TOM

1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zugangskontrolle (physisch)

Maßnahmen zur Verhinderung des unbefugten Zutritts zu Datenverarbeitungsanlagen, in denen personenbezogene Daten verarbeitet oder gespeichert werden.

• Büroräumlichkeiten sind durch gesicherte Türen und gegebenenfalls Alarmanlagen geschützt.
• Zutritt für unbefugte Dritte ist nur in Begleitung gestattet.

1.2 Zutrittskontrolle (logisch/Systemzugang)

Maßnahmen zur Verhinderung des unbefugten Zugangs zu Datenverarbeitungssystemen, in denen personenbezogene Daten verarbeitet oder gespeichert werden.

• Benutzerauthentifizierung: Einsatz von starken Passwörtern (mindestens 12 Zeichen, Kombination aus Groß-/Kleinbuchstaben, Ziffern, Sonderzeichen).
• Zwei-Faktor-Authentifizierung (2FA/MFA): Verpflichtender Einsatz von 2FA/MFA für den Zugang zu allen Cloud-Diensten (z.B. Klaviyo, E-Mail-Provider, Hosting-Control-Panels, Payment-Gateways) und sensiblen internen Systemen.
• Sperrmechanismen: Automatische Sperrung von Zugängen bei mehrmaliger Fehleingabe des Passworts (soweit in den genutzten Systemen technisch möglich).
• Temporäre Zugänge: Temporäre Zugangsdaten für Dienstleister werden nur bei Bedarf vergeben, dokumentiert und nach Projektabschluss oder Nichtgebrauch unverzüglich gelöscht oder deaktiviert.
• Rechteverwaltung: Vergabe von Zugriffsrechten nach dem Prinzip der minimalen Berechtigungen (Need-to-know-Prinzip). Jeder Mitarbeiter erhält nur die Berechtigungen, die er für seine Aufgaben unbedingt benötigt.
• Protokollierung: Zugriffe auf Systeme und Daten werden protokolliert.

1.3 Zugriffskontrolle (Datenzugriff)

Maßnahmen zur Sicherstellung, dass nur Befugte auf die personenbezogenen Daten zugreifen können.

• Berechtigungskonzepte: Differenzierte Zugriffsrechte auf Daten und Funktionen innerhalb von Anwendungen und Datenbanken.
• Trennung der Aufgaben: Funktionale Trennung von Aufgabenbereichen, um unerlaubten Zugriff zu verhindern.
• Regelmäßige Überprüfung: Die vergebenen Zugriffsrechte werden regelmäßig überprüft und bei Bedarf angepasst.
• Verschlüsselung: Einsatz von Verschlüsselung bei der Speicherung (siehe 2a) und Übertragung (siehe 2b) sensibler Daten.

1.4 Trennungskontrolle

Maßnahmen zur Trennung von Daten, die für unterschiedliche Zwecke erhoben wurden.

• Technische oder organisatorische Trennung von produktiven Systemen und Test-/Entwicklungsumgebungen.
• Trennung der Datenbestände unterschiedlicher Verantwortlicher (Kunden) durch geeignete Systemkonfigurationen (z.B. separate Accounts, Mandantenfähigkeit in Software).

2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Datenintegrität / Weitergabekontrolle

Maßnahmen zur Sicherstellung, dass Daten während der elektronischen Übertragung, ihres Transports oder ihrer Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

• Transportverschlüsselung: Einsatz von SSL/TLS-Verschlüsselung (HTTPS) für alle Website- und API-Verbindungen sowie E-Mail-Kommunikation.
• Sichere Datenübertragung: Verwendung gesicherter Kanäle und Protokolle (z. B. SFTP, VPN) für den Austausch sensibler Daten.
• Keine lokale Speicherung: Sensible personenbezogene Daten werden nicht dauerhaft lokal auf Endgeräten gespeichert. Temporäre Downloads erfolgen nur bei Bedarf, unter strikter Einhaltung der Weisungen und werden nach Nutzung sicher gelöscht.

2.2 Eingabekontrolle

Maßnahmen zur Sicherstellung, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

• Protokollierung: Systemseitige Protokollierung von Eingaben, Änderungen und Löschungen personenbezogener Daten (soweit technisch möglich und sinnvoll in den genutzten Systemen, z. B. Klaviyo Audit Logs).
• Dokumentation: Nachvollziehbarkeit von Änderungen in Workflows und Einstellungen.

