Technische und organisatorische Maßnahmen (TOM)
Anlage 2 zur Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 32 DSGVO
ProofShare trifft die folgenden technischen und organisatorischen Maßnahmen, um ein dem Risiko der Verarbeitung angemessenes Schutzniveau gemäß Art. 32 DSGVO und dem BSI IT-Grundschutz zu gewährleisten. Diese Maßnahmen werden regelmäßig überprüft und aktualisiert.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zugriffskontrolle und Authentifizierung
| Maßnahme | Beschreibung |
|---|
| Nutzerauthentifizierung |
Passwortbasierte Anmeldung mit Einweg-kryptografischem Hashing mittels eines speicherintensiven Algorithmus gemäß den aktuellen Empfehlungen des BSI TR-02102. Klartextanmeldedaten werden weder gespeichert noch protokolliert. |
| Zwei-Faktor-Authentifizierung |
Zeitbasierte Einmalpasswort-Authentifizierung (TOTP) steht für alle Fotografen-Konten zur Verfügung und wird für Konten mit erhöhtem Datenvolumen empfohlen. |
| Session-Sicherheit |
Session-Tokens sind kryptografisch zufällig, an die authentifizierte Sitzung gebunden und mit branchenüblichen Sicherheitsattributen versehen, um Abfangen und Wiederverwendung zu verhindern. Sessions werden beim Logout sofort invalidiert. |
| Persistente Anmeldung |
Verlängerte Anmeldesitzungen sind ausschließlich per Opt-in verfügbar, werden über ein separates kryptografisch zufälliges Token – getrennt vom Session-Token – realisiert und sind zeitlich begrenzt. |
| API-Authentifizierung |
Maschinelle Zugriffe erfolgen über kryptografisch zufällige Bearer-Tokens mit ausreichender Entropie. Tokens werden in einer Form gespeichert, aus der sie allein nicht rekonstruiert werden können. |
| Kunden-Zugang |
Endkunden erhalten Zugang über individuelle, nicht ratbare Zugangscodes. Der Zugang ist strikt auf die mit dem jeweiligen Code explizit geteilten Inhalte beschränkt. |
| Berechtigungsmanagement |
Administratorrechte werden über ein rollenbasiertes Zugriffsmodell verwaltet. Eine Privilegien-Eskalation über die Anwendungsschicht ist nicht möglich; Berechtigungen werden auf Daten-Ebene durchgesetzt. |
1.2 Logische Datentrennung (Mandantenfähigkeit)
| Maßnahme | Beschreibung |
|---|
| Datenbank-Isolation |
Alle Datenzugriffe sind auf das authentifizierte Konto beschränkt. Parametrisierte Abfragen mit verpflichtenden Konto-Bereichsprüfungen werden durchgehend eingesetzt; mandantenübergreifende Datenzugriffe sind architektonisch ausgeschlossen. |
| Dateispeicher-Isolation |
Dateien jedes Kontos werden unter einem einzigartigen, zufällig generierten Speicherpräfix abgelegt, der nicht aus Kontoattributen ableitbar ist. Dateien sind nicht direkt öffentlich abrufbar; der Zugang wird durch anwendungsseitige Berechtigungsprüfungen gesteuert. |
| Kundendaten-Abgrenzung |
Endkunden können ausschließlich auf Inhalte zugreifen, die explizit mit ihnen geteilt wurden. Ein lateraler Zugriff auf Inhalte anderer Fotografen oder anderer Kunden ist nicht möglich. |
1.3 Verschlüsselung
| Maßnahme | Beschreibung |
|---|
| Verschlüsselung während der Übertragung |
Alle Datenübertragungen zwischen Clients und der Plattform werden mit TLS in einer Version und Konfiguration verschlüsselt, die den aktuellen Empfehlungen des BSI TR-02102-2 entspricht. Unverschlüsselte Verbindungen werden abgewiesen. |
| Verschlüsselung bei Ablage – Dateispeicher |
Im Cloud-Objektspeicher (Cloudflare R2) abgelegte Dateien werden at-rest mit branchenüblicher symmetrischer Verschlüsselung gesichert, die vom Speicheranbieter bereitgestellt und verwaltet wird. |
| Verschlüsselung bei Ablage – sensible Konfigurationsdaten |
In der Datenbank gespeicherte Zugangsdaten und Geheimschlüssel (z. B. Drittanbieter-Credentials, kryptografische Schlüssel) werden at-rest mit symmetrischer Verschlüsselung gesichert. Der Verschlüsselungsschlüssel wird getrennt von der Datenbank aufbewahrt. |
| Passwort-Speicherung |
Nutzerpasswörter werden ausschließlich als irreversible kryptografische Hashes mittels eines speicherintensiven Algorithmus gespeichert. Klartextpasswörter oder reversibel kodierte Passwörter werden nirgendwo im System vorgehalten. |
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
| Maßnahme | Beschreibung |
|---|
| Injection-Prävention |
Alle Datenbankzugriffe erfolgen über parametrisierte Abfragen. Die dynamische Abfragekonstruktion aus nutzerseitig eingegebenen Daten ist durch Coding-Policy verboten und wird im Code-Review durchgesetzt. |
| Ausgabe-Kodierung |
Nutzergenerierte Inhalte werden vor der Darstellung in Webseiten kontextbewusst kodiert, um Cross-Site-Scripting-Angriffe (XSS) zu verhindern. |
| CSRF-Schutz |
Alle zustandsändernden Operationen erfordern ein synchronisiertes Token, das serverseitig validiert wird, bevor eine Aktion ausgeführt wird. Anfragen ohne gültiges Token werden abgewiesen. |
