--- title: "Technische und Organisatorische Maßnahmen (TOM)" description: "Stand: 20. Februar 2026" canonical_url: "https://getminds.ai/legal/de/tom" last_updated: "2026-05-27T23:35:47.082Z" --- # Technische und Organisatorische Maßnahmen (TOM) **Stand: 20. Februar 2026** Die Art of X UG (haftungsbeschränkt) („Minds") setzt die folgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO um, um ein dem Risiko angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten zu gewährleisten. --- ## 1. Zugangs- und Zutrittskontrolle ### Physische Zutrittskontrolle Die Infrastruktur von Minds wird ausschließlich bei zertifizierten Cloud-Anbietern betrieben: - **DigitalOcean** – Rechenzentrum Frankfurt, Deutschland (EU). Zertifizierungen: SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018. - **Supabase** – Rechenzentrum Stockholm, Schweden (EU), gehostet auf AWS. Zertifizierungen: SOC 2 Type II. Die physische Sicherheit (biometrische Zugangskontrollen, 24/7-Überwachung, Zutrittsprotokollierung) wird vollständig von den Cloud-Anbietern gewährleistet. ### Logische Zugangskontrolle - Rollenbasierte Zugriffskontrolle (RBAC) für alle internen Systeme und Administrationsoberflächen. - Multi-Faktor-Authentifizierung (MFA) für alle Mitarbeiterzugänge zu Produktionssystemen. - Individuelle Benutzerkonten – keine geteilten Zugangsdaten. - Regelmäßige Überprüfung und Entzug von Zugriffsrechten nach dem Prinzip der minimalen Berechtigung (Least Privilege). - API-Schlüssel und Zugangsdaten werden in verschlüsselten Secrets-Managern verwaltet. --- ## 2. Verschlüsselung ### Verschlüsselung bei der Übertragung (in transit) - Sämtliche Datenübertragungen erfolgen über TLS 1.2 oder höher. - HSTS (HTTP Strict Transport Security) ist für alle öffentlichen Endpunkte aktiviert. - Interne Kommunikation zwischen Diensten ist ebenfalls verschlüsselt. ### Verschlüsselung bei der Speicherung (at rest) - Datenbanken (Supabase/PostgreSQL) verwenden AES-256-Verschlüsselung für ruhende Daten. - Datei-Speicher (DigitalOcean Spaces / Supabase Storage) verwenden serverseitige AES-256-Verschlüsselung. - Backups werden ebenfalls verschlüsselt gespeichert. --- ## 3. Mandantentrennung (Datenseparation) - Strikte logische Trennung der Kundendaten auf Datenbankebene durch Tenant-Isolation (Row-Level Security in PostgreSQL). - Jeder Kunde hat nur Zugriff auf seine eigenen Daten – durchgesetzt auf Datenbank- und API-Ebene. - Automatisierte Tests stellen sicher, dass keine Cross-Tenant-Datenlecks auftreten. --- ## 4. Verfügbarkeit und Belastbarkeit ### Hosting-Architektur - Anwendung läuft auf DigitalOcean App Platform mit automatischer Skalierung und Health Checks. - Datenbank auf Supabase mit High-Availability-Konfiguration. ### Backup und Wiederherstellung - Tägliche automatische Datenbank-Backups mit einer Aufbewahrungsfrist von mindestens 7 Tagen. - Point-in-Time-Recovery (PITR) für die PostgreSQL-Datenbank. - Regelmäßige Tests der Wiederherstellungsverfahren. - Recovery Time Objective (RTO): gemäß SLA. - Recovery Point Objective (RPO): maximal 24 Stunden. --- ## 5. Incident Response (Störfall- und Vorfallmanagement) - Dokumentierter Incident-Response-Prozess für Sicherheitsvorfälle. - Benachrichtigung des Verantwortlichen (Kunden) innerhalb von **48 Stunden** nach Kenntnisnahme einer Datenschutzverletzung gemäß den Bestimmungen der Auftragsverarbeitungsvereinbarung (AVV). - Protokollierung