meinGPT LogomeinGPT Docs
WebsitePlatform Login
PlattformKI Prompting GuideEntwicklerdokumentationEnterpriseDatenschutz & Sicherheit

Technische und Organisatorische Maßnahmen (TOMs)

Detaillierte Auflistung unserer technischen und organisatorischen Datenschutzmaßnahmen nach DSGVO

DSGVO-Zertifiziert

Vollständig DSGVO-konform durch HeyData

Wir arbeiten mit HeyData zusammen und gewährleisten damit höchste Datenschutzstandards.

HeyData berät über 1.500+ UnternehmenHeyData hat 20+ Jahre Erfahrung
HeyData Logo

Diese Seite dokumentiert die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs), die wir bei meinGPT implementiert haben, um ein angemessenes Schutzniveau zu gewährleisten.

Technische Sicherheitsmaßnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:

  • Schließsystem mit Codesperre
  • Sicherheitsschlösser
  • Videoüberwachung der Zugänge

Zugangskontrolle

Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben:

  • Authentifikation mit Benutzer und Passwort
  • Authentifikation mit biometrischen Daten
  • Einsatz von Firewalls
  • Einsatz von VPN-Technologie bei Remote-Zugriffen
  • Verschlüsselung von Datenträgern
  • Verschlüsselung von Notebooks / Tablets
  • Zentrale Passwortregeln
  • Nutzung von 2-Faktor-Authentifizierung
  • Unternehmens-Richtlinie für sichere Passwörter
  • Unternehms-Richtlinie "Clean Desk"
  • Automatische Desktop-Sperrung bei Verlassen des Arbeitsplatzes

Zugriffskontrolle

Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben:

  • Einsatz von Aktenvernichtern (mit Cross-Cut-Funktion)
  • Physische Löschung von Datenträgern vor deren Wiederverwendung
  • Minimale Anzahl von Administratoren
  • Sichere Aufbewahrung von Datenträgern
  • Zentrale Verwaltung der Benutzerrechte durch Systemadministratoren
  • Richtlinie für minimalen Datenausdruck

Trennungskontrolle

Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden:

  • Trennung von Produktiv- und Testsystem
  • Logische Mandantentrennung (softwareseitig)
  • Umfassendes Berechtigungskonzept

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Einrichtung von VPN-Tunneln
  • WLAN-Verschlüsselung (WPA2 mit starkem Passwort)
  • Bereitstellung von Daten über verschlüsselte Verbindungen (SFTP, HTTPS)
  • Uploadverbot dienstlicher Daten auf unternehmensfremde Server

Eingabekontrolle

Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit verarbeitet hat:

  • Klare Zuständigkeiten für Löschungen
  • Rücksprache-Pflicht vor Datenlöschungen
  • Umfassende Protokollierung von Datenzugriffen

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und stets verfügbar sind:

  • Regelmäßige automatisierte Backups
  • Umfassendes Backup- & Recovery-Konzept
  • Kontinuierliche Kontrolle des Sicherungsvorgangs
  • Sichere, ausgelagerte Aufbewahrung von Datensicherungen
  • Trennung von Betriebssystemen und Daten
  • Hosting bei professionellen, zertifizierten Hostern

Organisatorische Maßnahmen

Datenschutz-Management

  • Datenschutzbeauftragter (DSB)

    • Externe Bestellung: heyData GmbH als qualifizierter Datenschutzbeauftragter
    • Kontakt: datenschutz@heydata.eu, Schützenstr. 5, 10117 Berlin
    • Qualifikation: Über 20 Jahre Erfahrung, betreut 1.500+ Unternehmen
    • Integration: Verwendung der heyData-Plattform zum Datenschutz-Management

  • Datenschutz-Folgenabschätzung (DSFA)

    • Systematische Bewertung neuer Verarbeitungsaktivitäten
    • Risikobewertung vor Einführung neuer Features
    • Dokumentation und Überwachung der Ergebnisse

  • Verzeichnis der Verarbeitungstätigkeiten

    • Vollständige Dokumentation aller Datenverarbeitungen nach Art. 30 DSGVO
    • Regelmäßige Aktualisierung und Überprüfung
    • Kategorisierung nach Verarbeitungszwecken

Mitarbeiterschulungen

  • Datenschutz-Awareness-Programme

    • Regelmäßige Schulungen für alle Mitarbeiter
    • Spezielle Schulungen für IT-Personal
    • Schulungen zu "Privacy by Design" und "Privacy by Default"
    • Jährliche Auffrischungskurse

  • Vertraulichkeitsverpflichtungen

    • Schriftliche Verpflichtung aller Mitarbeiter auf das Datengeheimnis
    • Clear Desk Policy
    • Protokollierung von Datenzugriffen

Incident Response

  • Data Breach Management

    • Meldeprozess: 72-Stunden-Meldepflicht an Aufsichtsbehörden nach Art. 33 DSGVO
    • Betroffenenbenachrichtigung: Prozess nach Art. 34 DSGVO
    • Incident Response Team: Einbindung des Datenschutzbeauftragten
    • Eskalationsprozesse: Klare Verantwortlichkeiten und Abläufe

