Technische und organisatorische Maßnahmen (TOM)
Übersicht über die implementierten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO. Diese Maßnahmen gewährleisten ein angemessenes Schutzniveau entsprechend dem Risiko der Verarbeitung. Die hier dargestellten TOM betreffen die Betriebsstätten, sonstigen Räumlichkeiten und die eigenen Betriebsmitteln des Auftragsverarbeiters. Sofern Verarbeitungstätigkeiten in den Betriebsstätten, sonstigen Räumlichkeiten oder Betriebsmitteln eines Unterauftragsverarbeiters stattfinden, übernimmt der Auftragsverarbeiter die dort umgesetzten TOM als seine eigenen.
Zutrittskontrolle
Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren
Implementierte Maßnahmen:
- Physische Sicherung der Serverräume und Rechenzentren
- Biometrische Zugangskontrollen und Chipkarten-Systeme
- 24/7 Überwachung durch Sicherheitspersonal
- Besuchermanagement und Begleitpflicht
- Videoüberwachung kritischer Bereiche
Zugangskontrolle
Unbefugten die Nutzung von Datenverarbeitungssystemen zu verwehren
Implementierte Maßnahmen:
- Multi-Faktor-Authentifizierung für alle Systeme
- Rollenbasierte Zugriffskontrolle (RBAC)
- Regelmäßige Überprüfung und Aktualisierung von Benutzerrechten
- Automatische Sperrung inaktiver Accounts
- Single Sign-On (SSO) mit zentraler Benutzerverwaltung
Zugriffskontrolle
Gewährleistung, dass nur autorisierte Personen auf relevante Daten zugreifen können
Implementierte Maßnahmen:
- Granulare Berechtigungskonzepte auf Datenebene
- Prinzip der minimalen Berechtigung (Least Privilege)
- Regelmäßige Access Reviews und Rezertifizierung
- Automatisierte Rechtevergabe basierend auf Rollen
- Logging und Monitoring aller Zugriffe
Weitergabekontrolle
Gewährleistung, dass personenbezogene Daten bei der Übertragung nicht unbefugt gelesen werden
Implementierte Maßnahmen:
- Ende-zu-Ende-Verschlüsselung aller Datenübertragungen
- TLS 1.3 für alle Webverbindungen
- VPN-Verbindungen für Remote-Zugriffe
- Sichere API-Kommunikation mit OAuth 2.0
- Regelmäßige Überprüfung der Verschlüsselungsstandards
Eingabekontrolle
Nachvollziehbarkeit, wer wann welche Daten eingegeben, verändert oder entfernt hat
Implementierte Maßnahmen:
- Umfassende Audit-Logs für alle Datenoperationen
- Versionierung und Change-Tracking
- Digitale Signaturen für kritische Änderungen
- Automatisierte Benachrichtigungen bei Datenänderungen
- Regelmäßige Log-Analyse und Anomalie-Erkennung
Auftragskontrolle
Gewährleistung, dass Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden
Implementierte Maßnahmen:
- Klare Verarbeitungsrichtlinien und SOPs
- Regelmäßige Schulungen der Mitarbeiter
- Technische Durchsetzung von Verarbeitungsregeln
- Monitoring und Alerting bei Regelabweichungen
- Dokumentation aller Verarbeitungsaktivitäten
Verfügbarkeitskontrolle
Gewährleistung, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind
Implementierte Maßnahmen:
- Redundante Backup-Systeme mit geografischer Verteilung
- Disaster Recovery Pläne mit definierten RTOs/RPOs
- Hochverfügbare Systemarchitektur mit Failover
- Regelmäßige Backup-Tests und Restore-Übungen
- 24/7 Monitoring und Incident Response
Trennungskontrolle
Gewährleistung, dass Daten verschiedener Auftraggeber getrennt verarbeitet werden
Implementierte Maßnahmen:
- Mandantenfähige Systemarchitektur
- Logische und physische Datentrennung
- Separate Verarbeitungsumgebungen pro Kunde
- Verschlüsselung mit kundenspezifischen Schlüsseln
- Regelmäßige Überprüfung der Trennungsmaßnahmen