Skip to main content
The ADV takes effect when you accept our offer, which references both the Terms of Service and this agreement.A separately signed copy can be obtained by signing and sending it to legal@botbrains.io.Note: The Data Processing Agreement (ADV) does not require written form [Schriftform, § 126 of the German Civil Code (BGB)]; electronic form is sufficient under Art. 28(9) GDPR.

Download as PDF

Vereinbarung zur Auftragsverarbeitung

Diese Vereinbarung zur Auftragsverarbeitung wird zwischen den folgenden Vertragsparteien geschlossen: Auftraggeber (Verantwortlicher): der im Angebot (Hauptvertrag) bezeichnete Auftraggeber. Auftragnehmer (Auftragsverarbeiter): botBrains UG (haftungsbeschränkt), Osloer Straße 83, 13359 Berlin.

Präambel

Um die Rechte und Pflichten aus dem Auftragsverarbeitungsverhältnis gemäß der gesetzlichen Verpflichtung aus Art. 28 DSGVO zu konkretisieren, schließen die Vertragsparteien (gemeinsam „Vertragsparteien“) die nachfolgende Vereinbarung. Der Auftragnehmer verpflichtet sich, den Auftraggeber bei der Erfüllung seiner datenschutzrechtlichen Pflichten zu unterstützen und ihm die hierfür erforderlichen Informationen, Nachweise und Mittel zur Wahrung der DSGVO-Konformität bereitzustellen.

§ 1 Gegenstand des Auftrags, Art und Zweck der Verarbeitung

  1. Der Auftragsverarbeiter übernimmt die Erstellung, Bereitstellung und den Betrieb eines KI gestützten Chatbots für den Auftraggeber. Der Chatbot ist in die Webseite(n) des Auftraggebers integriert und dazu konzipiert Webseitenbesuchern Fragen zu beantworten. Darüber hinaus hilft dieser dem Kundensupport bei der Beantwortung von Kundenanfragen via E-Mail.
  2. Im Übrigen ergibt sich der Gegenstand des Auftrags aus der Leistungsübersicht des zugrunde liegenden Angebots (im Folgenden „Hauptvertrag“), auf welches hier verwiesen wird. Eine Verarbeitung personenbezogener Daten des Auftraggebers durch den Auftragnehmer ist darüber hinaus nicht vorgesehen.
  3. Die Verarbeitung der personenbezogenen Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen dokumentierten Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO) und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44-49 DSGVO erfüllt sind.

§ 2 Art der personenbezogenen Daten, Kategorien betroffener Personen

  1. Art der Daten: ☒ Personenstammdaten
    ☒ Kommunikationsdaten und Kommunikationsinhalte (z.B. Telefon, E-Mail)
    ☒ Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
    ☒ Kundenhistorie
    ☒ Vertragsabrechnungs- und Zahlungsdaten
  2. Kreis der betroffenen Personen: ☒ Kunden
    ☒ Interessenten
    ☒ Mitarbeiter
    ☐ Lieferanten
    ☐ Dienstleister
  3. Einschränkung der Art der Daten Die Nutzung des Chatbots an sich führt nicht zur Erhebung oder Verarbeitung von Kundenstammdaten. Personenbezogene Kundenstammdaten (z. B. Vor- und Nachname, E-Mail-Adresse oder vergleichbare Identifikationsdaten) werden durch den Auftragnehmer ausschließlich dann erfasst und verarbeitet, wenn
    1. diese vom Auftraggeber aktiv über technische Schnittstellen wie dem Web-SDK oder der API an den Auftragnehmer übermittelt werden,
    2. der Auftraggeber Funktionen zur Eskalation von Chat-Konversationen in E-Mails oder Tickets nutzt, oder
    3. eine Integration mit einem Ticketing System (Zendesk, Salesforce, etc.) eingerichtet ist.
    In diesen Fällen ist die Verarbeitung der übermittelten Kundenstammdaten zur Durchführung der jeweiligen Funktion (z. B. Zuordnung eines Nutzers, Erstellung oder Weiterleitung einer E-Mail oder eines Tickets) technisch erforderlich.

§ 3 Dauer des Auftrages

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit im Angebot.

