CompLens

Technische und Organisatorische Maßnahmen (TOMs)

Stand: Mai 2026 · Gemäß Art. 32 DSGVO · DexterBee GmbH

1. Zugriffskontrolle (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahmen zur Verhinderung unbefugten Zugangs zu Datenverarbeitungssystemen:

  • Authentifizierung: Supabase Auth mit bcrypt-Passwort-Hashing. Unterstützung für Multi-Faktor-Authentifizierung (MFA/TOTP).
  • Rollenbasiertes Rechtekonzept (RBAC): Drei Rollen — Admin, Analyst, Viewer — mit jeweils eingeschränkten Berechtigungen. Nur Admins können Daten importieren und Organisationseinstellungen ändern.
  • Row Level Security (RLS): PostgreSQL RLS auf Datenbankebene. Jede Zeile ist mit einer org_id verknüpft. Ein organisationsübergreifender Datenzugriff ist technisch ausgeschlossen.
  • Gerätemanagement: Maximal 3 vertrauenswürdige Geräte pro Nutzer. Geräte-Fingerprints werden als SHA-256-Hash gespeichert (nur nach Einwilligung).
  • Session-Management: Automatische Session-Invalidierung nach Inaktivität. Sichere Cookie-Flags (httpOnly, SameSite, Secure).

2. Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

  • Data-in-Transit: TLS 1.3 für alle Verbindungen zwischen Client, Server und Datenbank. HSTS (HTTP Strict Transport Security) aktiviert.
  • Data-at-Rest: AES-256-Verschlüsselung aller gespeicherten Daten einschließlich Datenbank-Backups (Supabase / AWS eu-central-1).
  • Passwörter: bcrypt-Hashing mit automatischem Salt. Klartext-Passwörter werden zu keinem Zeitpunkt gespeichert.

3. Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)

  • KI-Verarbeitung (Zero-PII): Bei Anfragen an Google Vertex AI (EU-Multi-Region) werden keine Klarnamen, E-Mail-Adressen, Telefonnummern, Bankdaten, Adressen oder Geburtsdaten übertragen. Diese Felder werden vor der Übermittlung pseudonymisiert (Namen auf max. 4 Zeichen gekürzt; IDs durch sequenzielle Platzhalter ersetzt; sensible Felder durch strukturelle Platzhalter). Authentifizierung erfolgt via Workload Identity Federation (keine statischen API-Schlüssel).
  • Spaltenzuordnung: Bei der KI-gestützten Spaltenerkennung werden nur Spaltenüberschriften und pseudonymisierte Beispielwerte (max. 5 pro Spalte) übertragen — spaltenweise, nicht zeilenweise, sodass eine Re-Identifizierung einzelner Personen durch den Auftragsverarbeiter strukturell ausgeschlossen ist.
  • Datei-Hashing: Hochgeladene Dateien erhalten einen SHA-256-Hash für die Audit-Trail-Nachverfolgung. Rohdateien werden nicht dauerhaft gespeichert.

4. Datenresidenz und Standorte (Art. 32 Abs. 1 lit. b DSGVO)

DienstAnbieterStandort
Datenbank & AuthSupabase (AWS)eu-central-1, Frankfurt
KI-VerarbeitungGoogle Cloud Vertex AIEU-Multi-Region (BE/NL/FR/DE)
Frontend & APIVercelEdge fra1, Frankfurt
E-MailResendEU-Datenspeicherung
ZahlungenStripeEU / USA (Angemessenheitsbeschluss)

Alle personenbezogenen Daten verbleiben innerhalb der Europäischen Union. Die primäre Datenresidenz ist Frankfurt am Main, Deutschland.

5. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

  • Verfügbarkeit: Angestrebte Systemverfügbarkeit von mindestens 99 % pro Kalendermonat (exkl. geplanter Wartung).
  • Backups: Regelmäßige automatische Backups in AWS eu-central-1. Supabase und Vercel sind SOC 2 Typ II zertifiziert.
  • Wiederherstellung: Im Falle eines Systemausfalls ist die Wiederherstellung aus Backups innerhalb von 24 Stunden vorgesehen.

6. Monitoring und Protokollierung

  • Server-Logs: IP-Adressen und Zeitstempel werden für Sicherheits- und Fehleranalysezwecke protokolliert (Art. 6 Abs. 1 lit. f DSGVO).
  • Audit-Trail: Wesentliche Nutzeraktionen (Datenimport, Berichterstellung, AVV-Akzeptanz, Chatbot-Anfragen) werden mit Zeitstempel und Nutzerkennung protokolliert.
  • Kunden-DPO-Einsicht: Org-Administratoren können den Audit-Log ihrer Organisation jederzeit unter /dashboard/audit-log einsehen und als CSV exportieren. Privatinhalte (z. B. Chatbot-Eingaben) anderer Beschäftigter werden im Export redigiert.
  • Aufbewahrung: Audit-Log-Einträge sind 90 Tage live einsehbar und werden danach 12 Monate archiviert (Erfüllung der Nachweispflicht nach § 32 BDSG und Art. 32 DSGVO).
  • Anomalie-Erkennung: Ungewöhnliche Zugriffsmuster und fehlgeschlagene Authentifizierungsversuche werden überwacht.

