PhotoRobot Technische und organisatorische Maßnahmen (TOMs)
Dieses Dokument definiert die technischen und organisatorischen Maßnahmen (TOMs) von PhotoRobot gemäß Artikel 32 DSGVO: Version 1.0 – PhotoRobot Edition, uni-Robot Ltd., Tschechische Republik. Das Dokument wurde zuletzt am 31. Dezember 2025 aktualisiert und unterstützt die Einhaltung der vertraglichen Verpflichtungen von PhotoRobot gemäß DPA und SLA.
1. Einführung – PhotoRobot TOMs
Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen (TOMs), die von uni-Robot Ltd. (PhotoRobot) umgesetzt wurden, um ein angemessenes Sicherheitsniveau für die Verarbeitung personenbezogener Daten gemäß Artikel 32 der Datenschutzverordnung (DSGVO) sicherzustellen.
Diese Maßnahmen gelten für den Betrieb von PhotoRobot-Diensten, einschließlich, aber nicht beschränkt auf:
- PhotoRobot steuert Cloud
- PhotoRobot Cloud 2.0
- PhotoRobot steuert lokal (bei Verbindung mit Cloud-Diensten)
- APIs und zugehörige Online-Dienste
- Unterstützende Infrastruktur und interne Systeme
Dieses Dokument dient als maßgebende Beschreibung der PhotoRobot-TOMs und kann in Data Processing Agreements (DPAs), Audits und Sicherheitsüberprüfungen von Unternehmen referenziert werden.
2. Umfang und Anwendbarkeit
Die hier beschriebenen TOMs gelten für:
- Persönliche Daten, die im Auftrag der Kunden im Rahmen der PhotoRobot-Dienstleistungen verarbeitet werden,
- Interne Betriebsdaten, die notwendig sind, um die Dienste bereitzustellen, zu warten und zu sichern
Die Maßnahmen sind unter Berücksichtigung von Folgendem konzipiert:
- Der Stand der Technik
- Implementierungskosten
- Art, Umfang, Kontext und Zwecke der Verarbeitung
- Die Risiken für die Rechte und Freiheiten natürlicher Personen
3. Organisatorische Sicherheitsmaßnahmen
3.1. Informationssicherheitsgovernance
PhotoRobot pflegt interne Richtlinien und Verfahren zur Informationssicherheit, zum Datenschutz und zur akzeptablen Nutzung von Systemen.
Die Verantwortlichkeiten für Sicherheit und Datenschutz sind innerhalb der Organisation klar definiert, einschließlich benannter Ansprechpartner für Datenschutz- und Rechtsangelegenheiten.
3.2. Vertraulichkeit und Bewusstsein der Mitarbeiter
- Mitarbeiter und Auftragnehmer sind an Vertraulichkeitspflichten gebunden
- Der Zugang zu Systemen erfolgt auf Basis von Need-to-know-Kriterien
- Sicherheits- und Datenschutzbewusstsein werden als Teil der Onboarding und laufenden Abläufe gefördert
4. Zugangskontrolle und Autorisierung
4.1. Rollenbasierte Zugriffskontrolle (RBAC)
Der Zugriff auf Systeme und Kundendaten wird nach rollenbasierten Zugriffskontrollprinzipien (RBAC) gesteuert.
- Benutzer erhalten die minimalen Privilegien, die notwendig sind, um ihre Aufgaben auszuführen
- Administrativer Zugriff ist auf autorisiertes Personal beschränkt
4.2. Authentifizierung
- Starke Authentifizierungsmechanismen werden für interne und externe Systeme eingesetzt
- Passwortrichtlinien und Zugangsdaten werden sicher verwaltet
- Zugangsdaten dürfen nicht weitergegeben werden
5. Infrastruktur und Netzwerksicherheit
5.1. Hosting und Cloud-Infrastruktur
PhotoRobot-Dienste werden auf professionellen Cloud-Infrastrukturanbietern (z. B. Google Cloud Platform) gehostet, die branchenübliche physische und Umweltsicherheitsmaßnahmen implementieren.
5.2. Netzwerkschutz
- Netzwerkverkehr wird durch Firewalls und Zugriffskontrollen geschützt
- Öffentlich zugängliche Dienste sind von internen Systemen isoliert
- Infrastrukturkomponenten werden auf Verfügbarkeit und Sicherheitsereignisse überwacht
6. Verschlüsselung und Datenschutz
6.1. Daten im Transit
- Daten, die zwischen Clients und PhotoRobot-Diensten übertragen werden, werden mithilfe von TLS/HTTPS verschlüsselt
- Sichere Kommunikationskanäle werden für APIs und Cloud-Schnittstellen erzwungen.