§ 4 Verantwortlichkeit und Weisungsbefugnis

  1. Der Auftraggeber ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich (Art. 4 Nr. 7 DSGVO). Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Etwas anderes gilt nur in dem in Absatz 2 genannten Umfang.
  2. Der Auftragnehmer verarbeitet personenbezogene Daten nur auf von ihm zu dokumentierte Weisung des Auftraggebers, es sei denn, es besteht eine anderweitige Verpflichtung durch Unionsrecht oder das Recht des Mitgliedstaats, dem der Auftragnehmer unterliegt. Im Falle einer anderweitigen Verpflichtung teilt der Auftragnehmer dem Auftraggeber vor der Verarbeitung unverzüglich die entsprechenden rechtlichen Anforderungen mit.
  3. Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er gemäß Art. 28 Abs. 3 S. 3 DSGVO unverzüglich den Auftraggeber. Bis zur Bestätigung oder Änderung der entsprechenden Weisung ist der Auftragnehmer berechtigt, die Durchführung der Weisung auszusetzen.

§ 5 Vertraulichkeit

Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die gemäß Art. 28 Abs. 3 S. 2 lit. b DSGVO auf die Vertraulichkeit verpflichtet worden sind und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

§ 6 Datensicherheit

  1. Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen zum angemessenen Schutz der personenbezogenen Daten gemäß Art. 28 Abs. 3 lit. c DSGVO in Verbindung mit Art. 32 Abs. 1 DSGVO, um die Sicherheit der Verarbeitung im Auftrag zu gewährleisten. Dazu wird der Auftragnehmer
    • die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen,
    • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, sicherstellen sowie
    • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung unterhalten.
    Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.
  2. Die Vertragsparteien vereinbaren die in Anlage 2 „Technische und organisatorische Maßnahmen“ zu dieser Vereinbarung niedergelegten konkreten Datensicherheits- maßnahmen.
  3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren und dem Auftraggeber schriftlich mitzuteilen.

§ 7 Einbeziehung weiterer Auftragsverarbeiter (Subunternehmer)

  1. Als Subunternehmer im Sinne dieser Regelung gelten vom Auftragnehmer beauftragte Auftragsverarbeiter, deren Dienstleistungen sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht dazu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen und Reinigung in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
  2. Die Auslagerung auf Subunternehmer oder der Wechsel des bestehenden Subunternehmers sind zulässig, soweit:
    • der Auftragnehmer eine solche Auslagerung auf Subunternehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
    • der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten schriftlich oder in Textform gegenüber dem Auftragnehmer Einspruch gegen die geplante Auslagerung erhebt.
  3. Mit dem Subunternehmer ist eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 3 und 4 DSGVO abzuschließen, die den Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit dieser Vereinbarung entspricht. Der Auftraggeber ist berechtigt, beim Auftragnehmer Einsicht in seine Verträge mit Subunternehmern zu nehmen und vom Auftragnehmer die Übersendung einer Kopie dieser Verträge zu verlangen.
  4. Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Subunternehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Die durch den Auftraggeber zum Zeitpunkt des Vertragsschlusses genehmigten Subunternehmer sind in der Anlage 1 zu diesem Vertrag aufgelistet.
  5. Erbringt der Subunternehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.

§ 8 Unterstützung bei der Wahrung von Betroffenenrechten

  1. Der Auftragnehmer ist verpflichtet, den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Wahrung der in Art. 12 bis 22 DSGVO genannten Rechte der betroffenen Personen zu unterstützen (Art. 28 Abs. 3 S. 2 lit. e DSGVO). Insbesondere wird der Auftragnehmer den Auftraggeber darin unterstützen, Ansprüche Betroffener auf Löschung ihrer personenbezogenen Daten gemäß Art. 17 DSGVO zu erfüllen.
  2. Der Auftragnehmer darf personenbezogene Daten nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Auskünfte an Dritte oder betroffene Personen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.
  3. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer wendet, um ihre Rechte gemäß Art. 12 bis 22 DSGVO geltend zu machen, wird der Auftragnehmer das Ersuchen unverzüglich an den Auftraggeber weiterleiten.

§ 9 Unterstützung bei Dokumentations- und Meldepflichten

  1. Wenn dem Auftragnehmer eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Auftraggeber unverzüglich (Art. 28 Abs. 3 lit. f, Art. 33 Abs. 2 DSGVO). Das Gleiche gilt, wenn beim Auftragnehmer beschäftigte Personen gegen diese Vereinbarung verstoßen.
  2. Nach Absprache mit dem Auftraggeber trifft der Auftragnehmer unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen.
  3. Der Auftragnehmer unterstützt den Auftraggeber mit allen ihm zur Verfügung stehenden Informationen bei der Erfüllung der Informationspflichten gegenüber der zuständigen Aufsichtsbehörde gemäß Art. 33 DSGVO und ggf. gegenüber den von der Verletzung des Schutzes personenbezogener Daten Betroffenen gemäß Art. 34 DSGVO.
  4. Der Auftragnehmer unterstützt den Auftraggeber mit allen ihm zur Verfügung stehenden Informationen bei der Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei einer vorherigen Konsultation der zuständigen Aufsichtsbehörde gemäß Art. 36 DSGVO.
  5. Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen.

