info@intercolo.net +49 (0)69 564060 Frankfurt am Main
Anmelden Registrieren
Art. 32 DSGVO

Technisch-organisatorischeMaßnahmen (TOM)

Dokumentation der technischen und organisatorischen Maßnahmen der Intercolo GmbH zum Schutz personenbezogener Daten.

Art. 32 DSGVO Rechenzentrum Frankfurt Stand: 2026
Abschnitt 01

Verantwortliche Stelle

Intercolo GmbH
Geschäftsführer: Maxim Gade
Carl-Goerdeler Str. 114
60320 Frankfurt am Main
Deutschland
info@intercolo.net +49 69 56 40 60
Abschnitt 02

Beschreibung der Verarbeitung

Die Intercolo GmbH betreibt eine hochverfügbare Infrastruktur für:

  • Object Storage (S3-kompatibel)
  • Content Delivery Network (CDN)
  • Netzwerk- und Hosting-Dienstleistungen

Die Verarbeitung erfolgt ausschließlich im Rahmen von Hosting- und Infrastrukturleistungen im Auftrag der Kunden.

Abschnitt 03

Datenverarbeitungsstandort

Die Verarbeitung und Speicherung sämtlicher Daten erfolgt ausschließlich in Deutschland (Frankfurt am Main). Es erfolgt keine Übermittlung personenbezogener Daten in Drittstaaten durch die Intercolo GmbH.

Abschnitt 04

Zutrittskontrolle & physische Sicherheit

Die Systeme befinden sich in einem hochsicheren, ISO-27001-zertifizierten Rechenzentrum der Aixit GmbH in Frankfurt am Main (ca. 4.000 m² Datacenter-Fläche).

Zutrittskontrolle

  • Mehrstufige Zugangskontrollen (Zutrittskarten, Chipsysteme, mechanische Sicherungen)
  • Videoüberwachung der Datacenter-Bereiche rund um die Uhr
  • Zugang nur für autorisierte Personen
  • Trennung von Kunden- und Betriebsbereichen
  • 24/7 Überwachung durch den Rechenzentrumsbetreiber

Stromversorgung & Notstrom

  • Redundante Stromversorgung
  • Unterbrechungsfreie Stromversorgung (USV) mit neuester Technologie
  • Notstromversorgung durch Dieselgeneratoren

Klimatisierung & Brandschutz

  • Redundante Klimatisierung zur Sicherstellung optimaler Betriebstemperaturen
  • Brandfrüherkennungssysteme
  • Brandschutzzonen und Löschsysteme

Netzwerk

  • Redundantes Netzdesign für maximale Ausfallsicherheit
  • Eigenes Autonomes System (ASN) mit unabhängigem BGP-Routing

Physischer Zugriff ist ausschließlich autorisierten Mitarbeitern der Intercolo GmbH sowie autorisiertem Rechenzentrumspersonal möglich.

Abschnitt 05

Zugangskontrolle

Der Zugriff auf Systeme erfolgt ausschließlich über gesicherte Kommunikationswege:

  • VPN-geschützte Zugänge für administrative Systeme
  • Multi-Faktor-Authentifizierung (MFA) für privilegierte Accounts
  • SSH-Zugriff ausschließlich mittels Key-basierter Authentifizierung
  • Keine öffentlichen Admin-Zugänge

Administrative Interfaces sind nicht öffentlich erreichbar.

Abschnitt 06

Zugriffskontrolle (Berechtigungskonzept)

Es besteht ein rollenbasiertes Zugriffskonzept:

  • Trennung zwischen Administratoren, Support und Kunden
  • Zugriff nach dem Prinzip der minimalen Rechtevergabe (Least Privilege)
  • Zugriff auf Kundendaten nur im Rahmen der Support-Tätigkeit

Zugriffe werden protokolliert und nachvollziehbar dokumentiert.

Abschnitt 07

Weitergabekontrolle

Die Datenübertragung erfolgt verschlüsselt über TLS (HTTPS).

Es erfolgt:

  • keine unkontrollierte Weitergabe personenbezogener Daten
  • keine Weitergabe ohne vertragliche Grundlage
  • keine Nutzung externer Cloudanbieter zur Datenverarbeitung
Abschnitt 08

Eingabekontrolle & Protokollierung

Zur Sicherstellung der Nachvollziehbarkeit sind folgende Maßnahmen implementiert:

  • Zentrale Logging-Systeme
  • Monitoring mit Prometheus und Grafana
  • Ereignisbasierte Alarmierung (Alerting)
  • Protokollierung administrativer Zugriffe
Abschnitt 09

Auftragskontrolle

Die Intercolo GmbH setzt grundsätzlich keine externen Auftragsverarbeiter ein, die Zugriff auf personenbezogene Daten haben.

Externe Dienstleister (z. B. Rechenzentrumsbetreiber) haben keinen Zugriff auf Dateninhalte.

Zahlungsdienstleister agieren als eigenständig Verantwortliche.

Abschnitt 10

Verfügbarkeitskontrolle

Zur Sicherstellung der Verfügbarkeit werden folgende Maßnahmen eingesetzt:

  • Betrieb eigener Hardware und eigener Netzwerkinfrastruktur
  • Redundante Systemarchitektur
  • DDoS-Schutz durch eigene Systeme
  • Netzwerk-Firewalls und Access-Control-Listen (ACLs)
  • 24/7 Monitoring und Bereitschaft
Abschnitt 11

Trennungskontrolle

Zur Vermeidung unbefugter Datenverarbeitung zwischen Mandanten:

  • Logische Mandantentrennung auf Softwareebene
  • Netzwerksegmentierung mittels VLANs
  • Zugriffskontrolle auf Systemebene
Abschnitt 12

Datenspeicherung und Backupkonzept

Die Datenspeicherung erfolgt innerhalb der Infrastruktur der Intercolo GmbH in Frankfurt am Main.

  • Replikation ist optional konfigurierbar durch den Kunden
  • Eine automatische Datensicherung (Backup) erfolgt nicht
  • Kunden sind für Backup-Strategien eigenverantwortlich
Abschnitt 13

Incident Response & Sicherheitsmanagement

Die Intercolo GmbH betreibt ein kontinuierliches Monitoring aller Systeme.

  • Echtzeit-Alerting bei Anomalien
  • 24/7 Bereitschaft
  • Behandlung von Sicherheitsvorfällen nach internen Best-Practice-Prozessen
Abschnitt 14

Patchmanagement & Systemaktualisierung

Zur Gewährleistung der Systemsicherheit werden regelmäßige Aktualisierungen durchgeführt:

  • Sicherheitskritische Patches werden zeitnah nach Veröffentlichung eingespielt
  • Regelmäßige Aktualisierung von Betriebssystemen, Firmware und Anwendungssoftware
  • Überwachung relevanter Sicherheitskanäle (CVE-Datenbanken, Hersteller-Advisories)
  • Priorisierung nach Schweregrad (CVSS) und Relevanz für die eigene Infrastruktur
  • Dokumentation durchgeführter Updates
Abschnitt 15

Verschlüsselung

  • Datenübertragung: TLS-verschlüsselt
  • Speicherung: derzeit keine Verschlüsselung auf Datenträgerebene (Encryption at Rest)
  • Kunden haben die Möglichkeit, Daten vor dem Upload clientseitig zu verschlüsseln
Abschnitt 16

Mitarbeiter & organisatorische Maßnahmen

  • Zugriff auf Systeme nur für autorisierte Mitarbeiter
  • Verpflichtung auf Vertraulichkeit
  • Mindestens jährliche Sensibilisierung im Bereich IT-Sicherheit und Datenschutz
Abschnitt 17

Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen gemäß Art. 37 DSGVO nicht erfüllt sind.

Abschnitt 18

Löschung von Daten

Nach Vertragsbeendigung oder bei ausbleibender Zahlung werden Daten gemäß interner Prozesse gelöscht.

Abschnitt 19

Zertifizierungen

Das eingesetzte Rechenzentrum der Aixit GmbH ist nach ISO 27001 zertifiziert (Informationssicherheits-Managementsystem).

Anlage

Liste der eingesetzten Dienstleister / Subunternehmer

1. Rechenzentrumsbetreiber

Colocation-Partner
Aixit GmbH
Standort: Frankfurt am Main, Deutschland
Rolle: Bereitstellung physischer Infrastruktur (Colocation)

Zugriff auf Daten: Kein Zugriff auf Dateninhalte, ausschließlich physischer Zugang zur Infrastruktur.

2. Zahlungsdienstleister (eigenständig Verantwortliche)

Stripe Payments Europe Ltd.
Rolle: Zahlungsabwicklung
Datenschutzrolle: Eigenständig Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO

PayPal (Europe) S.à r.l. et Cie, S.C.A.
Rolle: Zahlungsabwicklung
Datenschutzrolle: Eigenständig Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO

3. Interne Systeme

Folgende Systeme werden vollständig intern betrieben und stellen keine externen Auftragsverarbeiter dar:

  • E-Mail-Systeme
  • Ticketsystem
  • Monitoring (Prometheus, Grafana)
  • Netzwerk- und Storage-Infrastruktur

4. Hinweis

Es werden keine weiteren Subunternehmer eingesetzt, die Zugriff auf personenbezogene Daten haben.