Zum Hauptinhalt springen
← Zurück zur Startseite

Technisch-Organisatorische Maßnahmen (TOM)

ThyPoAI EU.inc – Plattform für professionelle Ernährungsberatung

Stand: April 2026

1. Einleitung & Rechtsgrundlage

Diese Dokumentation beschreibt die technischen und organisatorischen Maßnahmen (TOM), die ThyPoAI EU.inc gemäß Art. 32 DSGVO ergriffen hat, um ein dem Risiko angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten – insbesondere besonderer Kategorien gemäß Art. 9 DSGVO (Gesundheitsdaten) – zu gewährleisten.

ThyPoAI EU.inc
TESTStraße 123 84000 Testhausen

Die beschriebenen Maßnahmen werden regelmäßig überprüft, bewertet und bei Bedarf aktualisiert (Art. 32 Abs. 1 lit. d DSGVO). Die TOM gelten sowohl für den Betreiber als auch als Grundlage für Auftragsverarbeitungsverträge (AVV) mit eingesetzten Subdienstleistern.

2. Vertraulichkeit

2.1 Physische Zutrittskontrolle

Der Betrieb der Plattform erfolgt ausschließlich über zertifizierte Rechenzentren innerhalb der Europäischen Union (Deutschland). Die Rechenzentren verfügen über:

  • Gesicherte Zugangskontrolle (Chipkarte, PIN, biometrische Verfahren)
  • Videoüberwachung der Zugangsbereiche
  • Besucherregistrierung und Begleitung durch autorisiertes Personal
  • Einbruchmeldeanlage und 24/7-Sicherheitsdienst
  • Zertifizierung nach ISO/IEC 27001

Administrativer Zugang zur Serverinfrastruktur ist ausschließlich autorisiertem Personal des Betreibers und der eingesetzten Hosting-Dienstleister gestattet.

2.2 Logische Zugangskontrolle

  • Authentifizierung über JWT (JSON Web Tokens) mit separaten Access- und Refresh-Tokens
  • Passwörter werden ausschließlich als gesalzener Hash (bcrypt) gespeichert – Klartextpasswörter werden niemals gespeichert oder übertragen
  • Rollenbasiertes Zugriffsmodell (RBAC): strikte Trennung zwischen den Rollen Admin, Berater und Klient
  • Berater haben ausschließlich Zugriff auf Daten ihrer eigenen Klienten
  • Administrative Funktionen sind durch eine separate Authentifizierungsebene geschützt
  • Automatische Session-Invalidierung nach Inaktivität
  • API-seitige Absicherung aller Endpunkte durch Guards und Rollen-Decorators (NestJS)

2.3 Mitarbeiterverpflichtung

  • Alle Mitarbeiter und Auftragnehmer mit Datenzugang werden schriftlich auf die Vertraulichkeit verpflichtet
  • Schulungen zu Datenschutz und Datensicherheit bei Onboarding und regelmäßig wiederkehrend
  • Need-to-know-Prinzip: Zugang nur zu den für die jeweilige Aufgabe erforderlichen Daten
  • Sofortige Zugangssperrung bei Ausscheiden aus dem Unternehmen

3. Integrität

3.1 Eingabekontrolle

  • Alle API-Eingaben werden serverseitig durch class-validator validiert (Whitelist-Prinzip: nicht deklarierte Felder werden verworfen)
  • Schutz vor SQL-Injection durch ausschließliche Verwendung von Prisma ORM mit parametrisierten Abfragen
  • Schutz vor Cross-Site-Scripting (XSS) durch React-seitiges automatisches Escaping und Content Security Policy (CSP)
  • CSRF-Schutz durch SameSite-Cookie-Attribute und tokenbasierte Authentifizierung

3.2 Übertragungsintegrität

  • Alle Datenübertragungen erfolgen ausschließlich über TLS 1.2 / TLS 1.3 (HTTPS)
  • HTTP-Strict-Transport-Security (HSTS) ist aktiviert
  • Zahlungsdaten werden niemals über eigene Server übertragen – die Abwicklung erfolgt vollständig über PCI-DSS-zertifizierte Stripe-Infrastruktur

