Technische- und organisatorische Maßnahmen (TOM)

Diese Übersicht enthält die technischen und organisatorischen Maßnahmen gemäß Art. 32 DS-GVO, die zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus implementiert wurden. Die TOMs sind integraler Bestandteil der Vereinbarung zur Auftragsverarbeitung und werden in Verbindung mit den eingesetzten Unterauftragsverarbeitern umgesetzt.

Kontrollziel Vertraulichkeit

Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, \mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

• Technisch: Die physische Sicherheit der Server-Infrastruktur wird durch den Betrieb in hochsicheren Rechenzentren unserer Cloud-Provider (siehe Liste der Unterauftragsverarbeiter) gewährleistet. Die Angemessenheit der dortigen Maßnahmen wird mittels anerkannter Zertifizierungen (z.B. ISO/IEC 27001, SOC 2) verifiziert. (TOM-019)

Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.

• Organisatorisch: Der Zugang zu allen Unternehmenssystemen erfordert eine sichere Authentifizierung. Wo eine passwortbasierte Anmeldung erfolgt, wird diese durch eine Richtlinie für Passwortkomplexität geregelt. Grundsätzlich wird der Zugang jedoch durch die verpflichtende Nutzung von Multi-Faktor-Authentifizierung (MFA, siehe TOM-031) und Single-Sign-on (SSO, siehe TOM-032) abgesichert. (TOM-027)
• Technisch: Zum Schutz vor Datenzugriff bei Verlust oder Diebstahl sind die Datenträger aller vom Unternehmen bereitgestellten Endgeräte (Laptops, Mobiltelefone) mittels moderner, systemnativer Verschlüsselungstechnologien (z.B. BitLocker, FileVault, LUKS) vollständig verschlüsselt (Data-at-Rest). (TOM-028)
• Technisch: Sämtliche persistente Speichermedien der Cloud-Infrastruktur (VM-Festplatten, Datenbank-Storage, Objektspeicher, Backups) werden mittels cloud-nativer Verschlüsselungsdienste im Ruhezustand verschlüsselt (Encryption-at-Rest mit AES-256 oder höher). Die Schlüsselverwaltung erfolgt über die jeweiligen Key Management Services der Cloud Service Provider. (TOM-029)
• Technisch: Der Zugang zu allen unternehmenskritischen Systemen wird durch eine verpflichtende Multi-Faktor-Authentifizierung (MFA) abgesichert. Dies umfasst insbesondere den administrativen Zugriff auf die Cloud-Infrastruktur, interne Kollaborationstools (z.B. Google Workspace) sowie alle administrativen Konten innerhalb der SaaS-Anwendung. (TOM-031)
• Technisch: Mitarbeiter authentifizieren sich an allen IT-Systemen über ein zentrales Single-Sign-On (SSO)-Verfahren, sofern die Systeme SSO unterstützen. Als Identity Provider dient ein zentrales System (z.B. Google Workspace) mit verpflichtender Multi-Faktor-Authentifizierung gemäß TOM-031. Systeme ohne SSO-Unterstützung werden gemäß TOM-027 abgesichert. (TOM-032)

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

• Technisch: Die datenschutzkonforme Vernichtung von Dokumenten mit personenbezogenen Daten erfolgt mittels Aktenvernichter der Sicherheitsstufe P4 oder höher (DIN 66399). Dies stellt sicher, dass vernichtete Dokumente nicht rekonstruierbar sind. (TOM-033)
• Organisatorisch: Die Anzahl der Konten mit administrativen Berechtigungen für die Produktiv-Infrastruktur und kritische Systeme wird nach dem Need-to-Know-Prinzip auf das absolute betriebsnotwendige Minimum beschränkt. (TOM-034)
• Organisatorisch: Es ist ein dokumentierter Prozess für die Verwaltung von Benutzerberechtigungen implementiert. Dieser regelt die Beantragung, Genehmigung, Einrichtung und den Entzug von Zugriffsrechten. (TOM-035)
• Organisatorisch: Die vergebenen Zugriffsrechte, insbesondere jene mit erhöhten Privilegien, werden mindestens halbjährlich auf ihre fortdauernde Notwendigkeit hin überprüft (Access Review). (TOM-036)
• Technisch: Es ist ein Rollen- und Berechtigungskonzept implementiert, das dem Prinzip der minimalen Rechtevergabe (Principle of Least Privilege) folgt. Benutzer und Systeme erhalten nur jene Berechtigungen, die für die Erfüllung ihrer jeweiligen Aufgaben zwingend erforderlich sind. Dies wird sowohl auf Ebene der Cloud-Infrastruktur (z.B. mittels Google Cloud IAM) als auch innerhalb der SaaS-Anwendung durchgesetzt. (TOM-037)

Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

• Organisatorisch: Der Zugriff auf Datenbankebene wird durch ein restriktives Berechtigungskonzept gesteuert. Anwendungsspezifische Service-Accounts erhalten nur die minimal erforderlichen Rechte (z.B. Lese-/Schreibrechte auf bestimmte Tabellen oder Datenbanken), die für ihre Funktion notwendig sind. (TOM-023)
• Technisch: Die Anwendungs- und Datenarchitektur gewährleistet eine strikte logische Trennung der Kundendaten (Mandantentrennung). Es ist technisch sichergestellt, dass ein authentifizierter Benutzer ausschließlich auf die Daten des eigenen Mandanten zugreifen kann. (TOM-024)
• Technisch: Das Unternehmen betreibt physisch und/oder logisch strikt voneinander getrennte Systemumgebungen für Entwicklung, Test und Produktion. Es ist sichergestellt, dass in Entwicklungs- und Testumgebungen keine produktiven personenbezogenen Daten verarbeitet werden. (TOM-026)

Pseudonymisierung

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technichen und organisatorischen Maßnahmen unterliegen

• Organisatorisch: Wo immer möglich und zweckmäßig, werden personenbezogene Daten pseudonymisiert oder anonymisiert. (TOM-022)

Kontrollziel Integrität

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

• Technisch: Die Vertraulichkeit und Integrität von Daten während der Übertragung (Data-in-Transit) wird durch eine ausschließliche Verwendung von starken Verschlüsselungsprotokollen sichergestellt. Die Kommunikation mit der SaaS-Anwendung und zwischen internen Systemkomponenten wird mittels TLS 1.2 oder höher (z.B. über HTTPS) abgesichert. (TOM-002)
• Organisatorisch: Umgang mit E-Mails - Mitarbeiter sind angewiesen, sensible Kundendaten oder Passwörter niemals unverschlüsselt per E-Mail zu versenden. Hierfür werden dedizierte, sichere Kanäle genutzt. (TOM-003)

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

• Technisch: Das Unternehmen stellt durch Protokollierungsmechanismen (Audit-Trails) sicher, dass kritische Aktionen von Benutzern mit administrativen Rechten (z.B. Anlegen, Ändern, Löschen von Kundendaten oder Konfigurationen) nachvollziehbar aufgezeichnet werden. (TOM-001)
• Technisch: Änderungen am Quellcode der SaaS-Anwendung werden über ein Versionierungssystem (z.B. Git) verwaltet. Änderungen werden über Pull Requests mit Code-Review umgesetzt, um die Stabilität des Haupt-Branches zu gewährleisten. (TOM-038)
• Technisch: Produktive Deployments erfolgen ausschließlich aus einem geschützten Haupt-Branch über automatisierte CI/CD-Pipelines. Dies stellt sicher, dass nur geprüfter und freigegebener Code in die Produktivumgebung gelangt. (TOM-049)

Kontrollziel Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

• Technisch: Backup-Konzept - Es werden regelmäßige, automatisierte Backups aller relevanten Kundendaten und Systemkonfigurationen erstellt. Die Backups werden verschlüsselt und geografisch getrennt vom Produktivsystem aufbewahrt. (TOM-018)
• Organisatorisch: Es ist ein Notfallplan (Disaster Recovery Plan) implementiert, der die Verfahren zur Wiederherstellung des Betriebs der SaaS-Anwendung nach einem schwerwiegenden Ausfall beschreibt. (TOM-020)
• Technisch: Zur Gewährleistung einer hohen Verfügbarkeit wird die Produktiv-Infrastruktur der SaaS-Anwendung redundant über mehrere, physisch getrennte Verfügbarkeitszonen (Availability Zones) innerhalb einer Cloud-Region betrieben. (TOM-021)

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Datenschutz-Maßnahmen

• Organisatorisch: Das Unternehmen stellt durch die Bereitstellung einer umfassenden und leicht zugänglichen Datenschutzerklärung sicher, dass die Informationspflichten gemäß Art. 13 und 14 DSGVO vollumfänglich erfüllt werden. (TOM-006)
• Organisatorisch: Der Mitarbeiter ist bei Aufnahme seiner Tätigkeit schriftlich zur Wahrung der Vertraulichkeit und des Datengeheimnisses gemäß Art. 28 Abs. 3 lit. b DSGVO verpflichtet worden. Diese Verpflichtung besteht auch nach Beendigung der Tätigkeit fort. (TOM-007)
• Organisatorisch: Der Mitarbeiter wird mindestens einmal jährlich sowie anlassbezogen (z.B. bei neuen Bedrohungslagen oder wesentlichen Prozessänderungen) in den Bereichen Datenschutz und Informationssicherheit geschult. (TOM-008)
• Organisatorisch: Alle relevanten Richtlinien und Verfahrensanweisungen zum Datenschutz und zur Informationssicherheit werden zentral dokumentiert und dem Mitarbeiter in der jeweils aktuellen Fassung zugänglich gemacht. (TOM-009)

