lieferantenprüfung

In einem Satz

Wavect GmbH ist ein österreichisches Softwareunternehmen, mit dem du nach österreichischem Recht Verträge schließt, bei dem dir ab Tag eins alle IP-Rechte gehören, deine Daten standardmäßig in der EU bleiben, und ein Team aus zwei Gründern plus geprüfter Bench dafür sorgt, dass die Arbeit weiterläuft, egal wer geht.

Klare Antworten zu

  • Rechtsträger, Gerichtsstand und IP-Eigentum
  • Auftragsverarbeitungsverträge, EU-Datenhaltung und Subunternehmer
  • Zugriffskontrolle, Backup, Incident-Handling und Übergabe
  • Ausfallsicherheit bei Schlüsselpersonen, Supportmodelle und Reaktionszeiten

Was wir nicht vortäuschen

  • Wir halten heute keine ISO 27001, kein SOC 2 und keine formale Sicherheitszertifizierung
  • Wir bieten kein 24/7-Network-Operations-Center und kein Uptime-SLA
  • Wir sind ein kleines Senior-Team, kein großer Managed-Service-Anbieter
// 01

Die Beschaffungs-Checkliste, beantwortet

Jede Zeile gibt dir die Kurzantwort und einen Link zur Seite, die sie im Detail dokumentiert.

ThemaWo wir stehenDokumentiert in
Rechtsträger & GerichtsstandWavect GmbH, FN 575337 i, Landesgericht Innsbruck, UID ATU77948526, mit Sitz in Ampass, Tirol. 2018 als Wavect e.U. gegründet, seit 2022 eine GmbH. Verträge laufen standardmäßig nach österreichischem Recht; wir haben auch nach deutschem, Schweizer, US- und Singapurer Recht unterschrieben.Impressum & Leistungsvertrag
IP-EigentumDir gehört alles, was wir bauen. Vollständige IP-Übertragung, keine bei uns verbleibenden Rechte, Code ab Tag eins in deinem Repository.Leistungsvertrag
ÜbergabeEine vollständige Übergabe ist der Standard, kein Upsell: Code, Zugangsdaten, Dokumentation und Runbooks werden übertragen, alle Schlüssel gehen an dich über.Übergabe-Checkliste
Ausfallsicherheit bei SchlüsselpersonenZwei Gründer bei jedem Projekt, plus eine geprüfte Spezialisten-Bench. Wir haben Arbeit schon Dutzende Male sauber übergeben; das Team ist größer als jede einzelne Person.Über das Team
Einsatz externer SpezialistenSpezialisten arbeiten als Subunternehmer unter unserem Vertrag, geprüft, bevor sie dein Projekt anfassen. Ein Vertrag mit uns, eine Rechnung, Vertraulichkeit über die gesamte Verarbeiterkette.Expertennetzwerk
Hosting & DatenhaltungEU-Hosting standardmäßig. Deine Daten bleiben unter EU- und österreichischen Regeln, sofern dein Projekt nicht etwas anderes erfordert, was wir vorab klären.Leitfaden EU-Datenhaltung
DSGVO & DatenschutzDSGVO- und österreichisch-DSG-konform. Unser Datenschutzbeauftragter ist Kevin Riedl. Rechtsgrundlagen, Aufbewahrung und Dritte sind vollständig dargelegt.Datenschutzerklärung
Support & WartungWartung ist optional, nie eingebaut. Fixpreis auf einem unterschriebenen Werkvertrag, oder ein monatliches Retainer, das du wöchentlich ohne Kündigungsfrist beenden kannst.Fixpreis vs. Time & Materials
// 02

Subunternehmer

Die Dritten, die für wavect.io selbst Daten verarbeiten. Für Kundenprojekte werden Infrastruktur und Subunternehmer pro Auftrag gewählt und sind standardmäßig in der EU ansässig; wir listen sie im Auftragsverarbeitungsvertrag des jeweiligen Projekts.

SubunternehmerZweckDatenStandort
CloudflareStatic-Site-Hosting und CDN für wavect.ioRequest-Logs, IP-AdressenGlobale Edge, EU-Rechenzentren
UmamiCookieloses Website-AnalyticsKeine personenbezogenen DatenDeutschland (EU)
PostHog EUProdukt-Analytics, Session- und Funnel-DatenNutzungsereignisseDeutschland (EU)
Zeeg (Zeeg GmbH)Terminplanung über die BuchungslinksName, E-Mail, gewählte ZeitDeutschland (EU)

Diese Liste ändert sich, wenn sich unser Tooling ändert. Wenn du für einen unterschriebenen Auftrag vorab über Subunternehmer-Änderungen informiert werden willst, können wir das in den Vertrag aufnehmen.

// 03

Sicherheit und Lieferung: unsere Haltung

Die Themen, nach denen ein Security-Fragebogen fragt und die anderswo keine eigene Seite haben. Das sind ehrliche Aussagen darüber, wie ein kleines Senior-Team wirklich arbeitet, keine Schönwetter-Policy.

Auftragsverarbeitungsvertrag

Wir unterschreiben deinen Auftragsverarbeitungsvertrag oder stellen einen eigenen Vertrag nach Art. 28 DSGVO bereit, der die gesamte Kette der Subunternehmer abdeckt. Sprich es beim ersten Call an, und er steht, bevor irgendwelche personenbezogenen Daten verarbeitet werden. Bei Kundenprojekten ist der AVV Teil der Vertragsunterlagen, kein nachträglicher Zusatz.

