# Anlage 2 - Technische und organisatorische Maßnahmen Die Nexato GmbH verpflichtet sich, geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen, um ein dem Risiko angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten zu gewährleisten. Die Maßnahmen werden regelmäßig überprüft, bewertet und bei Bedarf angepasst. ## 1. Vertraulichkeit ### 1.1 Zutrittskontrolle * Gesicherte Geschäftsräume mit geregelter Zutrittsverwaltung * Besucherregelungen (Begleitung durch Mitarbeiter, Dokumentation) * Einsatz zertifizierter Rechenzentren (z. B. ISO 27001) für Hosting und Datenhaltung ### 1.2 Zugangskontrolle * Individuelle Benutzerkonten, keine gemeinsamen Accounts * Authentifizierung über sichere Passwortrichtlinien und Mehrfaktor-Authentifizierung * Zentrale Benutzerverwaltung (Identity & Access Management) * Regelmäßige Überprüfung und Deaktivierung inaktiver Zugänge ### 1.3 Zugriffskontrolle * Berechtigungskonzepte nach dem Prinzip „least privilege“ * Protokollierung sämtlicher Zugriffe auf Systeme und Daten * Rollen- und Rechtekonzepte mit dokumentierten Freigabeprozessen ### 1.4 Trennungskontrolle * Mandantenfähigkeit der Anwendung * Trennung von Test-, Entwicklungs- und Produktivumgebungen * Technische und organisatorische Sicherstellung zweckgebundener Verarbeitung ### 1.5 Pseudonymisierung / Anonymisierung * Einsatz von Verfahren zur Pseudonymisierung oder Anonymisierung, soweit erforderlich und technisch möglich * Trennung von Zuordnungsdaten und Nutzdaten *** ## 2. Integrität ### 2.1 Weitergabekontrolle * Verschlüsselte Übertragung (TLS/HTTPS, sftp, ssh) * Verschlüsselte Speicherung von Daten („encryption at rest“) * Berechtigungs- und Freigabekonzepte für Datenübermittlungen ### 2.2 Eingabekontrolle * Protokollierung von Eingaben, Änderungen und Löschungen mit Nutzerkennung und Zeitstempel * Audit-Trails zur Nachvollziehbarkeit von Verarbeitungsvorgängen * Rechtevergabe zur Eingabe und Bearbeitung nach Berechtigungskonzept *** ## 3. Verfügbarkeit und Belastbarkeit ### 3.1 Verfügbarkeitskontrolle * Hosting in hochverfügbaren Rechenzentren mit redundanter Infrastruktur * Regelmäßige Backups in getrennten Verfügbarkeitszonen * Monitoring der Systeme sowie automatisierte Alarmierungen * Schutzmaßnahmen gegen DDoS-Angriffe ### 3.2 Wiederherstellbarkeit * Backup- und Recovery-Konzepte * Regelmäßige Tests zur Wiederherstellung der Daten * Dokumentierte Prozesse für Notfall- und Wiederanlaufpläne *** ## 4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung ### 4.1 Datenschutz- und Sicherheitsmanagement * Dokumentierte Datenschutz- und Sicherheitsrichtlinien * Regelmäßige interne Audits und Sicherheitsüberprüfungen * Schulung und Sensibilisierung der Mitarbeiter zum Datenschutz ### 4.2 Incident-Response-Management * Einsatz von Firewalls, Virenschutz, IDS/IPS-Systemen * Dokumentierte Verfahren zur Erkennung, Meldung und Behandlung von Sicherheitsvorfällen * Einhaltung der Meldepflichten nach Art. 33 DSGVO ### 4.3 Datenschutzfreundliche Voreinstellungen * Umsetzung von „Privacy by Design“ und „Privacy by Default“ * Datenminimierung und Speicherung nur, soweit erforderlich * Grundsätzliche Verarbeitung in Rechenzentren innerhalb der EU/EWR ### 4.4 Auftragskontrolle (Einsatz von Unterauftragnehmern) * Auswahl und Prüfung von Subdienstleistern unter Beachtung von Datenschutz und IT-Sicherheit * Abschluss von Vereinbarungen zur Auftragsverarbeitung bzw. Standardvertragsklauseln * Regelmäßige Überprüfung und Dokumentation der getroffenen Maßnahmen der Subdienstleister --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.nexcore.de/policies/bestimmungen/avv/anlage-2-technische-und-organisatorische-massnahmen.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.