nuumera
  • Willkommen
  • Funktionen
  • Branchen
  • Support
    • Kontakt
    • Wissensdatenbank
✕
  • Willkommen
  • Funktionen
  • Branchen
  • Support
    • Kontakt
    • Wissensdatenbank
nuumera
  • Willkommen
  • Funktionen
  • Branchen
  • Support
    • Kontakt
    • Wissensdatenbank
✕
  • Willkommen
  • Funktionen
  • Branchen
  • Support
    • Kontakt
    • Wissensdatenbank

Datenschutz: Technische & org. Maßnahmen

  • Home
  • Administratives Datenschutz, GoBD
  • Datenschutz: Technische & org. Maßnahmen

Um unsere Leistungen bereitstellen zu können, verarbeiten wir personenbezogene Daten unserer Nutzer. Der Schutz Ihrer Daten hat dabei für uns höchste Priorität.
Unsere vollständige Datenschutzerklärung können Sie jederzeit auf unserer Website einsehen.
Grundsätzlich unterscheiden wir bei Nuumera zwischen zwei Kategorien von Daten: „Allgemeine Daten von Interessenten und Kunden“ sowie „Buchhaltungsdaten unserer Kunden“.

Allgemeine Daten von Interessenten und Kunden

Hierunter fallen sämtliche Informationen, die wir im Rahmen von Anfragen, bei der Einrichtung eines Testzugangs, zur Abrechnung von Nutzerkonten oder durch Ihre Anmeldung zu unserem Newsletter erhalten. Diese Daten umfassen ausdrücklich keine Buchhaltungsdaten.

Auf diese Informationen haben ausgewählte Mitarbeiter von Nuumera sowie bestimmte Auftragsverarbeiter Zugriff. Dazu zählen unter anderem unser CRM-System, unser E-Mail-Dienstleister, unsere Bank sowie unser Telefonanbieter.

Diese Daten werden besonders geschützt. Entsprechende technische und organisatorische Maßnahmen setzen wir konsequent um, um ein hohes Sicherheitsniveau sicherzustellen.

Buchhaltungsdaten unserer Kunden

Für die Buchhaltungsdaten unserer Kunden gelten besonders strenge Sicherheitsvorkehrungen:

  • Stark eingeschränkter Mitarbeiterkreis: Nur vier Mitarbeitende verfügen technisch über die Möglichkeit, auf Buchhaltungsdaten zuzugreifen – darunter die Geschäftsführung, der CTO sowie der Head of Backend Development.
  • Umfassende Schutzmaßnahmen: Die Serverinfrastruktur ist durch mehrere Sicherheitsebenen gegen externe Zugriffe abgesichert.
  • Tägliche Datensicherungen mit unterschiedlichen Backup-Methoden auf räumlich getrennten Servern ermöglichen eine schnelle Wiederherstellung, selbst bei seltenen Ereignissen wie Hardwareausfällen.
  • Nur zwei Auftragsverarbeiter (Hosting und OCR) kommen mit buchhaltungsrelevanten Daten in Berührung.
  • Deutsches Rechenzentrum mit Zertifizierungen nach ISO 9001, 14001, 22301, 27001, 27018 und 50001; regelmäßige Sicherheitsaudits auf Bankenstandard.

Technische und organisatorische Maßnahmen

Nachfolgend geben wir Ihnen einen Überblick über unsere technischen und organisatorischen Datenschutzmaßnahmen. Eine vollständige und detaillierte Auflistung finden Sie in unserer Vereinbarung zur Auftragsverarbeitung, die Ihnen als Download zur Verfügung steht.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Durch verschiedene Maßnahmen wird sichergestellt, dass sowohl der Zutritt als auch der Zugang Unbefugter zu Datenverarbeitungsanlagen verhindert wird.

A) Zutrittskontrolle

Geeignete Maßnahmen stellen sicher, dass unbefugte Personen keinen Zugang zu Datenverarbeitungsanlagen erhalten, in denen personenbezogene Daten verarbeitet werden:

  • Schließsysteme mit Codesperre
  • Chipkarten- bzw. Transpondersysteme
  • Besucherregistrierung und -protokollierung am Empfang
  • Zutritt für Besucher ausschließlich in Begleitung von Mitarbeitenden
  • 24/7 Sicherheitsdienst im Eingangs- und Außenbereich

Die Büro- und Geschäftsräume sind durch verschlossene Türen und geeignete Schließsysteme gesichert. Während der Geschäftszeiten gilt eine verbindliche Besucherregelung.

Im Rechenzentrum kommen unter anderem folgende Maßnahmen zum Einsatz:

  • Zutritt nur über personalisierte RFID-Zugangskarten
  • Besucher nur nach vorheriger Anmeldung und stets in Begleitung
  • Rund-um-die-Uhr-Wachschutz an 365 Tagen im Jahr
  • Alarmanlagen mit Anbindung an lokale Polizeidienststellen
  • Separat gesichertes Rechenzentrum mit eigenem Zugang
  • Schleusensysteme, Videoüberwachung und Zugangsdokumentation
  • Verschlossene Serverracks mit gesondert gesicherten Schlüsseln

B) Zugangskontrolle

Diese Maßnahmen verhindern, dass IT-Systeme von Unbefugten genutzt werden können:

  • Authentifizierung per Benutzername und sicherem Passwortverfahren
  • Aktuelle Antivirus- und Endpoint-Security-Lösungen
  • VPN-Verbindungen bei externem Zugriff
  • Sperrung externer Schnittstellen (z. B. USB)
  • Automatische Bildschirmsperren
  • Verschlüsselung von Datenträgern und mobilen Endgeräten
  • Einsatz moderner Firewall- und Intrusion-Detection-Technologien
  • Geregelte Benutzer- und Rollenverwaltung
  • Passwort- und Clean-Desk-Richtlinien

Alle Systeme sind ausschließlich nach erfolgreicher Authentifizierung zugänglich. Die Mindestlänge von Passwörtern beträgt derzeit 20 Zeichen, ergänzt durch hohe Komplexitätsanforderungen.

C) Zugriffskontrolle

Diese Maßnahmen stellen sicher, dass berechtigte Personen ausschließlich auf die für sie vorgesehenen Daten zugreifen können:

  • Aktenvernichtung nach DIN 66399, Sicherheitsstufe 5
  • Zertifizierte externe Datenvernichtung
  • Protokollierung von Zugriffen sowie Datenänderungen
  • Berechtigungskonzepte mit klaren Rollen und Zuständigkeiten
  • Vergabe von Zugriffsrechten nach dem Need-to-know-Prinzip

Beim Ausscheiden von Mitarbeitenden werden sämtliche Berechtigungen unverzüglich entzogen.

D) Trennungskontrolle

Daten mit unterschiedlichen Verarbeitungszwecken werden strikt getrennt verarbeitet:

  • Trennung von Produktiv- und Testsystemen
  • Physische und logische Systemtrennung
  • Mandantenfähige Anwendungen
  • Zweckgebundene Kennzeichnung von Datensätzen

E) Pseudonymisierung

Personenbezogene Daten werden – abhängig vom Schutzbedarf – pseudonymisiert verarbeitet, sodass eine Zuordnung ohne zusätzliche Informationen nicht möglich ist.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

A) Weitergabekontrolle

  • Verschlüsselte VPN-Verbindungen
  • SSL/TLS-verschlüsselte E-Mail-Kommunikation
  • Gesicherte Datenübertragung per https oder sftp
  • Einsatz moderner Firewall-Systeme

Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich, sofern dies vertraglich erforderlich ist.

B) Eingabekontrolle

  • Protokollierung von Eingaben, Änderungen und Löschungen
  • Nachvollziehbarkeit durch individuelle Benutzerkennungen
  • Rechtevergabe auf Basis eines Berechtigungskonzepts

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle

  • Feuer-, Rauch- und Löschanlagen
  • USV- und Notstromversorgung
  • RAID-Systeme und regelmäßige Backups
  • Räumlich getrennte und verschlüsselte Datensicherungen
  • Getestete Notfall- und Wiederherstellungspläne

4. Regelmäßige Überprüfung und Evaluierung

A) Datenschutz-Management

  • Zentrale Dokumentation aller Datenschutzprozesse
  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen
  • Externer Datenschutzbeauftragter
  • Fortlaufende Schulungen der Mitarbeitenden

B) Incident-Response-Management

  • Dokumentierte Prozesse zur Erkennung und Behandlung von Sicherheitsvorfällen
  • Einsatz von IDS- und IPS-Systemen
  • Protokollierung und Nachbearbeitung von Vorfällen

C) Datenschutzfreundliche Voreinstellungen

  • Privacy by Design und Privacy by Default
  • Verarbeitung nur notwendiger personenbezogener Daten

D) Auftragskontrolle

  • Sorgfältige Auswahl und Prüfung von Dienstleistern
  • Abschluss von Auftragsverarbeitungsverträgen
  • Regelmäßige Kontrolle des Datenschutzniveaus

Stand: 04 / 2020

Nuumera Logo Transparent

Nuumera GmbH

Innovation in der Technik. Nähe in der Beratung.
Digitale Buchhaltung mit persönlichem Anspruch.

Über uns
  • Funktionen
  • Software Vergleich
  • Scan-App
  • Steuerberater
  • Unsere App
  • Wissensdatenbank
Rechtliches
  • AGB
  • Datenschutz
  • Datenschutz-SaaS
  • Haftungsausschluss
  • Impressum
  • Kontakt

© 2026 Nuumera GmbH | All Rights Reserved

✕

Anmelden

Passwort vergessen?