🔉 Technische und Organisatorische Maßnahmen (TOM)

Unser Dokumentation zu den Technischen und Organisatorischen Maßnahmen (TOM) beschreibt die Sicherheitsmaßnahmen, die unsere Organisation implementiert, um Ihre Daten vor Risiken wie Verlust, Missbrauch oder unbefugtem Zugriff zu schützen. Diese Maßnahmen umfassen sowohl technische Schutzvorkehrungen (z. B. Verschlüsselung, Zugriffskontrollen, Backups) als auch organisatorische Praktiken (z. B. Richtlinien, Schulungen, Incident-Response), um die Einhaltung der Datenschutzgesetze sicherzustellen.

Wichtig zu wissen ist, dass wir mit einem nach ISO 27001 zertifizierten Managementsystem für Informationssicherheit arbeiten, welches die verschiedenen Themenbereiche noch detaillierter abdeckt. Wenn Sie weitere Informationen zu unserem Managementsystem für Informationssicherheit wünschen, können Sie uns jederzeit kontaktieren.

Im folgenden Dokument handeln wir aus der Perspektive des Auftragnehmers, der für Kunden tätig ist.

Inhaltsverzeichnis

1. Pseudonymisierung
   
   

2. Verschlüsselung
   
   

3. Gewährleistung der Vertraulichkeit

   1. Zutrittskontrolle

   2. Zugangskontrolle

   3. Zugriffskontrolle
      
      

4. Gewährleistung der Integrität
   
   

5. Trennungskontrolle
   
   

6. Gewährleistung der Verfügbarkeit

   1. Systemverfügbarkeit

   2. Datenverfügbarkeit
      
      

7. Löschung von Daten
   
   

8. Gewährleistung der Belastbarkeit der Systeme
   
   

9. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

1. Pseudonymisierung

Der Auftragnehmer pseudonymisiert Daten im Sinne des Datenschutzes an verschiedenen Stellen. Vom Auftraggeber werden Email-Adressen und wahlweise Namen von Nutzern bzw. Mitarbeitern übermittelt. Nutzer können sich einen Namen vergeben und bestimmte Nutzerrollen einnehmen. Optional kann sich der Nutzer ebenfalls ein Profilbild einrichten sowie weitere, freiwillige Angaben machen.

Technisch wird jedem Nutzer automatisiert eine einmalige User-ID vergeben. Dies ist eine zehnstellige Zahl, die an anderen Stellen des Systems der technischen Identifikation einzelner Nutzer dient und die gleichzeitig sicherstellt, dass der Nutzer im System (bspw. in technischen notwendigen Protokollierungen oder Schnittstellen) über diese User-ID repräsentiert wird.  Den Zusammenhang zwischen Nutzername, Email und dieser User ID ist verschlüsselt in der Datenbank hinterlegt und den Zugang haben nur wenige Mitarbeiter mit Berechtigung (siehe Zugangskonzept).

Darüber hinaus wenden wir, wo dies sinnvoll ist, auch Anonymisierungsverfahren an (z. B. zur Nachverfolgung des Nutzerverhaltens in der App), sodass Kunden Daten verarbeiten oder auswerten können, ohne dass diese auf einzelne Nutzer zurückgeführt werden können.

2. Verschlüsselung

Die Nutzer erhalten von der Plattform mit der Einladung zu dem Angebot einen Link als Email Nachricht. Über diesen Link kommen die Nutzer auf eine Website. Dort müssen sich die Nutzer bei der Anmeldung ein eigenes Passwort vergeben, welches zusammen mit ihrer Email den Zugang zum Angebot ermöglicht im Rahmen einer klassischen Anmeldung (innerhalb einer App oder auf einer Website). Bei der Vergabe des Passworts wird dem Nutzer visualisiert, ob das gewählte Passwort „schwach“, „mittelmäßig“ oder „ziemlich gut“ ist. Ziel ist es die Nutzer darauf hinzuweisen ein möglichst sicheres Passwort zu verwenden. 

Die Stärke des Passworts wird in verschiedenen Stufen von „schwach“ über „in Ordnung“ bis „ziemlich gut“ kommuniziert. Bewertet wird dies durch einen Algorithmus der die Stärke eines Passworts anhand verschiedener Kriterien bewertet. Die formelle Mindestanforderung für das Passwort beträgt 6 Zeichen.

Das Passwort wird ab dem Moment der Vergabe selbst nur verschlüsselt in der Datenbank des Auftraggebers gespeichert. Verwendet wird dazu eine Verschlüsselung auf Basis des Standards „PBKDF2“ (Password-Based Key Derivation Funktion 2). PBKDF2 ist eine genormte Funktion, um von einem Passwort einen Schlüssel abzuleiten, der in einem symmetrischen Verfahren eingesetzt werden kann. PBKDF2 ist Bestandteil der Public-Key Cryptography Standards der RSA-Laboratorien (PKCS #5),[1] wurde im September 2000 auch von der Internet Engineering Task Force im RFC 2898 veröffentlicht[2] und im Dezember 2010 offiziell vom National Institute of Standards and Technology (NIST) empfohlen.

Durch diese Verschlüsselung wird der Zugriff auf Passwörter durch Unbefugt Dritte sehr stark erschwert und auch Mitarbeitern des Auftragnehmers ist es zu keinem Zeitpunkt möglich Passwörter einzusehen. Den Nutzern bleibt im Falle eines vergessenen Passworts nur die Nutzung der „Passwort vergessen“ Funktion. Diese generiert eine Email mit Link zur Erstellung eines neuen Passworts an die Email-Adresse des Nutzers.

Kunden haben zudem die Möglichkeit eine Zwei-Faktoren-Authentifizierung zu implementieren, die wahlweise den Zugang für bestimmte Rollen oder Nutzerkreise oder auch für Nutzenden aktiviert und absichert.

Die Nutzerdaten, d.h. Name und Email-Adresse sind in der Datenbank verschlüsselt gespeichert. Über den Schlüssel zur Offenlegung verfügen nur Geschäftsführung und technische Leitung. 

