Allgemeine technische und organisatorische Maßnahmen nach Art. 32 Abs. 1 DSGVO
Stand: 06.08.2025
Anwendungsbereich der Technisch-organisatorischen Maßnahmen (TOMs)
Diese TOMs gelten für alle im Auftragsverarbeitungsvertrag (AVV) benannten Module. Die konkreten Maßnahmen unterscheiden sich abhängig davon, ob die Verarbeitung lokal oder cloudbasiert erfolgt. Folgende Module sind umfasst:
- FASTEC 4 PRO (On-Premises): Lokale Installation beim Auftraggeber.
- pvaPRO (Cloud): Cloud-Plattform, betrieben durch FASTEC.
- FASTEC 4 PRO (On Edge): Hardware vor Ort, Betrieb durch den Auftraggeber, Wartung durch FASTEC.
- smartOEE: Befristetes Einstiegspaket, bestehend aus FASTEC 4 PRO (On Edge) und pvaPRO. Für jede enthaltene Komponente gelten die jeweiligen Einzelregelungen.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle
FASTEC 4 PRO (On-Premises): Die Verarbeitung personenbezogener Daten erfolgt auf IT-Systemen in der Umgebung des Auftraggebers. Die Verantwortung für geeignete Zutrittskontrollen (z. B. physischer Zugang zu Servern, Netzwerkkomponenten oder Arbeitsplätzen) liegt daher vollständig beim Auftraggeber.
pvaPRO (Cloud): Die Plattform pvaPRO wird in einem Microsoft Azure-Rechenzentrum in der Region EU-West betrieben. Der physische Zutritt zu diesen Rechenzentren ist ausschließlich autorisierten Personen gestattet. Microsoft setzt dafür ein mehrstufiges Zugangskonzept mit biometrischen Zugangskontrollen, Personenschleusen, Videoüberwachung, permanentem Wachschutz und Protokollierung aller Zutrittsvorgänge ein. Die Einhaltung dieser Maßnahmen ist durch unabhängige Zertifizierungen wie ISO/IEC 27001, 27017, 27018 sowie SOC 1–3 belegt.
Weitere Informationen zur physischen Sicherheit der Microsoft Azure-Rechenzentren sind öffentlich einsehbar unter: https://www.microsoft.com/trust-center
FASTEC 4 PRO (On Edge): Die Edge-Komponenten befinden sich in der Betriebsumgebung des Auftraggebers. Auch hier liegt die Verantwortung für die physische Absicherung bei diesem.
Ergänzend hierzu betreibt der Auftragnehmer eigene Geschäftsräume am Standort Paderborn. Das Gebäude ist mit einem elektronischen Zutrittskontrollsystem ausgestattet. Nur berechtigte Personen können mit einem personalisierten RFID-Chip Zutritt zum Gebäude erhalten. Zusätzlich ist der Zugang zu jeder Büroetage sowie zum Serverraum durch separate Zutrittskontrollsysteme geschützt. Die Zutrittsrechte sind rollenbasiert vergeben. Zutritte zu besonders sensiblen Bereichen, insbesondere dem Serverraum, werden protokolliert. Besucher erhalten ausschließlich nach Anmeldung Zutritt und dürfen sensible Bereiche nur in Begleitung betreten.
Zugangskontrolle
FASTEC 4 PRO (On-Premises): Der Zugang zu FASTEC 4 PRO erfolgt über lokale Benutzerkonten mit individuell vergebenen Zugangsdaten. Die Authentifizierung erfolgt über ein systeminternes Benutzermanagement. Passwortvorgaben, Sperrmechanismen und Protokollierungen sicherheitsrelevanter Anmeldevorgänge sind technisch umgesetzt.
pvaPRO (Cloud): Der Zugriff auf pvaPRO erfolgt über ein vom Auftragnehmer betriebenes zentrales Identity-Management-System. Die Authentifizierung erfolgt passwortgeschützt mit individuellen Zugangsdaten. Alle Benutzerkonten sind rollenbasiert mit abgestuften Zugriffsrechten ausgestattet. Das System erzwingt Passwortregeln und protokolliert erfolgreiche und nicht-erfolgreiche Anmeldevorgänge.
