Skip to main content
Skip table of contents

Technische und organisatorische Maßnahmen (TOM)

Version: 07.11.2025

Geltungsbereich: SPiNE-Plattform (Portal, API, Datenverarbeitung, Kommunikationssysteme)

Verantwortlich: SPiNE GmbH, Metzstr. 2, 81667 München, Deutschland

Die SPiNE GmbH verpflichtet sich, die Sicherheit personenbezogener Daten in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) und weiteren einschlägigen gesetzlichen Anforderungen sicherzustellen.

Zur Gewährleistung des Schutzes dieser Daten werden umfangreiche technische und organisatorische Maßnahmen (TOM) eingesetzt, um Risiken für betroffene Personen zu minimieren und eine sichere Verarbeitung zu gewährleisten.

Diese Maßnahmen werden regelmäßig überprüft, bewertet und fortlaufend verbessert.

1. Technische Maßnahmen

1.1 Zutrittskontrolle

Zweck: Verhinderung des unbefugten physischen Zutritts zu IT-Systemen und Einrichtungen, in denen personenbezogene Daten verarbeitet werden.

Maßnahmen:

  • Nutzung von Rechenzentren der Cloud-Anbieter Microsoft Azure und AWS mit mehrstufigem physischem Sicherheitskonzept (Zugangskontrollsystem, Videoüberwachung, Sicherheitspersonal).

  • Zutritt nur für autorisiertes Personal der Cloud-Betreiber.

  • Zertifizierung der Rechenzentren nach ISO 27001 und BSI C5.

1.2 Zugangskontrolle

Zweck: Verhinderung des unbefugten Zugangs zu IT-Systemen, in denen personenbezogene Daten verarbeitet werden.

Maßnahmen:

  • Passwortschutz mit Mindestanforderungen an Komplexität und Ablaufzeiten.

  • Starke Authentifizierung (z. B. Zwei-Faktor-Authentifizierung) für Administratoren und Systemzugriffe.

  • Automatische Sperrung von Benutzerkonten bei mehrmaliger Falscheingabe.

  • Einsatz von Firewalls, Netzwerksicherheitslösungen und Intrusion-Detection-Systemen (IDS).

1.3 Zugriffskontrolle

Zweck: Sicherstellung, dass nur berechtigte Personen auf personenbezogene Daten zugreifen können.

Maßnahmen:

  • Rollen- und Berechtigungskonzepte (RBAC) nach dem Need-to-Know-Prinzip.

  • Regelmäßige Überprüfung der Berechtigungen und Entzug nicht mehr benötigter Zugriffe.

  • Protokollierung aller administrativen Zugriffe (Audit-Logs).

  • Strikte Trennung von Produktions-, Test- und Entwicklungsumgebungen.

  • Logische Mandantentrennung: Daten unterschiedlicher Kunden werden strikt voneinander getrennt verarbeitet.

1.4 Datenverschlüsselung

Zweck: Schutz personenbezogener Daten bei Übertragung und Speicherung.

Maßnahmen:

  • Transportverschlüsselung: TLS 1.2 oder höher für sämtliche Kommunikationskanäle (Web, API, Gerätekommunikation).

  • Speicherverschlüsselung: Serverseitige AES-256-Verschlüsselung sämtlicher Datenbanken und Speicher.

  • Schlüsselmanagement: Verwaltung über Azure Key Vault bzw. AWS KMS mit rollenbasierten Zugriffsrechten und Schlüsselrotation.

  • Verschlüsselte Kommunikation über E-Mail und andere interne Kanäle.

1.5 Integrität und Eingabekontrolle

Zweck: Sicherstellung der Genauigkeit und Nachvollziehbarkeit von Daten sowie Schutz vor unbefugten Änderungen.

Maßnahmen:

  • Versionskontrollen und Prüfprotokolle für Änderungen an Daten und Systemen.

  • Einsatz von Hash-Funktionen zur Integritätsprüfung.

  • Audit-Logs für alle Änderungen an personenbezogenen Daten mit Zeitstempel, Benutzerkennung und Änderungsart.

