TOM (Technische und organisatorische Maßnahmen) - HEXLE Development & IT Solutions e.U.

Hinweis

Die nachfolgenden Technischen und Organisatorischen Maßnahmen (TOM) beschreiben die Sicherheitsvorkehrungen, die HEXLE Development & IT Solutions e.U. (im Folgenden „HEXLE”) implementiert hat, um den Schutz personenbezogener Daten gemäß den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) zu gewährleisten. Diese Maßnahmen gelten für alle von HEXLE angebotenen Dienstleistungen und Produkte, insbesondere im Bereich der Softwareentwicklung, Cloud-Dienste und IT-Lösungen.

---

Der Auftragnehmer (HEXLE) hat folgende Maßnahmen nach dem Stand der Technik umgesetzt, um die Sicherheit der Verarbeitung zu gewährleisten.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

Maßnahmen, die verhindern, dass Unbefugte Zugang zu Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet oder genutzt werden:

1. Standort: Einsatz von ISO 27001 zertifizierten Rechenzentren (oder gleichwertig) innerhalb der EU/EWR.
2. Physische Sicherheit: Überwachung der Rechenzentren durch Sicherheitspersonal, Videoüberwachung und lückenlose Protokollierung des Zutritts.
3. Abschottung: Server-Racks sind physisch gesichert und nur autorisiertem Personal zugänglich.

1.2 Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte die Datensysteme nutzen können:

1. Strenge Passwortrichtlinien: Komplexität, Mindestlänge. Passwortwechsel erfolgt bei Kompromittierungsverdacht (gemäß NIST SP 800-63B / BSI-Empfehlungen).
2. Multi-Faktor-Authentifizierung (MFA): Für den administrativen Zugriff auf die Server und Entwicklungsumgebungen von HEXLE.
3. Rollen- und Berechtigungskonzepte (Need-to-know-Prinzip): Zugang zu Kundendaten nur für das notwendige HEXLE-Support- und Wartungspersonal in streng definierten Ausnahmefällen.
4. Sperrmechanismen: Automatische Sperrung des Zugangs nach Fehlversuchen.

1.3 Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können:

1. Mandantenfähigkeit (Trennung): Die Daten jedes Auftraggebers (Kunden) werden logisch getrennt voneinander gespeichert. Mitarbeiter des Kunden (AG) können nur auf die Daten des eigenen Unternehmens zugreifen.
2. Benutzerverwaltung in den HEXLE-Softwareprodukten: Feingranulare Rechtevergabe durch den AG.
3. Pseudonymisierung/Verschlüsselung:
   • Verschlüsselung von Passwörtern mittels aktueller Hashing-Verfahren (z.B. bcrypt, Argon2).
   • Verschlüsselung sensibler Datenfelder innerhalb der Datenbank.
   • Verschlüsselung ruhender Daten (Encryption at Rest) auf Datenbankebene und auf Backup-Medien.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, beim Transport oder bei der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden:

1. Transportverschlüsselung: Einsatz von TLS (bevorzugt TLS 1.3, mindestens TLS 1.2) für die Übertragung von Daten zwischen dem Endgerät des Nutzers und den HEXLE-Servern.
2. Sichere Schnittstellen: Einsatz von gesicherten APIs für den Datenaustausch mit Subunternehmern (z.B. Hosting-Partner).

2.2 Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

1. Protokollierung (Logging): Systematische Protokollierung von administrativen Zugriffen auf die Datenbank und alle relevanten Änderungen an Zeitdaten (wer, wann, was geändert hat).
2. Unveränderlichkeit der Protokolle: Speicherung der Audit-Logs getrennt vom System, um nachträgliche Manipulationen zu verhindern.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

3.1 Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

1. Backup-Konzept: Regelmäßige, automatisierte und verschlüsselte Datensicherung der Kundendatenbanken (z.B. täglich) mit Speicherung an einem geographisch getrennten Ort (Offsite-Backup). Backups werden verschlüsselt gespeichert und übertragen.
2. Wiederherstellungsverfahren (Disaster Recovery): Implementierte und regelmäßig getestete Verfahren zur schnellen Wiederherstellung der Datenverarbeitungsfunktionalität nach einem Systemausfall.
3. Redundanz: Redundante Serverinfrastruktur und Stromversorgung im Rechenzentrum.

3.2 Belastbarkeit (Resilienz)

1. Systemüberwachung: Kontinuierliche Überwachung der Systemleistung, um Störungen frühzeitig zu erkennen.
2. Patch- und Update-Management: Regelmäßige Einspielung von Sicherheitsupdates und Patches für Betriebssysteme, Datenbanken und Anwendungssoftware.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

4.1 Datenschutz-Management

1. Verfahren zur Gewährleistung der Rechte Betroffener: Etablierte Prozesse, um Auskunftsersuchen, Löschbegehren oder Datenportabilität der Mitarbeiter des AG unverzüglich bearbeiten zu können (in Unterstützung des AG).
2. Verfahren zur Behandlung von Datenschutzverletzungen: Interne Notfallpläne und eine festgelegte Meldepflicht an den AG bei einer Verletzung des Schutzes personenbezogener Daten (“Datenpanne”).
3. Regelmäßige Audits: Interne und/oder externe Überprüfungen der Einhaltung der TOMs durch HEXLE.

4.2 Organisation

1. Datenschutzkoordinator: HEXLE hat einen internen Datenschutzkoordinator benannt, der die Einhaltung der datenschutzrechtlichen Vorgaben überwacht. Eine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO besteht für HEXLE derzeit nicht.
2. Schulung: Regelmäßige Sensibilisierung und Schulung aller Mitarbeiter von HEXLE, die mit der Verarbeitung personenbezogener Daten befasst sind.

4.3 Löschkonzept und Datenvernichtung

1. Sichere Löschung: Nach Vertragsende oder auf Weisung des Auftraggebers werden personenbezogene Daten sicher und unwiderruflich gelöscht (z.B. durch Überschreiben oder kryptographisches Löschen).
2. Datenträgervernichtung: Ausgemusterte Datenträger werden physisch zerstört oder nach anerkannten Standards (z.B. DIN 66399) sicher gelöscht.

4.4 Incident Response und Meldepflichten

1. Meldepflicht: Bei einer Verletzung des Schutzes personenbezogener Daten informiert HEXLE den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls, damit der Auftraggeber seine Meldepflicht nach Art. 33 DSGVO (72-Stunden-Frist) einhalten kann.
2. Dokumentation: Jeder Sicherheitsvorfall wird umfassend dokumentiert (Art, Umfang, betroffene Daten, ergriffene Maßnahmen).

Hinweis: Die spezifischen technischen Details (z.B. welche Verschlüsselungsalgorithmen verwendet werden) werden in der internen technischen Dokumentation von HEXLE geführt und dem Auftraggeber auf Verlangen zur Verfügung gestellt.

Stand: März 2026