IT Contingency Plan

This is an unofficial translation.

The original legal text is written in German to meet legal rules in Germany and the EU. This English version was translated with the help of AI for convenience and is not legally binding. If there are differences between the two, the German version below is the official one.

IT Contingency Plan pursuant to Art. 32 (1)(c) GDPR

1. Purpose and Scope

This contingency plan outlines the organisational and technical measures taken by Echosig (Backup Archive Solutions GmbH)("Echosig") to maintain the availability, integrity, and confidentiality of personal data in the event of a technical or physical incident.

It applies to all IT systems, processes, and subcontractors through which Echosig processes personal data in the context of its SaaS platform.

2. Potential Emergency Scenarios

Outage of cloud services (e.g. Hetzner, etc.)
Inaccessibility of external APIs (e.g. Lettermint, etc.)
Data loss or integrity issues
System attacks (e.g. malware, ransomware)
Misconfiguration or accidental deletion
Hardware failure (e.g. local devices)

3. Emergency Measures

Automated Backups: All relevant databases are regularly backed up in encrypted form. Backups are retained using a rolling process and are available for restoration in case of emergency.
Cloud Redundancy: Use of geo-redundant cloud infrastructure via Hetzner.
Monitoring: Internal checks for detecting unavailability or errors with alerts sent to technical staff.
Access Management: Emergency access is restricted to selected personnel with two-factor authentication (2FA) and role-based verification.
Notification to Authorities: In case of a data protection breach, the incident is reviewed by the management and reported under Art. 33 GDPR, if required.

4. Responsibilities

IT-Operations & Recovery: Management (David Klein)
Customer Communication: via hello@Echosig or dedicated status page
Decision on External Escalation: Management

5. Recovery and Communication

Recovery is carried out within the contractually guaranteed availability windows using backup or fallback systems, if necessary.
Customers are notified if an incident has significant impact on the availability, integrity, or confidentiality of their data.

6. Testing and Maintenance of the Plan

This contingency plan is reviewed annually for currency and adjusted as needed in response to changes in system architecture.
Backup restoration is tested regularly.

Echosig operates exclusively in a cloud-based production environment. Physical control over server infrastructure lies entirely with certified subcontractors (e.g. Hetzner, etc.).

As of: March 2026

IT-Notfallplan gem. Art. 32 Abs. 1 lit. c DSGVO

1. Ziel und Anwendungsbereich

Dieser Notfallplan beschreibt die organisatorischen und technischen Maßnahmen der Echosig (Backup Archive Solutions GmbH) ("Echosig") zur Aufrechterhaltung der Verfügbarkeit, Integrität und Vertraulichkeit personenbezogener Daten im Falle eines technischen oder physischen Zwischenfalls.

Er gilt für alle IT-Systeme, Prozesse und Subdienstleister, über die Echosig personenbezogene Daten im Rahmen ihrer SaaS-Plattform verarbeitet.

2. Mögliche Notfallszenarien

Ausfall von Cloud-Diensten (z.B. Hetzner, etc.)
Nichterreichbarkeit externer APIs (z.B. Lettermint, etc.)
Datenverlust oder Integritätsfehler
Angriff auf Systeme (z.B. Malware, Ransomware)
Fehlkonfiguration, versehentliche Löschung
Hardwareausfall (z.B. lokale Geräte)

3. Notfallmaßnahmen

Automatisierte Backups: Alle relevanten Datenbanken werden regelmäßig verschlüsselt gesichert. Backups werden im Rolling-Verfahren aufbewahrt und stehen im Ernstfall für Wiederherstellung zur Verfügung.
Cloud-Redundanz: Nutzung georedundanter Cloud-Infrastruktur bei Hetzner.
Monitoring: Interne Checks zur Erkennung von Nichtverfügbarkeit oder Fehlern mit Benachrichtigung an technische Verantwortliche.
Zugriffsmanagement: Notfallzugänge nur für ausgewählte Personen mit 2FA und Rollenprüfung.
Meldung an Behörden: Bei Datenschutzverletzungen erfolgt eine Prüfung durch die Geschäftsführung und ggf. Meldung gemäß Art. 33 DSGVO.

4. Verantwortlichkeiten

IT-Operations & Wiederherstellung: Geschäftsführung (David Klein)
Kundenkommunikation: über hello@Echosig oder dedizierte Statusseite
Entscheidung über externe Eskalation: Geschäftsführung

5. Wiederanlauf und Kommunikation

Wiederanlauf erfolgt innerhalb der jeweils vertraglich zugesicherten Verfügbarkeitsfenster durch Nutzung von Backup- oder Ausweichsystemen (sofern notwendig).
Kunden werden informiert, wenn ein Vorfall signifikante Auswirkungen auf Verfügbarkeit, Integrität oder Vertraulichkeit ihrer Daten hat.

6. Test und Pflege des Plans

Dieser Notfallplan wird jährlich auf Aktualität geprüft und bei Änderungen der Systemarchitektur angepasst.
Die Backup-Wiederherstellung wird regelmäßig getestet.

Echosig betreibt ausschließlich eine Cloud-basierte Produktivumgebung. Die physische Kontrolle der Serverumgebung liegt vollständig bei den zertifizierten Subdienstleistern (z.B. Hetzner, etc.).

Stand: März 2026