Technische und organisatorische Maßnahmen (TOM)

Gemäß Art. 32 DSGVO haben wir umfassende technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten Daten auf FurEvent DACH zu gewährleisten.

1. Zutrittskontrolle

Maßnahmen, die unbefugten Personen den Zutritt zu Datenverarbeitungsanlagen verwehren:

  • Server-Hosting erfolgt bei einem zertifizierten Rechenzentrum mit strengen physischen Zugangskontrollen (z.B. biometrischer Zugang, Videoüberwachung).
  • Keine Server-Hardware in privaten Räumlichkeiten.

2. Zugangskontrolle

Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden:

  • Server-Zugriff nur per SSH-Key (Passwort-Login ist deaktiviert).
  • Verwendung von Firewalls (z. B. UFW) und Fail2Ban zum Schutz vor Brute-Force-Angriffen.
  • Administrator-Bereich der Webseite ist durch sichere Passwörter und JWT (JSON Web Tokens) geschützt.

3. Zugriffskontrolle

Maßnahmen, die sicherstellen, dass Befugte nur auf die Daten zugreifen können, die ihrer Zugriffsberechtigung unterliegen:

  • Striktes Berechtigungskonzept auf dem VPS (Minimale Rechte für den Ausführungs-User).
  • Die Anwendung und Datenbank laufen gekapselt in voneinander isolierten Docker-Containern.
  • Alle Admin-Passwörter sind stark verschlüsselt in der Datenbank abgelegt (`bcrypt`).

4. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

  • Trennung der Backend-Architektur (`API`) und Frontend-Umgebung.
  • Logische Trennung von produktiven Daten und Test-Daten.

5. Pseudonymisierung & Minimierung

Maßnahmen zur Reduzierung der identifizierenden Daten:

  • Verzicht auf User-Profile, User-Tracking und Cookies für normale Besucher.
  • Es werden keine IP-Adressen in der Datenbank für Besucher gespeichert.
  • Lokales Hosting sämtlicher Skripte und Schriftarten (Google Fonts lokal eingebunden).

6. Weitergabekontrolle

Maßnahmen, die sicherstellen, dass personenbezogene Daten bei der Übertragung nicht unbefugt gelesen oder kopiert werden können:

  • Erzwungene TLS/SSL-Verschlüsselung (HTTPS) für den gesamten Datenverkehr.
  • Restriktive CORS-Richtlinien in der API zum Schutz vor unerlaubten Aufrufen.

7. Verfügbarkeitskontrolle

Maßnahmen zur Sicherstellung gegen zufällige Zerstörung oder Verlust:

  • Regelmäßige automatisierte Backups der PostgreSQL Datenbank.
  • Docker-Restart-Policies zur automatischen Wiederherstellung bei Fehlern.