TOM – Technische und Organisatorische Maßnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Kein physischer Serverraum beim Anbieter — Serverhosting ausschließlich bei Hetzner Online GmbH (Gunzenhausen, DE) in einem ISO 27001-zertifizierten Rechenzentrum mit Chipkarte, Videoüberwachung und 24/7-Bewachung.
Zugang zu Serverkonsolen und SSH nur über gesicherte, schlüsselbasierte Authentifizierung (kein Passwort-Login).

Passwort-Hashing mit bcrypt (PHP password_hash(), Cost-Factor 12)
Account-Lockout nach 10 fehlgeschlagenen Anmeldeversuchen (30 Minuten Sperre)
Zwei-Faktor-Authentifizierung (2FA) optional per TOTP oder E-Mail-OTP
Session-Sicherheit: session_regenerate_id() nach Login, SameSite=Lax, HttpOnly, Secure-Flag (Lax statt Strict: Magic-Links erfordern Cookie-Übergabe nach externem Redirect)
Superadmin-Bereich über separate Authentifizierungsebene geschützt
Passwort-Reset-Tokens werden gehasht gespeichert (nicht im Klartext)
Serverseitiger Bot-Schutz auf Login-Seite und öffentlichen Formularen (HMAC-signiertes Hidden-Feld + Honeypot; keine externen Drittanbieter-Dienste)

Rollenmodell: admin, manager, user — granulare Berechtigungen je Rolle
Mandantentrennung: Mandantenbezogene Datenzugriffe werden systematisch über tenant_id-Scopes, vorbereitete PDO-Statements, Rollenprüfungen und Code-Reviews abgesichert. Sicherheitskritische Abfragen müssen mandantenbezogen eingeschränkt sein.
requireRole() und requireLogin() zu Beginn jeder gesicherten Seite
Krankheitsdaten: Nur Administratoren und Manager der eigenen Abteilung haben Zugriff; im Kalender werden nur Kürzel angezeigt (keine Diagnosen)

Alle Datenübertragungen über HTTPS (TLS 1.2/1.3) mit HSTS-Header (Strict-Transport-Security)
Deployments erfolgen je Umgebung über die konfigurierte gesicherte Übertragungsart, insbesondere SFTP bzw. FTPS via lftp zu den in der Deployment-Konfiguration hinterlegten Hosts; Klartext-FTP ist nicht vorgesehen.
Drittlandtransfers betreffen ausgewählte Anbieter (u. a. Stripe, Cloudflare, Apple und Google) und werden über EU-US Data Privacy Framework und/oder Standardvertragsklauseln abgesichert.

Audit-Log pro Mandant aktivierbar: alle Datenänderungen werden mit Benutzer, Zeitstempel und IP-Adresse protokolliert (7 Jahre Aufbewahrung gemäß § 147 AO)
CSRF-Schutz auf allen POST-Operationen (Synchronizer-Token-Pattern)
SQL-Injection-Schutz: ausschließlich PDO Prepared Statements
Content Security Policy (CSP) im HTTP-Header gegen XSS
Output-Encoding (htmlspecialchars()) an allen Ausgabestellen

Rollback auf letzte stabile Version innerhalb von 15 Minuten möglich (lokale Backups + Deploy-Script)
SQLite-Datenbank kann bei Bedarf direkt aus Backup eingespielt werden
Disaster-Recovery-Verfahren dokumentiert, regelmäßig getestet

Verarbeitungsverzeichnis (VVT) gemäß Art. 30 DSGVO wird intern geführt (auf Anfrage einsehbar)
Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO für Gesundheitsdatenverarbeitung und Zeiterfassung vorgehalten; Muster für Kunden verfügbar
Transfer Impact Assessment (TIA) für Cloudflare und Stripe dokumentiert

Breach-Notification-Workflow implementiert: automatische interne Benachrichtigung bei Datenschutzverletzungen
Meldung an Aufsichtsbehörde (HBDI) innerhalb von 72 Stunden gemäß Art. 33 DSGVO
Betroffenenbenachrichtigung nach Art. 34 DSGVO bei hohem Risiko

TOM-Dokument wird mindestens jährlich sowie bei wesentlichen Systemänderungen aktualisiert
Dependency-Updates und Security-Patches werden zeitnah eingespielt

Folgende Sub-Auftragsverarbeiter werden eingesetzt. Alle wurden gemäß Art. 28 Abs. 1 DSGVO auf hinreichende Garantien geprüft:

Dienstleister	Sitz	Zweck	Garantie
Hetzner Online GmbH	Gunzenhausen, DE	Serverhosting, Datenbankbetrieb	AVV abgeschlossen, ISO 27001-zertifiziert, EU/EWR
Cloudflare Inc.	San Francisco, USA	CDN, DDoS-Schutz; HTTP-Requests laufen über Cloudflare-Infrastruktur (SSL-Terminierung am Edge). Kein Turnstile-Dienst aktiv (Bot-Schutz erfolgt serverintern).	Cloudflare DPA abgeschlossen; EU-US Data Privacy Framework (DPF-zertifiziert); Standardvertragsklauseln (SCC 2021/914/EU) als Fallback-Garantie nach Art. 46 Abs. 2 lit. c DSGVO; TIA dokumentiert
Stripe Inc.	Dublin, IE / San Francisco, USA	Zahlungsabwicklung	DPA abgeschlossen; EU-US DPF; SCC als Fallback
Hetzner SMTP	Gunzenhausen, DE	Transaktionale E-Mails (Einladungen, Benachrichtigungen)	Hetzner AVV; EU/EWR
Apple Inc.	Cupertino, USA	Push-Benachrichtigungen der iOS-App über APNs, nur nach Nutzer-Opt-in	EU-US DPF; SCC als Fallback; pseudonymes Geräte-Token
Google Ireland Ltd.	Dublin, IE	YouTube-Nocookie-Videos nur nach separater manueller Aktivierung im Player; kein Google Analytics/GTM aktiv	Nocookie-Domain; kein Drittland-Transfer ohne Nutzeraktivierung

Sub-AV-Verträge können Kunden gemäß Art. 28 Abs. 2 Satz 2 DSGVO auf Anfrage eingesehen werden. Anfragen an: info@sl-up.com