Datenschutz zuerst
Surfen Sie mit diesem anonymen Profil weiter oder konfigurieren Sie Ihre

Profil: Anoynm Profil-Id: open-minded-red-mouse-buy-6575 Cookies: Notwendig: Session & Sicherheit, Analyse, Komfort, Marketing

Die Adresse wird lokal im Browser an die aktuelle Session gekoppelt.

recent.digital
  2. /
  4. /
  6. /

Technische und Organisatorische Maßnahmen gemäß Art. 32 DSGVO

wiki

Stand: Juni 2026
Unternehmen: Recent Markteting Gmbh / recent.digital
Geltungsbereich: Betrieb, Entwicklung, Wartung und Betreuung von Websites, Webanwendungen, Hosting-, Support-, Analyse-, CRM-, Kommunikations- und Automatisierungsdiensten.

Diese technischen und organisatorischen Maßnahmen dienen dem Schutz personenbezogener Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugriff. Die Maßnahmen werden regelmäßig überprüft und bei Bedarf an den Stand der Technik, das Risiko der Verarbeitung und organisatorische Änderungen angepasst.

1. Vertraulichkeit

1.1 Zutrittskontrolle

Ziel ist es, unbefugten physischen Zugang zu Systemen zu verhindern, auf denen personenbezogene Daten verarbeitet werden.

Maßnahmen:

  • Serverbetrieb erfolgt grundsätzlich in professionellen Rechenzentren bzw. bei Hosting- und Cloud-Anbietern mit eigenen Zutrittskontrollsystemen.

  • Kein öffentlicher Zugang zu produktiven Servern oder Administrationssystemen.

  • Zugriff auf Büro-, Arbeits- und Technikbereiche nur für berechtigte Personen.

  • Geräte mit Zugriff auf Kundendaten werden nicht unbeaufsichtigt offen zugänglich gelassen.

  • Mobile Geräte und Arbeitsplätze werden bei Abwesenheit gesperrt.

  • Externe Dienstleister erhalten keinen unbeaufsichtigten Zugriff auf Systeme oder Räume mit personenbezogenen Daten.

1.2 Zugangskontrolle

Ziel ist es, unbefugte Nutzung von IT-Systemen zu verhindern.

Maßnahmen:

  • Personalisierte Benutzerkonten für interne Systeme.

  • Verwendung sicherer Passwörter und Passwortmanager.

  • Zwei-Faktor-Authentifizierung, soweit vom jeweiligen Dienst unterstützt, insbesondere bei Administrations-, Hosting-, E-Mail-, Cloud-, Git-, CRM- und Projektmanagementsystemen.

  • Zugriff auf Server und Administrationsoberflächen nur über verschlüsselte Verbindungen, zum Beispiel SSH, HTTPS oder VPN.

  • Keine Weitergabe persönlicher Zugangsdaten.

  • Deaktivierung oder Entzug von Zugängen bei Rollenwechsel, Projektende oder Ausscheiden von Mitarbeitenden.

  • Regelmäßige Überprüfung bestehender Benutzerkonten und Berechtigungen.

  • Schutz von Administrationsbereichen durch zusätzliche Zugriffsbeschränkungen, soweit technisch möglich.

1.3 Zugriffskontrolle

Ziel ist es, sicherzustellen, dass berechtigte Personen nur auf Daten zugreifen können, die sie für ihre Aufgaben benötigen.

Maßnahmen:

  • Rollen- und Rechtekonzepte nach dem Need-to-know-Prinzip.

  • Trennung von administrativen und normalen Benutzerrechten.

  • Projektbezogene Zugriffsvergabe für Kundensysteme.

  • Beschränkung von Datenbank-, Server-, CMS-, Shop-, CRM-, Ticket- und Repository-Zugriffen auf berechtigte Personen.

  • Regelmäßige Prüfung und Anpassung von Berechtigungen.

  • Protokollierung administrativer Zugriffe, soweit vom jeweiligen System unterstützt.

  • Zugriff auf produktive Kundendaten nur, soweit dies für Support, Wartung, Betrieb oder vertraglich vereinbarte Leistungen erforderlich ist.

  • Vermeidung lokaler Kopien personenbezogener Daten, soweit nicht für die Leistungserbringung erforderlich.

1.4 Trennungskontrolle

Ziel ist es, Daten unterschiedlicher Kunden, Zwecke und Systeme getrennt zu verarbeiten.

Maßnahmen:

  • Logische Trennung von Kundenprojekten, Mandanten, Datenbanken, Repositories und Systemumgebungen.

  • Trennung von Entwicklungs-, Test-, Staging- und Produktivumgebungen, soweit projektbezogen erforderlich.

