Art. 32 DSGVO

Technisch-organisatorische Maßnahmen

Detaillierte Übersicht unserer Sicherheitsmaßnahmen zum Schutz Ihrer Daten.

Über dieses Dokument:

Diese TOM beschreiben die Sicherheitsvorkehrungen gemäß Art. 32 DSGVO. Sie sind Bestandteil des Auftragsverarbeitungsvertrags (AVV) und werden mindestens jährlich überprüft.

Inhaltsverzeichnis

Art. 32 Abs. 1 lit. b DSGVO

1. Vertraulichkeit

1.1 Zutrittskontrolle

Maßnahmen, die Unbefugten den physischen Zutritt zu Datenverarbeitungsanlagen verwehren.

Rechenzentrum Hetzner Online GmbH – ISO/IEC 27001 zertifiziert
Standorte: Nürnberg und Falkenstein (Deutschland)
Physische Sicherheit
  • 24/7 Videoüberwachung aller Zugangsbereiche
  • Mehrstufiges Zugangskontrollsystem mit Chipkarten
  • Biometrische Zugangskontrollen für sensible Bereiche
  • Sicherheitspersonal vor Ort
  • Einbruchmeldeanlage mit direkter Aufschaltung
Besuchermanagement
  • Registrierung und Identitätsprüfung aller Besucher
  • Begleitung durch autorisiertes Personal
  • Protokollierung von Ein- und Austrittszeiten
KI-Werke Bremen GmbH Büro
  • Kein lokaler Serverstandort – alle Daten im Rechenzentrum
  • Zugangskontrolle durch Schließanlage
  • Clean-Desk-Policy

1.2 Zugangskontrolle

Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Authentifizierung
  • E-Mail und Passwort mit Mindestanforderungen (min. 8 Zeichen, Komplexitätsregeln)
  • Optionale Zwei-Faktor-Authentifizierung (TOTP) für alle Nutzer
  • OAuth 2.0 / OIDC für Single Sign-On (optional)
Passwort-Policy
  • Mindestlänge: 8 Zeichen
  • Empfehlung: Passphrasen mit >12 Zeichen
  • Sichere Speicherung mit bcrypt (Kostenfaktor 12)
  • Keine Klartext-Speicherung
Brute-Force-Schutz
  • Rate-Limiting auf Login-Endpunkte
  • Automatische Sperrung nach 10 fehlgeschlagenen Versuchen (15 Min.)
  • CAPTCHA bei verdächtigen Aktivitäten
  • Benachrichtigung bei ungewöhnlichen Login-Versuchen
Session-Management
  • Automatische Session-Invalidierung nach 24h Inaktivität
  • Sichere Session-Tokens (kryptografisch zufällig)
  • Möglichkeit zur Remote-Abmeldung aller Sitzungen
Admin-Zugang
  • SSH-Zugang nur mit Key-Authentifizierung
  • Kein Root-Login über SSH
  • Zugang nur aus definierten IP-Bereichen (VPN)
  • Alle Admin-Aktionen werden protokolliert

1.3 Zugriffskontrolle

Maßnahmen, die gewährleisten, dass Berechtigte nur auf die ihrer Berechtigung unterliegenden Daten zugreifen können.

Rollenkonzept
  • Team-Admin: Nutzerverwaltung, Einstellungen, Wissensdatenbanken, alle Chats des Teams
  • Team-Mitglied: Eigene Chats, zugewiesene Wissensdatenbanken
  • Erweiterbar um weitere Rollen auf Anfrage
Berechtigungsprinzip
  • Principle of Least Privilege – minimale notwendige Rechte
  • Need-to-Know-Basis für alle Datenzugriffe
  • Regelmäßige Überprüfung der Berechtigungen durch Team-Admin
Datenbank-Zugriff
  • Kein direkter Datenbankzugriff für Endnutzer
  • API-basierter Zugriff mit Autorisierungsprüfung
  • Prepared Statements gegen SQL-Injection
API-Sicherheit
  • API-Keys mit definierten Scopes
  • Rate-Limiting pro Nutzer/Team
  • Automatische Validierung aller Eingaben

1.4 Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.

Mandantentrennung
  • Strikte logische Trennung auf Datenbankebene
  • Jedes Team hat eigene, isolierte Datenbereiche
  • Tenant-ID in allen Datenbankabfragen (Row-Level Security)
  • Keine gemeinsame Nutzung von Ressourcen zwischen Teams
Umgebungstrennung
  • Strikte Trennung: Entwicklung → Staging → Produktion
  • Keine echten Kundendaten in Entwicklungs-/Testumgebungen
  • Separate Datenbanken und Credentials pro Umgebung
Netzwerksegmentierung
  • Datenbank-Server nicht öffentlich erreichbar
  • Firewall-Regeln zwischen Netzwerksegmenten
  • Application-Server als einziger Zugangspunkt
Art. 32 Abs. 1 lit. b DSGVO

2. Integrität

2.1 Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der Übertragung nicht unbefugt gelesen, kopiert oder verändert werden können.

