Letzte Aktualisierung: 18.07.2025

emerse GmbH | Werneckstr. 8 | 80802 München

Allgemeines

1. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
   • Monatliche ISMS-Review-Termine, Mitarbeitertraining, regelmäßige Risikoanalysen und Anpassung der TOM bei Bedarf.
2. Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration
   • Infrastructure‑as‑Code (Terraform), Deaktivierung unnötiger Dienste, sofortiges Ändern aller Default‑Passwörter, Änderungen nur per 4‑Augen‑Change‑Management.
3. Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit
   • ISO 27001‑basiertes ISMS mit verbindlichen Policies (Access, Incident, Change), klaren Rollen (Owner, Admin, User), jährlichem Management‑Review und externem Datenschutz­beauftragten.
4. Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten
   • ISO 27001‑Audit läuft (Abschluss 2025); ISMS nach ISO 27001 mit dokumentierten Prozessen, Risiko­bewertungen, Incident‑Response‑Plan und jährlichen Mitarbeiter­schulungen.
5. Maßnahmen zur Gewährleistung der Datenminimierung
   • Erhebung nur erforderlicher Felder, Pseudonymisierung wo möglich, Speicher­fristen gemäß Lösch­konzept, rollen­basiertes „Need‑to‑Know“, regelmäßige Prüfungen.
6. Maßnahmen zur Vermeidung einer Vorratsdatenspeicherung
   • Verkehrsdaten max. 10 Wochen, Zugriff nur für wenige Admins, Nutzung ausschließlich zur Service­erbringung / Fehler­analyse, anschließende automatische Löschung.
7. Maßnahmen zur Gewährleistung der Rechenschaftspflicht
   • Vollständige Protokollierung (Auth0, CloudWatch, CloudTrail, Azure Logs), Aufbewahrung 30–90 Tage; Verzeichnis der AV‑Verträge, externer DSB (Kertos), jährliche Management‑Reviews und Nachweisführung.
8. Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung
   • Self‑Service‑Export / Löschung des Trainings­fortschritts; Konto­löschung auf Anfrage oder automatisch nach 364 Tagen Inaktivität; sichere Daten­vernichtung gemäß BSI‑Standard, Backups 14 Tage.

Vertraulichkeit

1. Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten
   • Pseudonymisierte Benutzer‑IDs; TLS 1.2/1.3 für alle externen Verbindungen; AES‑256‑Verschlüsselung in AWS S3 (SSE‑S3); Auth0‑Daten verschlüsselt at rest.
2. Maßnahmen zur Identifizierung und Autorisierung der Nutzer
   • Zentrale Auth0‑RBAC, eindeutige User‑IDs, 2FA für Admin‑Konten, strenge Passwort‑Policy (NIST‑konform) und Least‑Privilege‑Rollen (Owner / Admin / User).
3. Maßnahmen zum Schutz der Daten während der Übermittlung
   • Durchgängig TLS 1.2/1.3; VPN für Remote‑Zugriffe; signierte AWS-S3‑URLs; HSTS und TLS‑Only‑Security‑Headers auf allen Web‑Endpunkten.
4. Maßnahmen zum Schutz der Daten während der Speicherung
   • AWS S3 AES‑256 (SSE‑S3), nur pseudonymisierte Daten in AWS RDS, KMS‑Schlüssel­verwaltung; tägliche Backups (14 Tage) verschlüsselt.
5. Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden
   • Verarbeitung ausschließlich in AWS & Azure Rechen­zentren mit 24/7 Wachschutz, CCTV, biometrischem Zutritt; kein eigenes Rechen­zentrum, Home‑Office‑Policy mit VPN, Firewall und verschlüsselten Geräten.

Integrität

1. Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen
   • Zentrale Audit‑Logs in Auth0, AWS CloudWatch/CloudTrail und Azure Logs; erfassen Logins, API‑Calls, Admin‑Aktionen; Zeit­stempel per NTP synchronisiert; 30‑90 Tage Aufbewahrung, manipulationssichere Speicherung.