§ 10 Beendigung des Auftrages

  1. Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers entweder zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
  2. Der Auftragnehmer weist unaufgefordert dem Auftraggeber in Textform mit Datumsangabe nach, dass er sämtliche Datenträger sowie sonstige Unterlagen an den Auftraggeber herausgegeben oder datenschutzkonform vernichtet oder gelöscht und somit keine Daten des Auftraggebers zurückbehalten hat.
  3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

§ 11 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber ist berechtigt, vor Beginn der Verarbeitungsleistungen und währenddessen regelmäßig die technischen und organisatorischen Maßnahmen sowie die Einhaltung dieser Vereinbarung und datenschutzrechtlicher Vorgaben zu kontrollieren. Dazu kann der Auftraggeber oder ein beauftragter Prüfer die Datenverarbeitungsanlagen und die Datenverarbeitungsprogramme des Auftragnehmers inspizieren.
  2. Der Auftragnehmer ist verpflichtet, dem Auftraggeber zu den üblichen Geschäftszeiten Zutritt zu den Räumlichkeiten zu gewähren, in denen die Daten des Auftraggebers physisch oder elektronisch verarbeitet werden. Der Auftraggeber stimmt die Durchführung der Inspektionen mit dem Auftragnehmer so ab, dass der Betriebsablauf beim Auftragnehmer so wenig wie möglich beeinträchtigt wird.
  3. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der technischen und organisatorischen Maßnahmen sowie der Einhaltung dieser Vereinbarung und datenschutzrechtlicher Vorgaben zur Verfügung. Zu diesen Informationen gehören insbesondere aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, externe Sachverständige, IT-Sicherheits- oder Datenschutzauditoren) und geeignete Zertifizierung (z.B. nach BSI-Grundschutz). Der Auftragnehmer erteilt dem Auftraggeber unverzüglich konkrete Auskunft im Einzelfall.

§ 12 Haftung

  1. Auftraggeber und Auftragnehmer haften im Außenverhältnis nach Art. 82 Abs. 1 und 4 DSGVO für den materiellen und immateriellen Schaden, den eine Person wegen eines Verstoßes gegen die DSGVO erleidet. Sind für einen solchen Schaden sowohl der Auftraggeber als auch der Auftragnehmer verantwortlich, haften die Parteien im Innenverhältnis für diesen Schaden entsprechend ihres Anteils an der Verantwortung. Nimmt eine Person in einem solchen Fall eine Partei ganz oder überwiegend auf Schadensersatz in Anspruch, so kann diese von der jeweils anderen Partei Freistellung oder Schadloshaltung verlangen, soweit es ihrem Anteil an der Verantwortung für den Schaden entspricht.
  2. Der Auftragnehmer haftet dem Verantwortlichen gegenüber entsprechend auch für die Einhaltung datenschutzrechtlicher Vorgaben durch die Subunternehmer, die er zur Erfüllung seiner Aufgaben einsetzt. Das Verschulden von Subunternehmern ist dem Auftragnehmer wie eigenes Verschulden zuzurechnen.

§ 13 Schlussbestimmungen

  1. Überlassene Datenträger und Datensätze verbleiben im Eigentum des Auftraggebers.
  2. Sollten einzelne oder mehrere Regelungen dieser Vereinbarung unwirksam sein, so wird die Wirksamkeit der übrigen Vereinbarung hiervon nicht berührt. Für den Fall der Unwirksamkeit einzelner oder mehrerer Regelungen werden die Vertragsparteien die unwirksame Regelung unverzüglich durch eine solche Regelung ersetzen, die der unwirksamen Regelung wirtschaftlich und datenschutzrechtlich am ehesten entspricht.
  3. Im Falle eines Widerspruchs zwischen dem Hauptvertrag und dieser Vereinbarung geht diese Vereinbarung vor, soweit der Widerspruch die Verarbeitung personenbezogener Daten betrifft.
  4. Die folgenden Anhänge sind Bestandteil dieser Vereinbarung:
    • Anlage 1 „Genehmigte Subunternehmer“
    • Anlage 2 „Technische und organisatorische Maßnahmen“
  5. Diese Vereinbarung wird durch die Annahme des Angebots (Hauptvertrag) wirksam, das ausdrücklich auf die Allgemeinen Geschäftsbedingungen (AGB) und diese Vereinbarung zur Auftragsverarbeitung Bezug nimmt. Die Vertragsparteien ergeben sich aus dem Angebot; einer gesonderten Unterzeichnung dieser Vereinbarung bedarf es nicht. Auf Wunsch kann der Auftraggeber eine gesondert unterzeichnete Fassung anfordern und an legal@botbrains.io senden.

