Technische und organisatorische Maßnahmen (TOM)
Nach Art. 32 DSGVO in Verbindung mit Art. 5 Abs. 1 lit. f DSGVO. Stand: 18. Mai 2026 · Version 1.0
Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen, die Agrar Trainer trifft, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Es ist Bestandteil jedes Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO und kann von Schulträgern und Auftraggebern angefordert werden.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
- Hosting ausschließlich in ISO 27001-zertifizierten Rechenzentren in der EU (Frankfurt am Main, Deutschland)
- Zutritt zu den Rechenzentren ausschließlich für autorisiertes Personal des Hosting-Anbieters
- 24/7-Bewachung, Videoüberwachung, mehrstufige Zugangskontrolle (Karte + biometrisch)
- Mitarbeitende des Anbieters haben keinen physischen Zutritt
1.2 Zugangskontrolle
- Authentifizierung über E-Mail/Passwort mit bcrypt-Hashing
- Passwort-Mindestanforderungen (Länge, Komplexität)
- Optional: Google-SSO über OAuth-Broker (EU)
- Session-Token mit kurzer Lebensdauer und Auto-Refresh
- Rate-Limiting für Login-Endpoints
- Admin-Zugänge mit separaten, rollenbasierten Berechtigungen
- Logging fehlgeschlagener Anmeldeversuche
1.3 Zugriffskontrolle
- Row Level Security (RLS) auf allen Tabellen mit personenbezogenen Daten
- Rollenbasierte Zugriffskontrolle (RBAC): Lernende, Lehrkraft, Ausbilder, Admin
- Berechtigungen werden serverseitig erzwungen (nicht clientseitig)
- Service-Role-Key ausschließlich serverseitig, niemals im Browser
- Lehrkräfte sehen nur Daten ihrer eigenen Klasse
- Lernende sehen ausschließlich eigene Ergebnisse
1.4 Trennungskontrolle
- Logische Mandantentrennung über
schule_id/klasse_id - Produktions- und Testdaten in getrennten Datenbankinstanzen
- Pseudonyme Nutzung im Schul-Modus (kein Klarname, keine private E-Mail erforderlich)
1.5 Pseudonymisierung & Anonymisierung
- Schüler-Konten ohne Klarnamen möglich (siehe Datenschutz Schul-Modus)
- Aggregierte Auswertungen ohne Personenbezug
- Audit-Logs verzichten auf Klartext-Inhalte personenbezogener Felder
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
- TLS 1.2/1.3 für alle Verbindungen (HTTPS erzwungen, HSTS aktiv)
- Datenbankverbindungen ausschließlich verschlüsselt
- Keine Datenübertragung in Drittländer außerhalb der EU/EWR
- KI-Routing nachweislich auf EU-Modelle beschränkt (siehe EU-Hosting)
2.2 Eingabekontrolle
- Audit-Log für alle administrativen Vorgänge (Klassen anlegen/löschen, Nutzer deaktivieren, Statusänderungen)
- Unveränderliche Protokollierung mit Zeitstempel und ausführendem Account
- Server-seitige Validierung aller Eingaben (Zod-Schemas)
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)
3.1 Verfügbarkeitskontrolle
- Ziel-Verfügbarkeit: 99,5 % im Jahresmittel
- Edge-Hosting über Cloudflare Workers (EU-Region) für niedrige Latenz und DDoS-Schutz
- Tägliche, verschlüsselte Backups der Datenbank mit 30 Tagen Aufbewahrung
- Point-in-Time-Recovery (PITR) bis zu 7 Tage rückwirkend
- RTO (Recovery Time Objective): < 4 Stunden
- RPO (Recovery Point Objective): < 1 Stunde
- Automatisches Monitoring (Uptime, Fehlerraten, Latenzen)
3.2 Rasche Wiederherstellbarkeit
- Dokumentierter Disaster-Recovery-Plan
- Regelmäßige Restore-Tests (mindestens quartalsweise)
- Infrastructure-as-Code (IaC) ermöglicht reproduzierbare Umgebungen
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Datenschutz-Management: jährliche Überprüfung dieser TOM und der Verarbeitungsverzeichnisse
- Incident-Response-Prozess: Meldung von Datenschutzvorfällen an Verantwortliche innerhalb von 24 Stunden, an Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO)
- Auftragskontrolle: Auftragsverarbeiter werden nur nach DSGVO-Prüfung eingesetzt (siehe Unterauftragsverarbeiter)
- Schulung der Mitarbeitenden zu Datenschutz und Informationssicherheit
- Schriftliche Vertraulichkeitsverpflichtung aller Mitarbeitenden (Art. 28 Abs. 3 lit. b DSGVO)
- Geplante externe Penetrationstests jährlich ab Q4 2026
5. Auftragskontrolle (Art. 28 DSGVO)
- Abschluss von AVV mit allen Auftragsverarbeitern (Hosting, E-Mail, KI-Gateway)
- Vollständige Liste: siehe Unterauftragsverarbeiter
- Alle Subprozessoren ausschließlich in der EU / EWR
6. Löschkonzept
Detaillierte Speicher- und Löschfristen siehe Löschkonzept. Kurzfassung:
- Lernfortschritte: gelöscht bei Klassenende oder auf Anforderung
- Audit-Logs: 12 Monate, danach automatische Löschung
- Inaktive Konten: automatische Anonymisierung nach 24 Monaten Inaktivität
7. Änderungen
Diese TOM werden bei wesentlichen Änderungen der Verarbeitung, Infrastruktur oder Rechtslage aktualisiert. Auftraggeber werden über wesentliche Änderungen informiert.
Verwandte Dokumente: Datenschutz · AVV · Unterauftragsverarbeiter · Löschkonzept · EU-Hosting · Barrierefreiheit