Transportverschlüsselung
  • TLS 1.3 für alle externen Verbindungen
  • TLS 1.2 als Minimum (ältere Versionen deaktiviert)
  • HSTS (HTTP Strict Transport Security) aktiviert
  • A+ Rating bei SSL Labs
Zertifikate
  • Let's Encrypt Zertifikate mit automatischer Erneuerung
  • Certificate Transparency Monitoring
  • CAA-Records zur Einschränkung erlaubter CAs
API-Kommunikation
  • Alle API-Aufrufe ausschließlich über HTTPS
  • Verschlüsselte Verbindungen zu KI-Providern (Mistral, etc.)
  • Keine Übertragung sensibler Daten in URL-Parametern
Interne Kommunikation
  • Verschlüsselte Verbindungen zwischen Services
  • Private Netzwerke im Rechenzentrum

2.2 Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden.

Audit-Logging
  • Protokollierung aller sicherheitsrelevanten Ereignisse
  • Login-Versuche (erfolgreich und fehlgeschlagen)
  • Änderungen an Benutzerkonten und Berechtigungen
  • Zugriffe auf Wissensdatenbanken
  • Administrative Aktionen
Log-Inhalte
  • Zeitstempel (UTC)
  • Benutzer-ID / Session-ID
  • IP-Adresse (anonymisiert nach 7 Tagen)
  • Durchgeführte Aktion
  • Betroffene Ressource
Log-Speicherung
  • Speicherung auf separatem Log-Server
  • Aufbewahrungsfrist: 7 Tage für technische Logs
  • Aufbewahrungsfrist: 90 Tage für Security-Audit-Logs
  • Unveränderbarkeit durch Write-Once-Storage
Monitoring
  • Echtzeit-Alerting bei Sicherheitsvorfällen
  • Automatische Anomalie-Erkennung
  • Dashboard für Sicherheits-Metriken
Art. 32 Abs. 1 lit. b, c DSGVO

3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Backup-Strategie (angestrebt)
  • Vollbackup: Täglich um 03:00 Uhr UTC (Ziel)
  • Inkrementelle Backups: Alle 6 Stunden (Ziel)
  • Aufbewahrung: 30 Tage (täglich), 12 Monate (monatlich)
  • Geografisch getrennter Backup-Storage im selben Rechenzentrum
Backup-Verschlüsselung
  • AES-256-Verschlüsselung aller Backups
  • Separate Schlüsselverwaltung
  • Regelmäßige Schlüsselrotation
Stromversorgung
  • Redundante Stromversorgung (A+B Feed)
  • USV (Unterbrechungsfreie Stromversorgung)
  • Diesel-Notstromaggregate
  • Regelmäßige Tests der Notstromversorgung
Klimatisierung
  • Redundante Klimaanlagen (N+1)
  • Temperatur- und Feuchtigkeitsüberwachung
  • Brandfrüherkennungssystem

3.2 Wiederherstellbarkeit

Maßnahmen, die gewährleisten, dass Daten nach einem Zwischenfall rasch wiederhergestellt werden können.

Recovery-Ziele (angestrebt)
  • RTO (Recovery Time Objective): 4 Stunden (Ziel)
  • RPO (Recovery Point Objective): 6 Stunden (Ziel, max. Datenverlust)
Recovery-Prozesse
  • Dokumentierte Wiederherstellungsverfahren
  • Automatisierte Restore-Skripte
  • Definierte Eskalationspfade
Tests
  • Monatliche Backup-Integritätsprüfung
  • Quartalsweise Test-Restores
  • Jährlicher vollständiger Disaster-Recovery-Test

3.3 Belastbarkeit

Maßnahmen zur Sicherstellung der Belastbarkeit der Systeme und Dienste.

Skalierbarkeit
  • Horizontale Skalierung der Application-Server
  • Auto-Scaling bei Lastspitzen
  • Load-Balancing über mehrere Instanzen
DDoS-Schutz
  • Netzwerk-Level DDoS-Mitigation durch Hetzner
  • Rate-Limiting auf Anwendungsebene
  • Web Application Firewall (WAF)
Monitoring
  • 24/7 System-Monitoring
  • Automatische Alerting bei Schwellenwertüberschreitung
  • Performance-Metriken und Dashboards
Art. 32 Abs. 1 lit. a DSGVO

4. Verschlüsselung und Pseudonymisierung

4.1 Verschlüsselung

Transportverschlüsselung
  • TLS 1.3 (bevorzugt) / TLS 1.2 (Minimum)
  • Perfect Forward Secrecy (PFS)
  • Starke Cipher Suites (keine veralteten Algorithmen)
Speicherverschlüsselung
  • Verschlüsselung der Datenbank-Volumes (LUKS)
  • Verschlüsselte Backups (AES-256)
  • Verschlüsselte Verbindung zur Datenbank (TLS)
Schlüsselverwaltung
  • Getrennte Speicherung von Schlüsseln und Daten
  • Regelmäßige Schlüsselrotation
  • Dokumentierte Key-Management-Prozesse

