We use cookies

We use strictly necessary cookies to run Rush Studio, plus optional analytics cookies (Google Analytics) to understand how the product is used. You choose what we’re allowed to load. See our Privacy Policy.

Rush Studio
Überblick
Alle FunktionenDer komplette Werkzeugkasten auf einer Seite
Was uns auszeichnet
Sieben Dinge, die Sie bei keinem herkömmlichen TMS finden.
Alle Funktionen ansehen →
Im Detail
Brand VoiceTon und Terminologie, denen die KI folgt
AutomationsBei jedem PR lokalisieren
KI-QualitätBewertet und markiert vor der Prüfung
Fehlerhafte Layouts erkennenVorschau in der echten Benutzeroberfläche
Layout-Risiko vorab prüfenÜberläufe erkennen, bevor Sie übersetzen
ResonanceVorhersagen, wie jeder Markt reagiert
Quality AutopilotKI-Qualität, die sich selbst steuert
SprachenIntegrationenPreise
Überblick
Early AccessGehören Sie zu unseren ersten Teams
Start im Jahr 2027
Sichern Sie sich Early Access und gestalten Sie Rush Studio mit.
Early Access sichern →
Nach Rolle
Technische RedakteureDokumentation, die bei jedem PR übersetzt wird
Marketing-TeamsKampagnen, die in jedem Markt ausgeliefert werden
Localization ManagerDie gesamte Pipeline über einen einzigen Bildschirm steuern
ProduktmanagerUI-Texte, In-App-Texte, Release Notes
Design OpsFigma-Frames in 22 Sprachen
BlogKontakt
  • English
  • Español
  • Français
  • Deutsch
AnmeldenRegistrieren
Vertrauen · Sicherheit

So schützen wir Ihre Daten

Zuletzt aktualisiert20. Mai 2026·Fragen?

Rush Studio ist für die Übersetzungsarbeit gebaut – das heißt, Dateien verlassen Ihre Systeme und liegen kurzzeitig in unseren. Diese Seite ist die technische Ergänzung zu unserer Datenschutzerklärung und unserem AVV – was wir auf der Ebene von Bytes und Gebäuden tatsächlich tun.

SOC 2Type II
ISO 27001In Arbeit
DSGVOKonform
HIPAABAA verfügbar
Pen-getestetJährlich
In der EU gehostetFrankfurt · Dublin
01

Durchgängig verschlüsselt

TLS 1.3 bei der Übertragung auf jeder Anfrage. AES-256-GCM im Ruhezustand für jedes Byte, das wir speichern – einschließlich Backups, Snapshots und Translation Memory.

02

Gehostet auf AWS in der EU

Primär in Frankfurt (eu-central-1), repliziert nach Dublin (eu-west-1). Ihre Daten überqueren für die Speicherung nicht den Atlantik.

03

Verpflichtende 2FA

TOTP, WebAuthn und Passkeys für jedes Konto. SSO mit SAML / OIDC und SCIM-Provisionierung in den Scale-Tarifen.

04

Auditiert und geprüft

SOC 2 Type II in gutem Stand, jährliche Penetrationstests durch Dritte, vierteljährliche interne Red-Team-Übungen.

Auf dieser Seite
01Überblick02Infrastruktur & Hosting03Verschlüsselung04Authentifizierung & 2FA05Zugriffskontrollen06Schwachstellenmanagement07Incident Response08Backups & Notfallwiederherstellung09Mitarbeitende & Betrieb10Umgang mit Daten11Compliance & Zertifizierungen12Responsible Disclosure13Kontakt
Verwandte Themen
→ Datenschutzerklärung→ DSGVO & AVV→ Nutzungsbedingungen→ Kontakt aufnehmen
01

Überblick

Übersetzungsarbeit bedeutet, dass Dateien Ihre Systeme verlassen und kurzzeitig in unseren liegen. Das nehmen wir ernst. Diese Seite ist die technische Ergänzung zu unserer Datenschutzerklärung und unserem AVV – was wir auf der Ebene von Bytes und Gebäuden tatsächlich tun, um Ihre Inhalte zu schützen.

