Technische und organisatorische Maßnahmen (TOMs)

• Betrieb über professionelle Rechenzentrums- und Cloud-Infrastruktur mit physischen Schutzmaßnahmen der Infrastrukturprovider.
• Personalisierte Benutzerkonten, rollenbasierte Berechtigungen und Mandantentrennung innerhalb der Anwendung.
• Authentifizierung über sichere Verfahren; Unterstützung starker Passwörter und mehrstufiger Authentifizierung, soweit technisch verfügbar.
• Administrative Zugriffe nur für berechtigte Personen nach Erforderlichkeitsprinzip.
• Regelmäßige Überprüfung und Entzug nicht mehr erforderlicher Zugriffsrechte.

• Transportverschlüsselung per HTTPS/TLS für die Kommunikation mit der Plattform.
• Protokollierung sicherheitsrelevanter Vorgänge wie Anmeldungen, Rollenänderungen, Datenexporte, Löschungen und administrative Aktionen.
• Backup- und Wiederherstellungsprozesse zur Reduzierung von Datenverlust- und Ausfallrisiken.
• Monitoring technischer Verfügbarkeit, Fehlerzustände und sicherheitsrelevanter Ereignisse im angemessenen Umfang.
• Trennung produktiver Daten von Entwicklungs- und Testprozessen, soweit technisch und organisatorisch erforderlich.

• Verarbeitung personenbezogener Daten auf Grundlage von Verträgen, Weisungen und dokumentierten Rollen.
• Vertraulichkeitsverpflichtung von Personen, die Zugriff auf personenbezogene Daten erhalten.
• Sorgfältige Auswahl und vertragliche Verpflichtung von Unterauftragsverarbeitern.
• Interne Prozesse zur Bearbeitung von Datenschutz- und Sicherheitsvorfällen.

Die Plattform unterstützt datenschutzfreundliche Konfigurationen durch Rollen- und Rechtemodelle, Mandantentrennung, Protokollierung, Export- und Löschprozesse sowie Funktionsgestaltung nach dem Erforderlichkeitsprinzip. Der Kunde bleibt für die konkrete Konfiguration, Datenminimierung und Rechtsgrundlagen verantwortlich.