Technische und organisatorische Maßnahmen (TOM)
vlowr.ai · Datenschutz⚠ Dieser Text befindet sich in rechtlicher Prüfung und stellt keinen rechtsverbindlichen Vertrag dar. Die finale Fassung wird nach anwaltlicher Prüfung veröffentlicht.
Fragen:
hello@vlowr.aiStand: Mai 2026 · Version 1.0-Entwurf · Gemäß Art. 32 DSGVO
Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen, mit denen vlowr.ai die Sicherheit der Verarbeitung personenbezogener Daten gewährleistet (Art. 32 DSGVO). Es ist Bestandteil des Auftragsverarbeitungsvertrags (AVV).
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
Server werden ausschließlich in zertifizierten Rechenzentren von AWS (Frankfurt) betrieben. Physischer Zutritt ist 24/7 personalbesetzt, mit biometrischer Kontrolle, Vereinzelungsanlage und Videoüberwachung gesichert. vlowr.ai unterhält keine eigenen Serverräume.
1.2 Zugangskontrolle
- Authentifizierung über Supabase Auth mit Passwortrichtlinie (min. 12 Zeichen)
- Optionale Multi-Faktor-Authentifizierung (TOTP)
- Session-Tokens mit kurzer Lebensdauer und Rotation
- Automatische Sperrung bei wiederholten Fehlversuchen (Rate-Limiting)
- Administrative Zugänge ausschließlich über MFA
1.3 Zugriffskontrolle
- Row Level Security (RLS) auf Datenbankebene — technische Mandantentrennung
- Rollenbasiertes Berechtigungsmodell (Admin, Editor, Viewer)
- Need-to-know-Prinzip für interne Mitarbeitende
- Audit-Log jedes lesenden und schreibenden Zugriffs (unveränderlich)
1.4 Trennungskontrolle
Daten verschiedener Kunden sind durch RLS-Policies logisch und technisch getrennt. Eine kundenübergreifende Datenabfrage ist auf Datenbankebene ausgeschlossen. Produktions- und Entwicklungsumgebungen sind strikt getrennt; in Entwicklungsumgebungen werden ausschließlich synthetische Daten verwendet.
1.5 Pseudonymisierung
Bei der Übermittlung von Prozessinhalten an externe KI-Dienste werden personenbezogene Bezüge — soweit für die Analyse nicht erforderlich — vorab entfernt oder pseudonymisiert.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
- TLS 1.3 für alle Übertragungen (HTTPS erzwungen, HSTS aktiv)
- Datenbankverbindungen ausschließlich verschlüsselt
- Keine Übertragung von Klartext-Passwörtern
2.2 Eingabekontrolle
Jede Eingabe, Änderung und Löschung wird mit Zeitstempel, Nutzer-ID und Version unveränderlich protokolliert (Audit-Trail). Die Protokolldaten sind gegen nachträgliche Veränderung geschützt.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Tägliche automatisierte Backups mit 30-Tage-Retention
- Point-in-Time-Recovery für Datenbanken
- Redundante Storage-Replikation (AWS Multi-AZ)
- Monitoring und Alerting rund um die Uhr
- Zielverfügbarkeit: 99,0 % im Monatsmittel
- Dokumentiertes Disaster-Recovery-Verfahren
- DDoS-Schutz auf Infrastruktur-Ebene
4. Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
- Verschlüsselung in Transit: TLS 1.3
- Verschlüsselung at Rest: AES-256 (AWS-managed Keys)
- Passwörter: bcrypt mit individuellem Salt
- Backups verschlüsselt mit getrennt verwalteten Schlüsseln
5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Quartalsweise Überprüfung der Zugriffsberechtigungen
- Automatisierte Dependency- und Vulnerability-Scans
- Jährliche Penetration-Tests durch externe Dienstleister
- Dokumentiertes Incident-Response-Verfahren
- Regelmäßige Schulung der Mitarbeitenden zum Datenschutz
6. Auftragskontrolle
Unterauftragsverarbeiter werden ausschließlich auf Basis dokumentierter AVVs eingesetzt und sind in Anlage 3 des AVV aufgeführt. Eine regelmäßige Prüfung der Einhaltung der Datenschutzpflichten durch die Unterauftragsverarbeiter erfolgt anhand deren öffentlich verfügbarer Compliance-Dokumentation (z. B. ISO 27001, SOC 2).
7. KI-Verarbeitung
Kundendaten werden nicht zum Training von KI-Modellen verwendet. Mit Anthropic und OpenAI bestehen Datenverarbeitungsverträge, die Modelltraining auf Kundendaten vertraglich ausschließen. Anfragen werden transient verarbeitet; eine dauerhafte Speicherung beim KI-Anbieter findet nicht statt.
8. Datenschutz-Organisation
- Benannter Verantwortlicher für Datenschutzfragen: Oliver Tesch
- Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO geführt
- Vertraulichkeitsverpflichtung aller Mitarbeitenden
- Datenschutzanfragen: hello@vlowr.ai
vlowr.ai · TOM v1.0 · Mai 2026 · Entwurf – Rechtsanwalt vor Unterzeichnung