KlarKonform Docs
DSGVO

Standorte

Arbeitsumgebungen und Sicherheit nach Art. 32 DSGVO

Die Standortverwaltung dokumentiert alle physischen und virtuellen Arbeitsumgebungen, in denen personenbezogene Daten verarbeitet werden. Jeder Standort hat spezifische Sicherheitsanforderungen.

Standorttypen

TypBeschreibungTypische TOMs
BüroFeste GeschäftsräumeZutrittskontrolle, Serverraum, Clean Desk
HomeofficeArbeiten von zu HauseVPN-Pflicht, Bildschirmsperre, separater Arbeitsbereich
HybridWechsel zwischen Büro und RemoteKombination aus beiden
RemoteMobiles Arbeiten (unterwegs)Sichtschutzfolie, verschlüsselte Geräte
AndereSonderstandorteIndividuell definieren

Neuen Standort anlegen

Pflichtfelder

FeldBeschreibung
NameBezeichnung des Standorts
TypBüro, Homeoffice, etc.
AdresseBei physischen Standorten
VerantwortlicherStandortverantwortlicher

Optionale Angaben

FeldBeschreibung
BeschreibungZusätzliche Informationen
MitarbeiteranzahlWie viele arbeiten hier?
Verarbeitete DatenWelche Datenkategorien?
Besondere RisikenStandortspezifische Risiken

TOMs pro Standort

Warum standortspezifische TOMs?

Nicht jede Maßnahme ist an jedem Standort relevant:

TOM: Zutrittskontrolle Serverraum
├── Hauptbüro München: Umgesetzt (Chipkarte + PIN)
├── Zweigstelle Hamburg: Umgesetzt (Schlüssel)
├── Homeoffice: Nicht anwendbar
└── Außendienst: Nicht anwendbar

TOM: VPN-Pflicht für Datenzugriff
├── Hauptbüro München: Nicht anwendbar (internes Netz)
├── Zweigstelle Hamburg: Nicht anwendbar (internes Netz)
├── Homeoffice: Umgesetzt
└── Außendienst: Umgesetzt

TOMs einem Standort zuordnen

  1. Standort öffnen
  2. Tab "Technische und organisatorische Maßnahmen"
  3. "TOM zuordnen" klicken
  4. TOM auswählen
  5. Standortspezifischen Status setzen

Empfohlene TOMs nach Standorttyp

Bürostandort

KategorieEmpfohlene Maßnahmen
ZutrittskontrolleSchließanlage, Besucherregelung, Videoüberwachung
ZugangskontrolleAD-Authentifizierung, Passwortrichtlinie
ZugriffskontrolleBerechtigungskonzept, Protokollierung
VerfügbarkeitUSV, Klimatisierung, Brandschutz

Homeoffice

KategorieEmpfohlene Maßnahmen
ZugangskontrolleVPN-Pflicht, 2FA, Geräteverschlüsselung
VertraulichkeitSeparater Arbeitsbereich, Bildschirmsperre
IntegritätAutomatische Updates, Endpoint Protection
OrganisatorischHomeoffice-Vereinbarung, Schulung

Mobiles Arbeiten

KategorieEmpfohlene Maßnahmen
ZugangskontrolleVPN, 2FA, MDM-Lösung
VertraulichkeitSichtschutzfolie, keine öffentlichen WLANs
VerfügbarkeitOffline-Fähigkeit, Gerätebackup
OrganisatorischVerhaltensrichtlinie, Verlustmeldung

Mitarbeiter und Standorte

Mitarbeiter einem Standort zuordnen

Im Mitarbeiterprofil kann der primäre Arbeitsstandort festgelegt werden:

Mitarbeiter: Max Mustermann
├── Primärer Standort: Homeoffice
├── Zusätzliche Standorte: Hauptbüro (bei Bedarf)
└── Geltende TOMs: Alle TOMs des Homeoffice + Büro

Standortwechsel dokumentieren

Bei Wechsel des Arbeitsorts:

  1. Mitarbeiterprofil aktualisieren
  2. Prüfen, ob neue Vereinbarungen nötig (z.B. Homeoffice-Vereinbarung)
  3. Zugangsberechtigungen anpassen

Standort-Compliance

Compliance-Prüfung

Für jeden Standort prüfen:

  • Alle relevanten TOM-Kategorien abgedeckt?
  • TOMs tatsächlich umgesetzt?
  • Mitarbeiter geschult?
  • Regelmäßige Überprüfung?

Standort-Audit

Jährlich für jeden Standort:

Standort-Audit: Hauptbüro München
Datum: 15.01.2025
Prüfer: IT-Sicherheit

Zutrittskontrolle:
[✓] Schließanlage funktioniert
[✓] Besucherbuch geführt
[✓] Serverraum separat gesichert

Technische Sicherheit:
[✓] USV funktionsfähig (Test durchgeführt)
[✓] Klimaanlage funktioniert
[!] Brandmelder: Batterie wechseln

Organisatorisch:
[✓] Clean-Desk-Policy eingehalten
[✓] Bildschirmsperren aktiviert
[✓] Keine sensiblen Unterlagen sichtbar

Maßnahmen:
- Brandmelder-Batterie wechseln (bis 31.01.2025)

Besondere Standorttypen

Rechenzentrum / Cloud

Wenn Sie eigene Server betreiben oder Cloud-Dienste nutzen:

Standort: Azure West Europe
Typ: Cloud-Rechenzentrum
Anbieter: Microsoft
Land: Niederlande (EU)
Zertifizierungen:
├── ISO 27001
├── SOC 2 Type II
└── C5 (BSI)
AVV: Microsoft DPA

Externer Dienstleister

Wenn Dienstleister Zugang zu Ihren Daten haben:

Standort: IT-Dienstleister Server
Typ: Auftragsverarbeiter
Anbieter: IT-Service GmbH
Adresse: Musterstraße 1, 12345 Musterstadt
AVV: Ja (vom 01.01.2024)
Letzte Prüfung: 15.06.2024
TOMs: Gemäß AVV Anlage 1

Verknüpfungen

Mit Verarbeitungstätigkeiten

Standort: Hauptbüro München
└── Verarbeitungstätigkeiten:
    ├── Lohnabrechnung (Personaldaten)
    ├── Kundenbetreuung (Kundendaten)
    └── Buchhaltung (Finanzdaten)

Mit Anwendungen

Standort: Homeoffice
└── Zugelassene Anwendungen:
    ├── Microsoft 365 (via VPN)
    ├── Salesforce CRM (via Browser)
    └── DATEV (via Citrix)

Best Practices

Dokumentation

  • Alle Standorte erfasst
  • Standorttypen korrekt zugewiesen
  • TOMs standortspezifisch dokumentiert
  • Verantwortlichkeiten klar

Regelmäßige Prüfung

  • Jährliches Standort-Audit
  • TOM-Umsetzung verifizieren
  • Mitarbeiterzuordnungen aktuell
  • Neue Standorte zeitnah erfassen

Änderungsmanagement

  • Bei neuem Standort: Vollständige Erfassung
  • Bei Standortschließung: Archivieren, nicht löschen
  • Bei Umzug: Daten migrieren, alte Adresse archivieren

Previous

Websites

Next

Personendaten & Betroffenenrechte

On this page