Technische und organisatorische Maßnahmen des Datenschutzes zur Auftragsverarbeitung
Stand 01.09.2025
Dieses Dokument ist nur gültig als Anlage eines Auftragsverarbeitungsvertrages.
Zusammenfassung
Die technischen und organisatorischen Maßnahmen (TOMs) von knallmacher orientieren sich an den Anforderungen der DSGVO, insbesondere Art. 28 DSGVO und Art. 32 DSGVO:
▪ Vertraulichkeit: Zugriffe werden durch individuelle Benutzerkennungen, Passwort- und Authentifizierungsschutz sowie Sensibilisierung der Mitarbeitenden gesichert. Subdienstleister und Partner werden sorgfältig geprüft und vertraglich gebunden.
▪ Integrität: Sämtliche Datenübertragungen erfolgen verschlüsselt. Endgeräte dienen ausschließlich als Zugänge. Eine lokale Speicherung personenbezogener Daten findet nicht statt.
▪ Verfügbarkeit: Daten werden ausschließlich in Cloud-Systemen gespeichert. Redundanz und Backups werden durch die Subdienstleister und Partner gewährleistet. Ein Vorfall- & Störungsmanagement ist etabliert.
▪ Rechenschaftspflicht und Wirksamkeitsnachweis: Alle relevanten Datenschutzprozesse sind dokumentiert. Die Wirksamkeit der technischen und organisatorischen Maßnahmen wird mindestens jährlich überprüft. Jede Verarbeitungstätigkeit wird in einem Verzeichnis mit bestehen festgelegten Aufbewahrungs- und Löschfristen geführt. Die Einhaltung wird regelmäßig kontrolliert und dokumentiert.
▪ Transparenz: Betroffenenrechte werden durch standardisierte Prozesse umgesetzt. Informationen erfolgen in klarer, verständlicher Sprache und sind jederzeit zugänglich.
Vertraulichkeit
knallmacher gewährleistet die Vertraulichkeit personenbezogener Daten gemäß Art. 32 DSGVO, indem organisatorische und technische Maßnahmen getroffen werden, die unbefugten Personen den Zugang und die Nutzung von Daten oder Datenverarbeitungssystemen verwehren.
Benutzerverwaltung
▪ Individuelle Benutzerkennungen: Jeder Benutzer erhält eine eindeutige Benutzerkennung, soweit eingesetzte Software dies technisch zulässt. Eine gemeinsame Nutzung von Konten wird vermieden, um die Nachvollziehbarkeit von Zugriffen sicherzustellen.
▪ Rechtevergabe nach Erforderlichkeit: Zugriffsrechte werden ausschließlich nach Erforderlichkeit vergeben. Benutzer erhalten nur die Berechtigungen, die für die jeweilige Tätigkeit zwingend erforderlich sind.
▪ Benutzerlebenszyklus: Die Anlage, Änderung, Deaktivierung und Löschung von Benutzerkonten erfolgt nach einem standardisierten, dokumentierten Prozess. Hierbei wird sichergestellt, dass Zugriffsrechte nach Ausscheiden oder Rollenwechsel eines Mitarbeiters unverzüglich entzogen werden.
Passwort- und Authentifizierungsschutz
▪ Authentisierung: Alle Benutzerkonten werden durch mindestens ein Authentifizierungsmerkmal geschützt. Hierzu werden Passwörter oder andere Faktoren (z. B. Token, OTP, kryptographische Schlüssel) eingesetzt, um eine eindeutige Identifizierung sicherzustellen.
▪ Starke Passwörter: Benutzerkonten und Systeme nutzen Passwörter nach dem Stand der Technik.
▪ Einmaligkeit: Eine Verwendung eines Passwortes für unterschiedliche Dienste ist untersagt, es sei denn, ein zentrales Identitätsmanagement-System gewährleistet die Sicherheit nachweislich.
▪ Passwortmanager: Zur sicheren Verwaltung wird ein zentral freigegebener Passwortmanager verpflichtend eingesetzt. Unsichere Speicherpraktiken (z. B. die Ablage von Passwörtern in unverschlüsselten Dateien) sind untersagt.
▪ Passwortspeicherung im Browser: Eine Speicherung von Passwörtern im Browser ist untersagt, sofern diese nicht durch technische Maßnahmen nach dem Stand der Technik abgesichert sind.
