Datenschutz & Sicherheit
Technisch-organisatorische Maßnahmen
gemäß Art. 32 DSGVO · Stand: März 2025 · Anlage 2 zum AVV
Verantwortlich: IDentity Center GmbH als Auftragsverarbeiter für den Dienst MeinDatensatz
AES-256-GCM
Verschlüsselung
libsodium
Argon2id
Schlüsselableitung
OWASP recommended
Deutschland
Serverstandort
EU/DSGVO
OTP only
Authentifizierung
Kein Passwort
Implementiert
Technisch gewährleistet
Organisatorisch geregelt
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
OrganisatorischVerhinderung des Zutritts Unbefugter zu Datenverarbeitungsanlagen.
- Serverstandort Deutschland mit physischer Zutrittssicherung (abgeschlossene Serverräume)
- Zutritt ausschließlich für autorisierten Betriebspersonals
- Zutrittsprotokolle für Serverräume
- Remote-Administration ausschließlich über gesicherte Verbindungen (VPN/SSH)
1.2 Zugangskontrolle
ImplementiertVerhinderung der Nutzung von Datenverarbeitungssystemen durch Unbefugte.
- OTP-Authentifizierung: Kein Passwort gespeichert — Login ausschließlich per Einmal-Code (6-stellig, 10 Minuten gültig), übermittelt per E-Mail
- Session-Timeout: Automatische Sitzungsbeendigung nach 30 Minuten Inaktivität im Admin-Bereich
- Rate-Limiting: Begrenzung von OTP-Anfragen auf 5 pro E-Mail-Adresse und 20 pro IP-Adresse pro Stunde; max. 5 Fehlversuche beim Einlösen
- Sicherheitsprotokolle: Alle Authentifizierungsereignisse werden in
security.logprotokolliert (ohne PII-Inhalte) - Passphrase (Endkundenportal): Passphrase wird nie gespeichert, ausschließlich zur Laufzeit zur Schlüsselableitung verwendet
1.3 Zugriffskontrolle
ImplementiertSicherstellung, dass Berechtigte ausschließlich auf die ihrem Zugangsrecht entsprechenden Daten zugreifen können.
- Rollenkonzept: Superadmin / Tenant-Admin / Tenant-Viewer / Endkunde — strikte Berechtigungstrennung
- Mandantentrennung: Alle Datenbankabfragen sind zwingend mit
tenant_idgefiltert; Cross-Tenant-Zugriff ist architektonisch ausgeschlossen - Token-Gating: Endkundenportal nur über signierte Einmal-Token zugänglich; Token-Hash gespeichert, Klartext-Token nie persistiert
- Need-to-know-Prinzip: Viewer-Rolle hat nur Lesezugriff, keine Schreib- oder Exportrechte
1.4 Weitergabekontrolle
TechnischVerhinderung unbefugter Weitergabe personenbezogener Daten.
- HTTPS/TLS: Alle Verbindungen ausschließlich über TLS 1.2+ (produktiv erzwungen via Secure-Cookie-Flag und HSTS)
- Verschlüsselte Exporte: Rückgabepakete an Unternehmenskunden werden verschlüsselt in
storage/exports/abgelegt - Keine Drittland-Übermittlung: Keine Datenübertragung außerhalb der EU/EWR
- Sichere Cookies: Session-Cookies mit
Secure,HttpOnlyundSameSite=Lax
1.5 Trennungskontrolle
ImplementiertGetrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden.
- Mandantenfähige Architektur: Daten jedes Unternehmenskunden sind durch
tenant_idlogisch vollständig getrennt - Separate Tabellen für Administrations-, Datensatz- und Audit-Daten
- Separate Log-Dateien:
app.log,security.log,audit.log
1.6 Verschlüsselung und Pseudonymisierung
ImplementiertKernstück der Sicherheitsarchitektur: alle Kundendaten werden Ende-zu-Ende verschlüsselt.
| Maßnahme | Algorithmus / Verfahren | Bibliothek |
|---|---|---|
| Payload-Verschlüsselung | AES-256-GCM | libsodium (PHP ext-sodium) |
| Datensatz-Schlüssel | 32 Byte zufälliger Datensatz-Key, verschlüsselt mit abgeleitetem Schlüssel | libsodium |
| Schlüsselableitung (KDF) | Argon2id | libsodium pwhash |
| Token-Hashing | HMAC-SHA256 | PHP APP_KEY |
| OTP-Hashing | HMAC-SHA256 | PHP APP_KEY |
| Transport | TLS 1.2+ | Webserver (Apache/nginx) |
- Passphrasen werden nicht gespeichert — ausschließlich zur Laufzeit für Schlüsselableitung
- Klartext-PII werden nie in Logs, Datenbank oder Dateisystem abgelegt
- Nonce/IV wird pro Verschlüsselungsvorgang neu generiert
- Authentication Tag (GCM) verhindert unerkannte Manipulation
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Eingabekontrolle
ImplementiertNachvollziehbarkeit, ob und durch wen personenbezogene Daten eingegeben, verändert oder entfernt worden sind.
- Audit-Log: Lückenloses Protokoll aller Zugriffe, Entsperrungen, Korrekturen und Exporte in
dataset_audit_logundaudit.log - Jeder Eintrag enthält: Ereignistyp, Akteur-Typ, Akteur-ID, Timestamp (UTC), Tenant-ID, Datensatz-ID
- Keine PII-Inhalte in Audit-Logs
- Audit-Logs sind read-only für nicht-superadmin-Benutzer
2.2 Übertragungssicherheit
Technisch- Ausschließlich HTTPS/TLS für alle Kommunikationswege
- AES-256-GCM-Verschlüsselung mit Authentication Tag verhindert unerkannte Datenmanipulation
- CSRF-Schutz für alle state-verändernden Formulare im Admin-Bereich
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)
3.1 Verfügbarkeitskontrolle
Organisatorisch- Betrieb auf dedizierter Serverinfrastruktur mit Standort Deutschland
- Regelmäßige Datenbank-Backups mit geprüfter Wiederherstellbarkeit
- Log-Rotation: tägliche Rotation, Aufbewahrung für 90 Tage
- Verschlüsselte Datensätze in
storage/werden in Backups einbezogen - Monitoring auf Systemebene
3.2 Wiederherstellbarkeit
Organisatorisch- Dokumentierte Wiederherstellungsprozeduren für Datenbankausfälle
- Backup-Integrität wird regelmäßig getestet
- Notfallplan für Sicherheitsvorfälle mit definierten Eskalationswegen
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
4.1 Datenschutz-Management
- Jährliche Überprüfung und Aktualisierung dieser TOMs
- Regelmäßige Überprüfung der Zugriffsberechtigungen (mindestens halbjährlich)
- Verpflichtung aller Mitarbeiter mit Datenzugang auf Vertraulichkeit und Datenschutz
- Sensibilisierungs- und Schulungsmaßnahmen für Datenschutz und Informationssicherheit
- Datenschutz-by-Design und Datenschutz-by-Default als Entwicklungsgrundsatz
4.2 Incident Management
- Dokumentierter Incident-Response-Prozess für Datenschutzverletzungen
- Meldepflicht gegenüber dem Verantwortlichen innerhalb von 72 Stunden
- Sicherheitsprotokollierung ermöglicht lückenlose Nachverfolgung von Vorfällen
- Kontakt für Sicherheitsmeldungen: info@meindatensatz.de