Technische und Organisatorische Maßnahmen (TOM)

Nach Art. 32 DSGVO · Stand 2026-06-13

Die folgenden Maßnahmen werden vom Auftragsverarbeiter Fatih Dursun getroffen, um die Sicherheit der Verarbeitung personenbezogener Daten in Postplan zu gewährleisten.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle (physisch)

• Server-Hosting in deutschem Rechenzentrum (Hetzner Online GmbH, Falkenstein/Nürnberg)
• 24/7-Bewachung des Rechenzentrums, Zutrittskontrolle per Vereinzelungsanlage und Biometrie
• Eigene Hardware nicht physisch zugänglich für den Anbieter

1.2 Zugangskontrolle (logisch)

• SSH-Zugang zum Server ausschließlich per öffentlichem ed25519-Schlüssel (kein Passwort-Login)
• Benutzeranmeldung in der Anwendung über signierte Session-Cookies (HMAC-SHA256, geheimer Server-Key)
• Optional SHA-256-Password-Hash für Admin-Accounts (`ADMIN_PASSWORD_HASH`)
• CSRF-Schutz auf allen state-changing Requests (Origin/Referer-Check)
• Strikte Trennung zwischen Admin-Routen und öffentlich zugänglichen Magic-Link-Pfaden

1.3 Zugriffskontrolle (rollen-basiert)

• Mehrstufiges Berechtigungs-Konzept: SaaS-Admin / Tenant-Admin / Disponent / Mitarbeiter
• Feature-Flags pro Mitarbeiter — granulare Sichtbarkeitssteuerung einzelner Module
• Mitarbeiter sehen ausschließlich eigene Daten über Magic-Link mit Token
• Audit-Log aller schreibenden Zugriffe (Wer · Wann · Was geändert)

1.4 Pseudonymisierung & Verschlüsselung

• Transportverschlüsselung: ausschließlich HTTPS/TLS 1.2+ (Let's Encrypt-Zertifikat)
• Push-Notification-Tokens als Pseudonyme — kein direkter Personenbezug zur Endgeräte-ID
• Magic-Link-Tokens nicht referenzierbar, kein Personenbezug in der URL

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

• Keine Datenweitergabe an Dritte ohne explizite Einwilligung
• KI-Anfragen an externe Anbieter (Anthropic) erfolgen nur bei aktivem KI-Feature und mit minimalem Datensatz
• Backups verschlüsselt auf gleicher Hardware, keine Übertragung an Drittstandorte

2.2 Eingabekontrolle (Nachvollziehbarkeit)

• Vollständiges Audit-Log aller MA-/Objekt-/Schicht-/Krank-/Frei-Änderungen mit Vorher-/Nachher-Snapshot, User, Zeitstempel und IP
• Aufbewahrungsdauer Audit-Log: 24 Monate
• Server-Logs (Login-Vorgänge, Errors) via systemd journal

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

3.1 Verfügbarkeitskontrolle

• Tägliche automatische Backups aller Tenant-Datenbanken
• Backup-Rotation: 30 Tage Aufbewahrung
• Backup-Standort: gleicher Server (für lokalen Recovery)
• Test-Restore quartalsweise

3.2 Wiederherstellbarkeit

• Disaster-Recovery-Plan dokumentiert
• Recovery-Time-Objective (RTO): < 4 Stunden
• Recovery-Point-Objective (RPO): < 24 Stunden

4. Verfahren zur Überprüfung und Bewertung (Art. 32 Abs. 1 lit. d DSGVO)

4.1 Automatisches Frühwarnsystem (4-stufig)

• Schicht 1 — Exception-Log: jede Server-Exception wird zentral erfasst und nach 5 Minuten in ein Ticket konvertiert
• Schicht 2 — Synthetic Monitor: 11 User-Flows werden alle 30 Min pro Tenant ausgeführt, schlägt bei Funktionsbruch sofort Alarm
• Schicht 3 — Test-Tenant: separate Crashtest-Instanz, jeder Code-Push geht zuerst dorthin und wird automatisch getestet, bevor Produktiv-Rollout erfolgt
• Schicht 4 — Visual Regression: tägliche Screenshot-Differenzen gegen Baseline, Alarm bei >0,5% Pixel-Diff

4.2 Datenschutz-Folgenabschätzung

• Bei Einführung neuer Verarbeitungen wird Risiko bewertet
• Insbesondere bei: GPS-Daten, Lohnabrechnungen, Gesundheitsdaten (Krankmeldungen)

5. Auftragskontrolle (Art. 28 DSGVO)

• AV-Vertrag mit allen Tenants und Subprozessoren (Hetzner, ggf. Anthropic)
• Subprozessor-Liste transparent im AV-Vertrag
• Keine Verarbeitung außerhalb der dokumentierten Weisungen des Auftraggebers

6. Trennungskontrolle

• Strikte Multi-Tenant-Isolation: jede Tenant-Instanz läuft als eigener Prozess mit eigener SQLite-Datenbank — keine geteilten Tabellen, keine Cross-Tenant-Queries möglich
• Tenant-Identifikation über URL-Prefix (`//...`) und systemd-Service-Namen
• Produktivdaten und Test-Daten in physisch getrennten Datenbanken

7. Personelle Maßnahmen

• Verpflichtung aller mit Verarbeitung befassten Personen auf das Datengeheimnis
• Regelmäßige Sensibilisierung zum Thema Datenschutz
• Mitarbeitende mit Zugriff auf Quellcode unterliegen Vertraulichkeitsvereinbarung

Diese TOM-Beschreibung ist eine technische Selbstauskunft. Für vertragliche Verwendung als Anlage zum AV-Vertrag siehe /av-vertrag.

← Zurück