  • Keine Nutzung produktiver personenbezogener Daten in Testumgebungen, sofern dies nicht erforderlich oder gesondert vereinbart ist.

  • Zweckgebundene Verarbeitung personenbezogener Daten.

  • Getrennte Rechtevergabe nach Kunden, Projekt, Rolle und System.

  • Eindeutige Zuordnung von Daten zu Kunden, Projekten oder Verarbeitungsvorgängen.

1.5 Verschlüsselung und Pseudonymisierung

Ziel ist es, personenbezogene Daten bei Übertragung und Speicherung angemessen zu schützen.

Maßnahmen:

  • Verschlüsselte Datenübertragung über HTTPS/TLS.

  • Einsatz gültiger TLS-Zertifikate für Websites, Kundenportale und Administrationsoberflächen.

  • Verschlüsselte administrative Zugriffe, insbesondere per SSH, HTTPS oder VPN.

  • Speicherung von Passwörtern ausschließlich gehasht, soweit Systeme selbst betrieben oder entwickelt werden.

  • Verwendung von API-Tokens, Secrets und Zugangsdaten nur in geschützten Umgebungen, zum Beispiel Secret Stores, Umgebungsvariablen oder geschützten Deployment-Systemen.

  • Keine Ablage von Passwörtern, API-Schlüsseln oder Tokens im öffentlichen Quellcode.

  • Pseudonymisierung oder Anonymisierung von Daten, soweit dies fachlich möglich und sinnvoll ist.

2. Integrität

2.1 Weitergabekontrolle

Ziel ist es, unbefugte Offenlegung oder Übermittlung personenbezogener Daten zu verhindern.

Maßnahmen:

  • Übermittlung personenbezogener Daten ausschließlich über verschlüsselte Kommunikationswege.

  • Einsatz von TLS-gesicherten E-Mail-, Web-, API- und Dateiübertragungen, soweit technisch möglich.

  • Prüfung von Empfängern vor Versand personenbezogener Daten.

  • Nutzung von Auftragsverarbeitungsverträgen mit eingesetzten Dienstleistern, soweit erforderlich.

  • Dokumentation eingesetzter Unterauftragnehmer und Dienstleister.

  • Keine Weitergabe personenbezogener Daten an Dritte ohne vertragliche, gesetzliche oder dokumentierte Grundlage.

  • Zugriff von externen Dienstleistern nur im erforderlichen Umfang.

  • Prüfung von Drittlandübermittlungen und geeigneten Garantien, sofern Dienste außerhalb der EU/des EWR eingesetzt werden.

2.2 Eingabekontrolle

Ziel ist es, nachvollziehen zu können, wer personenbezogene Daten eingegeben, verändert oder gelöscht hat.

Maßnahmen:

  • Nutzung von Systemprotokollen, Änderungsverläufen und Audit-Logs, soweit verfügbar.

  • Versionierung von Quellcode, Konfigurationen und technischen Änderungen.

  • Dokumentation wesentlicher Änderungen an produktiven Systemen.

  • Nachvollziehbarkeit von Ticket-, Support- und Projektkommunikation.

  • Protokollierung administrativer Aktionen in Hosting-, CMS-, Shop-, CRM-, Ticket- und Deployment-Systemen, soweit technisch unterstützt.

  • Zugriff auf Protokolle nur für berechtigte Personen.

  • Schutz von Logdaten vor unbefugter Veränderung oder Löschung, soweit technisch möglich.

2.3 Schutz vor unbefugter Veränderung

Ziel ist es, Manipulationen an Daten, Systemen und Anwendungen zu verhindern.

Maßnahmen:

  • Einsatz von Berechtigungskonzepten für produktive Systeme.

  • Deployment über kontrollierte Prozesse.

  • Einsatz von Git oder vergleichbaren Versionskontrollsystemen für Quellcode.

  • Prüfung von Änderungen vor Veröffentlichung, soweit projektbezogen vorgesehen.

  • Absicherung von Webanwendungen gegen typische Angriffsmuster, zum Beispiel durch sichere Konfiguration, Updates, Eingabevalidierung, Zugriffsschutz und sichere Authentifizierung.

  • Verwendung aktueller Softwareversionen, soweit technisch und wirtschaftlich vertretbar.

  • Überwachung sicherheitsrelevanter Updates für eingesetzte Systeme, Frameworks, CMS, Shopsysteme und Serverkomponenten.

3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

Ziel ist es, personenbezogene Daten und Systeme gegen zufällige Zerstörung, Verlust oder Ausfall zu schützen.

Maßnahmen:

  • Regelmäßige Backups relevanter Systeme und Datenbanken.

