Technische und organisatorische Maßnahmen

Ziel dieser TOM ist die Gewährleistung eines dem Risiko angemessenen Schutzniveaus gemäß Art. 32 DSGVO (Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste).

Die Auswahl der Maßnahmen orientiert sich an Art, Umfang, Umständen und Zwecken der Verarbeitung sowie an den unterschiedlichen Eintrittswahrscheinlichkeiten und Schweregraden der Risiken.

Die Maßnahmen werden regelmäßig überprüft und bei Bedarf aktualisiert (insb. bei Änderungen der eingesetzten Systeme/Unterauftragnehmer oder bei sicherheitsrelevanten Ereignissen).

Personal / Zugriffskreis: Derzeit verarbeitet ausschließlich der Auftragsverarbeiter selbst (Einzelunternehmer) Daten im Rahmen der Leistungserbringung. Externe Unterauftragnehmer werden gemäß Abschnitt 10 eingesetzt.

Vertraulichkeit: Vertrauliche Informationen und personenbezogene Daten werden ausschließlich zur Vertragserfüllung verarbeitet. Zugriff erhalten nur Personen, die diesen zur Leistungserbringung benötigen.

Arbeits-/Servicezeiten: Kernzeiten Mo–Fr 09:00–16:00 Uhr (Feiertage am Sitz ausgenommen). Sicherheitsrelevante Ereignisse können hiervon unabhängig bearbeitet werden, soweit erforderlich und möglich.

Rechenzentrums- und Infrastrukturleistungen werden – je nach Service – über Unterauftragnehmer (z. B. Hetzner, STRATO, Microsoft) erbracht. Deren Rechenzentrums-/Zutrittsmaßnahmen (z. B. Zugangskontrollen, Videoüberwachung, Sicherheitsdienst) werden im Rahmen der Auswahl und fortlaufenden Zusammenarbeit berücksichtigt.

Lokale Systeme (Arbeitsplatz/Endgerät des Auftragsverarbeiters) sind gegen unbefugten Zugriff geschützt (Zugangsschutz/Passwort, Zugriff nur für den Auftragsverarbeiter).

Multi-Faktor-Authentifizierung (MFA): MFA wird für alle relevanten administrativen Systeme/Plattformen eingesetzt (z. B. Odoo, Hosting-/Cloud-Portale, TeamViewer, Microsoft Adminzugänge), soweit technisch verfügbar.

Passwortmanagement: Passwörter werden in einem Passwortmanager verwaltet. Passwörter werden nicht unverschlüsselt gespeichert oder über unsichere Kanäle versendet.

Zugriffsschutz: Konten sind personalisiert; gemeinsame „Shared Accounts" werden – soweit möglich – vermieden.

Zugriffe erfolgen nach dem Need-to-know-Prinzip: Zugriff nur soweit erforderlich, um die vereinbarte Leistung zu erbringen.

Administrative Zugriffe werden auf das erforderliche Mindestmaß beschränkt (Least Privilege).

Kundenumgebungen werden logisch getrennt verwaltet (Mandantentrennung).

Datenübertragungen erfolgen grundsätzlich verschlüsselt (z. B. TLS/HTTPS, verschlüsselte Remote-Sessions).

Fernwartung erfolgt typischerweise über TeamViewer. Der Zugriff erfolgt nur nach aktiver Freigabe durch den Kunden (Sitzungsaufbau/Bestätigung) und ist auf die zur Problemlösung erforderlichen Handlungen beschränkt.

Der Versand personenbezogener Daten per E-Mail wird – soweit möglich – vermieden; falls erforderlich, werden geeignete Schutzmaßnahmen gewählt (z. B. minimale Daten, Zweckbindung, Passwort getrennt übermitteln).

Soweit technisch möglich, werden sicherheits- und administrativ relevante Ereignisse protokolliert (z. B. Login-/Admin-Logs in Portalen/Plattformen).

Log-Aufbewahrung: Protokolle werden – soweit verfügbar – für 180 Tage vorgehalten und anschließend gemäß Systemlogik gelöscht oder überschrieben, sofern keine längere Aufbewahrung aus rechtlichen Gründen erforderlich ist.

Ticket- und Supportdokumentation erfolgt im Ticketsystem/der Kundendienst-App von Odoo. Aufbewahrung Tickets: 2 Jahre ab Ticketabschluss, anschließend Löschung/Archivierung gemäß definierter Routine.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, soweit die Verarbeitung als Auftragsverarbeitung einzuordnen ist.

Erscheint eine Weisung aus Sicht des Auftragsverarbeiters datenschutzrechtlich unzulässig, wird der Kunde hierüber informiert.

Maßnahmen zur Verfügbarkeitskontrolle werden entsprechend des vereinbarten Serviceumfangs umgesetzt.

Managed Backup Service – Immutability: Backups werden immutable für 60 Tage gespeichert. Innerhalb dieser Frist ist eine Löschung/Veränderung technisch ausgeschlossen.

Nach Ablauf der Immutability-Frist erfolgt die automatische Löschung der Backupdaten gemäß der konfigurierten Aufbewahrungslogik (Retention), soweit keine abweichende vertragliche Vereinbarung besteht.