Anlage 1

Genehmigte Subunternehmer

Der Auftraggeber stimmt der Beauftragung der nachfolgenden Subunternehmer zu, jedoch nur unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2 bis 4 DSGVO:
KategorieUnternehmenAdresseArt der DienstleistungVerarbeitungsstandortData Privacy Framework
HostingAmazon Web Services EMEA SàrlAvenue John F. Kennedy 38, 1855 Luxemburg, LuxemburgAnwendungshosting, Datenbankhosting, KI-ModelleEU (Frankfurt, Paris)Ja
Hetzner Online GmbHIndustriestr. 25, 91710 Gunzenhausen, DeutschlandAnwendungshostingEU (Falkenstein, Nürnberg)entfällt
DigitalOcean LLC101 Avenue of the Americas, 10th Floor, New York, NY 10013, USAAnwendungshosting (Caching, asynchrone Auftragsplanung)EU (Frankfurt)Ja
Vercel, Inc.650 California St, San Francisco, CA 94108, USAAnwendungshostingEU, weltweit (CDN)1Ja
Modal Labs, Inc.584 Broadway, Floor 10/1001, New York, NY 10012, USAAnwendungshosting (nur bei Nutzung der Unitools-Funktion)EUNein
KIMicrosoft Deutschland GmbHWalter-Gropius-Straße 5, 80807 München, DeutschlandAnwendungshosting, KI-ModelleEUentfällt
OpenAI Ireland Ltd70 Sir John Rogerson’s Quay, Dublin 2, IrlandKI-ModelleEUNein, aber Zero-Data-Retention-Enterprise-Vereinbarung
MonitoringFunctional Software, Inc. (Sentry)45 Fremont Street, 8th Floor, San Francisco, CA 94105, USAAnwendungsüberwachungEUJa
Better Stack, Inc.651 N Broad Street, Suite 206, Middletown, DE 19709, USAAnwendungsüberwachungEUNein
Langfuse GmbHGethsemanestr. 4, 10437 Berlin, DeutschlandKI-ÜberwachungEU (Frankfurt)entfällt
PostHog, Inc.2261 Market Street 4008, San Francisco, CA 94114, USAProduktanalyseEU (Frankfurt)Ja
Der folgende Subunternehmer verarbeitet ausschließlich die Daten Ihrer Mitarbeiter (Beschäftigten) zur Plattform-Anmeldung, niemals Endnutzer-Chatdaten:
UnternehmenAdresseArt der DienstleistungVerarbeitungsstandortData Privacy Framework
Clerk, Inc.660 King Street, Unit 345, San Francisco, CA 94107, USAAuthentifizierung und Nutzerverwaltung (Plattform-Anmeldung)Weltweit2Ja
[1] Vercel verarbeitet die Anfragen zur Ausspielung statischer Inhalte mittels des Content Distribution Networks (CDNs). CDNs sind zur Latenz-Optimierung global verteilt. Vercel verarbeitet für die Ausspielung ausschließlich die IP-Adresse des Nutzers; Kommunikationsinhalte gehören nicht zu statischen Inhalten. [2] Clerk speichert die Daten von Mitarbeitern des Auftraggebers für die Anmeldung in der Adminoberfläche und wird ausschließlich für die Plattform, nicht für die Verarbeitung von Chat-Daten, genutzt. Clerk unterliegt den Vorgaben des Data Privacy Frameworks.