Falls hier etwas fehlt oder Sie es unter NDA benötigen (Pen-Test-Berichte, SOC-2-Attestierungsschreiben, Netzwerkdiagramme), schreiben Sie an legal@rush-studio.com.

Zusammenfassung in zwei Zeilen: Rush Studio läuft auf AWS in EU-Regionen, verschlüsselt alles bei der Übertragung und im Ruhezustand, erfordert Multi-Faktor-Authentifizierung für jedes Konto und ist SOC 2 Type II zertifiziert mit jährlichen Penetrationstests durch Dritte.
02

Infrastruktur & Hosting

Rush Studio wird ausschließlich auf Amazon Web Services (AWS) gehostet. Die Produktion läuft in Frankfurt (eu-central-1) mit Replikation und warmem Standby in Dublin (eu-west-1). Wir betreiben keine Produktionsinfrastruktur in den Vereinigten Staaten.

Die Anwendung läuft auf Container-Workloads hinter einer VPC mit privaten Subnetzen für alle zustandsbehafteten Dienste. Der öffentliche Zugang ist auf unser Edge (Cloudflare) und den AWS ALB beschränkt, beide mit WAF-Regeln und Rate-Limiting.

EbeneUmsetzungRegion
ComputeAWS ECS Fargate, isolierte Task-Definitionen pro Mandanteu-central-1
Anwendungs-DBAurora PostgreSQL Serverless v2, verschlüsselt mit KMSeu-central-1 (Multi-AZ)
ObjektspeicherS3 mit SSE-KMS, Versionierung, Object Lock für Backupseu-central-1 + eu-west-1
SuchindexOpenSearch in privaten Subnetzen, kein öffentlicher Zugangeu-central-1
SecretsAWS Secrets Manager + KMS, vierteljährlich rotierteu-central-1
Edge / WAFCloudflare vor dem gesamten öffentlichen DatenverkehrGlobal
LoggingZentralisiert in CloudWatch + S3, 13 Monate aufbewahrteu-central-1

AWS ist vertraglich ein Unterauftragsverarbeiter und ist zertifiziert nach SOC 1/2/3, ISO 27001/27017/27018, PCI DSS und dem EU-US Data Privacy Framework. Siehe die vollständige Liste der Unterauftragsverarbeiter.

03

Verschlüsselung

Bei der Übertragung. Jede Verbindung zu Rush Studio – Web, API, Integrationen, interne Service-zu-Service-Kommunikation – nutzt TLS 1.3 mit modernen Cipher-Suites. TLS 1.0 / 1.1 sind am Edge deaktiviert. HSTS ist vorgeladen mit max-age=63072000; includeSubDomains; preload.

Im Ruhezustand. Jedes Byte, das wir dauerhaft speichern, wird mit AES-256-GCM über AWS KMS verschlüsselt. Dazu gehören die Anwendungsdatenbank, der S3-Objektspeicher, Suchindizes, Backups, Log-Archive und Translation-Memory-Exporte. Die Inhalte jedes Mandanten sind logisch getrennt und gegen einen umgebungsspezifischen Customer Master Key verschlüsselt.

Schlüsselverwaltung. Master Keys liegen in AWS KMS mit automatischer jährlicher Rotation. Anwendungsseitige Secrets (API-Tokens, OAuth-Client-Secrets, Integrations-Zugangsdaten) werden in AWS Secrets Manager gespeichert, vierteljährlich rotiert und niemals in Logs oder in die Versionsverwaltung geschrieben.

Passwörter. Werden niemals gespeichert. Wir hashen mit bcrypt bei Kostenfaktor 12; verglichen wird der Hash, der Klartext wird verworfen, sobald die Authentifizierung abgeschlossen ist.