System- und Sicherheitsupdates werden – soweit Bestandteil des jeweiligen Services (z. B. Webhosting) – nach vereinbartem Umfang umgesetzt.

Kundendaten werden logisch getrennt verarbeitet, soweit dies durch die Systeme (z. B. getrennte Mandanten/Tenants, getrennte Storage-Buckets/Repos, getrennte Zugänge) unterstützt.

Administrative Tätigkeiten erfolgen getrennt nach Kunde/Umgebung; Zugriffsrechte werden kundenbezogen vergeben.

Transportverschlüsselung: Datenverkehr zu administrativen Portalen, Remote-Sessions und Webdiensten erfolgt verschlüsselt (z. B. TLS/HTTPS).

Speicher-/Backupverschlüsselung: Backups werden verschlüsselt gespeichert bzw. über verschlüsselte Speichermechanismen abgelegt, soweit dies im eingesetzten Backup-/Storage-System vorgesehen ist.

Sicherheitsmaßnahmen werden regelmäßig überprüft, insbesondere:

• bei Änderungen von Tools/Unterauftragnehmern,
• bei sicherheitsrelevanten Vorfällen,
• mindestens anlassbezogen im Rahmen der Servicepflege.

Erkenntnisse aus Vorfällen oder Schwachstellen führen zu angemessenen Anpassungen.

Der Auftragsverarbeiter unterhält ein Verfahren zur Erkennung, Bewertung und Behandlung von Sicherheitsvorfällen, soweit in seinem Einflussbereich.

Werden dem Auftragsverarbeiter Datenschutzverletzungen bekannt, informiert er den Kunden unverzüglich mit den verfügbaren Informationen, die zur Erfüllung von Melde- und Benachrichtigungspflichten erforderlich sind (Art. 33, 34 DSGVO).

Der Auftragsverarbeiter unterstützt den Kunden im angemessenen Umfang bei der Aufklärung und Eindämmung, soweit dies technisch und organisatorisch möglich ist.

Der Auftragsverarbeiter unterstützt den Kunden im angemessenen Umfang bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung etc.), soweit die Verarbeitung im Auftrag betroffen ist und die Unterstützung technisch möglich ist.

Anfragen von Betroffenen oder Behörden, die die Auftragsverarbeitung betreffen, werden – sofern rechtlich zulässig – an den Kunden weitergeleitet.

Nach Beendigung der Leistungserbringung werden personenbezogene Daten, die im Auftrag verarbeitet wurden, grundsätzlich gelöscht oder – auf Weisung – zurückgegeben, soweit dies technisch möglich ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Managed Backup Service: Aufgrund der technischen Immutability werden Backupdaten bis zum Ablauf der 60-Tage-Frist weiterhin gespeichert. Nach Ablauf erfolgt die automatische Löschung gemäß Retention.

Logs: Protokolle verbleiben für 180 Tage und werden anschließend gelöscht/überschrieben.

Tickets (Odoo): Ticketdaten werden 2 Jahre vorgehalten und anschließend gelöscht/archiviert, sofern keine längere Aufbewahrung erforderlich ist.

Unterauftragnehmer werden sorgfältig ausgewählt und vertraglich verpflichtet. Der Einsatz erfolgt entsprechend AVV-Regelungen.

Derzeit eingesetzte Unterauftragnehmer (EU):

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen – Hosting/Infrastructure, Object Storage (Backup), Server (Webhosting)
• STRATO GmbH, Otto-Ostrowski-Straße 7, 10249 Berlin – Server/Infrastruktur für Backup-Komponenten
• TeamViewer Germany GmbH, Bahnhofspl. 2, 73033 Göppingen – Fernwartung/Remote Support
• Microsoft (EU-Region/Tenant) – Administration/Management von Kundenumgebungen via Lighthouse/Entra/Defender

Eine Datenverarbeitung außerhalb der EU/des EWR durch Unterauftragnehmer findet nicht statt.

17.1 IT-Support (Remote/Vor-Ort)

• Remote-Zugriff nur nach Kundeneinwilligung/Sitzungsfreigabe (TeamViewer)
• Minimierung von Datenabzug (nur erforderliche Informationen)
• Ticketdokumentation in Odoo, Aufbewahrung 2 Jahre

17.2 Webhosting

• Betrieb auf Hetzner-Servern (Falkenstein)
• Administrative Zugriffe mit MFA, Logging (180 Tage soweit möglich)
• Updates/Backups gemäß vereinbartem Serviceumfang

17.3 Managed Backup Service

• Storage: Hetzner Object Storage, Falkenstein/Nürnberg
• Immutability 60 Tage, automatische Löschung danach
• Monitoring der Backupfunktionalität und Benachrichtigung bei Störungen

17.4 Managed Security Service (vorläufig)

• Verwaltung über Microsoft Admin-Tools (Lighthouse/Entra/Defender)
• Rollen-/Rechtekonzept, MFA, Protokollierung (180 Tage soweit möglich)
• Konkretisierung erfolgt mit finaler Leistungsdefinition

E-Mail: kontakt@flowstackit.de

Telefon: +49 155 65620372

FlowStack IT UG (haftungsbeschränkt), Florian Eppe, Drosselweg 1c, 90480 Nürnberg