Zum Inhalt springen

Technische und organisatorische Maßnahmen

nach Art. 32 DSGVO

1. Ziel und Grundsätze2. Organisation, Rollen, Verantwortlichkeiten3. Physische Sicherheit (Zutrittskontrolle)4. Zugangskontrolle5. Zugriffskontrolle6. Weitergabekontrolle (Datenübermittlung / Transport)7. Eingabekontrolle (Protokollierung, Nachvollziehbarkeit)8. Auftragskontrolle (Weisungsgebundenheit)9. Verfügbarkeitskontrolle (Backup, Wiederherstellbarkeit, Belastbarkeit)10. Trennungsgebot / Mandantentrennung11. Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)12. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung13. Incident- & Breach-Management (Datenschutzvorfälle)14. Unterstützung bei Betroffenenrechten und Behördenanfragen15. Löschung und Rückgabe von Daten nach Vertragsende16. Unterauftragnehmer (Auswahl, Kontrolle, EU-Only)17. Servicespezifische TOM-Ergänzungen18. Kontaktstelle für Datenschutz-/Sicherheitsanfragen

Stand: 01.01.2026 | Version 1.0

1. Ziel und Grundsätze

  1. Ziel dieser TOM ist die Gewährleistung eines dem Risiko angemessenen Schutzniveaus gemäß Art. 32 DSGVO (Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste).

  2. Die Auswahl der Maßnahmen orientiert sich an Art, Umfang, Umständen und Zwecken der Verarbeitung sowie an den unterschiedlichen Eintrittswahrscheinlichkeiten und Schweregraden der Risiken.

  3. Die Maßnahmen werden regelmäßig überprüft und bei Bedarf aktualisiert (insb. bei Änderungen der eingesetzten Systeme/Unterauftragnehmer oder bei sicherheitsrelevanten Ereignissen).

2. Organisation, Rollen, Verantwortlichkeiten

  1. Personal / Zugriffskreis: Derzeit verarbeitet ausschließlich der Auftragsverarbeiter selbst (Einzelunternehmer) Daten im Rahmen der Leistungserbringung. Externe Unterauftragnehmer werden gemäß Abschnitt 10 eingesetzt.

  2. Vertraulichkeit: Vertrauliche Informationen und personenbezogene Daten werden ausschließlich zur Vertragserfüllung verarbeitet. Zugriff erhalten nur Personen, die diesen zur Leistungserbringung benötigen.

  3. Arbeits-/Servicezeiten: Kernzeiten zur Leistungserbringung und Kommunikation: Mo–Fr 09:00–16:00 Uhr (Feiertage am Sitz ausgenommen). Sicherheitsrelevante Ereignisse können hiervon unabhängig bearbeitet werden, soweit erforderlich und möglich.

3. Physische Sicherheit (Zutrittskontrolle)

  1. Rechenzentrums- und Infrastrukturleistungen werden – je nach Service – über Unterauftragnehmer (z. B. Hetzner, STRATO, Microsoft) erbracht. Deren Rechenzentrums-/Zutrittsmaßnahmen (z. B. Zugangskontrollen, Videoüberwachung, Sicherheitsdienst) werden im Rahmen der Auswahl und fortlaufenden Zusammenarbeit berücksichtigt.

  2. Lokale Systeme (Arbeitsplatz/Endgerät des Auftragsverarbeiters) sind gegen unbefugten Zugriff geschützt (Zugangsschutz/Passwort, Zugriff nur für den Auftragsverarbeiter).

4. Zugangskontrolle

  1. Multi-Faktor-Authentifizierung (MFA): MFA wird für alle relevanten administrativen Systeme/Plattformen eingesetzt (z. B. Odoo, Hosting-/Cloud-Portale, TeamViewer, Microsoft Adminzugänge), soweit technisch verfügbar.

  2. Passwortmanagement: Passwörter werden in einem Passwortmanager verwaltet. Passwörter werden nicht unverschlüsselt gespeichert oder über unsichere Kanäle versendet.

  3. Zugriffsschutz: Konten sind personalisiert; gemeinsame „Shared Accounts“ werden – soweit möglich – vermieden.

5. Zugriffskontrolle

  1. Zugriffe erfolgen nach dem Need-to-know-Prinzip: Zugriff nur soweit erforderlich, um die vereinbarte Leistung zu erbringen.

