Zurück zur Behörden-Seite
    Sicherheit & Maßnahmen

    Technisch-organisatorische Maßnahmen (TOMs)

    Dokumentation gemäß Art. 32 DS-GVO

    Die folgenden Maßnahmen beschreiben das Schutzniveau für die Verarbeitung personenbezogener Daten in VoxDrop und dienen als Prüfunterlage für Datenschutz, IT und Beschaffung.

    Version 1.2Stand: Mai 2026Nachweise teilweise offen

    Schutzmaßnahmen

    Dokumentierte technische und organisatorische Sicherheitsmaßnahmen in strukturierter Form.

    Prüfbar

    Geeignet für AVV-Anlagen, Datenschutzprüfung und interne Sicherheitsbewertung.

    Aktualisiert

    Stand Mai 2026; offene Nachweise sind separat gelistet.

    Deutschland
    Serverstandort
    TLS (HTTPS)
    Verschlüsselung
    Nachweis offen
    Backups
    Mai 2026
    Aktualisierung

    1. Zutrittskontrolle

    Maßnahmen zur Verhinderung des unbefugten Zutritts zu Datenverarbeitungsanlagen

    • Serverstandort in Deutschland; Rechenzentrumsnachweise sind als Anlage erforderlich
    • Zutrittskontrolle durch den Rechenzentrumsbetreiber
    • Physische Sicherheitsmaßnahmen des Rechenzentrums müssen durch aktuelle Nachweise belegt werden
    • Besucher- und Wartungsprozesse des Rechenzentrums sind zu dokumentieren
    • Nachweis erforderlich: aktuelle Zertifikate und Sicherheitsbeschreibung des Hosters

    2. Zugangskontrolle

    Maßnahmen zur Verhinderung der unbefugten Nutzung von Datenverarbeitungssystemen

    • Passwortrichtlinien (min. 12 Zeichen, Komplexitätsanforderungen)
    • Zwei-Faktor-Authentifizierung (2FA) für administrative Zugänge als Pflichtanforderung
    • Automatische Sperrung nach fehlgeschlagenen Anmeldeversuchen
    • Abgesicherte Remote-Zugriffe für Administration
    • Regelmäßige Überprüfung und Deaktivierung nicht mehr benötigter Accounts

    3. Zugriffskontrolle

    Maßnahmen zur Gewährleistung, dass nur autorisierte Personen auf Daten zugreifen

    • Rollenbasiertes Berechtigungskonzept (RBAC)
    • Need-to-know-Prinzip für Datenzugriffe
    • Protokollierung aller Datenzugriffe (Audit-Logs)
    • Regelmäßige Überprüfung der Zugriffsberechtigungen
    • Sichere Löschung von Daten nach Aufbewahrungsfristen

    4. Weitergabekontrolle

    Maßnahmen zum Schutz bei der elektronischen Übertragung von Daten

    • HTTPS/TLS für alle Datenübertragungen
    • Dateiverarbeitung und Datenhaltung auf deutschen Servern (Hetzner)
    • KI-Aufbereitung von Dokumentinhalten ausschließlich über EU-Auftragsverarbeiter mit AVV (Mistral AI, Frankreich) – siehe Subunternehmer-Verzeichnis
    • Sichere API-Authentifizierung (z.B. JWT) und Rate-Limits
    • Drittländer nur für notwendige Nebenleistungen (z.B. E-Mail-Versand) – siehe Subunternehmer-Verzeichnis
    • Protokollierung sicherheitsrelevanter Vorgänge (Audit-Logs, Fehlerlogs)

    5. Eingabekontrolle

    Maßnahmen zur Nachvollziehbarkeit von Dateneingaben und -änderungen

    • Protokollierung sicherheits- und verarbeitungsrelevanter Vorgänge mit Zeitstempel
    • Benutzeridentifikation bei allen Vorgängen
    • Audit-Trail-Konzept mit Schutz vor unbefugter Änderung
    • Versionierung von Dokumenten und Konfigurationen
    • Regelmäßige Auswertung der Protokolle

    6. Auftragskontrolle

    Maßnahmen zur weisungsgemäßen Verarbeitung durch Auftragnehmer

    • Sorgfältige Auswahl von Unterauftragnehmern
    • Abschluss von AVVs mit allen Unterauftragnehmern
    • Regelmäßige Überprüfung der Unterauftragnehmer
    • Dokumentation aller Weisungen
    • Transparente Subunternehmer-Liste

    7. Verfügbarkeitskontrolle

    Maßnahmen zum Schutz gegen Datenverlust und zur Wiederherstellung

    • Backup-Konzept mit Frequenz, Aufbewahrung, Speicherort und Verantwortlichkeit
    • Trennung von Produktivdaten und Sicherungen muss dokumentiert werden
    • Regelmäßige Wiederherstellungstests mit Protokoll
    • Verfügbarkeitsmaßnahmen der Infrastruktur nach Hoster-Nachweis
    • Notfallplan mit definierten RTO/RPO-Werten
    • Nachweis erforderlich: letzter Restore-Test und aktuelle Backup-Policy

    8. Trennungskontrolle

    Maßnahmen zur getrennten Verarbeitung von Daten verschiedener Auftraggeber

    • Logische Mandantentrennung in der Datenbank
    • Schlüssel- und Zugriffskonzept für Mandantentrennung dokumentieren
    • Isolierte Verarbeitungsumgebungen
    • Strikte Trennung von Entwicklungs- und Produktionsumgebungen
    • Keine mandantenübergreifenden Datenzugriffe

    Regelmäßige Überprüfung

    Die technischen und organisatorischen Maßnahmen werden regelmäßig auf ihre Wirksamkeit geprüft und bei Bedarf angepasst. Änderungen werden dokumentiert und den Auftraggebern bei wesentlichen Änderungen mitgeteilt.

    Regelmäßige interne Sicherheitsprüfung
    Kontinuierliche Überwachung
    Incident Response Plan
    Stand: Mai 2026 | Version 1.2 | Nachweisstatus: teilweise offen