Zum Hauptinhalt springen
Zurück

Technische und organisatorische Maßnahmen (TOM)

nach Art. 32 DSGVO – Anlage zum Auftragsverarbeitungsvertrag (AVV)

Diese Übersicht beschreibt die technischen und organisatorischen Maßnahmen, die wir zum Schutz personenbezogener Daten bei der Grammatik-Arena treffen. Sie ist Bestandteil des Auftragsverarbeitungsvertrags (AVV) und wird bei Bedarf fortgeschrieben.

1. Vertraulichkeit

1.1 Zutrittskontrolle

Es findet keine eigene physische Datenverarbeitung an einem Bürostandort statt. Die Verarbeitung erfolgt vollständig bei sorgfältig ausgewählten Subprozessoren in zertifizierten Rechenzentren (siehe Subprozessoren). Diese gewährleisten Zutrittskontrolle nach gängigen Standards (z. B. ISO 27001).

1.2 Zugangskontrolle

  • Starke Passwörter und 2-Faktor-Authentifizierung für Admin-Zugänge
  • Rollenbasierte Zugriffsrechte (Least-Privilege-Prinzip)
  • Automatische Sperrung inaktiver Sitzungen
  • Verschlüsselte Endgeräte der Verantwortlichen

1.3 Zugriffskontrolle

  • Row-Level-Security (RLS) auf Datenbankebene – Lehrkräfte sehen ausschließlich ihre eigenen Daten
  • Trennung von öffentlichen und administrativen API-Schlüsseln
  • Protokollierung administrativer Zugriffe

1.4 Trennungskontrolle

  • Mandantentrennung pro Lehrkraft auf Datensatzebene
  • Logische Trennung von Test- und Produktivdaten

1.5 Pseudonymisierung

  • Schülerinnen und Schüler werden ausschließlich über frei wählbare Anzeigenamen geführt – keine Klarnamen erforderlich
  • Spielstände lassen sich nicht ohne Zusatzwissen einer realen Person zuordnen

2. Integrität

2.1 Weitergabekontrolle

  • Transportverschlüsselung (TLS 1.2+) bei allen Datenübertragungen
  • Verschlüsselung ruhender Daten (Encryption at Rest) bei allen Subprozessoren
  • Keine Weitergabe personenbezogener Daten an Dritte außerhalb der gelisteten Subprozessoren

2.2 Eingabekontrolle

  • Protokollierung sicherheitsrelevanter Datenbankoperationen
  • Audit-Trails über Anmeldungen und Änderungen an Lehrer-Accounts

3. Verfügbarkeit und Belastbarkeit

  • Regelmäßige automatische Backups der Datenbank
  • Redundante Infrastruktur der Subprozessoren in EU-Rechenzentren
  • Monitoring der Verfügbarkeit und Reaktion bei Störungen
  • DDoS-Schutz und Web-Application-Firewall auf Infrastrukturebene

4. Verfahren zur regelmäßigen Überprüfung

  • Datenschutz-Folgenabschätzung bei neuen Funktionen mit Personenbezug
  • Regelmäßige Überprüfung von Zugriffsrechten
  • Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Verträge zur Auftragsverarbeitung mit allen eingesetzten Subprozessoren

5. Meldung von Datenschutzverletzungen

Werden Datenschutzverletzungen festgestellt, informieren wir betroffene Lehrkräfte unverzüglich und kommen unseren Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO nach.

Stand: 06.06.2026