Zum Inhalt springen
Resilience Platform Resilience Platform

Datensicherheit

Technische und organisatorische Maßnahmen (TOM)

Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zugangskontrolle

Unbefugten wird der Zugang zu Datenverarbeitungsanlagen verwehrt durch:
- Gesicherte Rechenzentren (Hetzner, Deutschland)
- 24/7 Videoüberwachung und Zutrittskontrollen
- Mehrstufige Authentifizierung für Infrastrukturzugriff

Zugriffskontrolle

Datenverarbeitungssysteme sind gegen unbefugten Zugriff geschützt durch:
- Passwortrichtlinien (min. 12 Zeichen, Groß-/Kleinschreibung, Komplexität)
- Session-Timeout nach Inaktivität
- IP-basierte Zugriffsbeschränkungen
- Regelmäßige Zugriffsprüfungen

Zugriffskontrolle (Berechtigungen)

Berechtigungen werden nach dem Need-to-Know-Prinzip vergeben:
- Rollenbasiertes Berechtigungskonzept (RBAC)
- Mandantentrennung (Tenant-Isolation)
- Regelmäßige Berechtigungsrevisionen

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

Datenübertragungen sind gegen Abhören und Manipulation geschützt durch:
- TLS-Verschlüsselung (HTTPS) für gesamte Kommunikation
- HSTS (HTTP Strict Transport Security)
- Verschlüsselte Datenbankverbindungen

Eingabekontrolle

Nachträgliche Überprüfung von Dateneingaben ist gewährleistet durch:
- Detaillierte Audit-Logs mit Zeitstempel
- Versionsverwaltung für Dokumente und Nachweise
- Lückenlose Änderungsprotokollierung

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Schutz gegen Verlust und Zerstörung sowie Sicherstellung der Verfügbarkeit:
- Tägliche automatisierte Backups mit 30-Tage-Aufbewahrung
- Redundante Serverinfrastruktur (Hetzner)
- Monitoring und automatische Wiederherstellung
- Notfallwiederherstellungsplan (Business Continuity)

4. Verfahren zur regelmäßigen Überprüfung

Datenschutz-Folgenabschätzung

Regelmäßige Überprüfung und Aktualisierung der Datenschutz-Folgenabschätzung (DPIA) bei wesentlichen Änderungen der Verarbeitungstätigkeiten.

Incident-Response

Strukturierter Prozess zur Erkennung, Meldung und Behebung von Sicherheitsvorfällen gemäß Art. 33, 34 DSGVO.

Audits und Kontrollen

- Jährliche interne Audits der Sicherheitsmaßnahmen
- Regelmäßige Penetrationstests und Schwachstellen-Scans
- Überprüfung der Unterauftragsverarbeiter

5. Löschkonzept

Personenbezogene Daten werden nach Wegfall des Verarbeitungszwecks gelöscht:
- Nutzerkonten: 30 Tage nach Löschungsantrag
- Audit-Logs: 12 Monate
- Backup-Daten: Automatische Löschung nach 30 Tagen

Stand: Mai 2026