3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

Der Auftragsverarbeiter stellt die Verfügbarkeit und Belastbarkeit seiner eigenen Systeme und Prozesse sicher, die für die Erbringung der vereinbarten Dienstleistungen und den Zugriff auf die personenbezogenen Daten des Verantwortlichen erforderlich sind.

3.1 Verfügbarkeitskontrolle (bezogen auf die Leistungserbringung des Auftragsverarbeiters)

• Betriebliche Kontinuität: Sicherstellung der Verfügbarkeit eigener IT-Systeme und Infrastruktur (z.B. Laptops, Internetzugang), die für den Zugriff und die Bearbeitung von Daten in den beauftragten Systemen (wie Klaviyo) notwendig sind.
• Regelmäßige Sicherung eigener Arbeitsdaten: Erstellung von Backups relevanter Konfigurationsdateien, Dokumentationen und ggf. temporärer Arbeitsdaten, die für die Wiederaufnahme der Dienstleistung bei Systemausfall notwendig sind.
• Verfahren zur raschen Wiederherstellung: Definition von Prozessen zur schnellen Wiederherstellung der Arbeitsfähigkeit bei Ausfall eigener Systeme (z.B. durch Ersatzgeräte, Cloud-basierte Arbeitsumgebungen).

3.2 Belastbarkeit (bezogen auf die Sicherheit der Daten durch den Auftragsverarbeiter)

• Schutz vor versehentlicher Datenlöschung/Beeinträchtigung: Sensibilisierung und Schulung der Mitarbeiter im Umgang mit den Daten in den Systemen des Verantwortlichen (z.B. Klaviyo) zur Vermeidung von Fehlern, die zu Datenverlust oder -beeinträchtigung führen könnten.
• Prozess zur Systemwiederherstellung: Implementierung von Prozessen, um im Falle eines Datenverlustes oder einer gravierenden Fehlkonfiguration, die durch den Auftragsverarbeiter verursacht wurde, die Wiederherstellung in Abstimmung mit dem Verantwortlichen und der Plattform (Klaviyo) zu unterstützen.

3.3 Hosting- und Plattform-Verfügbarkeit

Für die Verfügbarkeit, Backups und Redundanz der personenbezogenen Daten innerhalb der genutzten Cloud-Plattformen (z.B. Klaviyo) ist der jeweilige Plattformbetreiber verantwortlich. Der Auftragsverarbeiter stellt im Rahmen seiner Sorgfaltspflicht sicher, dass mit diesen Anbietern entsprechende Auftragsverarbeitungsverträge (AVV) oder ähnliche Vereinbarungen bestehen, die die Verfügbarkeit und Datensicherheit regeln, sofern diese als Subunternehmer des Auftragsverarbeiters fungieren.

4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

4.1 Datenschutz-Management

• Regelmäßige Überprüfung und Anpassung der TOMs an neue technische Entwicklungen und rechtliche Anforderungen.
• Dokumentation der Datenschutzmaßnahmen.

4.2 Incident Response Management

• Etablierung eines Prozesses zur unverzüglichen Erkennung, Bewertung und Meldung von Datenschutzverletzungen.
• Schulung der Mitarbeiter im Umgang mit Datenschutzvorfällen.

5 Gewährleistung der Durchführbarkeit der Rechte der betroffenen Person (Art. 32 Abs. 1 lit. a, b DSGVO)

• Prozesse für Betroffenenrechte: Etablierung klarer interner Prozesse zur Bearbeitung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
• Kommunikation mit Verantwortlichem: Sicherstellung, dass Anfragen von Betroffenen, die über den Auftragsverarbeiter eingehen, unverzüglich an den Verantwortlichen weitergeleitet werden.

6 Personal (Organisatorische Maßnahmen)

• Verpflichtung auf das Datengeheimnis: Alle Mitarbeiter, die Zugang zu personenbezogenen Daten haben, werden vor Aufnahme ihrer Tätigkeit auf das Datengeheimnis gemäß Art. 29 DSGVO und § 5 BDSG (sofern einschlägig) in Verbindung mit den einschlägigen Regelungen des polnischen Rechts schriftlich verpflichtet und über die Anforderungen der DSGVO geschult. Diese Verpflichtung bleibt auch nach Beendigung des Arbeitsverhältnisses bestehen.
• Regelmäßige Schulungen: Durchführung regelmäßiger Schulungen zum Datenschutz für alle Mitarbeiter, die mit personenbezogenen Daten umgehen.
• Klare Rollen und Verantwortlichkeiten: Definition von Verantwortlichkeiten im Datenschutzbereich innerhalb des Unternehmens.

Stand: 26.07.2025