Für die internetbasierte und systeminterne Kommunikation von Clients und Serverkomponenten (bspw. zwischen Servern und Apps) nutzt der Auftragnehmer ausschließlich den sicheren Standard HTTPS, der anhand eines sogenannte SSL Zertifikats von einem der größten und namhaftesten Anbieter von solchen Zertifikaten, von der Firma Comodo (https://ssl.comodo.com/) verifiziert wird.

Technisch werden die Daten des Auftraggebers in einer Datenbank der Cloud-Dienstleister AWS oder Hetzner gespeichert. Kunden haben die Wahl zwischen den beiden Anbietern.

Die kryptografischen Funktionen der eingesetzten Datenbanktechnologie ermöglichen Verschlüsselung, Hashing und Kompression.  Alle auf AWS bzw. Hetzner gespeicherten Daten sind durch serverseitige Verschlüsselung geschützt. Die Daten werden verschlüsselt mit AES-256. Der Schlüssel wird dann mithilfe eines Hauptschlüssels mit AES-256 verschlüsselt und an einem sicheren Ort gespeichert. Der Master-Schlüssel wird regelmäßig gewechselt. Zugang zu dem Schlüssel haben nur Geschäftsführung und technische Leitung.

Im Rahmen eines täglichen Routine Backups werden Sicherheitskopien der gesamten Daten erstellt (siehe Punkt 6.2. Datenverfügbarkeit). Auch diese werden nur verschlüsselt gespeichert. 

1. Gewährleistung der Vertraulichkeit
   
   

   1. Zutrittskontrolle

Die Betriebsstätte des Auftragnehmers befindet sich in einem Mischgebiet in Berlin Kreuzberg. Das Gebäude selbst ist im Besitz der Metall- und Kunststoff-Innung Berlin. Das eingezäunte Grundstück ist nur durch eine Zufahrt über die Köpenicker Straße erreichbar. Diese Zufahrt ist nach Büroschluss und am Wochenende verschlossen. 

Der Geschäftsbereich befindet sich im zweiten Stock im zweiten Hof des Gebäudes. Über den Gebäudezugang durch den Hof über das Treppenhaus, kann auch der Geschäftsbereich erreicht werden. Es gibt einen weiteren Zugang, der über den Aufzug erfolgen kann. Dadurch ist allerdings ein Schlüssel erforderlich, den nur zwei Personen (Geschäftsführer und Büroleitung) besitzen. 

Im Seitenflügel befindet sich ein Notausgang über eine Feuertreppe, durch den man zwar die Geschäftsräume im Brandfall verlassen, kann durch die diese aber nicht betreten werden können, da die Schutztüren nur von innen geöffnet werden können. Alle Zugangstüren zum Gebäude sind grundsätzlich zu den Geschäftszeiten geöffnet. Nach Feierabend und am Wochenende sind diese verschlossen. Außerdem ist die Zufahrt zum Gebäude durch ein Tor gesichert welches ab 20:00 verschlossen ist.

Besucher nutzen die Klingel an der Tür zum Geschäftsbereich direkt im Treppenhaus. Die Türöffnung erfolgt manuell durch einen Mitarbeiter. Ein unbefugter oder unbemerkter Zugang zum Geschäftsbereich ist damit ausgeschlossen. Besucher betreten die Büroräume nur in Begleitung eines Mitarbeiters.

Die Tür ist mit einem elektronischen Schloss der Marke AirKey (https://www.evva.com/de-de/produkte/elektronische-schliesssysteme-zutrittskontrolle/airkey/, Firma: EVVA) gesichert. Entsprechende Zugänge werden über ein digitales Verwaltungssystem zugewiesen. Der Zugang ist möglich über einen Hardware Dongle oder eine Smartphone App. Über die App können Zugänge auch für einzelne Tage, generell zeitlich beschränkt oder auch mit bestimmten Einschränkungen vergeben werden. Das AirKey System sorgt zudem dafür, dass alle Zugänge zeitlich nachgehalten werden. 

Die Reinigung der Büroräume erfolgt außerhalb Geschäftszeiten durch festangestellte Mitarbeiter. Eine Vertretung ist intern organisiert, so dass keine betriebsfremden Reinigungskräfte die Büroräume betreten.

Alle Mitarbeiter wurden im Rahmen einer Datenschutzunterweisung darauf hingewiesen, dass sie verpflichtet sind, personenbezogene und vertrauliche Daten vor unberechtigten Zugriff zu schützen und betriebsfremde Personen nicht unbeaufsichtigt zu lassen.

Alle Türen und Fenster sind einbruchssicher. Die Außentüren sind einbruchsicher und mit doppelten Schließzylindern ausgestattet, die Schließzylinder sind aufbohr- und ausziehsicher.  Die Tür zum Geschäftsbereich ist aus Stahl und mit einem Zugangscode gesichert. Die Türe wird zusätzlich nach Büroschluss mit einem Schließzylinder verschlossen. Der Code wird monatlich gewechselt, so daß beispielsweise frühere Mitarbeiter keine Möglichkeit haben, in die Räume zu gelangen.

In den Geschäftsräumen selbst befinden sich keine Server oder andere Dokumentenspeicher, auf denen sich sensible Nutzerdaten Daten befinden könnten. Der Auftragnehmer speichert die Daten seiner Plattform auf der Cloud-Infrastruktur von Amazon Web Services. AWS hat die folgenden technischen und organisatorischen Maßnahmen umgesetzt, die die AWS Einrichtungen vor unbefugtem physischem Zutritt schützen. Derzeit umfassen diese Maßnahmen unter anderem: 

• Die Rechenzentren, Server, Netzwerkausstattung und Hostsoftwaresysteme von AWS bzw. Hetzner sind in unscheinbaren Gebäuden untergebracht. 

• Die Gebäude sind durch physische Sicherheitsmaßnahmen geschützt, um den unberechtigten Zutritt sowohl weiträumig (z. B. Zaun, Wände) als auch in den Gebäuden selbst zu verhindern. 

