Sapericus

Gültig ab 21.04.2026

Anlage B – Technische und organisatorische Maßnahmen

Die nachfolgenden technischen und organisatorischen Maßnahmen (TOM) beschreiben das von Sapericus gewährleistete Sicherheitsniveau der Verarbeitung personenbezogener Daten gemäß Art. 32 DSGVO. Die Maßnahmen werden unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen festgelegt. Sapericus kann diese Maßnahmen aktualisieren, sofern das Gesamtschutzniveau nicht wesentlich abgesenkt wird (vgl. Abschnitt 6 des AVV). Wesentliche Änderungen werden dokumentiert und den Auftraggebern in geeigneter Form mitgeteilt.

1. Zutrittskontrolle

Die Zutrittskontrolle regelt, wer physischen Zugang zu Gebäuden oder Räumen erhält, in denen personenbezogene Daten verarbeitet werden.

  • Sapericus betreibt keine eigenen Rechenzentren. Die physische Infrastruktur wird durch die in Anlage C aufgeführten Cloud-Anbieter (Hetzner Online GmbH, Amazon Web Services EMEA SARL, Google Cloud EMEA Limited, Mistral AI SAS) bereitgestellt.
  • Die Rechenzentren der eingesetzten Anbieter verfügen über mehrstufige Zutrittskontrollsysteme (Ausweis- oder Biometriekontrollen), Videoüberwachung, Alarm- und Brandschutzsysteme sowie 24/7-Überwachung durch Wachpersonal. Die Einhaltung wird durch die Anbieter in deren eigenen Sicherheitsdokumentationen und Zertifizierungen (z. B. ISO/IEC 27001) nachgewiesen.
  • Arbeitsplätze der Sapericus-Mitarbeitenden befinden sich in verschlossenen Büroräumen; Zugang erhalten nur befugte Personen. Homeoffice-Arbeitsplätze sind durch dienstliche, verschlüsselte Endgeräte und eine verbindliche Telearbeits-/Homeoffice-Richtlinie abgesichert.
  • Dokumentierte Vergabe und Rückgabe von Zutrittsmedien (Schlüssel, Zugangskarten); bei Ausscheiden von Mitarbeitenden werden Zutrittsrechte unverzüglich entzogen.
  • Besucher werden nur in Begleitung befugter Personen in nicht öffentliche Bereiche geführt.

2. Zugangskontrolle

Die Zugangskontrolle verhindert die unbefugte Nutzung von Datenverarbeitungssystemen.

  • Authentifizierung ausschließlich über individuelle, personenbezogene Benutzerkonten; Gemeinschaftskonten sind ausgeschlossen.
  • Verbindliche Passwortrichtlinie mit hohen Komplexitätsanforderungen, Mindestlänge und Sperrung bei wiederholten Fehlversuchen.
  • Multi-Faktor-Authentifizierung (MFA/2FA) verpflichtend für alle administrativen Zugänge sowie für Zugriffe auf produktive Systeme; als zweiter Faktor werden FIDO2-kompatible Hardware-Sicherheitsschlüssel eingesetzt.
  • Zugriff auf produktive Serverumgebungen erfolgt ausschließlich über verschlüsselte Verbindungen (SSH mit FIDO2-basierter Schlüsselauthentifizierung bzw. VPN).
  • Automatische Bildschirmsperre an Endgeräten nach definierter Inaktivitätszeit.
  • Festplattenverschlüsselung auf allen produktiv genutzten Endgeräten (Notebooks, Workstations).
  • Protokollierung sämtlicher Anmeldevorgänge mit Zeitstempel und Benutzerkennung; zentrale, manipulationssichere Ablage der Protokolle.
  • Umgehende Änderung aller vorbelegten Standardkennwörter bei Inbetriebnahme von Systemen.

