Technische und Organisatorische Maßnahmen TOM - TRACE.App

Diese Technischen und Organisatorischen Maßnahmen (TOM) beschreiben die Sicherheitsvorkehrungen, die TRACE Electricity GmbH als Verantwortliche gemäß Art. 32 DSGVO für den TRACE.App-Dienst umsetzt. Die Maßnahmen dienen dem Schutz der personenbezogenen Daten der Nutzerinnen und Nutzer der TRACE.App und entsprechen dem Stand der Technik.

• Serverinfrastruktur wird ausschließlich in AWS-Rechenzentren betrieben (ISO 27001, SOC 2 Typ II zertifiziert). AWS gewährleistet umfassende physische Zugangskontrolle inkl. Mehrfach-Authentifizierung, Videoüberwachung und Sicherheitspersonal.
• Kein physischer Serverzugang durch TRACE-Mitarbeiter. TRACE Electricity GmbH verwaltet die Infrastruktur ausschließlich über verschlüsselte Remote-API-Zugänge.
• Cloudflare CDN- und Edge-Infrastruktur mit globalen, ISO-zertifizierten Points of Presence (PoPs); physische Sicherheit liegt vollständig bei Cloudflare.
• Bürozugang der TRACE-Räumlichkeiten in Hamburg gesichert durch elektronisches Schließsystem mit personenbezogenen Zugangsdaten und Zugangsprotokoll.

• Zwei-Faktor-Authentifizierung (2FA/MFA) ist für alle internen Systeme, Cloud-Konsolen (Firebase Console, Google Cloud) und Entwicklungsplattformen (GitHub) verpflichtend.
• Passwort-Manager (1Password oder Bitwarden) für alle Mitarbeiter; Mindestanforderungen: 16 Zeichen, Komplexitätsregel (Groß-/Kleinschreibung, Sonderzeichen, Ziffern). Keine Mehrfachverwendung von Passwörtern.
• Rollenbasierte Zugriffskontrolle (RBAC) nach dem Prinzip der minimalen Berechtigungen (Least Privilege). Zugriffsrechte werden bei Rollenwechsel oder Austritt unverzüglich entzogen.
• Automatischer Sitzungs-Timeout nach 30 Minuten Inaktivität in allen internen Verwaltungsoberflächen.
• Alle Zugangsdaten werden ausschließlich verschlüsselt gespeichert; Klartext-Passwörter werden an keiner Stelle persistiert.

• Datenbankzugriffe erfolgen ausschließlich über authentifizierte und autorisierte API-Endpunkte. Keine direkten Datenbankverbindungen aus dem Frontend.
• Alle Mitarbeiterzugriffe auf produktive Systeme und Kundendaten werden protokolliert und sind auditierbar (Audit Trails).
• Die Produktionsdatenbank ist ohne direkten Entwicklerzugriff konfiguriert. Datenbankzugänge in Produktionsumgebungen erfordern einen gesonderten, dokumentierten Freigabeprozess.
• Staging- und Produktionsumgebungen sind strikt voneinander getrennt. Produktionsdaten werden nicht in Testumgebungen verwendet.
• Datenbankpasswörter und API-Schlüssel werden ausschließlich in Google Secret Manager gespeichert und automatisch rotiert. Firestore-Zugriffsrechte werden über Firebase Security Rules auf Dokumentebene durchgesetzt.

• Alle Datenübertragungen zwischen Endnutzer und TRACE.Parser werden ausschließlich via TLS 1.2 oder TLS 1.3 verschlüsselt. Ältere Protokollversionen (SSL, TLS 1.0, TLS 1.1) sind deaktiviert.
• HTTPS wird erzwungen (HTTP Strict Transport Security, HSTS mit langer max-age). HTTP-Anfragen werden automatisch auf HTTPS umgeleitet.
• Alle internen API-Kommunikationen (Backend-zu-Backend, Microservice-Kommunikation) erfolgen ausschließlich über verschlüsselte HTTPS-Verbindungen.
• Push-Benachrichtigungen an Nutzergeräte werden ausschließlich via Firebase Cloud Messaging (FCM) über verschlüsselte Verbindungen zugestellt. Transaktionale E-Mails werden mit DKIM-, SPF- und DMARC-Absicherung versendet.
• Kundendaten werden nicht über unverschlüsselte Kommunikationskanäle (z. B. unverschlüsselte E-Mail, FTP) übermittelt.

• Alle sicherheitsrelevanten Aktionen - insbesondere Änderungen an Nutzerdaten, Konfigurationen und Berechtigungen - werden in Audit-Logs protokolliert. Jeder Log-Eintrag enthält Zeitstempel, ausführende Person (Nutzer-ID), betroffenes Objekt und Art der Änderung.
• Audit-Logs werden in Google Cloud Logging gespeichert. App-seitige Fehler und Abstürze werden via Firebase Crashlytics erfasst und pseudonymisiert ausgewertet; Crashlytics-Daten enthalten keine Klartextdaten der Nutzer. Firebase Crashlytics überträgt Absturzdaten in pseudonymisierter Form unter Verwendung von Firebase Installation IDs. Eine Zuordnung zu natürlichen Personen ist unter kontrollierten Bedingungen möglich; es handelt sich daher um Pseudonymisierung, nicht um Anonymisierung.
• Aufbewahrung der Audit-Logs: mindestens 12 Monate rollierend.

