Technische und Organisatorische Maßnahmen TOM - TRACE.Parser

Diese Technischen und Organisatorischen Maßnahmen (TOM) beschreiben die Sicherheitsvorkehrungen, die TRACE Electricity GmbH als Auftragsverarbeiter gemäß Art. 28 Abs. 3 lit. c DSGVO sowie Anhang II der EU-Standardvertragsklauseln (SCCs, Beschluss 2021/914) für den TRACE.Parser-Dienst umsetzt. Die Maßnahmen gelten für alle personenbezogenen Daten, die im Rahmen der Auftragsverarbeitung durch TRACE.Parser verarbeitet werden.

• Serverinfrastruktur wird ausschließlich in AWS-Rechenzentren betrieben (ISO 27001, SOC 2 Typ II zertifiziert). AWS gewährleistet umfassende physische Zugangskontrolle inkl. Mehrfach-Authentifizierung, Videoüberwachung und Sicherheitspersonal.
• Kein physischer Serverzugang durch TRACE-Mitarbeiter. TRACE Electricity GmbH verwaltet die Infrastruktur ausschließlich über verschlüsselte Remote-API-Zugänge.
• Cloudflare CDN- und Edge-Infrastruktur mit globalen, ISO-zertifizierten Points of Presence (PoPs); physische Sicherheit liegt vollständig bei Cloudflare.
• Bürozugang der TRACE-Räumlichkeiten in Hamburg gesichert durch elektronisches Schließsystem mit personenbezogenen Zugangsdaten und Zugangsprotokoll.

• Zwei-Faktor-Authentifizierung (2FA/MFA) ist für alle internen Systeme, Cloud-Konsolen (AWS, Cloudflare) und Entwicklungsplattformen (GitHub, Vercel) verpflichtend.
• Passwort-Manager (1Password oder Bitwarden) für alle Mitarbeiter; Mindestanforderungen: 16 Zeichen, Komplexitätsregel (Groß-/Kleinschreibung, Sonderzeichen, Ziffern). Keine Mehrfachverwendung von Passwörtern.
• Rollenbasierte Zugriffskontrolle (RBAC) nach dem Prinzip der minimalen Berechtigungen (Least Privilege). Zugriffsrechte werden bei Rollenwechsel oder Austritt unverzüglich entzogen.
• Automatischer Sitzungs-Timeout nach 30 Minuten Inaktivität in allen internen Verwaltungsoberflächen.
• Alle Zugangsdaten werden ausschließlich verschlüsselt gespeichert; Klartext-Passwörter werden an keiner Stelle persistiert.

• Datenbankzugriffe erfolgen ausschließlich über authentifizierte und autorisierte API-Endpunkte. Keine direkten Datenbankverbindungen aus dem Frontend.
• Alle Mitarbeiterzugriffe auf produktive Systeme und Kundendaten werden protokolliert und sind auditierbar (Audit Trails).
• Die Produktionsdatenbank ist ohne direkten Entwicklerzugriff konfiguriert. Datenbankzugänge in Produktionsumgebungen erfordern einen gesonderten, dokumentierten Freigabeprozess.
• Staging- und Produktionsumgebungen sind strikt voneinander getrennt. Produktionsdaten werden nicht in Testumgebungen verwendet.
• Datenbankpasswörter und API-Schlüssel werden ausschließlich in AWS Secrets Manager gespeichert und automatisch rotiert.

• Alle Datenübertragungen zwischen Endnutzer und TRACE.Parser werden ausschließlich via TLS 1.2 oder TLS 1.3 verschlüsselt. Ältere Protokollversionen (SSL, TLS 1.0, TLS 1.1) sind deaktiviert.
• HTTPS wird erzwungen (HTTP Strict Transport Security, HSTS mit langer max-age). HTTP-Anfragen werden automatisch auf HTTPS umgeleitet.
• Alle internen API-Kommunikationen (Backend-zu-Backend, Microservice-Kommunikation) erfolgen ausschließlich über verschlüsselte HTTPS-Verbindungen.
• E-Mail-Versand von Systembenachrichtigungen und transaktionalen E-Mails erfolgt via AWS SES mit DKIM-, SPF- und DMARC-Signaturen, um Integrität und Authentizität sicherzustellen.
• Kundendaten werden nicht über unverschlüsselte Kommunikationskanäle (z. B. unverschlüsselte E-Mail, FTP) übermittelt.

• Alle sicherheitsrelevanten Aktionen - insbesondere Änderungen an Nutzerdaten, Konfigurationen und Berechtigungen - werden in Audit-Logs protokolliert. Jeder Log-Eintrag enthält Zeitstempel, ausführende Person (Nutzer-ID), betroffenes Objekt und Art der Änderung.
• Protokolldaten werden in AWS CloudWatch gespeichert. Bei erhöhtem Schutzbedarf können Logs mittels S3 Object Lock (COMPLIANCE-Modus) gegen nachträgliche Manipulation gesichert werden.
• Aufbewahrung der Audit-Logs: mindestens 12 Monate rollierend.

