Technische und Organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter implementiert die folgenden technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für Gesundheitsdaten zu gewährleisten.

1. Vertraulichkeit (Schutz vor unbefugter Preisgabe)

  • Verschlüsselung im Ruhezustand (Data at Rest): Alle personenbezogenen Daten werden mit dem Industriestandard AES-256 verschlüsselt gespeichert.
  • Verschlüsselung bei Übertragung (Data in Transit): Die gesamte Kommunikation zwischen Nutzer, Applikation und Unterverarbeitern erfolgt über verschlüsselte Verbindungen mit TLS 1.2 oder höher.
  • Verschlüsselung während der Verarbeitung (Data in Use): Durch den Einsatz von Confidential Computing (Confidential VMs) für die Datenbanksysteme erfolgt die Verarbeitung in isolierten Enklaven. Die Daten sind somit auch während der Laufzeit im Arbeitsspeicher hardwareseitig verschlüsselt und vor unbefugten Zugriffen (auch durch den Infrastruktur-Provider) geschützt.
  • Datenbank-Sicherheit: Die logische Trennung der Kundendaten erfolgt auf Datenbankebene mittels Row-Level Security (RLS). Dies stellt sicher, dass Nutzer technisch nur auf die Datensätze zugreifen können, für die sie eine explizite Berechtigung besitzen.
  • Zugriffskontrolle: Der Zugriff auf administrative Systeme ist auf ein Minimum beschränkt (Need-to-Know-Prinzip) und zwingend durch Zwei-Faktor-Authentifizierung (2FA) abgesichert.

2. Integrität und Eingabekontrolle

  • Mandantentrennung: Eine strikte logische Trennung der Daten verschiedener Verantwortlicher ist durch die Architektur der Applikation und der Datenbank (RLS) sichergestellt.
  • Protokollierung: Administrative Zugriffe auf die Cloud-Infrastruktur sowie systemrelevante Konfigurationsänderungen werden durch den Infrastruktur-Provider (Google Cloud Audit Logs) protokolliert, um eine nachträgliche Überprüfung zu ermöglichen.

3. Verfügbarkeit und Belastbarkeit

  • Datenresidenz (Deutschland-Prinzip): Die Verarbeitung und Speicherung erfolgt ausschließlich in der Google Cloud Region Frankfurt (europe-west3).
  • Serverless Architektur: Durch den Einsatz von Google Cloud Run werden Applikationsinstanzen bedarfsgerecht skaliert und nach der Verarbeitung automatisch beendet, was die Angriffsfläche minimiert.
  • Redundanz: Nutzung hochverfügbarer Cloud-Infrastruktur mit automatischer Hardware-Redundanz und Ausfallsicherung innerhalb der gewählten Region.
  • Backup-Konzept: Regelmäßige, verschlüsselte Backups stellen die Wiederherstellbarkeit der Systeme im Katastrophenfall sicher.

4. Löschkonzept und Zero Data Retention (ZDR)

  • KI-Spezifische Schutzmaßnahmen: Für alle eingesetzten KI-Dienste (z. B. Speech-to-Text, LLMs) bestehen Zero Data Retention (ZDR) Vereinbarungen. Eingabedaten (Audio-Rohdaten, Prompts) werden unmittelbar nach Abschluss der Verarbeitung gelöscht.
  • Ausschluss von KI-Training: Eine Verwendung der vom Verantwortlichen übermittelten Daten zum Training von Modellen des Auftragsverarbeiters oder dessen Unterverarbeitern ist technisch und vertraglich ausgeschlossen.
  • Automatisierte Löschung: Transkripte und Entwürfe unterliegen einer automatisierten Löschroutine (gemäß der in Anlage 1 definierten Fristen), sofern keine manuelle Löschung durch den Nutzer erfolgt.

5. Physische Sicherheit

  • Die Verarbeitung erfolgt in hochsicheren Rechenzentren der Google Cloud, die unter anderem über Zertifizierungen gemäß ISO 27001 und BSI C5 verfügen. Der physische Zutritt wird durch biometrische Kontrollen, Sicherheitspersonal und Videoüberwachung rund um die Uhr geschützt.
Helia - AI Documentation for Therapy and Rehabilitation Practices