VoltMaster
Zum Dashboard

Art. 32 DSGVO

Technische und organisatorische Maßnahmen

Übersicht der technischen und organisatorischen Maßnahmen, mit denen die Sicherheit der Verarbeitung personenbezogener Daten in VoltMaster gewährleistet wird.

Stand: Mai 2026

Verantwortlicher: Arento AI GmbH i. G., Wiesenstr. 28, 53773 Hennef.

1. Vertraulichkeit

Zutrittskontrolle

  • Hosting in EU-Rechenzentren bei Hostinger International Ltd. (ISO/IEC 27001-zertifiziert).
  • Kein direkter Serverzugang durch Mitarbeitende; Administration ausschließlich über das Hoster-Provisioning.
  • Bürofläche durch elektronisches Schließsystem und Alarmanlage gesichert.

Zugangskontrolle

  • Individuelle Benutzerkonten mit E-Mail-Adresse und Passwort.
  • Passwörter werden ausschließlich als bcrypt-Hash gespeichert (kein Klartext).
  • Optionale Zwei-Faktor-Authentifizierung; für Administratoren verpflichtend.
  • Rate-Limiting auf Login-Endpunkten zum Schutz vor Brute-Force-Angriffen.
  • Session-Cookies mit den Flags HttpOnly, Secure und SameSite=Lax.

Zugriffskontrolle

  • Differenziertes Rollen- und Rechtekonzept je Mandant (Owner, Admin, Member).
  • Sensible Bereiche (Stammdaten, Abrechnungen, Verwaltung) sind Admin/Owner vorbehalten.
  • Mandantentrennung sowohl auf Anwendungs- als auch auf Datenbankebene.
  • Lückenloses Audit-Logging sicherheitsrelevanter Änderungen.

Trennungskontrolle

  • Jeder Datensatz enthält eine Mandantenkennung; Anfragen werden automatisch gefiltert.
  • Mandantenübergreifende Zugriffe werden durch die Anwendung mit HTTP 403 abgewiesen.

2. Integrität

  • Vollständige Audit-Logs (Wer, Wann, Was, Vor-/Nachher) für alle Datenänderungen.
  • Audit-Logs sind nicht editierbar und werden gemäß Aufbewahrungsfristen gespeichert.
  • Sämtliche Verbindungen verschlüsselt mittels TLS 1.2 oder höher; HSTS aktiv.
  • API- und Webhook-Schnittstellen mit Bearer-Token-Authentifizierung.

3. Verfügbarkeit und Belastbarkeit

  • Tägliche, verschlüsselte Datenbank-Backups mit 30 Tagen Vorhaltefrist.
  • Mehrstufiges Monitoring der Anwendung mit automatisierten Alerts.
  • Wiederherstellung der Datenbank innerhalb von 4 Stunden möglich.
  • Vollständiger Datenexport durch den Kunden jederzeit auslösbar.

4. Verfahren zur regelmäßigen Überprüfung

  • Monatliche Sicherheits-Updates; kritische Patches innerhalb von 7 Tagen.
  • Automatisches Dependency-Scanning auf bekannte Schwachstellen.
  • Automatisierte Test-Suite vor jedem Release.
  • Verantwortliche Offenlegung von Schwachstellen über security.txt.

5. Incident-Response

  • Internes Incident-Verfahren mit definierten Eskalationsstufen.
  • Datenpannen werden binnen 24 Stunden nach Kenntnisnahme an betroffene Auftraggeber gemeldet.
  • Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden gemäß Art. 33 DSGVO.

6. Auftragskontrolle (Subprocessors)

Mit allen eingesetzten Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO. Eine vollständige, jederzeit aktuelle Liste finden Sie unter Subprocessors. Optionale Drittanbieter-Schnittstellen (Huawei, Plexlog, Teltonika RMS, Strompreis-Forecast) werden nur auf ausdrückliche Aktivierung durch den Auftraggeber genutzt.