Stand: Juni 2026 · nach Art. 32 DSGVO
Die SBS Deutschland GmbH & Co. KG trifft als Auftragsverarbeiter für FlowCheck AI+ die folgenden technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO.
1. Zutrittskontrolle
- Maßnahme
- Die Server befinden sich in den Rechenzentren der Hetzner Online GmbH (Falkenstein/Nürnberg). Physischer Zutritt nur für autorisiertes Rechenzentrumspersonal, Videoüberwachung und Zutrittsprotokollierung.
- Nachweis
- ISO/IEC 27001:2022-Zertifizierung des Rechenzentrumsbetreibers.
- Status
- Umgesetzt
2. Zugangskontrolle
- Maßnahme
- Serverzugang ausschließlich über SSH mit Public-Key-Authentifizierung. Passwort-Logins sind deaktiviert. Fail2ban blockiert wiederholte fehlgeschlagene Anmeldeversuche.
- Nachweis
- SSH-Konfiguration (PasswordAuthentication no), Fail2ban-Regeln.
- Status
- Umgesetzt
3. Zugriffskontrolle
- Maßnahme
- Rollenbasiertes Berechtigungskonzept (Administrator/Benutzer). Authentifizierung über JWT. Der Anwendungsdienst läuft unter einem dedizierten, nicht privilegierten Benutzer (non-root).
- Nachweis
- Rollenmodell in der Anwendung, systemd-Service-User.
- Status
- Umgesetzt
4. Weitergabekontrolle
- Maßnahme
- Sämtliche Datenübertragungen erfolgen ausschließlich verschlüsselt über TLS 1.3. Es finden keine unverschlüsselten Transfers statt. Encryption at Rest (AES-256) in der Datenbank.
- Nachweis
- TLS-Konfiguration, Datenbank-Verschlüsselung (Neon).
- Status
- Umgesetzt
5. Eingabekontrolle
- Maßnahme
- Ein revisionssicherer Audit-Trail protokolliert alle sicherheitsrelevanten Aktionen (Upload, Freigabe, Ablehnung, Export) mit Zeitstempel und Benutzer.
- Nachweis
- Audit-Trail mit SHA-256-Prüfsummen (GoBD-konform).
- Status
- Umgesetzt
6. Auftragskontrolle
- Maßnahme
- Mit allen Sub-Processoren bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Drittlandtransfers sind durch EU-Standardvertragsklauseln (SCC) abgesichert.
- Nachweis
- AVV mit Anthropic, Hetzner, Neon, Vercel, Stripe.
- Status
- Umgesetzt
7. Verfügbarkeitskontrolle
- Maßnahme
- Automatische Datenbank-Backups mit Point-in-Time Recovery (Neon). Der Anwendungsdienst wird über systemd automatisch neu gestartet (Auto-Restart).
- Nachweis
- Neon-Backup-Konfiguration, systemd Restart-Policy.
- Status
- Umgesetzt
8. Trennungsgebot
- Maßnahme
- Mandantentrennung auf Anwendungsebene über die Benutzer-/Tenant-ID. Eine physische Trennung in separate Datenbanken ist in Vorbereitung.
- Nachweis
- Tenant-Filter in allen datenbezogenen Abfragen.
- Status
- Umgesetzt · Ausbau geplant (Roadmap)
Die TOM werden regelmäßig überprüft und an den Stand der Technik angepasst. Fragen unter ki@sbsdeutschland.de.