Technische und organisatorische Maßnahmen (TOM)

1. Zutrittskontrolle

Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren.

• BeitragsKlar betreibt keine eigenen physischen Server. Alle Daten werden bei Cloud-Anbietern mit zertifizierten Rechenzentren gespeichert (Supabase/AWS Frankfurt, Vercel Frankfurt).
• Die Cloud-Anbieter verfügen über ISO 27001-Zertifizierungen und SOC 2-Berichte.
• Zugang zu den Verwaltungskonsolen der Cloud-Dienste ist durch Multi-Faktor-Authentifizierung (MFA) geschützt.

2. Zugangskontrolle

Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden.

• Magic-Link-Authentifizierung: Keine Passwortspeicherung. Anmeldung ausschließlich über zeitlich begrenzte, einmalige Links per E-Mail (60 Min. Gültigkeit).
• Rollenbasierte Zugriffskontrolle: Drei Rollen mit unterschiedlichen Berechtigungen: Kassenwart (Vollzugriff auf Vereinsdaten), Mitglied (nur eigene Daten), Plattform-Admin (Systemverwaltung).
• Einladungscode-System: Neue Vereine können sich nur mit einem gültigen Einladungscode registrieren. Codes sind einmalig verwendbar.
• Rate-Limiting: Automatische Sperrung nach zu vielen fehlgeschlagenen Anmeldeversuchen (5 Versuche / 15 Minuten).

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass Berechtigte nur auf die ihrer Berechtigung unterliegenden Daten zugreifen können.

• Row-Level Security (RLS): 51 Datenbankrichtlinien erzwingen auf Datenbankebene, dass jeder Verein ausschließlich seine eigenen Daten sehen und bearbeiten kann (Mandantentrennung durch verein_id).
• IBAN-Verschlüsselung: Bankverbindungen (IBAN) werden mit AES-256 über Supabase Vault verschlüsselt gespeichert. Der Verschlüsselungsschlüssel ist vom Datenbankzugang getrennt (service_role only).
• IBAN-Maskierung: Mitglieder sehen nur die letzten 4 Stellen ihrer IBAN. Kassenwarte sehen die vollständige IBAN.
• Zod-Eingabevalidierung: Jede API-Route validiert alle Eingaben gegen vordefinierte Schemata. HTML-Sanitisierung verhindert Injection-Angriffe.
• Privilegien-Eskalationsschutz: Mitglieder können nur Kontaktdaten (E-Mail, Telefon, Adresse) ändern — sensible Felder (Name, Beitragsklasse, Status) sind serverseitig geschützt.

4. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass Daten bei der Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

• TLS-Verschlüsselung: Alle Datenübertragungen erfolgen über HTTPS mit TLS 1.2/1.3. HSTS (Strict-Transport-Security) mit Preload ist aktiviert. SSL Labs Bewertung: A+.
• Content Security Policy (CSP): Per-Request-Nonce verhindert Cross-Site-Scripting (XSS). Mozilla Observatory Bewertung: A+.
• CSRF-Schutz: Strikte Origin-Validierung auf allen schreibenden API-Endpunkten (POST, PATCH, DELETE).
• EU-only-Hosting: Alle Daten werden ausschließlich in der EU (Frankfurt, Deutschland) verarbeitet. Keine Datenübertragung in Drittländer.

5. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem Daten eingegeben, verändert oder entfernt wurden.

• GoBD-konformes Audit-Log: Jede sicherheitsrelevante Aktion wird in einem unveränderlichen Protokoll erfasst (Append-Only, keine UPDATE- oder DELETE-Rechte). Das Audit-Log enthält: Zeitstempel, Benutzer-ID, Aktion, betroffene Ressource und Details.
• Automatische Zeitstempel: Alle Datensätze erhalten automatisch Erstellungs- und Änderungszeitstempel (erstellt_am, aktualisiert_am).
• Fortlaufende Rechnungsnummern: Atomare PostgreSQL-Sequenz gewährleistet lückenlose, nicht manipulierbare Nummerierung.
• Fehlerüberwachung: Sentry erfasst technische Fehler in Echtzeit (Client, Server, Edge). DSGVO-konform: Session-Replay maskiert alle Texte und blockiert alle Medien.
• Webanalyse: Umami Cloud (EU) erfasst anonymisierte Nutzungsstatistiken (Seitenaufrufe, Gerätetyp, Browser) ohne Cookies und ohne personenbezogene Daten. Kein Browser-Fingerprinting. Das Analyse-Skript wird über First-Party-Proxy ausgeliefert.

6. Auftragskontrolle

Maßnahmen, die gewährleisten, dass Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.

• Auftragsverarbeitungsverträge (DPA/AVV) mit allen Unterauftragsverarbeitern abgeschlossen (siehe AVV § 7).
• Weisungsgebundene Verarbeitung: BeitragsKlar verarbeitet Daten ausschließlich im Rahmen der vom Verein über die Anwendung erteilten Weisungen.
• Regelmäßige Überprüfung der Unterauftragsverarbeiter auf DSGVO-Konformität.

7. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

• Verwaltete Backups: Supabase erstellt automatische tägliche Datenbank-Backups mit Point-in-Time-Recovery.
• Dokumentenarchiv: Alle Rechnungen und Mahnungen werden als PDF in Supabase Storage archiviert (Aufbewahrung gem. § 147 AO, Löschsperre).
• Offsite-Backup: Tägliche Sicherungskopie aller archivierten Dokumente auf Backblaze B2 (Amsterdam, EU Central) für geografische Redundanz. Integritätsprüfung per SHA-256-Checksumme.
• Edge-Network: Vercel Edge Network sorgt für hohe Verfügbarkeit und automatisches Failover.
• Monitoring: Sentry überwacht Anwendungsfehler in Echtzeit. Plattform-Fehlerlog erfasst operative Probleme.

8. Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.

• Mandantentrennung: Jeder Verein hat eine eindeutige verein_id. Alle Datenbankabfragen sind durch RLS-Richtlinien auf die jeweilige verein_id beschränkt. Ein Verein kann niemals auf Daten eines anderen Vereins zugreifen.
• Getrennte Verschlüsselungskontexte: IBAN-Verschlüsselung über Supabase Vault mit separatem Schlüsselmanagement.
• Logische Datenbanktrennung: Mitglieder-, Rechnungs-, Zahlungs- und Archivdaten sind in separaten Tabellen mit referentieller Integrität und verein_id-Scoping gespeichert.

Zusammenfassung der Sicherheitszertifizierungen