und Nachverfolgung aller sicherheitsrelevanten Vorfälle. - Regelmäßige Überprüfung und Aktualisierung des Incident-Response-Plans. --- ## 6. Vertraulichkeit und Mitarbeiterverpflichtung - Alle Mitarbeiter und Auftragnehmer sind auf die Vertraulichkeit verpflichtet (Vertraulichkeitsvereinbarungen / NDAs). - Regelmäßige Datenschutz-Schulungen für alle Mitarbeiter. - Verpflichtung auf das Datengeheimnis gemäß DSGVO. - Zugriff auf personenbezogene Daten nur nach dem Need-to-know-Prinzip. --- ## 7. Auftragsverarbeiter-Management (Subprocessor) - Sorgfältige Auswahl von Unterauftragsverarbeitern nach Datenschutz- und Sicherheitskriterien. - Vertragliche Verpflichtung aller Unterauftragsverarbeiter auf DSGVO-konforme Datenverarbeitung. - Regelmäßige Überprüfung der Unterauftragsverarbeiter. - Aktuelle Liste der Unterauftragsverarbeiter ist unter [Subprocessors](/legal/subprocessors) einsehbar. - Vorabinformation des Kunden bei Änderungen gemäß AVV. --- ## 8. Protokollierung und Überwachung - Zentrale Protokollierung von Systemereignissen und Zugriffen. - **Langfuse** für die Überwachung und Nachverfolgung von KI-Modell-Interaktionen (gehostet in der EU). - **PostHog** für Produktanalysen – ausschließlich mit ausdrücklicher Nutzereinwilligung (Consent-basiert). - Überwachung kritischer Systemmetriken mit automatischen Alarmen. - Regelmäßige Überprüfung der Protokolle auf Anomalien. --- ## 9. Datenminimierung und Pseudonymisierung ### Datenminimierung - Erhebung und Verarbeitung nur der personenbezogenen Daten, die für den jeweiligen Verarbeitungszweck erforderlich sind. - Regelmäßige Überprüfung der verarbeiteten Datenkategorien auf Erforderlichkeit. - Automatische Löschung nicht mehr benötigter Daten gemäß definierten Aufbewahrungsfristen. ### Pseudonymisierung - Wo technisch möglich und sinnvoll, werden personenbezogene Daten pseudonymisiert verarbeitet. - Interne Verarbeitung erfolgt vorrangig über UUIDs statt Klarnamen. - Analytische Auswertungen werden auf aggregierter oder pseudonymisierter Basis durchgeführt. --- ## 10. Regelmäßige Überprüfung und Bewertung - Regelmäßige Sicherheitsüberprüfungen der Infrastruktur und Anwendungen. - Abhängigkeiten werden regelmäßig auf bekannte Schwachstellen geprüft (Dependency Scanning). - Überprüfung und Aktualisierung dieser TOM mindestens einmal jährlich oder bei wesentlichen Änderungen der Verarbeitungstätigkeiten. - Kontinuierliche Verbesserung der Sicherheitsmaßnahmen auf Basis aktueller Bedrohungslagen. --- ## 11. Weitere Maßnahmen ### Eingabekontrolle - Protokollierung von Änderungen an personenbezogenen Daten (Audit Trail). - Nachvollziehbarkeit, wer wann welche Daten eingegeben, verändert oder gelöscht hat. ### Weitergabekontrolle - Datenübertragungen erfolgen ausschließlich verschlüsselt. - Keine Übermittlung personenbezogener Daten in Drittländer ohne angemessenes Schutzniveau (Angemessenheitsbeschluss oder Standardvertragsklauseln). ### Auftragskontrolle - Verarbeitung personenbezogener Daten ausschließlich gemäß den Weisungen des Auftraggebers. - Vertragliche Regelung der Auftragsverarbeitung in der AVV. --- *Diese technischen und organisatorischen Maßnahmen werden regelmäßig überprüft und bei Bedarf aktualisiert, um ein dem aktuellen Stand der Technik entsprechendes Schutzniveau sicherzustellen.* **Art of X UG (haftungsbeschränkt)** Geschäftsführer: Friedrich von Borries und Alexander Doudkin