  • Getrennte Speicherung von Sicherungen, soweit technisch möglich.

  • Überwachung wichtiger Dienste und Erreichbarkeiten.

  • Einsatz von Monitoring für produktive Systeme, soweit vereinbart.

  • Wiederherstellungsverfahren für zentrale Systeme.

  • Schutz vor Schadsoftware durch aktuelle Betriebssysteme, Browser, Endgeräte- und Serverkonfigurationen.

  • Nutzung professioneller Hosting- und Infrastruktur-Anbieter.

  • Dokumentierte Zuständigkeiten für Betrieb, Wartung und Wiederherstellung.

  • Redundante oder hochverfügbare Systeme, soweit vertraglich vereinbart oder risikobasiert erforderlich.

3.2 Belastbarkeit der Systeme

Ziel ist es, eine angemessene Stabilität und Sicherheit der Verarbeitungssysteme sicherzustellen.

Maßnahmen:

  • Technische Überwachung von Servern, Containern, Anwendungen und Diensten, soweit eingerichtet.

  • Ressourcenüberwachung, zum Beispiel Speicherplatz, CPU, RAM und Erreichbarkeit.

  • Schutz öffentlich erreichbarer Systeme durch Firewalls, Reverse Proxies, Zugriffsbeschränkungen und sichere Netzwerkkonfiguration.

  • Trennung interner und öffentlich erreichbarer Systeme, soweit technisch umgesetzt.

  • Begrenzung exponierter Dienste auf erforderliche Ports und Schnittstellen.

  • Regelmäßige Aktualisierung und Härtung von Systemen, soweit möglich.

  • Notfallmaßnahmen bei Störungen, Sicherheitsvorfällen oder Ausfällen.

3.3 Wiederherstellbarkeit

Ziel ist es, die Verfügbarkeit personenbezogener Daten nach einem technischen oder physischen Zwischenfall wiederherstellen zu können.

Maßnahmen:

  • Erstellung regelmäßiger Datensicherungen.

  • Prüfung der Wiederherstellbarkeit in angemessenen Abständen oder anlassbezogen.

  • Dokumentierte Wiederherstellungsprozesse für zentrale Systeme.

  • Aufbewahrung von Zugangsdaten für Notfallzugriffe in geschützten Passwortmanagement-Systemen.

  • Priorisierung kritischer Systeme bei Störungen.

  • Wiederanlaufprozesse für Websites, Datenbanken, E-Mail-, Ticket-, Hosting- und Kundensysteme.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Art. 32 DSGVO nennt ausdrücklich auch ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

Maßnahmen:

  • Regelmäßige Überprüfung der eingesetzten TOMs.

  • Anlassbezogene Aktualisierung bei neuen Systemen, neuen Dienstleistern, Sicherheitsvorfällen, größeren technischen Änderungen oder neuen Verarbeitungstätigkeiten.

  • Prüfung von Benutzerrechten und Zugängen.

  • Kontrolle eingesetzter Unterauftragnehmer und Dienstleister.

  • Bewertung technischer Risiken bei neuen Projekten.

  • Dokumentation wesentlicher Sicherheits- und Datenschutzentscheidungen.

  • Prüfung von Backup-, Wiederherstellungs- und Monitoring-Prozessen.

  • Schulung und Sensibilisierung berechtigter Personen im Umgang mit personenbezogenen Daten.

  • Verpflichtung von Mitarbeitenden und Dienstleistern auf Vertraulichkeit.

5. Auftragskontrolle

Ziel ist es, sicherzustellen, dass personenbezogene Daten nur entsprechend dokumentierter Weisungen verarbeitet werden. Bei Auftragsverarbeitung muss der Verantwortliche nach Art. 28 DSGVO nur Auftragsverarbeiter einsetzen, die geeignete technische und organisatorische Maßnahmen gewährleisten.

Maßnahmen:

  • Abschluss von Auftragsverarbeitungsverträgen, soweit erforderlich.

  • Verarbeitung personenbezogener Daten nur im Rahmen der vereinbarten Leistungen und dokumentierten Weisungen.

  • Dokumentation eingesetzter Unterauftragnehmer.

  • Prüfung von Dienstleistern vor Einsatz, soweit risikobasiert erforderlich.

  • Unterstützung des Auftraggebers bei Betroffenenrechten, Datenschutzvorfällen und Nachweispflichten im vereinbarten Umfang.

  • Verpflichtung zur Vertraulichkeit für Personen mit Zugriff auf personenbezogene Daten.

  • Löschung oder Rückgabe personenbezogener Daten nach Ende des Auftrags, soweit gesetzliche Aufbewahrungspflichten oder berechtigte Interessen nicht entgegenstehen.

