Kitun
EN
Zurück zur Startseite

Case Study · 2025–2026

heysuma — Studiomanagement in einer Plattform.

Eine vollständig selbst entwickelte All-in-One-Business-Software für EMS-Studios — von der Datenbank­architektur bis zur CI/CD-Pipeline. Kein Framework-Wrapper, kein White-Label-Produkt. Unser Beleg dafür, was Kitun für den Mittelstand bauen kann.

Domänen
36 fachliche Domänen
Frontends
Studio-Admin + Kunden-PWA + Website
Backend
Python 3.13 · FastAPI async · SQLAlchemy 2.0
Daten
PostgreSQL 16 · 62 Migrationen
KI
5 Agenten · Strands Agents SDK
Security
Dokumentiertes Audit · Severity-Scoring
Hosting
Hetzner DE · DSGVO
Launch
v1.0 · Mai 2026
3 Monate
Greenfield bis v1.0
4 Apps
API · Admin · Kunden · Website
~140k LOC
Python + TS/Vue
368 Commits
3 Monate, ein Entwickler

01 · Ausgangslage

Ein Unternehmen, dessen Prozesse in keine Standard­lösung passen.

Studio­betrieb ist Service-Business auf Steroiden: Mitglieder, Verträge, Termine mit begrenzten Ressourcen, SEPA-Einzug, Kampagnen, Franchise-Strukturen — und alles gleichzeitig. Keine existierende SaaS-Lösung deckte das Spektrum sauber ab. Die Alternative wären drei, vier zusammen­geklebte Tools gewesen. Mit der dazugehörigen Reibung, doppelten Daten­pflege und manuellen Übertragungen.

02 · Ansatz

Erst das Geschäftsmodell. Dann die Architektur. Dann der Code.

Wir haben das gesamte Geschäftsmodell eines EMS-Studios modelliert — 36 fachliche Domänen mit sauberen Grenzen, asynchrone REST-API, strikt verifizierte Multi-Tenancy, rollen­basierte Rechte. Erst danach begann die Implementierung. Coding-Agents übernahmen Boilerplate, Tests und Integrationen entlang dieser Architektur. Jede Zeile reviewt, jede Änderung als kontrollierte DB-Migration versioniert — heute 62 Stück.

03 · Ergebnis

Vier Apps. Eine Plattform. v1.0 produktiv seit Mai 2026.

heysuma läuft auf Hetzner-Infrastruktur in Deutschland: Studio-Admin (Vue 3), Kunden-PWA (Vue 3), Marketing-Website (Astro 6) und FastAPI-Backend — durchgereicht von einem Caddy-Edge mit Auto-TLS. Studios verwalten Mitglieder, planen Termine, ziehen SEPA-Lastschriften ein, analysieren Umsatz, führen Sales-Pipelines. Endkunden buchen per PWA und chatten mit einem Buchungs­assistenten, der direkten Tool-Zugriff auf das System hat. Das Security-Audit ist dokumentiert mit Severity-Bewertung pro Befund.

Domänen

Auszug aus 36 fachlichen Domänen.

Jede dieser Domänen ist in Produktion, als eigenständiges Modul aufgebaut mit Models, Schemas, Service-Layer und Routern. Jede ist so modelliert, dass sie sich mit überschaubarem Aufwand auf andere Branchen übertragen lässt.

01

CRM & Kundenlebenszyklus

Kontakt- und Kundenprofile mit Status-Lifecycle, Gruppen, Multi-Standort-Sicht, DSGVO-konforme Verwaltung sensibler Gesundheitsdaten mit Fernet-Verschlüsselung at-rest und separatem Audit-Log.

02

Kalender & Terminplanung

Drei Ansichts­modi (Liste, Kalender, Check-in), Drag-and-Drop-Buchung, vollständiges Status­modell, Ressourcen­verwaltung mit automatischer Kapazitäts­freigabe, konfigurierbare Buchungs- und Stornierungs­fenster.

03

Vertragsmanagement

Digitale Vertrags­anlage, Laufzeiten, Abrechnungs­zyklen, Pausierung, Kündigungs­management mit automatischer Enddatum-Berechnung, Auto-Verlängerung mit optionaler Preis­anpassung. PDF und Signatur-Upload.

04

Rechnungslegung

Vollständiger Rechnungs­lebens­zyklus mit Status­modell, automatischer PDF-Generierung (WeasyPrint), direktem E-Mail-Versand, konfigurierbarem Nummern­kreis, MwSt.-Konfiguration, Bulk-Finalisierung.

05

SEPA ISO 20022

Normkonforme SEPA-XML-Datei-Generierung, Preview vor Ausführung, Sammeleinzug, vollständige Protokollierung, digitale SEPA-Mandate, Gläubiger-ID pro Standort konfigurierbar.

06

Finanzreporting

Umsatz­berichte mit flexiblem Datums­filter, aufgeschlüsselt nach Zahlungsart und Rechnungstyp. Excel-Export via openpyxl mit Formatierungen für Steuer­berater-Kompatibilität.

07

Sales-Pipeline

Konfigurier­bares Kanban-Board mit beliebig vielen Spalten und parallelen Pipelines, Lead- und Opportunity-Tracking, Aufgaben-Vorlagen pro Phase, Kampagnen-Templates.

08

Lead-Capture-Widgets

Formular-Builder, einbettbarer HTML-Widget-Code für externe Websites, öffentliche Verfügbarkeits­anzeige in Echtzeit, automatische Lead-Anlage, Rate-Limiting und FriendlyCaptcha-Integration.

