onesrv logo
Technische und organisatorische Maßnahmen
zur Sicherstellung einer sicheren Datenverarbeitung.

Technische und organisatorische Maßnahmen (TOMs)

zur Sicherstellung einer sicheren Datenverarbeitung

Regh & Meier Services GbR
Stand: Dezember 2025

Die nachfolgenden technischen und organisatorischen Maßnahmen stellen die Umsetzung der Anforderungen nach Art. 32 DSGVO zur Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten dar.
Sie gelten für alle (Hosting)-Dienstleistungen (z. B. virtuelle Server, Cloud-Systeme), welche die Regh & Meier Services GbR im Auftrag ihrer Kunden erbringt.

Die Maßnahmen orientieren sich an den gängigen Kontrollbereichen zur Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit.

1. Vertraulichkeit

1.1 Zutrittskontrolle

Ziel ist es, den physischen Zugriff Unbefugter auf IT-Systeme zu verhindern.
Die Systeme werden ausschließlich in einem europäischen Rechenzentrum betrieben. Dieses verfügt über mehrstufige Zutrittskontrollsysteme, Videoüberwachung und ein elektronisches Berechtigungsmanagement.
Physischer Zugang ist ausschließlich autorisierten Personen vorbehalten. Ersatzhardware wird ausschließlich in dieser geschützten Umgebung, oder eigenen Geschäftsräumen vorgehalten.

1.2 Zugangskontrolle

Ziel ist es, die Nutzung von IT-Systemen nur berechtigten Personen zu ermöglichen.
Administrative Zugriffe erfolgen über eindeutig zuordenbare Benutzerkonten. Eine starke Authentifizierung über einen zentralen Identity-Provider mit passkey-basierter Multi-Faktor-Authentifizierung (MFA) ist verpflichtend.
Zugänge zu Administrationsoberflächen sind ausschließlich über ein internes, separat und physisch geschütztes Netz möglich. Rechte werden umgehend entzogen, wenn sie nicht mehr erforderlich sind.

1.3 Zugriffskontrolle

Ziel ist, dass befugte Personen nur auf Daten zugreifen können, für die eine Berechtigung besteht.
Rechtevergabe erfolgt nach dem Need-to-Know-Prinzip. Direkte Administrator-Logins sind deaktiviert oder erfordern MFA; administrative Eingriffe erfolgen über nachvollziehbare, privilegierte Benutzerkonten.
Administrations- und Kundennetze sind logisch und/oder physisch voneinander getrennt.

1.4 Weitergabekontrolle

Ziel ist, unbefugtes Mitlesen oder Verändern von Daten bei der Übertragung zu verhindern.
Interne Datenübertragungen erfolgen ausschließlich verschlüsselt oder isoliert (TLS-basiert, SSH, VPN, Tunnel).
Interne Dienste nutzen eine eigene Zertifikatsinfrastruktur; besonders kritische Anwendungen werden zusätzlich mittels mTLS abgesichert. Zugangsdaten werden ausschließlich über gesicherte Kanäle weitergegeben.

1.5 Eingabekontrolle

Ziel ist die Nachvollziehbarkeit von Eingaben, Änderungen oder Löschungen personenbezogener Daten.
Administrative Aktionen auf Kundensysteme werden personenbeziehbar protokolliert, insbesondere bei privilegierten Zugriffsrechten.

1.6 Auftragskontrolle

Ziel ist die Datenverarbeitung ausschließlich nach dokumentierten Weisungen des Auftraggebers.
Die Verarbeitung erfolgt ausschließlich auf Grundlage eines Auftragsverarbeitungsvertrags.
Eingesetzte Unterauftragsverarbeiter sind dokumentiert gemäß Art. 28 DSGVO. Relevante interne Abläufe sind dokumentiert.

1.7 Trennungskontrolle

Ziel ist die klare Trennung personenbezogener Daten nach Kunden bzw. Zwecken.
Die Mandantentrennung erfolgt durch Virtualisierung, VLAN-Segmentierung und Firewall-Isolation.
Produktivdaten werden nicht zu Test- oder Entwicklungszwecken genutzt.

