Anlage 2 - Technische und organisatorische Maßnahmen (TOMs)

1. Einleitung und Zweck

Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen (TOMs), die von der Lambus GmbH als Auftragsverarbeiter gemäß Art. 28 und Art. 32 DSGVO umgesetzt werden, um personenbezogene Daten zu schützen, die im Rahmen der Nutzung der Software Lambus for Business verarbeitet werden.

Ziel der Maßnahmen ist es, ein dem Risiko angemessenes Schutzniveau hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme sicherzustellen.

2. Art der verarbeiteten Daten

Im Rahmen der Nutzung der Software können insbesondere folgende personenbezogene Daten verarbeitet werden:

• Stammdaten (z. B. Name, Vorname)
• Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer)
• Reisedaten (Reisezeiten, Orte, Unterkünfte, Transportmittel)
• Buchungs- und Referenznummern
• Nutzungs- und Zugriffsdaten der B2B-Kunden

3. Risikobewertung

Die Verarbeitung umfasst grundsätzlich keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO.

Für die vertraglich geschuldete Leistung sind ausschließlich reise- und buchungsbezogene Daten erforderlich. Die Verarbeitung vollständiger Identitätsdokumente (z. B. Personalausweise oder Führerscheine) ist weder vorgesehen noch erforderlich.

Sofern solche Dokumente vom Auftraggeber im Einzelfall übermittelt werden, erfolgt deren Speicherung ausschließlich im Rahmen der Auftragsverarbeitung, ohne gesonderte Auswertung oder Zweckänderung.

Das Risiko für die Rechte und Freiheiten der betroffenen Personen wird insgesamt als angemessen und beherrschbar eingestuft. Die nachfolgenden Maßnahmen tragen diesem Risikoprofil Rechnung.

4. Maßnahmen zur Zugangskontrolle

Ziel: Verhinderung des unbefugten Zugangs zu Datenverarbeitungssystemen.

• Benutzerkonten mit individuellem Login
• Passwortgeschützte Zugänge
• Automatische Sitzungszeitbegrenzung
• Schutz vor Brute-Force-Angriffen

5. Maßnahmen zur Zugriffskontrolle

Ziel: Sicherstellung, dass berechtigte Nutzer ausschließlich auf die für sie bestimmten Daten zugreifen können.

• Rollen- und Rechtemanagement
• Mandantentrennung zwischen Kunden
• Zugriff auf Produktivsysteme nur für autorisierte Mitarbeiter
• Mindestens halbjährliche Überprüfung von Zugriffsrechten

6. Maßnahmen zur Weitergabekontrolle

Ziel: Verhinderung der unbefugten Übertragung oder Offenlegung von Daten.

• Verschlüsselte Datenübertragung (TLS/HTTPS)
• Keine Weitergabe von Daten an Dritte ohne vertragliche Grundlage
• Einsatz von Auftragsverarbeitern nur mit AVV
• Protokollierung von administrativen und systemseitigen Zugriffen auf personenbezogene Daten zur Sicherstellung der Nachvollziehbarkeit und Missbrauchsprävention

7. Maßnahmen zur Eingabekontrolle

Ziel: Nachvollziehbarkeit, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht wurden.

• Protokollierung von Systemzugriffen
• Nachvollziehbare Änderungsprozesse
• Trennung von Entwicklungs-, Test- und Produktivsystemen

8. Maßnahmen zur Verfügbarkeitskontrolle

Ziel: Schutz gegen zufällige Zerstörung oder Verlust von Daten.

• Regelmäßige Datensicherungen (tägliches Backup für die letzten sieben Tage)
• Wiederherstellungsprozesse (Disaster-Recovery)
• Monitoring der Systemverfügbarkeit

9. Maßnahmen zur Integritätskontrolle

Ziel: Schutz vor unbefugter oder unbeabsichtigter Veränderung von Daten.

• Zugriffsbeschränkungen auf Datenbanken
• Versionskontrollen bei Software-Änderungen
• Einsatz geprüfter Softwarekomponenten

10. Maßnahmen zur Trennung von Daten

Ziel: Sicherstellung, dass Daten verschiedener Kunden getrennt verarbeitet werden.

• Logische Mandantentrennung auf Applikations- und Datenbankebene
• Strikte Trennung von Test- und Produktivdaten

11. Maßnahmen zur Auftragskontrolle

Ziel: Sicherstellung der Verarbeitung ausschließlich gemäß Weisung des Auftraggebers.

• Verarbeitung personenbezogener Daten nur gemäß AVV
• Dokumentierte interne Datenschutzrichtlinien
• Angebot zur regelmäßigen Schulung der Mitarbeiter

12. Maßnahmen zur Mitarbeiterkontrolle

Ziel: Sicherstellung der Vertraulichkeit durch interne Organisation.

• Verpflichtung der Mitarbeiter auf Vertraulichkeit
• Zugriff auf Kundendaten nur bei Erforderlichkeit (Need-to-know)
• Mindestens halbjährliche Sensibilisierung für Datenschutz und IT-Sicherheit

13. Maßnahmen zum Umgang mit Sicherheitsvorfällen

• Dokumentierte Prozesse zur Erkennung und Meldung von Sicherheitsvorfällen
• Interne Eskalationswege und Verantwortlichkeiten
• Unverzügliche Information des Auftraggebers über Verletzungen des Schutzes personenbezogener Daten, spätestens innerhalb von 24 Stunden nach Bekanntwerden
• Unterstützung des Auftraggebers bei Meldepflichten nach Art. 33, 34 DSGVO

14. Subunternehmer (Unterauftragsverarbeiter)

• Einsatz nur nach sorgfältiger Auswahl
• Vertragliche Verpflichtung gemäß Art. 28 DSGVO
• Dokumentation der eingesetzten Subunternehmer. Eine aktuelle Liste der Unterauftragsverarbeiter kann auf Anfrage bereitgestellt werden. Derzeit eingesetzte Subunternehmer sind insbesondere Hosting- und Infrastruktur-Dienstleister innerhalb der EU.

15. Löschung und Rückgabe von Daten

• Nach Beendigung des Vertragsverhältnisses löscht der Auftragnehmer sämtliche personenbezogenen Daten nach Wahl des Auftraggebers oder gibt diese zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht
• Produktive personenbezogene Kundendaten werden grundsätzlich nicht in Test- oder Entwicklungsumgebungen verwendet. Sofern dies ausnahmsweise erforderlich ist, erfolgt dies ausschließlich unter Anwendung der gleichen technischen und organisatorischen Maßnahmen wie im Produktivsystem

16. Aktualisierung der TOMs

Diese TOMs werden regelmäßig überprüft und bei Bedarf angepasst, insbesondere bei technischen Änderungen oder neuen rechtlichen Anforderungen.

Dieses Dokument ist Bestandteil des Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.