Technische und organisatorische Maßnahmen (TOM)
Wir beschreiben hier unter anderem die Maßnahmen, die Sie als Kunde/Nutzer unserer Software oder bei der Inanspruchnahme unserer Diensten wie Cloud-Dienste, Hosting oder Fernwartung treffen müssen. Der Kunde/Nutzer trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten zu gewährleisten. Die Maßnahmen dienen insbesondere dem Schutz vor unbefugtem Zugriff, Verlust, Veränderung, Offenlegung oder Zerstörung personenbezogener Daten.
Zu den Maßnahmen gehören insbesondere:
1. Zutrittskontrolle
Unbefugten Personen wird der Zutritt zu Räumen, Anlagen und Systemen, in denen personenbezogene Daten verarbeitet werden, verwehrt. Dies erfolgt zum Beispiel durch Schließsysteme, Zugangskarten, Besuchermanagement oder vergleichbare Schutzmaßnahmen.
2. Zugangskontrolle
Der Zugriff auf IT-Systeme erfolgt ausschließlich durch berechtigte Personen. Hierzu werden individuelle Benutzerkonten, sichere Passwörter, Mehr-Faktor-Authentifizierung sowie regelmäßige Überprüfung von Zugriffsrechten eingesetzt.
3. Zugriffskontrolle
Es wird sichergestellt, dass berechtigte Nutzer nur auf diejenigen personenbezogenen Daten zugreifen können, die sie für ihre Tätigkeit benötigen. Berechtigungen werden nach dem Need-to-know-Prinzip vergeben und regelmäßig überprüft.
4. Weitergabekontrolle
Personenbezogene Daten werden bei Übertragung oder Weitergabe vor unbefugtem Zugriff geschützt. Dies kann hauptsächlich durch Verschlüsselung, sichere Übertragungswege, Protokollierung und vertragliche Regelungen mit Dienstleistern erfolgen.
5. Eingabekontrolle
Es wird nachvollziehbar dokumentiert, wer personenbezogene Daten eingegeben, verändert oder gelöscht hat, soweit dies technisch möglich und angemessen ist. Hierzu können Protokollierungen und Monitorringfunktionen eingesetzt werden.
6. Verfügbarkeitskontrolle
Personenbezogene Daten werden gegen zufällige Zerstörung oder Verlust geschützt. Hierzu werden regelmäßige Datensicherungen, Wiederherstellungskonzepte, Systemüberwachung sowie Maßnahmen zur Ausfallsicherheit eingesetzt.
7. Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken oder für unterschiedliche Auftraggeber verarbeitet werden, werden getrennt verarbeitet. Dies erfolgt beispielsweise durch Mandantentrennung, getrennte Datenbanken, Berechtigungskonzepte oder organisatorische Vorgaben.
8. Organisationskontrolle
Der Auftragnehmer stellt sicher, dass interne Datenschutz- und Sicherheitsvorgaben bestehen und den Beschäftigten bekannt sind. Mitarbeitende werden zur Vertraulichkeit verpflichtet und bei Bedarf zu Datenschutz und IT-Sicherheit geschult.
Wir als Herstelle von Software und Anbieter von Diensten sorgen mit technischen und organisatorischen Maßnahmen die bei der Verarbeitung von personenbezogenen Daten das jeweilige Risiko so zu minimieren, dass ein Zugriff unautorisierter Personen nahezu ausgeschlossen ist.
Innerhalb unserer Softwareprodukte ist ein Anmeldesystem integriert, dass einen Zugriff dritter wirksam verhindert. Die Anmeldedaten werden nach aktuellem Stand der Technik verschlüsselt. Ein ebenfalls integriertes Berechtigungssystem auf Benutzerebene kann vom Betreiber der Software aktiviert oder deaktiviert werden. Es obliegt dem Betreiber, die Schutzmaßnahmen zu nutzen.
Die technischen und organisatorischen Maßnahmen werden regelmäßig überprüft und bei Bedarf an den Stand der Technik, die Art der Verarbeitung und das jeweilige Risiko angepasst. Änderungen der Maßnahmen werden das vereinbarte Sicherheitsniveau nicht wesentlich unterschreiten.
Stand: Februar 2026
Quelle: IHK Frankfurt am Main (Auszüge)
