← Übersicht

Compliance · Anlage 1 zum AVV

Technische und Organisatorische Maßnahmen

Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO.


Anlage 1 zum AVV. Letzte Aktualisierung: 2026-05-05


1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

Server stehen in Rechenzentren der Subunternehmer:

  • AWS Frankfurt (eu-central-1) für Supabase: ISO 27001, SOC 2, biometrische Zugangskontrolle
  • Vercel Edge EU: physisch verteilt, nur logischer Zugriff für MindClub-Personal

MindClub selbst betreibt keine eigenen Rechenzentren.

1.2 Zugangskontrolle

  • Multi-Faktor-Authentifizierung für alle MindClub-Admin-Zugänge zu Vercel und Supabase
  • Spieler-Authentifizierung: 8-stelliger OTP (E-Mail) als Primärpfad, Passwort + 2FA als Sekundärpfad, optional SSO via Azure AD/Google Workspace (siehe docs/compliance/sso.md)
  • Session-Tokens: HTTP-only Cookies, Secure-Flag, SameSite=Lax, JWT mit 1h-Lifetime + Refresh
  • Brute-Force-Schutz: Rate-Limiting auf Auth-Endpunkten

1.3 Zugriffskontrolle

  • Row-Level-Security (RLS) auf PostgreSQL-Ebene, nicht im Application-Layer
  • 12 Datenkategorien × 6 Sichtbarkeitsstufen, granular je Spieler konfigurierbar
  • Aggregations-Views erzwingen n≥3 (Squad) bzw. n≥5 (Verein) auf SQL-Ebene
  • Audit-Log zu jeder lesenden Operation auf sensiblen Daten
  • Rollen-Hierarchie: Spieler → Coach (rollenbeschränkt) → Mental Staff → Leadership → Admin → Superadmin

1.4 Trennungskontrolle

  • Multi-Tenant-Architektur: jeder Verein erhält eine club_id, RLS erzwingt Mandantentrennung
  • Optional: Single-Tenant-Deployment auf eigene Supabase-Instanz für Vereine mit erhöhtem Datenschutzanspruch

1.5 Pseudonymisierung

  • Audit-Logs werden bei Spielerlöschung pseudonymisiert: Spieler-ID wird durch Hash ersetzt, persönliche Inhalte werden entfernt, Aktion/Zeitstempel/Rolle bleiben erhalten
  • Aggregierte Werte enthalten keine Spielernamen

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

  • Transport: TLS 1.3 erzwungen über HSTS
  • Keine Klartext-Übertragung sensibler Daten in E-Mails — Resend wird nur für Trigger-Notifications verwendet ("Du hast eine neue Nachricht — bitte einloggen")
  • API-Keys rotierbar, nicht im Code committet

2.2 Eingabekontrolle

  • Vollständiges Audit-Log mit Zeitstempel, Akteur-ID, Akteur-Rolle, Aktion, Ziel-Ressource, Zweckangabe
  • Audit-Logs sind read-only für alle Rollen (auch Superadmin), append-only auf DB-Ebene

3. Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

3.1 Verfügbarkeitskontrolle

  • Vercel: 99.99% Enterprise-SLA bei Premium-Plan
  • Supabase: 99.95% Enterprise-SLA
  • Statusseite: status.themindclub.com (in Vorbereitung)

3.2 Belastbarkeit der Systeme

  • Vercel Edge mit globaler CDN
  • Supabase mit Connection-Pooling, Read-Replicas (im Pro-Plan)

3.3 Wiederherstellbarkeit

  • Supabase Point-in-Time-Recovery: 7 Tage rollend
  • Tägliche Snapshots mit 30 Tagen Aufbewahrung
  • Restore-Test: halbjährlich dokumentiert in docs/operations/restore-test-log.md

4. Verfahren regelmäßiger Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

4.1 Datenschutz-Management

  • Diese DPIA wird mindestens jährlich überprüft
  • Verzeichnis von Verarbeitungstätigkeiten geführt
  • DPO-Funktion erreichbar unter dpo@themindclub.com

4.2 Incident-Response-Management

  • Incident-Response-Plan: docs/operations/incident-response.md
  • Meldefristen: intern 4h, an Verantwortlichen 24h, an Aufsichtsbehörde unterstützend 72h gemäß Art. 33 DSGVO

4.3 Datenschutz durch Voreinstellungen (Privacy by Default)

  • Höchste Privacy-Stufe als Default für neue Spieler
  • Aktive Zustimmung erforderlich, kein Opt-Out-Modell
  • "Data Minimization" — nur für den jeweiligen Zweck nötige Daten werden erhoben

4.4 Auftragskontrolle

  • Subunternehmerverträge schriftlich geschlossen mit DSGVO-konformen Klauseln
  • Vercel: Standard Data Processing Addendum
  • Supabase: Standard DPA + EU-Datenresidenz vertraglich zugesichert
  • Resend: DPA mit EU-Standardvertragsklauseln

4.5 Penetrationstest

  • Externer Pen-Test mindestens jährlich, Bericht den Verantwortlichen auf Anfrage zugänglich
  • Scope und Methodik: docs/security/pentest-scope.md
  • Erster Test geplant: [Datum nach Pilot-Vertrag]

4.6 Schulung

  • Alle MindClub-Mitarbeiter mit Datenzugriff durchlaufen jährliche DSGVO-Schulung
  • Nutzer-Onboarding-Wizard im Verein vermittelt Privacy-by-Design-Prinzipien

Versionierung

VersionDatumÄnderung
1.02026-05-05Erstfassung

Fragen zu diesem Dokument?

Schreibe an den Datenschutzbeauftragten. Wir antworten in der Regel innerhalb von 48 Stunden während der Geschäftswochen.

dpo@themindclub.com