Technische und organisatorische Maßnahmen
gemäß Art. 32 DSGVO – Anlage zum Auftragsverarbeitungsvertrag
1. Zutrittskontrolle
Maßnahmen, die verhindern, dass Unbefugte Zugang zu den Datenverarbeitungsanlagen erhalten:
- SwagFlow wird als Cloud-Software betrieben. Es bestehen keine eigenen Serverräume oder physischen Datenverarbeitungsanlagen.
- Die Datenbank wird bei Supabase (AWS-Rechenzentren, Region EU Frankfurt) gehostet. Die physische Sicherheit wird durch den Rechenzentrumsbetreiber gewährleistet (ISO 27001, SOC 2 Type II).
- Die Web-Anwendung wird über Vercel ausgeliefert. Vercel betreibt die Dienste auf den Rechenzentren von AWS, Microsoft Azure und Google Cloud, deren physische Sicherheit durch diese Anbieter gewährleistet wird (Biometrie, Videoüberwachung, Zutrittsprotokolle; ISO 27001, SOC 2 Type II).
- Entwicklungsgeräte befinden sich in abgeschlossenen Räumen und sind mit Festplattenverschlüsselung (FileVault/BitLocker) gesichert.
2. Zugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:
- Authentifizierung über Supabase Auth mit JWT-basiertem Session-Management
- Passwörter werden mit bcrypt gehasht und gesalzen gespeichert
- Automatischer Session-Ablauf und Token-Rotation
- Multi-Faktor-Authentifizierung ist technisch vorbereitet
- Zugang zur Produktionsdatenbank nur über verschlüsselte Verbindungen mit individuellen Zugangsdaten
- Zugang zum Hosting-Dashboard (Vercel, Supabase) mit individuellem Login und 2FA
- Zugang zum Quellcode-Repository (GitHub) mit SSH-Keys und 2FA
- Keine geteilten Passwörter oder Service-Accounts
3. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Berechtigung unterliegenden Daten zugreifen können:
- Row-Level Security (RLS) auf Datenbankebene: Zugriffskontrolle ist direkt in PostgreSQL implementiert, nicht nur auf Anwendungsebene
- Vier definierte Rollen mit unterschiedlichen Berechtigungen: Veranstalter, Händler, Aussteller, Check-in-Personal
- Händler sehen nur ihre eigenen Besucher und Anfragen
- Aussteller sehen nur die von ihnen gescannten Kontakte
- Besucher sehen nur ihre eigenen Daten im Besuchsbericht
- Datentrennung pro Messe über fair_id und RLS-Policies: kein Zugriff auf Daten anderer Messen möglich
- Berechtigungen werden bei jeder API-Anfrage serverseitig geprüft
- Kein direkter Datenbankzugang für Endnutzer
4. Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der Übertragung oder Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Verschlüsselung aller Datenübertragungen mit TLS 1.3
- Verschlüsselung der gespeicherten Daten (AES-256 at rest)
- E-Mail-Versand über Mailgun mit TLS-Verschlüsselung
- API-Schlüssel und Zugangsdaten werden ausschließlich über Umgebungsvariablen verwaltet und sind nicht im Quellcode enthalten
- Keine unverschlüsselte Übertragung personenbezogener Daten
- Datenexporte erfolgen über authentifizierte, verschlüsselte Verbindungen
5. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind:
- Jede Datenänderung wird mit Zeitstempel und Benutzerkennung protokolliert
- Activity-Stream pro Besucher dokumentiert alle Interaktionen chronologisch
- Änderungen an Angeboten und Anfragen sind nachvollziehbar
- Zugriffsprotokolle auf Datenbank- und Anwendungsebene
- Versionierte Datenbankmigrationen: jede Schemaänderung ist nachvollziehbar
6. Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden:
- Schriftlicher Auftragsverarbeitungsvertrag mit jedem Kunden
- Unterauftragsverarbeiter sind dokumentiert und vertraglich gebunden
- Keine Nutzung der Daten zu eigenen Zwecken
- Keine Weitergabe an Dritte ohne Weisung des Verantwortlichen
- Regelmäßige Überprüfung der Einhaltung der vertraglichen Vorgaben
7. Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Automatische, kontinuierliche Datenbank-Backups (Point-in-Time Recovery)
- Wiederherstellung auf jeden beliebigen Zeitpunkt innerhalb der letzten 7 Tage
- Redundante Datenhaltung durch den Hosting-Anbieter (Multi-AZ bei AWS)
- Globale Verteilung der Web-Anwendung über das Vercel Edge-Netzwerk – Ausfall einzelner Rechenzentren führt nicht zum Datenverlust
- Offline-fähige native Apps speichern Daten lokal in SQLite – Netzwerkausfälle führen nicht zu Datenverlust
- Automatische Synchronisation nach Netzwerkwiederherstellung
- DDoS-Schutz und Web Application Firewall durch Vercel
- Monitoring der Systemverfügbarkeit
8. Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:
- Datentrennung pro Messe: alle Daten sind über eine Messe-Kennung (fair_id) getrennt. Zugriff auf Daten anderer Messen wird durch Row-Level Security Policies auf Datenbankebene verhindert
- Zugriff zwischen Mandanten ist auf Datenbankebene (RLS) technisch ausgeschlossen
- Verschiedene Veranstalter teilen sich die Infrastruktur, der Datenzugriff ist jedoch durch RLS-Policies strikt auf die eigenen Messen beschränkt
- Besucher-Daten sind dem jeweiligen Händler zugeordnet und nur für diesen sichtbar
- Entwicklungs-, Staging- und Produktionsumgebung sind vollständig getrennt
9. Organisatorische Maßnahmen
- Entwicklungsprozess: Jede Codeänderung durchläuft eine dreistufige Pipeline (Entwicklung → Vorschau → Produktion). Änderungen werden automatisch getestet, bevor sie produktiv gehen.
- Lasttests: Regelmäßige Lasttests mit k6 simulieren realistische Messe-Szenarien (bis zu 4.000 Besucher, 150+ Aussteller) um die Belastbarkeit der Infrastruktur sicherzustellen.
- Datenbankänderungen: Schema-Änderungen werden als versionierte Migrationsdateien verwaltet. Destruktive Änderungen erfordern explizite Freigabe.
- Zugangsmanagement: Minimalprinzip – Zugang nur zu den Systemen und Daten, die für die jeweilige Aufgabe erforderlich sind.
- Incident Response: Dokumentierter Prozess für den Umgang mit Sicherheitsvorfällen. Meldung an den Verantwortlichen innerhalb von 24 Stunden nach Bekanntwerden.
- Vertraulichkeit: Alle mit der Datenverarbeitung betrauten Personen sind zur Vertraulichkeit verpflichtet.
10. Regelmäßige Überprüfung
Die technischen und organisatorischen Maßnahmen werden regelmäßig auf ihre Wirksamkeit überprüft und bei Bedarf angepasst. Änderungen werden dokumentiert und dem Verantwortlichen auf Anfrage mitgeteilt. Diese Anlage wird mindestens einmal jährlich aktualisiert.
Stand: Mai 2026 · Version 1.0