Technische und organisatorische Maßnahmen (TOMs)
Maßnahmen gemäß Art. 32 DSGVO zur Sicherheit der Verarbeitung personenbezogener Daten auf der NISD2.eu-Plattform.
Stand: Juni 2026.
Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen, die die Kardashev Catalyst UG (haftungsbeschränkt) als Betreiber der NISD2.eu-Plattform tatsächlich umsetzt. Es ist eine ehrliche Bestandsaufnahme, keine Wunschliste - wir nennen nur, was bereits implementiert ist.
Die Maßnahmen orientieren sich an IT-Grundschutz (BSI) und werden mit dem Wachstum der Plattform erweitert.
Die produktive Verarbeitung personenbezogener Daten findet ausschließlich in der EU statt:
- Anwendungsserver und PostgreSQL-Datenbank: Hetzner Online GmbH, Rechenzentrum Falkenstein/Nürnberg, Deutschland
- Speicherung hochgeladener Nachweisdokumente: AWS S3, EU-Region
- Keine produktive Datenverarbeitung außerhalb der EU. US-Subdienste (Resend für Transaktions-E-Mails, xAI für optionale KI-Vorausfüllung) verarbeiten nur die für ihre Funktion notwendigen Daten.
- Transportverschlüsselung: TLS für sämtliche Verbindungen zur Plattform (HTTPS)
- Verschlüsselung im Ruhezustand: AWS S3 Server-Side Encryption (AES256, explizit bei jedem Upload via PutObject gesetzt); PostgreSQL-Daten auf der Hetzner-Infrastruktur
- Zugangsdaten und API-Schlüssel werden über Server-Umgebungsvariablen verwaltet, nicht im Quellcode oder in Datenbanken gespeichert
Maßnahmen zur Sicherstellung der Vertraulichkeit:
- Zutrittskontrolle: Rechenzentren der eingesetzten Hoster (Hetzner, AWS) verfügen über ISO 27001-Zertifizierungen
- Personelle Maßnahmen: Zugriff auf Produktivsysteme und personenbezogene Daten ist auf einen kleinen, namentlich benannten Personenkreis beschränkt, der zur Vertraulichkeit verpflichtet ist. Zugänge folgen dem Prinzip der minimalen Rechte und werden bei Beendigung der Tätigkeit entzogen.
- Authentifizierung: ausschließlich über Google OAuth 2.0; keine Speicherung von Passwörtern auf der Plattform. MFA für Nutzer wird über deren Google-Konto bereitgestellt
- Rollenbasierte Berechtigungen: Admin, Reviewer, Member; Trennung in der Anwendungsschicht über tRPC-Middleware
- Mandantentrennung: jede datentragende Abfrage filtert auf der Datenbankebene über die Company-ID des angemeldeten Nutzers; keine gemeinsamen Datenpools zwischen Kunden
- Keine Klartext-Passwörter auf der Plattform - Authentifizierung erfolgt ausschließlich über OAuth
- Eingabekontrolle: Audit-Trail aller Mutationen mit Benutzer-ID, Aktion, Entitätstyp, Zeitstempel, IP-Adresse, User-Agent sowie Vorher-/Nachher-Werten
- Manipulationserkennung im Audit-Trail: jede Audit-Zeile trägt eine SHA-256-Prüfsumme über ihren Inhalt, sodass nachträgliche Änderungen einer Zeile erkennbar sind
- Weitergabekontrolle: Datenübertragung ausschließlich über TLS; alle authentifizierten Endpunkte erfordern eine gültige Session
- Nachweisdokumente: Speicherort und Metadaten werden bei Upload festgeschrieben; ein Datei-Hash kann optional vom Client mitgesendet und gespeichert werden
- Sign-Off-Mechanismus: zum Zeitpunkt einer Freigabe wird der Zustand der Anforderung in eine Sign-Off-Historie geschrieben, deren Einträge eine SHA-256-Kette bilden (jede Zeile schließt die Prüfsumme der Vorgängerzeile ein) - Manipulationen am Verlauf werden Ende-zu-Ende erkannt
- Datenbank-Backups gemäß den Voreinstellungen des Hetzner-Cloud-Dienstes; auf Anfrage stellen wir Details zur aktuellen Backup-Konfiguration bereit
- Speicherung von Nachweisdokumenten in AWS S3 mit der von AWS bereitgestellten Objekt-Haltbarkeit
- Rate-Limiting auf Login-Versuchen, öffentlichen Endpunkten (Anwendbarkeitsprüfung, Lieferantenportal) sowie ressourcenintensiven authentifizierten Endpunkten (PDF-Exports, Zertifikat-Generierung)
- Hochgeladene Dateien sind auf 50 MB pro Datei begrenzt
- Verfügbarkeitsüberwachung: der Betriebsstatus der Plattform wird laufend überwacht und ist öffentlich unter nisd2.eu/status einsehbar.
- Diese TOMs werden anlassbezogen sowie mindestens jährlich überprüft und aktualisiert
- Aktualisierung von Abhängigkeiten und sicherheitsrelevanten Bibliotheken: Dependabot ist aktiviert und stellt Sicherheits-Patches sowie Versions-Updates wöchentlich als Pull-Requests bereit
- Meldepflichten: Datenschutzverletzungen werden gemäß Art. 33 DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet
- Entwicklungspraxis: Codeänderungen laufen über Pull-Requests; TypeScript strict-mode wird durchgesetzt; automatisierte Tests bestehen für sicherheitskritische Logik (z. B. Anwendbarkeits-Klassifizierung)
Alle Unterauftragsverarbeiter sind durch Verträge gemäß Art. 28 DSGVO verpflichtet. Die vollständige Liste finden Sie im AVV-Dokument.
Anfragen zu diesen TOMs oder zur Datenverarbeitung richten Sie bitte an: