Zum Inhalt springen

Technisch-organisatorische Maßnahmen (TOMs)

Stand: 13.09.2025 – Version: v1.0

GeltungsbereichOrganisation und VerantwortlichkeitenZugangs-/ZutrittskontrollenZugriffskontrolle und TrennungKryptografie und TransportNetzwerksicherheitBetrieb, Patch- und ÄnderungsmanagementMonitoring und ProtokollierungBackups und WiederherstellungNotfallmanagement und ResilienzLieferanten- und Subprozessor-ManagementDatenschutzprozesseVorleister-TOMs (Infrastruktur)Weiterführende HinweiseKontakt Datenschutz

Geltungsbereich

  • Diese TOMs gelten für Verarbeitungen als Auftragsverarbeiter im Rahmen unseres AVV.
  • Ruhende Kundendaten werden ausschließlich in Rechenzentren in Deutschland oder Österreich gespeichert. Die konkreteZuordnung erfolgt nach technischer Verfügbarkeit; ein Wechsel innerhalb DE/AT ist zulässig.
  • Netzwerk-/Transitpunkte in EU/EWR/CH dienen Konnektivität/Peering; dort erfolgt keine dauerhafte Speicherung ruhenderKundendaten.

Organisation und Verantwortlichkeiten

  • Informationssicherheits- und Datenschutzverantwortung ist zugewiesen; Rollen, Verantwortlichkeiten undVertretungsregelungen sind dokumentiert.
  • Vertraulichkeitsverpflichtung für alle Personen mit Datenzugriff; regelmäßige Schulungen zu Datenschutz undInformationssicherheit.

Zugangs-/Zutrittskontrollen

  • Physische Sicherheit: über die Rechenzentrums-TOMs des Vorleisters (siehe „Vorl eister-TOMs“ unten).
  • Logische Zugänge: Need-to-know, Rollen- und Berechtigungskonzepte, regelmäßige Rezertifizierung von Rechten.
  • Authentisierung: starke Passwörter, Multi-Faktor-Authentisierung für Administrationszugänge (soweit verfügbar).

Zugriffskontrolle und Trennung

  • Mandanten-/Daten-Trennung auf System- und Dateiebene; Prinzip der minimalen Rechte.
  • Protokollierung administrativer Zugriffe und sicherheitsrelevanter Ereignisse; Zugriff auf Logs ist beschränkt.

Kryptografie und Transport

  • Verschlüsselung der Übertragung per TLS (aktuelle Protokolle).
  • Verschlüsselung ruhender Daten, soweit auf Infrastrukturebene verfügbar; Backup-Repositories mit starker Verschlüsselung.
  • Sicheres Schlüssel- und Secrets-Management.

Netzwerksicherheit

  • Segmentierung, Firewalls/Security-Groups, beschränkte Administrationsnetze.
  • DDoS- und WAF/CDN-Funktionen nur, wenn gesondert beauftragt (z. B. Cloudflare).
  • Regelmäßige Härtung von Diensten und Standardkonfigurationen.

Betrieb, Patch- und Änderungsmanagement

  • Patchmanagement für administrativ betriebene Systeme, Priorisierung von Security-Fixes.
  • Standardisierte Änderungsprozesse mit Vier-Augen-Prinzip für risikobehaftete Änderungen.
  • Sichere Entsorgung/Weiterverwendung von Datenträgern (Lösch- und Zerstörungsprozesse auf Vorleister- bzw.Systemebene).

Monitoring und Protokollierung

  • System- und Sicherheitsmonitoring; Alarmierung bei kritischen Ereignissen.
  • Zeit-/Synchronisations- und Integritätskontrollen; angemessene Logaufbewahrung.

Backups und Wiederherstellung

  • Backups nur bei gesonderter Beauftragung (Managed Backup). Typisch: tägliche Sicherung, verschlüsselte Ablage,optionale Replikation zu einem zusätzlichen, vom AN betriebenen Standort in AT.
  • RPO/RTO gemäß individueller Vereinbarung; regelmäßige Wiederherstellungstests nach Vereinbarung.

Notfallmanagement und Resilienz

  • Verfahren für Sicherheits- und Betriebsvorfälle (Erkennung, Bewertung, Eindämmung, Kommunikation).
  • Geplante Wartungen werden, soweit möglich, mindestens 48 Stunden vorher angekündigt; kritische Sicherheitsmaßnahmenkönnen kurzfristig erfolgen.

Lieferanten- und Subprozessor-Management

  • Vertragliche Bindung der Unterauftragsverarbeiter auf DSGVO-Standards; Prüfung veröffentlichter Sicherheitsinformationen.
  • Änderungen an Subprozessoren werden vorab angekündigt (vgl. AVV).

Datenschutzprozesse

  • Unterstützung bei Betroffenenrechten (Art. 12–23 DSGVO), Datenschutz-Folgenabschätzungen (Art. 35/36) und Meldungennach Art. 33/34.
  • Lösch- und Rückgabekonzepte nach Vertragsende; Berücksichtigung gesetzlicher Aufbewahrungen.

Vorleister-TOMs (Infrastruktur)

Weiterführende Hinweise

  • Liste der Unterauftragsverarbeiter und Empfänger ist für Kunden im Rahmen des AVV verfügbar.
  • Domain-Registries/Registrare und TLD-Bedingungen: https://www.digiflo.at/legal/registries

Kontakt Datenschutz