TOM

Technisch‑organisatorische Maßnahmen (TOMs) für „Accidents@School – Das Unfallbuch“


Verantwortlicher: ClassyMade GmbH, Zum Schwimmbad 44, 65232 Taunusstein
Version: 1.0 Datum: 15.07.2025

1. Einleitung

Diese Übersicht beschreibt die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, die ClassyMade GmbH zum Schutz personenbezogener Daten in der App „Accidents@School“ implementiert hat.

2. Maßnahmen nach Kategorien

2.1 Organisatorische Maßnahmen

  • Zugriffsberechtigung: Rollenbasierte Vergabe, Änderung und Widerruf von Benutzerrechten (Owner, Admin, Manager, User, Schulsanitätsdienst, Schüler, Eltern).
  • Awareness & Schulung: Regelmäßige Datenschutz‑ und IT‑Sicherheitsschulungen aller Mitarbeitenden.
  • Dokumentation: Sicherheitskonzept mit Incident‑Response‑Plan, Notfallhandbuch und Protokollierung aller Änderungen.

2.2 Personelle Maßnahmen

  • Vertraulichkeitsvereinbarungen: Alle Mitarbeiter*innen und Subprozessoren unterzeichnen NDAs und Datenverarbeitungs­erklärungen.
  • Zugriffskontrollen: Interne Richtlinien zur autorisierten Nutzung der Systeme und regelmäßige Berechtigungsprüfungen.

2.3 Technische Maßnahmen

  • Zugriffskontrolle & Authentifizierung:
    • HTTPS (TLS 1.2+) für alle Datenübertragungen.
    • Multi‑Faktor‑Authentifizierung für administrative Zugänge.
    • JWT (JSON Web Tokens) für Nutzer‑Sessions, Gültigkeit 8 Stunden. Native Apps (React Native Expo) speichern Login‑Daten verschlüsselt im Secure Store.
  • Verschlüsselung:
    • Transport: TLS für API‑ und WebSocket‑Verbindungen.
    • Ruhezustand: Einsatz von Duplicity für Backup‑Verschlüsselung (AES‑basiert). Datenbank‑Dumps und Server‑Images werden AES‑verschlüsselt und mittels Duplicity verwaltet.
  • Passwortsicherheit:
    • Speicherung als bcrypt‑Hashes (Cost-Faktor 10), z. B. $2b$10$....
  • Logging & Monitoring:
    • Zentrales Logmanagement mit revisionssicheren Audit‑Logs.
    • Uptime‑Monitoring via Uptime Kuma für Verfügbarkeitsüberwachung.
  • Backup & Restore:
    • Tägliche Backups: Vollständiger Datenbank‑Dump und Server‑Image, 5 Aufbewahrungen (letzte 7 Tage).
    • Monatliche Backups: Vollständiger Dump, 6 Monate Aufbewahrung.
    • Backups werden offline und in ISO-zertifizierten Rechenzentren von Hetzner gekapselt gespeichert.
  • Schwachstellen‑Management:
    • Manuelle Tests und Smoke‑Tests bei jedem Release.
    • Unabhängige Schwachstellen‑Scans bzw. Penetrationstests mindestens zweimal jährlich (anlasslos).
  • Verfügbarkeits‑ und Incident‑Management:
    • Alarme bei Ausfall oder Performance‑Abweichungen über Uptime Kuma.

2.4 Physische Maßnahmen

  • Rechenzentrum: Einsatz von ISO 27001‑zertifizierten Hetzner‑Standorten.
  • Zutrittskontrolle: Badge‑ und biometrischer Zugang zu Serverräumen (ClassyMade-Infrastruktur).
  • Umgebungsüberwachung: Brand-, Klima- und Stromüberwachungssysteme.