▪ Änderung und Zurücksetzung: Nach Sicherheitsvorfällen oder bei administrativer Zurücksetzung sind Mitarbeiter verpflichtet, Passwörter unverzüglich zu ändern.
▪ Verbot der Passwortweitergabe: Die Weitergabe von Passwörtern ist untersagt. In Ausnahmefällen wird das Passwort ausschließlich durch einen Administrator zurückgesetzt und dokumentiert.
Subdienstleister und Partner
▪ Einsatz geprüfter Subdienstleister und Partner: knallmacher setzt ausschließlich Subdienstleister und Partner ein, die geeignete Garantien nach Art. 28 DSGVO und Art. 32 DSGVO nachweisen.
▪ Vorabprüfung: Vor dem Einsatz von Subdienstleistern und Partnern erfolgt eine dokumentierte Prüfung der Datenschutz- und Sicherheitsstandards.
▪ Vertragliche Einbindung: Sämtliche Subdienstleister und Partner werden durch datenschutzrechtlich wirksame Verträge gebunden. Die vereinbarten TOMs müssen Art und Umfang der Dienstleistung angemessen berücksichtigen.
▪ Meldepflicht: Subdienstleister und Partner sind vertraglich verpflichtet, Datenschutzverletzungen und sicherheitsrelevante Vorfälle unverzüglich an knallmacher zu melden.
Datenspeicherung
▪ Vermeidung lokaler Speicherung: Eine lokale Speicherung personenbezogener Daten wird grundsätzlich untersagt. Zulässig ist die lokale Speicherung nur in zwingenden Ausnahmefällen.
▪ Zentrale Speicherung: Die Speicherung von personenbezogener Daten erfolgt primär in zentralen Systemen (z. B. Cloud-Dienste oder eigenverwaltete Server).
Sensibilisierung
▪ Sensibilisierung: Mitarbeiter werden regelmäßig in den Bereichen Datenschutz, Informationssicherheit und vertraulicher Umgang mit personenbezogenen Daten sensibilisiert.
▪ Verpflichtung: Alle Mitarbeiter sind vertraglich und organisatorisch zur Wahrung der Vertraulichkeit verpflichtet. Verstöße werden geahndet und können arbeitsrechtliche Konsequenzen haben.
Integrität
knallmacher gewährleistet die Integrität im Sinne von Art. 32 Abs. 1 lit. b DSGVO i. V. m. Art. 5 Abs. 1 lit. f DSGVO, indem personenbezogene Daten vor unbeabsichtigtem Verlust, Veränderung oder Beschädigung geschützt sind. knallmacher setzt Maßnahmen ein, um die Vollständigkeit und Unversehrtheit der Daten sicherzustellen.
Verschlüsselungsmaßnahmen
▪ Transportverschlüsselung: Sämtliche Übertragungen personenbezogener Daten erfolgen ausschließlich über verschlüsselte Verbindungen nach dem Stand der Technik. Dadurch werden sowohl die Integrität als auch die Vertraulichkeit der Daten während der Übertragung abgesichert.
▪ Infrastrukturelle Verschlüsselung durch Subdienstleister und Partner: Zur Sicherstellung der Integrität auf Infrastrukturebene setzt knallmacher ausschließlich Subdienstleister und Partner ein, die nachweislich geeignete Verschlüsselungs- und Sicherheitsmaßnahmen implementiert haben und diese vertraglich zugesichert haben.
Verfügbarkeit und Belastbarkeit
knallmacher gewährleistet Verfügbarkeit im Sinne des Art. 32 Abs. 1 lit. b DSGVO, indem personenbezogene Daten ihrem Zweck entsprechend jederzeit nutzbar sein müssen. Nach Art. 32 Abs. 1 lit. c DSGVO ist zudem die Fähigkeit vorzuhalten, die Verfügbarkeit und den Zugang zu den Daten bei einem physischen oder technischen Zwischenfall zeitnah wiederherzustellen. knallmacher gewährleistet zudem Belastbarkeit durch die dauerhafte Widerstandsfähigkeit der Systeme und Dienste, die im Zusammenhang mit personenbezogenen Daten betrieben werden.
Verfügbarkeit
▪ Verfügbarkeit durch Subdienstleister und Partner: Die Verfügbarkeit der Systeme wird durch den Einsatz von vertraglich eingebundenen Subdienstleistern und Partnern sichergestellt, welche ein angemessenes Schutzniveau und dokumentierte Maßnahmen zur Sicherstellung von Verfügbarkeit und Belastbarkeit gewährleisten.
