Technische und organisatorische Maßnahmen (TOM)
Stand: 6. Juli 2026. Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Diese Übersicht ist Anlage zum Auftragsverarbeitungsvertrag (AVV) und beschreibt die Maßnahmen von Tippel — Lukas Friedrich (Einzelunternehmen), Kampweg 4, 34369 Hofgeismar, Deutschland (nachfolgend „Tippel“) als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Der Betrieb erfolgt auf Infrastruktur der IONOS SE mit Rechenzentren in Deutschland.
0. Anwendungsbereich und Rollenverteilung
Für die Konto- und Nutzungsdaten der registrierten Unternehmen (Name, E-Mail, Passwort-Hash, Nutzungs- und Abrechnungsdaten) ist Tippel selbst Verantwortlicher. Für die Inhalte der Analyse — die von den Kunden hochgeladenen Dokumente (PDF/TXT/MD) und Quellcode/ZIP-Repositorys, die personenbezogene Daten enthalten können — ist Tippel Auftragsverarbeiter des jeweiligen Kunden (Art. 28 DSGVO); der Kunde ist insoweit Verantwortlicher. Die nachstehenden Maßnahmen gelten für beide Verarbeitungssituationen.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b)
- Zutrittskontrolle: Verarbeitung und Speicherung ausschließlich in Rechenzentren der IONOS SE in Deutschland. Die physische Sicherheit (Gebäude-, Zutritts- und Perimeterschutz, Brand-/Klima-/Stromversorgung) obliegt dem Rechenzentrumsbetreiber IONOS SE; Tippel selbst betreibt keine eigenen Server-Standorte (siehe Subunternehmerliste). Konkrete Zertifizierungen des Betreibers: [zu bestätigen: z. B. ISO 27001 der IONOS-Rechenzentren].
- Zugangskontrolle: Anmeldung zur Anwendung nur mit E-Mail und
Passwort. Passwörter werden ausschließlich als bcrypt-Hash gespeichert (kein Klartext,
kein reversibles Verfahren). Sitzungen werden über zufällige, in der Datenbank
hinterlegte Session-Tokens und ein technisch notwendiges Cookie
(
komplai_session) geführt; das Cookie ist httpOnly, SameSite=Lax und im Produktivbetrieb „Secure“, mit begrenzter Gültigkeit. Nach mehreren fehlgeschlagenen Anmeldeversuchen erfolgt eine automatische Login-Sperre. Der Zugriff auf die Anwendung ist ausschließlich über TLS/HTTPS möglich. - Zugriffskontrolle: Der Zugriff auf Fälle, Analysen (Jobs),
hochgeladene Dateien und Ergebnisdokumente ist rollen- und eigentümergebunden: Nutzer
sehen und laden ausschließlich die dem eigenen Konto zugeordneten Daten herunter; jede
zustandsändernde Aktion prüft die Kontozugehörigkeit. Zustandsändernde Formulare sind
durch CSRF-Token geschützt. Zur Reduktion von Cross-Site-Scripting und Fremdcode-
Ausführung gilt eine strikte Content-Security-Policy mit
script-src 'self'(keine externen Skripte, kein Inline-JavaScript aus untrusted Quellen). - Trennungskontrolle: Logische Mandanten-/Kontotrennung: Nutzdaten
werden je Konto/Fall getrennt abgelegt und bei jedem Zugriff gegen die Kontozugehörigkeit
geprüft. Die Anwendungsdaten liegen in eigenen, mit
kc_präfigierten Datenbanktabellen, getrennt von etwaigen anderen Anwendungen derselben Datenbank. Produktiv- und Testumgebung: [zu bestätigen: getrennte Umgebungen/Datenbestände]. - Pseudonymisierung/Verschlüsselung: Passwörter werden ausschließlich als Hash gespeichert; die gesamte Übertragung zwischen Client, Server und Subunternehmern erfolgt transportverschlüsselt (TLS). Zur Nachvollziehbarkeit werden je analysiertem Dokument Prüfsummen (SHA-256) geführt. Verschlüsselung ruhender Daten („encryption at rest“) auf Speicher-/Datenbankebene: [zu bestätigen, ob durch IONOS bzw. auf Anwendungsebene aktiviert].
2. Integrität (Art. 32 Abs. 1 lit. b)
- Weitergabekontrolle: Eine Übermittlung an Subunternehmer erfolgt
nur transportverschlüsselt (TLS) und auf Grundlage von Auftragsverarbeitungsverträgen.
