Zum Hauptinhalt springen
Zurück zum AVV

Technische und Organisatorische Maßnahmen

Anlage 1 zum AVV | Art. 32 DSGVO | Version 1.0

Übersicht

Diese Dokumentation beschreibt die technischen und organisatorischen Maßnahmen, die Hebelki gemäß Art. 32 DSGVO implementiert hat, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten.

Schutzziele nach Art. 32 DSGVO

Zutrittskontrolle

Maßnahmen zur Verhinderung unbefugten Zutritts zu Datenverarbeitungsanlagen

  • Dedizierter VPS bei Hetzner Online GmbH (Falkenstein, Deutschland)
  • Hetzner-Rechenzentren mit ISO 27001 Zertifizierung
  • Physische Sicherheit durch Hetzner gewährleistet (24/7 Überwachung)
  • Keine lokale Datenspeicherung auf Mitarbeitergeräten

Zugangskontrolle

Maßnahmen zur Verhinderung unbefugter Nutzung von Datenverarbeitungssystemen

  • Authentifizierung über Clerk (SOC 2 Type II zertifiziert)
  • Multi-Faktor-Authentifizierung (MFA) verfügbar
  • Passwort-Richtlinien: Mindestlänge 8 Zeichen, Komplexitätsanforderungen
  • Automatische Session-Timeout nach 30 Minuten Inaktivität
  • Verschlüsselte Session-Token (JWT)
  • Rate-Limiting für Anmeldeversuche

Zugriffskontrolle

Maßnahmen zur Gewährleistung, dass Berechtigte nur auf ihre Daten zugreifen können

  • Rollenbasiertes Zugriffsmodell (Owner, Admin, Staff)
  • Multi-Tenant-Architektur mit strikter Datenisolierung
  • Jede Datenbankabfrage enthält Mandanten-Filter (businessId)
  • API-Endpoints prüfen Zugehörigkeit vor Datenzugriff
  • Mitarbeiter-Berechtigungen individuell konfigurierbar
  • Audit-Logs für kritische Aktionen

Weitergabekontrolle

Maßnahmen zum Schutz bei Übertragung und Transport von Daten

  • TLS 1.3 Verschlüsselung für alle Datenübertragungen
  • HTTPS-only (HTTP-Anfragen werden umgeleitet)
  • Sichere API-Kommunikation mit Authentifizierung
  • Keine unverschlüsselte E-Mail-Übertragung sensibler Daten
  • VPN-geschützte Verbindungen zu Unterauftragsverarbeitern

Eingabekontrolle

Maßnahmen zur Nachvollziehbarkeit von Dateneingaben und -änderungen

  • Automatische Zeitstempel für alle Datensätze (createdAt, updatedAt)
  • Benutzer-Zuordnung bei Änderungen (Clerk User ID)
  • Audit-Trail für Buchungsänderungen
  • Protokollierung von Dashboard-Aktionen
  • Versionierung von Einstellungsänderungen

Auftragskontrolle

Maßnahmen zur weisungsgemäßen Verarbeitung durch Auftragsverarbeiter

  • Vertragliche Bindung aller Unterauftragsverarbeiter (DPAs)
  • Standard Contractual Clauses (SCCs) mit allen US-Anbietern
  • Regelmäßige Überprüfung der Unterauftragsverarbeiter
  • Dokumentation aller Weisungen (Dashboard-Konfiguration)
  • Keine Verarbeitung außerhalb der vereinbarten Zwecke

Verfügbarkeitskontrolle

Maßnahmen zum Schutz gegen zufällige Zerstörung oder Verlust

  • Automatische Datenbank-Backups (PostgreSQL pg_dump, täglich)
  • Point-in-Time Recovery möglich (WAL-Archivierung)
  • Dedizierter VPS mit Hetzner (Falkenstein, Deutschland)
  • DDoS-Schutz durch Hetzner (inklusive)
  • Hochverfügbarkeit: 99.9% SLA (Hetzner)
  • Disaster-Recovery-Prozeduren dokumentiert

Trennungskontrolle

Maßnahmen zur getrennten Verarbeitung für unterschiedliche Zwecke

  • Multi-Tenant-Architektur mit logischer Datentrennung
  • Jeder Mandant (Business) hat eigene businessId
  • Mandantentrennung durch Tenant-ID-Filter auf Anwendungsebene
  • Keine gemeinsame Nutzung von Kundendaten zwischen Mandanten
  • Separate Konfigurationen pro Mandant

Ergänzende Maßnahmen

Verschlüsselung

  • Datenbank: Verschlüsselung at-rest (LUKS, Hetzner Volume Encryption)
  • Datenübertragung: TLS 1.3 für alle Verbindungen
  • Passwörter: Bcrypt-Hashing (niemals im Klartext)
  • API-Keys und Secrets: Verschlüsselt in Umgebungsvariablen

Datenschutz by Design

  • Datenminimierung: Nur notwendige Daten werden erhoben
  • Automatische Löschung: Chatbot-Gespräche nach 90 Tagen
  • Pseudonymisierung: Interne IDs statt Klarnamen in Logs
  • Opt-In: WhatsApp-Kommunikation nur nach Zustimmung

Incident Response

  • Definierter Incident-Response-Prozess
  • Benachrichtigung des Verantwortlichen binnen 24 Stunden
  • Dokumentation aller Sicherheitsvorfälle
  • Regelmäßige Überprüfung und Aktualisierung der Prozesse

Mitarbeiterschulung

  • Datenschutz-Schulung für alle Mitarbeiter
  • Vertraulichkeitsverpflichtung
  • Need-to-know-Prinzip für Datenzugriff
  • Regelmäßige Awareness-Schulungen

Infrastruktur-Übersicht

KomponenteAnbieterZertifizierungen
VPS, Datenbank, Speicher, E-MailHetzner Online GmbH (Deutschland)ISO 27001
AuthentifizierungClerkSOC 2 Type II, GDPR
KI-VerarbeitungGoogle Vertex AI EU (Niederlande)ISO 27001, SOC 2 Type II, Zero Data Retention
MessagingTwilioSOC 2, ISO 27001, HIPAA

Regelmäßige Überprüfung

Frequenz: Die technischen und organisatorischen Maßnahmen werden mindestens jährlich auf ihre Wirksamkeit überprüft und bei Bedarf angepasst.

Auslöser: Zusätzliche Überprüfungen erfolgen bei wesentlichen Änderungen der Infrastruktur, nach Sicherheitsvorfällen oder bei neuen regulatorischen Anforderungen.

Dokumentation: Änderungen werden versioniert und sind in dieser Dokumentation nachvollziehbar.

Verfügbarkeit und SLAs

99.9%

Plattform-Verfügbarkeit

24h

Incident-Benachrichtigung

7 Tage

Point-in-Time Recovery

Ansprechpartner für Sicherheitsfragen

Bei Fragen zu den technischen und organisatorischen Maßnahmen oder zur Meldung von Sicherheitsvorfällen wenden Sie sich bitte an:

E-Mail: security@hebelki.de

Stand: Februar 2026 | Version 1.0
Diese Dokumentation wird bei Änderungen der Maßnahmen aktualisiert.