Technische und Organisatorische Maßnahmen (TOMs)

gemäß Art. 32 DSGVO — Stand: April 2026

Die folgenden technischen und organisatorischen Maßnahmen werden zum Schutz der in der Qehillah-Plattform verarbeiteten personenbezogenen Daten umgesetzt. Sie sind Bestandteil des Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO.

1. Zutrittskontrolle

Maßnahmen, die Unbefugten den physischen Zutritt zu Datenverarbeitungsanlagen verwehren:

• Hosting in einem zertifizierten Rechenzentrum der Hetzner Online GmbH in Deutschland (ISO 27001, SOC 1 Type II)
• Physische Zugangskontrolle durch Hetzner: Zutritt nur für autorisiertes Personal, biometrische Zutrittssysteme, Videoüberwachung, 24/7-Sicherheitsdienst
• Kein physischer Zugriff durch den Betreiber auf die Rechenzentrumsinfrastruktur erforderlich – Verwaltung erfolgt ausschließlich remote

2. Zugangskontrolle

Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden:

• SSH-Zugang zum Server ausschließlich per Public-Key-Authentifizierung (Ed25519), Passwort-Login deaktiviert
• Root-Login per SSH deaktiviert
• Firewall (fail2ban): automatische Sperrung nach 3 fehlgeschlagenen Anmeldeversuchen für 24 Stunden
• Alle Verwaltungs-Ports sind nur aus dem internen Netzwerk erreichbar
• Administrations-Panel (Directus) ist nicht öffentlich zugänglich (IP-basierte Zugriffsbeschränkung)
• API-Rate-Limiting: maximal 10 Anfragen pro Minute (allgemein), 5 Login-Versuche pro 5 Minuten

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass Berechtigte nur auf die ihrer Berechtigung unterliegenden Daten zugreifen können:

• Rollenbasiertes Berechtigungssystem (Directus RBAC): Gemeindeleitung, Teamleitung, Mitglied, Interessent – jeweils mit unterschiedlichen Zugriffsrechten
• API-Endpunkte sind durch Authentifizierung geschützt; kein öffentlicher Zugriff auf personenbezogene Daten
• Dateizugriff (Dokumente, Profilbilder) nur für authentifizierte Benutzer mit entsprechender Berechtigung
• Jede Gemeinde-Instanz ist vollständig isoliert (eigene Datenbank, eigener Docker-Stack)

4. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen oder kopiert werden:

• Transportverschlüsselung: alle Verbindungen zur Plattform ausschließlich über HTTPS/TLS (HSTS aktiviert, Mindestlaufzeit 1 Jahr)
• E-Mail-Versand über verschlüsselte SMTP-Verbindung (TLS, Port 465)
• Interne Kommunikation zwischen Diensten (Directus, PostgreSQL, Redis) über localhost/internes Netzwerk
• Keine Weitergabe personenbezogener Daten an Dritte oder in Drittländer

5. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem Daten eingegeben, verändert oder entfernt wurden:

• Directus Audit-Log: vollständige Protokollierung aller Datenänderungen (Erstellen, Ändern, Löschen) mit Zeitstempel und Benutzer-ID
• E-Mail-Versandprotokoll: Dokumentation aller über die Plattform versendeten E-Mails
• Server-Zugriffsprotokollierung (Apache/Nginx Access Logs)

6. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten nur nach Weisungen verarbeitet werden:

• Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit jeder Gemeinde
• Verarbeitung ausschließlich auf dokumentierte Weisung des Auftraggebers
• Keine Unterauftragsverarbeiter außer dem Hosting-Provider (Hetzner Online GmbH, Deutschland)

7. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

• Regelmäßige automatisierte Backups der Datenbank (PostgreSQL) und aller hochgeladenen Dateien
• Redundante Datenspeicherung im Hetzner-Rechenzentrum
• Docker-Container mit automatischem Neustart (restart: unless-stopped)
• Hosting auf dediziertem Server (kein Shared Hosting)

8. Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:

• Jede Gemeinde erhält eine eigene, isolierte Instanz (Single-Tenant-Architektur)
• Eigene PostgreSQL-Datenbank pro Gemeinde
• Kein gemeinsamer Datenbestand zwischen verschiedenen Gemeinden
• Logische Trennung der Daten innerhalb einer Instanz nach Funktionsbereichen (Mitglieder, Kalender, Chat, Dokumente)

9. Verschlüsselung

• Passwörter werden ausschließlich als Argon2id-Hash gespeichert (kein Klartext)
• Authentifizierungs-Token (JWT) mit begrenzter Gültigkeit und automatischer Erneuerung
• Transportverschlüsselung (TLS) für alle externen Verbindungen
• SSH-Schlüssel mit AES-256-Verschlüsselung und bcrypt-Passphrase

10. Verfahren zur regelmäßigen Überprüfung

• Regelmäßige Überprüfung und Aktualisierung der eingesetzten Software (Directus, PostgreSQL, Betriebssystem)
• Security Headers auf allen Domains (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy)
• Verzeichnis der Verarbeitungstätigkeiten (VVT) wird gepflegt
• Löschkonzept mit definierten Aufbewahrungsfristen
• Diese TOMs werden mindestens jährlich überprüft und bei Bedarf angepasst