Technische & organisatorische MaßnahmenAnlage 1a · Art. 32 DSGVO
← Übersicht
Anlage 1a
zu VTR-2026-003
Technische und organisatorische Maßnahmen
gemäß Art. 32 DSGVO · Anlage 1a zur Vereinbarung zur Auftragsverarbeitung
Auftragsverarbeiter
Flowmatik24 GbR
Brückenort 14, 49565 Bramsche
Stand dieser Maßnahmen: 08.07.2026
Betriebsumgebung: netcup-Rechenzentrum, Nürnberg (EU)

Der Auftragsverarbeiter unterhält die nachfolgenden technischen und organisatorischen Maßnahmen (TOM) zum Schutz personenbezogener Daten. Die Maßnahmen orientieren sich am Stand der Technik, den Implementierungskosten sowie an Art, Umfang, Umständen und Zwecken der Verarbeitung. Die Automatisierungen werden ausschließlich auf gemieteter Server-Infrastruktur des Auftragsverarbeiters betrieben; es werden keine personenbezogenen Daten auf lokalen Endgeräten dauerhaft gespeichert.

1Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

MaßnahmeUmsetzung
ZutrittskontrolleBetrieb in einem zugangsgesicherten Rechenzentrum des Hosting-Dienstleisters (Vereinzelung, Videoüberwachung, 24/7-Bewachung). Keine Server-Hardware in Geschäftsräumen; Arbeitsplätze mit automatischer Bildschirmsperre.
ZugangskontrolleIndividuelle Benutzerkonten, starke Passwörter zentral verwaltet in einem Passwort-Manager (Vaultwarden), Zwei-Faktor-Authentisierung für administrative Zugänge, SSH-Zugriff ausschließlich per Schlüssel (kein Passwort-/Root-Login).
ZugriffskontrolleRechtevergabe nach Need-to-know, je Anwendung getrennte Zugänge, Reverse-Proxy mit TLS-Terminierung, Protokollierung administrativer Zugriffe.
TrennungskontrolleLogische Trennung der Kundendaten (getrennte Datenbanken bzw. Container je Anwendung), strikte Trennung von Produktiv- und Testumgebung.

2Integrität (Art. 32 Abs. 1 lit. b DSGVO)

MaßnahmeUmsetzung
WeitergabekontrolleÜbertragung nach außen ausschließlich verschlüsselt via TLS/HTTPS; interne Dienste kommunizieren im privaten Container-Netz. Kein Transport physischer Datenträger.
EingabekontrolleNachvollziehbarkeit durch Protokollierung der Automatisierungs-Workflows und Änderungshistorie in der Zentrale; Feststellbarkeit, wer welche Daten wann verarbeitet hat.
Pseudonymisierung & VerschlüsselungDatenminimierung, Pseudonymisierung wo möglich; verschlüsselte Speicherung von Zugangsgeheimnissen; Transportverschlüsselung durchgängig.

3Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b & c DSGVO)

MaßnahmeUmsetzung
VerfügbarkeitskontrolleRegelmäßige automatische Backups (täglich), getrennte Aufbewahrung, Firewall, Schutz vor Schadsoftware, Monitoring der Dienste.
Rasche WiederherstellbarkeitWiederherstellung aus Backups; containerisierte Dienste (Docker Compose) ermöglichen zügigen Wiederanlauf nach einem Ausfall.
Belastbarkeit der SystemeGetrennte Dienste je Container, Ressourcenüberwachung, zeitnahes Einspielen sicherheitsrelevanter Updates.

4Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

MaßnahmeUmsetzung
Datenschutz-ManagementFührung eines Verzeichnisses von Verarbeitungstätigkeiten, Überprüfung dieser Maßnahmen mindestens jährlich sowie anlassbezogen bei wesentlichen Änderungen.
AuftragskontrolleVerarbeitung ausschließlich auf dokumentierte Weisung; Unterauftragnehmer sind vertraglich nach Art. 28 DSGVO gebunden (siehe AVV §5).
VorfallmanagementProzess zur Erkennung und Meldung von Datenschutzverletzungen innerhalb der in der AVV vereinbarten Frist an den Verantwortlichen.
Bramsche, den 08.07.2026
Kai Tepe / Philip Henne
Auftragsverarbeiter · Flowmatik24 GbR