SMS Gateway Berlin • DSGVO-konform

Zwei-Faktor-Authentifizierung
per SMS-OTP in
unter 2 Sekunden

Sichern Sie Logins, Transaktionen und Zugänge mit SMS-OTP konform zur DSGVO: mit Serverstandorten in Deutschland, vollständigem AVV und einer Zustellzeit von weniger als 2 Sekunden. Wahlweise mit Modulen oder direkt per REST API.

Kostenlos testen
API Referenz

< 2 s

Zustellzeit DE-Netze

600 +

Mobilfunknetze weltweit

200

Länder erreichbar

99,9 %

API-Verfügbarkeit

  • Server in Deutschland
  • AVV nach Art. 28 DSGVO
  • § 203 StGB konform
  • Opt-in-Flow inklusive
  • Kein US-Datentransfer

Technische Integration

2FA in 3 API-Calls

Der gesamte Ablauf der Zwei-Faktor-Authentifizierung besteht aus zwei Endpoints und drei Schritten, unabhängig von einem Framework oder einer bestimmten Programmiersprache.

1

OTP senden — GET /tfa/send

Ihr Backend übergibt den Sitekey, den Secretkey und die Mobilfunknummer des Nutzers. Anschließend generiert BerlinSMS einen zeitlich begrenzten Einmalcode, versendet diesen per SMS und gibt eine sessionId zurück. Diese sessionId verbindet den Code mit der laufenden Session.

# Schritt 1 – OTP versenden und sessionId erhalten 
curl -X 'GET' \ 'https://api.berlinsms.de/tfa/send' \ -G \ 
--data-urlencode 'sitekey=[IhrSitekey]' \ 
--data-urlencode 'secretkey=[IhrSecretkey]' \ --data-urlencode 'phonenumber=+4917612345678' 

# Antwort: sessionId für die Verifikation 
{ "sessionId": "a1b2c3d4-e5f6-7890-abcd-ef1234567890" }

2

Nutzereingabe

Der Nutzer empfängt den Code per SMS und gibt ihn in Ihrer Anwendung ein. Dabei können Sie das Eingabefeld aus dem vorgefertigten Widget von BerlinSMS verwenden (Modul-Integration, ein <script>-Tag). Alternativ können Sie es auch vollständig selbst gestalten (direkte REST API Integration).

3

OTP verifizieren — GET /tfa/verify

Ihr Backend übergibt die sessionId und den eingegebenen Code. Die Antwort kann entweder {"success": true} oder {"success": false} sein und sich direkt in jede bestehende Login-Logik integrieren lassen.

# Schritt 3 – Nutzercode gegen sessionId prüfen 
curl -X 'GET' \ 'https://api.berlinsms.de/tfa/verify' \ -G \ 
--data-urlencode 'sessionId=a1b2c3d4-e5f6-7890-abcd-ef1234567890' \ 
--data-urlencode 'otp=847291' # Antwort bei korrektem Code: { "success": true } 

# Antwort bei falschem oder abgelaufenem Code: 
{ "success": false, "error": "invalid-otp" }

DSGVO-Vergleich

BerlinSMS vs. Twilio vs. Authy

Technisch vergleichbar. Datenschutzrechtlich entscheidend unterschiedlich.

🇺🇸 Twilio Verify

  • Serverstandort primär in den USA, EU-Daten können transferiert werden
  • Unterliegt dem US CLOUD Act: US-Behörden können Datenzugriff fordern
  • AVV verfügbar, aber US-Recht anwendbar
  • Kein Opt-in-Flow inklusive. Eigene Implementierung erforderlich
  • Kein deutsches Telekommunikationsgesetz anwendbar

🇺🇸 Authy (Twilio)

  • US-Unternehmen mit Serverinfrastruktur in den USA
  • CLOUD Act Risiko: US-Behördenzugriff möglich
  • Basiert primär auf App. SMS-Fallback vorhanden
  • Kein AVV nach deutschem Recht
  • Keine Dokumentation der Konformität zu § 203 StGB

🇩🇪BerlinSMS 2FA

  • Serverstandort ausschließlich in Deutschland und EU
  • Kein CLOUD Act, kein US-Behördenzugriff möglich
  • Vollständiger AVV nach Art. 28 DSGVO, auf Anfrage
  • Opt-in-Flow nach Art. 7 DSGVO inklusive und dokumentiert
  • Deutsches Telekommunikationsgesetz, § 203 StGB konform

Empfohlen für DE/EU

CLOUD Act und medizinische Daten: Der US CLOUD Act verpflichtet US-Unternehmen wie Twilio auf behördliche Anforderung Daten herauszugeben – unabhängig davon, wo die Server stehen. Für Arztpraxen und Gesundheitseinrichtungen, die Mobilfunknummern und 2FA-Sessions verarbeiten, besteht damit ein reales Risiko für einen Missbrauch der Daten. BerlinSMS ist ein deutsches Unternehmen und unterliegt ausschließlich deutschem und europäischem Recht.

Integrationswege

Mit Modulen oder direkt per API

Zwei Wege, ein Ziel — je nach Entwicklungsaufwand und Gestaltungsfreiheit.

