top of page

imonova

Ergänzende Angaben zu
Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten.

1.   Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zugriff auf personenbezogene Daten erfolgt ausschließlich durch autorisierte Personen (Rollen- und Rechtesystem)

  • Authentifizierung der Nutzer mittels Passwortschutz und ggf. Mehrfaktor-Authentifizierung

  • Verpflichtung aller Mitarbeiter und ggf. Subunternehmer zur Vertraulichkeit

  • Physischer Zugriff auf Server wird durch den Hosting-Anbieter kontrolliert

2.   Integrität

  • Schutz vor unbefugter oder unbeabsichtigter Veränderung von Daten

  • Protokollierung von sicherheitsrelevanten Systemzugriffen

  • Maßnahmen zur Verhinderung von Datenmanipulation durch Unbefugte

3.   Verfügbarkeit und Belastbarkeit

  • Regelmäßige automatische Datensicherungen (Backups)

  • Schutz der Systeme durch Firewalls und Sicherheitsmechanismen

  • Nutzung stabiler Hosting-Infrastruktur

  • Maßnahmen zur Wiederherstellung der Verfügbarkeit nach technischen Zwischenfällen (Disaster Recovery)

4.   Verschlüsselung

  • Verschlüsselung der Datenübertragung mittels TLS/HTTPS

  • Verschlüsselung sensibler und personenbezogener Daten in der Datenbank (at rest encryption)

  • Schutz von gespeicherten Daten vor unbefugtem Zugriff durch kryptografische Verfahren

5.   Zugriffskontrolle

  • Vergabe von Benutzerrechten nach dem Need-to-know-Prinzip

  • Trennung von Benutzerrollen (z. B. Admin, Mitarbeiter, Kunde)

  • Sperrung von Zugängen bei Verdacht auf Missbrauch

6.   Trennungskontrolle

  • Logische Trennung von Kundendaten innerhalb der Datenbank

  • Trennung von Test- und Produktionssystemen

  • Vermeidung unbefugter Datenverknüpfung zwischen Mandanten

7.   Auftragskontrolle

  • Verarbeitung personenbezogener Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen

  • Einsatz von Subunternehmern nur gemäß Art. 28 DSGVO

  • Abschluss entsprechender Verträge mit allen Unterauftragsverarbeitern

8.   Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

  • Auskunftsersuchen nach Art. 15 DSGVO

  • Berichtigung und Löschung

  • Einschränkung der Verarbeitung

  • Datenübertragbarkeit

  • Widersprüchen gegen Verarbeitung

9.   Incident-Response & Datenschutzvorfälle

  • Verfahren zur Erkennung und Meldung von Sicherheitsvorfällen

  • Meldung von Datenschutzverletzungen innerhalb der gesetzlichen Fristen (Art. 33 DSGVO)

  • Dokumentation aller sicherheitsrelevanten Vorfälle

10.   Standort & Infrastruktur

  • Hosting der Daten erfolgt auf Servern innerhalb der EU, soweit technisch und vertraglich möglich

  • Einsatz von zertifizierten Hosting- und Infrastruktur-Anbietern

bottom of page