Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO

Version: 1.0

Stand: 04. Juni 2026

Die Nadicon GmbH, Waldstraße 20, 82049 Pullach i. Isartal, trifft für die unter der Marke „lowema." angebotenen Leistungen die nachfolgenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten zu gewährleisten.

Die Maßnahmen werden unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere möglicher Risiken regelmäßig überprüft und bei Bedarf weiterentwickelt. Das vereinbarte Schutzniveau wird während der Vertragslaufzeit nicht wesentlich verringert.

1. Vertraulichkeit

Zutritts- und Zugangskontrolle

• •Sichere Aufbewahrung von Endgeräten, insbesondere Laptops und Smartphones
• •Verschlüsselung geeigneter Endgeräte, insbesondere durch FileVault oder BitLocker
• •Passwortgeschützter Zugriff auf Endgeräte und Systeme
• •Automatische Bildschirmsperre bei Inaktivität
• •Mehrfaktor-Authentifizierung bei kritischen Diensten, soweit technisch verfügbar
• •Verwendung eines Passwort-Managers für die Verwaltung von Zugangsdaten

Zugriffskontrolle

• •Zugriff auf personenbezogene Daten nur für autorisierte Personen nach dem Need-to-know-Prinzip
• •Rollen- und rechtebasierte Vergabe von Zugriffsberechtigungen, soweit vom jeweiligen System unterstützt
• •Verpflichtung von Mitarbeitenden und eingesetzten Freelancern zur Vertraulichkeit
• •Entzug oder Anpassung von Zugriffsrechten bei Aufgabenwechsel oder Beendigung der Zusammenarbeit
• •Protokollierung administrativer Zugriffe, soweit vom jeweiligen System unterstützt

Trennungs-, Pseudonymisierungs- und Verschlüsselungskontrolle

• •Logische Trennung der Daten unterschiedlicher Auftraggeber
• •Trennung von Produktiv-, Test- und Entwicklungsumgebungen, soweit für die jeweilige Leistung erforderlich
• •SSL-/TLS-Verschlüsselung für Datenübertragungen über öffentlich zugängliche Webdienste
• •Verschlüsselte Speicherung von Backups, soweit vom jeweiligen System oder Anbieter unterstützt

2. Integrität

• •Protokollierung von Datenänderungen, soweit vom jeweiligen System unterstützt
• •Versionierung von Code-Änderungen über geeignete Versionsverwaltungssysteme, insbesondere Git
• •Übertragung personenbezogener Daten ausschließlich über verschlüsselte Verbindungen oder andere angemessen geschützte Übertragungswege
• •Sichere Weitergabe sensibler Zugangsdaten ausschließlich über Passwort-Manager oder vergleichbar geschützte Verfahren
• •Einsatz geeigneter Maßnahmen zur Vermeidung unbeabsichtigter Veränderung oder Löschung personenbezogener Daten
• •Prüfung und Dokumentation wesentlicher Änderungen an produktiven Systemen vor oder im Zusammenhang mit deren Umsetzung

3. Verfügbarkeit und Belastbarkeit

• •Regelmäßige Datensicherungen nach dem jeweils gebuchten Leistungsumfang
• •Aufbewahrung von Backups für einen angemessenen Zeitraum, soweit technisch verfügbar und erforderlich
• •Nutzung einer belastbaren Hosting- und Bereitstellungsinfrastruktur, insbesondere über geeignete Cloud- und Hosting-Anbieter
• •Einsatz von Schutzmaßnahmen gegen Überlastung und Angriffe, soweit vom jeweiligen Hosting- oder Plattformanbieter bereitgestellt
• •Automatische Erneuerung von SSL-/TLS-Zertifikaten, soweit technisch unterstützt
• •Definierte Prozesse zur Wiederherstellung von Daten und Systemen bei technischen Störungen oder Datenverlust
• •Regelmäßige Überprüfung der Wiederherstellbarkeit von Backups in angemessenem Umfang

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

• •Regelmäßige Überprüfung und Weiterentwicklung der technischen und organisatorischen Maßnahmen
• •Regelmäßige Sensibilisierung von Mitarbeitenden und eingesetzten Freelancern zu Datenschutz und IT-Sicherheit
• •Sensibilisierung neuer Mitarbeitender und Freelancer vor oder zu Beginn der Zusammenarbeit
• •Interne Vorgaben zur Erkennung, Prüfung und Meldung von Datenschutzvorfällen
• •Sorgfältige Auswahl und regelmäßige Überprüfung eingesetzter Sub-Auftragsverarbeiter
• •Dokumentation der eingesetzten Sub-Auftragsverarbeiter unter lowema.de/auftragsverarbeiter
• •Regelmäßige Sicherheitsupdates der eingesetzten Software, soweit diese durch den Auftragnehmer beeinflussbar sind
• •Überprüfung von Zugriffsrechten in angemessenen Abständen und bei Änderungen der Aufgaben oder Zusammenarbeit

5. Organisationskontrolle und Datenschutzmanagement

• •Interne Zuständigkeiten für Datenschutz- und IT-Sicherheitsfragen sind festgelegt
• •Datenschutzrechtliche Anfragen werden über hallo@lowema.de entgegengenommen und bearbeitet
• •Datenschutzrelevante Prozesse werden dokumentiert, soweit dies erforderlich und angemessen ist
• •Eingesetzte Dienstleister und Sub-Auftragsverarbeiter werden vor ihrem Einsatz sorgfältig ausgewählt
• •Verträge mit Sub-Auftragsverarbeitern werden, soweit erforderlich, auf Grundlage geeigneter datenschutzrechtlicher Vereinbarungen abgeschlossen
• •Änderungen an wesentlichen Sub-Auftragsverarbeitern werden nach Maßgabe der AVV kommuniziert
• •Frühere Fassungen wesentlicher Datenschutzdokumente können intern nachvollzogen werden