Mit Modulen — schnell

  • Ein<script>-Tag bindet das vollständige Widget ein
  • Eingabefeld, Resend-Button und Fehlerbehandlung inklusive
  • Kein eigenes Frontend-Development erforderlich
Zum Tutorial

Ohne Module — flexibel

  • Vollständige Kontrolle über UI und Ablauf
  • REST API direkt aufrufen: in jeder Sprache und mit jedem Framework
  • Einfache Migration von Twilio oder anderen Anbietern
  • Identische Endpoint-Struktur mit Branchenstandard
Zum Tutorial

Opt-in-Flow — DSGVO

  • Ein<script>-Tag bindet das vollständige Widget ein
  • Eingabefeld, Resend-Button und Fehlerbehandlung inklusive
  • Kein eigenes Frontend-Development erforderlich
Zum Tutorial

Anwendungsbereiche

Wo die BerlinSMS 2FA zum Einsatz kommt

Überall dort, wo ein zweiter Faktor über den SMS-Kanal erforderlich wird.

Arztpraxen & Kliniken

Login-Absicherung für Praxissoftware und Mitarbeiterportale ohne US-Cloud.

§ 203 StGB konform

Login-Absicherung

Zweiter Faktor für Passwort-Logins in Web- und Mobile-Anwendungen.

Credential Stuffing

Banking & PSD2

mTAN und OTP-Bestätigung nach PSD2 – DSGVO-konform, Server DE.

§ 203 StGB konform

E-Commerce

Absicherung von Checkout und Kontoänderungen gegen Kontoübernahmen.

Account Takeover

Behörden & eGov

2FA für Bürgerportale ohne US-Cloud-Abhängigkeit.

Souverän

VPN & Remote Access

Zweiter Faktor für den sicheren Unternehmenszugang aus dem Homeoffice.

Zero Trust

Einsatzbereiche

Häufige Fragen

Alles Wichtige zur BerlinSMS 2FA.

Warum ist die BerlinSMS 2FA DSGVO-konform im Verleich zu Twilio?

Twilio verarbeitet Informationen auf Servern in den USA und unterliegt damit dem CLOUD Act. Dieses Gesetz erlaubt den US-Behörden den Zugriff auf die Daten, unabhängig vom Serverstandort. BerlinSMS ist ein deutsches Unternehmen und verarbeitet alle Daten auf Servern in Deutschland. Wir unterliegen ausschließlich deutschem und europäischem Recht und stellen einen vollständigen AVV nach Art. 28 DSGVO zur Verfügung.

Wie lange ist ein OTP-Code gültig?

OTP-Codes lassen sich zeitlich begrenzt und auch nur einmalig verwenden. Bei einem abgelaufenen oder bereits verwendeten Code erfolgt eine Zurückweisung mit success: false und error: invalid-otp. Die genaue Dokumentation der Gültigkeitsdauer finden Sie in der 2FA REST API Referenz.

Was passiert, wenn der Nutzer den Code nicht erhalten hat?

Das BerlinSMS Widget (Modul-Integration) enthält einen vorgefertigten Resend-Button, der einen neuen OTP-Request auslöst. Bei direkter REST-API-Integration rufen Sie denselben /tfa/send-Endpoint erneut auf. Die vorherige Session verliert dabei ihre Gültigkeit.

Eignet sich die 2FA von BerlinSMS für Arztpraxen und Patientenportale?

Ja. BerlinSMS verarbeitet alle Daten auf Servern in Deutschland und stellt einen vollständigen AVV nach Art. 28 DSGVO zur Verfügung. Außerdem verpflichten wir alle Mitarbeiter auf das Datengeheimnis und die Schweigepflicht nach § 203 StGB. Zusätzlich ermöglicht der Opt-in-Flow die DSGVO-konforme Einwilligungsdokumentation für die Nutzung der Mobilfunknummer. Damit können Sie die 2FA ohne Einschränkungen für den Gesundheitsbereich verwenden.

Kann ich von Twilio Verify zu BerlinSMS migrieren?

Ja. Wir haben die Endpoint-Struktur bewusst analog zu Twilio Verify gestaltet. Sie tauschen den API-Host (api.twilio.com → api.berlinsms.de), die Authentifizierung (Basic Auth → Header-basierter Sitekey/Secretkey) und die Endpoint-Pfade aus. Für ein konkretes Migrations-Beispiel kontaktieren Sie uns. Wir unterstützen Sie bei der Migration gerne persönlich.

Wann brauche ich den Opt-in-Flow?

Wir empfehlen den Opt-in-Flow, wenn keine andere klare Rechtsgrundlage (z. B. Vertragserfüllung) für die Verarbeitung der Mobilfunknummer besteht. Zum Beispiel bei optionaler 2FA, bei Diensten ohne vorherige Vertragsbeziehung oder wenn Sie nachweisbar dokumentieren wollen, dass der User der Nutzung seiner Nummer für 2FA zugestimmt hat. BerlinSMS speichert die Einwilligung serverseitig mit Zeitstempel nach Art. 7 DSGVO.