TOM

Technische und organisatorische Maßnahmen der secjur GmbH
‍
Status: 19. Dezember 2025

Die folgenden Maßnahmen geben einen Überblick über die implementierten technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO zum Schutz der Integrität, Vertraulichkeit und Verfügbarkeit personenbezogener Daten bei der SECJUR GmbH. Die Maßnahmen werden stets unter Berücksichtigung des vorhandenen Risikos einer unbefugten Offenlegung, einer unbefugten Veränderung oder eines Verlustes personenbezogener Daten ausgewählt und regelmäßig auf ihre Effektivität überprüft. Der aktuelle Stand der Technik wird bei der regelmäßigen Prüfung berücksichtigt, um keine veralteten Schutzmechanismen zu implementieren.

Zutrittskontrolle

Elektronische Schließsysteme
- Sicherheitsschlösser
- Abschließbare Serverschränke
- Besucherausweis
- Schlüsselregelung
- Zutrittskonzept
- Alarmanlage
- Empfang
- Begleitung von Gästen    

‍Zugangskontrolle

- Endgeräte-Verschlüsselung
- Datenträgerverschlüsselung
- Passwortrichtlinie
- Sperrung nicht genutzter Accounts
- Mind. 8 Zeichen Länge
- Mindestmaß an Komplexität
- Regelmäßige Wechselperioden
- Einzelpasswörter
- Antivirensoftware
- Regelm. Aktualisierung der Antivirensoftware
- Firewall
- Regelmäßige Aktualisierung der Firewall
- Automatische Bildschirmsperre
- Intrusion-Detection System
- Sperrung externer Schnittstellen

‍Zugriffskontrolle

- Berechtigungskonzept
- Überprüfung
- Erteilung und Entzug der Berechtigungen
- Differenzierte Rechtevergabe
- Definition von Nutzergruppen
- Löschung von personenbezogenen Daten nach Zweckerreichung bzw. gesetzlicher Aufbewahrungsfrist
- Sichere Überschreibung von Datenträgern nach der Festplattenformatierung
- regelmäßige Auswertung der Protokolle
- Protokollierung von Zugriffen  minimale Anzahl von Administratorenzugängen

‍Trennungskontrolle

- Mandantentrennung
- verschiedene Datenbanken  Entwicklungs-, Test- und Produktivsystem
- Systemseitige Trennung
- Logische Trennung    

‍Weitergabekontrolle

- Dokumentation von Datenübermittlungen
- Anonymisierung
- TLS 1.2 Verschlüsselung
- Regelung beim physischen Transport    

‍Eingabekontrolle

- Protokollierung von Eingaben
- Schutz der Protokolldaten gegen Manipulation
- Schutz der Protokolldaten vor unbefugter Einsichtnahme    

‍Verfügbarkeitskontrolle

- Datensicherungskonzept  
- Wiederherstellungskonzept  
- Erprobung der Wiederherstellung  
- Notfallplan/ Notfallkonzept  
- Verschlüsselung der Datensicherungen  
- Intervalle der Datensicherungen: Täglich  
- USV
- Klimaanlagen
- Feuermeldeanlage  
- Rauchmeldeanlage  
- RAID-System  
- Backup-Strategie  
- Spiegelung von Festplatten  
- Feuchtigkeitsmelder  
- Zwillingssystem  
- Spam-Filter    

‍Datenschutz-Management

- Mitarbeiter: Vertraulichkeitsverpflichtung  
- Mitarbeiterschulungen zum Datenschutz  
- Meldeprozess für Datenschutzverletzungen  
- Datenverarbeitung in EU oder EWR  
- Einhaltung der Art. 28 und Art. 44 ff. DSGVO  
- Benannter Datenschutzbeauftragter  
- Prozesse für die Ausübung von Betroffenenrechten    

‍Auftragskontrolle

- Verfahren zur Auswahl von Unterauftragnehmern  
- schriftliche Verträge (AVV)  
- Überprüfungen und Kontrollen  

‍Weitere

- Pseudonymisierung: Es sind Maßnahmen implementiert, welche die Pseudonymisierung personenbezogener Daten ermöglichen, falls nötig. Dies erfolgt z. B. durch die Nutzung von Hashwerten oder Kundennummern und einer Einschränkung der Zuordnungstabelle.  
- Incident-Response Management: Ein Incident-Response Management ist prozessseitig implementiert.
- Datenschutzfreundliche Voreinstellungen: Systeme der SECJUR GmbH sind so gewählt und entwickelt, dass die Voreinstellungen Grundsätze des Art. 5 DSGVO, insb. der Zweckbindung, beachten.  
- Regelmäßige Durchführung von Updates  
- Löschkonzept
- Fernwartungen