Technische und organisatorische Maßnahmen

Stand: Juli 2026

1. Zweck und Geltungsbereich

Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen (TOMs), die von der Ibis Flow GmbH zum Schutz personenbezogener Daten implementiert wurden, die über den Dienst Alle Gewerke (alle-gewerke.de) verarbeitet werden. Die Maßnahmen sollen ein dem Risiko der Verarbeitung angemessenes Schutzniveau gemäß Art. 32 DSGVO gewährleisten.

Alle Gewerke ist eine webbasierte B2B-SaaS-Plattform, die öffentliche Ausschreibungsbekanntmachungen aggregiert und mittels KI-Matching mit dem Profil von Bauunternehmen abgleicht. Die Plattform richtet sich ausschließlich an gewerbliche Nutzer (Unternehmer i. S. d. § 14 BGB) in Deutschland.

Dieses Dokument unterscheidet zwischen Sicherheitskontrollen, die wir direkt implementieren, und solchen, die von unserem Cloud-Infrastrukturanbieter geerbt werden.

2. Risikobasierter Ansatz

Unsere Sicherheitsmaßnahmen sind der Art, dem Umfang und den Zwecken unserer Datenverarbeitungstätigkeiten angemessen. Als B2B-Dienst verarbeiten wir hauptsächlich geschäftliche Kontaktdaten, Firmenprofildaten und Abonnementdaten. Wir bewerten unsere Sicherheitsmaßnahmen regelmäßig und passen sie der sich entwickelnden Bedrohungslage an.

Ibis Flow GmbH verfügt derzeit nicht über ISO-27001- oder SOC-2-Zertifizierungen auf Organisationsebene. Unser Cloud-Infrastrukturanbieter Microsoft Azure unterhält diese Zertifizierungen für seine Plattformdienste.

3. Technische Maßnahmen

3.1 Cloud-Infrastruktur (Microsoft Azure)

Alle Dienste werden auf Microsoft Azure (Region West Europe, Niederlande) gehostet. Azure bietet physische Sicherheit, Netzwerksicherheit und Plattformsicherheit auf Unternehmensniveau.

  • Datenresidenz: alle personenbezogenen Daten werden innerhalb der EU gespeichert und verarbeitet
  • Verschlüsselung im Ruhezustand: Azure Storage Service Encryption mit plattformverwalteten Schlüsseln
  • Verschlüsselung bei der Übertragung: TLS 1.2+ für alle Verbindungen
  • Netzwerksicherheit: private Endpunkte für alle PaaS-Dienste; kein öffentlicher Internetzugang zu Datenbanken, Queues und Key Vault
  • Netzwerkisolierung: Netzwerksicherheitsgruppen (NSGs) mit Default-Deny-Regeln auf Subnetzebene
  • Geheimnisverwaltung: alle API-Schlüssel und Geheimnisse werden in Azure Key Vault gespeichert; keine Klartext-Geheimnisse in Konfigurationsdateien oder Repositories

3.2 Backups und Wiederherstellung

Datensicherung und Wiederherstellung werden auf Azure-Dienstebene bereitgestellt. Datenbankdienste profitieren von Azure-verwalteten Backup-Mechanismen mit definierten Recovery-Point- und Recovery-Time-Eigenschaften.

3.3 Überwachung und Alarmierung

Die Anwendungsüberwachung erfolgt ereignisgesteuert. Fehler und Anomalien werden protokolliert und bei Auftreten bearbeitet.

