Anlage 1 zum AVV. Letzte Aktualisierung: 2026-05-05
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
Server stehen in Rechenzentren der Subunternehmer:
- AWS Frankfurt (eu-central-1) für Supabase: ISO 27001, SOC 2, biometrische Zugangskontrolle
- Vercel Edge EU: physisch verteilt, nur logischer Zugriff für MindClub-Personal
MindClub selbst betreibt keine eigenen Rechenzentren.
1.2 Zugangskontrolle
- Multi-Faktor-Authentifizierung für alle MindClub-Admin-Zugänge zu Vercel und Supabase
- Spieler-Authentifizierung: 8-stelliger OTP (E-Mail) als Primärpfad, Passwort + 2FA als Sekundärpfad, optional SSO via Azure AD/Google Workspace (siehe
docs/compliance/sso.md) - Session-Tokens: HTTP-only Cookies, Secure-Flag, SameSite=Lax, JWT mit 1h-Lifetime + Refresh
- Brute-Force-Schutz: Rate-Limiting auf Auth-Endpunkten
1.3 Zugriffskontrolle
- Row-Level-Security (RLS) auf PostgreSQL-Ebene, nicht im Application-Layer
- 12 Datenkategorien × 6 Sichtbarkeitsstufen, granular je Spieler konfigurierbar
- Aggregations-Views erzwingen n≥3 (Squad) bzw. n≥5 (Verein) auf SQL-Ebene
- Audit-Log zu jeder lesenden Operation auf sensiblen Daten
- Rollen-Hierarchie: Spieler → Coach (rollenbeschränkt) → Mental Staff → Leadership → Admin → Superadmin
1.4 Trennungskontrolle
- Multi-Tenant-Architektur: jeder Verein erhält eine
club_id, RLS erzwingt Mandantentrennung - Optional: Single-Tenant-Deployment auf eigene Supabase-Instanz für Vereine mit erhöhtem Datenschutzanspruch
1.5 Pseudonymisierung
- Audit-Logs werden bei Spielerlöschung pseudonymisiert: Spieler-ID wird durch Hash ersetzt, persönliche Inhalte werden entfernt, Aktion/Zeitstempel/Rolle bleiben erhalten
- Aggregierte Werte enthalten keine Spielernamen
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
- Transport: TLS 1.3 erzwungen über HSTS
- Keine Klartext-Übertragung sensibler Daten in E-Mails — Resend wird nur für Trigger-Notifications verwendet ("Du hast eine neue Nachricht — bitte einloggen")
- API-Keys rotierbar, nicht im Code committet
2.2 Eingabekontrolle
- Vollständiges Audit-Log mit Zeitstempel, Akteur-ID, Akteur-Rolle, Aktion, Ziel-Ressource, Zweckangabe
- Audit-Logs sind read-only für alle Rollen (auch Superadmin), append-only auf DB-Ebene
3. Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
3.1 Verfügbarkeitskontrolle
- Vercel: 99.99% Enterprise-SLA bei Premium-Plan
- Supabase: 99.95% Enterprise-SLA
- Statusseite: status.themindclub.com (in Vorbereitung)
3.2 Belastbarkeit der Systeme
- Vercel Edge mit globaler CDN
- Supabase mit Connection-Pooling, Read-Replicas (im Pro-Plan)
3.3 Wiederherstellbarkeit
- Supabase Point-in-Time-Recovery: 7 Tage rollend
- Tägliche Snapshots mit 30 Tagen Aufbewahrung
- Restore-Test: halbjährlich dokumentiert in
docs/operations/restore-test-log.md
4. Verfahren regelmäßiger Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
4.1 Datenschutz-Management
- Diese DPIA wird mindestens jährlich überprüft
- Verzeichnis von Verarbeitungstätigkeiten geführt
- DPO-Funktion erreichbar unter dpo@themindclub.com
4.2 Incident-Response-Management
- Incident-Response-Plan:
docs/operations/incident-response.md - Meldefristen: intern 4h, an Verantwortlichen 24h, an Aufsichtsbehörde unterstützend 72h gemäß Art. 33 DSGVO
4.3 Datenschutz durch Voreinstellungen (Privacy by Default)
- Höchste Privacy-Stufe als Default für neue Spieler
- Aktive Zustimmung erforderlich, kein Opt-Out-Modell
- "Data Minimization" — nur für den jeweiligen Zweck nötige Daten werden erhoben
4.4 Auftragskontrolle
- Subunternehmerverträge schriftlich geschlossen mit DSGVO-konformen Klauseln
- Vercel: Standard Data Processing Addendum
- Supabase: Standard DPA + EU-Datenresidenz vertraglich zugesichert
- Resend: DPA mit EU-Standardvertragsklauseln
4.5 Penetrationstest
- Externer Pen-Test mindestens jährlich, Bericht den Verantwortlichen auf Anfrage zugänglich
- Scope und Methodik:
docs/security/pentest-scope.md - Erster Test geplant: [Datum nach Pilot-Vertrag]
4.6 Schulung
- Alle MindClub-Mitarbeiter mit Datenzugriff durchlaufen jährliche DSGVO-Schulung
- Nutzer-Onboarding-Wizard im Verein vermittelt Privacy-by-Design-Prinzipien
Versionierung
| Version | Datum | Änderung |
|---|---|---|
| 1.0 | 2026-05-05 | Erstfassung |