Vorfall- & Störungsmanagement
▪ Monitoring: Für ausgewählte Systeme, in denen personenbezogene Daten verarbeitet werden, ist ein technisches Monitoring eingerichtet. Dieses Monitoring umfasst die Überwachung der Verfügbarkeit. Im Falle einer Störung oder eines Ausfalls erfolgt eine automatisierte Benachrichtigung an die zuständigen Administratoren.
▪ Störungsbearbeitung: Im Falle des Bekanntwerdens einer Störung wird die Behebung unverzüglich durch einen Administrator eingeleitet. Ziel ist die zeitnahe Wiederherstellung der Systemverfügbarkeit nach dem Stand der Technik.
▪ Einschaltung von Subdienstleistern und Partnern: Soweit die Störung Daten und Systeme betrifft, die von Subdienstleistern und Partnern betrieben werden, erfolgt eine unverzügliche Kontaktaufnahme mit diesen, um die Wiederherstellung zu koordinieren.
▪ Dokumentation: Alle Sicherheitsvorfälle und Datenpannen werden einschließlich Zeitpunkt, Art des Vorfalls, Folgen und getroffener Maßnahmen nachvollziehbar dokumentiert, um Transparenz, Rechenschaftspflicht und kontinuierliche Verbesserung sicherzustellen.
▪ Unverzüglichkeit: Sicherheitsverletzungen werden ohne schuldhaftes Zögern gemeldet, um die gesetzlichen Fristen einzuhalten.
Rechenschaftspflicht und Wirksamkeitsnachweis
knallmacher gewährleistet die Rechenschaftspflicht im Sinne von Art. 5 Abs. 2 DSGVO, indem alle relevanten Prozesse und Maßnahmen zur Verarbeitung personenbezogener Daten dokumentiert und deren Einhaltung regelmäßig überprüft werden. Die Wirksamkeit der technischen und organisatorischen Maßnahmen wird gemäß Art. 32 Abs. 1 lit. d DSGVO in angemessenen Abständen sowie anlassbezogen überprüft, bewertet und evaluiert. Zudem führt knallmacher ein Verzeichnis sämtlicher Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Dieses Verzeichnis bildet die Grundlage für die Einhaltung der Rechenschaftspflicht und ermöglicht eine nachvollziehbare Dokumentation sämtlicher Datenflüsse. Zusätzlich wird sichergestellt, dass gemäß ErwGr 87 DSGVO Sicherheitsvorfälle und Verletzungen des Schutzes personenbezogener Daten unverzüglich erkannt und gemeldet werden können, um die gesetzlich vorgeschriebenen Melde- und Informationspflichten nach Art. 33 und 34 DSGVO einzuhalten.
Dokumentation von Prozessen
▪ Prozessdokumentation: Zentrale Datenschutzprozesse sind dokumentiert.
▪ Auftragsverarbeitungsverträge: Alle Auftragsverarbeitungsverträge mit Subdienstleistern und Partnern, die personenbezogene Daten im Auftrag verarbeiten, werden vollständig vorgehalten.
Wirksamkeitsprüfung
▪ Regelmäßige Evaluierung: knallmacher überprüft die Wirksamkeit der implementierten technischen und organisatorischen Maßnahmen in angemessenen Intervallen (mindestens einmal jährlich) sowie anlassbezogen insbesondere nach sicherheitsrelevanten Vorfällen, wesentlichen Änderungen der Infrastruktur oder beim Einsatz neuer Subdienstleister und Partner.
▪ Methodik: Die Überprüfung erfolgt durch interne Kontrollen, Plausibilitätsprüfungen, Testabrufe sowie durch die Einsichtnahme in von Subdienstleistern und Partnern bereitgestellte Nachweise (z. B. Zertifizierungen, Audit-Reports, Sicherheitsberichte).
▪ Rechenschaftsnachweis: Die Ergebnisse der Wirksamkeitsprüfung werden protokolliert und können auf Anfrage gegenüber Aufsichtsbehörden oder Vertragspartnern als Nachweis der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO vorgelegt werden.
Verarbeitungstätigkeiten
▪ Dokumentation: Alle Verarbeitungstätigkeiten werden dokumentiert.