04

Authentifizierung & 2FA

Wir verlangen Multi-Faktor-Authentifizierung. Für jedes Konto. Keine Ausnahmen für kostenlose, kostenpflichtige oder Testnutzer. Bei der ersten Anmeldung werden Sie durch die Einrichtung eines zweiten Faktors geführt, bevor Sie auf einen Workspace zugreifen können.

Passkeys

Empfohlen

WebAuthn-basierte Passkeys synchronisieren sich geräteübergreifend über iCloud Keychain, Google Password Manager oder 1Password. Phishing-resistent per Design.

Hardware-Schlüssel

FIDO2

YubiKey, Titan oder jeder FIDO2- / U2F-kompatible Authenticator. Für Admin-Konten im Scale-Tarif verpflichtend.

Authenticator-Apps

TOTP

30-Sekunden-TOTP-Codes über 1Password, Authy, Google Authenticator oder jeden RFC-6238-Client.

SMS

Nur als Fallback

Als Backup-Methode verfügbar. Als primäre Methode empfehlen wir sie nicht – SMS ist anfällig für SIM-Swap-Angriffe.

Wiederherstellung. Wenn Sie eine 2FA-Methode einrichten, stellen wir zehn einmalige Wiederherstellungscodes aus. Bewahren Sie diese sicher auf – sie sind der einzige Weg zurück in Ihr Konto, falls Sie Ihren Authenticator verlieren. Verwendete Codes werden sofort ungültig; der Vorrat kann jederzeit neu erzeugt werden, wodurch die vorherige Reihe ungültig wird.

Single Sign-on. Im Scale-Tarif sind SAML 2.0 und OIDC SSO gegen jeden Identity Provider verfügbar (Okta, Azure AD / Entra ID, Google Workspace, OneLogin, JumpCloud, Auth0). SCIM-2.0-Provisionierung und -Deprovisionierung von Nutzern sind inbegriffen.

Sitzungsrichtlinie. Sitzungen laufen nach 30 Tagen Inaktivität ab (im Scale-Tarif bis auf 8 Stunden konfigurierbar). Admins können jederzeit eine Abmeldung auf allen Geräten erzwingen.

05

Zugriffskontrollen

Im Produkt. Workspaces nutzen rollenbasierte Zugriffskontrolle mit fünf integrierten Rollen (Owner, Admin, Manager, Linguist, Reviewer) und granularen Overrides pro Projekt. Jede Aktion, die Kundeninhalte berührt, wird in ein Audit-Log geschrieben, exportierbar als JSON.

Innerhalb von Rush Studio. Der Produktionszugriff ist auf die Bereitschafts-Engineers beschränkt, die ihn benötigen (derzeit sechs Personen). Der Zugriff erfordert:

  • Eine aktive SSO-Sitzung mit MFA per Hardware-Schlüssel.
  • Eine Just-in-time-Freigabe durch einen zweiten Engineer für jeden Datenbankzugriff.
  • Eine Begründung, festgehalten in unserem Zugriffslog-Kanal, der für alle Mitarbeitenden einsehbar ist.

Wir haben kein generisches „Admin-Konto“, das Kundeninhalte lesen kann. Jeder Produktionszugriff ist identifizierbar, zeitlich begrenzt und wird vierteljährlich überprüft.

06

Schwachstellenmanagement

Wir verfolgen ein Programm mit vier Spuren:

  • Dependency-Scanning – Snyk und GitHub Dependabot laufen bei jedem Pull Request und nächtlich über alle Repositories. Kritische CVEs werden innerhalb von 24 Stunden gepatcht.
  • Statische Analyse – Auf unseren Stack abgestimmte Semgrep-Regeln laufen in der CI; hochkritische Funde blockieren den Merge.
  • Dynamisches Scanning – Authentifizierte DAST-Läufe erfolgen wöchentlich gegen ein Staging-Spiegelbild der Produktion.
  • Penetrationstest durch Dritte – Jährlich, durch eine externe CREST-akkreditierte Firma. Der aktuelle Bericht ist unter NDA verfügbar über legal@rush-studio.com.

