Zurück zur Startseite

Technische und organisatorische Maßnahmen (TOMs)

Stand: 12. Juni 2026

1. Geltungsbereich und Zweck

Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen (TOMs) nach Art. 32 DSGVO, die wir zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus bei der Verarbeitung personenbezogener Daten umgesetzt haben.

Die TOMs gelten für alle Verarbeitungen im Rahmen der Plattform Nytrix (nytrix.de) und stellen die Anlage zum Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO dar. Sie werden bei wesentlichen Änderungen der Infrastruktur, des Stands der Technik oder rechtlicher Vorgaben angepasst.

Verantwortlich im datenschutzrechtlichen Sinne ist die Enjyn Gruppe; Details finden Sie in unserer Datenschutzerklärung.

2. Zutrittskontrolle

Ziel: Unbefugten den physischen Zutritt zu Datenverarbeitungsanlagen verwehren, mit denen personenbezogene Daten verarbeitet werden.

Sämtliche produktiven Server stehen ausschließlich in zertifizierten Rechenzentren innerhalb der EU:

  • Skylink in Eygelshoven, Niederlande — Gameserver und vServer (dedi01). ISO-27001-zertifiziertes Rechenzentrum.
  • NorthC Data Centers in Nürnberg, Deutschland — FTP Storage sowie zukünftige vServer-Standorte (dedi02/dedi03). ISO-27001-zertifiziertes Rechenzentrum.

Die Rechenzentren setzen folgende Maßnahmen um:

  • Zutritt nur für autorisierte Personen, gesichert durch Mehrfaktor-Authentifizierung am Eingang
  • 24/7-Bewachung und Videoüberwachung
  • Abgeschlossene Server-Käfige, vereinzelt zugriffsgesicherte Schränke
  • Einbruch-, Brand- und Wassermeldeanlagen
  • Unterbrechungsfreie Stromversorgung (USV) und Notstromaggregate
  • Klimatisierte Umgebung mit redundanter Kühlung

Nytrix selbst hält keine eigenen Server an anderen Standorten vor; physische Eingriffe an der Hardware erfolgen ausschließlich durch Personal des jeweiligen Rechenzentrums nach schriftlicher Beauftragung.

3. Zugangskontrolle

Ziel: Verhindern, dass Datenverarbeitungsanlagen von Unbefugten genutzt werden können.

Die Anmeldung an der Nytrix-Plattform erfolgt ausschließlich über das Single-Sign-On-System Enjyn Auth der Enjyn Gruppe. Folgende Maßnahmen sind umgesetzt:

  • Pflicht zu Passwörtern mit definierter Mindestkomplexität und Länge
  • Optionale Zwei-Faktor-Authentifizierung per TOTP (kompatibel mit Google Authenticator, Authy und vergleichbaren Apps)
  • Rate-Limiting und automatische Sperrung bei wiederholt fehlgeschlagenen Anmeldungen
  • Passwort-Reset ausschließlich über bestätigte E-Mail-Adressen mit zeitlich begrenztem Token
  • Session-Cookies mit den Attributen Secure, HttpOnly und SameSite=Lax
  • Transportverschlüsselung über TLS 1.3 mit HSTS-Preload für alle Web-Endpunkte
  • API-Zugriffe ausschließlich über signierte Tokens mit kurzer Lebensdauer
  • Administrativer Zugriff auf Produktivsysteme nur per SSH-Keys über zentrale Bastion-Hosts; Passwortanmeldungen sind deaktiviert

4. Zugriffskontrolle

Ziel: Sicherstellen, dass die zur Benutzung berechtigten Personen ausschließlich auf die ihrer Berechtigung unterliegenden Daten zugreifen können.

  • Rollenbasiertes Berechtigungssystem (Kunde / Gastzugang mit konfigurierbaren Rechten / Mitarbeiter)
  • Prinzip der minimalen Rechte (Least Privilege): Mitarbeiter erhalten nur die Berechtigungen, die zur Aufgabenerfüllung notwendig sind
  • Zugriffe auf Hypervisor-, Datenbank- und Infrastrukturebene sind auf einen definierten Kreis autorisierter Administratoren beschränkt und werden protokolliert
  • Sämtliche Mitarbeiter mit Datenzugriff unterliegen schriftlichen Vertraulichkeitsvereinbarungen
  • Beendigung von Mitarbeiterverhältnissen führt zur unverzüglichen Sperrung aller Zugänge
  • Im Kundenbereich: Gastzugänge mit fein granular vergebbaren Rechten (z. B. nur Neustart vs. voller Panel-Zugriff)

5. Trennungskontrolle (Mandantentrennung)

Ziel: Sicherstellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.

