Die ELMETIC GmbH hat gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, die im Rahmen des Betriebs des Bauherrenportals verarbeitet werden.
1. Vertraulichkeit
1.1 Zutrittskontrolle
Maßnahmen zur Verhinderung des Zutritts Unbefugter zu Datenverarbeitungsanlagen:
- Serverinfrastruktur in gesicherten Rechenzentren mit Zutrittskontrolle (EU-Standort)
- Kein physischer Zugriff durch ELMETIC GmbH auf Serversysteme (managed hosting)
- Zugangsdaten zum Hosting-Panel werden sicher verwahrt und regelmäßig rotiert
1.2 Zugangskontrolle
Maßnahmen zur Verhinderung der Nutzung von Datenverarbeitungssystemen durch Unbefugte:
- Zugang zum Bauherrenportal ausschließlich über Einladung (kein öffentlicher Zugang)
- Passwörter als bcrypt-Hash (12 Runden) gespeichert — nie im Klartext
- Passwort-Reset nur über verifizierten E-Mail-Link (Token gültig 1 Stunde)
- Einladungs-Token verfallen automatisch nach 7 Tagen
- Session-Token werden als SHA-256-Hash gespeichert
- Automatischer Session-Ablauf nach 12 Stunden Inaktivität
- Sofortiger Widerruf aller Sessions bei Passwortänderung
- Alle Admin-Funktionen erfordern Rollen-Authentifizierung (requireRoles-Middleware)
1.3 Zugriffskontrolle (Berechtigungskonzept)
Maßnahmen zur Gewährleistung, dass Berechtigte nur auf die ihnen zustehenden Daten zugreifen können:
- Rollenbasiertes Berechtigungskonzept: Admin, Editor, Customer, Viewer
- Strikte Mandantentrennung: Jeder Franchisenehmer-Tenant kann ausschließlich auf eigene Daten zugreifen
- Bauherren (Customer) sehen nur Daten ihrer eigenen Projekte
- Feature-Flags pro Projekt steuern, welche Bereiche sichtbar sind
- Alle API-Endpunkte prüfen Tenant-Zugehörigkeit vor jeder Datenbankoperation
- Dateizugriff nur über signierte URLs mit eingebetteter Tenant-ID-Validierung
1.4 Trennungskontrolle
Maßnahmen zur getrennten Verarbeitung von Daten verschiedener Auftraggeber:
- Jeder Tenant hat eine eindeutige
tenantId — alle Datenbankabfragen filtern nach dieser ID
- Dateispeicherung in mandantengetrennten Verzeichnisstrukturen:
storage/<tenant-slug>/<projekt-slug>/
- Keine mandantenübergreifenden Joins oder Datenabfragen im Rahmen der regulären Mandanten-Funktionalität. Superadmin-Funktionen (ELMETIC GmbH) greifen ausschließlich aggregiert tenant-übergreifend zu — nachvollziehbar über Audit-Log und mit dokumentierter Zweckbindung.
- Token-Validierung prüft explizit die Tenant-Zugehörigkeit der angeforderten Ressource
1.5 Pseudonymisierung
- Alle internen Entitäts-IDs verwenden
cuid() (keine sequentiellen, erratbaren IDs)
- Session-Token: kryptografisch zufällige Zeichenketten
- Upload-Dateinamen werden durch zufällige Hex-Zeichenketten ersetzt
2. Integrität
2.1 Weitergabekontrolle
Maßnahmen zur Verhinderung unbefugter Übermittlung:
- Alle Übertragungen ausschließlich über HTTPS (TLS 1.2 oder höher)
- Dateien werden nicht über öffentlich zugängliche statische URLs ausgeliefert
- Dateizugriff nur über HMAC-SHA256-signierte URLs mit Ablaufzeit (Standard: 15 Minuten, je nach Anwendungsfall bis zu 4 Stunden für größere Downloads)
- Signierte URLs enthalten: verschlüsselter Pfad + Ablaufzeit + Tenant-ID + HMAC-Signatur
- Abgelaufene oder manipulierte Tokens werden serverseitig mit HTTP 403 abgewiesen
- HTTP-Sicherheitsheader:
X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin, Content-Security-Policy (inklusive frame-ancestors 'none')
2.2 Eingabekontrolle
Maßnahmen zur Nachvollziehbarkeit von Dateneingaben:
- Alle Datenbankoperationen über Prisma ORM mit typsicherem Schema
- Eingabevalidierung und -normalisierung für alle API-Endpunkte
- Dateiuploads: MIME-Type-Prüfung, Dateigrößenbeschränkung, Dateinamens-Sanitization
- Pfad-Traversal-Schutz bei allen Dateizugriffen (resolveStoragePath mit Basisprüfung)
- SQL-Injection-Schutz durch ausschließliche Nutzung von Prisma-parameterisierten Abfragen
3. Verfügbarkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle
- Betrieb auf dedizierter Serverinfrastruktur in EU-Rechenzentrum
- Regelmäßige Datenbankbackups (Intervall abhängig vom Hosting-Anbieter)
- Datenbankdateien auf persistentem Speicher außerhalb des Application-Containers
- Fehlerbehandlung in allen API-Endpunkten (Express Error-Handler) verhindert unkontrollierte Abstürze
- Health-Check-Endpoint:
/api/health
3.2 Wiederherstellbarkeit
- Tägliche Datenbankbackups (lokal + off-site); Wiederherstellung zum letzten Backup-Zeitpunkt möglich. Für echte Point-in-Time-Recovery ist Litestream-Continuous-Backup optional aktivierbar.
- Verschlüsselungsschlüssel werden separat von den verschlüsselten Dateien verwaltet
- Disaster-Recovery-Verfahren dokumentiert in internen Betriebsanweisungen
4. Verschlüsselung
| Bereich | Verfahren | Status |
|---|
| Dateien at Rest (Fotos, Dokumente, 360°-Bilder) |
AES-256-GCM (Initialisierungsvektor + Auth-Tag im Datei-Header) |
✓ Aktiv |
| Passwörter |
bcrypt (12 Runden) |
✓ Aktiv |
| Transportverschlüsselung |
TLS 1.3 (HTTPS, Caddy als Reverse Proxy mit automatischem Let's Encrypt; optional Cloudflare als vorgeschaltete CDN/WAF-Schicht) |
✓ Aktiv |
| Token (Sessions, Reset, Einladungen) |
SHA-256-Hash (nur Hash in Datenbank) |
✓ Aktiv |
| Signierte URLs |
HMAC-SHA256 mit SESSION_SECRET |
✓ Aktiv |
| Datenbankdatei (SQLite) |
Dateisystem-Verschlüsselung (abhängig vom Hosting) |
~ Empfohlen |
5. Verfahren zur regelmäßigen Überprüfung
- Dieses TOM-Dokument wird mindestens jährlich sowie bei wesentlichen technischen Änderungen aktualisiert
- Überprüfung der Zugangsberechtigungen bei Mitarbeiterwechsel
- Automatisierte Überprüfung der Abhängigkeiten bei jedem CI-Lauf (
npm audit blockiert bei High/Critical-Advisories), ergänzt durch wöchentliche Dependabot-Scans für neue CVEs
- Jede wesentliche Änderung an der Sicherheitsarchitektur wird dokumentiert
6. Verantwortlichkeit
Verantwortlich für die Umsetzung und Überprüfung dieser Maßnahmen ist die ELMETIC GmbH.
Kontakt: support@bauherrenportal.at
Weitere Dokumente: Datenschutzerklärung · Auftragsverarbeitungsvertrag · Impressum