verein.xhub Logoverein.xhub

Technische und organisatorische Maßnahmen (TOM)

Anlage zum AVV nach Art. 32 DSGVO – konkrete Schutzmaßnahmen für eure Vereinsdaten.

Stand: April 2026 — Anlage zum AVV nach Art. 32 DSGVO

Diese Beschreibung der technischen und organisatorischen Maßnahmen (TOM) ist Anlage zum Auftragsverarbeitungsvertrag (AVV) der BeeBack UG (haftungsbeschränkt). Sie konkretisiert, wie der Auftragnehmer als SaaS-Anbieter ein angemessenes Schutz­niveau nach Art. 32 DSGVO sicherstellt.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle (physisch)

Die Server stehen ausschließlich in zertifizierten Rechenzentren von Hetzner Online GmbH in Falkenstein und Nürnberg, Deutschland. Hetzner setzt folgende Maßnahmen um:

  • Sicherheits­personal rund um die Uhr, Videoüberwachung 24/7
  • Zutritt nur mit personalisierter Chipkarte und biometrischem Verfahren
  • Mehrstufige Sicherheitsschleusen, Bewegungs­melder
  • Ausweis­kontrolle für Besucher, Begleitung durch Mitarbeiter
  • ISO 27001-zertifizierte Rechenzentren, BSI C5-Testat in Vorbereitung

1.2 Zugangskontrolle (Logischer Zugang)

  • Authentifizierung: E-Mail + Passwort mit bcrypt-Hashing (Cost-Faktor 12)
  • 2-Faktor-Authentifizierung für alle Vorstandskonten verpflichtend (TOTP via Authenticator-App)
  • Passwort-Richtlinie: mindestens 12 Zeichen, kein Passwort-Reuse aus den letzten 5 Passwörtern
  • Session-Management: HttpOnly + Secure Cookies, SameSite=Lax, Auto-Logout nach 24 Stunden Inaktivität
  • Brute-Force-Schutz: Account-Lock nach 5 fehlgeschlagenen Login-Versuchen, IP-basiertes Rate-Limiting
  • Mitarbeiter-Zugang: SSH-Key-only, Bastion-Host, individuell auditierte Logins

1.3 Zugriffskontrolle (Berechtigungen)

  • Rollen-basiertes Berechtigungsmodell (RBAC): Vorstand, Kassenwart, Schriftführer, Mitglied — jeweils mit eigenen Rechten
  • Mandanten-Trennung: jeder Verein ist logisch isoliert, Datenbankquery enthält obligatorisch tenant_id-Filter
  • Audit-Log: alle schreibenden Operationen werden mit Benutzer, Zeitstempel und IP geloggt
  • Mitarbeiter-Zugriff: Need-to-know-Prinzip, dokumentierte Freigabe pro Datenkategorie
  • Production-Zugriff: ausschließlich über authentifizierte Bastion mit MFA, Session-Recording

1.4 Trennungskontrolle (Multi-Tenancy)

  • Daten verschiedener Vereine werden in derselben Datenbank, aber durch tenant_id-Filter strikt getrennt
  • Application-Layer-Tests (über 200 Testfälle) verhindern Cross-Tenant-Leaks
  • Backup-Strategie respektiert Mandanten-Grenzen — Restore eines Vereins berührt andere nicht

1.5 Pseudonymisierung & Verschlüsselung

  • In Transit: TLS 1.3 (Mindeststandard), HSTS-Header mit max-age=63072000, Certificate-Pinning für API-Clients
  • At Rest: PostgreSQL-Storage AES-256-verschlüsselt (Hetzner-Volume-Encryption + zusätzliche Application-Layer-Encryption für besonders sensible Daten wie SEPA-Mandate)
  • Backups: AES-256-verschlüsselt, Schlüssel in separatem KMS, Backup-Restore-Tests quartalsweise
  • Logs: keine personenbezogenen Daten in Application-Logs (Pseudonymisierung mit User-ID statt Name/E-Mail)

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

  • Verschlüsselte Übertragung aller Daten zwischen Browser, API, Datenbank und Sub-Verarbeitern
  • VPN-Tunnel zwischen Application-Servern und Datenbank-Servern (privates Netz bei Hetzner)
  • Keine Daten­übertragung in Drittländer außerhalb EU/EWR ohne Standardvertragsklauseln

2.2 Eingabekontrolle

  • Lückenloser Audit-Log: jede Datenänderung mit User, Zeit, alter Wert, neuer Wert
  • Keine harten Löschungen — Soft-Delete mit Aufbewahrung für Anti-Manipulations-Nachweis
  • Buchungsdaten zusätzlich GoBD-konform mit Hash-Signatur gegen nachträgliche Veränderung
  • Compliance-Reports: jederzeit „Wer hat wann was geändert" pro Mitglied/Buchung exportierbar

3. Verfügbarkeit & Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

3.1 Backup-Strategie

  • Tägliche Voll-Backups der Datenbank, verschlüsselt und in geografisch getrennten Hetzner-Rechenzentren gespeichert
  • Aufbewahrung: 30 Tage rolling, Monatsendstand 12 Monate, Jahresendstand 7 Jahre für Buchungen
  • Recovery-Point-Objective (RPO): maximal 24 Stunden Datenverlust
  • Recovery-Time-Objective (RTO): 4 Stunden bis vollständige Wiederherstellung
  • Point-in-Time-Recovery: durch Continuous WAL Archive können wir auf jede Sekunde der letzten 30 Tage zurücksetzen

