Zurück zur Startseite
Technische und Organisatorische Maßnahmen
gemäß Art. 32 DSGVO — Stand: Februar 2026
Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen (TOM),
die T&T Services zum Schutz personenbezogener Daten implementiert hat. Es ist
Bestandteil des Auftragsverarbeitungsvertrages.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle
Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren:
- Server werden bei Hetzner Online GmbH in zertifizierten Rechenzentren in Deutschland betrieben
- Die Rechenzentren verfügen über physische Zutrittskontrollsysteme, Videoüberwachung und 24/7-Sicherheitspersonal
- Kein physischer Zugang des Auftragnehmers zu den Servern erforderlich (Remote-Administration)
Zugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden:
- SSH-Zugang zum Server ausschließlich über kryptographische Schlüssel (kein Passwort-Login)
- Firewall-Konfiguration (nur notwendige Ports geöffnet)
- Automatische Sperrung nach mehrfachen fehlgeschlagenen Login-Versuchen (Rate-Limiting)
- JWT-basierte Authentifizierung mit kurzen Token-Laufzeiten (2-8 Stunden)
- Starke Passwortrichtlinien (mind. 12 Zeichen, Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen)
Zugriffskontrolle
Maßnahmen, die gewährleisten, dass Berechtigte nur auf die ihrer Berechtigung unterliegenden Daten zugreifen:
- Rollenbasiertes Berechtigungssystem mit granularen Rechten
- Multi-Tenant-Architektur mit strikter Datentrennung zwischen Kunden
- Tenant-Isolation auf Datenbankebene (jede Abfrage wird auf die Tenant-ID beschränkt)
- Berechtigungsprüfung auf API-Ebene für jeden einzelnen Endpoint
- Keine Möglichkeit des Zugriffs auf Daten anderer Tenants
Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
- Logische Datentrennung durch Mandantenfähigkeit (Multi-Tenant)
- Jeder Kunde erhält eine eigene Subdomain und isolierten Datenbereich
- Separate Discord-Bot-Instanzen pro Kunde
- FiveM-Datenbankverbindungen sind kundenspezifisch und isoliert
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle
Maßnahmen, die gewährleisten, dass Daten bei der Übertragung nicht unbefugt gelesen werden:
- Transportverschlüsselung (TLS/SSL) für alle HTTP-Verbindungen
- HSTS (HTTP Strict Transport Security) aktiviert
- Verschlüsselte Verbindungen zu FiveM-Datenbanken der Kunden
- Keine unverschlüsselte Datenübertragung
Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich festgestellt werden kann, ob und von wem Daten verändert wurden:
- Umfassendes Logging-System für alle relevanten Aktionen im Panel
- Protokollierung von Login-Versuchen (erfolgreich und fehlgeschlagen)
- Protokollierung von Datenänderungen (wer, wann, was)
- Automatische Erkennung verdächtiger Aktivitäten
- Log-Aufbewahrung für 90 Tage
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)
Verfügbarkeitskontrolle
Maßnahmen gegen zufällige oder mutwillige Zerstörung oder Verlust:
- Server in professionellem Rechenzentrum mit redundanter Stromversorgung und Klimatisierung
- Regelmäßige Datensicherungen
- Prozessmanagement (PM2) für automatischen Neustart bei Ausfällen
- Monitoring der Serverressourcen und Dienstverfügbarkeit
Rasche Wiederherstellbarkeit
Maßnahmen zur raschen Wiederherstellung nach einem Zwischenfall:
- Dokumentierte Wiederherstellungsprozeduren
- Datenbank-Backups ermöglichen Wiederherstellung im Fehlerfall
- Automatisierte Deployment-Prozesse für schnelle Systemwiederherstellung
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
Datenschutz-Management
- Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
- Einspielen von Sicherheitsupdates für Betriebssystem und Abhängigkeiten
- Überprüfung der Zugriffsberechtigungen
- Dokumentation aller datenschutzrelevanten Prozesse
5. Verschlüsselungsmaßnahmen
Kryptographische Maßnahmen
- Passwörter: bcrypt-Hashing (Kostenfaktor 10) – Klartext-Passwörter werden nie gespeichert
- Sensible Zugangsdaten: AES-256-GCM-Verschlüsselung für FiveM-Datenbank-Passwörter
- Authentifizierung: JWT-Token mit kryptographisch sicherem Secret (≥256 Bit)
- Transport: TLS 1.2+ für alle Verbindungen
- Token-Generierung: Kryptographisch sichere Zufallswerte für Reset-Tokens und Session-IDs
6. Schutz vor automatisierten Angriffen
Angriffsprävention
- Rate-Limiting: Login (5 Versuche/15 Min.), API (500 Anfragen/15 Min.), Registrierung (3/Stunde), Passwort-Reset (3/Stunde)
- SQL-Injection-Schutz: Ausschließliche Verwendung parametrisierter Queries
- XSS-Schutz: Content Security Policy (CSP), Input-Sanitization, Helmet Security Headers
- CSRF-Schutz: Token-basierte Authentifizierung (kein Cookie-Auth)
- Automatische Erkennung: Verdächtige Aktivitäten (SQL-Injection-Muster, Path-Traversal) werden erkannt und protokolliert
Dieses Dokument wird regelmäßig überprüft und bei Änderungen der technischen
Infrastruktur oder bei neuen Bedrohungsszenarien aktualisiert.
Letzte Überprüfung: Februar 2026.