Zum Hauptinhalt springen
← Zurück zur Startseite

Technische & organisatorische Maßnahmen (TOM)

Anhang zum AVV · Stand: 6. Juni 2026

Folgende technische und organisatorische Maßnahmen nach Art. 32 DSGVO setzen wir um, um ein dem Risiko angemessenes Schutzniveau für die in der Schreibwerkstatt verarbeiteten Daten zu gewährleisten.

1. Vertraulichkeit

  • Zutrittskontrolle: Die Datenverarbeitung erfolgt in zertifizierten Rechenzentren unserer Subprozessoren (vorrangig EU-Region). Physischer Zutritt nur für autorisiertes Personal des jeweiligen Rechenzentrumsbetreibers.
  • Zugangskontrolle: Authentifizierung der Lehrkraft per E-Mail + Passwort. Passwörter ausschließlich als kryptografischer Hash gespeichert. Schüler:innen melden sich per zufälligem QR-Token an.
  • Zugriffskontrolle: Strenge Row-Level-Security auf Datenbank-Ebene – jede Lehrkraft sieht ausschließlich ihre eigenen Klassen, Schüler:innen und Texte. Schüler:innen sehen ausschließlich ihre eigenen Texte.
  • Trennungskontrolle: Daten verschiedener Lehrkräfte sind logisch getrennt; produktive Daten und Test-Daten sind getrennt.
  • Pseudonymisierung: Schüler:innen werden nur per Vornamen/Spitznamen und zufälligem Token referenziert.

2. Integrität

  • Weitergabekontrolle: Alle Datenübertragungen erfolgen ausschließlich verschlüsselt (TLS 1.2+/HTTPS).
  • Eingabekontrolle: Änderungen an Klassen, Schülerlisten und Texten erfolgen nur durch eingeloggte Lehrkräfte bzw. die jeweilige Schüler:in. Schreib-/Lese-Vorgänge sind serverseitig protokolliert.

3. Verfügbarkeit & Belastbarkeit

  • Backups: Tägliche automatische Datenbank-Backups durch den Hosting-/Datenbank-Anbieter mit Vorhaltezeit gemäß dessen Standard.
  • Hochverfügbarkeit: Hosting auf verwalteter Infrastruktur mit redundantem Storage und automatischer Lastverteilung.
  • Schutz vor Schadsoftware/Angriffen: WAF und DDoS-Schutz auf Hosting-Ebene; regelmäßige Updates der eingesetzten Bibliotheken.

4. Verfahren zur regelmäßigen Überprüfung

  • Datenschutz-Management: Verfahrensverzeichnis, Datenschutzerklärung und TOM werden bei wesentlichen Funktions- oder Anbieter-Änderungen aktualisiert.
  • Auftragskontrolle: Mit allen Subprozessoren bestehen AVV nach Art. 28 DSGVO.
  • Datenschutz-Folgenabschätzungen: werden vor Einführung neuer Funktionen mit erhöhtem Risiko durchgeführt.
  • Meldekette bei Datenpannen: Benachrichtigung der Auftraggeber (Schulen) unverzüglich nach Bekanntwerden, spätestens innerhalb von 72 Stunden.

5. Datenminimierung & Löschkonzept

  • Erhebung nur der für den jeweiligen Zweck nötigen Daten.
  • Texte und Rückmeldungen werden mit der zugehörigen Schüler:in gelöscht; Klassen und Schüler:innen werden mit dem Lehrer-Account gelöscht.
  • Server-Logs werden spätestens nach 30 Tagen anonymisiert oder gelöscht.