• TRACE Electricity GmbH agiert als Verantwortliche (Art. 4 Nr. 7 DSGVO) für die im Rahmen der TRACE.App verarbeiteten personenbezogenen Daten. Die Verarbeitung erfolgt auf Grundlage der Datenschutzerklärung der TRACE.App.
• Mit allen eingesetzten Auftragsverarbeitern sind Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO abgeschlossen. Aktuelle Auftragsverarbeiter: Google Ireland Limited (Firebase, Firestore, Crashlytics, FCM), Cloudflare Germany GmbH (CDN, DDoS-Schutz).
• Auftragsverarbeiter werden sorgfältig ausgewählt und nur eingesetzt, wenn sie hinreichende Garantien für die Einhaltung der DSGVO-Anforderungen bieten (Art. 28 Abs. 1 DSGVO).
• Mitarbeiter mit Zugang zu personenbezogenen Daten sind auf Vertraulichkeit verpflichtet und wurden über die datenschutzrechtlichen Anforderungen belehrt.

• Tägliche automatisierte Firestore-Exporte (Managed Backups) in Google Cloud Storage. Backup-Aufbewahrungsdauer: 35 Tage.
• Point-in-Time-Recovery (PITR) für die Produktionsdatenbank ist aktiviert. Wiederherstellung auf jeden beliebigen Zeitpunkt innerhalb des Aufbewahrungsfensters möglich.
• Cloud Firestore und Firebase werden von Google als vollständig verwaltete, hochverfügbare Dienste mit automatischer Replikation betrieben. Einzelne Zonenausfälle werden ohne manuellen Eingriff kompensiert.
• Cloudflare als DDoS-Schutz (Layer 3/4/7) und Hochverfügbarkeits-CDN. Ausfälle einzelner Edge-Standorte werden automatisch durch das globale Netzwerk kompensiert.
• Kontinuierliches Monitoring des Systemzustands via Google Cloud Monitoring mit automatischen Alarmen. Kritische Alerts werden an den Bereitschaftsdienst eskaliert.
• Backups werden verschlüsselt gespeichert und regelmäßig auf Wiederherstellbarkeit getestet.

• Nutzerdaten werden logisch durch Firebase User-ID (UID) isoliert. Zugriff auf fremde Nutzerdaten ist durch Firebase Security Rules auf Datenbankebene technisch ausgeschlossen.
• Produktions- und Testdaten sind strikt voneinander getrennt. Produktionsdaten werden nicht für Entwicklungs- oder Testzwecke verwendet.
• Marketing-Daten (Google Analytics 4, LinkedIn Insight Tag) werden auf der TRACE-Marketingwebsite erhoben und sind vollständig von den im Rahmen der Auftragsverarbeitung verarbeiteten Daten getrennt. Eine Zusammenführung findet nicht statt.

• Datenbankfelder mit besonders sensiblen personenbezogenen Daten werden zusätzlich auf Anwendungsebene mit AES-256 verschlüsselt (Encryption at Rest auf Feldebene).
• Firestore-Daten werden im Ruhezustand (Encryption at Rest) von Google automatisch mit AES-256 verschlüsselt. Schlüsselverwaltung erfolgt über Google Cloud Key Management Service (Cloud KMS).
• Datenbankbackups in Google Cloud Storage werden verschlüsselt gespeichert (AES-256, Google Cloud KMS).
• Nutzerpasswörter werden ausschließlich als bcrypt-Hash mit angemessenem Work Factor gespeichert. Klartext-Passwörter werden zu keinem Zeitpunkt persistiert oder in Logs ausgegeben.

• Ein internes Incident-Response-Verfahren ist dokumentiert und allen betroffenen Mitarbeitern bekannt. Es regelt Erkennung, Eskalation, Eindämmung, Behebung und Nachbereitung von Sicherheitsvorfällen.
• Im Fall einer Verletzung des Schutzes personenbezogener Daten wird der Verantwortliche (Auftraggeber) unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, informiert (Art. 33 Abs. 2 DSGVO). Die Meldung gegenüber der zuständigen Aufsichtsbehörde obliegt dem Verantwortlichen.
• Kontakt für Datenpannen und Sicherheitsvorfälle: contact@trace-electricity.com
• Sicherheitsvorfälle werden dokumentiert und im Rahmen der Nachbereitung auf Ursachen analysiert. Erkenntnisse fließen in die Weiterentwicklung der Sicherheitsmaßnahmen ein.

Geltung und Aktualisierung

Diese TOM dokumentieren die technischen und organisatorischen Maßnahmen von TRACE Electricity GmbH als Verantwortliche gemäß Art. 32 DSGVO für den TRACE.App-Dienst. TRACE Electricity GmbH überprüft und aktualisiert die TOMs regelmäßig sowie bei wesentlichen Änderungen der Infrastruktur oder der Bedrohungslage.

Die hier beschriebenen Maßnahmen entsprechen dem Stand der Technik zum Zeitpunkt der Erstellung und werden fortlaufend überprüft und bei Bedarf angepasst.

Stand: Juni 2026