🌍 Server-Infrastruktur

Webserver (Shop-System):

• Standort: Nicht-EU-Ausland
• Außerhalb deutscher und europäischer Jurisdiktion
• Keine Datenspeicherung nach Bestellabschluss
• Alle Kundendaten werden sofort pseudonymisiert

E-Mail-Server (Buchhaltungsarchiv):

• Vollständig dezentralisiert vom Webserver
• Technisch und physisch getrennt
• Anderer Anbieter, andere Infrastruktur
• Nur für Rechnungs-PDFs (gesetzliche 10-Jahres-Aufbewahrung)
• Verschlüsselter Zugriff via dedizierter E-Mail-Adresse
• Keine Verbindung zum Shop-System

Warum diese Trennung?

• Bei Beschlagnahme des Webservers: Keine Kundendaten vorhanden
• Maximale Sicherheit durch physische Trennung

🔐 Verschlüsselung

Standard: AES-256-GCM

• Gleicher Standard wie Online-Banking
• 256-Bit Schlüssellänge
• GCM-Modus (Galois/Counter Mode) mit Authentifizierung
• Verhindert Manipulation der verschlüsselten Daten

Wo wird verschlüsselt?

• Rechnungs-PDFs auf dem E-Mail-Server
• Dateilöschung: Überschreiben mit verschlüsselten Zufallsdaten

🔄 Automatisierte Pseudonymisierung

Wann genau passiert es?

• Trigger: Bestellstatus wird auf "Abgeschlossen" gesetzt
• Zeitpunkt: Wenn Paket versendet ist oder kurz vor Versand steht
• Automatisch: Kein manueller Eingriff nötig
• Irreversibel: Originaldaten sind danach unwiederbringlich weg

Technische Methode: HMAC-SHA256

• Hash-basierte Nachrichtenauthentifizierung
• Mit Server-spezifischem Salt (SECURE_AUTH_SALT)
• 256-Bit Hash-Ausgabe

Was wird pseudonymisiert?

• Name: "Max Mustermann" → "Kunde K-A7F9B2C5"
• E-Mail: "max@example.com" → "kunde-a7f9b2c5@pseudonymisiert.local"
• Straße: "Hauptstraße 42" → "Straße S-X3Y8Z4K9"
• Stadt: "Berlin" → "Stadt-O-B4C8D3F7"
• PLZ: "12345" → "12XXX"

Was bleibt erhalten?

• Bestellnummer
• Produktdetails
• Preise
• Bestelldatum

🗑️ Sichere Dateilöschung

Was wird gelöscht?

• Rechnungs-PDF vom Webserver
• Versandlabel-PDF
• Alle Order-Attachments

3-Schritt-Löschmethode:

1. Überschreiben:
   • Generiere Zufallsdaten (random_bytes)
   • Verschlüssle diese mit AES-256-GCM
   • Überschreibe Originaldatei mit verschlüsselten Daten
   • Vorteil: Selbst bei teilweiser Wiederherstellung nur Datenmüll
2. Sync-Befehl:
   • Erzwingt Schreiben der Daten auf physische Festplatte
   • Verhindert, dass Daten nur im Cache bleiben
   • Befehl: exec('sync')
3. Löschen:
   • unlink() - Entfernt Datei aus Dateisystem
   • Bei SSDs: Triggert TRIM-Befehl
   • Dateisystem markiert Speicherplatz als frei

📦 Tracking-Daten (40-Tage-Regel)

Warum 40 Tage?

• Gesetzliche Widerrufsfrist: 14 Tage
• Typische Reklamationsfrist: ~30 Tage
• Puffer für verspätete Zustellungen oder Problemfälle
• Nach 40 Tagen: Keine Support-Anfragen mehr zu erwarten

Was wird gespeichert? (Tag 1-40)

• Vollständige Tracking-Nummer (z.B. "JJD000123456789DE")
• Vollständige PLZ (z.B. "12345")
• Verknüpft mit: Bestellnummer und Artikel

Automatische Pseudonymisierung (ab Tag 41):

• Tracking-Nummer: HMAC-SHA256 Hash
  • Eingabe: "JJD000123456789DE"
  • Ausgabe: "TRACK-A7F9B2C5"
  • Prefix "TRACK-" zur Erkennbarkeit
  • 8 Zeichen Hash
• PLZ: Kürzung auf Vorwahl
  • Eingabe: "12345"
  • Ausgabe: "12XXX"
  • Erste 2 Ziffern bleiben (für regionale Statistiken)
  • Rest wird mit "XXX" ersetzt
• Originaldaten werden unwiederbringlich gelöscht

Cronjob:

• Läuft täglich um 04:00 Uhr
• Prüft alle Bestellungen älter als 40 Tage
• Pseudonymisiert Tracking-Daten automatisch

📧 Buchhaltungs-Archiv (10 Jahre)

Gesetzliche Grundlage:

• § 147 AO (Abgabenordnung): 10 Jahre Aufbewahrungspflicht
• Betrifft: Rechnungen
• Keine Ausnahme möglich

Was wird archiviert?

• Rechnungs-PDF im Original (enthält: Name, Adresse, Bestelldetails, Betrag)
• Wird NICHT pseudonymisiert

Speicherort: Dezentraler E-Mail-Server

• Dedizierte E-Mail-Adresse nur für Buchhaltung
• Automatischer Versand nach Rechnungserstellung
• Rechnungen werden im Original gespeichert (nicht pseudonymisiert)
• Nicht auf dem Webserver gespeichert
• Anderer Anbieter als Webhosting

🚫 Keine Kundenkonten

Was wurde deaktiviert?

• WooCommerce Konto-Registrierung komplett ausgeschaltet
• "Konto erstellen" Option beim Checkout entfernt
• "Mein Konto" Seite deaktiviert
• Login-Funktion für Kunden nicht verfügbar

Nur Gast-Checkout:

• Bei jeder Bestellung: Daten neu eingeben
• Keine gespeicherten Adressen
• Keine Bestellhistorie im Frontend
• Kein "Passwort vergessen"

Warum?

• Kundenkonten = dauerhafte Datenspeicherung
• Widerspricht dem Pseudonymisierungskonzept
• Jedes aktive Konto wäre ein Datenschutzrisiko
• Bei Server-Beschlagnahme: Login-Daten zugänglich

Admin-Zugang bleibt:

• WordPress Admin-Login weiterhin möglich
• Nur für Betreiber/Mitarbeiter
• Separate Credentials
• Nicht für Endkunden zugänglich