Für Übermittlungen in die USA (OpenRouter Inc. als API-Gateway und der Modellanbieter,
derzeit Anthropic) werden EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
zugrunde gelegt; als Zusatzmaßnahme wird das Anbieter-Routing „keine Speicherung, kein
Training“ (
data_collection: deny) gesetzt. Ob die US-Anbieter zusätzlich nach dem EU-US Data Privacy Framework zertifiziert sind, ist [zu prüfen]. Keine Weitergabe zu Werbe- oder Trainingszwecken; kein Tracking, keine Analyse-/Marketing- Cookies. - Eingabekontrolle / Nachvollziehbarkeit: Standard-Zugriffsprotokolle der Server-/Reverse-Proxy-Ebene (IP-Adresse, Zeitpunkt, aufgerufene URL) dienen der Betriebssicherheit und werden nur kurzfristig vorgehalten (Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO). Jeder erstellte Bericht führt eine Prüfgrundlage mit Dokument-Hashes, Modell-ID und Rechtsstand, sodass nachvollziehbar bleibt, welche Eingaben zu welchem Ergebnis geführt haben. Konkrete Aufbewahrungsfrist der Server-Logs: [zu ergänzen: exakte Frist].
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c)
- Verfügbarkeit / Betriebssicherheit: Betrieb auf verwalteter IONOS-Infrastruktur in Deutschland. Ratenbegrenzung (Rate-Limiting) und Sicherheits- Header (u. a. die o. g. strikte CSP) schützen vor Überlastung und typischen Angriffen. Server-Logs unterstützen das Erkennen von Betriebsstörungen und Sicherheitsauffälligkeiten.
- Belastbarkeit / Wiederherstellung: Unterbrochene Analysen werden beim Neustart automatisch erkannt; fehlgeschlagene Analysen führen zu einer automatischen Erstattung der eingesetzten Credits. Regelmäßige Sicherungen (Backups) von Datenbank und Nutzdaten sowie das Wiederherstellungsverfahren werden vor dem Livegang eingerichtet und dokumentiert. Konkrete Backup-Frequenz, Aufbewahrungsdauer der Sicherungen und Wiederherstellungsziele (RPO/RTO): [zu ergänzen].
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d)
- Auftrags- und Subunternehmerkontrolle: Subunternehmer werden nur mit Auftragsverarbeitungsvertrag bzw. — bei Drittlandsbezug — auf Grundlage der EU-Standardvertragsklauseln eingesetzt. Die eingesetzten Subunternehmer (IONOS SE, DE; OpenRouter Inc., USA; Anthropic, USA via OpenRouter; Stripe Payments Europe Ltd., Irland) sind in der Subunternehmerliste offengelegt und datiert.
- Datenschutz-Management / Datenminimierung: Es werden nur die für Konto, Analyse und Zahlung erforderlichen Daten verarbeitet; vollständige Zahlungsdaten erhält ausschließlich Stripe Payments Europe Ltd. Zuständigkeit für Datenschutzfragen liegt bei der Geschäftsführung; ein Datenschutzbeauftragter ist nicht bestellt, da die Bestellpflicht nach Art. 37 DSGVO / § 38 BDSG für das Einzelunternehmen regelmäßig nicht einschlägig ist. Anfragen: info@tippel.ai.
- Incident- / Data-Breach-Response: Verletzungen des Schutzes personenbezogener Daten werden dokumentiert und dem Verantwortlichen unverzüglich mitgeteilt (Art. 33 Abs. 2 DSGVO). Soweit Tippel selbst Verantwortlicher ist, erfolgt eine Meldung an die zuständige Aufsichtsbehörde — den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), Wiesbaden — nach Maßgabe des Art. 33 DSGVO. Kontakt für Meldungen: info@tippel.ai.
- Aktualisierung und Überprüfung: Die technischen und organisatorischen Maßnahmen werden regelmäßig sowie anlassbezogen (z. B. bei Änderungen der Anwendung, neuen Subunternehmern oder Sicherheitsvorfällen) überprüft, bewertet und bei Bedarf angepasst. Turnus der planmäßigen Überprüfung: [zu ergänzen: z. B. jährlich].
Diese Beschreibung dokumentiert die getroffenen bzw. bis zum Livegang einzurichtenden Maßnahmen und ersetzt keine Rechtsberatung. Maßgeblich für konkrete Aufträge ist der AVV.