  • Forensik und Aufklärung

    • Technische Analyse von Sicherheitsvorfällen
    • Dokumentation von Maßnahmen
    • Lessons Learned Prozess

Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Kontinuierliche Bewertung: Regelmäßige Überprüfung und Evaluierung der Wirksamkeit
  • Compliance-Monitoring: Überwachung der Einhaltung aller Datenschutzbestimmungen
  • Anpassung: Kontinuierliche Verbesserung basierend auf neuen Anforderungen

KI-spezifische Datenschutzmaßnahmen

Schutz vor KI-Training mit Kundendaten

  • Keine Nutzung für KI-Training

    • Ausdrückliche vertragliche Zusicherung: Keine Verwendung von Kundendaten für das Training eigener KI-Modelle
    • Strikte Zweckbindung: Daten werden ausschließlich zur Erbringung der vereinbarten Dienstleistungen verwendet
    • Überwachung aller Unterauftragsverarbeiter bezüglich dieser Verpflichtung

  • Enterprise-APIs und Datenschutz

    • Verwendung von Enterprise-APIs bei externen KI-Anbietern
    • Keine Weitergabe an die ursprünglichen KI-Anbieter (z.B. OpenAI bei Microsoft Azure)
    • Geografische Kontrolle der Datenverarbeitung

Datenminimierung bei KI-Verarbeitung

  • Privacy by Design für KI

    • Erhebung nur der für den jeweiligen KI-Zweck erforderlichen Daten
    • Automatische Filterung personenbezogener Daten wo möglich
    • Pseudonymisierung und Anonymisierung als Standard

  • Transparenz bei KI-Verarbeitung

    • Klare Information über verwendete KI-Modelle
    • Hinweise auf geografische Datenverarbeitung (z.B. US-Hinweise bei entsprechenden Anbietern)
    • Wahlmöglichkeiten für Nutzer bezüglich verschiedener Datenschutz-Level

Data Residency und Sovereignty

  • Geografische Kontrolle
    • Bevorzugung von EU-Hosting (Deutschland, Schweden, Frankreich)
    • Klare Kennzeichnung von US-basierten Services
    • Einhaltung von Data Privacy Framework Standards bei US-Anbietern

Rechtliche Maßnahmen

Rechtliche Grundlagen

  • Rechtsgrundlagen für Verarbeitung

    • Art. 6 DSGVO: Einwilligung, Vertrag, rechtliche Verpflichtung
    • Art. 9 DSGVO: Besondere Kategorien personenbezogener Daten
    • Transparente Kommunikation der Rechtsgrundlagen

  • Einwilligungsmanagement

    • Informed Consent Mechanismen
    • Opt-in statt Opt-out Verfahren
    • Einfache Widerrufsmöglichkeiten

Verträge und Vereinbarungen

  • Auftragsverarbeitungsverträge (AVV)

    • Umfassende Verträge mit allen externen Dienstleistern
    • Detaillierte technische und organisatorische Maßnahmen (TOMs)
    • Regelmäßige Überprüfung der Vertragspartner
    • Sorgfältige Auswahl von Unterauftragsverarbeitern

  • Auftragskontrolle

    • Schriftliche Weisungen an alle Auftragnehmer
    • Bestätigung der ordnungsgemäßen Datenvernichtung nach Auftragsende
    • Verpflichtung aller Subunternehmer auf Datengeheimnis

Betroffenenrechte

  • Auskunftsrecht (Art. 15 DSGVO)

    • Automatisierte Auskunftssysteme
    • Bearbeitungsfristen von einem Monat
    • Kostenlose Erstauskunft

  • Löschrecht (Art. 17 DSGVO)

    • Right to be forgotten Implementierung
    • Automatisierte Löschprozesse
    • Nachweis der vollständigen Löschung

  • Datenportabilität (Art. 20 DSGVO)

    • Standardisierte Exportformate
    • Direkte Übertragung an andere Anbieter
    • Maschinell lesbare Formate

Compliance und Monitoring

  • Datenschutz-Audit

    • Regelmäßige interne Audits
    • Externe Zertifizierungen
    • Kontinuierliche Verbesserungsprozesse

  • Privacy by Design & by Default

    • Datenschutz als Grundprinzip in der Entwicklung
    • Datenminimierung als Standard
    • Pseudonymisierung und Anonymisierung

  • Internationale Datentransfers

    • Angemessenheitsbeschlüsse prüfen
    • Standard Contractual Clauses (SCCs)
    • Transfer Impact Assessments (TIAs)
    • Data Privacy Framework Zertifizierungen für US-Anbieter

Datenschutzübersicht

Übersicht über unsere Datenschutz- und Sicherheitsmaßnahmen

KI-Modelle & Anbieter

Interaktive Auswahl von KI-Modellen mit automatischer Anzeige der benötigten Anbieter für Compliance und Datenschutz