• Der Zutritt zu Serverstandorten wird elektronische Zugangskontrollen verwaltet und durch Alarmanlagen gesichert, die einen Alarm auslösen, sobald die Tür aufgebrochen oder aufgehalten wird. 

• Die Zutrittsberechtigung wird von einer berechtigten Person genehmigt und innerhalb von 24 Stunden entzogen, nachdem ein Mitarbeiter- oder Lieferantendatensatz deaktiviert wurde. 

• Alle Besucher müssen sich ausweisen und registrieren und werden stets von berechtigten Mitarbeitern begleitet.

• Zutritt zu sensiblen Bereichen wird durch Videoüberwachung überwacht. 

• Ausgebildete Sicherheitskräfte bewachen die jeweiligen Rechenzentren und die unmittelbare Umgebung davon 24 Stunden am Tag, 7 Tage die Woche.

2. Zugangskontrolle

Der Auftragnehmer hat die folgenden technischen und organisatorischen Maßnahmen umgesetzt, die die Systeme und Daten von tchop vor unbefugtem Zugang schützen. Derzeit umfassen diese Maßnahmen unter anderem: 

• Es gilt immer das Prinzip der Minimalberechtigung. Jeder Benutzer erhält nur die Zugriffsrechte, die erforderlich sind, um seine vertraglichen Tätigkeiten durchzuführen. Benutzerkonten werden immer zunächst mit den wenigsten Zugriffsrechten ausgestattet. Für die Einräumung von Zugriffsrechten über die Minimalberechtigung hinaus, muss eine entsprechende Berechtigung vorliegen. 

• Der Benutzer- und Administratorzugriff auf die Cloud-Infrastrukturen, welche alle relevanten Daten speichern, beruhen auf einem rollenbasierten Zugriffsberechtigungsmodell. Jeder Nutzer erhält eine eindeutige ID, um sicherzustellen, dass alle Systemkomponenten nur von berechtigten Benutzern und Administratoren genutzt werden können. 

• Der Benutzerzugriff auf Dienste des Auftragnehmers wird erst aktiviert, wenn die Personalabteilung einen entsprechenden Datensatz im HR-System erstellt hat. 

• Die Passwörter zur Anmeldung der Mitarbeiter bei entsprechenden Diensten sind geheim und werden an keiner Stelle im Klartext gespeichert. Jeder Nutzer hat die Möglichkeit, sein Passwort in den einzelnen Systembereichen und Anwendungsprogrammen selbst zu ändern. Die Mitarbeiter werden regelmäßig im Rahmen einer Datenschutzunterweisung über die Notwendigkeit der Passwortkonventionen unterrichtet und sind angehalten, diese auch anzuwenden. Alle Passwörter bestehen aus Buchstaben, Zahlen und mind. einem Sonderzeichen und werden regelmäßig geändert. Die Passwortkonventionen, d.h. mindestens 8 Zeichen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen und die Gültigkeit wird sofern möglich vom Betriebssystem bzw. von den Anwendungen eingefordert.

• Auf den Arbeitsplatzrechnern befinden sich keine schutzwürdigen oder personenbezogene Daten, sämtliche Daten werden bei den Dienstleistern AWS oder Hetzner in der Cloud gespeichert. Auf den Notebooks der Techniker und Mitarbeiter befinden sich für Entwicklungszwecke nur temporär verschlüsselte Kundendaten.

• Auf allen Arbeitsplätzen ist ein passwortgeschützter Bildschirmschoner aktiviert, der sich nach Ablauf einer Zeit, max. 5min., automatisch einschaltet. Damit wird eine unbefugte Nutzung bei Abwesenheit des Mitarbeiters verhindert.

• Die Zugriffsrechte auf das tchop IT-System werden innerhalb von 5 Minuten nach Deaktivierung des jeweiligen Mitarbeiterdatensatzes im Personalverwaltungssystem aufgehoben. Dazu gehören sowohl der Zugang zur entsprechenden Firmen-Email als auch alle weiteren Zugänge. Sicherheitsrelevante Zugänge liegen sicher verwahrt bei der Geschäftsführung (siehe Prinzip der Minimalberechtigung oben). Verlässt ein Mitarbeiter werden umgehend alle Zugänge durch den Administrator deaktiviert bzw. gesperrt.

• Der Internetzugang erfolgt über einen Router mit integrierter Firewall und einem dynamischen Content-Filter. Die Konfiguration der lokalen Firewall ist nur einem autorisierten Personenkreis möglich. Die Routerkonfiguration kann per Fernzugriff zu Wartungszwecken, beispielsweise für notwendige Sicherheitsupdates, Änderung des autorisierten Personenkreises, VPN-Zugänge etc., verändert werden. Die Berechtigung für die Änderung der Routerkonfiguration hat nur ein eingeschränkter Personenkreis (zwei Personen: Geschäftsführer und technische Leitung). Jede Änderung in der Routerkonfiguration wird mit Name und Zeitstempel protokolliert, so dass jederzeit nachvollziehbar ist, wer, wann, welche Änderungen an der Routerkonfiguration vorgenommen hat. 

• Zusätzliche Firewalls sind so konfiguriert, dass sie den Zugriff auf die Datenverarbeitungsumgebung beschränken und die Absicherung der Computing- Cluster verstärken.

• Firewall-Richtlinien (d.h. Konfigurationsdateien) werden automatisch alle 24 Stunden an die Firewall-Geräte übertragen und aufgespielt. 

• Die Kommunikation im Netzwerk erfolgt SSH-Verschlüsselt („Public key“) durch einen Bastion-Host, der den Zugriff auf Netzwerkgeräte und andere Cloud-Komponenten beschränkt und alle Aktivitäten im AWS-Netzwerk für eine Sicherheitsüberprüfung protokolliert.

