scalepost.io icon

This is an unofficial translation.

The original version of this legal text is written in German to comply with legal requirements in Germany and the EU. This English version was generated using AI (GPT) for convenience and does not constitute a legally binding document. In case of discrepancies, the German version below the English version shall prevail.

Technical and Organisational Measures (TOMs)

Technical and Organisational Measures (TOMs) of scalepost.io pursuant to Art. 32 GDPR

Preamble

Backup Archive Solutions GmbH ("scalepost.io") implements the following technical and organisational measures to ensure data security in accordance with Article 32 of the GDPR.

1. Confidentiality

Physical Access Control

Data centers (Hetzner, AWS Frankfurt): Data centers are provided and operated exclusively by external service providers. dehype.ai and its employees do not have physical access. Access security and physical access control are subject to the certified measures of the respective providers (e.g. ISO 27001).
Company premises: Access granted only to employees with keys; visitor access is accompanied and documented.

System Access Control

Access rights are granted according to the “least privilege” principle.
Password policies (minimum 20 characters, change every 90 days, enforced technically).
Use of a password manager.
Access only via VPN; strong encryption on all systems (including laptops and storage devices).
Use of firewalls, intrusion detection/threat detection systems.
Training on screen locking when leaving the workstation.

Data Access Control

Granular role assignment; access granted only to authorised personnel.
Logging of access to local and cloud systems.
Obsolete data is deleted automatically on a regular schedule. Backups are retained only for a defined period and then overwritten or deleted using a rolling process. Any obsolete physical media, if present, are securely destroyed.

Separation Control

Customer data is systemically and logically separated (e.g. multi-tenancy, tagging).
Only a secured production environment is operated. Development and testing processes are carried out in strictly controlled, temporary instances within this environment, without access to productive customer data.

Pseudonymisation and Encryption

All data transmissions are secured via HTTPS/SSL/TLS.
Storage and backups are encrypted.
Systems are configured to avoid storing IP addresses whenever possible. Where technically required, storage is limited to short periods and deleted or overwritten automatically using a rolling process.

2. Integrity

Input Control

Role-based access management.
No field-level logging of individual user actions.

Data Transfer Control

No physical data transfers - only digital transmission via HTTPS/TLS.
Upon termination of contract: deletion of all data not required to be retained by contract, and of user accounts, with confirmation upon request. Legally required data (e.g. under commercial or tax law) is retained in accordance with legal retention periods and then automatically deleted.

3. Availability and Resilience

Use of geo-redundant systems (e.g. in availability zones via AWS, Hetzner).
Data centers are fully operated by external service providers. Information on physical safety (e.g. fire protection, temperature control, UPS) is based on publicly available details from the providers (e.g. Hetzner, AWS). dehype.ai has no direct influence over the physical infrastructure but relies on the certified security standards of the providers (e.g. ISO 27001).
Automated, encrypted backups at regular intervals.
IT continuity contingency plan in place.

4. Procedures for Regular Review, Assessment and Evaluation

Employees are contractually bound to confidentiality.
No external or internal data protection officer is currently appointed. Responsibility for data protection is assumed internally by the company management.
Data minimisation is ensured through process design.
Subprocessors are selected based on data protection and security criteria.
DPAs (Data Processing Agreements) are concluded with all relevant service providers.

These TOMs are reviewed regularly and adjusted as necessary to reflect new technical or legal requirements.

As of: August 2025

Technische und Organisatorische Maßnahmen (TOMs)

Technische und Organisatorische Maßnahmen (TOMs) von scalepost.io gem. Art. 32 DSGVO

Präambel

Die Backup Archive Solutions GmbH ("scalepost.io") trifft folgende technische und organisatorische Maßnahmen zur Sicherstellung der Datensicherheit gemäß Artikel 32 DSGVO.

1. Vertraulichkeit

Zutrittskontrolle

Rechenzentren (Hetzner, AWS Frankfurt): Die Rechenzentren werden ausschließlich durch externe Dienstleister bereitgestellt und betrieben. Ein physischer Zutritt durch dehype.ai oder deren Mitarbeiter erfolgt nicht. Die Zugangssicherheit und Zutrittskontrolle unterliegt den zertifizierten Maßnahmen der jeweiligen Betreiber (z. B. ISO 27001).
Firmensitz: Zugang nur für Beschäftigte mit Schlüssel; Besucherzugang nur begleitet. Ausgabe dokumentiert.