Zugriffskontroll-Praktiken

Wir arbeiten innerhalb der Repositories und Infrastruktur, die du uns freigibst, mit Zugriff, den du jederzeit widerrufen kannst. Least Privilege standardmäßig, projektspezifische Zugangsdaten, Multi-Faktor-Authentifizierung auf unseren Konten und keine geteilten Logins. Bei der Übergabe werden alle Zugangsdaten erneuert und gehen an dich über, sodass nichts, was wir hatten, noch eine Tür öffnet.

Backup & Wiederherstellung

Bei Kundenprojekten sind Backup und Disaster Recovery von Anfang an eingeplant: getestete Restores und dokumentierte Runbooks, nach der Übergabe in deinem Besitz, sodass die Wiederherstellung nie davon abhängt, dass wir erreichbar sind. Für unsere eigenen Systeme liegt der Quellcode in der Versionskontrolle und die Infrastruktur ist aus Code reproduzierbar.

Incident-Handling

Du bekommst einen namentlichen Ansprechpartner, der erreichbar bleibt, keine Ticket-Warteschlange. Unsere Aufgabe während eines Vorfalls ist Triage, klare Kommunikation und Behebung. Wir sind ehrlich, wo die Grenze liegt: Wir betreiben kein 24/7-Network-Operations-Center, und laufende On-Call-Bereitschaft bekommst du über ein Retainer.

Dokumentationsstandards

Jedes Projekt übergibt eine Architekturübersicht, Setup-Anleitungen, Deploy- und Rollback-Schritte sowie Runbooks. Die Dokumentation liegt in deinem Repository direkt neben dem Code, sodass sie bei der Software bleibt und nicht in einem Tool, zu dem du den Zugang verlierst. Die Übergabe-Checkliste ist der vollständige Standard.

Zertifizierungen

Wir sagen es geradeheraus: Wavect hält derzeit keine ISO 27001 und kein SOC 2 Zertifikat. Was an ihre Stelle tritt, ist strukturell, kein Siegel: ein kleines Senior-Team, dein Code ab Tag eins in deinem Repository, eine vollständige Übergabe, die Lock-in beseitigt, und ein Vertrag nach österreichischem Recht, der uns an das Vereinbarte bindet. Wenn eine bestimmte Zertifizierung ein hartes Beschaffungskriterium ist, sag es uns früh, und wir sagen dir klar, ob wir sie erfüllen können, statt zu behaupten, wir hätten sie schon.

Service-Level

Wir antworten innerhalb von vier Arbeitsstunden, meist innerhalb einer. Laufender Support läuft über ein Retainer mit definiertem wöchentlichem Commitment, das du ohne Frist kündigen kannst. Wir verkaufen kein Uptime-SLA: Verfügbarkeit und Zuverlässigkeit für gelieferte Software werden pro Auftrag festgelegt, im Einklang mit unserem Leistungsvertrag , sodass wir nie eine Zahl versprechen, hinter der wir nicht stehen würden.

Beschaffungsfragen, klar beantwortet

Wavect GmbH, ein österreichisches Unternehmen, registriert als FN 575337 i beim Landesgericht Innsbruck, UID ATU77948526, mit Sitz in Ampass, Tirol. Österreichisches Recht ist der Standard, und wir können unter deinem Standard-Rahmenvertrag unterschreiben. Wir haben auch nach deutschem, Schweizer, US- und Singapurer Recht Verträge geschlossen.
Ja, vollständig. Alle IP-Rechte an dem, was wir bauen, gehen auf dich über, wir behalten keine Rechte, und der Code liegt ab dem ersten Commit in deinem Repository. Das steht im Leistungsvertrag, ist nicht bloß versprochen.
Ja. Wir unterschreiben deinen AVV oder stellen einen Vertrag nach Art. 28 DSGVO bereit, der die gesamte Subunternehmer-Kette abdeckt. Er steht, bevor irgendwelche personenbezogenen Daten verarbeitet werden.
Für wavect.io selbst: Cloudflare für Hosting, Umami und PostHog EU für Analytics, und Zeeg für Terminplanung, alle in der EU ansässig. Für Kundenprojekte werden Subunternehmer pro Auftrag gewählt, standardmäßig in der EU ansässig, und im AVV des jeweiligen Projekts gelistet.
Die Arbeit stoppt nicht. Zwei Gründer sitzen bei jedem Projekt und eine geprüfte Bench stützt sie ab, sodass Wissen nie bei einer Person liegt. Wir haben Projekte schon Dutzende Male sauber übergeben, und die Übergabe-Disziplin, die das möglich macht, ist dieselbe, die wir am Ende jedes Projekts nutzen.
Nein, heute nicht, und wir behaupten nichts anderes. Was dich stattdessen schützt, ist strukturell: ein kleines Senior-Team, dein Code ab Tag eins in deinem Repository, eine vollständige Übergabe, die Lock-in beseitigt, und ein Vertrag nach österreichischem Recht, der uns an die Lieferung bindet. Wenn eine Zertifizierung eine harte Anforderung für deinen Beschaffungsprozess ist, sag es uns früh, und wir sind ehrlich, ob wir sie erfüllen können.
Wir antworten innerhalb von vier Arbeitsstunden, meist innerhalb einer. Laufender Support ist ein monatliches Retainer mit definiertem wöchentlichem Commitment, ohne Frist kündbar. Wir bieten kein Uptime-SLA; die Verfügbarkeit für gelieferte Software wird pro Auftrag festgelegt, sodass wir nie eine Zahl versprechen, hinter der wir nicht stehen können.
Zuletzt geprüft: vonChristof Jori wiki ↗

Noch eine Frage auf der Checkliste?

Schick uns die Klausel, die das Review aufhält. Du bekommst eine klare Antwort von einem Gründer, kein Formschreiben.