Case · B2C · Mental-Tech / Coaching
Zalana MentalTech — vom Whiteboard zur App in 17 Tagen.
Eine privacy-first B2C-Coaching-App, gebaut in 17 Tagen. Ohne US-Cloud, ohne Tracking-SDKs, mit Art. 9 DSGVO-Consent via Touch-Signatur. Web und iOS in einem Codebase.
17
Tage vom Whiteboard zur Production
80
Commits, 12.750 Codezeilen
26
Security-Findings — alle in 2 Sessions geschlossen
0
US-SDKs im Stack — kein Google, kein Meta, kein Tracking
Ausgangslage
Eine Methode, die digitalisiert werden muss — ohne dass Klient:innen-Daten in die US-Cloud wandern.
Der Co-Founder ist Domänenexperte mit einer proprietären Coaching-Methodik (intellektuelles Eigentum). Die Aufgabe: ein digitales Produkt bauen, das die Methode skaliert — auf Web und iOS — bei vollständiger Datensouveränität nach Art. 9 DSGVO (besondere Kategorien personenbezogener Daten).
Standard-Stacks waren keine Option: Firebase, Auth0, Mixpanel, Google Analytics — jedes davon ein US-Cloud-Risiko. Wir mussten den Stack von Grund auf neu zusammenstellen, EU-souverän, ohne Komfort-Abkürzungen.
Was wir gebaut haben
Ein voll funktionsfähiges Produkt — Web + App, mit Compliance, die in den Code eingebaut ist.
- Web-App + iOS-App über Capacitor in einem Codebase — ein Team, ein Deployment.
- Chat-Konversationen AES-256 verschlüsselt at-rest — selbst bei einem hypothetischen DB-Leak kein Klartext.
- Multi-Tenant-RAG mit Datenbank-Level-Isolation für B2B- und B2C-Kontexte.
- Eigenes Privacy-First-Analytics — kein Google, kein Meta, kein Tracking-Cookie. Daher kein DSGVO-Banner-Pflicht.
- Reader-App-Pricing-Modell — Subscriptions laufen über die Website, nicht über Apple IAP. Kein 30%-Apple-Cut, voller Margin-Schutz.
- Art. 9 DSGVO Consent mit digitaler Signatur via Touchscreen — auditierbar, juristisch belastbar.
Wie wir es gebaut haben
Iterativer Domänenexperten-Workflow. Kein „wir hoffen es funktioniert".
Über zehn Tage liefen drei eng getaktete Feedback-Schleifen mit dem Domänenexperten: jeder vom System produzierte Output wurde geprüft, kalibriert, geschärft. Wo das Modell unsauber war, wurde es ausgetauscht (LLM-Wechsel auf ein größeres Open-Weight-Modell, Tag 6) — nicht kosmetisch nachgebessert.
Phase 1 (Tag 1–3): Architektur-Entscheidungen, MVP-Kern, Auth, Verschlüsselung.
Phase 2 (Tag 4–6): Production Deployment, CAB-Security-Audit, Multi-Tenant-RAG.
Phase 3 (Tag 7–10): Coaching-State-Machine, Voice/TTS, Prompt-Engineering.
Phase 4 (Tag 11–17): Mobile, iOS-Shell, Red-Team-Audit, App Store Submission.
Tieferer Blick in die Methodik: Wie wir bauen.
Validierung & Belege
Zwei unabhängige Security-Audits. Apple-Review bestanden. Live im App Store.
- CAB-Audit bestanden — 10 Findings (Critical/High/Medium), alle in einer Session geschlossen.
- Red-Team-Audit bestanden — 16 weitere Findings, alle gefixt: Rate-Limiting, Prompt-Injection-Schutz, RAG-Sanitization, SameSite-Strict, Account-Enumeration-Fix, Timing-Attack-Fix, 2FA-Rate-Limiting.
- Apple App Store Review bestanden (5.1.1i / 5.1.2i) — Reader-App-Modell vom Reviewer akzeptiert.
- Privacy-First-Architektur: keine Tracking-Cookies, keine US-SDKs, kein DSGVO-Banner nötig.
„Privacy-First ist keine Marketing-Behauptung. Privacy-First heißt: wir haben den Stack so gewählt, dass es technisch nicht möglich ist, Klient:innen-Daten in die US-Cloud zu schicken. Auch nicht aus Versehen."
— Architektur-Prinzip, Zalana-Build
Was dieser Case beweist
Tempo und Compliance schließen sich nicht aus — wenn die Architektur steht.
Die übliche Erzählung: „Wenn ihr es schnell wollt, müsst ihr Compliance opfern." Wir haben das Gegenteil gezeigt. 17 Tage zur Production. 26 Security-Findings geschlossen. Art. 9 DSGVO sauber. App Store live. Ein Codebase.
Das Geheimnis ist nicht „mehr Stunden". Es ist: Architektur-Entscheidungen bevor Code entsteht, kompromisslose Security-Invarianten, ein Team das Compliance-Sprache spricht. Wenn Sie eine ähnliche Aufgabe haben — gerne im Erstgespräch.