Funde werden innerhalb eines Geschäftstags triagiert, nach CVSS-Schweregrad eingestuft und in einem für Mitarbeitende einsehbaren Backlog mit SLAs verfolgt (Kritisch: 24 Std., Hoch: 7 Tage, Mittel: 30 Tage, Niedrig: 90 Tage).

07

Incident Response

Eine Bereitschaftsrotation ist rund um die Uhr besetzt, mit einem Reaktions-SLA von 15 Minuten für Sicherheitswarnungen. Bei bestätigten Vorfällen mit Kundendaten benachrichtigen wir betroffene Kunden innerhalb von 72 Stunden nach Kenntnisnahme – in der Regel deutlich früher – gemäß den Zusagen in unserem AVV.

Die Benachrichtigung enthält die Art des Vorfalls, die betroffenen Datenkategorien, die wahrscheinlichen Folgen sowie die ergriffenen oder geplanten Gegenmaßnahmen. Ein Post-Incident-Review mit einer schriftlichen Chronologie und Korrekturmaßnahmen wird betroffenen Kunden innerhalb von 14 Tagen zur Verfügung gestellt.

Aktuelle Betriebsereignisse – Beeinträchtigungen, Ausfälle, vermutete Vorfälle – werden in Echtzeit veröffentlicht unter status.rush.studio.

08

Backups & Notfallwiederherstellung

Backups. Die Anwendungsdatenbank wird kontinuierlich per Point-in-Time-Recovery in S3 gesichert und 30 Tage aufbewahrt. Der Objektspeicher nutzt Versionierung plus wöchentliche Snapshots, die 90 Tage aufbewahrt werden. Alle Backups werden mit separaten KMS-Schlüsseln verschlüsselt und regionsübergreifend gespeichert.

Zielwerte. RPO (Recovery Point Objective): 5 Minuten. RTO (Recovery Time Objective): 4 Stunden. Wir testen dies vierteljährlich mit vollständigen Wiederherstellungsübungen in einer isolierten Umgebung.

Rhythmus der Notfallwiederherstellungsübungen. Vierteljährlich. Die letzte Übung (Q1 2026) stellte die vollständige Produktionsdatenbank in einem sauberen Konto in 1 Std. 47 Min. wieder her – deutlich innerhalb des RTO.

09

Mitarbeitende & Betrieb

Jede/r Mitarbeitende:

  • Durchläuft vor Arbeitsbeginn eine Hintergrundprüfung (soweit rechtlich zulässig).
  • Unterzeichnet am ersten Tag eine Vertraulichkeitsvereinbarung, die Kundendaten abdeckt.
  • Absolviert eine verpflichtende Sicherheitsschulung bei Einstellung und danach jährlich.
  • Nutzt einen von der Firma verwalteten Laptop mit Vollverschlüsselung, MDM und einem EDR-Agenten (CrowdStrike).
  • Wird vierteljährlich hinsichtlich der Zugriffsrechte überprüft. Der Zugriff wird innerhalb einer Stunde nach Beendigung des Arbeitsverhältnisses entzogen.
10

Umgang mit Daten

Datenminimierung. Wir erheben nur, was zur Erbringung des Dienstes nötig ist – siehe die Datenschutzerklärung für die Aufschlüsselung.

Routing der KI-Übersetzung. Wenn ein Segment an einen KI-Unterauftragsverarbeiter gesendet wird, übermitteln wir nur den Segmenttext sowie etwaige konfigurierte Glossarbegriffe. Kontometadaten, Dateinamen und Projektkontext verlassen niemals unsere Infrastruktur. Alle KI-Unterauftragsverarbeiter verpflichten sich vertraglich, nicht mit Ihren Daten zu trainieren und die Inhalte nach Rückgabe der Übersetzung zu löschen.