  • Meldung relevanter Sicherheitsvorfälle an den Auftraggeber ohne unangemessene Verzögerung.

6. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Datenschutzmaßnahmen sollen nicht erst nachträglich ergänzt werden, sondern bereits bei Planung, Entwicklung und Betrieb berücksichtigt werden. Der EDPB beschreibt diesen Ansatz als Integration geeigneter technischer und organisatorischer Maßnahmen vor Beginn und während der Verarbeitung.

Maßnahmen:

  • Datensparsame Gestaltung von Formularen, Tracking, Analysefunktionen und Kundenportalen.

  • Erhebung personenbezogener Daten nur, soweit für den jeweiligen Zweck erforderlich.

  • Datenschutzfreundliche Voreinstellungen bei Cookies, Tracking, Formularen und Benutzerkonten.

  • Einbindung externer Dienste nur nach Prüfung von Zweck, Rechtsgrundlage, Datenübermittlung und technischer Notwendigkeit.

  • Consent-Management für einwilligungspflichtige Dienste, soweit erforderlich.

  • Dokumentierte Prüfung neuer Tools, Plugins, Skripte und externer Dienste.

  • Trennung technisch notwendiger Funktionen von Marketing-, Analyse- oder Drittanbieterfunktionen.

  • Möglichkeit zur Löschung, Berichtigung oder Einschränkung personenbezogener Daten, soweit technisch und rechtlich erforderlich.

7. Umgang mit Sicherheitsvorfällen

Maßnahmen:

  • Interner Prozess zur Bewertung von Sicherheits- und Datenschutzvorfällen.

  • Dokumentation relevanter Vorfälle.

  • Technische Sofortmaßnahmen zur Eindämmung, zum Beispiel Sperrung von Zugängen, Rotation von Zugangsdaten, Deaktivierung betroffener Dienste oder Wiederherstellung aus Backups.

  • Information betroffener Auftraggeber, sofern Kundendaten betroffen sind.

  • Unterstützung bei der Bewertung möglicher Meldepflichten nach DSGVO.

  • Nachbereitung von Vorfällen und Anpassung der Maßnahmen, soweit erforderlich.

8. Löschung und Datenträgerkontrolle

Maßnahmen:

  • Löschung personenbezogener Daten nach Zweckerreichung, Vertragsende oder Ablauf vereinbarter Fristen, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.

  • Löschung von Projekt-, Support- und Zugangsdaten nach Abschluss oder Ende der Berechtigung, soweit erforderlich.

  • Sichere Entsorgung oder Rücksetzung von Datenträgern und Geräten.

  • Keine dauerhafte Speicherung personenbezogener Daten auf privaten oder ungeschützten Datenträgern.

  • Verwendung von Passwortmanagern statt ungeschützter Passwortlisten.

  • Prüfung und Bereinigung alter Zugänge, Testdaten, Backups und Exporte im Rahmen der technischen Möglichkeiten.

9. Website-spezifische Maßnahmen

Für den Betrieb und die Betreuung von Websites und Webanwendungen gelten zusätzlich folgende Maßnahmen:

  • Betrieb über HTTPS/TLS.

  • Regelmäßige Aktualisierung von CMS, Shopsystemen, Plugins, Themes, Frameworks und Serverkomponenten, soweit technisch möglich.

  • Schutz von Administrationsbereichen durch starke Passwörter, Zwei-Faktor-Authentifizierung oder Zugriffsbeschränkungen, soweit verfügbar.

  • Einsatz von Firewalls, Reverse Proxies oder vergleichbaren Schutzmechanismen, soweit erforderlich.

  • Minimierung eingebundener Drittanbieter-Skripte.

  • Prüfung von Kontaktformularen, Newsletterformularen, Trackingdiensten, Consent-Tools und Analysefunktionen.

  • Spam- und Missbrauchsschutz für Formulare, soweit erforderlich.

  • Keine unnötige Veröffentlichung personenbezogener Daten.

  • Zugriff auf Website-Backends nur für berechtigte Personen.

  • Protokollierung technischer Zugriffe in Server- oder Applikationslogs, soweit erforderlich und verhältnismäßig.

  • Begrenzung der Speicherdauer von Logdaten, soweit technisch und rechtlich möglich.

  • Regelmäßige Prüfung öffentlich erreichbarer Seiten, Formulare und Schnittstellen.

10. Schlussbestimmung

Die vorstehenden Maßnahmen beschreiben den allgemeinen Sicherheitsstandard von RECENT.digital. Je nach Art, Umfang, Zweck und Risiko der jeweiligen Verarbeitung können projektspezifische zusätzliche Maßnahmen vereinbart oder erforderlich werden. Die Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst.