Technische und organisatorische Maßnahmen (TOM)

Anhang zum Auftragsverarbeitungsvertrag · Art. 32 DSGVO · Stand: 8. Juli 2026

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b)

  • Zutrittskontrolle: Server-Standorte (Frankfurt) durch Vercel/Neon nach ISO 27001 zertifiziert. Kein physischer Zugang durch bms future energy-Mitarbeiter.
  • Zugangskontrolle: Alle User-Konten mit E-Mail + bcrypt-gehashtem Passwort (12 Runden), Mindestlänge 10 Zeichen. 3-Schritt-Signup mit VIES-USt-ID-Check + E-Mail-Code-Verifikation.
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (OWNER/ADMIN/ACCOUNTING/PROJECT_MANAGER/MANAGEMENT/TAX_ADVISOR). Multi-Tenant-Isolation über tenantId in jeder Query.
  • Trennungskontrolle: Mandantendaten sind über tenantId strikt getrennt. Server-side Guard verhindert Cross-Tenant-Zugriff auch bei manipulierten Cookies.
  • Pseudonymisierung: Interne Logs enthalten User-IDs statt E-Mail-Adressen. Passwörter niemals im Klartext gespeichert.

2. Integrität (Art. 32 Abs. 1 lit. b)

  • Weitergabekontrolle: Alle Verbindungen ausschließlich über TLS 1.3. HTTPS-only mit HSTS. E-Mail-Versand via SendGrid mit SPF + DKIM + DMARC.
  • Eingabekontrolle: Alle Änderungen an Business-Entities werden mit User-ID, Timestamp und alter/neuer Wert in Audit-Log erfasst. KI-Aktionen zusätzlich in AiAuditLog.
  • Verschlüsselung at Rest: AES-256 auf Neon-Postgres. Backups verschlüsselt in Vercel Blob (EU-Region).
  • Anti-Spam: IP-Rate-Limits (5 Signups/Std, 10 Login-Fails/15 Min), Honeypot-Felder, Disposable-Email-Blacklist, Free-Mail-Provider blockiert.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c)

  • Verfügbarkeitskontrolle: Vercel Edge Network mit globaler Redundanz. Neon Postgres mit automatischem Failover. Uptime-Monitoring via /api/health-Endpoint.
  • Backup-Strategie: Tägliche automatische DB-Dumps in Vercel Blob (EU). Aufbewahrung 30 Tage rolling. Manueller Restore-Prozess dokumentiert.
  • Wiederherstellbarkeit: Point-in-Time-Recovery über Neon-Branching innerhalb der letzten 7 Tage. Vollständige Wiederherstellung aus Backup innerhalb 4 Stunden.
  • SLA: 99 % Verfügbarkeit im Jahresmittel (Mo–Fr 08:00–18:00 MEZ). Details in § 7 AGB.

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d)

  • Datenschutz-Management: Regelmäßige Review der Auftragsverarbeiter-Verzeichnisse (mindestens jährlich). Bei Neu-Sub-AV mindestens 30 Tage Vorankündigung.
  • Incident-Response: Meldeprozess für Datenschutz-Verletzungen: Erkennung → Interne Analyse → Meldung an Verantwortlichen innerhalb 24 Std → an DSB innerhalb 72 Std (Art. 33 DSGVO).
  • Reaktion auf Anfragen: Betroffenenanfragen (Art. 15–22 DSGVO) werden innerhalb 30 Tagen bearbeitet. Ansprechpartner: future-energy@bmsystems.at.
  • Auftragskontrolle: Alle Auftragsverarbeitungen erfolgen nur auf dokumentierte Weisung des Verantwortlichen. Weisungen können jederzeit per E-Mail erteilt werden.

5. Datenlöschung und Datenrückgabe

  • Nach Vertragsende: Daten werden 30 Tage zum Export bereitgehalten (CSV, JSON, PDF). Danach — vorbehaltlich gesetzlicher Aufbewahrungspflichten — unwiderruflich gelöscht.
  • Aufbewahrungspflichten: Buchhaltungsdaten: 7 Jahre nach § 132 BAO. Sonstige Kontaktdaten: 3 Jahre (Verjährungsfrist).
  • Sicheres Löschen: Datenbank-Records via Soft-Delete + Hard-Delete-Cron. Backup-Records werden bei Rotation überschrieben. Vercel Blob mit sicherem Overwrite.

6. Zusätzliche Maßnahmen für KI-Verarbeitung (Anthropic)

  • Zero Data Retention (ZDR): Anthropic speichert keine Prompts nach der Antwort. Details siehe Anthropic-Business-Tier-Vertrag.
  • No Training: Kundendaten werden nicht für Modell-Training verwendet. Vertraglich zugesichert.
  • Audit-Log: Alle KI-Aktionen werden lokal geloggt (User, Timestamp, Prompt-Größe, Tool-Calls). User kann eigenen Verlauf jederzeit einsehen und löschen.
  • Confirmation-Modal: Schreibende KI-Aktionen (Rechnung anlegen, Mahnung erstellen etc.) erfordern explizite User-Bestätigung — keine autonome Ausführung ohne Freigabe.
Änderungen

Die TOM werden bei wesentlichen Änderungen aktualisiert. Der aktuell gültige Stand ist immer auf dieser Seite abrufbar. Bestandskunden werden per E-Mail informiert, wenn Änderungen ihre Verarbeitung wesentlich beeinflussen können.