• Mit dem Verantwortlichen ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Grundlage und im Rahmen dieses AVV.
• Subunternehmer werden nur nach schriftlicher Genehmigung durch den Verantwortlichen eingesetzt (gemäß AVV § 6). Aktuelle Sub-Auftragsverarbeiter: Amazon Web Services EMEA SARL (Hosting, Datenbank, E-Mail via SES), Cloudflare Germany GmbH (CDN, DDoS-Schutz).
• Weisungen des Verantwortlichen werden dokumentiert und vollständig ausgeführt. TRACE Electricity GmbH informiert den Verantwortlichen unverzüglich, sofern eine Weisung nach Einschätzung von TRACE gegen datenschutzrechtliche Vorschriften verstößt.
• Mitarbeiter mit Zugang zu personenbezogenen Daten sind auf Vertraulichkeit verpflichtet und wurden über die datenschutzrechtlichen Anforderungen belehrt.

• Tägliche automatisierte Datenbankbackups via AWS RDS Automated Backups. Backup-Aufbewahrungsdauer: 35 Tage.
• Point-in-Time-Recovery (PITR) für die Produktionsdatenbank ist aktiviert. Wiederherstellung auf jeden beliebigen Zeitpunkt innerhalb des Aufbewahrungsfensters möglich.
• Multi-AZ-Datenbankdeployment (AWS RDS Multi-AZ): automatischer Failover auf die Standby-Instanz bei Ausfall der primären Datenbankinstanz. Failover-Ziel: unter 60 Sekunden.
• Cloudflare als DDoS-Schutz (Layer 3/4/7) und Hochverfügbarkeits-CDN. Ausfälle einzelner Edge-Standorte werden automatisch durch das globale Netzwerk kompensiert.
• Kontinuierliches Monitoring des Systemzustands via AWS CloudWatch mit automatischen Alarmen. Kritische Alerts werden via PagerDuty an den Bereitschaftsdienst eskaliert.
• Backups werden verschlüsselt gespeichert und regelmäßig auf Wiederherstellbarkeit getestet.

• Kundendaten verschiedener Auftraggeber werden logisch getrennt gespeichert und verarbeitet (Tenant-ID-basierte Isolation auf Datenbankebene). Ein gegenseitiger Datenzugriff verschiedener Auftraggeber ist technisch ausgeschlossen.
• Produktions- und Testdaten sind strikt voneinander getrennt. Produktionsdaten werden nicht für Entwicklungs- oder Testzwecke verwendet.
• Marketing-Daten (Google Analytics 4, LinkedIn Insight Tag) werden auf der TRACE-Marketingwebsite erhoben und sind vollständig von den im Rahmen der Auftragsverarbeitung verarbeiteten Daten getrennt. Eine Zusammenführung findet nicht statt.

• Datenbankfelder mit besonders sensiblen personenbezogenen Daten werden zusätzlich auf Anwendungsebene mit AES-256 verschlüsselt (Encryption at Rest auf Feldebene).
• AWS EBS-Volumes (virtuelle Festplatten der Anwendungsserver) sind vollständig mit AES-256 verschlüsselt. Schlüsselverwaltung via AWS Key Management Service (KMS).
• Datenbankbackups werden verschlüsselt gespeichert (AES-256, AWS KMS).
• Nutzerpasswörter werden ausschließlich als bcrypt-Hash mit angemessenem Work Factor gespeichert. Klartext-Passwörter werden zu keinem Zeitpunkt persistiert oder in Logs ausgegeben.

• Ein internes Incident-Response-Verfahren ist dokumentiert und allen betroffenen Mitarbeitern bekannt. Es regelt Erkennung, Eskalation, Eindämmung, Behebung und Nachbereitung von Sicherheitsvorfällen.
• Im Fall einer Verletzung des Schutzes personenbezogener Daten wird der Verantwortliche (Auftraggeber) unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, informiert (Art. 33 Abs. 2 DSGVO). Die Meldung gegenüber der zuständigen Aufsichtsbehörde obliegt dem Verantwortlichen.
• Kontakt für Datenpannen und Sicherheitsvorfälle: contact@trace-electricity.com
• Sicherheitsvorfälle werden dokumentiert und im Rahmen der Nachbereitung auf Ursachen analysiert. Erkenntnisse fließen in die Weiterentwicklung der Sicherheitsmaßnahmen ein.

Geltung und Aktualisierung

Diese TOM gelten als verbindliche Anlage zum Auftragsverarbeitungsvertrag (AVV) zwischen TRACE Electricity GmbH und dem jeweiligen Verantwortlichen für den TRACE.Parser-Dienst. TRACE Electricity GmbH ist berechtigt, die TOMs anzupassen, sofern das Sicherheitsniveau dabei nicht abgesenkt wird. Wesentliche Änderungen werden dem Verantwortlichen vorab mitgeteilt.

Die hier beschriebenen Maßnahmen entsprechen dem Stand der Technik zum Zeitpunkt der Erstellung und werden fortlaufend überprüft und bei Bedarf angepasst.

Stand: Juni 2026  |  Version 1.0  |  Gilt als Anlage zum Auftragsverarbeitungsvertrag AVV - TRACE.Parser