Zum Inhalt springen

Services, Wiki-Artikel und Blog-Beiträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Anlage 1 zum AVV · Art. 32 DSGVO

Technische und organisatorische Maßnahmen (TOMs)

Version 2.0 · Stand 2026-04-14 · Geltungsbereich: AWARE7 GmbH, gesamte Leistungserbringung. Fester Bestandteil des Auftragsverarbeitungsvertrags (/avv). Nachweise (Zertifikate, interne Prüfberichte) werden auf Anforderung innerhalb von 14 Tagen ausgehändigt.

Verantwortliche Stelle

Unternehmen
AWARE7 GmbH, Munscheidstraße 14, 45886 Gelsenkirchen
Ansprechpartner
Chris Wojzechowski (Geschäftsführender Gesellschafter)
Datenschutzbeauftragter
Kevin Jäkel LL.B. (HK2 Comtection GmbH, Hausvogteiplatz 11A, 10117 Berlin) · datenschutz@a7.de
Zertifizierungen
ISO/IEC 27001:2022 · ISO 9001 · AZAV
Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten.

A. Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren.

A.1 Technische Maßnahmen

  • Der Wissenschaftspark Gelsenkirchen besitzt eine bis 19:00 Uhr besetzte Pforte; hierüber wird die Alarmanlage betrieben und beobachtet.
  • Nach 18:00 Uhr erhalten nur schließberechtigte Personen Zugang. Der Zugang zur Tiefgarage sowie den Haupt- und Nebeneingängen ist Unbefugten verwehrt.
  • Für das Schließsystem wird eine Transponder-Lösung verwendet. Verlorene Transponder können zeitnah gesperrt bzw. ersetzt werden.
  • Serverinfrastruktur ausschließlich bei zertifizierten Rechenzentren (Hetzner Online GmbH, ISO 27001); keine lokalen On-Premises-Server mit Kundendaten.

A.2 Organisatorische Maßnahmen

  • Standardisierte Besuchererfassung über Besucherprotokoll.
  • Software-gestütztes digitales Schlüsselbuch; halbjährliche Sichtung, anlassbezogene Kontrollen vorbehalten.
  • Videoüberwachung der Eingänge und Tiefgarage im Wissenschaftspark; Aufbewahrung der Aufzeichnungen mindestens 48 Stunden.

B. Zugangskontrolle

Maßnahmen, die die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindern.

B.1 Technische Maßnahmen

  • Authentifizierung mit eindeutiger Kennung und Passwort; bei abweichendem Login-Verhalten zusätzlich Token-basierter zweiter Faktor.
  • Moderne Firewall-Lösung mit Ticket-gestützter Wartung und Protokollierung.
  • VPN-Technologie für den Zugriff auf das Firmennetz (WireGuard, self-hosted).
  • Weitergabe sensibler Daten ausschließlich nach Informationsklassifizierung (z. B. über gesichertes Dateishare).
  • S/MIME-Technologie für E-Mail-Verschlüsselung (ausgewählte Mitarbeitende); PGP zusätzlich für Sicherheitsvorfall-Kommunikation (sicherheit@a7.de).

B.2 Organisatorische Maßnahmen

  • Benutzerberechtigungen werden über Gruppen organisiert und verwaltet.
  • Jedes Benutzerprofil ist eindeutig einer Person zugeordnet.
  • Automatische Bildschirmsperre nach 5 Minuten Inaktivität.

C. Zugriffskontrolle

Maßnahmen, die sicherstellen, dass Personen nur im Rahmen ihrer Berechtigung auf Daten zugreifen können und pbD nicht unbefugt gelesen, kopiert, verändert oder entfernt werden.

C.1 Technische Maßnahmen

  • Papier-pbD werden mit Aktenvernichter (Sicherheitsschnitt P5, ISO/IEC 21964 bzw. vormals DIN 32757) vernichtet oder nach Digitalisierung in verschlossenen Aktenschränken verwahrt.
  • Für die Vernichtung von Datenträgern wird ein nach ISO/IEC 21964 zertifizierter Dienstleister beauftragt.
  • Smartphones, Laptops und Datenträger sind verschlüsselt.

C.2 Organisatorische Maßnahmen

  • Benutzerrechte werden durch System-Administrator:in angelegt, organisiert und verwaltet.
  • Zahl der Administrator:innen und die vergebenen Rechte auf das Notwendige reduziert.
  • Dokumentierte Benutzerrechte-Matrix und Passwortrichtlinie.
  • Dokumentiertes Löschkonzept; Vernichtung in nicht-manipulierbaren Logs protokolliert.
  • Zugriffe (Eingabe, Änderung, Löschung) werden protokolliert.

D. Weitergabekontrolle

Schutz bei Übertragung, Transport oder Speicherung personenbezogener Daten.

