Technische und organisatorische Maßnahmen (TOMs)
nach Art. 32 DSGVO

1. Zutrittskontrolle

Zutritt zu den Geschäftsräumen in der Pulvermühle 23, 22453 Hamburg, ist nur Mitarbeitenden der echolot Digital GmbH sowie ggf. weiteren Mietparteien des Bürogebäudes gestattet. Die Räumlichkeiten sind über Schließsysteme gesichert.

2. Zugangskontrolle

Der Zugang zu IT-Systemen erfolgt ausschließlich passwortgeschützt. Wo technisch möglich, wird zusätzlich eine Zwei-Faktor-Authentifizierung (2FA) eingesetzt.

3. Zugriffskontrolle

Mitarbeitende aus dem Entwicklungsbereich haben uneingeschränkten Zugriff auf Hard- und Software. Im laufenden Betrieb gilt das „Least Privilege“-Prinzip:

• Andere Mitarbeitende erhalten nur Zugriff auf freigegebene Systeme bzw. Produktivumgebungen.
• Kundenzugänge sind ausschließlich auf relevante Bereiche innerhalb der Software beschränkt.

4. Weitergabekontrolle

Die Weitergabe personenbezogener Daten über das Internet erfolgt ausschließlich verschlüsselt:

• Alle Websites und Anwendungen nutzen SSL/TLS-Verschlüsselung.
• Zusätzlich wird bei sensiblen Zugriffen ein VPN verwendet.

5. Eingabekontrolle

Änderungen an Softwarekomponenten werden über GIT-basierte Versionskontrollsysteme nachvollziehbar dokumentiert. Anwendungsseitig existieren systemeigene Protokolle zur Änderungshistorie.

6. Verfügbarkeitskontrolle

Für alle Systeme mit aktivem Wartungsvertrag bestehen folgende Maßnahmen:

• Mindestens zwei Backup-/Restore-Punkte pro Woche
• Vorhaltezeit von mindestens 14 Tagen

Diese Maßnahmen sichern eine schnelle Wiederherstellung im Falle technischer Störungen.

7. Trennungskontrolle

Die Trennung personenbezogener Daten erfolgt durch:

• Mandantenfähige Softwarearchitektur
• Einsatz von Virtualisierung
• Trennende Anwendungslogik
• Konzeptionierte Zugriffs- und Rollenkonzepte

8. Schulung & Sensibilisierung

Mitarbeitende werden regelmäßig zu den Themen Datenschutz und IT-Sicherheit unterwiesen. Schulungen erfolgen gezielt bei Einführung neuer Systeme oder bei identifiziertem Schulungsbedarf.

Unterauftragnehmer (Subunternehmer/Subprozessoren)

Hosting-Anbieter: Kundenseitig bestimmt oder standardmäßig die Hetzner Online GmbH (Deutschland)

AV-Vertrag: Besteht mit Hetzner

In der Regel werden keine weiteren Unterauftragnehmer eingesetzt. Falls doch, werden diese vor Projektbeginn deklariert und durch den Kunden genehmigt. Es besteht jeweils ein NDA sowie ein Auftragsverarbeitungsvertrag (AVV) mit allen Subunternehmern.

Internationale Datenübermittlungen / Drittlandtransfers

Grundsätzlich findet keine Übermittlung personenbezogener Daten in Drittländer außerhalb des EWR statt.

Falls eine solche Übermittlung im Einzelfall erforderlich wird (z. B. durch kundenspezifische Anforderungen), erfolgt:

• Transparente Vorabkommunikation
• Individuelle Freigabe durch den Auftraggeber
• Einsatz von Standardvertragsklauseln (SCCs) und ggf. zusätzlichen Schutzmaßnahmen

Hinweis: Diese TOMs gelten vorbehaltlich individueller vertraglicher Vereinbarungen und werden regelmäßig überprüft und angepasst.