2. Integrität

2.1 Systemhärtung

Systeme werden nach anerkannten Sicherheitsstandards gehärtet. Ungenutzte Dienste sind deaktiviert, Konfigurationen folgen dem Minimalprinzip.

2.2 Patch- und Updatekonzept

Hostsysteme werden standardmäßig wöchentlich aktualisiert. Sicherheitsrelevante Updates werden priorisiert eingespielt.
Für Kundensysteme erfolgt die Pflege kundenseitig, außer entsprechende Wartungsverträge wurden optional geschlossen.

2.3 Speicherkonsistenz

Die Speicherung erfolgt über ein redundantes Speichersystem, welches die Integrität der Daten auf technischer Ebene sicherstellt.

3. Verfügbarkeit und Belastbarkeit

3.1 Redundante Infrastruktur

Kernkomponenten (Storage, Hosts) sind redundant ausgelegt, um Ausfälle aufgrund technischer Defekte zu vermeiden.

3.2 Ersatzhardwarekonzept

Ersatzserver und -komponenten werden vorgehalten, um bei Hardwaredefekten eine schnelle Wiederherstellung zu ermöglichen.

3.3 Datensicherungen

Kundensysteme werden regelmäßig gesichert. Die Aufbewahrungsfrist beträgt bis zu drei Monate, mit einem rollierenden Reduktionskonzept.

3.4 Wiederherstellungsfähigkeit

Im Worst-Case-Szenario (inkl. Hardware-Totalausfall) wird eine Wiederanlaufzeit von 24 Stunden angestrebt.

3.5 Monitoring und Alarmierung

Alle Hosts, kritischen Dienste und Management-Schnittstellen werden kontinuierlich überwacht. Störungen und Anomalien führen zu automatisierten Alarmierungen.

3.6 Schutz vor Netzangriffen

DDoS-Schutzmechanismen stellen die Verfügbarkeit gegenüber externen Angriffen sicher.

4. Pseudonymisierung und Verschlüsselung

4.1 Kryptographische Absicherung

Daten werden bei der Übertragung grundsätzlich verschlüsselt.
Sensible interne Dienste werden über mTLS abgesichert.
Auf Wunsch des Kunden können Sicherungen zusätzlich verschlüsselt und isoliert gespeichert werden.

5. Überprüfung, Bewertung und Weiterentwicklung

5.1 Dokumentierte Prozesse

Datenschutzrelevante Abläufe werden intern dokumentiert und fortlaufend gepflegt.

5.2 Incident-Response-Verfahren

Internes Verfahren zum Umgang mit Sicherheitsvorfällen ist vorhanden und wird fortlaufend ausgebaut.

5.3 Kontinuierliche Optimierung

Die Wirksamkeit der Maßnahmen wird regelmäßig bewertet und bei geänderten technischen Rahmenbedingungen oder Erkenntnissen aus Vorfällen entsprechend angepasst.

6. Datenminimierung und Löschung

6.1 Löschung nach Zweckfortfall

Nach Beendigung des Vertragsverhältnisses werden Kundendaten und zugehörige Systeme gelöscht. Datensicherungen werden nach Ablauf der definierten Aufbewahrungsfrist entfernt.

6.2 Zweckbindung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zur Erbringung der vereinbarten Leistungen und nicht zu eigenen Zwecken.

Status der Umsetzung

Die beschriebenen Maßnahmen entsprechen dem aktuellen technischen und organisatorischen Stand und werden angesichts technischer Entwicklungen sowie gesetzlicher Anforderungen kontinuierlich weiterentwickelt.

logo
© 2025 - onesrv
Produkte
Managed ServicesBare MetalCloud TelefonieWissensmanagementBeratung
Weiteres
HypesrvStatus
Rechtliches
ImpressumDatenschutzAGBFair Use PolicyService Level AgreementToMs
Kontakt
info [at] onesrv [punkt] net06136 7960 591
Server aus Deutschland100% ÖkostromISO Ready
Alle Angebote richten sich ausschließlich an Geschäftskunden. Alle Preise exkl. USt. außer angegeben.