Anmelden Registrieren Impressum /
Datenschutz

Technisch-Organisatorische Maßnahmen

Stand: 15.12.2024

Anhang 1: Technische und organisatorische Maßnahmen (TOM)

GeniusQ – Lernplattform Stand: 01.12.2025

Dieser Anhang beschreibt die technischen und organisatorischen Maßnahmen des Auftragnehmers gemäß Art. 32 DSGVO. Die Maßnahmen gewährleisten ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten, die im Rahmen der Nutzung der Lernplattform verarbeitet werden. Der Auftragnehmer ist berechtigt, diese TOM zu aktualisieren, sofern dadurch kein niedrigeres Schutzniveau entsteht. Aktualisierte Fassungen ersetzen automatisch diesen Anhang.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zugangskontrolle

  • Passwortschutz für alle administrativen und technischen Zugänge
  • Multi-Faktor-Authentifizierung (TOTP-basiert) für sicherheitskritische Zugänge zur Server- und Infrastrukturverwaltung (z. B. DigitalOcean, Datenbanken)
  • Plattformzugänge (Lernende, Trainer, interne Admins) sind über passwortgeschützte HTTPS-Verbindungen abgesichert
  • Zugriff auf alle Systeme ausschließlich über TLS-verschlüsselte HTTPS-Verbindungen
  • Rollenbasierte Zugriffskontrolle für alle Plattformnutzer (Lernende, Trainer, interne Admins)

1.2 Berechtigungsmanagement

  • Rollenbasierte Zugriffskontrolle (RBAC) mit klar definierten Rollen: Lernende, Trainer, interne Admins
  • Vergabe von Berechtigungen strikt nach dem Need-to-know-Prinzip
  • Benutzerkonten werden vom Auftragnehmer anhand der vom Auftraggeber bereitgestellten E-Mail-Adressen angelegt; jede betroffene Person erhält eine individuelle Einladung per E-Mail mit einem registrierungspflichtigen Einladungscode
  • Der Einladungscode ist eindeutig dem Auftraggeber zugeordnet, sodass die Zuordnung von Nutzern zu Mandanten gewährleistet ist
  • Nutzer stimmen während der Registrierung den Datenschutzbestimmungen der Plattform zu
  • Benutzerkonten werden auf Antrag des Auftraggebers oder des betroffenen Nutzers unverzüglich, spätestens jedoch innerhalb von 7 Werktagen gelöscht.
  • Zukünftige Implementierungen eines Auftraggeber-Administrationsbereichs sind möglich; bis dahin erfolgt die Benutzerverwaltung ausschließlich durch den Auftragnehmer
  • Regelmäßige Überprüfung interner Admin-Zugänge (mindestens einmal jährlich)

1.3 Vertraulichkeitsverpflichtung

  • Alle internen Mitarbeiter und beauftragten externen Dienstleister werden schriftlich auf Vertraulichkeit verpflichtet
  • Zugriff auf personenbezogene Daten ist ausschließlich befugten Personen gestattet
  • Befugte Personen erhalten nur Zugang zu den Daten, die für ihre Tätigkeit erforderlich sind
  • Externe Dienstleister (z. B. Entwickler oder technische Unterstützung), sofern eingesetzt, werden vor Tätigkeitsbeginn schriftlich auf Vertraulichkeit verpflichtet
  • Datenschutzrelevante Abläufe werden dokumentiert und regelmäßig überprüft

1.4 Vertraulichkeit und Richtlinien

Der Auftragnehmer hat interne Datenschutzrichtlinien dokumentiert, die den Umgang mit personenbezogenen Daten regeln. Externe Dienstleister und Mitarbeiter werden vor Tätigkeitsbeginn schriftlich auf Vertraulichkeit verpflichtet und über die geltenden Datenschutzanforderungen informiert.

1.5 Sicherheit der Arbeitsstationen (Mobile Arbeit & Home Office)

Da administrative Tätigkeiten auch mobil oder im Home Office durchgeführt werden können, gelten folgende Schutzmaßnahmen für die Endgeräte des Auftragnehmers: * Festplattenverschlüsselung: Alle genutzten Notebooks/PCs sind vollständig verschlüsselt (z. B. BitLocker, FileVault). * Sperrmechanismus: Automatische Bildschirmsperre bei Inaktivität. * Schutz vor Dritteinsicht: Verwendung von Blickschutzfiltern bei Arbeit in öffentlichen Bereichen; im Home Office ist sichergestellt, dass Unbefugte (z. B. Familienangehörige) keinen Blick auf personenbezogene Daten haben. * Sicherheitsupdates: Betriebssysteme und Browser werden automatisch auf dem aktuellen Stand gehalten.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Übertragungskontrolle

  • TLS 1.2+ bei sämtlichen Datenübertragungen
  • API-Kommunikation mit externen Anbietern ausschließlich verschlüsselt

2.2 Eingabekontrolle

  • Änderungen an personenbezogenen Daten können ausschließlich durch befugte administrative Nutzer vorgenommen werden
  • Administrativer Zugriff beschränkt sich auf den Auftragnehmer und ggf. beauftragte Dienstleister
  • Technische Maßnahmen (z. B. CSRF-Schutzmechanismen) verhindern unbefugte oder automatisierte Änderungen durch Dritte
  • Sicherheitsrelevante administrative Änderungen werden intern dokumentiert
  • Passwörter werden ausschließlich gehasht gespeichert

2.3 Session-Management

  • Automatische Beendigung inaktiver Sessions nach 6 Stunden
  • Aktive Nutzung verlängert die Session automatisch (Sliding Window)
  • CSRF-Schutz mit zeitlich begrenzten Tokens
  • Sichere Session-Cookies (HTTPS-only)

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

3.1 Hosting-Infrastruktur

  • Betrieb aller personenbezogenen Daten ausschließlich in der DigitalOcean-Region Frankfurt (FRA1).
  • Infrastrukturelle Redundanz: Die Plattform nutzt die Hochverfügbarkeits-Infrastruktur des Providers DigitalOcean. Dies umfasst redundante Stromversorgung, Netzwerkanbindung und Storage-Systeme auf Rechenzentrumsebene.
  • Rapid Recovery: Die Verfügbarkeit wird durch eine "Rapid Recovery"-Strategie sichergestellt. Durch den Einsatz von Image-basierten Wiederherstellungsverfahren und automatisierten Prozessen können die Dienste im Falle eines Hardware-Ausfalls in der Regel innerhalb von 6 Stunden auf neuer Infrastruktur wiederhergestellt werden.

3.2 Backup-Konfiguration

  • Tägliche, verschlüsselte Backups der Datenbank
  • Automatische Rotation und Überschreibung nach 14 Tagen gemäß AVV
  • Zusätzlich können systemseitige Backups und Snapshots durch DigitalOcean bestehen; deren Aufbewahrung und Löschung richten sich ausschließlich nach den Richtlinien von DigitalOcean

3.3 Notfall- und Wiederherstellungsmanagement

  • Ein internes Verfahren zur Wiederherstellung der Plattform aus Backups ist definiert
  • Der Wiederanlauf umfasst u. a. das Einspielen von Backups, Neustart der Systeme über die DigitalOcean-Konsole sowie Diagnose über Better Stack Monitoring
  • Das Verfahren wird bei Bedarf aktualisiert

4. Belastbarkeit und Monitoring

4.1 Systemüberwachung

  • Überwachung der Erreichbarkeit des Servers
  • Grundlegende Überwachung von Datenbank- und Systemparametern
  • Erkennung von Störungen, ungewöhnlichen Fehlermustern und nicht erwarteten Lastspitzen
  • Benachrichtigung bei schwerwiegenden Funktionsstörungen

4.2 Sicherheitsrelevante Ereignisse

Zu den erfassten sicherheitsrelevanten Ereignissen gehören insbesondere: * fehlgeschlagene Login-Versuche * unerwartete 5xx-Fehler * ungewöhnlich hohe Zugriffsmuster, die auf automatisierte oder missbräuchliche Nutzung hindeuten können

4.3 Logging

Die Plattform erfasst Protokolle, die für den technischen Betrieb und die Untersuchung von Störungen erforderlich sind. Dies umfasst: * technische Fehlerprotokolle * Zugriffsinformationen, einschließlich IP-Adressen, soweit zur Diagnose erforderlich * sicherheitsrelevante Ereignisse gemäß Abschnitt 4.2

Zugriff auf die Protokolle ist auf befugte Personen beschränkt.

Löschfristen: * Access-Logs werden nach maximal 30 Tagen gelöscht. * Fehler- und Ereignislogs werden nach maximal 90 Tagen gelöscht. * Längere Speicherung erfolgt ausschließlich zur Untersuchung konkreter technischer oder sicherheitsrelevanter Vorfälle.

4.4 Umgang mit IP-Adressen

  • IP-Adressen werden zu technischen Zwecken gespeichert, insbesondere zur Störungsanalyse und zur Erkennung potenziell missbräuchlicher Nutzung.
  • Eine Weitergabe an externe KI-Dienste erfolgt nicht.

4.5 Belastbarkeit

Die Belastbarkeit der Plattform ergibt sich aus: * der Nutzung der Rechenzentrumsinfrastruktur von DigitalOcean in Frankfurt (FRA1) * dem Backup- und Wiederherstellungsverfahren gemäß Abschnitt 3 * grundlegenden Überwachungsmechanismen auf Server- und Anwendungsebene * Eine Multi-Server- oder Cluster-Redundanz ist nicht Bestandteil des aktuellen Betriebsmodells.

5. Datenschutz durch Technikgestaltung (Art. 25 DSGVO)

Der Auftragnehmer setzt die Grundsätze von Datenschutz durch Technikgestaltung und datenschutzfreundlichen Voreinstellungen um. Dies umfasst insbesondere: * Datensparsamkeit: Die Plattform ist so konzipiert, dass für die Nutzung von KI-Funktionen nur die inhaltlich notwendigen Daten übermittelt werden. Metadaten wie User-IDs und Klarnamen werden vor der Übermittlung an KI-Dienste entfernt. Übermittelt werden ausschließlich die für die jeweilige Funktion erforderlichen Inhalte (z. B. Freitextantworten, Dokumenteninhalte). * Isolierte Verarbeitung: KI-Funktionen nutzen separate Instanzen oder API-Zugänge, bei denen vertraglich ausgeschlossen ist, dass Eingabedaten zum Training der Modelle Dritter verwendet werden.

6. Auftragskontrolle

Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter nur unter Beachtung der gesetzlichen Anforderungen und der vertraglichen Vorgaben eingesetzt werden. Dies umfasst insbesondere: * Abschluss geeigneter Vertragsgrundlagen (z. B. Standardvertragsklauseln bei Anbietern in Drittländern) * Prüfung der vom Unterauftragsverarbeiter bereitgestellten Datenschutz- und Sicherheitsmaßnahmen anhand öffentlich verfügbarer Dokumentationen und Sicherheitsnachweise * Information des Auftraggebers über neue Unterauftragsverarbeiter gemäß den vertraglichen Regelungen * Dokumentierte Erfassung der eingesetzten Unterauftragsverarbeiter, ihrer Aufgabenbereiche und der jeweils geltenden Vertragsgrundlagen * Keine Beauftragung weiterer Unterauftragsverarbeiter ohne vorherige Prüfung ihrer datenschutzrechtlichen Eignung

7. Trennung von Daten

Die Plattform verwendet eine mandantenfähige Architektur. Jeder Nutzer ist eindeutig einem Mandanten zugeordnet; sämtliche weiteren Datensätze sind über diese Nutzerbeziehung mittelbar dem jeweiligen Mandanten zuordenbar. Personenbezogene Daten sowie personenbezogene Lerndaten werden mandantenbezogen verarbeitet und sind für andere Mandanten nicht einsehbar. Innerhalb der gemeinsamen Datenbank erfolgt eine logische Trennung der Daten durch Mandantenkennungen und Rollenmodelle. Mandantenübergreifende Auswertungen können durchgeführt werden, sofern sie ausschließlich auf aggregierten oder anonymisierten Daten basieren und keine Rückschlüsse auf einzelne Personen ermöglichen.

8. Aktualisierung der TOM

Der Auftragnehmer kann diese Maßnahmen anpassen, wenn sich technische oder organisatorische Anforderungen ändern. Anpassungen sind zulässig, sofern: * das Schutzniveau nicht reduziert wird, * der Zweck der Maßnahmen erhalten bleibt, * die Änderungen dokumentiert werden.

Ende von Anhang 1

Impressum Datenschutz AGB AVV TOM Subunternehmer