energydesk · v2026-05 · Anlage 1 zum AVV
Technisch-organisatorische Maßnahmen (TOM)
gemäß Art. 32 DSGVO
Stand: Mai 2026
Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen, die der Auftragnehmer (Dynkhues GmbH) zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus im Rahmen des Betriebs des energydesk-Portals trifft. Es ist Anlage 1 zum Auftragsverarbeitungsvertrag (AVV).
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren:
- Server werden in einem professionellen Rechenzentrum betrieben (Hetzner Online GmbH, Deutschland)
- Physische Sicherheit (Zutrittskontrolle, Videoüberwachung, Sicherheitspersonal) wird durch den Rechenzentrumsbetreiber gewährleistet (siehe Abschnitt 5)
- Kein physischer Zugang des Auftragnehmers zu den Servern erforderlich (vollständige Remote-Verwaltung)
1.2 Zugangskontrolle
Maßnahmen, um Unbefugte an der Nutzung der Systeme zu hindern:
- SSH-Zugang zum Server ausschließlich über SSH-Key-Authentifizierung (Ed25519); kein passwortbasierter SSH-Login
- Firewall mit restriktivem Regelwerk; Standarddienste (PostgreSQL, App-Server) nur über Loopback erreichbar
- Caddy als Reverse-Proxy mit TLS-Terminierung sowie zusätzlicher nginx-Schicht auf Hostebene
- Alle Anwendungs-Sessions sind serverseitig in der Datenbank verwaltet und können jederzeit revoziert werden
1.3 Zugriffskontrolle
Maßnahmen, um sicherzustellen, dass Berechtigte nur auf die ihnen zugeordneten Daten zugreifen:
- Authentifizierung über E-Mail/Passwort mit Argon2id-Hashing für Operator- und Backoffice-Benutzer
- PIN-Authentifizierung mit Argon2id-Hashing und Sperrmechanismus nach Fehlversuchen für Mitarbeiter am Tablet
- Rollenbasierte Zugriffskontrolle (Operator, Super-Admin, Brand-Admin, Stationsleiter, Mitarbeiter)
- Strikte Multi-Tenant-Trennung: alle Datenbankabfragen filtern nach
operatorId,brandId,clusterIdoderstationIdentsprechend der Berechtigung - Session-Cookies mit den Sicherheitsattributen
Secure,HttpOnlyundSameSite=Lax - Automatische Session-Invalidierung nach Zeitablauf bzw. Logout; Tablet-Sitzungen mit kurzem Idle-Timeout
- Sofortige Sperrmöglichkeit gepairter Tablets durch den Auftraggeber
1.4 Trennungskontrolle
Maßnahmen zur getrennten Verarbeitung von Daten verschiedener Auftraggeber:
- Strikte Multi-Tenant-Architektur in einer gemeinsamen Datenbank mit verpflichtender Mandantenkennung in jeder Tabelle
- Querverweise zwischen Mandanten technisch ausgeschlossen; sämtliche Listen-, Such- und Aggregations-Endpunkte filtern auf Mandantenebene
- Zentrale Authentifizierungs- und Autorisierungsschicht prüft bei jedem Datenzugriff die Mandantenzuordnung
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
Maßnahmen zum Schutz personenbezogener Daten bei Übertragung:
- Sämtliche Verbindungen zwischen Endgeräten und Portal ausschließlich über HTTPS/TLS 1.2+ (Let's Encrypt-Zertifikate mit automatischer Erneuerung)
- Verbindungen zu Subprozessoren (Hetzner, IONOS-SMTP, Google OAuth, ggf. Stripe) ausschließlich über TLS
- Web-Push-Benachrichtigungen werden über die VAPID-Schlüssel des Auftragnehmers signiert
- Keine unverschlüsselten Datenübertragungen über öffentliche Netze
2.2 Eingabekontrolle
Maßnahmen zur Nachvollziehbarkeit von Dateneingaben:
- Append-only Audit-Log für sicherheitsrelevante Aktionen (Anmeldung, Stempel-Korrekturen, Belehrungs-Quittierungen, Belegungsänderungen u. a.) — UPDATE und DELETE auf Datenbankebene durch SQL-Trigger blockiert
- Aufrufprotokoll (Page-Views) mit Akteur-Identifikator, Pfad, IP, User-Agent und Zeitstempel
- Versionierung von Dokumenten und Belehrungs-Vorlagen; eine neue Version erzeugt einen neuen Datensatz, vorhandene Versionen bleiben unverändert
- Historische Originalwerte bei nachträglichen Änderungen an Stempel- und Pausenzeiten werden zusätzlich gespeichert
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
3.1 Verfügbarkeitskontrolle
Maßnahmen zum Schutz gegen Datenverlust:
- VPS-Server bei Hetzner mit redundanter Stromversorgung und Netzanbindung
- Tägliche Datenbank-Backups (PostgreSQL
pg_dump) mit einer Aufbewahrungszeit von 30 Tagen - Tägliche Backups der hochgeladenen Dokumente und Foto-Anhänge
- Container-basierte Deployment-Architektur mit automatischem Neustart bei Absturz (
restart: unless-stopped) - Monitoring der zentralen Dienste über automatische Health-Checks
3.2 Belastbarkeit
Maßnahmen zur Gewährleistung der Belastbarkeit:
- Reverse-Proxy (Caddy) mit TLS-Terminierung und Rate-Limiting
- Asynchrone Hintergrund-Verarbeitung lang laufender Aufgaben (z. B. PDF-Erzeugung, Volltext-Indexierung)
- Datenbank-Index-Pflege und regelmäßige Performance-Überprüfung
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
4.1 Datenschutz-Management
- Dieser AVV und die zugehörigen TOM werden regelmäßig — mindestens jährlich — überprüft und bei Bedarf aktualisiert
- Wesentliche Änderungen werden dem Auftraggeber gemäß den Bestimmungen des AVV mitgeteilt
4.2 Incident-Response
- Datenschutzverletzungen werden unverzüglich erkannt und untersucht
- Benachrichtigung des Auftraggebers innerhalb von 72 Stunden nach Bekanntwerden gemäß Art. 33 Abs. 2 DSGVO
- Dokumentation jedes Vorfalls mit zeitlichem Ablauf, betroffenen Daten und getroffenen Gegenmaßnahmen
- Primärer Ansprechpartner für Datenschutzvorfälle: info@energydesk.online
4.3 Software-Sicherheit
- Regelmäßige Sicherheits-Updates des Betriebssystems und aller eingesetzten Software-Komponenten
- Verwendung aktiv gepflegter Versionen (PostgreSQL, Next.js, Node.js)
- Passwort- und PIN-Hashing ausschließlich mit Argon2id; keine Klartextspeicherung von Anmeldedaten
- Statische Code-Prüfung und Type-Checking im Build-Prozess
4.4 Berechtigungsmanagement beim Auftragnehmer
- Beschränkter Personenkreis mit administrativem Zugriff auf Produktivsysteme
- SSH-Key-basierter Zugang ausschließlich von vertrauenswürdigen Geräten
- Dokumentation administrativer Zugriffe
5. Zertifizierungen und Audits des Rechenzentrumsbetreibers
5.1 Hetzner Online GmbH — Zertifizierungen
Der Rechenzentrumsbetreiber Hetzner Online GmbH verfügt über folgende Zertifizierungen:
| Zertifizierung | Status |
|---|---|
| ISO/IEC 27001 (Informationssicherheits-Management) | Zertifiziert seit Oktober 2016, regelmäßig erneuert |
| BSI C5 Typ 2 (Cloud Computing Compliance) | Erteilt seit Dezember 2025 |
5.2 TÜV-Audit der technisch-organisatorischen Maßnahmen
Die TOM von Hetzner Online GmbH werden jährlich durch den TÜV Rheinland geprüft. Das aktuelle Audit umfasst u. a. folgende Standorte:
| Standort | Prüfungsdatum |
|---|---|
| Helsinki / Tuusula (Finnland) | 19.02.2026 |
| Falkenstein (Deutschland) | 11.02.2025 |
| Nürnberg (Deutschland) | 07.02.2024 |
Der aktuelle Prüfbericht ist über das Hetzner-Kundenportal abrufbar: https://accounts.hetzner.com/account/dpa
5.3 AVV mit Hetzner Online GmbH
Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wurde mit Hetzner Online GmbH geschlossen:
- Vertragsnummer: K0401256926
- Datenverarbeitung: ausschließlich innerhalb der EU bei Wahl eines EU-Serverstandorts
- Serverstandort: Deutschland
5.4 Verantwortlichkeiten beim Cloud-Server-Betrieb
Gemäß der Hetzner-Produktdokumentation und dem TÜV-Audit obliegen dem Auftragnehmer (Dynkhues GmbH) als Betreiber des Cloud Servers folgende Maßnahmen:
| Maßnahme | Verantwortlich | Umsetzung |
|---|---|---|
| Datensicherung / Backup | Auftragnehmer | Tägliches PostgreSQL-Backup (30 Tage) plus Backup hochgeladener Dateien |
| Firewall-Konfiguration | Auftragnehmer | Restriktives Regelwerk auf Hostebene |
| Verschlüsselung sensibler Inhalte | Auftragnehmer | Argon2id für Anmeldedaten; TLS für sämtliche Übertragungen |
| Patch-Management | Auftragnehmer | Regelmäßige Sicherheitsupdates des Hostsystems und der Container-Images |
Hetzner stellt die physische Infrastruktur, Netzanbindung und Stromversorgung mit Redundanz bereit. Die logische Sicherheit des Cloud-Servers liegt vollständig in der Verantwortung des Auftragnehmers.
6. Verschlüsselung
| Kontext | Methode |
|---|---|
| Datenübertragung Browser/Tablet ↔ Portal | TLS 1.2+ (HTTPS via Let's Encrypt) |
| Datenübertragung Portal ↔ Subprozessoren | TLS 1.2+ (HTTPS / SMTPS) |
| Anmelde-Passwörter (Operator, Backoffice) | Argon2id (Speicherung als Hash) |
| PIN für Tablet-Anmeldung (Mitarbeiter) | Argon2id (Speicherung als Hash) |
| Geräte-Token für Tablet-Pairing | Speicherung ausschließlich als Hash |
| Web-Push-Benachrichtigungen | VAPID-Signatur |
7. Eingesetzte Infrastruktur-Komponenten
| Komponente | Funktion |
|---|---|
| Debian / Linux | Betriebssystem |
| Caddy + nginx | Reverse Proxy, TLS-Terminierung |
| Next.js / Node.js | Application Server |
| PostgreSQL 16 | Datenbank |
| Docker / Docker Compose | Container-Orchestrierung |
| Argon2id (@node-rs/argon2) | Hashing von Passwörtern und PINs |
| Pino | Strukturiertes Logging |