▪ Aktualität: Die Verarbeitungstätigkeiten werden regelmäßig überprüft und anlassbezogen aktualisiert.
▪ Verknüpfung: Die jeweils einschlägigen technischen und organisatorischen Maßnahmen werden den einzelnen Verarbeitungstätigkeiten zugeordnet, sodass eine direkte Nachvollziehbarkeit besteht.
Löschkonzept
▪ Definition: Für jede Verarbeitungstätigkeit personenbezogener Daten werden Zweck, Speicherort, Aufbewahrungsfrist und Löschfrist festgelegt.
▪ Regelmäßige Löschungen: Löschungen oder Anonymisierungen erfolgen regelmäßig (mindestens einmal jährlich) sowie anlassbezogen (z. B. bei Vertragsende, auf Betroffenenanfrage nach Art. 17 DSGVO oder bei Zweckfortfall).
▪ Verantwortlichkeit: Löschungen werden von autorisierten Administratoren oder, soweit Daten bei Subdienstleistern und Partnern gespeichert sind, durch diese im Auftrag von knallmacher durchgeführt.
▪ Kontrolle: Die Umsetzung des Löschkonzepts wird regelmäßig überprüft (mindestens einmal jährlich oder anlassbezogen).
▪ Nachweis und Dokumentation: Durch Protokollierung der Löschvorgänge wird die Einhaltung der Löschpflichten nachgewiesen. Bei Subdienstleistern und Partnern erfolgt der Nachweis durch vertragliche Verpflichtungen, Zertifizierungen oder Nachweise oder durch eine Dokumentation im Rahmen der regelmäßigen Überprüfung von Subdienstleistern und Partnern.
Implementierung von Maßnahmen zur Umsetzung von Betroffenenrechten im Systemdesign (Privacy by Design/Privacy by Default)
▪ Datenminimierung: Personenbezogene Daten werden nur in dem Umfang erhoben und verarbeitet, wie es für den jeweiligen festgelegten Zweck zwingend erforderlich ist.
Transparenz
knallmacher gewährleistet Transparenz im Sinne des Art. 5 Abs. 1 lit. a DSGVO, indem die Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Dazu trifft knallmacher geeignete Maßnahmen gemäß Art. 12 Abs. 1 DSGVO, um den Informations- und Mitteilungspflichten nach Art. 13 DSGVO und 14 DSGVO nachzukommen.
Dokumentation und Speicherung von Verträgen, Vereinbarungen und Weisungen
▪ Aufbewahrung: Alle relevanten Verträge, Vereinbarungen und Weisungen von Verantwortlichen sind jederzeit für berechtigte interne Stellen, Vertragspartner und im Bedarfsfall für Aufsichtsbehörden verfügbar.
▪ Nachvollziehbarkeit: Änderungen an Vereinbarungen und Weisungen werden dokumentiert, um der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen.
Umsetzung der Betroffenenrechte
▪ Prozess für Betroffenenanfragen: knallmacher hat einen standardisierten Prozess implementiert, um Anfragen betroffener Personen nach Art. 15 DSGVO sowie weiteren Rechten nach Art. 16 - 22 DSGVO zu bearbeiten.
▪ Fristenkontrolle: Es wird sichergestellt, dass Anfragen innerhalb der gesetzlichen Frist von einem Monat beantwortet werden.
▪ Dokumentation: Jede Anfrage sowie die daraus folgenden werden nachvollziehbar dokumentiert.
▪ Koordination mit Verantwortlichen: Soweit knallmacher als Auftragsverarbeiter tätig ist, werden Anfragen betroffener Personen unverzüglich an den Verantwortlichen weitergeleitet. Die Unterstützungspflichten nach Art. 28 Abs. 3 lit. e DSGVO werden durch geeignete technische und organisatorische Maßnahmen durch knallmacher gewährleistet.
Informationspflichten
▪ Präzise und verständliche Sprache: Informationen an betroffene Personen werden in klarer, einfacher und leicht zugänglicher Form übermittelt.
▪ Bereitstellungspflicht: Die erforderlichen Informationen werden, je nach Verarbeitungskontext, in Datenschutzhinweisen, Verträgen, Formularen oder elektronisch bereitgestellt.
▪ Zugänglichkeit: Die Datenschutzhinweise sind jederzeit auf der Unternehmenswebseite abrufbar und können auf Wunsch in Textform zur Verfügung gestellt werden.