3.4 Zahlungsabwicklung (Stripe)

Kostenpflichtige Abonnements werden über Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Dublin 2, Irland) abgewickelt. Die Zahlungsabwicklung entspricht dem PCI-DSS-SAQ-A-Standard:

  • Keine Kartenverarbeitung auf eigenen Servern: Kreditkartendaten werden ausschließlich auf Stripes PCI-DSS zertifizierten Servern verarbeitet — nie auf Servern der Ibis Flow GmbH
  • Kein Kartenspeicher: Ibis Flow GmbH speichert keine Kartennummern, CVV-Codes oder ähnliche Zahlungsdaten
  • Webhook-Sicherheit: Stripe-Webhooks werden über HTTPS empfangen und per HMAC-SHA256-Signatur verifiziert; das Signing Secret wird in Azure Key Vault gespeichert, nicht im Quellcode
  • Stripe Customer Portal: Abonnementverwaltung (Kündigung, Zahlungsänderung) erfolgt direkt im von Stripe gehosteten Portal — keine Verarbeitung von Zahlungsdaten durch unsere Anwendung

4. Organisatorische Maßnahmen

4.1 Organisationsstruktur

Ibis Flow GmbH ist ein inhabergeführtes Unternehmen mit einem sehr kleinen Team. Dieses Modell bietet klare Verantwortlichkeiten:

  • Produktionszugriff: auf autorisierte Mitarbeiter der Ibis Flow GmbH beschränkt
  • Externer Zugriff: keine externen Auftragnehmer oder Drittanbieter-Support mit Systemzugriff

4.2 Datenschutzverantwortlichkeiten

Wir haben derzeit keinen formell ernannten Datenschutzbeauftragten (DSB). Datenschutz- und Sicherheitsverantwortlichkeiten werden direkt von der Geschäftsführung wahrgenommen.

5. Identitäts- und Zugriffsverwaltung

5.1 Benutzerauthentifizierung

Die Benutzerauthentifizierung erfolgt über Microsoft Entra External ID (Azure AD B2C). Dieser Ansatz delegiert die Authentifizierung an eine unternehmenstaugliche Identitätsinfrastruktur von Microsoft.

  • Authentifizierungsmethode: Magic Link per E-Mail (passwortlos) oder OAuth-SSO über Microsoft, Google
  • Passwortrichtlinien: entfällt — passwortloses Verfahren

5.2 Managed Identity für Dienst-zu-Dienst-Kommunikation

Die Anwendung verwendet Azure Managed Identity für alle Dienst-zu-Dienst-Verbindungen (z. B. App Service → Key Vault, App Service → Datenbank). Es werden keine statischen Verbindungszeichenfolgen oder Service-Prinzipals mit Shared Secrets verwendet.

6. Entwicklung und Änderungsmanagement

Der gesamte Quellcode wird in Versionskontrolle (Git) verwaltet. Codeänderungen werden vor der Produktionsbereitstellung getestet. Keine Produktions-Kundendaten werden in Entwicklungs- oder Testumgebungen verarbeitet. KI-Tools (wie GitHub Copilot) werden zur Code-Unterstützung eingesetzt; keine Produktionsdaten werden dabei übermittelt.

7. Vorfallbehandlung und Kontinuität

Sicherheits- und Datenschutzvorfälle werden mit angemessener Dringlichkeit behandelt. Im Falle einer Datenschutzverletzung benachrichtigen wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden (sofern Art. 33 DSGVO dies verlangt) und betroffene Personen unverzüglich, wenn ein hohes Risiko besteht.

Die Dienstkontinuität profitiert von Azures Hochverfügbarkeitsinfrastruktur und verwalteten Backup-Funktionen.

8. Physische Sicherheit

Die physische Sicherheit der Infrastruktur wird vollständig von Microsoft Azure verwaltet (Zugangskontrollen, Überwachung, Umweltschutz in Rechenzentren). Der Betrieb erfolgt aus gesicherter Büroumgebung.

9. Kontinuierliche Verbesserung

Wir überprüfen unsere TOMs regelmäßig und nach wesentlichen Änderungen unserer Sicherheitspraktiken. Dieses Dokument wird entsprechend aktualisiert.

10. Kontakt

Bei Fragen zu unseren technischen und organisatorischen Maßnahmen oder zur Meldung von Sicherheitsbedenken:

Ibis Flow GmbH
Krumbacher Str 2
92421 Schwandorf
E-Mail: kontakt@alle-gewerke.de

Zuletzt aktualisiert: Juli 2026