Vertragsdokument · Version 2026-07-17
Technische und organisatorische Maßnahmen (TOMs)
Anlage zur Auftragsverarbeitungsvereinbarung. Die Maßnahmen beschreiben den abgesicherten kostenlosen Vereinsassistenten-Pilot und werden bei wesentlichen Änderungen neu versioniert.
1. Organisation und Verantwortlichkeit
- Der technische und datenschutzbezogene Kontakt ist über die im Impressum und in der Incident-Konfiguration bezeichnete Person erreichbar.
- Berechtigte Personen werden auf Vertraulichkeit verpflichtet. Zugriffe werden nach Need to know und Least Privilege vergeben.
- Das Incident-, Berechtigungs-, Restore- und KI-Einweisungsverfahren ist unter docs/operations dokumentiert und operativ anzuwenden.
2. Zugangs- und Zugriffskontrolle
- Betreiber melden sich passwortlos über einen zeitlich begrenzten Login-Link an die hinterlegte Vereinsadresse an.
- Mandantenzugriffe werden serverseitig gegen die Betreiberadresse und Vereinskennung geprüft. Admin-Funktionen verlangen zusätzlich eine Admin-Rolle.
- Service-Schlüssel werden ausschließlich serverseitig als Umgebungsvariablen verwendet und nicht an Browser ausgeliefert.
- Für die Produktionskonten wird Mehr-Faktor-Authentifizierung eingesetzt und vor der öffentlichen Freigabe nach dem dokumentierten Berechtigungsverfahren bestätigt. Der jeweils aktuelle Stand ist unter „Aktuelle Betriebsangaben" ausgewiesen.
3. Übertragungs- und Speicherschutz
- Website, Dashboard und APIs werden ausschließlich über HTTPS betrieben; HSTS, Content-Security-Policy, Frame-, MIME- und Berechtigungsregeln werden gesetzt.
- Datenbank- und Anbieterzugriffe nutzen TLS. Verschlüsselung ruhender Daten richtet sich nach den belegten Produktionsverträgen der eingesetzten Anbieter.
- Abrufe externer Vereinswebsites blockieren private Netze, Zugangsdaten in URLs, unsichere Ports, unzulässige Weiterleitungen und übergroße Antworten.
4. Datenminimierung und Mandantentrennung
- Kontaktdaten werden erst nach einer ausdrücklich bestätigten Anfrage erhoben. Eingaben, Chatverlauf und Nutzung werden technisch begrenzt.
- Der Assistent erhält nur den für die konkrete Antwort erforderlichen Vereinskontext; besondere Kategorien personenbezogener Daten sollen nicht eingegeben werden.
- Öffentliche Datenbank-Leserechte auf vollständige Bot-Konfigurationen sind entfernt. Öffentliche Seiten erhalten Daten nur über serverseitig geprüfte Zugriffe.
5. KI- und Missbrauchsschutz
- Antworten werden auf freigegebene Vereinsquellen begrenzt und enthalten Regeln gegen Prompt Injection, interne Offenlegung sowie verbindliche medizinische, rechtliche oder sicherheitskritische Aussagen.
- Besucher sehen dauerhaft, dass sie mit einem KI-Assistenten interagieren und dass verbindliche Auskünfte vom Verein erteilt werden.
- Rate-Limits verwenden eine gekürzte pseudonyme IP-Kennung. Formulare haben Längenlimits, Honeypot und optional Cloudflare Turnstile.
6. Protokollierung und Nachweis
- Pilot- und AVV-Annahmen werden mit Version, Dokument-Prüfsumme, Zeitpunkt, angemeldeter E-Mail, Name, Rolle und gekürzten technischen Nachweisen dokumentiert.
- Anwendungsfehler werden ohne Schlüssel oder vollständige IP-Adressen protokolliert. Laufzeit-Logfristen folgen dem belegten Hostingtarif.
- Datenexporte und Löschungen sind nur nach authentifiziertem Vereinszugriff möglich.
7. Löschung und Betroffenenunterstützung
- Rate-Limit-Daten werden spätestens nach 24 Stunden, Chatfragen und Antworten nach 45 Tagen, Kontaktanfragen nach zwölf Monaten und Papierkorb-Daten nach 30 Tagen entfernt.
- Bestätigt ein Besucher eine konkrete Anfrage, wird der bis dahin geführte Gesprächsverlauf als Teil des Anfragekontexts gemeinsam mit der Anfrage gespeichert. Für diesen Verlauf gilt die Frist der Anfrage, nicht die 45-Tage-Frist der allgemeinen Chatfragen; er wird mit der Anfrage exportiert und mit ihr gelöscht. Ohne bestätigte Anfrage bleibt es bei den 45 Tagen.
- Der Verein kann seine Konfiguration, Chats und Anfragen exportieren und personenbezogene Pilotdaten selbst löschen.
- Nach Ende des Pilots werden produktive Pilotdaten durch den täglichen Löschlauf entfernt, soweit keine gesetzliche Pflicht oder dokumentierte Weisung entgegensteht.
8. Verfügbarkeit und Wiederherstellung
- Hosting- und Datenbankregion werden festgelegt, dokumentiert und ausgewiesen. Eine Verlegung in eine andere Region wird dem Verein nach Maßgabe der AVV mitgeteilt.
- Sicherungen werden nach einem dokumentierten Zyklus erstellt; Wiederherstellungspunkt (RPO) und Wiederherstellungszeit (RTO) sind festgelegt und ausgewiesen.
- Die Wiederherstellung wird in regelmäßigen Abständen getestet und das Ergebnis mit Datum dokumentiert.
- Die jeweils aktuellen Werte zu Region, Backupzyklus, RPO, RTO und letztem Restore-Test sind unter „Aktuelle Betriebsangaben" ausgewiesen. Sie beschreiben den Betriebsstand und sind nicht Teil der Dokument-Prüfsumme, damit ein neuer Restore-Test bestehende Vereinbarungen nicht entwertet.
9. Vorfallbehandlung und Überprüfung
- Sicherheits- und Datenschutzvorfälle werden nach dem dokumentierten Incident-Verfahren erkannt, eingedämmt, bewertet, protokolliert und nachbereitet.
- Betroffene Vereine werden ohne schuldhaftes Zögern informiert; Zielwert für die Erstinformation ist möglichst innerhalb von 24 Stunden nach gesicherter Kenntnis.
- Berechtigungen, Anbieter, Abhängigkeiten, Löschläufe und diese TOMs werden regelmäßig sowie nach wesentlichen Änderungen überprüft.
Aktuelle Betriebsangaben
Diese Angaben beschreiben den jeweils aktuellen Betriebsstand und sind nicht Teil der Dokument-Prüfsumme. Sie werden fortgeschrieben, ohne dass bereits abgeschlossene Vereinbarungen ihre Gültigkeit verlieren.
- Hostingregion
- [vor Freigabe zu belegen]
- Datenbankregion
- [vor Freigabe zu belegen]
- Backupverfahren
- [vor Freigabe zu belegen]
- Wiederherstellungspunkt (RPO)
- [vor Freigabe zu belegen]
- Wiederherstellungszeit (RTO)
- [vor Freigabe zu belegen]
- Letzter dokumentierter Restore-Test
- [vor Freigabe zu belegen]
- MFA für Produktionskonten
- offen