  2. Administrative Zugriffe werden auf das erforderliche Mindestmaß beschränkt (Least Privilege).

  3. Kundenumgebungen werden logisch getrennt verwaltet (Mandantentrennung).

6. Weitergabekontrolle (Datenübermittlung / Transport)

  1. Datenübertragungen erfolgen grundsätzlich verschlüsselt (z. B. TLS/HTTPS, verschlüsselte Remote-Sessions).

  2. Fernwartung erfolgt typischerweise über TeamViewer. Der Zugriff erfolgt nur nach aktiver Freigabe durch den Kunden (Sitzungsaufbau/Bestätigung) und ist auf die zur Problemlösung erforderlichen Handlungen beschränkt.

  3. Der Versand personenbezogener Daten per E-Mail wird – soweit möglich – vermieden; falls erforderlich, werden geeignete Schutzmaßnahmen gewählt (z. B. minimale Daten, Zweckbindung, Passwort getrennt übermitteln).

7. Eingabekontrolle (Protokollierung, Nachvollziehbarkeit)

  1. Soweit technisch möglich, werden sicherheits- und administrativ relevante Ereignisse protokolliert (z. B. Login-/Admin-Logs in Portalen/Plattformen).

  2. Log-Aufbewahrung: Protokolle werden – soweit verfügbar – für 180 Tage vorgehalten und anschließend gemäß Systemlogik gelöscht oder überschrieben, sofern keine längere Aufbewahrung aus rechtlichen Gründen erforderlich ist.

  3. Ticket- und Supportdokumentation erfolgt im Ticketsystem/der Kundendienst-App von Odoo.

    Aufbewahrung Tickets: 2 Jahre ab Ticketabschluss, anschließend Löschung/Archivierung gemäß definierter Routine.

8. Auftragskontrolle (Weisungsgebundenheit)

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, soweit die Verarbeitung als Auftragsverarbeitung einzuordnen ist.

  2. Erscheint eine Weisung aus Sicht des Auftragsverarbeiters datenschutzrechtlich unzulässig, wird der Kunde hierüber informiert.

9. Verfügbarkeitskontrolle (Backup, Wiederherstellbarkeit, Belastbarkeit)

  1. Maßnahmen zur Verfügbarkeitskontrolle werden entsprechend des vereinbarten Serviceumfangs umgesetzt.

  2. Managed Backup Service – Immutability: Backups werden immutable für 60 Tage gespeichert. Innerhalb dieser Frist ist eine Löschung/Veränderung technisch ausgeschlossen.

  3. Nach Ablauf der Immutability-Frist erfolgt die automatische Löschung der Backupdaten gemäß der konfigurierten Aufbewahrungslogik (Retention), soweit keine abweichende vertragliche Vereinbarung besteht.

  4. System- und Sicherheitsupdates werden – soweit Bestandteil des jeweiligen Services (z. B. Webhosting) – nach vereinbartem Umfang umgesetzt. Unabhängig davon erfolgt ein sicherheitsorientiertes Vorgehen (Patch/Update nach Risiko und Verfügbarkeit).

10. Trennungsgebot / Mandantentrennung

  1. Kundendaten werden logisch getrennt verarbeitet, soweit dies durch die Systeme (z. B. getrennte Mandanten/Tenants, getrennte Storage-Buckets/Repos, getrennte Zugänge) unterstützt.

  2. Administrative Tätigkeiten erfolgen getrennt nach Kunde/Umgebung; Zugriffsrechte werden kundenbezogen vergeben.

11. Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

  1. Transportverschlüsselung: Datenverkehr zu administrativen Portalen, Remote-Sessions und Webdiensten erfolgt verschlüsselt (z. B. TLS/HTTPS).

  2. Speicher-/Backupverschlüsselung: Backups werden verschlüsselt gespeichert bzw. über verschlüsselte Speichermechanismen abgelegt, soweit dies im eingesetzten Backup-/Storage-System vorgesehen ist („Standard“).

12. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  1. Sicherheitsmaßnahmen werden regelmäßig überprüft, insbesondere:

    • bei Änderungen von Tools/Unterauftragnehmern,

    • bei sicherheitsrelevanten Vorfällen,

    • mindestens anlassbezogen im Rahmen der Servicepflege.

  2. Erkenntnisse aus Vorfällen oder Schwachstellen führen zu angemessenen Anpassungen.

13. Incident- & Breach-Management (Datenschutzvorfälle)

  1. Der Auftragsverarbeiter unterhält ein Verfahren zur Erkennung, Bewertung und Behandlung von Sicherheitsvorfällen, soweit in seinem Einflussbereich.

  2. Werden dem Auftragsverarbeiter Datenschutzverletzungen (Verletzungen des Schutzes personenbezogener Daten) bekannt, informiert er den Kunden unverzüglich mit den verfügbaren Informationen, die zur Erfüllung von Melde- und Benachrichtigungspflichten erforderlich sind (Art. 33, 34 DSGVO), soweit die Vorfälle die Verarbeitung im Auftrag betreffen.