3. Zugriffskontrolle

Der Auftragnehmer hat die folgenden technischen und organisatorischen Maßnahmen zur Einräumung und Regelung von Zugriffsrechten für Mitarbeiter und freien Mitarbeitern, die mit tchop zusammenarbeiten, umgesetzt. Derzeit umfassen diese Maßnahmen unter anderem: 

• Benutzer- und Administratorzugriff auf die verschiedenen Dienstleistungs-Geschäftskonten sowie speziell das AWS- bzw. Hetzner-Geschäftskonto, welches bei der erstmaligen Anmeldung dort erstellt wird, beruhen auf einem rollenbasierten Zugriffsberechtigungsmodell.
  
  Für die tägliche Arbeit bei AWS bzw. Hetzner wurden sogenannte IAM-Benutzer eingerichtet, die nur eingeschränkte Rechte haben und von den entsprechenden Software-Entwicklern für die tägliche Arbeit benutzt werden. IAM Nutzern sind mit eigenen Sicherheits-Anmeldedaten versehen. Unbeschränkten Zugang zu den Daten auf das AWS- bzw. Hetzner-Konto („Root“-Zugriff) hat nur die Geschäftsführung (dies sind zwei Personen) im Büro von tchop. Diese Root-Zugangsinformationen werden nicht für die tägliche Entwicklungsarbeit genutzt.

• Der Zugang zu relevanten Systembestandteilen und -Services (u.a. Monitoring) sind durch sogenanntes IP-Whitelisting geschützt, d.h. die IP-Adressen von Mitarbeitern werden hinterlegt. Nur Zugriffe mit freigeschalteten IP-Adressen werden erlaubt.

• Der Zugriff auf Nutzerdaten in der Datenbank ist nur über das jeweilige Zugangs- und Kontrollsystem möglich, ein direkter Zugriff von außen ist nicht möglich.

• Die erteilten Zugriffsrechte auf alle relevanten  Systeme werden mindestens vierteljährlich von der technischen Leitung überprüft. 

• Alle Notebooks sind zum Schutz vertraulicher oder personenbezogener Daten vollständig verschlüsselt.

• Das Erstellen, Löschen und Ändern von Benutzer-IDs, Anmeldeinformationen und anderen Identifizierungs-merkmalen wird zusammen mit einem Zeitstempel protokolliert. 

• Das Kopieren von Daten ist nur im Rahmen der Datensicherung und für die besonders geregelten Fälle der Datenweitergabe erlaubt, z.B. notwendiger Datenaustausch mit Kunden.

• Zusammen mit seinen Dienstleistern hat der Auftragnehmer hat einen Vorfallreaktionsplan erstellt, der bei einem Vorfall Folgendes regelt: Rollen, Verantwortlichkeiten, Kommunikations-und Kontaktstrategien für den Gefährdungsfall; Konkrete Verfahren als festgelegte Reaktion auf bestimmte Vorfälle; Abdeckung und Ansprache sämtlicher wichtigen Bestandteile des Systems.

Die Zugriffskontrolle auf die jeweiligen Geschäftskonten sowie die entsprechenden IAM-Nutzer werden mit einem umfassenden Sicherheitskonzept realisiert.

4. Gewährleistung der Integrität

Der Auftragnehmer hat die folgenden technischen und organisatorischen Maßnahmen umgesetzt, um sicherzustellen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Diese Maßnahmen stellen auch sicher, dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen oder erfolgt ist. Derzeit umfassen diese Maßnahmen in Abstimmung mit AWS bzw. Hetzner unter anderem: 

• Verhinderung von unbefugtem Kopieren: Die von AWS bzw. Hetzner ergriffenen Maßnahmen zur Verhinderung von unbefugtem Kopieren der physischen Speicherinfrastruktur als solche (z. B. Kopieren der Daten des Kunden durch Übertragung auf ein externes Speichermedium wie eine Festplatte) sind in den Maßnahmen wie oben in Ziffern 1–3 beschrieben enthalten. Darüber hinaus dürfen AWS- bzw. Hetzner Mitarbeiter und freie Mitarbeiter keine privaten elektronischen Geräte und mobile Datenträger an AWS- Informationssysteme anschließen. 

• Verschlüsselte Kommunikation: tchop verwendet für alle Datenschnittstellen und Websites ausschließlich HTTPS Kommunikation.  HTTPS steht für „Hypertext Transfer Protocol Secure“ und ist im technischen Sinne kein eigenständiges Protokoll. HTTPS bezeichnet die Verwendung von HTTP über SSL oder TLS. tchop verwendet ein von einer Zertifizierungsstelle signiertes SSL-Zertifikat. Durch die Verwendung eines solchen Zertifikats kann sichergestellt werden, dass während der Übertragung keine Manipulation der Inhalte durch Dritte möglich ist und beispielsweise keine Falschinformationen über Ihr Unternehmen in Ihre Firmenwebsite injiziert werden. 

• Nutzeridentifikation: für die wiederholte Identifikation von Administratoren und Editoren mit Zugang zum Backend von tchop, werden für jeden Nutzer sogenannte Browser Cookies mit einer Gültigkeit von einem Jahr genutzt. Diese ermöglichen es dem User bei dem nächsten Besuch der Website bzw. Plattform ohne neue Anmeldung direkt zu nutzen. Die Nutzung dieser Cookies kann vom Nutzer leicht über die entsprechenden Browser-Einstellungen deaktiviert werden. Die Cookies dienen nur der Anmeldung bzw. Identifikation des Nutzers sowie der Erhebung der in Anlage 1 beschriebenen, sehr begrenzten Daten. 

• Die nativen Apps speichern die jeweiligen Nutzerdaten des Nutzers, der sich dort angemeldet hat, damit diese im Rahmen des Nutzerprofils in der App angezeigt und verwendet werden können. Nutzungsdaten werden nicht erfasst oder weitergeleitet. Es wird nur das für die grundsätzliche Funktionalität notwendigste gespeichert und verfügbar gemacht für die jeweilige native Applikation. Den Zugang zu diesen Daten auf dem Telefon des jeweiligen Nutzers sollten Nutzer durch entsprechende Zugangskontrollen (Codes, Passwörter etc.) schützen. Dies obliegt dem Nutzer und kann vom Auftragnehmer nicht eingesehen oder beeinflusst werden.