Anlage 2

Technische und organisatorische Maßnahmen

Die nach Ziffer 6 der Vereinbarung zur Auftragsverarbeitung zu konkretisierenden technischen und organisatorischen Maßnahmen beim Auftragnehmer sind im Folgenden
explizit tabellarisch geregelt.
Folgende Grundsätze werden grundsätzlich beachtet:
  1. Der Auftragnehmer verschlüsselt alle Daten im Ruhezustand und während der Übertragung, welche ausschließlich via TLS geschieht. Für Verschlüsselung wird der Industriestandard AES-256 genutzt.
  2. Der Auftragnehmer nutzt Point-in-Time Recovery (PITR) mit automatisierten Datenbank-Backups und Write-Ahead-Log (WAL).
  3. Dedizierte Trennung der Lokalen-, Staging- und Produktivumgebung. Tests werden in einer von der Produktivumgebung getrennten Umgebung durchgeführt.
  4. Drittland Transfers sind ausgeschlossen. Kundendaten müssen auf EU-Servern gespeichert und verarbeitet werden. Die Verträge mit Subprozessoren sichern dem Auftraggeber bzw. den Kunden vom Auftragnehmer transitiv die Ausübungsrechte der Datensubjekte nach DSGVO zu.
  5. Auftragsverarbeiter erhalten kein Recht auf Weiterverwendung der Daten für z.B. Trainingszwecke. Der Auftragsnehmer hat mit allen Zulieferern Auftragsdatenverarbeitungsverträge, siehe Anlage 1.
  6. Transparenz über die Verfügbarkeit der botBrains Systeme über die Status-Seite: status.botbrains.io
* Ja (S), Ja, wenn durch unsere Subprozessor gehandhabt (z.B. bei physischen Servern oder unserer Managed DB)

Vertraulichkeit (ART. 32 ABS. 1 LIT. B DS-GVO)

Zutrittskontrolle

Zutrittskontrolle Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.vorhanden ja
BerechtigungsausweiseJa (S)
Elektronische Zutrittscodekarten/ ZutrittstransponderJa (S)
ZutrittsberechtigungskonzeptJa (S)
VideoüberwachungJa (S)
AlarmanlageJa (S)
SchlüsselregelungJa (S)
BesucherausweiseJa (S)
Begleitung von Besucherzutritten durch eigene MitarbeiterJa (S)
Anwesenheitsaufzeichnungen von BesucherzutrittenJa (S)
Sicherung auch außerhalb der Arbeitszeit durch WerkschutzJa (S)
Abgestufte Sicherheitsbereiche und kontrollierter ZutrittJa (S)
SpezialverglasungJa (S)
Gesondert gesicherter Zutritt zum RechenzentrumJa (S)
Aufbewahrung der Server in verschlossenen RäumenJa (S)
Aufbewahrung der Datenträger unter Verschluss bzw. in abgeschlossenen RäumenJa (S)
Aufbewahrung von Datensicherungen (z.B. Bänder, CDs) im zutrittsgeschützten SafeJa (S)
Anweisung zur Ausgabe von SchlüsselnJa (S)

Zugangskontrolle

Zugangskontrolle Das Eindringen Unbefugter in die DV-Systeme bzw. deren unbefugte Nutzung ist zu verhindern.vorhanden ja
Verschlüsselung von NetzwerkenJa
Verwendete Verschlüsselungsalgorithmen: WireGuard (ChaCha20-Poly1305 für Verschlüsselung, Curve25519 für Schlüsselaustausch, BLAKE2s für Hashing), TLS 1.3
Verschluss von Datenverarbeitungsanlagen (z.B. verschlossener Cage für Server)Ja (S)
Passwortsicherung von BildschirmarbeitsplätzenJa
Funktionelle und/oder zeitlich limitierte Vergabe von BenutzerberechtigungenJa
Verwendung von individuellen PasswörternJa
Automatische Sperrung von Nutzeraccounts nach mehrfacher Fehleingabe von PasswörternJa
Automatische passwortgesicherte Sperrung des Bildschirms nach Inaktivität (Bildschirmschoner)Ja
Passwortpolicy mit Mindestvorgaben zur Passwortkomplexität:Ja
Mindestens 8 Ziffern / Groß- und Kleinschreibung, Sonderzeichen, Zahl (davon mind. 3 Kriterien)Ja
Verhinderung von Trivialpasswörtern (z.B. Hund1, Hund2, Hund3)Ja
Passworthistorie (kein erneute Verwendung der letzten 5 Passwörter)Ja
Sonstiges:      
Hashing von gespeicherten PasswörternJa (S)
Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper)Ja (S)
Prozess zur Rechtevergabe bei Neueintritt von MitarbeiternJa
Prozess zum Rechteentzug bei Abteilungswechseln von MitarbeiternJa
Prozess zum Rechteentzug bei Austritt von MitarbeiternJa
Verpflichtung zur VertraulichkeitJa
Protokollierung und Auswertung der SystembenutzungJa
Kontrollierte Vernichtung von DatenträgernJa (S)