  • Regelmäßige Überprüfung der Logdateien auf Unregelmäßigkeiten.

1.6 Pseudonymisierung und Anonymisierung

Zweck: Minimierung der Identifizierbarkeit betroffener Personen.

Maßnahmen:

  • Pseudonymisierung personenbezogener Daten, sofern eine Identifikation nicht erforderlich ist.

  • Anonymisierung von Daten, wo immer möglich.

1.7 Backup und Notfallwiederherstellung

Zweck: Sicherstellung der Verfügbarkeit und Wiederherstellbarkeit von Daten im Notfall.

Maßnahmen:

  • Regelmäßige, automatisierte und verschlüsselte Backups innerhalb derselben geografischen Region.

  • Redundante Speicherung in physisch getrennten Rechenzentren.

  • Regelmäßige Wiederherstellungstests (Disaster Recovery Tests).

  • Definierte Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO).

2. Organisatorische Maßnahmen

2.1 Schulung und Sensibilisierung

Zweck: Sicherstellung, dass alle Mitarbeitenden die Bedeutung des Datenschutzes kennen und einhalten.

Maßnahmen:

  • Pflichtschulungen zu Datenschutz und Informationssicherheit für alle Mitarbeitenden.

  • Jährliche Awareness-Programme (Phishing, sichere Datenverarbeitung, Cloud-Sicherheit).

  • Verhaltenskodex zur sicheren Verarbeitung personenbezogener Daten.

  • Schriftliche Verpflichtung auf Vertraulichkeit gem. Art. 28 Abs. 3 lit. b DSGVO.

2.2 Zugriffsbeschränkungen

Zweck: Begrenzung des Datenzugriffs auf autorisierte Personen.

Maßnahmen:

  • Definition klarer Rollen, Verantwortlichkeiten und Genehmigungsprozesse.

  • Regelmäßige Überprüfung und Rezertifizierung der Zugriffsrechte.

  • Dokumentation aller Änderungen in Berechtigungssystemen.

2.3 Datenschutz-Folgenabschätzungen (DSFA)

Zweck: Analyse und Minimierung von Risiken für betroffene Personen bei neuen Verarbeitungen.

Maßnahmen:

  • Durchführung einer DSFA bei neuen oder wesentlich geänderten Verarbeitungsvorgängen.

  • Bewertung der Risiken nach Eintrittswahrscheinlichkeit und Schweregrad.

  • Dokumentation und Nachverfolgung im ISMS.

2.4 Verträge mit Auftragsverarbeitern

Zweck: Sicherstellung, dass auch externe Dienstleister die Datenschutzanforderungen erfüllen.

Maßnahmen:

  • Abschluss von Auftragsverarbeitungsverträgen (AVV) gemäß Art. 28 DSGVO.

  • Prüfung der Sicherheits- und Datenschutzstandards von Subunternehmern.

  • Verwendung ausschließlich von Anbietern innerhalb der EU/EWR.

  • Regelmäßige Re-Evaluierung der Dienstleister.

2.5 Incident-Management

Zweck: Gewährleistung eines strukturierten Umgangs mit Datenschutz- und Sicherheitsvorfällen.

Maßnahmen:

  • Definierter Prozess zur Erkennung, Meldung und Bearbeitung von Vorfällen.

  • Sofortige Information der betroffenen Kunden und ggf. der Aufsichtsbehörde nach Art. 33 DSGVO.

  • Ursachenanalyse, Dokumentation und Einleitung von Abhilfemaßnahmen.

  • Regelmäßige Schulungen der Verantwortlichen für Incident Response.

3. Überwachung und kontinuierliche Verbesserung

Die SPiNE GmbH überwacht kontinuierlich die Wirksamkeit der implementierten Maßnahmen.
Regelmäßige interne und externe Audits sowie Sicherheitsüberprüfungen identifizieren Verbesserungspotenziale.

Ergebnisse fließen in den kontinuierlichen Verbesserungsprozess (PDCA-Zyklus) des Informationssicherheits-Managementsystems ein.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close