Technische und organisatorische Maßnahmen

Zweck dieser Übersicht

Diese Seite beschreibt die technischen und organisatorischen Maßnahmen (TOM), die wir gemäß Art. 32 DSGVO getroffen haben, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Die Maßnahmen werden regelmäßig auf Angemessenheit geprüft und bei Bedarf angepasst.

Diese Übersicht ist auch Bestandteil unseres Auftragsverarbeitungsvertrages (AVV nach Art. 28 DSGVO) und wird bei Bedarf als Anlage mitgeführt.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

Kein zentrales Geschäftslokal mit Publikumsverkehr. Arbeitsgeräte befinden sich ausschließlich in privaten Wohnräumen des Inhabers. Geräte werden bei Abwesenheit gesperrt; Papiere mit personenbezogenen Daten werden nicht frei zugänglich gelagert.

Zugangskontrolle

Starker Passwortschutz auf allen Geräten (Mindestlänge 14 Zeichen, Zufalls-Generation über Passwort-Manager), Festplattenverschlüsselung (BitLocker/LUKS), automatische Bildschirmsperre nach 5 Minuten Inaktivität, Zwei-Faktor-Authentisierung für alle kritischen Dienste (E-Mail, Cloud-Speicher, Hosting-Control-Panel, Domain-Registrar, Bank).

Zugriffskontrolle

Fernwartungs-Sitzungen erfordern die ausdrückliche Bestätigung durch den Auftraggeber (aktive Zustimmung per Code/Link). Kein dauerhafter Zugriff ohne erneute Freigabe. Rolle „Administrator“ nur für die Dauer der Sitzung; keine permanenten Accounts auf Kundensystemen. Logfiles der Fernwartungssoftware werden mindestens 30 Tage aufbewahrt.

Trennungskontrolle

Technische Trennung zwischen produktiver Arbeitsumgebung und privater Nutzung des Inhabers. Kundendaten werden getrennt je Auftraggeber abgelegt (separate Ordnerstrukturen, Projektkennungen). Keine Vermischung zwischen unterschiedlichen Auftragsverhältnissen.

Pseudonymisierung / Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

Datentransfers zu Auftraggebern ausschließlich über verschlüsselte Kanäle (TLS 1.2+, SSH, SCP, SFTP, verschlüsselte Cloud-Ordner). IP-Adressen im Webanalyse- und Chat-System werden per HMAC-SHA256 mit geheimem Schlüssel gehasht, die originale IP-Adresse wird nicht gespeichert. Zugangsdaten der Auftraggeber werden bei Bedarf in einem Passwort-Manager mit lokaler Master-Key-Verschlüsselung abgelegt; nach Auftragsabschluss werden Zugangsdaten auf Wunsch des Auftraggebers gelöscht.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Eingabekontrolle

Jede Fernwartungs-Sitzung wird vom Auftraggeber durch explizite Freigabe eingeleitet. Durchgeführte Maßnahmen werden im Kundenkontakt dokumentiert (Tickets, Protokollnotizen, ggf. Rechnungstext). Rechnungs-PDFs sind nach Erzeugung auf dem Dateisystem schreibgeschützt (chmod 0444), die zugehörige JSON-Metadatei ist unveränderlich abgelegt (GoBD-Anforderungen).

Weitergabekontrolle

Datenweitergaben an Dritte erfolgen nur, soweit dies für die Leistungserbringung erforderlich und durch den Auftraggeber abgedeckt ist. Unterauftragsverhältnisse (Hoster, Fernwartungsanbieter, KI-Dienstleister) sind in der Datenschutzerklärung und im AVV offengelegt. Kein Verkauf oder Austausch von Kundendaten.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle

Website-Hosting bei einem zertifizierten deutschen Hoster mit redundanten Standorten und automatischem Backup. Versionierung des Quellcodes über Git (selfhosted). Automatische Snapshots vor jeder Produktivitätsänderung. Kritische Konfigurationen werden zusätzlich als Markdown-Dokumentation abgelegt.

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

Wiederherstellung aus Snapshot innerhalb weniger Minuten möglich. Backup-Prüfung (Lesbarkeit, Vollständigkeit) mindestens quartalsweise. Notfall-Kontaktwege (Telefon, Mobil, alternative E-Mail-Adresse) sind dokumentiert.

4. Regelmäßige Prüfung (Art. 32 Abs. 1 lit. d DSGVO)

Datenschutzmanagement

Der Inhaber ist gleichzeitig Datenschutzbeauftragter (Kleinunternehmer, < 20 beschäftigte Personen, keine besondere Datenkategorie im gewerblichen Kerngeschäft). Die Datenschutzerklärung und die TOM werden mindestens halbjährlich geprüft; wesentliche Anpassungen sind mit Stand versehen.

Incident-Response

Bei Bekanntwerden einer Datenschutzverletzung erfolgt innerhalb von 24 Stunden nach Kenntnisnahme eine Meldung an den Auftraggeber (soweit AVV geschlossen) sowie ggf. an die zuständige Aufsichtsbehörde (Art. 33 DSGVO, 72-Stunden-Frist). Vorgehensweise: Dokumentation, Sofortmaßnahmen zur Schadensbegrenzung, Root-Cause-Analyse, Anpassung der TOM.

Auftragskontrolle

Unterauftragnehmer werden vor Beauftragung geprüft (Zertifizierungen, Standort, Drittlandtransfer-Grundlagen). Mit allen Drittanbietern, die personenbezogene Daten verarbeiten, wird ein AVV nach Art. 28 DSGVO abgeschlossen oder auf ein von diesen bereitgestelltes Standard-AVV zurückgegriffen.

5. Web-Infrastruktur (spezifisch)

Transportverschlüsselung

HTTPS wird auf allen Seiten erzwungen (HTTP-301-Redirect auf HTTPS). HSTS-Header mit max-age=63072000 (2 Jahre) und includeSubDomains; Preload-Eintrag eingereicht. Aktuelles Let’s-Encrypt-Zertifikat, automatische Erneuerung.

Content Security Policy

Strikte CSP mit per Request generiertem nonce und strict-dynamic. Keine Zulassung von unsafe-inline in script-src. Klickjacking-Schutz durch frame-ancestors 'none'.

Schutzmaßnahmen gegen Missbrauch

Kontaktformular mit HMAC-signiertem CSRF-Token, Honeypot gegen Bot-Submissions und IP-basiertem Rate-Limit. KI-Chatassistent mit Consent-Pflicht, gestuftem Rate-Limit, Tages-Kosten-Cap und PII-Masking. Admin-Endpunkte (Rechnungs-API, GSC-Dashboard, Core-Web-Vitals-Dashboard) durch Basic-Auth und separat rotierbare API-Keys geschützt. Interne Deploy-Schnittstelle mit HMAC-Auth, Path-Traversal-Validation, Extension-Whitelist und Audit-Log.

Speicher- und Löschfristen (Auswahl)

• Chat-Verläufe (FINN-Assistent): max. 90 Tage, automatische Löschung
• Rate-Limit-Datensätze (gehashte IP): max. 24 Stunden
• Kontaktformular-Anfragen per E-Mail: bis zum Abschluss des Vorgangs zzgl. gesetzliche Aufbewahrungsfristen (z.B. Handelsrecht, Steuerrecht)
• Rechnungs-PDFs und zugehörige Metadaten: 10 Jahre gemäß § 147 AO, § 257 HGB
• Server-Logfiles des Hosters: nach Vorgaben des Hosters, regelmäßig ≤ 14 Tage

6. Übersicht eingesetzter Dienstleister

Eine vollständige Liste der eingesetzten Auftragsverarbeiter mit Standort, Verarbeitungszweck und Rechtsgrundlage für Drittlandtransfers findet sich in der Datenschutzerklärung sowie in Anlage 2 des Auftragsverarbeitungsvertrages.

7. Kontakt bei Fragen

Für Fragen zu den technischen und organisatorischen Maßnahmen stehen wir gerne zur Verfügung. Wenden Sie sich an datenschutz@netzhandwerker.de oder unter 02562 187 99 13.

Dieses Dokument beschreibt den Stand der technischen und organisatorischen Maßnahmen zum o.g. Datum. Die Maßnahmen werden regelmäßig weiterentwickelt. Eine aktuelle Version wird auf Anfrage als PDF-Anlage zur Verfügung gestellt.