Bondly

Anlage 1 – Technische und organisatorische Maßnahmen (TOMs)

Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

Bondly trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Die nachfolgenden Maßnahmen beschreiben den derzeitigen Stand der technischen und organisatorischen Schutzmaßnahmen im Zusammenhang mit der im Auftrag des Kunden erfolgenden Verarbeitung personenbezogener Daten.

1. Zutrittskontrolle

1.1 Maßnahmen

  • Der Zugriff auf administrative Systeme und Produktivumgebungen ist organisatorisch auf berechtigte Personen beschränkt.
  • Nach aktuellem Stand hat nur Bondly selbst bzw. der alleinige Administrator Zugriff auf die wesentlichen Administrationszugänge.
  • Physische Infrastruktur wird im Wesentlichen über professionelle Hosting- und Plattformanbieter betrieben.

2. Zugangskontrolle

2.1 Maßnahmen

  • Der Zugang zu administrativen Systemen erfolgt nur nach Authentifizierung.
  • Für die Anwendung werden passwortbasierte Login-Mechanismen eingesetzt.
  • Session- und Authentifizierungsprozesse werden über Supabase Auth umgesetzt.
  • Geheimnisse, API-Schlüssel und vergleichbare Zugangsdaten werden nach aktuellem Stand nicht hartcodiert in der Anwendung gespeichert, sondern über sichere Umgebungsvariablen verwaltet.
  • Eine technische MFA-Erzwingung innerhalb der Applikation ist derzeit nicht flächendeckend implementiert und wird fortlaufend geprüft.

3. Zugriffskontrolle

3.1 Maßnahmen

  • Zugriffe innerhalb der Anwendung sind rollen- und mandantenbezogen ausgestaltet.
  • Es besteht eine Multi-Tenancy-Architektur mit mandantenbezogener Trennung.
  • Datenzugriffe erfolgen grundsätzlich tenant-gebunden.
  • Datenbankseitig werden mandantenbezogene Zugriffsbeschränkungen und Policies eingesetzt.
  • Produktive Zugriffe auf personenbezogene Daten sind organisatorisch auf den alleinigen Administrator beschränkt.

4. Weitergabekontrolle / Transportkontrolle

4.1 Maßnahmen

  • Die Kommunikation mit externen Diensten und Schnittstellen erfolgt im produktiven Betrieb grundsätzlich verschlüsselt über HTTPS/TLS.
  • Sensible technische Prozesse verwenden token-, signatur- oder secretbasierte Prüfmechanismen, insbesondere bei DOI-, Wallet-, Unsubscribe- und internen Systemrouten.
  • Externe Dienstleister werden nur insoweit eingebunden, wie dies für die vertraglich geschuldeten Funktionen erforderlich ist.

5. Eingabekontrolle / Nachvollziehbarkeit

5.1 Maßnahmen

  • Relevante technische und betriebliche Vorgänge werden protokolliert, soweit dies für Betrieb, Sicherheit, Nachvollziehbarkeit und Fehleranalyse erforderlich ist.
  • Es bestehen interne Job- und Betriebslogs mit definierter Löschlogik.
  • Für kritische Verwaltungs- und Systemaktionen wird ein minimiertes Audit-Log geführt.
  • Audit-Ereignisse können insbesondere Zeitstempel, Tenant-Bezug, Akteurstyp, Aktionsart, Zielobjekt, Ergebnis, technische Anfragekennungen sowie pseudonymisierte sicherheitsrelevante Metadaten enthalten.

6. Auftragskontrolle

6.1 Maßnahmen

  • Personenbezogene Daten werden nur im Rahmen dokumentierter Systemlogik und nach Maßgabe der jeweiligen Beauftragung durch den Kunden verarbeitet.
  • Die Verarbeitung erfolgt mandantenbezogen.
  • Externe Unterauftragsverarbeiter werden nur im Rahmen der vertraglichen und gesetzlichen Vorgaben eingebunden.
  • Mit eingesetzten Unterauftragsverarbeitern werden – soweit erforderlich – Vereinbarungen zur Auftragsverarbeitung geschlossen.

