Technisch-organisatorische Maßnahmen (TOM)

← Zurück zum PII-Anonymisierer TOM als PDF herunterladen

gemäß Art. 32 DSGVO für den PII-Anonymisierungsdienst

Stand: 23.03.2026 · Version 1.0

Übersicht

Dieses Dokument beschreibt die technisch-organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO, die der PII-Anonymisierungsdienst von Schiller - Organisation. Digital. Michael Schiller implementiert hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen

  • Server in einem professionellen Rechenzentrum in Deutschland (Hetzner, Nürnberg)
  • Physischer Zugangsschutz durch den Rechenzentrumsbetreiber (ISO 27001 zertifiziert)
  • Kein physischer Zugang durch Mitarbeiter des Auftragsverarbeiters erforderlich (vollständig remote verwaltet)

1.2 Zugangskontrolle

Schutz vor unbefugter Nutzung der Datenverarbeitungssysteme

  • SSH-Zugang ausschließlich über schlüsselbasierte Authentifizierung (ED25519)
  • Kein Root-Zugang, nur dedizierte Benutzerkonten
  • Anubis Bot-Protection vor allen öffentlichen Endpunkten
  • Rate Limiting: 60 Anfragen/Minute pro IP-Adresse
  • Fail2Ban für SSH-Brute-Force-Schutz

1.3 Zugriffskontrolle

Schutz vor unbefugtem Lesen, Kopieren, Verändern oder Entfernen

  • API-Endpunkte sind öffentlich zugänglich (keine Authentifizierung erforderlich) – dies ist beabsichtigt, da keine personenbezogenen Daten dauerhaft gespeichert werden
  • Zuordnungstabellen sind session-basiert isoliert (UUID) und nur mit der korrekten Session-ID abrufbar
  • Keine Administrations-Oberfläche für PII-Daten
  • Keine Möglichkeit, verarbeitete Texte nachträglich einzusehen

1.4 Trennungskontrolle

Getrennte Verarbeitung für unterschiedliche Zwecke

  • Jede Anonymisierungs-Session erhält eine eigene UUID
  • Session-Daten sind vollständig voneinander isoliert
  • Keine gemeinsame Nutzung von Zuordnungstabellen zwischen Sessions
  • Produktions- und Staging-Umgebung physisch getrennt (separate Container, separate Datenbanken)

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

Schutz bei Datenübertragung

  • TLS 1.3 Verschlüsselung für alle API-Kommunikation (HTTPS)
  • Caddy Reverse Proxy mit automatischer Zertifikatserneuerung (Let's Encrypt)
  • Keine unverschlüsselten Übertragungswege
  • Keine Datenübermittlung an Drittländer
  • Keine Unterauftragsverarbeiter

2.2 Eingabekontrolle

Nachvollziehbarkeit der Datenverarbeitung

  • Keine Protokollierung von übermittelten Texten oder PII-Inhalten (Privacy by Design)
  • Nur technische Metadaten werden geloggt: Zeitstempel, IP-Adresse, Anzahl erkannter Entities, Verarbeitungsdauer
  • Zuordnungstabellen werden automatisch nach maximal 1 Stunde gelöscht

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

3.1 Verfügbarkeitskontrolle

Schutz gegen Zerstörung oder Verlust

  • Automatische Container-Neustarts bei Ausfällen (Kamal/Docker)
  • Monitoring mit Grafana-Dashboard
  • Tägliche Backups der Systemkonfiguration
  • Keine dauerhafte Speicherung personenbezogener Daten → kein Datenverlust möglich
  • Bei Systemausfall gehen maximal die temporären Zuordnungstabellen verloren (max. 1h Daten)

4. Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

Da keine personenbezogenen Daten dauerhaft gespeichert werden, beschränkt sich die Wiederherstellung auf die Systemverfügbarkeit:

  • Container-basierte Deployment-Architektur (Kamal) ermöglicht schnelle Wiederherstellung
  • Automatische Health-Checks und Neustart-Mechanismen
  • Disaster Recovery durch Image-basierte Deployments: Vollständige Neubereitstellung in unter 10 Minuten

5. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

5.1 Datenschutz-Management

  • Regelmäßige Überprüfung der technischen Maßnahmen
  • Automatisierte Sicherheitstests (Brakeman, Bundler-Audit) in der CI/CD-Pipeline
  • Dependency-Scanning via Dependabot
  • Code-Reviews vor jedem Deployment

5.2 Privacy by Design & Default

  • Originaltexte werden ausschließlich im RAM verarbeitet – keine Speicherung auf Festplatte
  • Zuordnungstabellen mit automatischem TTL (max. 1 Stunde)
  • Keine Inhalts-Logs – es werden keine übermittelten Texte protokolliert
  • Session-Isolation durch UUIDs – kein Session-übergreifender Zugriff möglich
  • 5 parallele Erkennungsmethoden für maximale Abdeckung bei minimaler Datenhaltung

6. Erkennungssysteme

Der PII-Anonymisierungsdienst setzt 5 parallele Erkennungsmethoden ein:

Pattern Detection – Regex-basierte Erkennung strukturierter Daten (E-Mail, Telefon, IBAN, Kreditkarten, EU-VAT)

SpaCy NER – KI-basierte Named Entity Recognition (lokal, kein Cloud-Service)

Address Detection – Spezialisierte Adresserkennung für 30+ Länder

Crypto-Wallet-Erkennung – 12 Kryptowährungen (Bitcoin, Ethereum, Litecoin, Ripple u.a.) per Pattern-Matching

Abbreviation Detection – Erkennung von Unternehmens-/Bereichsabkürzungen (standardmäßig aktiv, ~665 Whitelist-Einträge)

Alle Erkennungssysteme laufen lokal auf eigenen Servern in Deutschland. Es werden keine Daten an externe Dienste übermittelt.

7. Infrastruktur-Übersicht

Server

  • Hetzner Cloud, Nürnberg, Deutschland
  • Ubuntu Linux (gehärtet)
  • Kamal (Docker-basiert)

Dienste

  • Rails 8 (Ruby 3.4) – API und Web-Oberfläche
  • SpaCy NER Service – Lokaler KI-Container
  • Crypto & EU-ID Pattern-Matching – Integriert in Pattern-Detector
  • Caddy – Reverse Proxy mit TLS 1.3
  • Redis – Session-Cache mit TTL

8. Ansprechpartner

Bei Fragen zu den technisch-organisatorischen Maßnahmen:

Michael Schiller (Geschäftsführer)

Schiller - Organisation. Digital. Michael Schiller

info@schiller-partners.de

TOM als PDF herunterladen