Technische und organisatorische Maßnahmen (TOM)

TOM beschreiben Verhaltensregeln und Schutzeinrichtungen, die dem Missbrauch von PbD entgegenwirken oder im Idealfall verhindern.

Jedes Unternehmen muss seinen eigenen Weg finden, Datenschutz optimal zu gestalten. Im Folgenden sind unsere TOM erläutert.

Technische Maßnahmen

Moderne Servertechnik

Wir lagern PbD ausschließlich auf dezidierten Servern in geschützten Rechenzentren der Unternehmen Hetzner und Vautron. Die moderne Sicherheitsarchitektur schützt besser vor manuellem Zugriff als das in unseren Agenturräumen möglich wäre.

Auf den Servern verwenden wir ausschließlich das als verlässlich und sicher bekannte Betriebssystem LINUX (Debian).

PbD in der manuellen Verarbeitung

Für von Kunden übertragene Daten für die manuelle Verarbeitung steht unsere Cloud (System Nextcloud) zur Verfügung. In einem gesondert für PbD eingerichteten Bereich werden alle Daten verschlüsselt gespeichert, so dass ein direkter Zugriff auf die Datenbank keine Daten preisgeben würde.

Computer und andere Devices in den Agenturräumen, Home-Offices oder auf Reisen

Alle Devices, die in Verbindung mit Arbeitsdaten stehen oder generell im Agenturkontext stehen sind durch Passwort gegen unbefugten Zugang geschützt.

Wir verwenden ausschließlich Devices der Marke Apple*.

* Für Testzwecke besitzen und nutzen wir auch andere Geräte. Diese Geräte haben keinen Zugang zu relevanten Daten oder werden für reguläre Arbeiten verwendet.

Digitale Services

Zu unseren digitalen Angeboten gehören insbesondere Websites, u.A. mit Shopfunktion, organisatorischen Tools wie Konferenzfunktionen, Verbindungen zu anderen Diensten über Integrationen oder API Verbindungen (REST API).

Redaxo

Für das von uns genutzte CMS Redaxo haben wir eine Verwaltung für externe Services entwickelt, die ohne Einwilligung keine Verbindung zu Drittanbietern erlaubt (auch kein Prefetch).

Der Zugang zu sensiblen Bereichen ist durch Passwort geschützt. Eine detaillierte Zugangsberechtigungsverwaltung kann Mitarbeitenden präzise Rechte geben.

Dalara

Unser FEE-CMS legt PbD verschlüsselt in der Datenbank ab. Der Zugang zu sensiblen Bereichen ist durch Passwort geschützt.

Organisatorische Maßnahmen

Passworte

Wir verfolgen eine 3 stufige Passwortregel. Danach sind Passworte in "leicht", "wichtig" und "kritisch" unterteilt. Für jede Kategorie ist ein Regelwerk für das Erstellen des Passwortes definiert.

Passworte werden ausschließlich verschlüsselt aufbewahrt. Um einem Verlust vorzubeugen sind Passworte außerdem extern in einer selfhosted Passwortverwaltung gesichert.

Zugangsschutz

Alle Bereiche, die PbD enthalten können, sind mindestens durch Passwort geschützt. Außerdem kommen Schlüsselpaare zur Identifikation zum Einsatz.

Wenn möglich nutzen wir 2-Faktor-Authentifizierungen.

Mitarbeiter haben jeweils nur die Zugänge zu Projekten, denen Sie zugeordnet sind. Die Anzahl der Mitarbeiter, die mit einem Projekt verknüpft sind, kann jederzeit bei uns erfragt werden.

Dezidierte Server

Verträge über die Nutzung dezidierter Server* haben wir mit Hetzner und Vautron. Mit Hetzner ist ein AV-Vertrag abgeschlossen. Auf Vautron-Servern werden, abgesehen von IP-Protokollen, keine PbD gespeichert oder anderweitig verarbeitet. Außerdem sind auf Vautron-Servern keine Kunden-Websites gehostet.

Aufbewahrung

PbD, die von Kunden übermittelt werden, nehmen wir ausschließlich über unsere Cloud* entgegen. Verwendet wird dafür ein Cloudbereich, in dem alle Daten verschlüsselt sind. Der Zugang ist jeweils passwortgeschützt.

Wir speichern PbD ausschließlich auf unseren Servern (Dedicated Server bei Hetzner) oder temporär auf lokalen Devices. Alle MA sind angewiesen alle in der Auftragsdatenverarbeitung temporär auf dem Arbeitsplatz gespeicherten PbD nach Abschluss des Projekts oder beim Verlassen des Arbeitsplatzes zu löschen - je nachdem welcher Fall früher eintritt.

* Wir betreiben einen eigenen Cloud-Server als Dedicated Server bei Hetzner mit Standort Deutschland

Kommunikation

Wir bieten die Kommunikation mit via PGP verschlüsselten eMails an. Dazu wird in jeder unserer eMails der jeweilige öffentliche Schlüssel mit übertragen. Sobald wir den öffentlichen Schlüssel einer Kommunikationspartner:in erhalten haben, setzen wir die weitere Kommunikation verschlüsselt fort.

Mitarbeiter:innen

Unsere Mitarbeiter:innen sind durch Arbeits- oder Ausbildungsvertrag verpflichtet unsere organisatorischen Maßnahmen einzuhalten. Dazu gehört der datenschutzkonforme Umgang mit PbD. Insbesondere ist das Bewahren von PbD auf den Arbeitsdevices strikt untersagt.

Softwareentwicklung

Im Rahmen der Softwareentwicklung ist der Datenschutz ein zentrales Thema. Nicht nur PbD, sondern alle von uns entwickelten Systeme und Funktionen müssen sorgfältig und lückenlos gegen Zugriff durch Unbefugte geschützt werden. 

Kontinuierliche Fortbildung am Projekt ist unser Weg mit der Herausforderung umzugehen. Sofern möglich, nutzen wir die Verschlüsselung von Daten. Zugangsberechtigung haben jeweils nur am Projekt Beteiligte.

Audits

Wir prüfen alle den Datenschutz betreffenden Bereiche in regelmäßigen Abständen. Das betrifft insbesondere unsere digitalen Dienste, die wir als Angebote zur Verfügung stellen.