FlorianSuite
Zur App
Rechtliches · Stand 2026-06-13

Technische und organisatorische Maßnahmen (TOM)

Diese Anlage beschreibt die technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung. Maßgeblich sind Stand der Technik, Implementierungskosten sowie Art, Umfang, Umstände und Zweck der Verarbeitung und das Risiko für die betroffenen Personen. Wegen der Verarbeitung von Gesundheitsdaten (G26) wird ein erhöhter Schutzbedarf zugrunde gelegt; eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) ist angezeigt. Bereits umgesetzte Maßnahmen und solche „in Umsetzung“ sind nachstehend ausdrücklich unterschieden.

1. Vertraulichkeit — Zutrittskontrolle

  • Betrieb in einem ISO 27001-zertifizierten Rechenzentrum in Deutschland (Subunternehmer Hetzner Online GmbH).
  • Physische Zutrittssicherung (Zutrittskontrolle, Videoüberwachung, Vereinzelung) durch den Subunternehmer.

2. Vertraulichkeit — Zugangskontrolle (Systemzugang)

  • Server-Administration ausschließlich über SSH mit Public-Key-Verfahren; Passwort-Login deaktiviert (konfiguriert).
  • Absicherung gegen automatisierte Angriffe: Firewall, fail2ban, Rate-Limiting des SSH-Zugangs (konfiguriert).
  • Eigener, getrennter Betriebssystem-Benutzer je Anwendung (Least-Privilege).
  • Anmeldung an der App über persönliche Benutzerkonten; Passwörter werden nur als gesalzener Hash gespeichert (Django/PBKDF2, kein Klartext).
  • Zwei-Faktor-Authentisierung (TOTP) für administrative Betreiber-Zugänge. Eine MFA-Pflicht auch für Fachrollen mit Zugriff auf Gesundheitsdaten ist als priorisierter Ausbau geplant.

3. Vertraulichkeit — Zugriffskontrolle (Berechtigungen)

  • Rollen- und funktionsbasiertes Rechtekonzept: Zugriffe leiten sich aus zugewiesenen Ämtern/Funktionen ab (Wehrleitung, Verwaltung, Wart, Mitglied).
  • Strikte Mandanten-/Einheiten-Trennung: jede Einheit sieht nur ihre eigenen Daten.
  • Gesundheitsdaten (G26-Status, Tauglichkeitsfristen) sind zusätzlich auf Wehrleitung und Atemschutz-Fachrollen beschränkt.
  • Personenbezogene Daten „rollen nie nach oben“: Verwaltungsebenen (Gemeinde/Kreis) erhalten KEINE personalisierten Personendaten — insbesondere keine Tauglichkeitsdaten — der unterstellten Einheiten, sondern nur nicht-personenbezogene Geräte-Aggregate.

4. Integrität — Weitergabe- und Übertragungskontrolle

  • Verschlüsselte Übertragung zwischen Browser und Server ausschließlich über HTTPS/TLS; erzwungene Weiterleitung von HTTP auf HTTPS (SSL-Redirect) und HTTP Strict Transport Security (HSTS).
  • Die Datenbank wird auf demselben Server betrieben; die Verbindung App→Datenbank erfolgt über die lokale Loopback-Schnittstelle und verlässt den Server nicht über öffentliche Netze.
  • Sichere Cookies (Session-/CSRF-Cookies nur über HTTPS), CSRF-Schutz bei allen Formularen.

5. Integrität — Eingabe- und Protokollkontrolle

  • Protokollierung von Anmeldungen und sicherheitsrelevanten Server-Ereignissen mit Zeitstempel (Anwendungs-Logging).
  • Fachliche Nachweise (Geräteprüfung, Unterweisung, Rechts-Zustimmung) werden mit Zeitstempel und handelnder Person revisionssicher dokumentiert.
  • In Umsetzung: ein strukturiertes Zugriffs-Audit auf Feldebene (wer hat wann welche Gesundheitsdaten gelesen/geändert).

6. Verfügbarkeit und Wiederherstellbarkeit

  • Tägliche automatische Sicherung der Datenbank (Datenbank-Dump), Ablage außerhalb des Anwendungsverzeichnisses mit eingeschränktem Zugriff, Aufbewahrung 14 Tage; Wiederherstellbarkeit aus diesen Sicherungen.
  • Zeitnahe Einspielung sicherheitsrelevanter Updates von Betriebssystem und Anwendungskomponenten.
  • In Umsetzung: ein formalisiertes Backup- und Notfallkonzept mit festgelegten Wiederanlaufzielen (RPO/RTO) und dokumentierten Wiederherstellungstests. Dem Verantwortlichen wird empfohlen, ergänzend eigene Datenexporte vorzunehmen.

7. Vertraulichkeit — Verschlüsselung ruhender Daten

  • Die Daten liegen auf den Systemen des Rechenzentrums (Deutschland). Eine zusätzliche Verschlüsselung ruhender Daten auf Feld-/Spaltenebene ist derzeit NICHT umgesetzt.
  • In Umsetzung (geplant bis Q4 2026): At-Rest-Verschlüsselung mindestens für Gesundheitsdaten (G26) mit getrenntem Schlüssel-Management. Bis dahin werden diese Daten transparent ausgewiesen und durch die Zugriffsbeschränkungen (Punkt 3) geschützt.

8. Trennungskontrolle

  • Logische Trennung der Daten je Einheit/Mandant innerhalb der Anwendung (Scoping auf Datenbankebene über die Organisations-Zugehörigkeit).
  • Trennung von Produktiv- und Testdaten.

9. Löschung und Aufbewahrung

  • Löschung bzw. Rückgabe der Daten nach Vertragsende gemäß AVV § 9.
  • Server-/Anwendungsprotokolle werden nach kurzer Frist (Richtwert ca. 90 Tage) gelöscht; Backups nach Ablauf der Rotation (14 Tage).
  • Gesundheits-/Ausbildungsdaten: Aufbewahrung nach den vom Verantwortlichen vorgegebenen gesetzlichen Fristen, danach Löschung.

10. Verfahren zur regelmäßigen Überprüfung und Evaluierung

  • Mindestens jährliche Überprüfung und Bewertung der Maßnahmen sowie zusätzlich bei wesentlichen Änderungen der Verarbeitung oder der Bedrohungslage; wesentliche Änderungen werden dem Verantwortlichen mitgeteilt.
  • Subunternehmer sind ihrerseits vertraglich nach Art. 28 DSGVO gebunden.
  • Datenminimierung und Datenschutz durch Voreinstellungen (Module/Funktionen werden bewusst zugeschaltet).
Anbieter

FlorianSuite — Tim Kaiser · Lindenstraße 6B · 21435 Stelle · kontakt@floriansuite.de

Weitere Dokumente
Datenschutzerklärung Vertrag zur Auftragsverarbeitung (AVV) Eingesetzte Subunternehmer (Auftragsverarbeiter) Allgemeine Geschäfts- und Nutzungsbedingungen Muster-Information für Feuerwehrangehörige (Art. 13/14 DSGVO)