09

Self-Service-Portal (PWA)

Separate Progressive Web App für Endkunden: Terminbuchung, Übersicht, Stornierung mit Fristprüfung, Studio-Branding, passwortlose Auth via Hanko.

10

E-Mail-Automatisierung

Jinja2-Template-Engine, automatisierte Terminbestätigungen, Erinnerungen mit konfigurierbaren Vorlaufzeiten, Celery-gesteuerte Queue mit 30-Sekunden-Dispatch-Zyklus.

11

Multi-Tenancy

Organisations- und Studio-Ebene, header-basierte Tenant-Isolation mit DB-Verifikation, rollen­basiertes Zugriffs­konzept (Owner, Admin, Manager, Trainer, Staff, Member, Guest).

12

KI-Agenten

Drei produktive Agenten (Support, Buchung, Assistenz) mit Tool-Use, SSE-Streaming, Session-Persistenz in PostgreSQL, Usage-Logging pro Session.

13

Engagement-Scoring

Nächtlich berechneter Score auf Basis von Terminnutzung vs. Kontingent (8-Wochen-Rollfenster). Lifecycle-Stages aktiv / gefährdet / inaktiv als Basis für Churn-Prognose.

14

Daten-Import

CSV-Import mit Parse-Preview-Confirm-Workflow für Kunden, Verträge, Tarife, Check-ins. Content-Type-Validierung, Größenlimits, Async-Task für große Datensätze.

15

Produkte & Leistungen

Tarife, Zusatztarife, Produkte, Dienstleistungen, Pakete mit separaten Preismodellen, Auto-Verlängerung, Rabatten und rechtlichen Texten.

16

Notifications (SSE)

Server-Sent Events für Echtzeit-Benachrichtigungen im Frontend, Ungelesene-Badge, Mark-as-read, Revision-basiertes Polling-Konzept.

KI-Integration

Fünf produktive KI-Agenten. Tool-Use. Nicht ChatGPT-Wrapper.

Gebaut mit dem Strands Agents SDK. Jeder Agent hat Session-Persistenz in PostgreSQL, Streaming-Responses über Server-Sent Events, Usage-Logging von Input- und Output-Tokens pro Session, und echten Tool-Zugriff auf die Business-Logik.

Assistant

Onboarding- und Allzweck-Assistent für das Studio-Team mit Zugriff auf System­struktur und Workflows. Kennt die Daten, kennt die Wege.

Booking

Natürlichsprachliche Terminvereinbarung in der Kunden-App. Direkter Tool-Zugriff auf Verfügbarkeit und Buchungs­erstellung.

Retention

Signal-Pipeline für Engagement-Erosion. Erkennt nachlassende Termin-Nutzung, schlägt proaktive Bindung vor — bevor klassische Reports den Trend zeigen.

Support

Kontext­sensitiver Chat für operative Fragen im Studio-Alltag. Antworten direkt aus dem System, ohne externe Suche, ohne Doku-Bouncing.

Journey-Ingestor

Schreibt heterogene Customer-Journey-Events (Web, E-Mail, Buchungen) in ein einheitliches Lifecycle-Modell. Grundlage für Engagement-Scoring und Vorhersagen.

Sicherheit

Sicherheit ist Design, nicht Checkbox.

Im März 2026 haben wir ein vollständig dokumentiertes Security-Audit durchlaufen. Kein einziges kritisches Finding blieb offen. Die Grundlage dafür ist eine Architektur, die Sicherheits­anforderungen nicht nachträglich anflanscht, sondern strukturell garantiert.

Passwortlose Auth

Hanko-Cloud via Magic-Link und Passkeys. Kein Passwort-Handling, kein Reset-Flow, keine Passwort-Datenbank.

CSRF-Schutz

HMAC-SHA256-Tokens mit Origin-Validation und Sec-Fetch-Site-Prüfung auf allen datenmutierenden Routen.

Multi-Tenancy-Isolation

Jede DB-Abfrage durchläuft einen TenantScope mit verifizierten IDs. Header-Manipulation trifft DB-Verifizierung, nicht Datenzugriff.

Datenverschlüsselung

Gesundheitsdaten mit Fernet at-rest verschlüsselt. Schlüssel-Validierung beim Server-Start. Zugriffe im Audit-Log mit IP und User-ID.

SQL-Injection-immun

Ausschließlich SQLAlchemy ORM, keine Raw-SQL-Strings, keine String-Interpolation in Queries.

Rate-Limiting

slowapi auf API-Ebene, FriendlyCaptcha auf öffentlichen Formularen.

Was das für euch bedeutet

Dieselbe Grundlage. Für euer Unternehmen. In ~6 Wochen.

heysuma wurd ein drei Monaten von einem Entwickler gebaut. Mit dem heute eingespielten AI-nativen Workflow — zwei Senior-Architekten orchestrieren ein Fleet aus Coding-Agents — könnten wir dieselbe Tiefe in ~4 Wochen replizieren. Wir verkaufen heysuma nicht weiter — aber wir bauen mit derselben Architektur, denselben Komponenten und derselben Disziplin Software für Produktions­unternehmen, Handwerk, Dienstleister, Gesundheit, Bildung. Verträge, Abrechnung, Kunden­portal, Sales-Pipeline, Multi-Standort, DSGVO: all das ist für uns kein Neuland, sondern Handwerk aus einer laufenden Plattform.

Projekt besprechen heysuma live