3. Zugriffskontrolle

Die Zugriffskontrolle stellt sicher, dass die zur Nutzung eines Systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und personenbezogene Daten bei der Verarbeitung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Rollenbasiertes Berechtigungskonzept nach dem Prinzip des geringsten notwendigen Zugriffs ("Principle of Least Privilege" / Need-to-know).
  • Differenzierte Rollen (z. B. Owner, Administrator, Nutzer) mit dokumentierter Rechtevergabe und regelmäßiger Überprüfung (Rezertifizierung) der Zugriffsrechte, mindestens halbjährlich sowie anlassbezogen.
  • Zugriffe auf produktive Nutzerdaten sowie sensible administrative Eingriffe in produktive Systeme erfolgen ausschließlich nach dem Vier-Augen-Prinzip und werden dokumentiert.
  • Protokollierung administrativer Zugriffe und sicherheitsrelevanter Aktionen; revisionssichere Speicherung.
  • Strikte Trennung von Produktions-, Test- und Entwicklungsumgebungen.
  • Unverzügliche Deaktivierung nicht mehr benötigter Benutzerkonten und Berechtigungen (Joiner-Mover-Leaver-Prozess).
  • Verschlüsselung ruhender Daten (AES-256) auf Storage- und Datenbankebene.

4. Weitergabekontrolle

Die Weitergabekontrolle stellt sicher, dass personenbezogene Daten bei der elektronischen Übertragung, beim Transport oder bei der Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Verschlüsselung personenbezogener Daten bei der Übertragung über öffentliche Netze mittels TLS 1.2 oder höher; Einsatz aktueller Cipher-Suites auf allen Web-Endpunkten.
  • Vollverschlüsselung aller produktiven Datenträger mittels Full-Disk-Encryption (LUKS) sowie Verschlüsselung ruhender Daten auf Server- und Storage-Ebene (AES-256).
  • Absicherung interner Verbindungen und Remote-Zugriffe über VPN bzw. SSH mit Schlüsselauthentifizierung.
  • Keine Weitergabe personenbezogener Daten an Dritte außerhalb der in Anlage C aufgeführten Unterauftragsverarbeiter.
  • Kommunikation mit Dienstleistern und Unterauftragsverarbeitern erfolgt ausschließlich über verschlüsselte Verbindungen.
  • Sichere Löschung/Vernichtung von Datenträgern durch den jeweiligen Cloud-Anbieter bzw. nach dem Stand der Technik (orientiert an BSI-Standards); Entsorgung physischer Datenträger im Büroumfeld erfolgt datenschutzkonform (Aktenvernichter bzw. zertifizierter Dienstleister).

5. Eingabekontrolle

Die Eingabekontrolle stellt sicher, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • Protokollierung relevanter Datenänderungen (Eingabe, Änderung, Löschung) in Audit-Logs mit Angabe von Zeitpunkt, ausführender Benutzerkennung und betroffenem Datensatz.
  • Zeitstempel werden über NTP zentral synchronisiert, um konsistente und nachvollziehbare Protokolle zu gewährleisten.
  • Manipulationssichere Speicherung der Audit-Logs; Aufbewahrung gemäß internem Protokollierungskonzept, unter Wahrung der Grundsätze der Datenminimierung und Speicherbegrenzung.
  • Die Verantwortung für die Eingabe und Pflege von Daten liegt beim jeweils autorisierten Benutzer; Eingaben werden serverseitig validiert.

6. Auftragskontrolle

Die Auftragskontrolle stellt sicher, dass personenbezogene Daten, die im Auftrag des Verantwortlichen verarbeitet werden, nur entsprechend dessen Weisungen verarbeitet werden.

  • Abschluss schriftlicher Auftragsverarbeitungsverträge mit allen Unterauftragsverarbeitern gemäß Art. 28 DSGVO, einschließlich Standardvertragsklauseln (SCC) sofern erforderlich.
  • Sorgfältige Auswahl der Unterauftragsverarbeiter insbesondere hinsichtlich Datenschutz, Informationssicherheit und Zuverlässigkeit; Bevorzugung von Anbietern mit Verarbeitung innerhalb der EU/des EWR.
  • Regelmäßige Überprüfung der Unterauftragsverarbeiter anhand deren Zertifizierungen, Sicherheitsberichten und öffentlich zugänglichen Nachweisen.
  • Weisungsgebundene Verarbeitung ausschließlich auf Grundlage dokumentierter Anweisungen des Auftraggebers.
  • Vertragliche Verpflichtung der Unterauftragsverarbeiter auf gleichwertige technische und organisatorische Maßnahmen sowie auf Meldung von Datenschutzverletzungen innerhalb der gesetzlich vorgesehenen Fristen (unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung).
  • Verpflichtung aller Mitarbeitenden auf die Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b i. V. m. Art. 29 DSGVO.