Mandantentrennung. Kundendaten werden logisch nach Mandanten-ID getrennt, die auf jeder Ebene durchgesetzt wird (Datenbank, Suche, Objektspeicher). Massenexport, Löschung und Zugriff auf das Audit-Log erfolgen alle innerhalb der Mandantengrenze.

Löschung. Wenn Sie ein Projekt löschen oder Ihr Konto schließen, werden die Inhalte innerhalb von 24 Stunden aus dem Primärspeicher und innerhalb von 30 Tagen aus allen Backups entfernt. Wir senden eine schriftliche Bestätigung, sobald die Löschung abgeschlossen ist.

11

Compliance & Zertifizierungen

Aktuell und in Arbeit:

  • SOC 2 Type II – in gutem Stand, jährlich durch eine Big-Four-Firma auditiert. Bericht unter NDA verfügbar.
  • ISO 27001 – Zertifizierung in Arbeit; erwartet für Q3 2026.
  • DSGVO & UK GDPR – vollständige Konformität; siehe DSGVO- & AVV-Seite.
  • CCPA / CPRA – abgedeckt durch denselben Prozess für Betroffenenrechte wie die DSGVO.
  • HIPAA – ein Business Associate Agreement (BAA) ist für Kunden aus dem Gesundheitswesen im Scale-Tarif verfügbar. Schreiben Sie an legal@rush-studio.com.
  • PCI DSS – wir sehen niemals Kartennummern; Zahlungen werden über Stripe tokenisiert. PCI ist per Design außerhalb des Geltungsbereichs.

Für Beschaffungsteams, die eine Lieferanten-Sicherheitsbewertung durchführen: Wir pflegen vorausgefüllte Antworten für SIG Lite, CAIQ v4 und den EU Cloud CoC. Fordern Sie die aktuelle Fassung an.

12

Responsible Disclosure

Wir betreiben (noch) kein öffentliches Bug-Bounty-Programm, begrüßen aber Meldungen von Sicherheitsforschenden und belohnen bedeutsame Funde.

Senden Sie Meldungen an: legal@rush-studio.com, optional PGP-verschlüsselt an 0x4F7C 2A8B 3D1E 9F00.

Unser Versprechen. Wenn Sie in gutem Glauben melden und nicht versuchen, auf die Daten anderer Kunden zuzugreifen, Daten zu exfiltrieren, DoS-Angriffe durchzuführen oder Social Engineering einzusetzen: Wir leiten keine rechtlichen Schritte ein, bestätigen den Eingang innerhalb eines Geschäftstags und halten Sie auf dem Laufenden, bis das Problem geschlossen ist. Bestätigte neuartige Funde erhalten je nach Schweregrad und Auswirkung eine Belohnung von 250 $ bis 10.000 $.

13

Kontakt

Sicherheitsprobleme: legal@rush-studio.com – rund um die Uhr überwacht, Ziel-Bestätigung innerhalb von 4 Geschäftsstunden, maximal ein Geschäftstag.

Datenschutz / DSB: Pedro Almeida, privacy@rush-studio.com.

Beschaffung & Lieferantenbewertungen: legal@rush-studio.com.

Post: Rush Studio Ltd., 12 Hatton Garden, London EC1N 8AT, Vereinigtes Königreich.

●
Ende des Dokuments.

Sollte hier etwas unklar sein, sagen Sie es uns – wir formulieren es in der nächsten Fassung neu.

Rush Studio

Ein Übersetzungs-Dashboard für die gesamte Lokalisierungs-Pipeline. Vom Upload bis zur Auslieferung, in über 100 Sprachen.

Produkt
  • Dashboard
  • Funktionen
  • Sprachen
  • Integrationen
  • Preise
Unternehmen
  • Über uns
  • Kunden
  • Karriere
  • Kontakt
Ressourcen
  • Blog
  • Dokumentation
  • Changelog
  • Sicherheit
  • KI & Daten
  • Status
© 2026 Rush Studio Ltd.Datenschutz · AGB · AVV · KI & Daten