Über dieses Dokument:
Diese TOM beschreiben die Sicherheitsvorkehrungen gemäß Art. 32
DSGVO. Sie sind Bestandteil des Auftragsverarbeitungsvertrags (AVV)
und werden mindestens jährlich überprüft.
Art. 32 Abs. 1 lit. b DSGVO
1. Vertraulichkeit
1.1 Zutrittskontrolle
Maßnahmen, die Unbefugten den physischen Zutritt zu
Datenverarbeitungsanlagen verwehren.
| Rechenzentrum | Hetzner Online GmbH – ISO/IEC 27001 zertifiziert
Standorte: Nürnberg und Falkenstein (Deutschland)
|
| Physische Sicherheit | - 24/7 Videoüberwachung aller Zugangsbereiche
- Mehrstufiges Zugangskontrollsystem mit Chipkarten
-
Biometrische Zugangskontrollen für sensible Bereiche
- Sicherheitspersonal vor Ort
- Einbruchmeldeanlage mit direkter Aufschaltung
|
| Besuchermanagement | - Registrierung und Identitätsprüfung aller Besucher
- Begleitung durch autorisiertes Personal
- Protokollierung von Ein- und Austrittszeiten
|
| KI-Werke Bremen GmbH Büro | -
Kein lokaler Serverstandort – alle Daten im Rechenzentrum
- Zugangskontrolle durch Schließanlage
- Clean-Desk-Policy
|
1.2 Zugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von
Unbefugten genutzt werden können.
| Authentifizierung | -
E-Mail und Passwort mit Mindestanforderungen (min. 8
Zeichen, Komplexitätsregeln)
-
Optionale Zwei-Faktor-Authentifizierung (TOTP) für alle
Nutzer
- OAuth 2.0 / OIDC für Single Sign-On (optional)
|
| Passwort-Policy | - Mindestlänge: 8 Zeichen
- Empfehlung: Passphrasen mit >12 Zeichen
- Sichere Speicherung mit bcrypt (Kostenfaktor 12)
- Keine Klartext-Speicherung
|
| Brute-Force-Schutz | - Rate-Limiting auf Login-Endpunkte
-
Automatische Sperrung nach 10 fehlgeschlagenen Versuchen
(15 Min.)
- CAPTCHA bei verdächtigen Aktivitäten
- Benachrichtigung bei ungewöhnlichen Login-Versuchen
|
| Session-Management | -
Automatische Session-Invalidierung nach 24h Inaktivität
- Sichere Session-Tokens (kryptografisch zufällig)
- Möglichkeit zur Remote-Abmeldung aller Sitzungen
|
| Admin-Zugang | - SSH-Zugang nur mit Key-Authentifizierung
- Kein Root-Login über SSH
- Zugang nur aus definierten IP-Bereichen (VPN)
- Alle Admin-Aktionen werden protokolliert
|
1.3 Zugriffskontrolle
Maßnahmen, die gewährleisten, dass Berechtigte nur auf die ihrer
Berechtigung unterliegenden Daten zugreifen können.
| Rollenkonzept | - Team-Admin: Nutzerverwaltung, Einstellungen,
Wissensdatenbanken, alle Chats des Teams
- Team-Mitglied: Eigene Chats, zugewiesene Wissensdatenbanken
- Erweiterbar um weitere Rollen auf Anfrage
|
| Berechtigungsprinzip | -
Principle of Least Privilege – minimale notwendige Rechte
- Need-to-Know-Basis für alle Datenzugriffe
-
Regelmäßige Überprüfung der Berechtigungen durch
Team-Admin
|
| Datenbank-Zugriff | - Kein direkter Datenbankzugriff für Endnutzer
- API-basierter Zugriff mit Autorisierungsprüfung
- Prepared Statements gegen SQL-Injection
|
| API-Sicherheit | - API-Keys mit definierten Scopes
- Rate-Limiting pro Nutzer/Team
- Automatische Validierung aller Eingaben
|
1.4 Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken
erhobene Daten getrennt verarbeitet werden.
| Mandantentrennung | - Strikte logische Trennung auf Datenbankebene
- Jedes Team hat eigene, isolierte Datenbereiche
-
Tenant-ID in allen Datenbankabfragen (Row-Level Security)
-
Keine gemeinsame Nutzung von Ressourcen zwischen Teams
|
| Umgebungstrennung | -
Strikte Trennung: Entwicklung → Staging → Produktion
-
Keine echten Kundendaten in Entwicklungs-/Testumgebungen
- Separate Datenbanken und Credentials pro Umgebung
|
| Netzwerksegmentierung | - Datenbank-Server nicht öffentlich erreichbar
- Firewall-Regeln zwischen Netzwerksegmenten
- Application-Server als einziger Zugangspunkt
|
Art. 32 Abs. 1 lit. b DSGVO
2. Integrität
2.1 Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der
Übertragung nicht unbefugt gelesen, kopiert oder verändert werden
können.
| Transportverschlüsselung | - TLS 1.3 für alle externen Verbindungen
- TLS 1.2 als Minimum (ältere Versionen deaktiviert)
- HSTS (HTTP Strict Transport Security) aktiviert
- A+ Rating bei SSL Labs
|
| Zertifikate | -
Let's Encrypt Zertifikate mit automatischer Erneuerung
- Certificate Transparency Monitoring
- CAA-Records zur Einschränkung erlaubter CAs
|
| API-Kommunikation | - Alle API-Aufrufe ausschließlich über HTTPS
-
Verschlüsselte Verbindungen zu KI-Providern (Mistral,
etc.)
