TOM-Datenblatt

1. Hosting & physische Sicherheit

Server-Standort

Hetzner Online GmbH, Deutschland — Bare-Metal-Server. Keine Cloud-Provider außerhalb der EU für produktive Visitor-Daten.

Rechenzentrums-Sicherheit

Physische Zutrittskontrolle durch den Betreiber Hetzner (Hetzner-Rechenzentren sind ISO-27001-zertifiziert — Zertifizierung des Betreibers, nicht von Figgle).

AVV mit Hetzner

Standard-AVV abgeschlossen.

2. Verschlüsselung

Transport

TLS 1.3 für alle externen Verbindungen; HSTS aktiv (Preload-Listung in Vorbereitung).

Backups (at-rest)

restic-Repository AES-256, Off-Site-Kopie Hetzner-S3 (server-side encryption).

Live-Datenbank-Volumes

Keine zusätzliche Volume-Verschlüsselung behauptet — Schutz über Zugriffskontrolle und physische Sicherheit. Ehrliche Lücke, Bewertung im Anwalts-Review.

3. Zugriffskontrolle & Mandantentrennung

Multi-Tenant-Isolation

Postgres Row-Level-Security (RLS) auf Mandanten-Tabellen; FORCE RLS auf sensiblen Tabellen.

DB-Konten

Dediziertes Application-Konto ohne Superuser-Rechte.

Server-Zugang

SSH key-only, fail2ban, unattended-upgrades, auditd.

Dashboard-Login

Magic-Link + optional 2FA-TOTP mit Backup-Codes (argon2id-gehasht) + WebAuthn/Passkeys.

Redis-Härtung

AUTH-Passwort + ACL ohne Scripting (CVE-Mitigation).

4. Datenminimierung & Speicherbegrenzung

Keine Voll-IP-Speicherung

IP wird nur zur Land-Ableitung (2-Letter-ISO) genutzt und nicht in Events persistiert.

Erfasste Dimensionen

Anonyme Visitor-ID, Session-ID, Test-/Variant-Zuweisung, URL, Trigger, Geräte-Klasse, Viewport-Bucket, Referrer-Kategorie, Land, Stunde/Wochentag — keine Klarnamen, keine Visitor-E-Mail-Adressen.

Roh-Event-Retention

Roh-Events 30 Tage (TTL), danach nur Aggregate.

k-Anonymität

Aggregat-Auswertungen mit Mindest-Floors gegen Re-Identifikation.

Keine Cookies

Variantenstabilität über localStorage, kein Tracking-Cookie, kein Cross-Site-Tracking.

Server-only-Bucketing (Opt-in)

Pro Site wählbarer Modus ganz ohne Endgeräte-Zugriff: Hash über IP-Präfix + User-Agent + Accept-Language + täglich rotierenden Salt; IP wird nie persistiert.

5. Verfügbarkeit & Wiederherstellbarkeit

Backups

restic täglich (Postgres, ClickHouse, Redis-Snapshot), 30 Tage lokal + Off-Site Hetzner-S3.

Restore-Tests

Wöchentlich rotierende Verify-Läufe.

Monitoring

Ressourcen-Monitoring, Disk-Alerts, Backup-Heartbeat-Pings.

6. Integrität, Nachvollziehbarkeit & Prozess

Audit-Log

Append-only-WORM-Trail (UPDATE/DELETE per Trigger blockiert), Retention-Klassen 90 Tage bis 10 Jahre (GoBD für Billing).

Rate-Limits

Atomare Rate-Limits auf öffentlichen Endpoints.

Schwachstellen-Management

Versions-Pins für CVE-relevante Komponenten, tägliche/wöchentliche Dependency-Audits.

Visitor-Betroffenenrechte

Self-Service-Endpoints Art. 15/17/20 (Auskunft, Löschung, Datenübertragbarkeit).

7. Was wir NICHT behaupten

• Keine ISO-27001-/SOC2-Zertifizierung von Figgle — die ISO-Zertifizierung betrifft die Hetzner-Rechenzentren, nicht den Figgle-Dienst.
• Kein "DSGVO-zertifiziert" — ein solches Standard-Zertifikat existiert nicht; wir dokumentieren stattdessen Maßnahmen mit Quellen.
• Kein abgeschlossener externer Pen-Test (Stand 11.06.2026) — in Beauftragung.
• Keine Volume-Verschlüsselung der Live-Datenbanken (nur Backups, siehe §2).
• Die rechtliche Einordnung des localStorage-Werts (TDDDG § 25) ist anwaltlich nicht abgeschlossen.