Incident-Response-Management

• Organisatorisch: Das Unternehmen stellt sicher, dass alle erkannten Sicherheitsvorfälle und vermuteten Datenpannen lückenlos in einem dedizierten Ticketsystem dokumentiert werden. Jeder Vorfall wird mit einer eindeutigen ID, Zeitstempeln, einer Beschreibung des Vorfalls, den ergriffenen Maßnahmen und dem Ergebnis der Untersuchung erfasst. (TOM-012)
• Organisatorisch: Es existiert ein dokumentierter Incident-Response-Plan (IRP), der die Prozesse zur Erkennung, Analyse, Eindämmung, Beseitigung und Nachbereitung von Sicherheitsvorfällen festlegt. (TOM-013)

• Organisatorisch: Der Incident-Response-Plan beinhaltet einen klar definierten Prozess zur Bewertung von Vorfällen im Hinblick auf eine mögliche Meldepflicht an die Aufsichtsbehörde (gemäß Art. 33 DSGVO) und eine Benachrichtigungspflicht gegenüber Betroffenen (gemäß Art. 34 DSGVO). (TOM-014)

• Technisch: Die Cloud-Infrastruktur wird durch den Einsatz von Netzwerk-Firewalls (Security Groups / VPC Firewalls) geschützt. Die Firewall-Regeln folgen dem Prinzip der minimalen Rechtevergabe ("Default Deny") und werden regelmäßig auf ihre Notwendigkeit und Korrektheit überprüft. (TOM-015)
• Technisch: Zum Schutz vor Malware und Phishing-Angriffen wird für die E-Mail-Kommunikation ein professioneller E-Mail-Dienstleister eingesetzt, der über aktuelle und automatisch aktualisierte Spam- und Virenfilter verfügt. (TOM-016)
• Technisch: Auf allen Firmen-Endgeräten (Laptops) ist eine moderne Endpoint-Protection-Software (Virenscanner) mit Echtzeitschutz installiert. Die Software und deren Virensignaturen werden automatisch aktualisiert. (TOM-017)
• Technisch: Das Unternehmen aktiviert erweiterten Phishing- und Malware-Schutz in Google Workspace um eingehende E-Mails vor Phishing und schädlicher Software zu schützen durch Erkennung verdächtiger Anhänge/Skripts, schädlicher Links hinter Kurz-URLs, Scannen verknüpfter Bilder und Schutz vor E-Mail-Spoofing mit konfigurierten Aktionen (Spamordner/Warnung). (TOM-017a)

Datenschutzfreundliche Voreinstellungen

• Technisch: Das System ermöglicht Kunden die eigenständige Wahrnehmung ihrer Pflichten als Verantwortliche gegenüber betroffenen Personen. Über Self-Service-Funktionen können Benutzerkonten angelegt, bearbeitet und gelöscht werden (Recht auf Berichtigung und Löschung). Datenexporte sind sowohl über Schnittstellen als auch durch direkte Ausgabe möglich (Recht auf Datenübertragbarkeit und Auskunft). Damit unterstützt das System die fristgerechte Erfüllung von Betroffenenanfragen gemäß Art. 15-20 DSGVO. (TOM-010)
• Technisch: Das Unternehmen folgt dem Grundsatz der Datenminimierung gemäß Art. 5 DSGVO. Die SaaS-Anwendung ist so konzipiert, dass nur die für den jeweiligen Zweck notwendigen personenbezogenen Daten erhoben und verarbeitet werden. Dies betrifft sowohl die Nutzerregistrierung (nur notwendige Stammdaten) als auch die Verarbeitung im laufenden Betrieb. Unnötige Datenfelder werden vermieden und Löschfristen sind implementiert. (TOM-011)

Auftragskontrolle (Outsourcing an Dritte)

• Organisatorisch: Das Unternehmen stellt die Einhaltung der Weisungen des Auftraggebers (Kunden) sicher, indem vor Beginn der Verarbeitung ein rechtsgültiger Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen wird. Diese TOMs sind ein verbindlicher Bestandteil dieses Vertrags. (TOM-004)
• Organisatorisch: Alle eingesetzten Unterauftragsverarbeiter werden einem sorgfältigen Auswahl- und Prüfprozess unterzogen. Mit jedem Unterauftragsverarbeiter wird ein AVV gemäß Art. 28 Abs. 4 DSGVO geschlossen, der diesem mindestens die gleichen Datenschutzpflichten auferlegt, die auch für das Unternehmen selbst gelten. (TOM-005)