- Keine Übertragung sensibler Daten in URL-Parametern
|
| Interne Kommunikation | - Verschlüsselte Verbindungen zwischen Services
- Private Netzwerke im Rechenzentrum
|
2.2 Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft werden
kann, ob und von wem personenbezogene Daten eingegeben, verändert
oder entfernt wurden.
| Audit-Logging | -
Protokollierung aller sicherheitsrelevanten Ereignisse
- Login-Versuche (erfolgreich und fehlgeschlagen)
- Änderungen an Benutzerkonten und Berechtigungen
- Zugriffe auf Wissensdatenbanken
- Administrative Aktionen
|
| Log-Inhalte | - Zeitstempel (UTC)
- Benutzer-ID / Session-ID
- IP-Adresse (anonymisiert nach 7 Tagen)
- Durchgeführte Aktion
- Betroffene Ressource
|
| Log-Speicherung | - Speicherung auf separatem Log-Server
- Aufbewahrungsfrist: 7 Tage für technische Logs
- Aufbewahrungsfrist: 90 Tage für Security-Audit-Logs
- Unveränderbarkeit durch Write-Once-Storage
|
| Monitoring | - Echtzeit-Alerting bei Sicherheitsvorfällen
- Automatische Anomalie-Erkennung
- Dashboard für Sicherheits-Metriken
|
Art. 32 Abs. 1 lit. b, c DSGVO
3. Verfügbarkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen
zufällige Zerstörung oder Verlust geschützt sind.
| Backup-Strategie (angestrebt) | - Vollbackup: Täglich um 03:00 Uhr UTC (Ziel)
- Inkrementelle Backups: Alle 6 Stunden (Ziel)
- Aufbewahrung: 30 Tage (täglich), 12 Monate
(monatlich)
-
Geografisch getrennter Backup-Storage im selben
Rechenzentrum
|
| Backup-Verschlüsselung | - AES-256-Verschlüsselung aller Backups
- Separate Schlüsselverwaltung
- Regelmäßige Schlüsselrotation
|
| Stromversorgung | - Redundante Stromversorgung (A+B Feed)
- USV (Unterbrechungsfreie Stromversorgung)
- Diesel-Notstromaggregate
- Regelmäßige Tests der Notstromversorgung
|
| Klimatisierung | - Redundante Klimaanlagen (N+1)
- Temperatur- und Feuchtigkeitsüberwachung
- Brandfrüherkennungssystem
|
3.2 Wiederherstellbarkeit
Maßnahmen, die gewährleisten, dass Daten nach einem Zwischenfall
rasch wiederhergestellt werden können.
| Recovery-Ziele (angestrebt) | - RTO (Recovery Time Objective): 4 Stunden (Ziel)
- RPO (Recovery Point Objective): 6 Stunden (Ziel,
max. Datenverlust)
|
| Recovery-Prozesse | - Dokumentierte Wiederherstellungsverfahren
- Automatisierte Restore-Skripte
- Definierte Eskalationspfade
|
| Tests | - Monatliche Backup-Integritätsprüfung
- Quartalsweise Test-Restores
- Jährlicher vollständiger Disaster-Recovery-Test
|
3.3 Belastbarkeit
Maßnahmen zur Sicherstellung der Belastbarkeit der Systeme und
Dienste.