  3. Der Auftragsverarbeiter unterstützt den Kunden im angemessenen Umfang bei der Aufklärung und Eindämmung, soweit dies technisch und organisatorisch möglich ist.

14. Unterstützung bei Betroffenenrechten und Behördenanfragen

  1. Der Auftragsverarbeiter unterstützt den Kunden im angemessenen Umfang bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung etc.), soweit die Verarbeitung im Auftrag betroffen ist und die Unterstützung technisch möglich ist.

  2. Anfragen von Betroffenen oder Behörden, die die Auftragsverarbeitung betreffen, werden – sofern rechtlich zulässig – an den Kunden weitergeleitet.

15. Löschung und Rückgabe von Daten nach Vertragsende

  1. Nach Beendigung der Leistungserbringung werden personenbezogene Daten, die im Auftrag verarbeitet wurden, grundsätzlich gelöscht oder – auf Weisung – zurückgegeben, soweit dies technisch möglich ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

  2. Managed Backup Service: Aufgrund der technischen Immutability werden Backupdaten bis zum Ablauf der 60-Tage-Frist weiterhin gespeichert. Nach Ablauf erfolgt die automatische Löschung gemäß Retention.

  3. Logs: Protokolle verbleiben – soweit vorhanden – für 180 Tage und werden anschließend gelöscht/überschrieben, sofern keine längere Aufbewahrung erforderlich ist.

  4. Tickets (Odoo): Ticketdaten werden 2 Jahre vorgehalten und anschließend gelöscht/archiviert, sofern keine längere Aufbewahrung erforderlich ist.

16. Unterauftragnehmer (Auswahl, Kontrolle, EU-Only)

  1. Unterauftragnehmer werden sorgfältig ausgewählt und vertraglich verpflichtet (soweit einschlägig). Der Einsatz erfolgt entsprechend AVV-Regelungen (Informationspflichten/Widerspruch, soweit vereinbart).

  2. Derzeit eingesetzte Unterauftragnehmer (EU):

    • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen (Angabe vom Kunden; Firmensitz/Impressumsdaten zu prüfen) – Hosting/Infrastructure, Object Storage (Backup), Server (Webhosting)

    • STRATO GmbH, Otto-Ostrowski-Straße 7, 10249 Berlin – Server/Infrastruktur für Backup-Komponenten

    • TeamViewer Germany GmbH, (Bahnhofspl. 2, 73033 Göppingen, Deutschland) – Fernwartung/Remote Support

    • Microsoft (EU-Region/Tenant, Admin Tools via Lighthouse/Entra/Defender) – Administration/Management von Kundenumgebungen; die Rolle wird im AVV/Anlage Verarbeitung präzisiert (Kunde regelmäßig als Verantwortlicher gegenüber Microsoft)

  3. Eine Datenverarbeitung außerhalb der EU/des EWR durch Unterauftragnehmer findet nicht statt.

17. Servicespezifische TOM-Ergänzungen

17.1 IT-Support (Remote/Vor-Ort)

  • Remote-Zugriff nur nach Kundeneinwilligung/Sitzungsfreigabe (TeamViewer)

  • Minimierung von Datenabzug (nur erforderliche Informationen)

  • Ticketdokumentation in Odoo, Aufbewahrung 2 Jahre

17.2 Webhosting

  • Betrieb auf Hetzner-Servern (Falkenstein)

  • Administrative Zugriffe mit MFA, Logging (180 Tage soweit möglich)

  • Updates/Backups gemäß vereinbartem Serviceumfang (technische Umsetzung; Ziele gehören in Leistungsbeschreibung)

17.3 Managed Backup Service

  • Storage (Hetzner Object Storage, Falkenstein/Nürnberg)

  • Immutability 60 Tage, automatische Löschung danach

  • Monitoring der Backupfunktionalität und Benachrichtigung bei Störungen (Benachrichtigung ist Leistungsprozess; TOM-Aspekt: Sicherstellung der Verfügbarkeit)

17.4 Managed Security Service (vorläufig)

  • Verwaltung über Microsoft Admin-Tools (Lighthouse/Entra/Defender wahrscheinlich)

  • Rollen-/Rechtekonzept, MFA, Protokollierung (180 Tage soweit möglich)

  • Konkretisierung erfolgt mit finaler Leistungsdefinition

18. Kontaktstelle für Datenschutz-/Sicherheitsanfragen

Kontakt: info@mein-it-service.de

Telefon: +49 155 65620372

Adresse: Florian Eppe, Drosselweg 1c, 90480 Nürnberg