Zurück zum AVV

Technische und Organisatorische Maßnahmen

Anlage 1 zum AVV | Art. 32 DSGVO | Version 1.0

Übersicht

Diese Dokumentation beschreibt die technischen und organisatorischen Maßnahmen, die Hebelki gemäß Art. 32 DSGVO implementiert hat, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten.

Schutzziele nach Art. 32 DSGVO

Zutrittskontrolle

Maßnahmen zur Verhinderung unbefugten Zutritts zu Datenverarbeitungsanlagen

  • Cloud-basierte Infrastruktur (kein physischer Serverzugang)
  • Rechenzentren von Neon, Vercel und Cloudflare mit ISO 27001 Zertifizierung
  • Physische Sicherheit durch Hosting-Anbieter gewährleistet (24/7 Überwachung)
  • Keine lokale Datenspeicherung auf Mitarbeitergeräten

Zugangskontrolle

Maßnahmen zur Verhinderung unbefugter Nutzung von Datenverarbeitungssystemen

  • Authentifizierung über Clerk (SOC 2 Type II zertifiziert)
  • Multi-Faktor-Authentifizierung (MFA) verfügbar
  • Passwort-Richtlinien: Mindestlänge 8 Zeichen, Komplexitätsanforderungen
  • Automatische Session-Timeout nach 30 Minuten Inaktivität
  • Verschlüsselte Session-Token (JWT)
  • Rate-Limiting für Anmeldeversuche

Zugriffskontrolle

Maßnahmen zur Gewährleistung, dass Berechtigte nur auf ihre Daten zugreifen können

  • Rollenbasiertes Zugriffsmodell (Owner, Admin, Staff)
  • Multi-Tenant-Architektur mit strikter Datenisolierung
  • Jede Datenbankabfrage enthält Mandanten-Filter (businessId)
  • API-Endpoints prüfen Zugehörigkeit vor Datenzugriff
  • Mitarbeiter-Berechtigungen individuell konfigurierbar
  • Audit-Logs für kritische Aktionen

Weitergabekontrolle

Maßnahmen zum Schutz bei Übertragung und Transport von Daten

  • TLS 1.3 Verschlüsselung für alle Datenübertragungen
  • HTTPS-only (HTTP-Anfragen werden umgeleitet)
  • Sichere API-Kommunikation mit Authentifizierung
  • Keine unverschlüsselte E-Mail-Übertragung sensibler Daten
  • VPN-geschützte Verbindungen zu Unterauftragsverarbeitern

Eingabekontrolle

Maßnahmen zur Nachvollziehbarkeit von Dateneingaben und -änderungen

  • Automatische Zeitstempel für alle Datensätze (createdAt, updatedAt)
  • Benutzer-Zuordnung bei Änderungen (Clerk User ID)
  • Audit-Trail für Buchungsänderungen
  • Protokollierung von Dashboard-Aktionen
  • Versionierung von Einstellungsänderungen

Auftragskontrolle

Maßnahmen zur weisungsgemäßen Verarbeitung durch Auftragsverarbeiter

  • Vertragliche Bindung aller Unterauftragsverarbeiter (DPAs)
  • Standard Contractual Clauses (SCCs) mit allen US-Anbietern
  • Regelmäßige Überprüfung der Unterauftragsverarbeiter
  • Dokumentation aller Weisungen (Dashboard-Konfiguration)
  • Keine Verarbeitung außerhalb der vereinbarten Zwecke

Verfügbarkeitskontrolle

Maßnahmen zum Schutz gegen zufällige Zerstörung oder Verlust

  • Automatische Datenbank-Backups (Neon: kontinuierlich)
  • Point-in-Time Recovery möglich (bis zu 7 Tage)
  • Geografisch verteilte Infrastruktur (Vercel Edge Network)
  • DDoS-Schutz durch Cloudflare
  • Hochverfügbarkeit: 99.9% SLA (Vercel, Neon)
  • Disaster-Recovery-Prozeduren dokumentiert

Trennungskontrolle

Maßnahmen zur getrennten Verarbeitung für unterschiedliche Zwecke

  • Multi-Tenant-Architektur mit logischer Datentrennung
  • Jeder Mandant (Business) hat eigene businessId
  • Datenbankebene: Row-Level Security
  • Keine gemeinsame Nutzung von Kundendaten zwischen Mandanten
  • Separate Konfigurationen pro Mandant

Ergänzende Maßnahmen

Verschlüsselung

  • Datenbank: Verschlüsselung at-rest (AES-256) durch Neon
  • Datenübertragung: TLS 1.3 für alle Verbindungen
  • Passwörter: Bcrypt-Hashing (niemals im Klartext)
  • API-Keys und Secrets: Verschlüsselt in Umgebungsvariablen

Datenschutz by Design

  • Datenminimierung: Nur notwendige Daten werden erhoben
  • Automatische Löschung: Chatbot-Gespräche nach 90 Tagen
  • Pseudonymisierung: Interne IDs statt Klarnamen in Logs
  • Opt-In: WhatsApp-Kommunikation nur nach Zustimmung

Incident Response

  • Definierter Incident-Response-Prozess
  • Benachrichtigung des Verantwortlichen binnen 24 Stunden
  • Dokumentation aller Sicherheitsvorfälle
  • Regelmäßige Überprüfung und Aktualisierung der Prozesse

Mitarbeiterschulung

  • Datenschutz-Schulung für alle Mitarbeiter
  • Vertraulichkeitsverpflichtung
  • Need-to-know-Prinzip für Datenzugriff
  • Regelmäßige Awareness-Schulungen

Infrastruktur-Übersicht

KomponenteAnbieterZertifizierungen
DatenbankNeon (PostgreSQL)SOC 2 Type II
App-HostingVercelSOC 2 Type II, ISO 27001
AuthentifizierungClerkSOC 2 Type II, GDPR
CDN/SpeicherCloudflare R2ISO 27001, SOC 2
KI-VerarbeitungOpenRouterZero Data Retention Option
MessagingTwilioSOC 2, ISO 27001, HIPAA

Regelmäßige Überprüfung

Frequenz: Die technischen und organisatorischen Maßnahmen werden mindestens jährlich auf ihre Wirksamkeit überprüft und bei Bedarf angepasst.

Auslöser: Zusätzliche Überprüfungen erfolgen bei wesentlichen Änderungen der Infrastruktur, nach Sicherheitsvorfällen oder bei neuen regulatorischen Anforderungen.

Dokumentation: Änderungen werden versioniert und sind in dieser Dokumentation nachvollziehbar.

Verfügbarkeit und SLAs

99.9%

Plattform-Verfügbarkeit

24h

Incident-Benachrichtigung

7 Tage

Point-in-Time Recovery

Ansprechpartner für Sicherheitsfragen

Bei Fragen zu den technischen und organisatorischen Maßnahmen oder zur Meldung von Sicherheitsvorfällen wenden Sie sich bitte an:

E-Mail: security@hebelki.de

Stand: Februar 2026 | Version 1.0
Diese Dokumentation wird bei Änderungen der Maßnahmen aktualisiert.