3.2 Hochverfügbarkeit

  • Application-Server: redundant in zwei Hetzner-Verfügbarkeitszonen, Lastenausgleich via Hetzner-Cloud-Load-Balancer
  • Datenbank: PostgreSQL mit Streaming-Replikation, automatischer Failover bei Ausfall des Primärservers
  • SLA-Zusagen: 99,5 % Standard-Tier, 99,9 % Wachstum-Tier, 99,95 % Enterprise (siehe AGB § 4)
  • Monitoring: 24/7-Uptime-Monitoring (UptimeRobot + selbst-gehostetes Prometheus), automatische Alarmierung der On-Call-Rotation

3.3 Disaster Recovery

  • Dokumentierter Disaster-Recovery-Plan mit klaren Verantwortlichen und Eskalations­wegen
  • Halbjährliche Disaster-Recovery-Tests (vollständiger Restore aus Backup auf Test-Infrastruktur)
  • Kommunikations­plan für Status-Page (status.verein.xhub.io) und Kunden­benachrichtigung

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

4.1 Datenschutz-Management

  • Verzeichnis von Verarbeitungs­tätigkeiten (VVT) nach Art. 30 DSGVO laufend gepflegt
  • Datenschutz-Folgenabschätzung (DSFA) für hoch-riskante Verarbeitungs­vorgänge dokumentiert
  • Schulung aller Mitarbeiter zum Datenschutz mindestens jährlich, dokumentiert mit Teilnahme­bestätigungen
  • Vertraulichkeits­verpflichtung aller Mitarbeiter und Dienstleister schriftlich

4.2 Sicherheits-Tests

  • Pen-Tests: extern beauftragte Penetrations­tests jährlich durch zertifizierte IT-Security-Firma; Findings werden binnen 30 Tagen gefixt
  • Vulnerability-Scanning: automatische tägliche Scans mit Snyk/Dependabot, kritische CVEs binnen 24 Stunden gepatcht
  • Code-Reviews: 4-Augen-Prinzip für jeden Pull Request, automatisierte Security-Linter (semgrep, gitleaks)
  • Backup-Restore-Tests: quartalsweise Test-Restores auf separate Infrastruktur, dokumentiert

4.3 Incident-Response

  • Dokumentierter Incident-Response-Plan mit Klassifizierung (Severity 1–4)
  • On-Call-Rotation 24/7 für Severity-1- und Severity-2-Vorfälle
  • Datenpannen-Meldung an Auftraggeber binnen 24 Stunden nach Bekanntwerden (siehe AVV § 9)
  • Post-Incident-Review (PIR) nach jedem Vorfall, dokumentierte Maßnahmen zur Vermeidung

5. Auftragskontrolle

  • Schriftliche Verträge mit allen Sub-Auftragsverarbeitern (Hetzner, Resend/Brevo, Stripe, Sentry/GlitchTip)
  • Aktuelle, öffentliche Sub-Verarbeiter-Liste auf verein.xhub.io/datenschutz
  • Widerspruchs­recht des Auftraggebers bei neuen Sub-Auftragsverarbeitern (siehe AVV § 7)
  • Regelmäßige Überprüfung der Sub-Verarbeiter-Compliance (jährliche Recertification)

6. Datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)

  • Privacy by Default: Mitglieder-Profile sind standardmäßig nur für den Vorstand sichtbar; öffentliche Sichtbarkeit muss aktiv gesetzt werden
  • Minimal-Datensatz: nur die zur Vereinsverwaltung tatsächlich erforderlichen Felder sind Pflichtfelder
  • Aufbewahrungs­fristen automatisch durchgesetzt: Mitgliederdaten werden 10 Jahre nach Austritt automatisch anonymisiert (mit Vorab-Hinweis an Vorstand)
  • Tracking-Free: keine Werbe-Cookies, kein Cross-Site-Tracking

7. Mitarbeiter-Verpflichtung

  • Schriftliche Verpflichtung zur Vertraulichkeit für alle Mitarbeiter und Dienstleister vor erstem Zugriff
  • Datenschutz-Schulung bei Onboarding und jährlich verpflichtend
  • Need-to-know-Prinzip: Mitarbeiter sehen nur die Daten, die für ihre Aufgabe nötig sind
  • Zugang wird beim Verlassen des Unternehmens binnen 24 Stunden entzogen

8. Geplante Zertifizierungen

  • BSI C5-Testat: in Vorbereitung, Audit-Stichtag voraussichtlich Q4/2027
  • ISO 27001: Vorbereitung beginnt Q3/2027
  • Datenschutz-Gütesiegel TÜV Süd: optional, abhängig von Kunden­bedarf

9. Aktualisierung dieser TOM

Diese TOM-Beschreibung wird vom Auftragnehmer regelmäßig (mindestens jährlich) überprüft und ggf. aktualisiert. Wesentliche Änderungen werden dem Auftraggeber per E-Mail mitgeteilt; das Schutzniveau wird nicht unter den hier dokumentierten Stand gesenkt.

Diese TOM-Beschreibung ist mit Stand April 2026 verfasst und folgt der Struktur der Mustertexte des BfDI sowie etablierter SaaS-Sicherheits­praxis. Bei Fragen zu konkreten Maßnahmen oder Zertifikat-Einsicht datenschutz@xhub.io kontaktieren.

Hauptdokument: Auftragsverarbeitungsvertrag (AVV)