Technisch-organisatorische Maßnahmen (TOM)
Versionsstand: 2026-05-MVP
Diese Übersicht beschreibt die technischen und organisatorischen Maßnahmen, die wir zur Gewährleistung eines angemessenen Schutzniveaus gemäß Art. 32 DSGVO eingerichtet haben.
1. Zugangs- und Zugriffskontrolle
- Rollen-Matrix mit sechs Rollen (Inhaber, Filialleitung, Berater, Backoffice, Druck, Buchhaltung) plus orthogonalen Flags für Bereitschaft und Lese-Modus.
- Authentifizierung primär über E-Mail und Passwort (Argon2id), optional Zwei-Faktor-Anmeldung (TOTP, RFC 6238).
- Tenant-Isolation auf Query-Ebene (scopedToCompany) — kein Datensatz ist mandantenübergreifend lesbar.
2. Verschlüsselung
- Transport: TLS 1.2+ auf allen Endpunkten, HSTS, sichere Cipher-Suiten.
- At-Rest: Festplattenverschlüsselung auf den Anwendungs-Servern; Dokumenten-Storage mit AES-256.
- TOTP-Secrets sind im Datensatz selbst AES-256-GCM-verschlüsselt; der Schlüssel wird per HKDF aus NEXTAUTH_SECRET abgeleitet.
3. Integrität und Protokollierung
- Append-only Audit-Log mit Hash-Verkettung pro Mandant (SHA-256).
- Verifikations-Job vergleicht periodisch Hash-Kette gegen rekonstruierten Stand.
- Schreib-Operationen tragen runSource (http_request, migration, smoke_test, ...).
4. Verfügbarkeit und Wiederherstellbarkeit
- Postgres-Backups mit 14 Tagen Aufbewahrung (Daily + Point-in-Time-Recovery via WAL).
- Anwendungs-Server: Konfiguration als Code, schnelle Neueinrichtung.
- Recovery-Tests im Rahmen der Pilot-Phase quartalsweise.
5. Auftragskontrolle
- Subprozessoren werden in einer öffentlich einsehbaren Liste geführt.
- Jeder Subprozessor wird vor produktiver Aktivierung anhand seiner TOM und seiner DPA geprüft.
- Wechsel werden mit angemessener Vorlaufzeit angekündigt; Widerspruch ist möglich.
6. Datenminimierung und Trennung
- Erfasst werden nur Daten, die für den Auftrag erforderlich sind.
- Strikte Trennung von Test-, Pilot- und Produktiv-Umgebung.
- Lösch-Workflows (Soft-Delete + endgültige Löschung nach Fristen) sind dokumentiert.