Jeder Kunde erhält eigene, voneinander isolierte Instanzen:

  • Gameserver: separater LXC-Container pro Server mit eigenen cgroups und Namespaces
  • vServer: dedizierte LXC- bzw. KVM-Instanz; im KVM-Fall vollständige Virtualisierung des Betriebssystems
  • Webhosting: eigener KeyHelp-Account mit getrennten Verzeichnissen, Datenbank-Benutzern und FTP-Zugängen
  • MySQL-Datenbanken: getrennte Datenbanken je Kunde mit eigenen Zugangsdaten und IP-Freigabe
  • E-Mail-Hosting: getrennte Domains und Postfächer innerhalb eines mehrmandantenfähigen Mailcow-Setups
  • OpenClaw, Gitea, Vaultwarden: jeweils dedizierter Container pro Kunde

Ergänzend werden die Mandanten netzwerkseitig durch virtuelle Switches und Firewall-Regeln voneinander getrennt. Backups erfolgen pro Mandant separat und werden nicht mandantenübergreifend zusammengeführt.

6. Pseudonymisierung und Verschlüsselung

Ziel: Personenbezogene Daten so verarbeiten, dass sie ohne zusätzliche Informationen keiner Person mehr zugeordnet werden können bzw. dass sie nur autorisierten Personen lesbar sind.

  • Passwörter werden niemals im Klartext gespeichert; sensible Daten wie Tokens werden mit AES-256-GCM verschlüsselt abgelegt
  • Transportverschlüsselung der gesamten Plattform über TLS 1.3 mit HSTS-Preload
  • E-Mail-Zugänge ausschließlich über verschlüsselte Verbindungen (IMAPS, SMTPS, POP3S oder STARTTLS)
  • FTP Storage unterstützt FTPS (FTP über TLS) und SFTP; Plain-FTP ist auf Wunsch deaktivierbar
  • Personenbezogene Daten in Server-Logs werden bei Bedarf pseudonymisiert (z. B. IP-Kürzung)
  • Interne Server-Backups werden verschlüsselt abgelegt
  • SSH-Zugänge zu vServern erfolgen ausschließlich über sichere Verbindungen mit aktuellen Cipher-Suiten

7. Integrität (Eingabe- und Weitergabekontrolle)

Ziel: Sicherstellen, dass personenbezogene Daten unversehrt, vollständig und aktuell bleiben und Manipulationen erkennbar sind.

7.1 Eingabekontrolle

  • Anlegen, Ändern und Löschen sicherheitsrelevanter Daten wird protokolliert (Zeitstempel, auslösender Account)
  • Kritische Aktionen wie Server- oder Account-Löschungen werden zusätzlich dokumentiert
  • Konfigurationsänderungen an der Infrastruktur erfolgen versioniert und nachvollziehbar

7.2 Weitergabekontrolle

  • Datenübertragungen zu Subdienstleistern (siehe Abschnitt 10) erfolgen ausschließlich über verschlüsselte Verbindungen
  • Software-Updates werden ausschließlich aus signierten Paketquellen bezogen
  • Container-Images stammen aus überprüften, vertrauenswürdigen Registries
  • Eine Weitergabe von Kundendaten an Dritte erfolgt nur, wenn dies zur Vertragserfüllung erforderlich ist oder eine rechtliche Verpflichtung besteht

8. Verfügbarkeit und Belastbarkeit

Ziel: Sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und die Systeme dauerhaft funktionsfähig bleiben.

  • DDoS-Schutz durch Voxility-Filterung mit mehreren Tbit/s Kapazität für Gameserver und vServer — ohne Aufpreis bei allen Tarifen
  • Kontinuierliches Monitoring der Hosts (CPU, RAM, Disk, Netz, Dienste); öffentliche Status-Übersicht unter status.enjyn.de
  • Redundante Anbindung der Rechenzentren
  • USV und Notstromversorgung in beiden Rechenzentren
  • Schnelle SSD-/NVMe-Speicher mit RAID für reduzierte Ausfallwahrscheinlichkeit einzelner Datenträger
  • Patch-Management: Sicherheitsupdates für Host-Systeme werden zeitnah eingespielt; CVE-Meldungen werden fortlaufend beobachtet
  • Schutz vor Web-Schwachstellen orientiert sich an den OWASP Top 10
  • Angestrebte Verfügbarkeit: 99,9 % im Jahresmittel

9. Wiederherstellbarkeit (Backups)

Ziel: Die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherstellen.

9.1 Interne Server-Backups (Disaster-Recovery)

Wir sichern unsere Server (insbesondere für MySQL, E-Mail-Hosting, Gameserver und Webhosting) intern auf Hostebene. Diese Sicherungen dienen ausschließlich der Notfall-Wiederherstellung im Katastrophenfall (z. B. Komplettausfall eines Hosts). Sie sind nicht vom Kunden einzeln zurückspielbar und ersetzen kein eigenes Backup.

9.2 Self-Service-Sicherungen für Kunden

Für kundenseitige Datensicherungen stehen folgende Optionen zur Verfügung:

  • vServer: eigene Backup-Skripte (z. B. per rsync) sowie das optionale Enjyn Smart Backup
  • Webhosting: Datei-Download über Dateimanager oder FTP, Datenbanken per SQL-Dump über phpMyAdmin
  • MySQL: SQL-Dump-Download per Klick im Dashboard
  • Gameserver: SFTP-Download von Welten, Konfigurationen und Plugins; ergänzend spielinterne Backups (z. B. Minecraft Backup-Mods, txAdmin bei FiveM)
  • FTP Storage als zentrales Backup-Ziel (200 GB bis 5 TB, FTPS/SFTP, Standort Nürnberg)

Wiederherstellungstests auf Infrastrukturebene werden intern regelmäßig durchgeführt.

10. Auftragskontrolle (Subdienstleister)

Ziel: Sicherstellen, dass personenbezogene Daten nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden.

Folgende Subdienstleister sind im Rahmen der Auftragsverarbeitung eingebunden:

DienstleisterZweckStandort
SkylinkRechenzentrum (Gameserver, vServer)Eygelshoven, NL
NorthC Data CentersRechenzentrum (FTP Storage, künftige vServer)Nürnberg, DE
Mollie B.V.Zahlungsabwicklung (Kreditkarte, Sofortüberweisung)Amsterdam, NL
PayPal (Europe) S.à r.l. et Cie, S.C.A.ZahlungsabwicklungLuxemburg
SkrimeDomain-Registrar (TLD-Registrierung)EU

Mit allen Subdienstleistern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Eine Übermittlung in Drittländer findet ausschließlich unter den Garantien der EU-Standardvertragsklauseln statt.

Ein AVV mit der Enjyn Gruppe für die Nutzung der Nytrix-Plattform wird auf Anfrage an support@enjyn.de bereitgestellt.

11. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Ziel: Wirksamkeit der Maßnahmen regelmäßig prüfen und Verbesserungen ableiten.

Unsere internen Prozesse orientieren sich an folgenden Standards:

  • ISO/IEC 27001 — Informationssicherheits-Managementsystem
  • ISO/IEC 27701 — Datenschutz-Erweiterung zu ISO 27001
  • ISO/IEC 27002 — Leitfaden für Informationssicherheitsmaßnahmen
  • SOC 2 — Service Organization Controls
  • OWASP Top 10 — Best Practices der Web-Anwendungssicherheit

Hinweis: Die genannten Standards werden durch interne Prozesse der Enjyn Gruppe eingehalten. Eine formale externe Zertifizierung halten wir aktuell nicht. Die Rechenzentren, in denen unsere Infrastruktur betrieben wird, verfügen jedoch über eigene ISO-27001-Zertifizierungen.

Maßnahmen zur fortlaufenden Überprüfung:

  • Regelmäßige interne Reviews der Berechtigungen und Konfigurationen
  • Kontinuierliche Beobachtung von Schwachstellenmeldungen (CVE)
  • Datenschutz-Folgenabschätzungen bei Bedarf nach Art. 35 DSGVO
  • Aktualisierung dieser TOMs bei wesentlichen Änderungen

12. Vorgehen bei Datenschutzvorfällen

Ziel: Datenschutzverletzungen schnell erkennen, bewerten und melden.

Bei einem Datenschutzvorfall folgen wir einem festgelegten Ablauf: Erkennen — Eindämmen — Bewerten — Melden — Dokumentieren.

  • Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden gemäß Art. 33 DSGVO, sofern ein Risiko für die Rechte und Freiheiten betroffener Personen besteht
  • Benachrichtigung der Betroffenen bei voraussichtlich hohem Risiko gemäß Art. 34 DSGVO
  • Vollständige interne Dokumentation jedes Vorfalls (Ursache, Maßnahmen, Verlauf)

Verdächtige Beobachtungen können Sie jederzeit an support@enjyn.de melden.

13. Änderungen an diesen TOMs

Diese TOMs werden bei Änderungen unserer Infrastruktur, des Stands der Technik oder gesetzlicher Vorgaben angepasst. Die jeweils aktuelle Fassung ist unter nytrix.de/tom abrufbar.

Stand: 12. Juni 2026