← Alle Dokumente

Technische und organisatorische Maßnahmen (TOM)

Anlage 2 zum Auftragsverarbeitungsvertrag — Maßnahmen nach Art. 32 DSGVO. Auftragnehmer (Auftragsverarbeiter): Artur Parutkin (Einzelunternehmen), Isestraße 35, 20144 Hamburg. Stand: Juli 2026.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle (physisch) — Server werden ausschließlich in ISO-27001-zertifizierten Rechenzentren von Hetzner (Deutschland) und Scaleway (Frankreich) betrieben; die physische Sicherheit obliegt vertraglich diesen Unterauftragsverarbeitern. Keine eigene Hardware.

Zugangskontrolle (Systemzugang) - Anmeldung der Endnutzer per passwortloser Magic-Link-Authentifizierung (kryptographisch sichere 256-Bit-Einmal-Token, einmalig verwendbar, kurzlebig). - Rate-Limiting pro E-Mail und pro IP gegen Brute-Force; Honeypot- und Timing-Prüfungen gegen Bots. - Admin-Zugang separat, IP-ratenbegrenzt, Passwortvergleich in konstanter Zeit. - Server-Zugang (SSH) nur für den Betreiber; Zugangsdaten separat verwahrt.

Zugriffskontrolle (Datenzugang) - API-Schlüssel werden ausschließlich als SHA-256-Hash gespeichert (Klartext wird einmalig bei Erstellung angezeigt und nie persistiert) → ein Datenbank-Zugriff gibt keine nutzbaren Schlüssel preis. - Mandantentrennung auf Anwendungsebene: jeder Zugriff ist an die Session-Nutzerkennung gebunden. - Datenbank (PostgreSQL) und Cache (Redis) laufen in einem privaten Docker-Netz, nicht öffentlich erreichbar. - Budget-/Spend-Kontrollen pro Konto und ein globales Ausgabenlimit gegen Missbrauch.

Trennungskontrolle — Getrennte Umgebungen (Produktion / Test) mit getrennten Datenbanken. Verarbeitung nach Zweck getrennt (Konto-, Nutzungs-, Inhaltsdaten).

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabe-/Transportkontrolle - Verschlüsselung in Transit durchgängig via TLS; HSTS erzwungen; moderne Security-Header (CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy). - CSRF-Schutz (Same-Origin-Prüfung + SameSite=Lax-Cookies, Secure + HttpOnly). - Inferenz-Übertragung zu Scaleway TLS-verschlüsselt; Eingaben werden bei Scaleway nicht gespeichert, nicht geloggt, nicht für Training verwendet (Scaleway Specific Conditions AI Services; ausgenommen die dort vorgesehene vorübergehende Sicherung einzelner Anfragen zur Missbrauchs-/Störungsanalyse). Die Batch-Processing-Funktion von Scaleway (mit bis zu 24-stündiger Zwischenspeicherung) wird nicht genutzt.

Eingabekontrolle — Anwendungs-Logs ohne Inhaltsdaten der Eingaben/Ausgaben. IP-Adressen werden nur pseudonymisiert (gesalzener SHA-256-Hash) gespeichert. Protokolliert werden ausschließlich Betriebs- und Sicherheitsdaten (Zeitstempel, pseudonymisierte IP, Route/Endpoint, HTTP-Status, Antwortzeit, Modellname, Token-/Nutzungszähler, Nutzerkennung, Fehlermeldungen) — keine Eingabe-/Ausgabeinhalte. Anwendungs- und Container-Logs sind größenbegrenzt und rotierend und werden spätestens nach 30 Tagen gelöscht; Host-/nginx-Zugriffslogs (mit IP) werden nach 14 Tagen gelöscht.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d, Art. 25 DSGVO)

Datenschutz durch Technikgestaltung & Voreinstellungen (Art. 25) — Datensparsamkeit als Grundprinzip: keine Speicherung der Eingaben/Ausgaben, pseudonymisierte IPs, minimale Protokollierung, gehashte Schlüssel, selbst-gehostete Analytics (kein Dritt-Tracker).

Schwachstellen-/Patch-Management — Betriebssystem und Container-Images werden regelmäßig aktualisiert; sicherheitskritische Updates werden priorisiert eingespielt.

Verschlüsselung at rest — Die Datenbank ist at rest verschlüsselt; Backups sind zusätzlich mit gpg (AES-256) verschlüsselt.

Auftragskontrolle — Alle Unterauftragsverarbeiter unter AVV/DPA nach Art. 28 (Hetzner, Scaleway, Resend, Stripe); bei Nicht-EU-Anbietern EU-Standardvertragsklauseln. Änderungen mit 30 Tagen Vorlauf (§ 5 AVV).

Incident-Response / Datenpannen — Dokumentiertes Verfahren: Erkennung über Monitoring/Alerts und die Meldeketten der Unterauftragsverarbeiter; Bewertung von Schweregrad und betroffenen Daten; Eindämmung (Sperrung von Zugängen/Schlüsseln, Isolierung); Meldung an den betroffenen Verantwortlichen unverzüglich, in der Regel innerhalb von 48 Stunden (bzw. an die Aufsichtsbehörde binnen 72 Stunden, soweit selbst verantwortlich); Dokumentation jedes Vorfalls.

Überprüfung — Regelmäßige Überprüfung der Sicherheitsmaßnahmen; ein externer Penetrationstest ist vorgesehen. Für den Unterauftragsverarbeiter Resend liegen ein SOC-2-Typ-II-Bericht und ein Pen-Test-Attest vor.

5. Löschung / Rückgabe