• Nutzung eines sogenannten API-Tokens: die Abfrage von Inhalten durch die nativen Apps wird immer mit einem sogenannten Berechtigungsschlüssel verbunden. Dies stellt sicher, dass das System jederzeit einem Nutzer den Zugriff auf Inhalte verifizieren und im Zweifel verweigern kann, so dass die nativen Apps keinen Zugriff mehr auf Inhalte erhalten und der Nutzer aus dem Angebot ausgeloggt wird (wenn er bspw. gelöscht wurde und das Unternehmen verlassen hat).   

• Außerbetriebnahme von Speichergeräten: Wenn die Lebensdauer eines Speichergeräts zu Ende geht, führt AWS bzw. Hetzner einen speziellen Prozess zur Außerbetriebnahme durch, damit Kundeninhalte nicht an unbefugte Personen gelangen. Alle stillgelegten Magnetspeichergeräte werden entmagnetisiert und den branchenüblichen Vorgehensweisen und dem geltenden Datenschutzgesetz entsprechend physisch zerstört. 

• Sichere Zugangspunkte: AWS bzw. Hetzner verfügt über eine beschränkte Anzahl von Zugriffspunkten zur Cloud. Diese Kundenzugriffspunkte heißen API-Endpunkte und dienen dem sicheren HTTP-Zugriff (HTTPS). tchop kann hierdurch sicher mit den eigenen Speicher- oder Datenverarbeitungs-Instanzen auf der jeweiligen Plattform kommunizieren. 

• Verbindungen mit dem Netzwerk durch Mitarbeiter des Auftragnehmers: Mitarbeiter greifen SSH-Verschlüsselt („Public key“) durch einen Bastion-Host auf das AWS Netzwerk zu. Der Bastion-Host beschränkt den Zugriff auf Netzwerkgeräte und andere Cloud-Komponenten.
  
  

5. Trennungskontrolle

Der Auftragnehmer hat die folgenden technischen und organisatorischen Maßnahmen ergriffen, um sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:

• Trennung von System und Datenbank: die technische Architektur basiert auf einem modularen Ansatz, der unterschiedliche Services und Systemelemente durch sichere Datenschnittstellen flexibel und effizient verbindet. Das Gesamtsystem wird dadurch weniger komplex und Anpassungen und Verbesserungen an einem Teil des System wirken sich weniger kritisch auf andere Bereiche aus. Bei einer solchen „Microservices“-Architektur wird komplexe Anwendungssoftware aus unabhängigen Prozessen komponiert, die untereinander mit sprachunab-hängigen Programmierschnittstellen kommunizieren. Die Dienste selbst sind weitgehend entkoppelt und erledigen eine kleine Aufgabe. Die Datenbank ist als isolierter, virtualisierter Service komplett getrennt und unabhängig von anderen Teilen des Systems, die die Anwendungslogik enthalten. Dies ermöglicht einen modularen Aufbau von Anwendungssoftware und stellt sicher, dass das Prinzip der Funktionstrennung umfassend und konsequent eingehalten wird. Zwischen den Komponenten werden jeweils nur die unbedingt notwendigen Daten ausgetauscht. 

• Trennung der Datenbanken: um die nutzerbezogenen Daten in der Datenbank (Name und Email-Adresse) besonders zu schützen, sind diese Daten separiert von der Datenbank, die alle Inhalte der Plattform enthält. Dies ermöglich gesonderte Schutzmaßnahmen wie eine spezielle Verschlüsselung der Datenbank mit den Nutzerdaten und erschwert den unbefugten Zugriff zusätzlich.

• Trennung von Nutzerrollen: Der Auftragnehmer versucht so wenig wie möglich personenbezogene Daten zu verarbeiten bzw. nur da wo es einen unmittelbaren Nutzen für den Auftraggeber im Rahmen des Auftrags selbst haben kann. Daher unterscheidet tchop zwischen zwei Arten von Nutzern: 1. Administratoren und Editoren des Kunden sowie 2. Nutzern des inhaltlichen Angebots bzw. der nativen Apps. Nutzer des Angebots sind häufig ein größerer Personenkreis wie bspw. Kunden, Mitarbeiter, Interessensgruppen. 

Um Administratoren und Editoren bei der Nutzung des Content Management Systems der Plattform im Browser zu unterstützen werden einige Daten erhoben, die zeigen wie die Nutzer funktional mit der Plattform umgehen (Details siehe Anhang „Subunternehmer“, Arbeit mit Crisp). Für gewöhnlich handelt es sich bei diesem Nutzerkreis, um eine geringe Anzahl ausgewählter Personen. Die Daten dienen ausschließlich Support und Hilfestellung dieser Nutzer bei der möglichst effizienten Verwendung der tchop Plattform. 

Hinsichtlich der inhaltlichen Nutzung des Angebots bzw. der nativen Apps (bspw. was Nutzer lesen) wird grundsätzlich bewusst bei allen Nutzergruppen auf die Erhebung personenbezogener Daten verzichtet.

• Trennung von Test- und Produktivumgebung: der Auftragnehmer verfügt über verschiedene Server-Umgebung, die auf der einen Seite die Entwicklung und den Test neuer Funktionen erlauben sowie eine davon getrennte Produktiv-Server-Umgebung. Alle Server sind wie beschrieben virtualisierte Server in der Cloud, die über Amazon Web Services bereit gestellt werden. Die Trennung von Test- und Produktivumgebung ermöglicht eine sichere und zuverlässige Entwicklungsarbeit. So kann ein Entwickler eine neue Version einer Software auf der Testumgebung entwickeln, Tester können auf dieser Umgebung testen, um die Software dann auf der Produktionsumgebung zu installieren (sog. Releasemanagement). In Fehlerfällen kann ein Zustand der Produktionsumgebung auf eine Testumgebung gespiegelt werden, um dort Untersuchungen vornehmen zu können, ohne die Produktionsumgebung zu stören. 