4.2 Pseudonymisierung

Interne IDs
  • Verwendung von UUIDs statt fortlaufender IDs
  • Keine personenbezogenen Daten in URLs
Log-Anonymisierung
  • IP-Adressen werden nach 7 Tagen anonymisiert
  • Keine Speicherung von Chat-Inhalten in Logs
KI-Verarbeitung
  • Keine persistente Speicherung bei KI-Providern
  • Keine Nutzung für KI-Training durch Provider
  • Verarbeitung nur für die jeweilige Anfrage
Art. 32 Abs. 1 lit. d DSGVO

5. Verfahren zur regelmäßigen Überprüfung

5.1 Regelmäßige Überprüfungen

TOM-Review
  • Jährliche Überprüfung und Aktualisierung dieser TOM
  • Anlassbezogene Überprüfung bei Sicherheitsvorfällen
  • Dokumentation aller Änderungen
Vulnerability Management
  • Regelmäßige Dependency-Scans (wöchentlich)
  • Automatische Alerts bei bekannten Schwachstellen
  • Zeitnahe Installation von Sicherheitsupdates (kritisch: 24h, hoch: 7 Tage)
Security-Audits
  • Jährliche interne Sicherheitsüberprüfung
  • Externe Penetrationstests auf Anfrage
  • Code-Reviews für sicherheitsrelevante Änderungen

5.2 Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.

Vertragliche Regelungen
  • AVV mit allen Kunden gemäß Art. 28 DSGVO
  • Dokumentierte Weisungsbefugnis
  • Regelmäßige Überprüfung der Unterauftragnehmer
Kontrolle der Unterauftragnehmer
  • Sorgfältige Auswahl nach Datenschutzkriterien
  • Vertragliche Verpflichtung auf TOM
  • Jährliche Überprüfung der Garantien
Meldeverfahren

6. Incident Response und Meldepflichten

6.1 Incident-Response-Prozess

Erkennung
  • Automatisierte Anomalie-Erkennung
  • 24/7 Monitoring kritischer Systeme
  • Definierte Meldekanäle für Mitarbeiter
Reaktion
  • Dokumentierter Incident-Response-Plan
  • Definierte Verantwortlichkeiten und Eskalationspfade
  • Sofortmaßnahmen zur Schadensbegrenzung
Kommunikation
  • Interne Benachrichtigung innerhalb von 4 Stunden
  • Kundenkommunikation gemäß vertraglicher Vereinbarung
  • Behördenmeldung innerhalb von 72 Stunden (wenn erforderlich)
Nachbereitung
  • Post-Incident-Review
  • Dokumentation und Lessons Learned
  • Umsetzung von Verbesserungsmaßnahmen

6.2 Meldepflichten bei Datenpannen

An Auftraggeber
  • Unverzügliche Meldung, spätestens innerhalb von 24 Stunden
  • Beschreibung der Art der Verletzung
  • Betroffene Datenkategorien und Personengruppen
  • Ergriffene und vorgeschlagene Maßnahmen
Unterstützung
  • Unterstützung bei Meldung an Aufsichtsbehörde (Art. 33 DSGVO)
  • Unterstützung bei Benachrichtigung Betroffener (Art. 34 DSGVO)
  • Bereitstellung aller relevanten Informationen
Interne Prozesse

7. Organisatorische Maßnahmen

7.1 Mitarbeiter

Vertraulichkeit
  • Schriftliche Verpflichtung auf Datengeheimnis
  • Vertraulichkeitsvereinbarungen mit allen Mitarbeitern
  • Fortbestand der Pflichten nach Beschäftigungsende
Schulungen
  • Initiale Datenschutzschulung bei Einstellung
  • Jährliche Auffrischungsschulungen
  • Schulungen bei relevanten Gesetzesänderungen
  • Security-Awareness-Training
Zuständigkeiten
  • Klare Zuordnung von Datenschutzverantwortlichkeiten
  • Benannter Ansprechpartner für Datenschutzfragen

7.2 Dokumentation

Verfahrensverzeichnis
  • Dokumentation aller Verarbeitungstätigkeiten
  • Regelmäßige Aktualisierung
Richtlinien
  • Datenschutzrichtlinie
  • IT-Sicherheitsrichtlinie
  • Passwort-Richtlinie
  • Clean-Desk-Policy

Zusammenfassung der Schutzmaßnahmen

🇩🇪
Standort Deutschland

Alle Daten in ISO 27001 zertifizierten deutschen Rechenzentren

TLS 1.3

Modernste Transportverschlüsselung

AES-256 Backups

Verschlüsselte tägliche Sicherungen

Mandantentrennung

Strikte logische Isolation der Kundendaten

2FA verfügbar

Optionale Zwei-Faktor-Authentifizierung

Audit-Logging

Vollständige Protokollierung

RTO: 4 Stunden

Schnelle Wiederherstellung

Incident Response

24h Meldefrist an Kunden

Version: 1.0

Stand: Januar 2026

Nächste Überprüfung: Januar 2027

Verantwortlich: KI-Werke Bremen GmbH, info@hansegpt.de

Dokumentation herunterladen?

Benötigen Sie diese TOM als signiertes PDF für Ihre Akten?

PDF anfordern