Anlage 2 - Technische und organisatorische Maßnahmen

Die Nexato GmbH verpflichtet sich, geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen, um ein dem Risiko angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten zu gewährleisten. Die Maßnahmen werden regelmäßig überprüft, bewertet und bei Bedarf angepasst.

1. Vertraulichkeit

1.1 Zutrittskontrolle

• Gesicherte Geschäftsräume mit geregelter Zutrittsverwaltung

• Besucherregelungen (Begleitung durch Mitarbeiter, Dokumentation)

• Einsatz zertifizierter Rechenzentren (z. B. ISO 27001) für Hosting und Datenhaltung

1.2 Zugangskontrolle

• Individuelle Benutzerkonten, keine gemeinsamen Accounts

• Authentifizierung über sichere Passwortrichtlinien und Mehrfaktor-Authentifizierung

• Zentrale Benutzerverwaltung (Identity & Access Management)

• Regelmäßige Überprüfung und Deaktivierung inaktiver Zugänge

1.3 Zugriffskontrolle

• Berechtigungskonzepte nach dem Prinzip „least privilege“

• Protokollierung sämtlicher Zugriffe auf Systeme und Daten

• Rollen- und Rechtekonzepte mit dokumentierten Freigabeprozessen

1.4 Trennungskontrolle

• Mandantenfähigkeit der Anwendung

• Trennung von Test-, Entwicklungs- und Produktivumgebungen

• Technische und organisatorische Sicherstellung zweckgebundener Verarbeitung

1.5 Pseudonymisierung / Anonymisierung

• Einsatz von Verfahren zur Pseudonymisierung oder Anonymisierung, soweit erforderlich und technisch möglich

• Trennung von Zuordnungsdaten und Nutzdaten

2. Integrität

2.1 Weitergabekontrolle

• Verschlüsselte Übertragung (TLS/HTTPS, sftp, ssh)

• Verschlüsselte Speicherung von Daten („encryption at rest“)

• Berechtigungs- und Freigabekonzepte für Datenübermittlungen

2.2 Eingabekontrolle

• Protokollierung von Eingaben, Änderungen und Löschungen mit Nutzerkennung und Zeitstempel

• Audit-Trails zur Nachvollziehbarkeit von Verarbeitungsvorgängen

• Rechtevergabe zur Eingabe und Bearbeitung nach Berechtigungskonzept

3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

• Hosting in hochverfügbaren Rechenzentren mit redundanter Infrastruktur

• Regelmäßige Backups in getrennten Verfügbarkeitszonen

• Monitoring der Systeme sowie automatisierte Alarmierungen

• Schutzmaßnahmen gegen DDoS-Angriffe

3.2 Wiederherstellbarkeit

• Backup- und Recovery-Konzepte

• Regelmäßige Tests zur Wiederherstellung der Daten

• Dokumentierte Prozesse für Notfall- und Wiederanlaufpläne

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

4.1 Datenschutz- und Sicherheitsmanagement

• Dokumentierte Datenschutz- und Sicherheitsrichtlinien

• Regelmäßige interne Audits und Sicherheitsüberprüfungen

• Schulung und Sensibilisierung der Mitarbeiter zum Datenschutz

4.2 Incident-Response-Management

• Einsatz von Firewalls, Virenschutz, IDS/IPS-Systemen

• Dokumentierte Verfahren zur Erkennung, Meldung und Behandlung von Sicherheitsvorfällen

• Einhaltung der Meldepflichten nach Art. 33 DSGVO

4.3 Datenschutzfreundliche Voreinstellungen

• Umsetzung von „Privacy by Design“ und „Privacy by Default“

• Datenminimierung und Speicherung nur, soweit erforderlich

• Grundsätzliche Verarbeitung in Rechenzentren innerhalb der EU/EWR

4.4 Auftragskontrolle (Einsatz von Unterauftragnehmern)

• Auswahl und Prüfung von Subdienstleistern unter Beachtung von Datenschutz und IT-Sicherheit

• Abschluss von Vereinbarungen zur Auftragsverarbeitung bzw. Standardvertragsklauseln

• Regelmäßige Überprüfung und Dokumentation der getroffenen Maßnahmen der Subdienstleister