work-less

Erste Schritte
Upgrade auf Pro
Nutzungsbedingungen
Datenschutz
TOM
Impressum

Technisch organisatorische Maßnahmen (TOM)

Stand: 04.01.2025

Präambel

Wir – die work-less GmbH, Heinrich-Heine-Straße 11, 90587 Veitsbronn, Deutschland – treffen bei der Erbringung der Dienste gemäß Hauptvertrag zusammen mit dem Kunden – nachstehend „Auftraggeber“ – unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen die folgenden technischen und organisatorischen Maßnahmen (TOM), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die Auswahl der Maßnahmen gliedert sich in die Bereiche:

  • Pseudonymisierung
  • Verschlüsselung
  • Vertraulichkeit und Integrität
  • Verfügbarkeit und Belastbarkeit
  • Wirksamkeitsprüfung

Pseudonymisierung

Maßnahmen zur Pseudonymisierung haben den Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

  1. Die Ablage und Zusammenführung personenbezogener Daten erfolgen anhand einer pseudonymisierten Nutzeridentifikationsnummer (User-ID).

Verschlüsselung

Maßnahmen zur Verschlüsselung haben den Zweck, die Nutzung und den Missbrauch der Daten durch unberechtigte Dritte – mangels Schlüssel – zu verhindern.

1. Für die sichere Kommunikation zwischen Server und Client verwenden wir HTTPS, das HTTP mit Transport Layer Security (TLS) kombiniert. Diese Technologie schützt die Daten während der Übertragung vor unberechtigtem Zugriff und Manipulation. Wir verwenden gültige SSL/TLS-Zertifikate von vertrauenswürdigen Zertifizierungsstellen und stellen sicher, dass die neuesten TLS-Versionen implementiert sind.

2. Passwörter werden niemals im Klartext gespeichert. Stattdessen wird ein sicheres, auf kryptographischen Hashfunktionen basiertes Verfahren verwendet (“Salted Cryptographic Hash”).

Vertraulichkeit und Integrität

Maßnahmen zur Vertraulichkeit und Integrität dienen dem Schutz personenbezogener Daten vor unbefugter Preisgabe, sowie der Sicherstellung, dass die Systeme korrekt funktionieren, und die Daten unversehrt, das heißt vollständig und durch äußere Einflüsse unverändert, bleiben.

  1. Die genutzten Rechenzentren – sofern nicht anders vereinbart oder anderweitig dokumentiert die Rechenzentren der hosting.de GmbH in Aachen, Deutschland – verfügen über umfangreiche und moderne Zutrittskontrollen (bspw. elektronische Zutrittskontrollsysteme, Kameraüberwachung, Einbruchmeldeanlagen, Wachpersonal) und implementieren Prozesse, die nachhaltig vor unbefugtem Zutritt schützen (bspw. festgelegte Sicherheitsbereiche, individuelle Zutrittsberechtigungsvergabe, rollenbasiertes Berechtigungskonzept). Weitere Informationen über die getroffenen Schutzmaßnahmen finden Sie auf der Webseite von hosting.de.
  2. Die öffentlich bereitgestellten Server-Systeme, die dedizierten Enterprise-Systeme je Mandant und die Entwicklungssysteme, sowie deren jeweiligen Datenspeicher- und Backup-Speicherorte, sind durch separate Netzwerke und Netzwerk-Segmente vollständig voneinander getrennt. Netzwerke und Netzwerk-Segmente sind durch restriktive Firewall-Regeln geschützt. Systemkomponenten sind entsprechend allgemein etablierter und akzeptierter Industriestandards verstärkt (bspw. Sperrung von nicht erforderlichen Ports, regelmäßige Software-Updates).
  3. Die Vergabe von Zugriffsrechten erfolgt unter Einhaltung spezifischer Genehmigungsregelungen und wird dokumentiert. Das Prinzip der geringsten Rechtevergabe (“Need-to-Know-Prinzip”), nachdem Nutzer nur diejenigen Zugänge erhalten, die für die Erfüllung ihrer Aufgaben nötig sind, wird eingesetzt. Zugriffsrechte für IT-Systeme werden regelmäßig überprüft und entzogen, sobald die geschäftliche Notwendigkeit für den Zugriff nicht mehr besteht. Kritische administrative Rechtekombinationen werden überwacht (“Separation-of-Duty-Prinzip”).
  4. Alle Mitarbeiter sind im Umgang mit vertraulichen Daten unterrichtet und schriftlich auf die Wahrung der Vertraulichkeit verpflichtet. Verbindliche Regeln für die Einsichtnahme in und die Offenlegung von sensiblen Daten, sowie schriftliche Richtlinien für die Übertragung und Weitergabe von Daten bestehen. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich entsprechend den Weisungen des Auftraggebers.
  5. Arbeitsgeräte sind mit Sicherheitssoftware wie bspw. Firewalls, Antivirus-Software und Malware-Erkennung ausgestattet. Schriftliche Regelungen zum Umgang mit mobilen Geräten und Datenträgern, zur sicheren Datenlöschung, zur Vernichtung von Datenträgern, sowie zur Remote-Arbeit (Home-Office) bestehen. Unbeaufsichtigte IT-System werden automatisch gesperrt.
  6. Passwörter erfordern eine definierte Mindestkomplexität. Initiale Passwörter müssen nach der ersten Anmeldung geändert werden.

Verfügbarkeit und Belastbarkeit

Die Maßnahmen zur Verfügbarkeit und Belastbarkeit haben den Zweck, die Dienste und internen Betriebsabläufe, sowie deren Informationssicherheit, auch bei Betriebsstörungen und unvorhergesehenen Ereignissen zu gewährleisten.

  1. Die genutzten Rechenzentren – sofern nicht anders vereinbart oder anderweitig dokumentiert die Rechenzentren der hosting.de GmbH in Aachen, Deutschland – verfügen über umfangreiche und moderne Brandmelde- und Löscheinrichtungen, Klima- und Temperaturregelungen sowie Maßnahmen zum Überspannungsschutz und zur unterbrechungsfreien Stromversorgung (USV). Weitere Informationen finden Sie auf der Webseite von hosting.de.
  2. Die Inbetriebnahme der bereitgestellten Produktiv-Systeme, deren Konfiguration und das Einspielen von Änderungen wird  dokumentiert.
  3. Backups der Produktiv-Daten erfolgen mindestens täglich als Voll-Backup. Technische Zugriffsbeschränkungen, automatische Historisierungs- und Lösch-Policies, sowie strikte organisatorische Vorgaben zum Umgang mit Backups sind implementiert.
  4. Disaster-Recovery-Prozesse für die Datenwiederherstellung und Prozesse zur stichprobenartigen Prüfung der Wiederherstellungsfähigkeit sind definiert.
  5. Capacity-Management-Maßnahmen zur Überwachung des Resourcen-Verbrauchs der Systeme sowie der Planung des zukünftigen Ressourcen-Bedarfs sind implementiert.
  6. Verfahren zum Umgang und der Meldung von Störungen (Incident-Management) inklusive der Erkennung und Reaktion auf mögliche Sicherheitsvorfälle sind definiert.

Wirksamkeitsprüfung

Die Maßnahmen zur Wirksamkeitsprüfung dienen der regelmäßigen Kontrolle und Bewertung der Effektivität aller zuvor beschriebenen technischen und organisatorischen Maßnahmen.

  1. Datenschutzkoordinatoren sind definiert und beauftragt, Änderungen in den internen Arbeitsprozessen aus Datenschutzsicht zu begleiten, auf Datenschutzaspekte hinzuweisen, und mit dem Datenschutzbeauftragten abzustimmen. Regelmäßige Besprechungen des Datenschutzbeauftragten mit den Datenschutzkoordinatoren inklusive der Überprüfung der Betriebsprozesse, welche die Verarbeitung von personenbezogenen Daten betreffen, und der Revision der zugehörigen technischen und organisatorischen Maßnahmen finden statt.
  2. Work-less schult seine Mitarbeiter im Hinblick auf Informationssicherheit, um sicherzustellen, dass sie ihrer Verpflichtung nachgehen, Kundendaten nicht unbefugt zu erheben, zu verarbeiten oder zu nutzen. Somit soll die Vertraulichkeit von Kundendaten gewahrt werden, auch nach Beendigung jeglicher Funktionen, die mit Kundendaten zu tun hatten. Mitarbeiter sind angewiesen, erkannte Verletzungen der Datenschutzbestimmungen, Verdacht auf mögliche Verletzungen, sowie sonstige Vorfälle mit Bezug zur Informationssicherheit umgehend den Datenschutzkoordinatoren zu melden. Disziplinarmaßnahmen bei Zuwiderhandlung gegen Geheimhaltungsverpflichtungen bestehen.
  3. Work-less führt eine Überprüfung des Beschäftigungsverhältnisses durch. Eingeschlossen ist hierbei die Überprüfung der Identität bei Neueinstellungen in Positionen, die den Zugang zu Systemen und Anwendungen, die Kundendaten speichern, erfordern. Bei Beendigung des Arbeitsverhältnisses sei es freiwillig oder unfreiwillig, sperrt work-less unverzüglich den Zugang zu allen Systemen.
  4. Work-less bewertet ständig die Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten und erstellt einen Aktionsplan zur Minderung der festgestellten Risiken.
  5. Work-less unterhält Maßnahmen, um Schwachstellen in der Infrastruktur von work-less zu identifizieren, zu verwalten, abzumildern und/oder zu beheben. Zu den Sicherheitsmaßnahmen gehören: Schwachstellen-Scanning, Warnungen bei Bedrohungen, Patch-Management.