Technische und organisatorische Maßnahmen
gemäß Art. 32 DSGVO · Anlage 1a zur Vereinbarung zur Auftragsverarbeitung
Auftragsverarbeiter
Flowmatik24 GbR
Brückenort 14, 49565 Bramsche
Stand dieser Maßnahmen: 08.07.2026
Betriebsumgebung: netcup-Rechenzentrum, Nürnberg (EU)
Der Auftragsverarbeiter unterhält die nachfolgenden technischen und organisatorischen Maßnahmen (TOM) zum Schutz personenbezogener Daten. Die Maßnahmen orientieren sich am Stand der Technik, den Implementierungskosten sowie an Art, Umfang, Umständen und Zwecken der Verarbeitung. Die Automatisierungen werden ausschließlich auf gemieteter Server-Infrastruktur des Auftragsverarbeiters betrieben; es werden keine personenbezogenen Daten auf lokalen Endgeräten dauerhaft gespeichert.
1Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
| Maßnahme | Umsetzung |
| Zutrittskontrolle | Betrieb in einem zugangsgesicherten Rechenzentrum des Hosting-Dienstleisters (Vereinzelung, Videoüberwachung, 24/7-Bewachung). Keine Server-Hardware in Geschäftsräumen; Arbeitsplätze mit automatischer Bildschirmsperre. |
| Zugangskontrolle | Individuelle Benutzerkonten, starke Passwörter zentral verwaltet in einem Passwort-Manager (Vaultwarden), Zwei-Faktor-Authentisierung für administrative Zugänge, SSH-Zugriff ausschließlich per Schlüssel (kein Passwort-/Root-Login). |
| Zugriffskontrolle | Rechtevergabe nach Need-to-know, je Anwendung getrennte Zugänge, Reverse-Proxy mit TLS-Terminierung, Protokollierung administrativer Zugriffe. |
| Trennungskontrolle | Logische Trennung der Kundendaten (getrennte Datenbanken bzw. Container je Anwendung), strikte Trennung von Produktiv- und Testumgebung. |
2Integrität (Art. 32 Abs. 1 lit. b DSGVO)
| Maßnahme | Umsetzung |
| Weitergabekontrolle | Übertragung nach außen ausschließlich verschlüsselt via TLS/HTTPS; interne Dienste kommunizieren im privaten Container-Netz. Kein Transport physischer Datenträger. |
| Eingabekontrolle | Nachvollziehbarkeit durch Protokollierung der Automatisierungs-Workflows und Änderungshistorie in der Zentrale; Feststellbarkeit, wer welche Daten wann verarbeitet hat. |
| Pseudonymisierung & Verschlüsselung | Datenminimierung, Pseudonymisierung wo möglich; verschlüsselte Speicherung von Zugangsgeheimnissen; Transportverschlüsselung durchgängig. |
3Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b & c DSGVO)
| Maßnahme | Umsetzung |
| Verfügbarkeitskontrolle | Regelmäßige automatische Backups (täglich), getrennte Aufbewahrung, Firewall, Schutz vor Schadsoftware, Monitoring der Dienste. |
| Rasche Wiederherstellbarkeit | Wiederherstellung aus Backups; containerisierte Dienste (Docker Compose) ermöglichen zügigen Wiederanlauf nach einem Ausfall. |
| Belastbarkeit der Systeme | Getrennte Dienste je Container, Ressourcenüberwachung, zeitnahes Einspielen sicherheitsrelevanter Updates. |
4Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)
| Maßnahme | Umsetzung |
| Datenschutz-Management | Führung eines Verzeichnisses von Verarbeitungstätigkeiten, Überprüfung dieser Maßnahmen mindestens jährlich sowie anlassbezogen bei wesentlichen Änderungen. |
| Auftragskontrolle | Verarbeitung ausschließlich auf dokumentierte Weisung; Unterauftragnehmer sind vertraglich nach Art. 28 DSGVO gebunden (siehe AVV §5). |
| Vorfallmanagement | Prozess zur Erkennung und Meldung von Datenschutzverletzungen innerhalb der in der AVV vereinbarten Frist an den Verantwortlichen. |
Bramsche, den 08.07.2026
Kai Tepe / Philip Henne
Auftragsverarbeiter · Flowmatik24 GbR