Anlage A – Technische und organisatorische Maßnahmen (TOM)
Diese Übersicht beschreibt die von Alexander Dahm – Web, App und Softwareentwicklung
getroffenen Maßnahmen gemäß Art. 32 DSGVO.
Sie ist Bestandteil der AVV-Mustervereinbarung und wird bei Änderungen fortgeschrieben.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
| Maßnahme | Beschreibung |
|---|
| Zugangskontrolle | Cloud- und Hosting-Zugänge ausschließlich für berechtigte Personen; 2-Faktor-Authentifizierung (Vercel, Supabase, Resend). |
| Zugriffskontrolle | Rollenkonzepte in Supabase / GitHub; getrennte Dev-/Prod-Projekte. |
| Trennung von Daten | Mandantentrennung durch separate Datenbanken / Tabellen; keine gemeinsame Kundendatenhaltung. |
| Vertraulichkeitsverpflichtung | Alle Mitarbeitenden und Subunternehmer sind schriftlich auf Vertraulichkeit verpflichtet. |
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
| Maßnahme | Beschreibung |
|---|
| Übertragungssicherheit | TLS 1.2+ auf allen Domains / APIs (Vercel → Supabase → Resend). |
| Speichersicherheit | Datenbank-Verschlüsselung at rest durch Supabase (PostgreSQL AES-256). |
| Versionierung & Audit | Änderungen im Code / Schema via Git + Migrationshistorie dokumentiert. |
| Prüfsummen & Validierung | Dateiuploads (Bewerbungen etc.) mit MIME-Whitelisting und Größenlimit. |
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
| Maßnahme | Beschreibung |
|---|
| Backups | Automatische Supabase-Backups (täglich) + Staging-Restore-Tests. |
| Hosting-Redundanz | Vercel-Edge-Netzwerk (Global CDN, Failover Region Frankfurt). |
| Monitoring | System-Monitoring / Alerts via Vercel Status + Supabase Dashboard. |
| Notfallkonzept | Wiederherstellung durch Import / Migration in < 24 h bei Systemausfall. |
4. Belastbarkeit und Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
| Maßnahme | Beschreibung |
|---|
| Incident-Plan | Interne Checkliste zur Eskalation bei Sicherheitsvorfällen. |
| Kontinuierliche Verbesserung | Regelmäßige Überprüfung der Sicherheits- und Datenschutzprozesse (halbjährlich). |
5. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
| Maßnahme | Beschreibung |
|---|
| Audits & Nachweise | Prüfung von DPAs / Zertifikaten (Vercel, Supabase, Resend, OpenAI). |
| Penetrationstests | Externe Tests bei sicherheitskritischen Projekten (optional). |
| Awareness-Schulungen | Datenschutz- und Sicherheits-Updates für beteiligte Personen. |
6. Auftragsbezogene Prozesse
| Prozess | Beschreibung |
|---|
| Datenlöschung | Automatisierte Löschung nach Vertragsende / Projektabschluss. |
| Zugangsverwaltung | Entfernen nicht mehr benötigter Konten (GitHub / Supabase / Vercel). |
| Supportzugänge | Nur temporäre Zugriffe auf Kundensysteme, mit Protokollierung. |
7. Speicherorte & Verantwortlichkeiten
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich bei nach Art. 28 DSGVO geprüften Dienstleistern innerhalb der EU-Region oder auf Basis der EU-Standardvertragsklauseln (SCC).
Eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter ist in Anlage B – Sub-Processors enthalten.
Diese Anlage ist Teil des Muster-AVV und dient als Nachweis der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO.
Änderungen an Systemen oder Dienstleistern werden dokumentiert und versioniert.
Diese Anlage gehört zur Muster-AVV. Änderungen werden versioniert.
→ Zur Hauptvereinbarung