3.3 Datenbank-Integrität

  • Referenzielle Integrität durch Fremdschlüssel-Constraints in MariaDB
  • Transaktionale Verarbeitung kritischer Datenbankoperationen
  • Soft-Delete-Mechanismen für kritische Datensätze, um versehentlichen Datenverlust zu vermeiden

4. Verfügbarkeit & Belastbarkeit

4.1 Backup & Wiederherstellung

  • Automatische tägliche Datenbank-Backups
  • Backups werden verschlüsselt und geografisch getrennt gespeichert
  • Regelmäßige Test-Restores zur Sicherstellung der Wiederherstellbarkeit
  • Definierte Recovery Time Objective (RTO) und Recovery Point Objective (RPO)

4.2 Ausfallsicherheit

  • Container-basierter Betrieb (Docker) ermöglicht schnellen Neustart bei Ausfällen
  • Redis-basiertes Caching reduziert Datenbankbelastung und verbessert Ausfallresistenz
  • Monitoring und automatische Benachrichtigung bei Systemausfällen
  • Dokumentierter Notfallplan für den Betrieb bei Teilausfällen

5. Zugangs- & Zugriffskontrolle

5.1 Datenzugriffsmatrix

Der Zugriff auf Daten ist nach dem Minimalprinzip geregelt:

  • Klient: Lese- und Schreibzugriff ausschließlich auf eigene Profil-, Anamnese-, Plan- und Termindaten
  • Berater: Lese- und Schreibzugriff auf Daten der eigenen Klienten; kein Zugriff auf Daten anderer Berater oder deren Klienten
  • Admin: Systemweiter Zugriff auf Verwaltungsdaten; Gesundheitsdaten von Klienten sind auch für Admins nicht im Klartext einsehbar

5.2 API-Sicherheit

  • Jeder API-Endpunkt ist explizit durch JwtAuthGuard und RolesGuard abgesichert
  • Unautorisierte Anfragen werden mit HTTP 401 / 403 abgewiesen
  • Rate Limiting zum Schutz vor Brute-Force-Angriffen
  • Globaler Validierungs-Pipe mit forbidNonWhitelisted verhindert Injection unbekannter Felder

6. Transportverschlüsselung

  • Alle Verbindungen zwischen Client und Server: TLS 1.2 oder höher (TLS 1.3 bevorzugt)
  • Alle Verbindungen zwischen Backend und Datenbank: verschlüsselt innerhalb des privaten Netzwerks
  • E-Mail-Versand über TLS-verschlüsselte SMTP-Verbindungen
  • Stripe-Kommunikation: TLS-verschlüsselt über offizielle Stripe-SDK
  • Zertifikate: Let's Encrypt mit automatischer Erneuerung oder gleichwertige CA
  • Ablehnung veralteter Protokolle (SSLv3, TLS 1.0, TLS 1.1)

7. Auftragskontrolle

Datenverarbeitungen, die durch Dritte (Auftragsverarbeiter) durchgeführt werden, sind durch Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geregelt. Es werden ausschließlich Auftragsverarbeiter eingesetzt, die hinreichende Garantien für die Einhaltung der DSGVO bieten.

  • Stripe: Zahlungsabwicklung – AVV gemäß Stripe Data Processing Agreement; PCI-DSS Level 1 zertifiziert
  • Hosting-Anbieter: Serverhosting in deutschen Rechenzentren – AVV vorhanden; ISO 27001 zertifiziert
  • E-Mail-Dienstleister: Transaktionale E-Mails (Buchungsbestätigung, Passwort-Reset) – AVV vorhanden; Server in der EU

Eine Weitergabe von personenbezogenen Daten an weitere Dritte ohne AVV oder gesetzliche Grundlage findet nicht statt.

