TOM (Technische und organisatorische Maßnahmen) - HEXLE Development & IT Solutions e.U.

Hinweis

Die nachfolgenden Technischen und Organisatorischen Maßnahmen (TOM) beschreiben die Sicherheitsvorkehrungen, die HEXLE Development & IT Solutions e.U. (im Folgenden „HEXLE”) implementiert hat, um den Schutz personenbezogener Daten gemäß den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) zu gewährleisten. Diese Maßnahmen gelten für alle von HEXLE angebotenen Dienstleistungen und Produkte, insbesondere im Bereich der Softwareentwicklung, Cloud-Dienste und IT-Lösungen.

---

Der Auftragnehmer (HEXLE) hat folgende Maßnahmen nach dem Stand der Technik umgesetzt, um die Sicherheit der Verarbeitung zu gewährleisten.

1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

Maßnahmen, die verhindern, dass Unbefugte Zugang zu Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet oder genutzt werden:

1. Standort: Einsatz von ISO 27001 zertifizierten Rechenzentren (oder gleichwertig) innerhalb der EU/EWR.
2. Physische Sicherheit: Überwachung der Rechenzentren durch Sicherheitspersonal, Videoüberwachung und lückenlose Protokollierung des Zutritts.
3. Abschottung: Server-Racks sind physisch gesichert und nur autorisiertem Personal zugänglich.

1.2 Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte die Datensysteme nutzen können:

1. Strenge Passwortrichtlinien: Komplexität, regelmäßiger Wechsel.
2. Multi-Faktor-Authentifizierung (MFA): Für den administrativen Zugriff auf die Server und Entwicklungsumgebungen von HEXLE.
3. Rollen- und Berechtigungskonzepte (Need-to-know-Prinzip): Zugang zu Kundendaten (Zeiterfassungsdaten) nur für das notwendige HEXLE-Support- und Wartungspersonal in streng definierten Ausnahmefällen.
4. Sperrmechanismen: Automatische Sperrung des Zugangs nach Fehlversuchen.

1.3 Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können:

1. Mandantenfähigkeit (Trennung): Die Daten jedes Auftraggebers (Kunden) werden logisch getrennt voneinander gespeichert. Mitarbeiter des Kunden (AG) können nur auf die Daten des eigenen Unternehmens zugreifen.
2. Benutzerverwaltung in HEXLE Booking: Feingranulare Rechtevergabe durch den AG.
3. Pseudonymisierung/Verschlüsselung: Einsatz von Verschlüsselung von Passwörtern und bei Bedarf von besonders sensiblen Datenfeldern innerhalb der Datenbank.

2. Integrität (Art. 32 Abs. 1 lit. c DSGVO)

2.1 Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, beim Transport oder bei der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden:

1. Transportverschlüsselung: Einsatz von SSL/TLS (mindestens TLS 1.2) für die Übertragung von Daten zwischen dem Endgerät des Nutzers (Mitarbeiter des AG) und den HEXLE-Servern.
2. Sichere Schnittstellen: Einsatz von gesicherten APIs für den Datenaustausch mit Subunternehmern (z.B. Hosting-Partner).

2.2 Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

1. Protokollierung (Logging): Systematische Protokollierung von administrativen Zugriffen auf die Datenbank und alle relevanten Änderungen an Zeitdaten (wer, wann, was geändert hat).
2. Unveränderlichkeit der Protokolle: Speicherung der Audit-Logs getrennt vom System, um nachträgliche Manipulationen zu verhindern

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

3.1 Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

1. Backup-Konzept: Regelmäßige, automatisierte Datensicherung der Kundendatenbanken (z.B. täglich) mit Speicherung an einem geographisch getrennten Ort (Offsite-Backup).
2. Wiederherstellungsverfahren (Disaster Recovery): Implementierte und regelmäßig getestete Verfahren zur schnellen Wiederherstellung der Datenverarbeitungsfunktionalität nach einem Systemausfall.
3. Redundanz: Redundante Serverinfrastruktur und Stromversorgung im Rechenzentrum.

3.2 Belastbarkeit (Resilienz)

1. Systemüberwachung: Kontinuierliche Überwachung der Systemleistung, um Störungen frühzeitig zu erkennen.
2. Patch- und Update-Management: Regelmäßige Einspielung von Sicherheitsupdates und Patches für Betriebssysteme, Datenbanken und Anwendungssoftware.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

4.1 Datenschutz-Management

1. Verfahren zur Gewährleistung der Rechte Betroffener: Etablierte Prozesse, um Auskunftsersuchen, Löschbegehren oder Datenportabilität der Mitarbeiter des AG unverzüglich bearbeiten zu können (in Unterstützung des AG).
2. Verfahren zur Behandlung von Datenschutzverletzungen: Interne Notfallpläne und eine festgelegte Meldepflicht an den AG bei einer Verletzung des Schutzes personenbezogener Daten (“Datenpanne”).
3. Regelmäßige Audits: Interne und/oder externe Überprüfungen der Einhaltung der TOMs durch HEXLE.

4.2 Organisation

1. Datenschutzbeauftragter: Benennung eines Datenschutzkoordinators oder - beauftragten, falls gesetzlich erforderlich (Österreichisches DSG).
2. Schulung: Regelmäßige Sensibilisierung und Schulung aller Mitarbeiter von HEXLE, die mit der Verarbeitung personenbezogener Daten befasst sind.

Hinweis: Die spezifischen technischen Details (z.B. welche Verschlüsselungsalgorithmen verwendet werden) werden in der internen technischen Dokumentation von HEXLE geführt und dem Auftraggeber auf Verlangen zur Verfügung gestellt

Stand: Januar 2026