Vertrauen
Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Katalog
Version 2026-07 · Stand Juli 2026
Die Maßnahmen setzen sich zusammen aus den anwendungsbezogenen TOM von Datenmaske (ein eigenes ISO/IEC 27001-zertifiziertes ISMS ist in Vorbereitung, Ziel 2027) sowie den infrastrukturbezogenen TOM des Hosting-Dienstleisters netcup (Rechenzentrum Nürnberg; das Rechenzentrum ist nach ISO/IEC 27001 zertifiziert — Data-Center-only). Die Verarbeitung erfolgt ausschließlich innerhalb der Europäischen Union: Hosting bei netcup (Rechenzentrum Nürnberg), OCR für eingescannte Seiten über Microsoft Azure Document Intelligence (Region Germany West Central). Mit allen Sub-Prozessoren bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO (Muster-Entwurf siehe /avv).
Hinweis: Die hier beschriebenen Maßnahmen betreffen die bestehende Datenmaske-Anwendung (allgemeine DSGVO-/Art.-32-Schicht). Sie umfassen keine Verarbeitung nach § 203 StGB geschützter Mandatsgeheimnisse; diese ist einer separaten Produktedition vorbehalten.
1. Verschlüsselung (Übertragung und Speicherung)
- TLS-verschlüsselte Datenübertragung (HTTPS) für alle Verbindungen zwischen Browser, öffentlicher API und Anwendungs-Infrastruktur; unverschlüsselte Klartext-Protokolle sind ausgeschlossen.
- Speicherung auf EU-Servern mit datenträgerseitiger Verschlüsselung durch die Hosting-Infrastruktur (netcup, Rechenzentrum Nürnberg). Hinweis: Eine anwendungsseitige feldbezogene Verschlüsselung einzelner Datenbank-Spalten besteht nicht; die Verschlüsselung ruhender Daten wird auf Infrastrukturebene sichergestellt.
- Sämtliche Dokumentübertragung läuft ausschließlich über verschlüsselte Verbindungen.
2. Zugangskontrolle und Zugriffskontrolle
- Passwortbasierte, session-gebundene Authentifizierung über sichere HttpOnly-Cookies; kein passwortloser oder universeller Master-Zugriff.
- Strikte Mandantentrennung auf Datensatzebene: Alle Anwendungsdaten (Dokumente, Schwärzungsvorschläge, Aktionen, Audit-Protokolle, Einstellungen) werden pro authentifiziertem Nutzer getrennt gespeichert und ausschließlich für den berechtigten Eigentümer ausgelesen.
- Die Administrationsfunktion ist dreifach abgesichert und in Produktion vollständig deaktiviert (die Oberfläche antwortet mit 404, ihre Existenz wird nicht offenbart).
- Die öffentliche API wird ausschließlich über personalisierte API-Schlüssel authentifiziert; Schlüssel werden nur als Einweg-Hash gespeichert und sind nicht rekonstruierbar.
- Lückenlose Audit-Protokollierung für Upload, Vorschlags-Prüfung, Schwärzung, Export und Löschung je Nutzer und Dokument.
3. Schlüsselmanagement
- API-Schlüssel werden ausschließlich als Einweg-Hash gespeichert; der Klartext wird bei Erstellung einmalig angezeigt und danach nicht mehr rekonstruierbar.
- Ein kurzes Schlüssel-Kennzeichen (Präfix und erste Zeichen) dient der Erkennung im Support-Fall, ohne den Schlüssel selbst preiszugeben.
- Vor jeder Persistenz von Fehler- und Kontext-Logs werden Werte mit sensitiven Schlüsselnamen (z. B. Secret, Password, Token, API-Key) automatisch und rekursiv entfernt.
- Passwörter werden mit branchenüblichen Einweg-Hash-Funktionen gespeichert; Session-Tokens werden regelmäßig rotiert.
- Pro Nutzer maximal fünf API-Schlüssel, jederzeit widerrufbar und mit optionalem Ablaufdatum.
4. Incident Response (Vorfallmanagement)
- Zentrale, nach Zeitstempel und Quelle strukturierte Erfassung von Störungen und Fehlern (z. B. Authentifizierung, E-Mail, Webhook, OCR, Erkennung, Schwärzung, Export).
- Serverseitige Fehler werden automatisch in die Vorfall-Erfassung geschrieben.
- Verarbeitungsfehler in E-Mail-, Webhook-, Export- und OCR-Pfaden werden über eine zentrale Fehlerfunktion gemeldet.
- Die Vorfall-Einsicht ist ausschließlich lokal über das dreifach abgesicherte, in Produktion deaktivierte Admin-Instrument möglich.
