Technische und organisatorische Maßnahmen (TOM) clockodo.com

  1. Startseite
  2. Trust Center
  3. Technische und organisatorische Maßnahmen

Die Clockodo GmbH trifft folgende technische und organisatorische Maßnahmen, um bei der Verarbeitung personenbezogener Daten bei der Nutzung der SaaS-Lösung clockodo.com ein angemessenes Schutzniveau zu gewährleisten. Die hier beschriebenen Maßnahmen beziehen sich auf die Bürogebäude der Clockodo GmbH und die Datenverarbeitung vor Ort. Endkundendaten werden in ISO-zertifizierten Rechenzentren von Microsoft in Deutschland verarbeitet und gespeichert. Die von Microsoft getroffenen technischen und organisatorischen Maßnahmen finden Sie unter https://www.microsoft.com/de-de/trust-center.

Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnamen wird mindestens jährlich durchgeführt. Dabei erfolgt auch eine Beurteilung der Angemessenheit des Schutzniveaus und gegebenenfalls eine Anpassung auf den aktuellen Stand der Technik, beispielsweise eine Umstellung auf neuere Verschlüsselungsverfahren.

Zeitpunkt der letzten Aktualisierung: 06.02.2024, Geprüft: 05.03.2025

PDF-Download: Technische und organisatorische Maßnahmen

1. Vertraulichkeit

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu den Datenverarbeitungsanlagen, sowie die Nutzung der Datenverarbeitungssysteme zu verwehren.

Gebäudemanagement 

  • Gute Ausleuchtung im Außenbereich
  • Sicherheitsschlösser an den Gebäudetüren
  • Sichere Verwahrung von nicht im Gebrauch befindlichen Schlüsseln
  • Nicht Zutrittsberechtigte Personen dürfen sensible Bereiche nur unter Aufsicht betreten
  • Gäste und Besucher müssen sich am Empfang melden
  • Gäste und Besucher werden immer von Mitarbeitern begleitet
  • Externe Dienstleister müssen sich ausweisen, wenn sie das Gelände/Gebäude betreten
  • Wartungsarbeiten durch externe Dienstleister werden durch interne Kräfte beaufsichtigt

Personal 

  • Mitarbeitervereinbarung zum Umgang mit Schlüsseln/Codes etc. (auch im Falle eines Verlustes)
  • Etablierter Off-Boarding Prozess u. A. zur Information aller relevanten Abteilungen/Mitarbeiter und Umsetzung aller notwendigen Änderungen bzgl. der ausgegebenen Berechtigungen
  • Papierunterlagen werden in den Risiken angemessenen Verwahrmöglichkeiten aufbewahrt
  • Mitarbeiteranweisung zur Einhaltung des ""Clean-Desk-Prinzip""
  • Regelmäßige Schulung der Mitarbeiter zu relevanten Datenschutz- und IT-Sicherheitsthemen
  • Alle Mitarbeiter unterzeichnen eine Verpflichtung auf Vertraulichkeit
  • Alle Mitarbeiter unterzeichnen eine IT-Nutzungsvereinbarung
  • Alle Mitarbeiter unterzeichnen eine Vereinbarung zur privaten E-Mail- und Internetnutzung
  • Alle relevanten Mitarbeiter unterzeichnen eine Richtlinie zum Thema Home- / MobileOffice

IT 

  • Double-Opt-In für die Registrierung (begrenzt gültiger Aktivierungslink)
  • IT-Geräte sind durch individuelle, dem Stand der Technik entsprechende Authentifizierungsmethoden gesichert
  • Anweisung der Mitarbeiter zur aktiven Sperrung der IT-Geräte beim Verlassen des Arbeitsplatzes
  • Passwörter werden mit einem geeigneten kryptographischen Verfahren gespeichert
  • Zwei- oder Mehr-Faktor-Authentifizierungen bei Verarbeitungen mit hohem Risiko
  • Automatische Accountsperrung bei mehrfacher fehlerhafter Passworteingabe
  • Werkseitige Authentifizierungsinformationen werden unverzüglich geändert
  • Vollverschlüsselung von Computern und Laptops und ext. Datenträgern
  • Nutzung eines Mobile Device Management (MDM)
  • Zugriffsberechtigungen nach dem ""Need-to-Know"" Prinzip
  • Regelmäßige (stichprobenartige) Überprüfung der erteilten Berechtigungen
  • Segmentierung von Netzwerken
  • Einsatz einer regelmäßig aktualisierten Antivirus-Software auf allen IT-Geräten
  • Vernichtung von Datenträgern gemäß dem Stand der Technik
  • Mitführen von Papierunterlagen und Daten (Trägern) außerhalb der Geschäftsräume nur bei zwingender Notwendigkeit gestattet
  • Akten- und Datenträgervernichtung gemäß dem Stand der Technik
  • Trennung von Produktiv-, Archiv- und Testumgebungen
  • Trennung von Mandantendaten auf Datenbankebene
  • IT- und Datenschutzvorfälle werden über einen definierten Prozess abgearbeitet
  • Fernlöschung von mobilen Devices im Verlustfall
  • Unberechtigte Zugriffe auf das Firmennetzwerk weder durch eine ("NextGen-") Firewall verhindert
  • Pseudonymisierung von personenbezogenen Daten sofern möglich
  • Maskierung sensibler Kundendaten für Clockodo-Service-Mitarbeiter
  • Verschlüsselung der Datenbank durch Microsoft

2. Integrität

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Fernzugriffe aus unsicheren Netzwerken auf das interne Firmennetz erfolgen grundsätzlich über eine sichere VPN Verbindung
  • Verschlüsselung der Webseite per HTTPS-Protokoll
  • Umsetzung des HSTS-Standards
  • Wo technisch möglich werden individuelle Eingabe- und Löschprotokolle erstellt
  • Wiederherstellbarkeit wird durch den Netzwerkdienstleister Microsoft gewährleistet
  • Sorgfältige Auswahl der Auftragnehmer

3. Verfügbarkeit und Belastbarkeit

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  • Automatische Sicherheitsupdates von Betriebssystem und Softwareanwendungen
  • Es existiert ein dem Risiko und dem Stand der Technik angemessenes Backup-Konzept, welches regelmäßig evaluiert und bei Bedarf angepasst wird
  • Es existiert ein dem Risiko angemessener Notfallplan
Test endet automatisch! Keine Kündigung notwendig.
Alle Funktionen 14 Tage kostenlos testen
Mit dem Absenden des Formulars akzeptieren Sie unsere AGB und unsere Datenschutz­erklärung und bestätigen, dass Sie Clockodo als Unternehmer nutzen.

Nutzen Sie die Erfahrungen von 10.000 weiteren Unternehmen:

Bechtle Mannheim LogoBechtlePeerigon LogoPeerigon GmbH
Phoenix Logistik LogoPhoenix LogistikFieda LogoFidea