• Trennung von Unternehmensnetzwerk: wie bereits unter dem ersten Punkt beschrieben, ist auch das Unternehmensnetzwerk von tchop mit der unternehmensinternen Datenbank sowie den wichtigen Unternehmensfunktionen komplett getrennt von allen kunden- und personenbezogenen Daten. Die einzige Funktionalität, die auf der gleichen Plattform (jedoch als getrennte Email-Adresse) genutzt wird, ist die Email-Infrastruktur der Google Suite (siehe Anlage für Subunternehmer), die Mitarbeiter nutzen. Support-Anfragen von Mitarbeitern des Auftraggebers werden über eine eigene Support-Email (support@tchop.io) behandelt. Anfragen an diese Email werden ausgewählten Mitarbeitern des Auftragnehmers zur Weiterverarbeitung und Beantwortung weitergeleitet. Der Support-Prozess ist grundsätzlich so strukturiert, dass er als eigenständiger Prozess unabhängig von der normalen Email-Kommunikation abgewickelt werden kann. 

• Mandantenfähige Server- und Datenbankumgebung: Die von tchop genutzte AWS- bzw. Hetzner-Umgebung ist eine virtualisierte Mehrmandantenumgebung. Die Anbietern haben Prozesse zur Sicherheitsverwaltung sowie Sicherheitskontrollen eingerichtet, die die Trennung von Daten einzelner Kunden ermöglicht. Die jeweiligen Systeme sind so konzipiert, dass Kunden nicht auf physische Hosts oder Instanzen zugreifen können, die nicht zu ihrem Account gehören. Dies wird durch die Filterung im Rahmen einer Virtualisierungssoftware ermöglicht. Der Hypervisor wird regelmäßig von internen und externen Expertenteams auf neue und vorhandene Schwachstellen und Angriffsmöglichkeiten geprüft.

• Berechtigungs- und Rechtekonzept: wie im Punkt 3 bereits ausführlich dargelegt sind auch die Berechtigungen zu den unterschiedlichen Services sowie zur AWS- bzw. Hetzner-Datenbank streng getrennt. Mitarbeiter bekommen immer nur die zwingend für ihre Arbeit notwendigen Zugangsberechtigungen. 

6. Gewährleistung der Verfügbarkeit

Für die IT-Systeme von tchop sind verschiedene Sicherungs- und Backup-Mechanismen implementiert, die eine hohe Verfügbarkeit und Kontrolle von System und Datenbank sicherstellen. Dies werden im Folgenden beschrieben.

1. Systemverfügbarkeit

Die Verfügbarkeit der gesamten tchop Platform wird durch ein umfangreiches Monitoring-System auf Basis des Open Source Frameworks „Grafana“ (https://grafana.com) abgedeckt. Dies erlaubt es dem gesamten Entwicklungsteam frühzeitig Veränderungen, Überlastungen und Probleme zu erkennen und zu analysieren. Permanent gemessen werden verschiedene Werte von der CPU-Last bis zum Speicherstand, von verschiedenen Werten der Datenbank (Anfragen, Prozessor-Auslastung) bis zu diversen systeminternen Variablen in Bezug auf Datenschnittstellen und verbundene Services (bspw. die „Integrations“).

Zudem nutzt das Entwicklungsteam von tchop verschiedene Tools zur Fehleranalyse und zur schnellen, effizienten Fehlerbehebung (sog. Bug Fixing). Unter anderem wird das weit verbreitete System Sentry (https://sentry.io) verwendet, welches in Echtzeit Nachrichten und Analysen zu auftretender Fehlerquellen und Ursachen an das Technik-Team von tchop liefert. Fehler können so auf technischer Ebene unmittelbar erkannt und behoben werden. Das System hilft zudem direkt bei der Ursachenanalyse und erleichtert damit die Behebung von Problemen. 

Bei einem Systemausfall des Applikationsteils tritt serverseitig automatisch das Notfallsystem “Rancher Security System” (https://rancher.com) in Kraft und macht das ausgefallene System normalerweise innerhalb von 5-10 Sekunden wieder verfügbar. Von einem Ausfall des Rancher-Systems umgedreht, wäre die tchop Plattform selbst nicht betroffen.

Der Zugang zu den Monitoring-Systemen ist sowohl über einen Berechtigungs- und Zugangskonzept als auch über ein sogenanntes IP-Whitelisting geschützt, d.h. es können nur Mitarbeitern zugreifen und entsprechende Informationen einsehen. Personenbezogene Daten werden in den beschriebenen Monitoring-Systemen nicht erfasst oder verarbeitet. 

Außerdem verfolgt tchop insgesamt einen testgetriebenen Entwicklungsansatz auf Basis der sogenannten „Continuous Integration“. Bei diesem Modell erfolgen das Software-Build, die Integration, das Testen und das Reporting sämtlicher Änderungen unmittelbar nach deren Hinzufügen zur Codebasis. Dank Tests und Berichten zu potenziellen Mängeln und Konflikten in der Codebasis können diese einfacher identifiziert und direkt behoben werden.

Im Rahmen eines CI-Prozesses teilen Entwickler ihren Code und ihre Tests, indem sie die Änderungen nach dem Abschluss jeder kleinen Aufgabe zur Zusammenführung in ein geteiltes Repository für die Versionskontrolle einspeisen. Ein automatisiertes Build-System nimmt die aktuellste Version des Codes aus diesem geteilten Repository und kümmert sich um das Build, das Testen und die Validierung des vollständigen Master-Branches. tchop verwendet dazu ein modernes Versionsverwaltungssysteme namens Git (https://de.wikipedia.org/wiki/Git). tchop nutzt für den Software-Code des Anbieters Github (https://github.com) und für den serverseitigen Software-Code die Plattform Gitlab (https://gitlab.com).