- Die vertragliche Information des Auftraggebers bei Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO ist im AVV kodiziert.
5. Backup, Restore und Verfügbarkeit
- Backup- und Verfügbarkeitskonzept auf Infrastrukturebene durch den ISO/IEC 27001-zertifizierten Hosting-Partner netcup (Rechenzentrum Nürnberg; Data-Center-only — keine Zertifizierung der Datenmaske-Anwendung).
- Anwendungsseitig betreibt Datenmaske eine aktive Datenlöschung statt eines applikatorischen Backups: hochgeladene Dokumente werden nach Ablauf der Aufbewahrungsfrist (standardmäßig 30 Tage, konfigurierbar) automatisch physisch gelöscht.
- Audit-Protokolle werden ohne Dokumentinhalte aufbewahrt; die tarifspezifische Aufbewahrung (Starter 30 / Professional 180 / Business 365 Tage) wird pro Datensatz fixiert und automatisch durchgesetzt.
- Notstrom- und Klimatisierungskonzepte im Rechenzentrum (netcup).
- Trennung von Produktiv- und Entwicklungsumgebung.
6. Schwärzungsspezifische Integritätsmaßnahmen
- Irreversible physische Entfernung des geschwärzten Textes aus dem PDF (Content-Stream-Entfernung) — kein bloßes visuelles Overlay; der Text ist strukturell nicht mehr im Dokument enthalten.
- Fail-Closed-Verifikation: Nach der Schwärzung wird das Dokument automatisch neu geprüft, dass markierte Texte nicht mehr extrahierbar sind. Ist eine Verifikation nicht möglich, schlägt sie fehl, statt Erfolg zu heucheln.
- Beim Export werden alle Metadaten (Titel, Autor, Erstelldatum u. a.) entfernt.
- Bei gescannten (OCR-basierten) Dokumenten ist die Verifikation auf die Textebene beschränkt; die Pixelebene wird nicht automatisch verifiziert. Nutzer werden zur manuellen Nachprüfung angewiesen (bekannte Einschränkung, Härtung in Arbeit).
- Separates Schwärzungsprotokoll als eigenständiges PDF mit dualen SHA-256-Prüfsummen (Original und geschwärzte Datei) für jede Export-Transaktion.
7. Vulnerability Management und Software-Lebenszyklus
- Laufende Überwachung der Software-Abhängigkeiten auf bekannte Sicherheitslücken mittels Dependency-Scans sowie Pinning kritischer Pakete.
- Strikte Code-Quality- und Typisierungs-Vorgaben mit automatisierten statischen Prüfungen als verpflichtendes Pre-Commit- und Merge-Gate.
- Code-Review vor jedem Merge plus manuelle statische Code-Inspektion. Hinweis: Ein automatisiertes SAST-/DAST-Pipeline im Sinne eines SOC-2-DevSecOps-Programms besteht derzeit nicht; die Maßnahmen sind manuell plus Dependency-Scan.
- Selbst gehostete KI-/OCR-Infrastruktur mit Fail-Closed-Verhalten: bei Ausfall der KI-Erkennung fällt das System auf regelbasierte Erkennung zurück — es erfolgt keine stillschweigende Verarbeitung ohne Erkennung.
Penetrationstest
GeplantGeplanter Zeitpunkt: Q4 2026
Erster externer Penetrationstest geplant für Q4 2026. Bis dahin abgesichert durch interne Dependency-Scans, manuelle Code-Reviews sowie automatisierte Code-Quality- und Typisierungs-Prüfungen im Pre-Commit. Ergebnisse und Bestätigungsbericht werden nach Abschluss an dieser Stelle veröffentlicht.
Wir veröffentlichen hier keine erfundenen oder übernommenen Test-Ergebnisse. Ein Bestätigungsbericht mit Scope, Fenster und geschlossenen Findings wird ausschließlich nach Abschluss eines real durchgeführten externen Penetrationstests an dieser Stelle hinterlegt.
Kontakt & weiterführende Unterlagen
Den vollständigen Auftragsverarbeitungsvertrag (AVV) samt Anlage zu diesen Maßnahmen sowie die AVV-Änderungshistorie finden Sie auf den entsprechenden Seiten. Einen kompakteren Überblick über Sicherheit & Datenschutz bietet die Seite Sicherheit & Datenschutz.
Für individuelle Sicherheits-Fragebögen (CAIQ, Kundenspezifische Audits, erweiterte TOM-Selbstauskünfte) kontaktieren Sie uns unter info@datenmaske.de.