Verwalto.xhub LogoVerwalto.xhub

Technische und organisatorische Maßnahmen (TOM)

Stand: Juni 2026 — Anlage zum AVV nach Art. 32 DSGVO. Diese Beschreibung konkretisiert, wie die BeeBack UG (haftungsbeschränkt) als Auftragnehmer ein angemessenes Schutzniveau nach Art. 32 DSGVO sicherstellt.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle: Server ausschließlich in zertifizierten Hetzner-Rechenzentren (Falkenstein/Nürnberg) — Sicherheitspersonal rund um die Uhr, Videoüberwachung, Zutritt nur mit personalisierter Chipkarte und biometrischem Verfahren, mehrstufige Sicherheitsschleusen, ISO-27001-zertifiziert (BSI C5 in Vorbereitung). Zugangskontrolle: Authentifizierung mit bcrypt (Cost-Faktor 12); 2-Faktor-Authentifizierung für Administrator-/Verwalter-Konten verpflichtend; Passwort-Richtlinie (mind. 12 Zeichen); HttpOnly-/Secure-Cookies, SameSite=Lax, Auto-Logout nach 24 Stunden; Brute-Force-Schutz (Account-Lock nach 5 Fehlversuchen, Rate-Limiting); Mitarbeiter-Zugang nur per SSH-Key über Bastion-Host. Zugriffskontrolle: rollenbasiertes Berechtigungsmodell (Verwalter, Eigentümer, Beirat, Mieter); strikte Mandanten-Trennung per tenant_id; lückenloser Audit-Log; Need-to-know-Prinzip; Production-Zugriff nur über MFA-Bastion. Trennungskontrolle: Daten verschiedener Verwaltungen logisch isoliert (tenant_id); über 200 Testfälle gegen Cross-Tenant-Leaks; mandantengerechte Backups. Verschlüsselung: TLS 1.3 in Transit (HSTS); AES-256 at rest (Volume- plus Application-Layer-Encryption für sensible Daten wie SEPA-Mandate); verschlüsselte Backups mit Schlüssel im separaten KMS; keine personenbezogenen Daten in Application-Logs.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle: verschlüsselte Übertragung zwischen Browser, API, Datenbank und Sub-Verarbeitern; privates Netz zwischen Application- und Datenbank-Servern; keine Datenübertragung in Drittländer außerhalb EU/EWR ohne Standardvertragsklauseln. Eingabekontrolle: lückenloser Audit-Log (User, Zeit, alter/neuer Wert); keine harten Löschungen (Soft-Delete); Buchungsdaten GoBD-konform mit Hash-Signatur gegen nachträgliche Veränderung; Compliance-Reports „Wer hat wann was geändert“ exportierbar.

3. Verfügbarkeit & Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Backups: tägliche verschlüsselte Voll-Backups in geografisch getrennten Rechenzentren; Aufbewahrung 30 Tage rolling, Monatsendstand 12 Monate, Jahresendstand 7 Jahre für Buchungen; RPO maximal 24 Stunden, RTO 4 Stunden; Point-in-Time-Recovery über Continuous WAL Archive. Hochverfügbarkeit: redundante Application-Server in zwei Verfügbarkeitszonen mit Load-Balancer; PostgreSQL mit Streaming-Replikation und automatischem Failover; SLA-Zusagen gemäß AGB § 4; 24/7-Monitoring mit automatischer Alarmierung. Disaster Recovery: dokumentierter Disaster-Recovery-Plan; halbjährliche Tests (vollständiger Restore auf Test-Infrastruktur); Status-Page (status.verwalto.xhub.io).

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Datenschutz-Management: Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO); Datenschutz-Folgenabschätzung für hoch-riskante Verarbeitungen; jährliche Mitarbeiterschulungen; schriftliche Vertraulichkeitsverpflichtung. Sicherheits-Tests: jährliche externe Penetrationstests (Findings binnen 30 Tagen behoben); tägliches Vulnerability-Scanning (kritische CVEs binnen 24 Stunden gepatcht); 4-Augen-Code-Reviews mit Security-Lintern; quartalsweise Backup-Restore-Tests. Incident-Response: dokumentierter Plan (Severity 1–4); 24/7-On-Call für kritische Vorfälle; Datenpannen-Meldung an Auftraggeber binnen 24 Stunden (AVV § 9); Post-Incident-Review nach jedem Vorfall.

5. Auftragskontrolle

Schriftliche Verträge mit allen Sub-Auftragsverarbeitern (Hetzner, Resend, Stripe); aktuelle öffentliche Sub-Verarbeiter-Liste unter verwalto.xhub.io/datenschutz; Widerspruchsrecht des Auftraggebers bei neuen Sub-Auftragsverarbeitern (AVV § 7); regelmäßige Überprüfung der Sub-Verarbeiter-Compliance.

6. Datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)

Privacy by Default: Daten sind standardmäßig nur für berechtigte Rollen sichtbar. Minimal-Datensatz: nur die zur Verwaltung tatsächlich erforderlichen Felder sind Pflichtfelder. Aufbewahrungsfristen werden automatisch durchgesetzt. Kein Werbe-Tracking, kein Cross-Site-Tracking.

7. Mitarbeiter-Verpflichtung

Schriftliche Vertraulichkeitsverpflichtung für alle Mitarbeiter und Dienstleister vor erstem Zugriff; Datenschutz-Schulung bei Onboarding und jährlich; Need-to-know-Prinzip; Entzug des Zugangs binnen 24 Stunden beim Ausscheiden.

8. Geplante Zertifizierungen

BSI C5-Testat: in Vorbereitung (Audit-Stichtag voraussichtlich Q4/2027). ISO 27001: Vorbereitung ab Q3/2027.

9. Aktualisierung dieser TOM

Diese TOM-Beschreibung wird mindestens jährlich überprüft und ggf. aktualisiert. Wesentliche Änderungen werden dem Auftraggeber mitgeteilt; das Schutzniveau wird nicht unter den hier dokumentierten Stand gesenkt.