Technische und Organisatorische Maßnahmen (TOMs)

Maßnahmen zur Verhinderung unbefugten Zugangs zu Datenverarbeitungssystemen:

• Authentifizierung: Supabase Auth mit bcrypt-Passwort-Hashing. Unterstützung für Multi-Faktor-Authentifizierung (MFA/TOTP).
• Rollenbasiertes Rechtekonzept (RBAC): Drei Rollen — Admin, Analyst, Viewer — mit jeweils eingeschränkten Berechtigungen. Nur Admins können Daten importieren und Organisationseinstellungen ändern.
• Row Level Security (RLS): PostgreSQL RLS auf Datenbankebene. Jede Zeile ist mit einer org_id verknüpft. Ein organisationsübergreifender Datenzugriff ist technisch ausgeschlossen.
• Gerätemanagement: Maximal 3 vertrauenswürdige Geräte pro Nutzer. Geräte-Fingerprints werden als SHA-256-Hash gespeichert (nur nach Einwilligung).
• Session-Management: Automatische Session-Invalidierung nach Inaktivität. Sichere Cookie-Flags (httpOnly, SameSite, Secure).

• Data-in-Transit: TLS 1.3 für alle Verbindungen zwischen Client, Server und Datenbank. HSTS (HTTP Strict Transport Security) aktiviert.
• Data-at-Rest: AES-256-Verschlüsselung aller gespeicherten Daten einschließlich Datenbank-Backups (Supabase / AWS eu-central-1).
• Passwörter: bcrypt-Hashing mit automatischem Salt. Klartext-Passwörter werden zu keinem Zeitpunkt gespeichert.

• KI-Verarbeitung (Zero-PII): Bei Anfragen an Google Gemini / Vertex AI werden keine Klarnamen, E-Mail-Adressen oder direkte Personenidentifikatoren übertragen. Es werden ausschließlich pseudonymisierte Kennungen, Gehaltskennzahlen, Jobstufen und Gap-Metriken übermittelt.
• Spaltenzuordnung: Bei der KI-gestützten Spaltenerkennung werden nur Spaltenüberschriften und anonymisierte Beispielwerte (max. 5 pro Spalte) übertragen, niemals vollständige Datensätze.
• Datei-Hashing: Hochgeladene Dateien erhalten einen SHA-256-Hash für die Audit-Trail-Nachverfolgung. Rohdateien werden nicht dauerhaft gespeichert.

Alle personenbezogenen Daten verbleiben innerhalb der Europäischen Union. Die primäre Datenresidenz ist Frankfurt am Main, Deutschland.

• Verfügbarkeit: Angestrebte Systemverfügbarkeit von mindestens 99 % pro Kalendermonat (exkl. geplanter Wartung).
• Backups: Regelmäßige automatische Backups in AWS eu-central-1. Supabase und Vercel sind SOC 2 Typ II zertifiziert.
• Wiederherstellung: Im Falle eines Systemausfalls ist die Wiederherstellung aus Backups innerhalb von 24 Stunden vorgesehen.

• Server-Logs: IP-Adressen und Zeitstempel werden für Sicherheits- und Fehleranalysezwecke protokolliert (Art. 6 Abs. 1 lit. f DSGVO).
• Audit-Trail: Wesentliche Nutzeraktionen (Datenimport, Berichterstellung, AVV-Akzeptanz) werden mit Zeitstempel und Nutzerkennung protokolliert.
• Anomalie-Erkennung: Ungewöhnliche Zugriffsmuster und fehlgeschlagene Authentifizierungsversuche werden überwacht.

• Benachrichtigung: Bei Datenpannen (Art. 4 Nr. 12 DSGVO) wird der Auftraggeber unverzüglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden, informiert.
• Meldekontakt: datenschutz@complens.de (24/7 überwacht).
• Dokumentation: Alle Sicherheitsvorfälle werden dokumentiert, einschließlich Art der Verletzung, betroffene Datenkategorien, ergriffene Gegenmaßnahmen und Lessons Learned.

• Alle Mitarbeitenden mit Zugang zu personenbezogenen Daten sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).
• Regelmäßige Schulungen zu Datenschutz, IT-Sicherheit und dem sicheren Umgang mit personenbezogenen Daten.
• Sensibilisierung für Social Engineering, Phishing und andere Angriffsvektoren.

• Löschung nach Vertragsende: Alle personenbezogenen Daten werden binnen 30 Tagen nach Kündigung unwiderruflich gelöscht (Hard Delete mit Kaskade auf alle verknüpften Datensätze).
• Aufbewahrungsfrist: Gehaltsdaten werden nach Ablauf der vertraglich vereinbarten Frist (Standard: 3 Jahre) automatisch gelöscht.
• KI-Daten: Google verarbeitet Daten nicht für eigene Zwecke und speichert keine Kundendaten über die Anfrageverarbeitung hinaus (vertraglich abgesichert über Data Processing Addendum).