Costor Bau / Rechtliches
Stand des Dokuments: 2. Juli 2026
Technisch-organisatorische Maßnahmen / TOMs
1. Ziel der Maßnahmen
Dieses Dokument beschreibt technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten in Costor Bau.
Die Maßnahmen werden entsprechend dem Stand der Technik, dem Risiko, der Art der verarbeiteten Daten und der wirtschaftlichen Zumutbarkeit umgesetzt und regelmäßig überprüft.
2. Zugriffskontrolle
Der Zugriff auf Costor Bau erfolgt über Benutzerkonten. Administrative Zugriffe sind auf berechtigte Personen beschränkt.
Zugriffe auf Produktionssysteme, Datenbanken, Server, Backups und Konfigurationen werden nur erteilt, soweit sie für Betrieb, Wartung, Support oder Sicherheit erforderlich sind.
3. Benutzer- und Rechteverwaltung
Kunden verwalten Benutzer innerhalb ihrer Organisation. Daten werden logisch nach Organisationen getrennt.
Benutzer sollen nur die Rechte erhalten, die für ihre Aufgaben erforderlich sind.
4. Authentifizierung und Passwörter
Die Anmeldung erfordert Zugangsdaten. Passwörter werden technisch geschützt gespeichert. Benutzer müssen Zugangsdaten vertraulich behandeln und dürfen Konten nicht gemeinsam nutzen.
5. Transportverschlüsselung
Die Kommunikation mit Costor Bau erfolgt über HTTPS/TLS. Zertifikate und Weiterleitungen werden über die eingesetzte Infrastruktur verwaltet.
6. Hosting und Infrastruktur
Costor Bau wird containerisiert betrieben. Technische Komponenten können insbesondere Web-Anwendung, API, Datenbank, Redis, Worker, Storage und Reverse Proxy umfassen.
Hosting und Infrastruktur werden über beauftragte Anbieter bereitgestellt. Die aktuelle Anbieterstruktur ist in der Liste der Subprozessoren beschrieben.
7. Backups
Backups dienen der Wiederherstellung im Fall technischer Störungen, Datenverlust oder Sicherheitsvorfällen.
Backup-Frequenz, Aufbewahrung und Wiederherstellungsverfahren richten sich nach aktueller technischer Konfiguration. Backups werden mit beschränktem Zugriff verwaltet und im Rahmen regulärer Zyklen überschrieben oder gelöscht.
8. Protokollierung und Monitoring
Costor Bau kann System-, Sicherheits- und Diagnoselogdaten verarbeiten. Logdaten sollen keine Passwörter, vollständigen Zahlungsdaten oder unnötigen Inhalte enthalten.
Logdaten werden für einen begrenzten Zeitraum aufbewahrt, soweit sie für Sicherheit, Diagnose, Missbrauchsschutz oder Nachweiszwecke erforderlich sind.
9. Mandantentrennung / Organisationslogik
Daten werden logisch nach Organisationen getrennt. Zugriffe innerhalb der Anwendung werden anhand von Organisation, Benutzer, Rolle und Berechtigung gesteuert.
10. Supportzugriff
Supportzugriffe erfolgen nur, soweit sie zur Bearbeitung eines Problems, zur Wartung, zur Sicherheit oder zur Vertragserfüllung erforderlich sind.
Supportmitarbeiter oder beauftragte Personen dürfen Daten nur im erforderlichen Umfang einsehen.
11. Umgang mit Sicherheitsvorfällen
Sicherheitsvorfälle werden bewertet, dokumentiert und nach Schwere priorisiert. Soweit gesetzlich erforderlich, werden betroffene Kunden oder zuständige Stellen informiert.
12. Verfügbarkeit und Wiederherstellung
SoftCode setzt angemessene Maßnahmen zur Verfügbarkeit und Wiederherstellung ein. Eine bestimmte Verfügbarkeit oder ein bestimmtes Wiederherstellungsziel wird nur geschuldet, wenn dies ausdrücklich vereinbart wurde.
13. Vertraulichkeit
Personen mit Zugriff auf personenbezogene Daten werden zur Vertraulichkeit verpflichtet oder sind durch gesetzliche oder vertragliche Pflichten gebunden.
14. Subprozessoren
Subprozessoren werden nach Erforderlichkeit, Zweck, Risiko und geeigneten vertraglichen Regelungen ausgewählt. Die Liste der Subprozessoren wird separat veröffentlicht.
15. Regelmäßige Überprüfung
Die Maßnahmen werden an technische Entwicklung, erkannte Risiken, neue Funktionen und organisatorische Änderungen angepasst.