Technische und organisatorische Maßnahmen (TOM)

Anlage zum Auftragsverarbeitungsvertrag gemäß Art. 32 DSGVO. Stand: 29.06.2026.

1. Vertraulichkeit

1.1 Zutrittskontrolle (Hardware)

• Server-Hardware in zertifiziertem Rechenzentrum von Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland (ISO 27001).
• Zutritt zum Rechenzentrum nur für autorisiertes Personal des Hosters mit elektronischer Zutrittskontrolle (Karte / biometrisch).
• 24/7-Videoüberwachung am Rechenzentrum.
• Der Anbieter selbst hat keinen physischen Zugriff auf die Hardware.

1.2 Zugangskontrolle (System)

• Server-Zugriff ausschließlich verschlüsselt (SSH bzw. gesicherte Verwaltungszugänge).
• Anwendungs-Login nur über HTTPS (TLS 1.2 oder höher).
• Passwort-Hashing nach aktuellem Stand der Technik (password_hash / bcrypt).
• Optionale Zwei-Faktor-Authentifizierung (TOTP, RFC 6238) für Anwenderinnen und Anwender.
• Schutz vor automatisierten Anmeldeversuchen (Begrenzung fehlgeschlagener Logins).
• Session-Timeout nach Inaktivität.

1.3 Zugriffskontrolle (Daten)

• Rollen- und rechtebasiertes Berechtigungssystem (Administration, Bearbeitung, Lesezugriff).
• Serverseitige Rechteprüfung bei jedem Zugriff; Schutz vor unberechtigtem Objektzugriff (IDOR).
• Audit-Log für sicherheitsrelevante Operationen.

1.4 Trennung

• Logische Trennung der Mandanteninstanzen; getrennte Datenbestände je Kunde.
• Test-, Entwicklungs- und Produktionsumgebung sind logisch und zugriffstechnisch getrennt.
• Keine echten Kundendaten in Test- oder Entwicklungsumgebungen.

1.5 Pseudonymisierung / Verschlüsselung

• HTTPS/TLS für sämtliche Datenübertragungen (HSTS-Header gesetzt).
• Verschlüsselte Speicherung gespeicherter Geheimnisse (E-Mail-Passwörter, 2FA-Secrets, API-Token) auf Datenbankebene.
• Backup-Archive werden komprimiert und können auf Wunsch verschlüsselt im Off-Site-Speicher abgelegt werden.

2. Integrität

2.1 Eingabekontrolle

• Audit-Log mit Benutzer-ID, IP-Adresse, User-Agent, Zeitstempel und vorgenommener Änderung.
• Nachvollziehbare Status- und Bearbeitungsverläufe (z. B. bei Anträgen und Aufgaben).
• CSRF-Schutz auf allen formularverarbeitenden Endpunkten.

2.2 Weitergabekontrolle

• Datenübertragungen ausschließlich verschlüsselt (HTTPS, SSH, IMAPS/SMTPS).
• Keine Datenverarbeitung außerhalb der EU/des EWR.
• Kein Einsatz von US-Cloud-Diensten oder Tracking-Dienstleistern.

3. Verfügbarkeit und Belastbarkeit

• Regelmäßige automatische Backups; Off-Site-Backup auf Wunsch konfigurierbar.
• Geplantes Wartungsfenster: Sonntag 02:00 – 04:00 Uhr.
• Verfügbarkeitsziel 99,5 % im Monatsmittel.
• Monitoring der Server- und Anwendungsverfügbarkeit.
• Kontinuierliche Sicherheits-Updates des Betriebssystems und der Anwendung.
• Härtungs-Header: HSTS, CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy.

4. Verfahren zur Überprüfung, Bewertung und Evaluierung

• Datenschutz-Management orientiert an BSI IT-Grundschutz (Basis-Module).
• Jährliche Überprüfung der TOMs und Aktualisierung dieser Anlage.
• Integrierte System-Diagnose („System-Status“) mit Sicherheits-Checks.
• Eingehende Datenschutzanfragen werden binnen einer Woche beantwortet.
• Datenpannen-Meldekette ist intern dokumentiert (72-Stunden-Frist gem. Art. 33 DSGVO).

5. Datensparsamkeit

• Es werden ausschließlich technisch notwendige Cookies gesetzt (Session, CSRF).
• Keine Tracking-/Analyse-/Marketing-Dienste eingebunden (kein Google Analytics, kein Facebook-Pixel, kein Cookie-Banner notwendig).
• Server-Logs werden maximal 14 Tage gespeichert, danach automatisch rotiert.
• Audit-Log-Retention: 12 Monate (konfigurierbar).

6. Datenschutz durch Technikgestaltung (Art. 25 DSGVO)

• Privacy-by-Default: Felder werden nur auf ausdrückliche Eingabe gespeichert.
• Privacy-by-Design: Rollensystem und Audit-Log sind Bestandteil der Architektur.
• DSGVO-Werkzeuge integriert: Auskunftsexport (Art. 15) und Löschung (Art. 17) als Verwaltungsfunktion.

Diese TOM ist Anlage zum AVV. Bei Änderungen der eingesetzten Maßnahmen wird der Verantwortliche informiert.