Das Entwicklungsteam nutzt Build-Definitionen, um sicherzustellen, dass jedes Commit zum Master-Branch die automatischen Build- und Test-Prozesse auslöst. Da Fehler durch eine derartige Umsetzung von CI zu einem früheren Zeitpunkt im Entwicklungszyklus erkannt werden, fallen für ihre Behebung weniger Kosten an. Automatisierte Tests bei jedem Build sorgen für eine verbesserte Testabdeckung sowie eine konsistent hohe Build-Qualität. Zudem reduzieren Entwickler sowohl Risiken als auch sich wiederholende manuelle Prozesse auf ein Minimum und Teams profitieren von einer besseren Übersicht über das Projekt.

Damit kann der Auftragnehmer effizient und fortlaufend sicherstellen, dass das gesamte System innerhalb kürzester Zeit wieder verfügbar gemacht und die Fehleranfälligkeit gering gehalten werden kann.

2. Datenverfügbarkeit

Die Verantwortlichkeiten für die Datensicherung bzw. die Sicherung aller Inhalte der Datenbank von tchop ist durch die Vereinbarung mit AWS, dem Cloud-Dienstleister geregelt. Der Auftragnehmer verfügt selbst über keine lokalen Server zur Datenspeicherung. Für die Datenbank verwendet wird das Produkt „Amazon Related Database Service“ (https://aws.amazon.com/de/rds/?hp=tile&so-exp=below) . Dieser Service stellt kosteneffiziente und anpassbare Kapazitäten zur Verfügung und automatisiert zeitaufwendige Verwaltungsaufgaben wie Hardwarebereitstellung, Datenbankeinrichtung, Einlesen von Patches und Backups.

AWS und Hetzner stellen eine hohe Verfügbarkeit von 99,9% aller Daten sicher und kann in jedem Fall zu einer getrennten Sicherungsinstanz wechseln, so dass die Daten entsprechend verfügbar und sicher bleiben. Im letzten Betriebsjahr lag die tatsächliche Verfügbarkeit bei ca. 99,999%.

Es werden von Amazon und Hetzner die erforderlichen Sicherungsmaßmahmen gemäß DGSVO durchgeführt. Beide Anbieter erstellen und speichern automatisierte Sicherungen der gesamten tchop Datenbank-Instanz. Einmal täglich wird Snapshot für das Volume erstellt, sodass die gesamte Instanz gesichert wird und nicht nur einzelne Teile oder Bestandteile

Die automatisierten Sicherungen und manuellen Datenbank-Snapshots werden in dem jeweiligen Sicherungsspeicher von tchop abgelegt. Automatisierte Sicherungen werden täglich während des standardisierten Zeitfensters für die Sicherung durchgeführt.

Wenn die Sicherung mehr Zeit als im Zeitfenster angegeben benötigt, wird sie nach dem Ende des Fensters weiter ausgeführt, bis sie abgeschlossen ist. Das Zeitfenster für die Sicherung darf sich nicht mit dem wöchentlichen Wartungsfenster für die Datenbank-Instanz überschneiden.

Während des Zeitfensters für die automatisierte Sicherung können E/A-Speichervorgänge kurzzeitig ausgesetzt werden, bis der Sicherungsprozess gestartet wird (normalerweise nur wenige Sekunden). Bei Multi-AZ-Bereitstellungen können für einen Zeitraum von wenigen Minuten längere Latenzzeiten während einer Sicherung auftreten. Für SQL Server wird bei Multi-AZ-Bereitstellungen die E/A-Aktivität während des Sicherungsvorgangs kurzzeitig ausgesetzt.

Der Aufbewahrungszeitraum für Backups kann auf einen Wert zwischen 1 und 35 Tagen festgelegt werden. Die Backups der gesamten tchop Datenbank werden jeweils sieben Tage aufbewahrt.

Alle Backups sind verschlüsselt. Der Ausfall zentraler Systemkomponenten führt zu einer automatischen Meldung per Mail. In einem Notfallszenario ist der genaue Ablauf der Rücksicherung bzw. die Wiederherstellung des Produktivsystems beschrieben (siehe auch oben „Rancher Security System“).

Auf allen Notebooks von Mitarbeitern wird zum Schutz gegen Schadsoftware eine professionelle Antivirensoftware eingesetzt. Erkannte Malware wird auf der Admin-Konsole gemeldet. Eingehende Mails werden zusätzlich beim Provider Google auf Schadsoftware geprüft. 

7. Löschung von Daten

tchop bietet verschiedene Maßnahmen zum Abrufen, Korrigieren, Löschen oder Sperren von kundenbezogenen Daten. Editoren und Administratoren auf Seiten des Arbeitgebers können jederzeit selbst Nutzer aus der Nutzerverwaltung entfernen. In diesem Moment werden die nutzerbezogenen Daten des Mitarbeiters (Email-Adresse, Name, Status der Registrierung) auf den entsprechenden AWS- bzw. Hetzner-Services bzw. der Datenbank gelöscht, unleserlich oder unbrauchbar gemacht. Mit der Löschung dieses Hauptdatensatzes werden auch etwaige Links zu den Daten und deren Kopien gelöscht. Ausgenommen sind verschlüsselte Daten-Backups. In diesen Backups kann der Datensatz für maximal weitere 14 Tage vorhanden sein bis er auch hieraus durch das nächste automatisierte Backup überschrieben und gelöscht wird. 

Eine Weiterverarbeitung dieser Kundendaten nach Löschung ist dann nicht mehr möglich. Wird der Nutzer mit gleicher Email-Adresse nach der Löschung erneut hinzugefügt wird er vom Auftragnehmer wie ein neuer Nutzer behandelt.

