← Zurück zur Startseite
Technische und organisatorische Maßnahmen
nach Art. 32 DSGVO · Anhang 2 zum AVV · Stand April 2026 · Version 1.0
KI-Kollegen ist eine cloud-native Lösung. Wir betreiben keine eigenen Rechenzentren. Sämtliche Datenhaltung erfolgt bei geprüften Unterauftragsverarbeitern mit EU-Rechenzentren und ISO-27001-/SOC-2-Type-II-Zertifizierungen. Die nachfolgenden Maßnahmen stellen sicher, dass auch unter dieser Architektur das nach Art. 32 DSGVO erforderliche Schutzniveau gewährleistet ist.
1. Vertraulichkeit
1.1 Zutrittskontrolle
Verarbeitung in ISO-27001-/SOC-2-zertifizierten Rechenzentren (Vercel Frankfurt, Supabase EU-Central, Upstash EU, Resend EU). Administrations-Arbeitsplatz in verschlossenen Räumen, festplattenverschlüsselte Hardware (BitLocker/FileVault).
1.2 Zugangskontrolle
Zwei-Faktor-Authentifizierung (TOTP/WebAuthn) für alle Verwaltungskonsolen. Passwörter ≥ 16 Zeichen aus Password-Manager. API-Keys verschlüsselt im Vercel-Env-Dienst. Rotation bei Kompromittierungsverdacht, spätestens alle 12 Monate. Bildschirmsperre nach 5 Min Inaktivität.
1.3 Zugriffskontrolle
Rollen- und Rechtekonzept nach "least privilege". Service-Keys mit minimalen Scopes; `service_role`-Key nur serverseitig. Row-Level-Security in Supabase aktiviert. Admin-Zugriffe werden protokolliert.
1.4 Trennungskontrolle
Strikte Mandantentrennung per
customer_id mit RLS-Policies. Getrennte Umgebungen (Dev/Staging/Prod). Keine Zusammenführung mit Daten anderer Verantwortlicher.1.5 Pseudonymisierung
WhatsApp-User-IDs in Event-Logs mit SHA-256 gehasht (8-Zeichen-Präfix, Salt). IP-Adressen in Zugriffs-Logs nach ≤ 7 Tagen gekürzt.
2. Integrität
2.1 Weitergabekontrolle
TLS 1.2+ für alle Datenübertragungen. HSTS mit Preload. Meta-Webhooks per HMAC-SHA-256-Signatur validiert. E-Mails per DKIM/SPF/DMARC signiert. Keine physische Datenträger-Weitergabe.
2.2 Eingabekontrolle
Audit-Logs aller schreibenden DB-Zugriffe mit Zeitstempel, User/Service-ID und Aktion. Supabase Change-Tracking aktiv für kritische Tabellen. Quellcode versioniert in Git.
3. Verfügbarkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle
Hochverfügbare Cloud-Infrastruktur mit automatischem Failover. Tägliche Backups (Supabase, Retention 7–30 Tage). Point-in-Time-Recovery für sensible Kundendatenbanken. Monitoring per Vercel-Analytics und Sentry.
3.2 Rasche Wiederherstellung
RTO (Recovery Time Objective): ≤ 4 Stunden bei Ausfall einzelner Komponenten.
RPO (Recovery Point Objective): ≤ 24 Stunden (durch tägliche Backups).
Dokumentierter Wiederherstellungsplan, mindestens jährlich geprüft.
RPO (Recovery Point Objective): ≤ 24 Stunden (durch tägliche Backups).
Dokumentierter Wiederherstellungsplan, mindestens jährlich geprüft.
4. Prüfung, Bewertung, Evaluierung
4.1 Datenschutz-Management-System
Internes DSMS, TOM werden mindestens jährlich auf Angemessenheit geprüft. Änderungen versioniert.
4.2 Incident-Response
Erkennung binnen 24 h über Monitoring. Dedizierter Breach-Response-Prozess mit Eskalation. Meldung an Verantwortlichen binnen 48 h. Dokumentation von Vorfällen, Maßnahmen und Lessons Learned.
4.3 Privacy by Default (Art. 25 DSGVO)
Minimalprinzip: Nur Daten, die für den Vertragszweck erforderlich sind. Konversations-Kontext auf die letzten 5 Nachrichten beschränkt. Kein KI-Training mit Kundendaten (vertraglich abgesichert).
4.4 Auftragskontrolle
Einhaltung dieses AVV wird durch Nachweise belegt (Prüfberichte, Zertifikate, TOM-Dokumentation). Unterauftragsverarbeiter-Liste transparent einsehbar unter /legal/subprozessoren.
5. Speicherdauer und Löschkonzept
| Datenkategorie | Dauer | Löschung / Anonymisierung |
|---|---|---|
| Aktive Konversations-Nachrichten | Konversation + 30 Tage | Automatisch nach 30 Tagen Inaktivität |
| Event-Logs (anonymisiert) | bis 90 Tage | Automatische Rotation |
| Kundenstamm / Wissensbasis | Vertragsdauer + 30 Tage | 30 Tage nach Vertragsende; Backups ≤ 90 Tage |
| Rechnungs-/Steuerdaten | 10 Jahre | § 147 AO / § 257 HGB |
| Admin-Audit-Logs | 12 Monate | Automatische Rotation |
| IP-Adressen in Zugriffs-Logs | ≤ 7 Tage | Automatisch gekürzt / gelöscht |
6. Schulung und Sensibilisierung
Der Auftragsverarbeiter hält sich laufend über datenschutzrechtliche Entwicklungen informiert. Externe Dienstleister (z. B. virtuelle Assistenz) werden vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet und belehrt.
Diese TOM-Dokumentation ist Bestandteil des Auftragsverarbeitungsvertrags. Sie wird bei wesentlichen Änderungen aktualisiert und Verantwortlichen in Textform zugänglich gemacht. Fragen gern an kontakt@denkhebel.de.
Siehe auch: AVV · Unterauftragsverarbeiter · Datenschutz