| Skalierbarkeit | - Horizontale Skalierung der Application-Server
- Auto-Scaling bei Lastspitzen
- Load-Balancing über mehrere Instanzen
|
| DDoS-Schutz | - Netzwerk-Level DDoS-Mitigation durch Hetzner
- Rate-Limiting auf Anwendungsebene
- Web Application Firewall (WAF)
|
| Monitoring | - 24/7 System-Monitoring
-
Automatische Alerting bei Schwellenwertüberschreitung
- Performance-Metriken und Dashboards
|
Art. 32 Abs. 1 lit. a DSGVO
4. Verschlüsselung und Pseudonymisierung
4.1 Verschlüsselung
| Transportverschlüsselung | - TLS 1.3 (bevorzugt) / TLS 1.2 (Minimum)
- Perfect Forward Secrecy (PFS)
- Starke Cipher Suites (keine veralteten Algorithmen)
|
| Speicherverschlüsselung | - Verschlüsselung der Datenbank-Volumes (LUKS)
- Verschlüsselte Backups (AES-256)
- Verschlüsselte Verbindung zur Datenbank (TLS)
|
| Schlüsselverwaltung | - Getrennte Speicherung von Schlüsseln und Daten
- Regelmäßige Schlüsselrotation
- Dokumentierte Key-Management-Prozesse
|
4.2 Pseudonymisierung
| Interne IDs | - Verwendung von UUIDs statt fortlaufender IDs
- Keine personenbezogenen Daten in URLs
|
| Log-Anonymisierung | - IP-Adressen werden nach 7 Tagen anonymisiert
- Keine Speicherung von Chat-Inhalten in Logs
|
| KI-Verarbeitung | - Keine persistente Speicherung bei KI-Providern
- Keine Nutzung für KI-Training durch Provider
- Verarbeitung nur für die jeweilige Anfrage
|
Art. 32 Abs. 1 lit. d DSGVO
5. Verfahren zur regelmäßigen Überprüfung
5.1 Regelmäßige Überprüfungen
| TOM-Review | - Jährliche Überprüfung und Aktualisierung dieser TOM
- Anlassbezogene Überprüfung bei Sicherheitsvorfällen
- Dokumentation aller Änderungen
|
| Vulnerability Management | - Regelmäßige Dependency-Scans (wöchentlich)
- Automatische Alerts bei bekannten Schwachstellen
-
Zeitnahe Installation von Sicherheitsupdates (kritisch:
24h, hoch: 7 Tage)
|
| Security-Audits | - Jährliche interne Sicherheitsüberprüfung
- Externe Penetrationstests auf Anfrage
- Code-Reviews für sicherheitsrelevante Änderungen
|
5.2 Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten nur
entsprechend den Weisungen des Auftraggebers verarbeitet werden.
| Vertragliche Regelungen | - AVV mit allen Kunden gemäß Art. 28 DSGVO
- Dokumentierte Weisungsbefugnis
- Regelmäßige Überprüfung der Unterauftragnehmer
|
| Kontrolle der Unterauftragnehmer | - Sorgfältige Auswahl nach Datenschutzkriterien
- Vertragliche Verpflichtung auf TOM
- Jährliche Überprüfung der Garantien
|
Meldeverfahren
6. Incident Response und Meldepflichten
6.1 Incident-Response-Prozess
| Erkennung | - Automatisierte Anomalie-Erkennung
- 24/7 Monitoring kritischer Systeme
- Definierte Meldekanäle für Mitarbeiter
|
| Reaktion | - Dokumentierter Incident-Response-Plan
-
Definierte Verantwortlichkeiten und Eskalationspfade
- Sofortmaßnahmen zur Schadensbegrenzung
|
| Kommunikation | - Interne Benachrichtigung innerhalb von 4 Stunden
-
Kundenkommunikation gemäß vertraglicher Vereinbarung
-
Behördenmeldung innerhalb von 72 Stunden (wenn
erforderlich)
|
| Nachbereitung | - Post-Incident-Review
- Dokumentation und Lessons Learned
- Umsetzung von Verbesserungsmaßnahmen
|
6.2 Meldepflichten bei Datenpannen
| An Auftraggeber | -
Unverzügliche Meldung, spätestens innerhalb von 24 Stunden
- Beschreibung der Art der Verletzung
- Betroffene Datenkategorien und Personengruppen
- Ergriffene und vorgeschlagene Maßnahmen
|
| Unterstützung | -
Unterstützung bei Meldung an Aufsichtsbehörde (Art. 33
DSGVO)
-
Unterstützung bei Benachrichtigung Betroffener (Art. 34
DSGVO)
- Bereitstellung aller relevanten Informationen
|
Interne Prozesse
7. Organisatorische Maßnahmen
7.1 Mitarbeiter
| Vertraulichkeit | - Schriftliche Verpflichtung auf Datengeheimnis
-
Vertraulichkeitsvereinbarungen mit allen Mitarbeitern
- Fortbestand der Pflichten nach Beschäftigungsende
|
| Schulungen | - Initiale Datenschutzschulung bei Einstellung
- Jährliche Auffrischungsschulungen
- Schulungen bei relevanten Gesetzesänderungen
- Security-Awareness-Training
|
| Zuständigkeiten | - Klare Zuordnung von Datenschutzverantwortlichkeiten
- Benannter Ansprechpartner für Datenschutzfragen
|
7.2 Dokumentation
| Verfahrensverzeichnis | - Dokumentation aller Verarbeitungstätigkeiten
- Regelmäßige Aktualisierung
|
| Richtlinien | - Datenschutzrichtlinie
- IT-Sicherheitsrichtlinie
- Passwort-Richtlinie
- Clean-Desk-Policy
|
Zusammenfassung der Schutzmaßnahmen
🇩🇪
Standort Deutschland
Alle Daten in ISO 27001 zertifizierten deutschen Rechenzentren
TLS 1.3Modernste Transportverschlüsselung
AES-256 Backups
Verschlüsselte tägliche Sicherungen
Mandantentrennung
Strikte logische Isolation der Kundendaten
2FA verfügbar
Optionale Zwei-Faktor-Authentifizierung
Audit-LoggingVollständige Protokollierung
RTO: 4 StundenSchnelle Wiederherstellung
Incident Response24h Meldefrist an Kunden
Version: 1.0
Stand: Januar 2026
Nächste Überprüfung: Januar 2027
Verantwortlich: KI-Werke Bremen GmbH, info@hansegpt.de