7. Verfügbarkeitskontrolle und Belastbarkeit

Die Verfügbarkeitskontrolle stellt sicher, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind; die Belastbarkeit sorgt dafür, dass die Verfügbarkeit auch unter außergewöhnlichen Umständen aufrechterhalten wird.

  • Bereitstellung der Dienste über redundant ausgelegte Cloud-Infrastruktur der eingesetzten Anbieter.
  • Tägliche, automatisierte und verschlüsselte Datensicherungen (Backups) produktiver Daten mit definierten Wiederherstellungsverfahren (RPO/RTO); Backups werden getrennt vom Produktivsystem an einem zweiten Standort in Deutschland gespeichert.
  • Regelmäßige Überprüfung der Wiederherstellbarkeit durch Restore-Tests.
  • Dokumentierter Notfall- und Wiederanlaufplan (Business Continuity / Disaster Recovery).
  • Monitoring und Alerting der produktiven Systeme auf Verfügbarkeit und sicherheitsrelevante Ereignisse; definierte Eskalationskette für Störungen und Notfälle.
  • DDoS-Schutz, Web Application Firewall und Portreglementierungen auf Ebene der eingesetzten Cloud-Anbieter.
  • Unterbrechungsfreie Stromversorgung (USV), Notstromsysteme, Klimatisierung und Brandschutz in den Rechenzentren der Anbieter.
  • Einsatz aktueller Virenschutz- und Anti-Malware-Mechanismen sowie zeitnahes Einspielen sicherheitsrelevanter Updates.

8. Trennungskontrolle

Die Trennungskontrolle stellt sicher, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • Logische Mandantentrennung: Daten unterschiedlicher Auftraggeber werden in der Anwendung und auf Datenbankebene durch eindeutige Mandanten- bzw. Organisations-IDs voneinander getrennt.
  • Getrennte Datenbanken oder Datenbank-Schemata pro Auftraggeber, soweit technisch und organisatorisch sinnvoll.
  • Strikte Trennung von Produktiv-, Test- und Entwicklungsumgebungen; Produktivdaten werden nicht zu Test- oder Entwicklungszwecken verwendet.
  • Rollenbasierte Zugriffskontrollen verhindern Querzugriffe zwischen Mandanten.
  • Trennung von Backup-Daten und Produktivsystemen auf Speicher- und Zugriffsebene.

9. Pseudonymisierung und Verschlüsselung

Durch Maßnahmen zur Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO) werden personenbezogene Daten so verarbeitet, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können bzw. bei unbefugtem Zugriff nicht im Klartext vorliegen.

  • Pseudonymisierung personenbezogener Daten, soweit dies in Anbetracht der Verarbeitungszwecke möglich und verhältnismäßig ist (z. B. durch Ersetzen direkter Identifikatoren durch interne Kennungen).
  • Getrennte Aufbewahrung etwaiger Zuordnungsinformationen mit gesonderter, eingeschränkter Zugriffskontrolle.
  • Verschlüsselung bei der Übertragung (TLS 1.2+) und bei der Speicherung (AES-256); zentrale, zugriffsgeschützte Schlüsselverwaltung.
  • Einsatz anerkannter, aktueller kryptographischer Verfahren; regelmäßige Überprüfung und Anpassung an den Stand der Technik.

10. Vertraulichkeit und Integrität

Maßnahmen zur Vertraulichkeit stellen sicher, dass personenbezogene Daten vor unberechtigter Kenntnisnahme geschützt werden; Maßnahmen zur Integrität sichern Daten vor unbeabsichtigter oder unbefugter Veränderung.