7. Verfügbarkeitskontrolle

7.1 Maßnahmen

  • Die Produktivsysteme werden über etablierte Plattform- und Infrastrukturanbieter betrieben.
  • Es bestehen technische Maßnahmen zur Stabilität, Laufzeitüberwachung und Fehlerprotokollierung.
  • Automatische Backups werden plattformseitig nach Maßgabe der jeweiligen Providerkonfiguration bereitgestellt; Details zu Umfang, Frequenz und Wiederherstellung richten sich nach dem jeweiligen Projekt- und Tarifmodell.
  • Lösch- und Retention-Prozesse sind für verschiedene Datenkategorien technisch vorgesehen.

8. Trennungsgebot

8.1 Maßnahmen

  • Daten verschiedener Kunden werden im Rahmen einer Multi-Tenant-Architektur getrennt verarbeitet.
  • Die Trennung erfolgt insbesondere über tenant-bezogene Zuordnungen, rollenbezogene Logik und datenbankseitige Zugriffsregeln.
  • Funktionsbezogene Verarbeitungen erfolgen grundsätzlich nur innerhalb des jeweiligen Mandantenkontexts.

9. Pseudonymisierung und Datenminimierung

9.1 Maßnahmen

  • Es werden nur diejenigen Daten verarbeitet, die für die jeweiligen Funktionen und Zwecke erforderlich sind.
  • Soweit technisch sinnvoll, werden Kennungen oder Metadaten minimiert oder pseudonymisiert verarbeitet, z. B. in Form gehashter Werte.
  • Audit- und Sicherheitsprotokolle werden in minimierter Form geführt.
  • Für interne Notizfelder und ähnliche Freitextbereiche sind organisatorische Hinweise vorgesehen, dass keine sensiblen personenbezogenen Daten eingetragen werden sollen.

10. Löschung und Speicherbegrenzung

Für verschiedene Datenkategorien bestehen definierte Lösch- und Retention-Prozesse. Nach aktuellem Stand gelten insbesondere folgende Grundsätze:

10.1 Konkrete Fristen

  • unverifizierte Registrierungen: Löschung nach 14 Tagen,
  • Auth- und Session-Metadaten: Bereinigung nach 30 Tagen für beendete oder abgelaufene Sitzungen,
  • interne Job-Logs: Löschung nach 30 Tagen,
  • Wallet-bezogene Registrierungs- und Pass-Metadaten: Löschung nach 30 Tagen nach Ende/Inaktivität,
  • Kommunikations- und Kampagnenereignisse: grundsätzlich 24 Monate, anschließend Löschung oder Anonymisierung,
  • Audit-Logs: grundsätzlich 365 Tage,
  • Review- und KI-bezogene Analysedaten: grundsätzlich für die Dauer des bestehenden Restaurant-Accounts, anschließend Löschung oder Anonymisierung,
  • Suppression-Daten: Speicherung solange erforderlich, um weitere Zusendungen zu verhindern.

11. Incident- und Sicherheitsmanagement

11.1 Maßnahmen

  • Es bestehen technische Protokollierungs- und Retention-Mechanismen zur Erkennung, Analyse und Nachverfolgung technischer Vorfälle.
  • Sicherheitsrelevante oder kritische Aktionen können über Logs und Audit-Ereignisse nachvollzogen werden.
  • Ein formales, eigenständiges Incident-Runbook wird fortlaufend weiterentwickelt.
  • Im Fall datenschutzrelevanter Vorfälle erfolgt eine Behandlung nach den gesetzlichen und vertraglichen Vorgaben.

12. Berechtigungs- und Administrationskonzept

12.1 Maßnahmen

  • Nach aktuellem Stand ist Bondly ein Ein-Personen-Betrieb; administrative Produktivzugriffe liegen organisatorisch beim alleinigen Administrator.
  • Zugriffe auf externe Plattformkonten und Infrastruktur sind derzeit organisatorisch auf diese Person beschränkt.
  • Bei personeller Erweiterung ist eine rollenbezogene Ausweitung mit entsprechendem Berechtigungs- und Zugriffskonzept vorgesehen.

Bondly ist berechtigt, diese technischen und organisatorischen Maßnahmen weiterzuentwickeln, soweit das vertraglich und gesetzlich geschuldete Schutzniveau nicht unterschritten wird.

Stand: 05.05.2026