TOM

07.07.21 / Version 2.1

Technische und organisatorische Maßnahmen (TOM) i.S.d. Art. 32 DSGVO

Präambel

Der Locaboo GmbH Webserver befindet sich in einem Rechenzentrum der Hetzner Online GmbH mit Standort Gunzenhausen (Deutschland). Die Dokumentation der technischen und organisatorischen Maßnahmen (TOM) zum Webserver können Sie entsprechend dem Dokument “Technische und organisatorische Maßnahmen” von Hetzner entnehmen.

1. Zutrittskontrolle

Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden bzw. in denen personenbezogene Daten gelagert werden.

Umzsetzung zur Maßnahme:

  1. Die Räumlichkeiten der Locaboo GmbH in denen Kunden-Daten erhoben, verarbeitet und/oder genutzt werden, werden ausschließlich von Mitarbeitern und entsprechend dieser Bestimmungen verpflichteten Vertragspartnern der Locaboo GmbH genutzt und betreten. Ausgenommen hiervon sind Personen, die sich zur Erfüllung der Verpflichtungen aus dem Rahmenvertrag in den Räumlichkeiten aufhalten müssen und die dabei während ihres gesamten Aufenthalts von Zutrittsberechtigten im Sinne des Satz 1 dieser Ziffer 1.1 begleitet werden.

  2. Die Eingänge zu den Räumlichkeiten sind mit Sicherheitsschlüsseln gegen Zutritt Unbefugter gesichert.

  3. Türen, Tore und Fenster werden außerhalb der Betriebszeiten fest verschlossen; Die Eingangstüre im Erdgeschoss sowie alle weiteren leicht zu erreichenden Zugänge zu den Räumen sind derart gesichert, dass diese Unbefugten nur erheblich erschwert zugänglich sind.

  4. Die Vergabe von Zutrittsberechtigungen und von Schlüsseln ist nachvollziehbar dokumentiert. Das Betreten der Räumlichkeiten wird unverzüglich beim Betreten und für jeweils einen Zeitraum von einem Monat nach Betreten der Räumlichkeiten protokolliert.

  5. Datensicherungen werden ständig in verschlossenen Sicherungsschränken aufbewahrt. Der Zugriff ist ausschließlich den zum Zweck der Vertragserfüllung von eingesetzten Mitarbeitern der Locaboo GmbH möglich.

  6. Webserver, siehe “Technische und organisatorische Maßnahmen” von Hetzner.

2. Zugangskontrolle

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Umsetzung zur Maßnahme:

  1. Schutz durch Authentifikations- und Autorisationssysteme; Wir verwenden Benutzerkennungen und komplexe Passwörter, sowie abgestufte Zugriffsrechte.

  2. Zugang zur Erhebung, Verarbeitung und Nutzung der Kunden-Daten mit den eingesetzten Systemen nur an die zur Leistungserbringung eingesetzten Mitarbeiter und nur für den erforderlichen Umfang.

  3. Personenspezifische Benutzerzugänge.

  4. Technische Einschränkung für Nutzung Dritter, z.B. für die technische Wartung. Kein Zugriff auf Kunden-Daten durch Dritte ohne schriftliche Genehmigung durch den Auftraggeber.

  5. Jede Vergabe von Zugängen und Zugriffsberechtigungen ist dokumentiert.

  6. Passwort-Regel: Sichere Passwörter mit Sonderzeichen und mind. 8 Zeichen.

  7. Passwörter-Änderung durch den Benutzer selbst alle 3 Monate.

  8. Passwörter werden gesichert gespeichert und nicht an Dritte weitergegeben.

  9. Übermittlung von Passwörtern wenn möglich verschlüsselt und ausschließlich an zur authentifizierte berechtigte Empfänger.

  10. Webserver, siehe “Technische und organisatorische Maßnahmen” von Hetzner

3. Zugriffskontrolle

Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Umsetzung zur Maßnahme:

4. Weitergabekontrolle

Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Umsetzung zur Maßnahme:

5. Eingabekontrolle

Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Umsetzung zur Maßnahme:

6. Auftragskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Umsetzung zur Maßnahme:

7. Verfügbarkeitskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Umsetzung zur Maßnahme:

8. Trennungskontrolle

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Umsetzung zur Maßnahme:

9. Verschlüsselung und Pseudonymisierung

Es ist zu gewährleisten, dass ausreichende Verfahren zur Verschlüsselung und Pseudonymisierung angewendet werden, sofern dies auf Grund der Tätigkeit erforderlich ist.Umsetzung zur Maßnahme:

10. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Datenschutzmanagementsystem)

Auflistung der umgesetzten Maßnahmen zur Gewährleistung eines kontinuierlichen Verbesserungsprozesses: