DSGVO Art. 32 — Anlage zum AVV
Diese TOMs beschreiben die Maßnahmen, mit denen Anirag (mysoftwarelab GmbH) ein dem Risiko angemessenes Schutzniveau sicherstellt. Sie sind Pflichtbestandteil der Auftragsverarbeitung gemäß Art. 32 Abs. 1 DSGVO und werden mindestens jährlich überprüft.
Mapping pro Maßnahme: BSI-IT-Grundschutz-Baustein und ISO-27001:2022-Annex-A-Control. Stand: Mai 2026.
Server-Hardware ausschließlich in EU-Rechenzentren der Sub-Processor (Vercel Frankfurt fra1, Neon eu-central-1, Railway Amsterdam). Physischer Zutritt nur durch zertifiziertes RZ-Personal. Anirag-Mitarbeiter haben keinen physischen Zugang.
Better-Auth-basierte Authentifizierung mit Argon2id-Passwort-Hashing, Pflicht-2FA für Owner/Admin-Rollen (TOTP via authenticator-Apps), Session-Cookies httpOnly + Secure + SameSite=Lax, 7-Tage-Rolling-Renewal mit Cookie-Cache (5min).
Role-Based-Access-Control mit Owner/Admin/Member-Rollen pro Organisation. API-Keys mit Scope-Layer (read/write/admin). Multi-Tenant-Isolation auf DB-Ebene per orgId-Filter in jeder Query. BYOK pro Org separat verschlüsselt.
API-Keys werden mit SHA-256+Pepper als Hash gespeichert (Klartext nicht rekonstruierbar). LLM-Provider-Keys (BYOK) AES-256-GCM-verschlüsselt at-rest mit Master-Key in Vercel-ENV. User-Sessions als zufällige opake Tokens — keine User-ID im Token.
Jede Organisation ist auf DB-Ebene strikt isoliert (orgId in jeder Tabelle, FK-Cascade-Delete). Qdrant-Collections per Org-ID benannt. Keine Cross-Org-Queries möglich — Anirag-Code prüft immer `getActiveOrg().organizationId` gegen den Resource-Owner.
Nach Org-Löschung werden alle Daten innerhalb 30 Tagen unwiederherstellbar gelöscht: Postgres-Cascade-Delete, Qdrant-Collection-Drop, Redis-Queue-Flush, Stripe-Customer-Deletion. Backup-Retention zusätzlich 7 Tage (Neon-Standard). Auf Anfrage Lösch-Protokoll als PDF.
TLS 1.3 erzwungen für alle externen Verbindungen (Vercel, Neon, Railway, alle LLM-Provider, Resend, HubSpot, Stripe). HSTS mit 1-Jahres-Max-Age + Preload + includeSubDomains. Interne Service-zu-Service-Calls ebenfalls TLS-gesichert (Neon-Serverless-WebSocket, Qdrant-HTTPS, Redis-TLS).
Postgres-Datenbank (Neon) mit nativer Verschlüsselung at-rest (AES-256 via AWS-KMS). Qdrant-Vektoren liegen auf verschlüsselten Block-Volumes (Railway). BYOK-Keys zusätzlich applikations-seitig AES-256-GCM-verschlüsselt mit IV pro Key.
Sicherheits- und Compliance-relevante Aktionen werden in einem unveränderlichen Audit-Log gespeichert (Sign-up, Sign-in, Org-Create, Member-Invite/-Remove, API-Key-Create/-Revoke, Subscription-Lifecycle, Sub-Processor-Änderungen). Retention plan-abhängig 30/90/365+ Tage.
Postgres mit täglichem Backup (Neon Point-in-Time-Recovery 7 Tage). Vercel-Functions stateless, automatisches Failover über mehrere AZ. Qdrant-Snapshots wöchentlich. Multi-Region-Redundanz für Sub-Processor (Vercel + Neon EU-only, Railway EU-Multi-AZ).
Dokumentierter Incident-Response-Plan mit Eskalationsstufen (P1/P2/P3) und 4-h-SLA für DSGVO-relevante Verletzungen. 72h-Meldefrist an betroffene Org-Owner und ggf. Aufsichtsbehörde gemäß Art. 33 DSGVO. Stripe-, Resend-, LLM-Provider-Outages werden via Status-Page kommuniziert.
Quartalsweise Dependency-Vulnerability-Scans (npm audit, Snyk). Jährlicher externer Pen-Test mit Bericht für Business+ und Enterprise auf Anfrage. CI/CD-Pipeline blockt Releases mit kritischen CVEs. Code-Reviews verpflichtend pro PR (4-Augen-Prinzip ab 5 MA).