Flora1
Website & Mehr
Verkauf & Umsatz
Marketing & Wachstum
Kundenbindung & Reputation

Technische und Organisatorische Maßnahmen (TOM)

Stand: 29.01.2026

Die Haertel & Vickers Digital Services GbR gewährleistet gemäß Art. 32 DSGVO ein dem Risiko angemessenes Schutzniveau durch folgende Maßnahmen:

I. Vertraulichkeit

1. Zutrittskontrolle (Räumlich): Die Verarbeitung erfolgt an dezentralen Arbeitsplätzen. Mitarbeiter sind vertraglich verpflichtet, die Verarbeitung räumlich von unbefugten Dritten abzuschirmen. Physische Unterlagen werden gemäß einer Clean-Desk-Policy in abschließbaren Behältnissen verwahrt.

2. Zugangskontrolle (Systeme): Der Zugang zu Systemen erfolgt über individuelle Authentifizierung mit komplexen Passwörtern. Die Zwei-Faktor-Authentifizierung (2FA) ist für den Zugriff auf kritische Infrastrukturen (Cloud-Management, Datenbanken) verpflichtend.

3. Zugriffskontrolle (Daten): Berechtigungen werden nach dem Need-to-Know-Prinzip vergeben. Die Anzahl der Administratoren ist auf das Minimum beschränkt.

4. Trennungskontrolle: Kundendaten werden logisch voneinander getrennt (Mandantenfähigkeit) und getrennt von internen operativen Daten des Anbieters verarbeitet.

II. Integrität

1. Weitergabekontrolle: Alle Datenübertragungen über öffentliche Netze erfolgen ausschließlich mittels TLS/SSL-Verschlüsselung (HTTPS). Die Weitergabe an Subunternehmer erfolgt nur auf Basis von Art. 28 DSGVO (AVV).

2. Eingabekontrolle: Es ist nachvollziehbar, durch welche Nutzergruppen Eingaben oder Änderungen vorgenommen werden können.

III. Verfügbarkeit und Belastbarkeit

1. Verfügbarkeitskontrolle: Es wird ein regelmäßiges Backup-Verfahren eingesetzt, um Datenverlusten vorzubeugen. Die Speicherung erfolgt redundant in der Cloud-Infrastruktur.

2. Wiederherstellbarkeit: Die Systeme sind so konzipiert, dass eine Wiederherstellung der Verfügbarkeit nach einem technischen Zwischenfall zeitnah eingeleitet werden kann.

IV. Verfahren zur regelmäßigen Überprüfung

1. Personal: Verpflichtung aller Mitarbeiter auf das Datengeheimnis und regelmäßige Sensibilisierung für IT-Sicherheit.

2. Incident-Management: Prozesse zur Erkennung und Meldung von Datenschutzverletzungen sind etabliert.

3. Privacy by Design: Datenschutzaspekte werden bei der Weiterentwicklung der Softwareplattform von Beginn an berücksichtigt.