Zugangskontrolle

Zugriffsrechte werden nach dem „Least Privilege“-Prinzip vergeben.
Passwortvorgaben (min. 20 Zeichen, Wechsel alle 90 Tage, technische Durchsetzung).
Einsatz eines Passwort-Managers.
Zugänge nur über VPN; starke Verschlüsselung aller Systeme (inkl. Notebooks, Datenträger).
Einsatz von Firewalls, Intrusion Detection/Threat Detection Systemen.
Schulung zur Bildschirmsperre bei Verlassen des Arbeitsplatzes.

Zugriffskontrolle

Differenzierte Rollenvergabe; nur berechtigte Mitarbeiter erhalten Zugriff.
Zugriffsprotokollierung auf lokale und Cloud-Systeme.
Nicht mehr benötigte Daten werden in regelmäßigem Turnus automatisiert gelöscht. Sicherungskopien (Backups) werden nur für eine definierte Dauer aufbewahrt und anschließend im Rolling-Verfahren überschrieben oder gelöscht. Nicht mehr benötigte physische Datenträger, sofern vorhanden, werden durch sicher vernichtet.

Trennung

Daten von Kunden systemisch und logisch getrennt (z.B. Mandantentrennung, Tagging).
Es wird ausschließlich eine abgesicherte Produktivumgebung betrieben. Entwicklungs- und Testprozesse erfolgen in strikt kontrollierten, temporären Instanzen innerhalb dieser Umgebung ohne Zugriff auf produktive Kundendaten.

Pseudonymisierung und Verschlüsselung

Alle Datenübertragungen via HTTPS/SSL/TLS.
Speicherung und Backups erfolgen verschlüsselt.
Unsere Systeme sind so konfiguriert, dass möglichst keine IP-Adressen gespeichert werden. Wo dies technisch erforderlich ist, erfolgt eine Speicherung nur für sehr kurze Zeiträume, wonach die Daten im Rolling-Verfahren automatisch gelöscht oder überschrieben werden.

2. Integrität

Eingabekontrolle

Steuerung durch Benutzerrollen.
Keine Einzelaktionsprotokollierung auf Feldebene.

Weitergabekontrolle

Keine physische Datenweitergabe – ausschließlich digitale Übertragung via HTTPS/TLS.
Nach Beendigung des Vertrags: Löschung aller vertraglich nicht weiter aufzubewahrenden Daten und Accounts auf Wunsch mit Bestätigung. Daten, die gesetzlich (z.B. handels- oder steuerrechtlich) aufzubewahren sind, werden entsprechend den gesetzlichen Fristen gespeichert und anschließend automatisiert gelöscht.

3. Verfügbarkeit und Belastbarkeit

Einsatz georedundanter Systeme (z.B. in Verfügbarkeitszonen durch AWS, Hetzner).
Die Rechenzentren werden vollständig durch externe Dienstleister betrieben. Informationen zur physischen Sicherheit (z.B. Brandschutz, Temperaturkontrolle, USV) stammen aus öffentlich verfügbaren Angaben der Dienstleister (z.B. Hetzner, AWS). dehype.ai hat keinen direkten Einfluss auf die physische Infrastruktur, sondern verlässt sich auf die zertifizierten Sicherheitsstandards der Anbieter (z.B. ISO 27001).
Automatisierte, verschlüsselte Backups in regelmäßigen Intervallen.
Notfallplan zur IT-Kontinuität vorhanden.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Beschäftigte werden vertraglich zur Vertraulichkeit verpflichtet.
Ein externer oder interner Datenschutzbeauftragter ist aktuell nicht benannt. Die Datenschutzverantwortung wird intern durch die Geschäftsführung wahrgenommen.
Datenminimierung wird durch Prozessdesign gewährleistet.
Auswahl von Subunternehmern nach datenschutzrechtlichen und sicherheitstechnischen Kriterien.
Abschluss von AVVs mit allen relevanten Dienstleistern.

Diese TOMs werden regelmäßig überprüft und bei Bedarf an neue technische oder gesetzliche Anforderungen angepasst.

Stand: August 2025