FASTEC 4 PRO (On-Premises):
Ergänz Die Authentifizierung erfolgt über lokale Benutzerkonten auf dem Edge-System. Die Verantwortung für das Benutzer- und Rechtemanagement liegt beim Auftraggeber. Passwortvorgaben und Sperrmechanismen sind systemseitig vorgesehen. end hierzu gelten beim Auftragnehmer folgende technische und organisatorische Maßnahmen zur Zugangskontrolle:
Nur Personen mit einem gültigen Benutzerkonto haben in Kombination mit ihrem Passwort Zugriff auf das FASTEC-Netzwerk. Es erfolgt eine strikte Trennung zwischen dem FASTEC-Netzwerk und anderen vorhandenen Netzwerken, wie z. B. dem Gäste-WLAN. Bei einem Zugriff auf das FASTEC-Netzwerk von außen (z. B. per VPN) ist zusätzlich eine Zwei-Faktor-Authentifizierung mittels Einmalpasswort (OTP) erforderlich.
Zugriffskontrolle
FASTEC 4 PRO (On-Premises): Die Benutzerzugriffe sind rollenbasiert strukturiert. Der Auftragnehmer stellt technische Funktionen bereit, um Benutzerkonten mit abgestuften Rechten anzulegen. Die Zuweisung und Pflege der Rechte erfolgt durch den Kunden. Systemzugriffe sowie sicherheitsrelevante Aktionen (z. B. Benutzerverwaltung, Datenexporte) werden protokolliert. Ein vollständiger Audit-Trail ist Bestandteil des Systems.
pvaPRO (Cloud): Die Benutzerzugriffe innerhalb der Plattform sind rollenbasiert strukturiert. Die Plattform stellt technische Funktionen zur Verfügung, um Benutzern unterschiedliche Rechte und Rollen zuzuweisen. Die Zuweisung und Pflege der Benutzerrechte innerhalb des jeweiligen Mandanten erfolgt durch die Administratoren des Kunden in eigener Verantwortung. Systemzugriffe sowie sicherheitsrelevante Aktionen (z. B. Benutzerverwaltung, Datenexporte) werden zentral protokolliert.
FASTEC 4 PRO (On Edge):
Die Zugriffsrechte werden lokal auf dem Edge-System verwaltet. Die Systemarchitektur unterstützt eine rollenbasierte Rechtevergabe. Die Verantwortung für die Konfiguration und Pflege liegt beim Auftraggeber.
Ergänzend hierzu gelten beim Auftragnehmer folgende Maßnahmen zur Zugriffskontrolle: Alle bei FASTEC eingesetzten IT-Systeme verfügen über differenzierte Berechtigungen, die so konfiguriert sind, dass Mitarbeitende ausschließlich auf die für ihren jeweiligen Aufgabenbereich erforderlichen Daten Zugriff haben.
Trennungskontrolle
FASTEC 4 PRO (On-Premises) / FASTEC 4 PRO (On Edge): Die Systemarchitektur unterscheidet zwischen Entwicklungs-, Test- und Produktivumgebungen. Die konkrete Ausgestaltung liegt in der Verantwortung des Kunden bzw. erfolgt in Abstimmung mit dem Auftragnehmer. FASTEC 4 PRO ist pro Werk als eigenständige Systeminstanz mit eigener Datenbank konzipiert. Jede Instanz bildet eine abgeschlossene Umgebung, wodurch sich die Trennung der Daten systemseitig ergibt. Die Datenverarbeitung erfolgt entsprechend der innerhalb des Systems konfigurierten Benutzerrechte.
pvaPRO (Cloud): Die Plattform pvaPRO gewährleistet eine strikte Trennung der Daten verschiedener Kunden durch die Verwendung getrennter Datenbanken pro Mandant. Eine Datenverarbeitung über Mandantengrenzen hinweg ist technisch ausgeschlossen. Entwicklungs-, Test- und Produktivumgebungen sind logisch und systemseitig voneinander getrennt. Innerhalb eines Mandanten erfolgt die Datenverarbeitung ausschließlich entsprechend der vom Kunden festgelegten Systemkonfiguration und Berechtigungsstruktur.
Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
In den FASTEC-Systemen erfolgt keine Pseudonymisierung, da personenbezogene Daten – insbesondere Benutzerinformationen wie Name oder Vorname – zur funktionalen Verarbeitung, Visualisierung und Rückverfolgbarkeit im Klartext erforderlich sind. Dies betrifft alle Module gleichermaßen (FASTEC 4 PRO On-Premises, pvaPRO Cloud, FASTEC 4 PRO On Edge).
Die Systeme ermöglichen jedoch eine differenzierte Rechtevergabe, um den Zugriff auf personenbezogene Daten auf berechtigte Benutzer zu beschränken.
Eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO findet nicht statt.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle
FASTEC 4 PRO (On-Premises) / FASTEC 4 PRO (On Edge): Eine automatische Weitergabe personenbezogener Daten an Dritte ist nicht vorgesehen. Die Datenverarbeitung erfolgt lokal auf den Systemen des Kunden. Für Supportzwecke kann es erforderlich sein, dass Datenbanken oder Protokolle exportiert und dem Auftragnehmer über gesicherte Verbindungen (z. B. per VPN-Tunnel) übermittelt werden. Eine Speicherung auf externen Datenträgern durch den Auftragnehmer erfolgt ausschließlich zweckgebunden und temporär.
pvaPRO (Cloud): Die Übertragung personenbezogener Daten zwischen Nutzern und der Plattform erfolgt ausschließlich über verschlüsselte Verbindungen (TLS/HTTPS). Der Zugriff auf pvaPRO erfolgt über den Webbrowser oder abgesicherte API-Endpunkte. Die Plattform selbst versendet keine personenbezogenen Daten an Dritte. Eine lokale Speicherung auf mobilen oder externen Datenträgern durch den Auftragnehmer erfolgt nicht.
Eingabekontrolle
FASTEC 4 PRO (On-Premises) / FASTEC 4 PRO (On Edge): Eingaben, Änderungen und Löschungen personenbezogener Daten werden im Systemprotokoll erfasst. Der integrierte Audit-Trail zeichnet relevante Benutzeraktionen mit Zeitstempel und Benutzerkennung auf und ermöglicht so eine lückenlose Nachverfolgbarkeit.
pvaPRO (Cloud): Innerhalb der Plattform pvaPRO wird jede Eingabe, Änderung oder Löschung personenbezogener Daten protokolliert. Die Protokollierung erfolgt unter Angabe von Benutzerkennung, Zeitstempel und Art der Aktion. Die Protokollierung erfolgt unter Angabe von Benutzerkennung, Zeitstempel und Art der Aktion.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle
FASTEC 4 PRO (On-Premises): Bei On-Premises-Systemen liegt die Verantwortung für die Systemverfügbarkeit grundsätzlich beim Kunden. Der Auftragnehmer (FASTEC) steht dem Kunden beratend zur Seite und unterstützt bei Bedarf durch Konfigurationshinweise und Supportleistungen. Die Datensicherung (z. B. Backups) und Wiederherstellungsmaßnahmen liegen vollständig im Verantwortungsbereich des Kunden.
pvaPRO (Cloud): Die Plattform pvaPRO wird auf der Microsoft Azure Cloud-Plattform betrieben, die eine hohe Verfügbarkeit gemäß den dortigen SLAs gewährleistet. Der Auftragnehmer implementiert und betreibt regelmäßige Datensicherungen (Backups) und stellt Wiederherstellungsverfahren sicher. Monitoring- und Alarmierungssysteme ermöglichen die frühzeitige Erkennung von Störungen. Entwicklungs-, Test- und Produktionsumgebungen sind logisch voneinander getrennt, um Beeinträchtigungen des Produktivbetriebs zu vermeiden.
FASTEC 4 PRO (On Edge): Im Rahmen des Edge-Betriebs – z. B. im Rahmen des smartOEE-Angebots – übernimmt der Auftragnehmer den vollständigen Betrieb und die Wartung der lokalen Edge-Komponenten (FASTedge Box). Dazu gehören insbesondere regelmäßige Datensicherungen (Backups) sowie definierte Verfahren zur Wiederherstellung der Systeme im Fehlerfall. Die Verantwortung für die Verfügbarkeit liegt in diesem Szenario bei FASTEC.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO))
Datenschutz-Management
Der Auftragnehmer überprüft die technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit regelmäßig und passt sie bei Bedarf an.
Mitarbeiter des Auftragnehmers werden regelmäßig zum Datenschutz und zur Datensicherheit geschult.
Der Auftragnehmer hat einen internen Datenschutzkoordinator benannt, der für die Umsetzung und Überwachung der Datenschutzmaßnahmen zuständig ist. Zudem arbeitet der Auftragnehmer eng mit seinem externen Datenschutzbeauftragten zusammen, um die Einhaltung der Datenschutzanforderungen sicherzustellen.
Änderungen der technischen oder organisatorischen Maßnahmen werden dokumentiert und dem Auftraggeber auf Anfrage mitgeteilt.
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
pvaPRO (Cloud): Die Plattform ist so konfiguriert, dass standardmäßig nur die für den jeweiligen Zweck erforderlichen personenbezogenen Daten verarbeitet werden. Funktionen mit erweiterten Datenverarbeitungen (z. B. Protokollierung) sind auf das notwendige Maß beschränkt. Es erfolgt keine Profilbildung. Standort- oder Sensordaten werden nicht verarbeitet.
FASTEC 4 PRO (On-Premises) / FASTEC 4 PRO (On Edge): Die Systemausprägung und Konfiguration liegt beim Kunden, der damit über die datenschutzfreundliche Voreinstellung selbst entscheidet. Der Auftragnehmer unterstützt auf Wunsch mit Empfehlungen zur datenschutzfreundlichen Konfiguration.
Auftragskontrolle
FASTEC 4 PRO (On-Premises) / FASTEC 4 PRO (On Edge): Der Zugriff auf Kundendaten erfolgt ausschließlich durch autorisiertes Personal des Auftragnehmers im Rahmen von Betrieb, Wartung oder Support. Der Zugriff erfolgt nur auf Anforderung des Kunden, zweckgebunden und unter Einsatz technischer und organisatorischer Maßnahmen zur Vermeidung unbefugter Datenverarbeitung. Der Zugriff erfolgt entweder remote über gesicherte Verbindungen oder lokal vor Ort nach Freigabe durch den Kunden.
pvaPRO (Cloud): Auch bei pvaPRO erfolgen Zugriffe auf personenbezogene Daten ausschließlich durch autorisiertes Personal des Auftragnehmers im Rahmen des vereinbarten Leistungsumfangs. Alle Zugriffe werden protokolliert und regelmäßig ausgewertet. Der Zugriff erfolgt nur bei berechtigtem Anlass und unter strenger Zweckbindung.
Unterauftragnehmer
Unternehmen | Anschrift | Kontaktdaten des Ansprechpartners | Leistungsbeschreibung |
Microsoft Ireland Operations Ltd. | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland | Cloud-Infrastruktur für Hosting und Betrieb der Plattform pvaPRO (IaaS), inkl. Rechenleistung, Storage, Netzwerke, physische Sicherheit, Basis-Backup-Mechanismen | |
ActiDoo GmbH | Technologiepark 20, 33100 Paderborn, Germany | Betrieb eines mandantenfähigen Identity-Providers (Keycloak) zur zentralen Authentifizierung und Benutzerverwaltung |