  • Schriftliche Verpflichtung aller Mitarbeitenden zur Vertraulichkeit und zur datenschutzkonformen Verarbeitung personenbezogener Daten vor Aufnahme der Tätigkeit (Art. 28 Abs. 3 lit. b DSGVO).
  • Entsprechende Verpflichtungserklärungen externer Personen (z. B. Dienstleister, freiberufliche Mitarbeitende), soweit diese Zugriff auf personenbezogene Daten haben.
  • Regelmäßige Sensibilisierungen und Schulungen der Mitarbeitenden zu Datenschutz- und Informationssicherheitsthemen, mindestens einmal jährlich sowie anlassbezogen.
  • Schutz der Datenintegrität durch Einsatz transaktionssicherer (ACID-konformer) Datenbanken und Eingabevalidierungen in allen schreibenden Schnittstellen.
  • Code-Reviews und automatisierte Tests im Entwicklungsprozess zur Vermeidung fehlerhafter oder unsicherer Änderungen.
  • Clean-Desk- und Clear-Screen-Grundsätze; vertrauliche Unterlagen werden nicht offen zugänglich aufbewahrt.

11. Datenminimierung, Speicherbegrenzung und Löschkonzept

Maßnahmen zur Umsetzung der Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO).

  • Erhebung und Verarbeitung nur solcher personenbezogener Daten, die für den jeweiligen Verarbeitungszweck erforderlich sind.
  • Pseudonymisierung oder Anonymisierung, soweit der Zweck dies zulässt.
  • Dokumentiertes Löschkonzept mit definierten Speicher- und Löschfristen für die verschiedenen Kategorien personenbezogener Daten.
  • Löschung oder Rückgabe personenbezogener Daten nach Beendigung des Auftragsverhältnisses gemäß Abschnitt 10 des AVV.
  • Unterstützung der Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) durch geeignete technische Funktionen bzw. prozessuale Abläufe.

12. Umgang mit Datenschutzverletzungen (Incident Response)

Maßnahmen zur frühzeitigen Erkennung, Eindämmung, Bearbeitung und Meldung von Sicherheitsvorfällen und Datenschutzverletzungen.

  • Dokumentierter Incident-Response-Prozess mit klaren Rollen, Verantwortlichkeiten und Eskalationsstufen.
  • Zentrale interne Meldestelle für sicherheits- und datenschutzrelevante Vorfälle.
  • Verpflichtung der Unterauftragsverarbeiter, Sapericus über Datenschutzverletzungen unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung, zu informieren.
  • Unverzügliche Information des Auftraggebers bei Datenschutzverletzungen gemäß Art. 33 Abs. 2 DSGVO in der im AVV vereinbarten Form.
  • Dokumentation aller Datenschutzverletzungen einschließlich Ursache, Auswirkung und getroffener Abhilfemaßnahmen.

13. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Regelmäßige Überprüfungs-, Bewertungs- und Evaluierungsverfahren (Art. 32 Abs. 1 lit. d DSGVO) gewährleisten die kontinuierliche Einhaltung und Verbesserung der Datenschutz- und Sicherheitsmaßnahmen.

  • Internes Informationssicherheits- und Datenschutzmanagement mit verbindlichen Richtlinien (u. a. zu Zugriff, Änderungsmanagement, Passworten, Homeoffice und Meldewegen).
  • Datenschutzfreundliche Voreinstellungen und datenschutzfreundliche Technikgestaltung (Privacy by default & Privacy by design) in der Softwareentwicklung.
  • Regelmäßige Risiko- und Schutzbedarfsanalysen; Durchführung von Datenschutz-Folgenabschätzungen bei Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte und Freiheiten betroffener Personen.
  • Mindestens jährliche Überprüfung und Aktualisierung dieser TOM sowie anlassbezogen bei wesentlichen Änderungen von Risiken, Technologien oder Prozessen.
  • Dokumentation der Überprüfungsergebnisse und Freigabe durch die Geschäftsführung bzw. die benannte verantwortliche Person.
  • Führen eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.