Default logo
ProduktPreiseAnmeldenKostenlos testen
Home/rechtliches/Technische und organisatorische Maßnahmen (TOM)

Disclaimer: This page is an automated translation of the original English document, provided of you convenience.
In case of any dicrepancy between the translation and the English original, the English version shall prevail.
Pease refer to the original [Technical and Organisational Measures (TOM)] in English for the definitive text.

Technische und organisatorische Maßnahmen (TOM)

Einleitung

Deskhero AB (“wir,” “uns,” oder “unser“) verpflichtet sich, geeignete technische und organisatorische Maßnahmen zu implementieren, um ein dem Risiko der Verarbeitung personenbezogener Daten für unsere Clients angemessenes Sicherheitsniveau zu gewährleisten („Sie” oder “Client“), Nutzende und Kunden des Clients, in Übereinstimmung mit der EU-Datenschutz-Grundverordnung (DSGVO) und anderen anwendbaren Datenschutzgesetzen.

Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen, die wir implementiert haben, um personenbezogene Daten zu schützen, die über unsere Software-as-a-Service (SaaS)-Plattform („Service“) verarbeitet werden, basierend auf unserer AWS-Infrastruktur.

1. Organisatorische Maßnahmen

1.1 Datenschutz-Governance

  • Datenschutzbeauftragter (DPO):
    • Name: Klas Karlsson
    • E-Mail: dpo@deskhero.com
    • Telefon: +46 70 601 13 22

Verantwortung:

  • Aufsicht über Datenschutzstrategie und Compliance.
  • Überwachung der Einhaltung von Datenschutzrichtlinien und -verfahren.
  • Fungiert als Anlaufstelle für betroffene Personen und Aufsichtsbehörden.

1.2 Richtlinien und Verfahren

  • Datenschutzrichtlinien:
    • Einrichtung interner Datenschutzrichtlinien, die regelmäßig überprüft und aktualisiert werden.
    • Die Richtlinien umfassen den Umgang mit Daten, die Reaktion auf Verstöße, Zugriffskontrolle und die Verantwortlichkeiten der Mitarbeitenden.
  • Mitarbeiter­schulungen:
    • Verpflichtende Schulungsprogramme für alle Mitarbeitenden zu Datenschutz, Privatsphäre und Informationssicherheit.
    • Regelmäßige Updates zu neuen Bedrohungen und Best Practices.
  • Vertraulichkeitsvereinbarungen:
    • Mitarbeitende und Auftragnehmende müssen Vertraulichkeits- und Geheimhaltungsvereinbarungen unterzeichnen.

1.3 Zugriffsmanagement

  • Zugriffskontrollrichtlinie:
    • Der Zugriff auf personenbezogene Daten wird nach dem Need-to-know-Prinzip gewährt.
    • Regelmäßige Überprüfungen der Benutzerzugriffsrechte.
  • Authentifizierungsmechanismen:
    • Verwendung starker Passwörter und Multi-Faktor-Authentifizierung (MFA) für den Systemzugriff.
    • Sperrung von Konten nach mehreren fehlgeschlagenen Anmeldeversuchen.

1.4 Incident Response

  • Incident-Response-Plan:
    • Verfahren zur Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle.
    • Festgelegtes Incident-Response-Team.
  • Benachrichtigungsverfahren:
    • Verpflichtung, Clients und Behörden bei Datenschutzverletzungen unverzüglich zu benachrichtigen.

1.5 Vendor Management

  • Due Diligence:
    • Bewertung von Sub-Prozessoren hinsichtlich der Einhaltung von Datenschutzstandards.
  • Verträge:
    • Sicherstellung, dass Vereinbarungen mit Sub-Prozessoren Datenschutzpflichten enthalten.

2. Technische Maßnahmen

2.1 Datenverschlüsselung

  • Während der Übertragung:
    • Personenbezogene Daten werden bei der Übertragung über öffentliche Netze mit TLS 1.2 oder höher verschlüsselt.
  • Im Ruhezustand:
    • Personenbezogene Daten in Datenbanken und Backups werden mithilfe von AWS-Verschlüsselungsdiensten verschlüsselt (z. B. AES-256 für EBS-Volumes, RDS-Verschlüsselung).

2.2 Netzwerksicherheit

  • AWS-Infrastruktur:
    • Unser Service wird auf Amazon Web Services (AWS) gehostet und nutzt deren sichere Infrastruktur und Dienste.
  • Firewalls und Security Groups:
    • AWS Security Groups steuern ein- und ausgehenden Traffic zu Ressourcen und fungieren als virtuelle Firewalls auf Instanzebene.
  • Virtual Private Cloud (VPC):
    • AWS VPC ist so konfiguriert, dass Netzwerkverkehr isoliert und abgesichert wird.
    • Private Subnetze werden für interne Ressourcen verwendet, sodass Datenbanken und Caches nicht dem öffentlichen Internet ausgesetzt sind.
  • AWS CloudFront und Application Load Balancer (ALB):
    • AWS CloudFront dient als Content Delivery Network (CDN) und Einstiegspunkt und sorgt für eine sichere und effiziente Auslieferung.
    • AWS ALB verteilt eingehenden Traffic auf Amazon ECS (Elastic Container Service) Container, die die Anwendung hosten.
  • Intrusion Detection und Threat Monitoring:
    • Zwar werden keine dedizierten IDS/IPS-Systeme eingesetzt, doch bieten AWS-Dienste Funktionen zur Überwachung des Netzwerkverkehrs.

2.3 Systemsicherheit

  • Sicheres Configuration Management:
    • Die Infrastruktur wird mit Terraform verwaltet, was konsistente und sichere Konfigurationen in allen Umgebungen ermöglicht.
  • Umgebungstrennung:
    • Getrennte Umgebungen für Entwicklung („Sandbox“), Staging und Produktion werden vorgehalten, um Code- und Infrastrukturänderungen vor dem Rollout zu testen.
  • Patch Management:
    • Regelmäßige Updates und Patches werden auf Betriebssysteme und Anwendungen angewendet, wobei AWS-Dienste und Automatisierung genutzt werden, wo dies möglich ist.

2.4 Anwendungssicherheit

  • Sichere Entwicklungspraktiken:
    • Einsatz von Secure-Software-Development-Lifecycle-(SSDLC)-Prinzipien.
    • Regelmäßige Code-Reviews, statische Code-Analysen und Sicherheitstests werden durchgeführt.
  • Penetrationstests:
    • Regelmäßige Sicherheitsbewertungen und Schwachstellenscans werden durchgeführt; bei Bedarf erfolgt zusätzlich Penetrationstests durch Dritte.

2.5 Zugriffskontrolle

  • AWS Identity and Access Management (IAM):
    • Rollenbasierte Zugriffskontrolle (RBAC) wird mithilfe von AWS IAM-Rollen und -Richtlinien umgesetzt.
    • Der Zugriff auf AWS-Ressourcen erfolgt nach dem Least-Privilege-Prinzip.
  • Multi-Faktor-Authentifizierung (MFA):
    • Für jeglichen administrativen Zugriff auf AWS-Management-Interfaces ist MFA erforderlich.
  • Logging und Monitoring:
    • AWS CloudTrail protokolliert API-Aufrufe und Aktionen innerhalb der AWS-Umgebung.
    • AWS CloudWatch überwacht Logs und Metriken auf Anomalien.

2.6 Datensicherung und -wiederherstellung

  • Regelmäßige Backups:
    • Automatisierte Datenbank-Backups werden mit den automatischen Backup-Funktionen von AWS RDS durchgeführt.
  • Verschlüsselte Backups:
    • Backup-Daten werden ruhend mit AWS Key Management Service (KMS) verschlüsselt.
  • Disaster-Recovery-Plan:
    • Dokumentierte Verfahren zur Datenwiederherstellung und Service-Kontinuität sind vorhanden.
  • Testen der Wiederherstellungsprozesse:
    • Die Wiederherstellung und Recovery-Verfahren der Backups werden regelmäßig getestet.

2.7 Physische Sicherheit

  • AWS-Rechenzentren:
    • Physische Sicherheitskontrollen werden von AWS verwaltet, darunter:
      • 24/7 security personnel.
      • Biometric access controls.
      • CCTV surveillance.
      • Environmental controls like fire suppression and climate control.
  • AWS-Compliance:
    • AWS-Rechenzentren entsprechen Branchenstandards wie ISO 27001 und SOC 1/2/3, was unsere Compliance-Bemühungen unterstützt.

2.8 Endpunktsicherheit

  • Gerätesicherheitsrichtlinien:
    • Unternehmensgeräte sind abgesichert durch:
      • Full disk encryption.
      • Up-to-date anti-malware software.
      • Strong authentication mechanisms.
  • Remote-Zugriff:
    • Für den Fernzugriff auf interne Systeme sind, sofern zutreffend, sichere VPN-Verbindungen erforderlich.
  • Remote-Wipe-Funktionen:
    • Möglichkeit, Unternehmensgeräte bei Verlust oder Diebstahl aus der Ferne zu löschen.

2.9 Logging und Monitoring

  • Umfassendes Logging:
    • Detaillierte Protokolle über Systemaktivitäten, Zugriffe und Fehler werden geführt.
  • Sicherheitsmonitoring:
    • Echtzeitüberwachung von Sicherheitsereignissen mit AWS-Diensten wie CloudWatch und GuardDuty.
  • Alerting:
    • Automatisierte Benachrichtigungen sind für verdächtige Aktivitäten oder Sicherheitsvorfälle eingerichtet.

2.10 Datenminimierung und Pseudonymisierung

  • Datenminimierung:
    • Erfassung und Verarbeitung nur der personenbezogenen Daten, die für die festgelegten Zwecke erforderlich sind.
  • Pseudonymisierung und Anonymisierung:
    • Soweit angemessen werden personenbezogene Daten pseudonymisiert oder anonymisiert, um das Risiko für Betroffene zu verringern.

3. Regelmäßige Tests und Bewertungen

  • Schwachstellenscans:
    • Regelmäßige automatisierte Scans der Systeme zur Erkennung von Schwachstellen unter Verwendung von AWS-kompatiblen Tools.
  • Sicherheitsaudits:
    • Regelmäßige Sicherheitsaudits und Bewertungen werden durchgeführt, um die Wirksamkeit der Maßnahmen zu überprüfen.
  • AWS Well-Architected Reviews:
    • Regelmäßige Überprüfungen mithilfe des AWS Well-Architected Frameworks, um sicherzustellen, dass Best Practices eingehalten werden.

4. Einhaltung von Standards

  • Regulatorische Compliance:
    • Einhaltung der DSGVO und anderer anwendbarer Datenschutzgesetze.
  • Ausrichtung an Best Practices:
    • Ausrichtung der Sicherheitspraktiken an branchenüblichen Best Practices und Richtlinien, einschließlich:
  • AWS Security Best Practices.
    • NIST Cybersecurity Framework.

5. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

  • Privacy Impact Assessments (PIAs):
    • Durchgeführt bei neuen Verarbeitungstätigkeiten oder wesentlichen Änderungen bestehender Prozesse.
  • Sichere Standard­einstellungen:
    • Systeme und Anwendungen sind so konfiguriert, dass standardmäßig nur notwendige personenbezogene Daten verarbeitet werden.

6. Sensibilisierung und Schulungen

  • Mitarbeiterschulung:
    • Regelmäßige Schulungen zu Datenschutzrichtlinien, Verfahren und Best Practices, einschließlich AWS-spezifischer Sicherheitsschulungen.
  • Security-Awareness-Programme:
    • Laufende Initiativen zur Förderung einer Kultur von Sicherheit und Datenschutz innerhalb der Organisation.

7. Sicherheit der Sub-Prozessoren

  • AWS Shared Responsibility Model:
    • Verständnis und Einhaltung des AWS Shared Responsibility Models, bei dem AWS für die Sicherheit „of the cloud“ und wir für die Sicherheit „in the cloud“ verantwortlich sind.
  • Vendor Management:
    • Regelmäßige Bewertung von Sub-Prozessoren, um sicherzustellen, dass sie unsere Sicherheits- und Compliance-Anforderungen erfüllen.

8. Incident Management

  • Erkennung und Meldung:
    • Systeme zur schnellen Erkennung von Sicherheitsvorfällen mithilfe von AWS-Monitoring-Diensten sind vorhanden.
  • Reaktionsverfahren:
    • Definierte Schritte für Eindämmung, Beseitigung, Wiederherstellung und Kommunikation.
  • Benachrichtigungspflichten:
    • Verfahren, um Clients und Behörden bei Datenschutzverletzungen ohne unangemessene Verzögerung zu benachrichtigen.

9. Datenaufbewahrung und -löschung

  • Aufbewahrungsrichtlinien:
    • Personenbezogene Daten werden nur so lange aufbewahrt, wie es für die Zwecke, für die sie erhoben wurden, oder gesetzlich vorgeschrieben ist.
  • Sichere Löschung:
    • Nach Ablauf der Aufbewahrungsfrist werden personenbezogene Daten sicher gelöscht oder anonymisiert.
  • Löschanfragen:
    • Prozesse zur Bearbeitung von Löschanfragen betroffener Personen gemäß DSGVO sind etabliert.

10. Kontaktinformationen

Bei Fragen oder Anliegen zu unseren technischen und organisatorischen Maßnahmen kontaktieren Sie bitte unseren Datenschutzbeauftragten (DPO):

  • Name: Klas Karlsson
  • E-Mail: dpo@deskhero.com
  • Telefon: +46 70 601 13 22

Hinweis: Dieses Dokument kann von Zeit zu Zeit aktualisiert werden, um Änderungen unserer Sicherheitspraktiken widerzuspiegeln. Wir informieren Clients über wesentliche Änderungen, wie in unserer Datenschutzerklärung und Auftragsverarbeitungsvertrag.