6.2. Daten in Ruhe
- Daten, die innerhalb der Cloud-Infrastruktur gespeichert sind, werden durch Verschlüsselungsmechanismen geschützt, die vom Hosting-Anbieter bereitgestellt werden
- Der Zugriff auf gespeicherte Daten ist auf autorisierte Systeme und Personal beschränkt
7. Protokollierung, Überwachung und Vorfallerkennung
7.1. Holzeinschlag
- Systemprotokolle werden für betriebliche und sicherheitsrelevante Ereignisse erstellt
- Protokolle werden für Fehlerbehebung, Überwachung und Vorfallanalyse verwendet.
7.2. Überwachung
- Die Dienste werden auf Verfügbarkeit, Leistung und Anomalien überwacht
- Warnungen werden bei abnormalem Verhalten oder Servicestörungen ausgelöst
8. Incident Response und Breach Management
PhotoRobot pflegt Verfahren zur Bearbeitung von Sicherheitsvorfällen, einschließlich persönlicher Datenpannen.
Zu diesen Verfahren gehören:
- Identifikation und Bewertung von Vorfällen
- Minderungs- und Eindämmungsmaßnahmen
- Interne Eskalation
- Kommunikation mit Kunden, wo erforderlich, Kommunikation mit Kunden
- Einhaltung der DSGVO-Meldepflichten (Artikel 33 und 34 DSGVO)
9. Backup, Verfügbarkeit und Geschäftskontinuität
9.1. Backups
- Datensicherungen werden im Rahmen der Standard-Cloud-Operationen durchgeführt
- Backups werden für Katastrophenwiederherstellung und Servicekontinuität eingesetzt
9.2. Verfügbarkeit
- Es werden angemessene Anstrengungen unternommen, um eine hohe Verfügbarkeit der Dienstleistungen aufrechtzuerhalten
- Geplante Wartungsmaßnahmen können vorübergehende Betriebsunterbrechungen verursachen
Details zu Verfügbarkeitszielen und Reaktionszeiten sind separat in den einschlägigen Service Level Agreements (SLAs) beschrieben.
10. Sichere Entwicklung und Change Management
10.1. Sichere Entwicklungspraktiken
PhotoRobot folgt strukturierten Entwicklungs- und Bereitstellungsprozessen, darunter:
- Trennung von Entwicklungs-, Test- und Produktionsumgebungen, wo angebracht
- Kontrollierte Einsatzverfahren
- Versionskontrolle und Änderungsverfolgung
10.2. Updates und Patching
- Softwarekomponenten werden aktualisiert, um Sicherheitslücken zu beheben
- Kritische Updates werden auf Basis der Risikobewertung priorisiert
11. Subprozessoren und Dritte
PhotoRobot kann Subprozessoren einsetzen, um die Serviceermittlung zu unterstützen (z. B. Hosting, E-Mail-Dienste).
- Subprozessoren werden basierend auf ihren Sicherheits- und Datenschutzpraktiken ausgewählt
- Eine aktuelle Liste der Subprozessoren wird separat geführt und öffentlich zugänglich gemacht
12. Physische Sicherheit
Der physische Zugriff auf Server und Rechenzentren wird vom Cloud-Infrastrukturanbieter verwaltet und umfasst:
- Zugangskontrollen
- Überwachung und Überwachung
- Umweltschutz
PhotoRobot betreibt keine eigenen Rechenzentren.
13. Datenminimierung und -speicherung
- Es werden nur für die Dienstbereitstellung notwendige Daten verarbeitet
- Personenbezogene Daten werden nur so lange aufbewahrt, wie es für vertragliche, rechtliche oder betriebliche Zwecke erforderlich ist
- Lösch- und Aufbewahrungsfristen für Daten sind in relevanten Richtlinien und Vereinbarungen definiert
14. Überprüfung und Aktualisierungen
Diese technischen und organisatorischen Maßnahmen werden regelmäßig überprüft und bei Bedarf aktualisiert, um Folgendes widerzuspiegeln:
- Veränderungen in der Technologie
- Änderungen im Dienst
- Sich entwickelnde Sicherheits- und regulatorische Anforderungen
Wesentliche Änderungen können den Kunden gegebenenfalls mitgeteilt werden.
15. Kontaktinformationen
Für Fragen zu diesen technischen und organisatorischen Maßnahmen:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Prag 1
Tschechische Republik
E-Mail: legal@photorobot.com
Abschließender Hinweis
Diese TOMs beschreiben die aktuellen technischen und organisatorischen Maßnahmen von PhotoRobot und sollen den Kunden Transparenz und Sicherheit bieten. Sie stellen keine Garantie für unterbrechungsfreien Service oder absolute Sicherheit dar, sondern spiegeln einen risikobasierten und proportionalen Ansatz für Datenschutz und Informationssicherheit wider.