| Eingabevalidierung |
Alle Eingaben werden serverseitig auf Typ, Länge, Format und zulässige Wertebereiche geprüft. Die Validierung erfolgt unabhängig von etwaigen clientseitigen Prüfungen. |
| Datei-Upload-Sicherheit |
Hochgeladene Dateien werden auf Typ und Inhalt geprüft. Speicherziele werden ausschließlich durch serverseitige Logik bestimmt; nutzerseitige Pfadbestandteile werden nicht für Dateispeicheroperationen verwendet. |
| Automatisierter Missbrauchsschutz |
Sensible Endpunkte (z. B. Authentifizierung, Kontaktformular) sind mit automatisiertem Rate-Limiting geschützt, um Brute-Force- und automatisierte Missbrauchsangriffe abzuwehren. |
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)
| Maßnahme | Beschreibung |
|---|
| Redundante Dateispeicherung |
Hochgeladene Dateien werden in einem georedundanten Cloud-Objektspeicher (Cloudflare R2) mit vertraglich zugesicherter Hochverfügbarkeits-SLA gespeichert. |
| Datenbank-Backups |
Die Datenbank wird regelmäßig gesichert. Backup-Frequenz und Aufbewahrungsdauer richten sich nach dem Standard-Zeitplan des Hosting-Anbieters. Verantwortliche werden zusätzlich auf die Nutzung der plattformeigenen Exportfunktionen hingewiesen. |
| Software-Wartung |
Serversoftware und Drittanbieter-Abhängigkeiten werden aktuell gehalten. Sicherheits-Patches werden priorisiert und zeitnah nach Veröffentlichung eingespielt. |
| Anomalie-Monitoring |
Systemprotokolle werden regelmäßig ausgewertet. Anomalien, die auf Sicherheitsvorfälle oder Betriebsbeeinträchtigungen hinweisen, werden zeitnah untersucht. |
4. Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
| Maßnahme | Beschreibung |
|---|
| Datenexport für Verantwortliche |
Fotografen können ihre Inhalte (Alben, Fotos, Moodboards, Callsheets) jederzeit über integrierte Download- und PDF-Exportfunktionen exportieren, unabhängig vom Betriebsstatus der Plattform. |
| Backup-Wiederherstellbarkeit |
Datenbank-Backups und Datei-Speicher können aus anbieterseitig verwalteten Snapshots wiederhergestellt werden. Wiederherstellungsprozesse sind dokumentiert. |
| Incident-Response-Prozess |
Ein dokumentierter Incident-Response-Prozess umfasst Erkennung, Eindämmung, Meldung an betroffene Verantwortliche (innerhalb von 36 Stunden nach Bekanntwerden), Behebung und einen schriftlichen Abschlussbericht an betroffene Verantwortliche innerhalb von 30 Tagen nach Eindämmung. |
5. Überprüfungs- und Evaluierungsverfahren (Art. 32 Abs. 1 lit. d DSGVO)
| Maßnahme | Beschreibung |
|---|
| Sicherheits-Review-Prozess |
Codeänderungen werden vor dem Deployment anhand einer Sicherheits-Checkliste geprüft, die an den OWASP Top 10 ausgerichtet ist. Sicherheitsbetrachtungen sind verpflichtender Bestandteil des Entwicklungsworkflows. |
| Schwachstellenmanagement für Abhängigkeiten |
Drittanbieter-Softwareabhängigkeiten werden als Teil des Deployment-Prozesses auf bekannte Schwachstellen gescannt. Identifizierte Schwachstellen werden nach Schweregrad behoben. |
| Periodische Sicherheitsbewertung |
Authentifizierungsabläufe, Zugriffskontrolllogik, Dateiverarbeitung und extern erreichbare Schnittstellen werden periodisch manuell auf Sicherheit geprüft. Befunde werden nach Risiko priorisiert behoben. |
6. Pseudonymisierung und Datensparsamkeit (Art. 32 Abs. 1 lit. a DSGVO)
| Maßnahme | Beschreibung |
|---|
| Kunden-Zugangscodes |
Endkunden können auf geteilte Galerien zugreifen, ohne einen persönlichen Identifikator anzugeben. Die Authentifizierung basiert auf nicht erratbaren Zugangscodes; eine persönliche Registrierung der Kunden ist nicht erforderlich. |
| Speicherpfad-Obfuskierung |
Dateien werden unter Pfaden gespeichert, die aus öffentlich sichtbaren Informationen nicht vorhersagbar sind. Eine Aufzählung der Speicherinhalte anderer Konten ist weder über die Anwendung noch über die Speicherschicht möglich. |
| Datensparsamkeit |
Es werden ausschließlich die für die Erbringung der vertraglich vereinbarten Leistung erforderlichen personenbezogenen Daten erhoben und verarbeitet. Verhaltens-Tracking oder Werbe-Profiling werden nicht durchgeführt. |
7. Unterauftragsverarbeiter-Kontrollen
| Unterauftragsverarbeiter | Funktion | Vertragliche Absicherung |
|---|
| Cloudflare, Inc. (R2 Storage) |
Cloud-Objektspeicher für hochgeladene Dateien |
Data Processing Addendum; EU-US Data Privacy Framework (DPF)-Zertifizierung; SOC 2 Type II |
| Stripe Payments Europe, Ltd. |
Zahlungsabwicklung und Abonnement-Verwaltung |
Data Processing Agreement; PCI-DSS Level 1 Service Provider; EU-ansässige Einheit |
| Sendinblue SAS (Brevo) |
Transaktionaler E-Mail-Versand |
Auftragsverarbeitungsvertrag (Art. 28 DSGVO); ISO 27001-Zertifizierung; EU-ansässige Verarbeitung |
Stand: June 2026