7. Incident Response und Meldepflichten

  • Benachrichtigung: Bei Datenpannen (Art. 4 Nr. 12 DSGVO) wird der Auftraggeber unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, informiert.
  • Meldekontakt: hallo@complens.de.
  • Dokumentation: Alle Sicherheitsvorfälle werden dokumentiert, einschließlich Art der Verletzung, betroffene Datenkategorien, ergriffene Gegenmaßnahmen und Lessons Learned.

8. Schulungen für Beschäftigte und Vertraulichkeit

  • Alle Beschäftigten mit Zugang zu personenbezogenen Daten sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).
  • Regelmäßige Schulungen zu Datenschutz, IT-Sicherheit und dem sicheren Umgang mit personenbezogenen Daten.
  • Sensibilisierung für Social Engineering, Phishing und andere Angriffsvektoren.

9. Datenlöschung und Datenminimierung

  • Löschung nach Vertragsende: Alle personenbezogenen Daten werden binnen 30 Tagen nach Kündigung unwiderruflich gelöscht (Hard Delete mit Kaskade auf alle verknüpften Datensätze).
  • Aufbewahrungsfrist: Gehaltsdaten werden nach Ablauf der vertraglich vereinbarten Frist (Standard: 3 Jahre) automatisch gelöscht.
  • KI-Daten: Google verarbeitet Daten nicht für eigene Zwecke und speichert keine Kundendaten über die Anfrageverarbeitung hinaus (vertraglich abgesichert über Data Processing Addendum).

10. Fehler-Monitoring & PII-Scrubbing (Sentry)

CompLens nutzt Sentry zur Erfassung technischer Fehler in Frontend, Server und Edge-Runtime. Sentry-Ereignisse werden vor Übermittlung systematisch von personenbezogenen Daten bereinigt:

  • sendDefaultPii: false in allen drei Sentry-Konfigurationen (client/server/edge) — IP-Adressen, User-Agents und automatisch erkannte PII werden niemals automatisch übermittelt.
  • beforeSend-Filter in allen Runtimes: deep-scrubbing von request.headers, extra, contexts und breadcrumbs.data; vollständiges Verwerfen von request.cookies; Reduzierung von user auf eine opake ID.
  • Server-Runtime zusätzlich: request.data (POST-Bodies, Query-Parameter mit Personenbezug) wird vollständig verworfen, bevor das Ereignis das Backend verlässt.
  • Breadcrumb-Filter: fetch-, xhr- und console-Breadcrumbs werden im Nachrichtenfeld redigiert, da diese Kategorien Argument-Werte (z. B. URL-Query-Parameter) frei in den Text aufnehmen.
  • Geprüftes Mustervokabular: Felder mit Namen wie email, name, phone, address, salary, wage, bonus, ip u. ä. werden in jedem Objekt-Pfad rekursiv durch [redacted] ersetzt (Source: lib/observability/sentryScrub.ts; vollständig getestet in __tests__/sentryScrub.test.ts).
  • Kein KI-Output zu Sentry: Von Vertex AI generierte Texte (Begründungsentwürfe, Maßnahmen-Vorschläge, Berichtspassagen) werden nicht in Sentry-Ereignisse aufgenommen. Diese Disziplin wird durch die zentralisierte Logger-Schnittstelle und das Key-Pattern-Scrubbing unterstützt; KI-Antwort-Felder, die versehentlich übergeben werden, werden von scrubObject() rekursiv ausgeschlossen.

11. Cookies & Telemetrie (TTDSG)

CompLens setzt nur technisch notwendige Cookies ohne vorherige Einwilligung. Alle weiteren Telemetrie- und Analyseintegrationen sind hinter einem expliziten Einwilligungs-Banner gesperrt (§ 25 TTDSG):

  • Technisch notwendig (kein Banner erforderlich): Supabase-Auth-Session-Cookie, NEXT_LOCALE (Sprachauswahl). Beide sind ohne Einwilligung für den Betrieb des Dienstes erforderlich.
  • Einwilligungsgesperrt (Banner-gesteuert über localStorage.complens_cookie_consent): Google Analytics 4, Geräte-Fingerprint (Trusted-Device-Erkennung) sowie eingebettete Drittanbieter-iFrames (Video- und Produkttour-Anbieter — siehe Datenschutzerklärung für die aktuelle Liste).
  • Banner-UX: „Akzeptieren" und „Ablehnen" stehen gleichwertig und sichtbar nebeneinander; Standardzustand ist „nicht erteilt"; Widerruf jederzeit über Einstellungen → Datenschutz möglich.
  • Keine Pre-Consent-Netzwerkanfragen: Drittanbieter-Skripte (GA u. ä.) werden erst nach dokumentierter Einwilligung in den DOM injiziert; eingebettete iFrames werden über die Komponente ConsentGatedEmbed bis zur Einwilligung zurückgehalten. Vor dem Klick auf „Akzeptieren" sind keine Drittanbieter-Netzwerkanfragen sichtbar.

DexterBee GmbH · Industriestr. 13 · 63755 Alzenau

Datenschutz-Kontakt: hallo@complens.de