Zurück zur Startseite

Technisch-organisatorische Maßnahmen (TOM)

Anhang zum Auftragsverarbeitungsvertrag und zur Datenschutzerklärung. Stand: 21. April 2026.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

Die Ordo-Plattform wird ausschließlich auf den Rechenzentrums-Diensten von Supabase (Region Frankfurt, ISO 27001) und Cloudflare (EU-Only) betrieben. Physischer Zutritt zu den Rechenzentren ist durch die jeweiligen Betreiber mit biometrischer Zugangskontrolle, Videoüberwachung und 24/7-Bewachung geschützt; Ordo-Mitarbeitende haben keinen physischen Zutritt.

1.2 Zugangskontrolle

  • Passwortschutz mit Mindestkomplexität; Speicherung ausschließlich als bcrypt-Hash über Supabase Auth.
  • Mehr-Faktor-Authentifizierung (TOTP) für alle Admin-Accounts.
  • Automatische Sitzungsabmeldung nach definierter Inaktivität (Restaurant-Accounts: 12 h, Admin-Accounts: 60 min).
  • Rate-Limiting und automatische Account-Sperrung nach wiederholt fehlgeschlagenen Login-Versuchen.
  • Keine direkten Datenbank-Zugänge aus dem öffentlichen Netz; Wartungszugänge erfolgen ausschließlich über authentifizierte, protokollierte Tooling-Pfade.

1.3 Zugriffskontrolle

  • Rollen- und Rechtekonzept auf Anwendungsebene (Custom Roles je Restaurant, Perm-Guards an jeder geschützten Route).
  • Row-Level-Security in PostgreSQL: jeder Datensatz ist einer Restaurant-ID zugeordnet; keine Anfrage kann Daten anderer Restaurants lesen.
  • Prinzip der minimalen Rechte für alle Mitarbeitenden; Zugriffe auf Produktivsysteme werden protokolliert.
  • Sensible Tokens (z. B. Lexware-OAuth-Token) werden verschlüsselt gespeichert (pgp_sym_encrypt mit rotierbarem Master-Key).

1.4 Trennungskontrolle

Produktions-, Staging- und Testumgebungen sind strikt getrennt und nutzen unterschiedliche Datenbanken, Storage-Buckets und API-Schlüssel. Kundendaten werden niemals in Nicht-Produktivumgebungen kopiert.

1.5 Pseudonymisierung

Gastdaten, die nur für die Dauer einer Bestellung relevant sind (z. B. Tischnummer ohne Beleg-E-Mail), werden ohne personenidentifizierende Merkmale gespeichert. Analytische Auswertungen erfolgen ausschließlich auf aggregierten, pseudonymisierten Daten.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

  • Transportverschlüsselung TLS 1.3 für alle Verbindungen.
  • HSTS, X-Content-Type-Options, Referrer-Policy und Content-Security-Policy gesetzt.
  • Keine unverschlüsselte Übertragung personenbezogener Daten, auch nicht intern.

2.2 Eingabekontrolle

  • Protokollierung sicherheitsrelevanter Aktionen (Login, Rollenwechsel, Datenexport, Widerruf von Zugängen).
  • Protokolle werden revisionssicher 30 Tage gespeichert, bei sicherheitsrelevanten Ereignissen bis zu 12 Monate.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Automatisierte Datenbank-Backups (Point-in-Time-Recovery) mit einer Vorhaltezeit von mindestens 7 Tagen.
  • Tägliche Snapshots mit Vorhaltezeit von 35 Tagen. Wiederherstellung ist dokumentiert getestet.
  • Geografisch redundantes Storage für hochgeladene Belege und Medien.
  • Überwachung von CPU-, Speicher- und Fehlermetriken mit Alarmen.
  • Schutz vor DDoS-Angriffen durch Cloudflare auf Edge-Ebene.
  • Dokumentierter Incident-Response-Prozess mit Eskalationsstufen und Benachrichtigungspflichten.

4. Regelmäßige Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Datenschutzrechtliche Überprüfung aller neuen Features vor Produktiv-Release („Privacy by Design & by Default", Art. 25 DSGVO).
  • Jährliche Überprüfung der TOM durch die:den Datenschutzbeauftragte:n mit Dokumentation des Überprüfungsergebnisses.
  • Regelmäßige Sicherheits-Scans und Dependency-Audits im CI-Prozess.
  • Penetrationstest mindestens alle 24 Monate durch eine externe Stelle.

5. Auftragskontrolle

Verarbeitung erfolgt ausschließlich auf dokumentierter Weisung des Restaurants nach Maßgabe des AVV (/avv). Mitarbeitende sind vertraglich zur Verschwiegenheit verpflichtet und nur auf die für ihre Tätigkeit erforderlichen Datenbestände berechtigt.

6. Löschkonzept

Löschfristen und Verfahren sind im internen Löschkonzept dokumentiert und werden durch automatische Jobs durchgesetzt, soweit nicht gesetzliche Aufbewahrungspflichten entgegenstehen (§ 147 AO, § 257 HGB). Zentrale Fristen: 30 Tage Log-Retention, 90 Tage für nicht relevante Gastdaten, 2 Jahre für Zeiterfassung (§ 16 ArbZG), 6 Jahre für Handelsdaten, 10 Jahre für Belege.

7. Meldepflicht

Bei Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) meldet Ordo dem Restaurant binnen 48 Stunden in Textform (§ 12 AVV). Intern ist ein dokumentierter Incident-Response-Prozess etabliert, der Rollen, Eskalation und forensische Sicherung regelt.

Stand: 21. April 2026. Dieses Dokument wird regelmäßig an den Stand der Technik angepasst. Änderungen werden auf dieser Seite veröffentlicht.