Alternativ kann der Auftraggeber den Auftragnehmer bitten bestimmte Daten zu löschen. Für diesen Fall verfährt der Auftragnehmer nach einer abgestimmten, allen Mitarbeitern bekannten Löschroutine. Diese erfolgt in den folgenden drei Schritten und ist zwingend in schriftlicher Form mit dem Auftraggeber abzustimmen:

1. Definition der zu löschenden Daten (dies können einzelne Nutzer oder auch ganze Channels bzw. Accounts sein)

2. Abstimmung des genauen Zeitraum der Löschung (sofort oder zu einem bestimmten Datum)

3. Prüfung der Aufbewahrungspflicht der jeweiligen Daten 

In jedem Falle gelöscht werden alle vom Auftraggeber übermittelten, personenbezogenen Daten (Email-Adressen, Namen) sowie alle damit im Zusammenhang stehenden, erfassten Daten gelöscht nach Ende des Auftrages innerhalb eines Zeitraums von 30 Tagen.

Personenbezogene Daten werden bei tchop grundsätzlich nie ausgedruckt und liegen demnach in keinem Moment in Papierform vor.

Nicht mehr benötigte Notebooks von Mitarbeitern werden vor der Entsorgung im Zusammenarbeit mit der Metall-Innung Berlin (dem Vermieter von tchop) mechanisch durch eine Bohrung im relevanten Speichermedium des Rechners zerstört.

8. Gewährleistung der Belastbarkeit der Systeme

Das gesamte IT-System des Auftragnehmers ist so konzipiert und gestaltet, dass es auch einer hohen Belastbarkeit Stand hält. Der Auftragnehmer verarbeitet Daten von einer Vielzahl von Auftraggebern und stellt dementsprechend sicher, dass das Gesamtsystem auch von größeren Aufträgen zu keinem Zeitpunkt beeinträchtigt wird. Die Plattform ist für eine hohe Anzahl an aktualisierten, neuen Inhalten sowie eine große Anzahl an Nutzern ausgelegt. Die Belastung aus Sicht des Systems kann sich durch verschiedene Faktoren signifikant erhöhen und das System ist darauf folgendermaßen vor bereitet:

• Anzahl an Anfragen: eine erhöhte Anfrage an das System, sogenannte „Requests“ können gewollt oder ungewollt in ungewohntem Maße ansteigen. Das System wurde in Tests ausgelegt für bis zu Anfragen zu 2.000 Anfragen pro Sekunde.  Die tatsächlichen Zugriffszahlen liegen selbst in Höchstzeiten bei zum heutigen Stand nur bei einem Bruchteil. Technisch besteht in der Zukunft die Möglichkeit diese Belastbarkeit weiter zu steigern, sollte hier ein Bedarf erkennbar sein.

• Erhöhte Zugriffszahlen durch „Clients“: der Zugriff auf die Datenschnittstelle ist durch einen Token geschützt, so dass nur Clients mit diesem Token auf Daten bzw. Inhalte zugreifen können. Zusätzlich können nur angemeldete Nutzer in den Apps Inhalte abrufen und auf das System zugreifen. Das System ist in dem Sinne vor unerwartet hohen Zugriffszahlen durch Clients bzw. Apps prinzipiell geschützt. Zudem besteht jederzeit die Möglichkeit einzelne Token zu löschen und damit den Zugriff bestimmter Clients wieder zu beschränken. 

• Gezielte Denial-of-Service-Attacken: Der Auftragnehmer diskutiert zudem die Implementierung von Tools wie „AWS Shield“, um zukünftig auf potenzielle Attacken auf Datenbank und System vorbereitet zu sein. Bislang stellen diese Angriffe aber keine überdurchschnittliche Gefahr dar, die eine solche Maßnahme rechtfertigen würde.

9. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Das gesamte IT-System des Auftragnehmers wird fortlaufend weiterentwickelt, verbessert und auf aktuelle und zukünftige Produkt- und Sicherheitsanforderungen angepasst. Die Anforderungen an Datenschutz und Privatsphäre spielen dabei eine zentrale Rolle. tchop nimmt den Schutz personalisierter Kundendaten sehr ernst und ist ständig auf der Suche nach optimalen, effizienten Wegen den Schutz weiter zu verbessern. Dabei wird versucht eine sinnvolle Kombination aus bewährten und innovativen Technologien angemessen umzusetzen.

Die Effizienz der in diesem Dokument beschriebenen Maßnahmen wird fortlaufend überprüft, um Schwachstellen frühzeitig aufzudecken und das Gesamtsysteme auf der Basis neuer Erkenntnisse, neuer Technologien und gestiegener Anforderungen zu optimieren. In diesem fortlaufenden Prozess sind unter anderem folgende Maßnahmen implementiert:

• Schwachstellenmanagement (sog. „Vulnerability Management“) und Penetrationstests: Die Analyse von Schwachstellen ist ein iterativer, sich wiederholender Prozess. Die interne Überprüfung der eigenen Sicherheitsarchitektur erfolgt in speziellen, vierteljährlichen Sprints (jeweils 2 x 2 Wochen, s.h. ein Kalendermonat) sowohl automatisiert als auch manuell. Der Prozess dieser Prüfungen verläuft in der Regel dreistufig, bei Bedarf wird er auch mehrfach wiederholt, um neu gewonnene Kenntnisse in den anderen Phasen berücksichtigen zu können:

• Informationen sammeln

• Sicherheitslücken identifizieren

• Sicherheitslücken auswerten

Ein Team von jeweils mindestens zwei Entwicklern und Aufsicht und Steuerung der technischen Leitung arbeitet unter anderem an den folgenden Fragen: Welche technischen Schwachstellen hat das System, die Infrastruktur oder spezielle Anwendungen der Plattform? Wie wirksam sind existierende Sicherheitsmechanismen, um Angriffe zu unterbinden oder zu erkennen? Welchen Schaden kann ein Angreifer anrichten, der Schwachstellen ausnutzt und die Sicherheitsmechanismen umgeht? Welche neuen technischen Entwicklungen und Anforderungen gibt es sowohl technisch als auch regulatorisch? Die Ergebnisse dieser vierteljährlichen Sprints werden zwischen Technikleitung und Geschäftsführung in gesonderten Workshops diskutiert und hinsichtlich Ihrer Ergebnisse qualitativ und quantitativ ausgewertet.

Letzte Aktualisierung: 15.8.2025