gemäß Art. 32 DSGVO
Stand 2025
1. Zutrittskontrolle
- Rechenzentren ausschließlich EU
- ISO 27001-zertifizierte Standorte
- gesteuerte Zutrittssysteme (Karte/biometrisch)
- Videoüberwachung & Logging
2. Zugangskontrolle
- Passwort-Policy nach BSI
- sichere Hashing-Verfahren
- Multi-Faktor-Authentifizierung für Admins/Lehrkräfte
- automatische Sitzungssperren
3. Zugriffskontrolle
- Rollen- und Rechteverwaltung (RBAC)
- Mandantentrennung
- Logging administrativer Zugriffe
- Least-Privilege-Prinzip
4. Weitergabekontrolle
- TLS 1.2+/1.3
- AES-256 verschlüsselte Backups
- keine Drittstaatenübermittlungen
- vertragliche Bindung aller Subdienstleister
5. Eingabekontrolle
- Protokollierung sicherheitsrelevanter Ereignisse
- unveränderliche Audit-Logs
- nachvollziehbare Änderungs- und Löschvorgänge
6. Auftragskontrolle
- Verarbeitung nur nach Weisung
- AVV nach Art. 28 DSGVO
- dokumentierte interne Datenschutzrichtlinien
- Schulungen aller Mitarbeitenden
7. Verfügbarkeitskontrolle
- tägliche, verschlüsselte Backups
- redundante EU-Infrastruktur
- Monitoring 24/7
- Notfallkonzepte (BCP/DRP)
8. Trennungsgebot
- Daten- und Mandantentrennung zwischen Auftraggebern
- getrennte Test-/Produktivumgebungen
- keine Vermischung von Daten zu Testzwecken
9. Datenminimierung & Löschung
- Löschprozesse gemäß AVV
- automatische Löschung inaktiver Konten
- Löschung von Backups nach max. 90 Tagen
- Löschprotokolle auf Anforderung
10. Incident-Management
- Meldefrist: 24 Stunden nach Kenntnis
- dokumentierte Prozesse
- forensische Analyse bei Bedarf
- Unterstützung des Auftraggebers bei Art. 33/34 DSGVO