BR-Systems.Benjamin Raulf · Müdener Straße 15a · 29345 Unterlüß
TEMPLATE
TOM · Annex 2 zur AVV · v1.0
Technical and organisational measures (Art. 32 DSGVO)
Beschreibung der von BR-Systems getroffenen Maßnahmen zur Sicherheit der Verarbeitung. Annex 2 zum Data processing agreement.
Vor Verwendung konkretisieren: Hostingorte, Kommunikationsdienste, Administrationszugriffe, Empfänger und Unterauftragsverarbeiter müssen der tatsächlich eingesetzten technischen Lieferkette entsprechen und in AVV sowie Anlagen vollständig benannt werden.
Ort der Verarbeitung: Colocation-Rechenzentrum Hannover (DE)
Stand: 2026
1 Vertraulichkeit
Zutrittskontrolle (physisch)
- Unterbringung der Hardware in einem gesicherten Rechenzentrum (Colocation) mit Zutrittsschutz des Betreibers: gesicherte Gebäude, Vereinzelungsanlagen, Videoüberwachung und protokollierter Zutritt.
- Zutritt zu den eigenen Systemen nur für berechtigte Personen; verschlossene Racks/Gehäuse.
- Büro-/Arbeitsplätze mit Zutrittsschutz und verschlossener Aufbewahrung von Datenträgern.
Access control (systems)
- Authentifizierung über individuelle Benutzerkonten mit starken Passwörtern.
- Mehr-Faktor-Authentifizierung (MFA) für administrative Zugänge und Fernzugriff.
- Automatische Sperrung inaktiver Sitzungen; verschlüsselte Verwaltungszugänge.
Access control (permissions)
- Rollen- und Berechtigungskonzept nach dem Prinzip der minimalen Rechte (Least Privilege).
- Protokollierung administrativer Zugriffe; Mandantentrennung im RMM.
- Geregeltes Verfahren zur Vergabe und zum Entzug von Berechtigungen.
Segregation control
- Logische Trennung der Daten verschiedener Kunden (Mandantenfähigkeit).
- Getrennte Umgebungen für Verwaltung, Produktion und Tests.
2 Integrity
Weitergabe-/Transportkontrolle
- Verschlüsselte Übertragung sämtlicher Verbindungen (TLS); Fernzugriff ausschließlich über verschlüsselte Kanäle.
- Verschlüsselung gespeicherter Daten bzw. Datenträger, soweit technisch sinnvoll.
- Mailserver auf eigener, getrennter IP-Adresse im eigenen Rechenzentrum.
Eingabekontrolle
- Protokollierung sicherheitsrelevanter Ereignisse und administrativer Tätigkeiten (Logging).
- Nachvollziehbarkeit, wer wann welche Änderungen vorgenommen hat.
- Transparenz bei Fernzugriff: Während einer Bildschirmsitzung wird dem Nutzer am Gerät ein deutlich sichtbarer Note angezeigt, dass und mit wem der Desktop geteilt wird.
3 Availability and resilience
- Regelmäßige, verschlüsselte Backups; getrennte Aufbewahrung der Sicherungen.
- Schutz durch Firewall (UTM) und Endpoint-Security; laufendes Monitoring der Systeme.
- Infrastructure im Rechenzentrum mit unterbrechungsfreier Stromversorgung (USV), Klimatisierung und Brandschutz des Betreibers.
- Definiertes Verfahren zur raschen Recovery nach einem Zwischenfall (Restore).
4 Pseudonymisierung & Verschlüsselung
- Verschlüsselung bei Übertragung und — wo angemessen — bei Speicherung.
- Pseudonymisierung bzw. Datenminimierung, soweit für den Zweck möglich.
5 Regelmäßige Überprüfung & Privacy policy-Management
- Regelmäßige Überprüfung und Aktualisierung der Maßnahmen an den Stand der Technik.
- Geregeltes Vorgehen bei Sicherheitsvorfällen inkl. Meldewegen.
- Verpflichtung der mitarbeitenden Personen auf Vertraulichkeit und Privacy policy.
- Auftragskontrolle: Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen.
Bitte vor Verwendung prüfen: Diese TOM sind ein an die Gegebenheiten von BR-Systems angelehntes Muster. Bitte streichen oder ergänzen Sie jede Maßnahme so, dass sie der tatsächlichen Umsetzung entspricht — eine TOM darf nur enthalten, was wirklich gelebt wird. Das Dokument ersetzt keine Rechtsberatung und sollte vor Einsatz fachlich geprüft werden.
BR-Systems · Benjamin Raulf · Müdener Straße 15a · 29345 Unterlüß · Tel. 0179 160 1700 · info@br-systems.eu — Annex 2 zum AVV. Muster ohne Gewähr auf Vollständigkeit oder Rechtssicherheit.