  • VPN-Tunnel für die Weitergabe personenbezogener Daten.
  • S/MIME bei E-Mail-Verschlüsselung, PGP für Sicherheitsvorfall-Meldungen.
  • Pentest-Berichte ausschließlich über PGP-verschlüsselte E-Mail oder passwortgeschützte Datei-Freigaben.
  • Dokumentierte Evaluation von Datenspeichern, Freigaben und Systemen; bei Überschreitung unwiederbringliche Löschung.
  • Pentest-Artefakte werden aufgrund von Garantie-, Gewährleistungs- und Haftungsanforderungen bis zu zehn Jahre aufbewahrt, verschlüsselt und ausschließlich innerhalb der EU.

E. Eingabekontrolle

Nachvollziehbarkeit: Wer hat wann welche personenbezogenen Daten eingegeben, verändert oder entfernt?

  • Ausschließlich personenbezogene Nutzeraccounts (keine Shared-Accounts) ermöglichen Reproduzierbarkeit.
  • Anlassbezogene und stichprobenartige Protokollauswertungs-Routinen (Ticket-System).

F. Auftragskontrolle

  • Weisungen werden im Ticket-/CRM-System dokumentiert und mit dem jeweiligen Auftrag verknüpft.
  • Schriftliche Auftragsverarbeitungsvereinbarungen mit allen relevanten Parteien.
  • Etablierte Routinen stellen die Vernichtung von Daten nach Beendigung des Auftrags sicher (vgl. § 6 AVV).

G. Verfügbarkeitskontrolle

Schutz gegen zufällige Zerstörung oder Verlust, inkl. Belastbarkeit und Datensicherung.

  • Unterbrechungsfreie Stromversorgung (USV) an geeigneten Stellen.
  • Überspannungsschutz für schützenswerte elektronische Geräte.
  • Büroräume im ersten und zweiten Obergeschoss; Gelsenkirchen-Ückendorf ist kein Hochwassergebiet.
  • Feuer- und Rauchmeldeanlage (2022 erneuert, mindestens jährliche Wartung).
  • Keine lokalen On-Premises-Server mit Kundendaten.
  • Dokumentierter Notfallplan sowie Protokolle vergangener Notfallübungen.
  • Backup- und Recovery-Konzept; Daten und Datensicherungen an ausgelagertem Ort (geo-redundant).

H. Trennungsgebot

  • Mandantentrennung nach Bedarf und Notwendigkeit in allen kundenbezogenen Systemen.
  • Dokumentiertes Benutzer- und Berechtigungskonzept.

I. Dokumentationskontrolle

  • Verarbeitungsverzeichnisse nach Art. 30 DSGVO werden geführt und aktualisiert.
  • Dokumentationen der eingesetzten IT-Systeme und deren Konfiguration.

J. Einsatz künstlicher Intelligenz

AWARE7 betreibt für die Wertschöpfung (Kundenleistungen, Pentest-Analyse, Berichtsunterstützung) ein eigenes KI-Cluster mit eigens betriebenen Sprach- und Fachmodellen. Keine fremden KI-Dienste (OpenAI, Google, Anthropic etc.) werden für Aufgaben eingesetzt, die Kunden- oder Auftraggeberdaten verarbeiten.

Ausschließlich für Marketingzwecke (nicht-Kundendaten) wird auf externe Dienste (ChatGPT, Google Gemini, Anthropic Claude) zurückgegriffen. Diese Nutzung erfolgt ohne personenbezogene Kundendaten.

K. Allgemeine Maßnahmen

  • Datenschutzbeauftragter: Extern bestellt (Kevin Jäkel LL.B., HK2 Comtection GmbH).
  • Schulungen: Datenschutz- und Informationssicherheits-Unterweisungen beim Onboarding sowie halbjährlich.
  • Vertraulichkeitsverpflichtung aller Mitarbeitenden vor Tätigkeitsaufnahme (entspricht Formblatt 4 TDP).
  • Verfahrensunabhängige Prüfungen durch externe Auditoren im jährlichen Überwachungs- bzw. Rezertifizierungsaudit der ISO/IEC 27001.
  • ISMS und Datenschutzkonzept seit 2022 im Einsatz; kontinuierliche Weiterentwicklung.
  • Regelmäßige Wirksamkeits-Evaluation der TOMs im Rahmen der ISO/IEC 27001-Audits.

Fassung: 2.0 · Stand 2026-04-14. Diese Fassung löst die TOM-Dokumentation vom Stand 04/2024 ab. Änderungen werden bestehenden Auftraggebern mit dem nächsten AVV-Update mitgeteilt. Die vollständigen Zertifikate (ISO/IEC 27001:2022, ISO 9001, AZAV) sowie aktuelle Prüfberichte werden auf Anforderung binnen 14 Tagen ausgehändigt (Kontakt: datenschutz@a7.de).