8. Trennungsgebot

  • Daten verschiedener Berater und ihrer Klienten sind auf Datenbankebene durch Fremdschlüssel und Berechtigungsprüfungen strikt getrennt
  • Test- und Produktionssysteme sind vollständig voneinander getrennt; Produktionsdaten werden niemals in Testumgebungen verwendet
  • Logs und Monitoring-Daten enthalten keine Gesundheitsdaten oder Klartextpasswörter
  • Zahlungsdaten werden ausschließlich bei Stripe gespeichert und nicht in der Plattform-Datenbank repliziert

9. Besondere Maßnahmen für Gesundheitsdaten

Gesundheitsdaten (Blutbild, Laborwerte, Anamnese, Ernährungspläne) sind besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO und unterliegen erhöhten Schutzanforderungen:

  • Gesundheitsdaten sind ausschließlich für den zuständigen Berater und den betroffenen Klienten einsehbar
  • Kein Zugriff durch den Plattformbetreiber oder andere Berater
  • Übertragung ausschließlich verschlüsselt (TLS)
  • Speicherung ausschließlich auf Servern innerhalb der EU (Deutschland)
  • Explizite Einwilligung des Klienten gemäß Art. 9 Abs. 2 lit. a DSGVO bei der Registrierung
  • Löschkonzept: Gesundheitsdaten werden auf Anfrage des Klienten oder nach Ende der Berater-Klienten-Beziehung gelöscht
  • Keine Weitergabe an Dritte ohne ausdrückliche Einwilligung des Klienten

10. Incident Response & Datenpannen

Im Falle eines Sicherheitsvorfalls oder einer Datenpanne (Art. 33, 34 DSGVO) greift folgender Prozess:

  • Erkennung: Automatisiertes Monitoring und manuelle Prüfprozesse zur Erkennung von Sicherheitsvorfällen
  • Bewertung: Sofortige Risikobewertung durch den Betreiber – Schwere, Umfang, betroffene Daten
  • Meldung an Aufsichtsbehörde: Bei wahrscheinlichem Risiko für Betroffene innerhalb von 72 Stunden gemäß Art. 33 DSGVO
  • Benachrichtigung Betroffener: Bei voraussichtlich hohem Risiko unverzügliche Information der betroffenen Nutzer gemäß Art. 34 DSGVO
  • Eindämmung: Sofortige technische Maßnahmen zur Schadensbegrenzung (z.B. Token-Invalidierung, Zugangssperrung)
  • Dokumentation: Vollständige Dokumentation des Vorfalls, der Ursache und der ergriffenen Maßnahmen
  • Nachbereitung: Analyse und Verbesserung der Schutzmaßnahmen nach jedem Vorfall

Nutzer werden gebeten, Sicherheitsvorfälle oder Verdachtsfälle unverzüglich an den Betreiber zu melden.

11. Subdienstleister & Drittländer

Die Plattform setzt ausschließlich Subdienstleister ein, deren Datenverarbeitung innerhalb der EU / des EWR stattfindet oder die durch geeignete Garantien abgesichert ist (Standardvertragsklauseln, Angemessenheitsbeschluss):

  • Hosting / Infrastruktur: Deutschland (EU) – kein Datentransfer in Drittländer
  • Stripe: Stripe Payments Europe, Ltd. (Dublin, Irland / EU); Datenverarbeitung gemäß EU-Standardvertragsklauseln für US-Transfers
  • E-Mail: EU-Anbieter; kein Transfer in Drittländer

Ein Transfer personenbezogener Daten in Länder ohne angemessenes Datenschutzniveau ohne geeignete Garantien findet nicht statt.

12. Überprüfung & Weiterentwicklung

Gemäß Art. 32 Abs. 1 lit. d DSGVO werden die TOM regelmäßig bewertet und bei Bedarf aktualisiert:

  • Jährliche Überprüfung der gesamten TOM-Dokumentation
  • Anlassbezogene Aktualisierung bei wesentlichen technischen Änderungen der Plattform
  • Anlassbezogene Aktualisierung nach Sicherheitsvorfällen
  • Berücksichtigung neuer Bedrohungslagen und Empfehlungen des BSI sowie der zuständigen Datenschutzbehörde
  • Überprüfung der Subdienstleister auf fortlaufende Einhaltung der Anforderungen

Stand der vorliegenden TOM: April 2026. Die aktuellste Version ist stets unter /tom auf der Plattform abrufbar.