Zugriffskontrolle

Zugriffskontrolle Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern.vorhanden ja
Festlegung der Zugriffsberechtigung, BerechtigungskonzeptJa
Regelung zur Wiederherstellung von Daten aus Backups (wer, wann, auf wessen Anforderung)Ja
Regelmäßige Überprüfung von BerechtigungenJa
Beschränkung der freien und unkontrollierten Abfragemöglichkeit von DatenbankenJa
Regelmäßige Auswertung von Protokollen (Logfiles)Ja
Teilzugriffsmöglichkeiten auf Datenbestände und Funktionen (Read, Write, Execute)Ja
Protokollierung von DateizugriffenJa
Protokollierung von DateilöschungenJa
Werden entsprechende Sicherheitssysteme (Software/Hardware) eingesetzt?
VirenscannerJa
FirewallsJa
SPAM-FilterJa
Intrusionprevention (IPS)Nein
Intrusiondetection (IDS)Ja
Software für das Security Information and Event Management (SIEM)Ja
Verschlüsselte Speicherung der DatenJa (at Rest)
verwendete Verschlüsselungsalgorithmen:
AES-256
Verwendete Hash-Funktion:Anmerkungen: in S3/Database liegen keine Passwörter
SHA2 (256, 384, 512 bit)Nein
SHA3Nein
Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper)Nein

Trennungskontrolle

Trennungskontrolle Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.vorhanden ja
Trennung von Kunden (Mandantenfähigkeit des verwendeten Systems)Ja
Dateiseparierung bei DatenbankenNein
Logische Datentrennung (z.B. auf Basis von Kunden- oder Mandantennummern)Ja
Verarbeitung der Daten des Auftraggebers und anderer Kunden von unterschiedlichen Mitarbeitern des AuftragnehmersJa
Datensicherungen der Auftraggeber-Daten auf separaten Datenträgern (ohne Daten anderer Kunden)Nein
Berechtigungskonzept, das der getrennten Verarbeitung der Auftraggeber-Daten von Daten anderer Kunden Rechnung trägtJa
FunktionstrennungJa
Trennung von Entwicklungs-, Test- und ProduktivsystemJa
Sonstiges: dediziertes System

Pseudonymisierung

(Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO) Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;vorhanden ja
Maßnahmen: Daten Modellierung unseres Systems, Separation von Informationen

Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle

Weitergabekontrolle Aspekte der Weitergabe (Übermittlung) personenbezogener Daten sind zu regeln: Elektronische Übertragung, Datentransport, sowie deren Kontrolle.vorhanden ja
Welche Versendungsart der Daten besteht zwischen Auftraggeber und Dritten?
Citrix-Verbindung (128 Bit verschlüsselt)-
VPN-Verbindung (IP-Sec)Ja
E-Mail Versand mit verschlüsselten ZIP-DateienJa
Datenaustausch über https-VerbindungJa
Sonstige Versendungsart:      -
verwendete Verschlüsselungsalgorithmen:-
Verwendete Hash-Funktion:-
Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper)-
Gesicherter Eingang für An- und Ablieferung-
Dokumentierte Verwaltung von Datenträgern, BestandskontrolleJa
Festlegung der Bereiche, in dem sich Datenträger befinden müssen-
Verschlüsselung vertraulicher DatenträgerJa
Verschlüsselung von LaptopfestplattenJa
Verschlüsselung mobiler DatenträgerJa
Kontrollierte Vernichtung von DatenJa
Datenträgerentsorgung - Sichere Löschung von Datenträgern:
Physikalische Zerstörung (z.B. Shredder bei Partikelgrößen bis max. 1000 Quadrat-Millimeter)Nein
Sonstiges: Überschreibung bei Bändern und FestplattenJa
Papierentsorgung: Sicheres Vernichten von Papierdokumenten: Das Anfertigen von Papierdokumenten ist für Sicherheit oder Datenschutz relevanten Daten ist nicht vorgesehenNein
Verschlossene Behältnisse aus Metall (sog. Datenschutztonnen), Entsorgung durch Dienstleister-
Shredder gem. DIN 66399-
Sicherheitsstufe:      -
Regelung zur Anfertigung von KopienJa
Sicherungskopien von Datenträgern, die transportiert werden müssen-
Dokumentation der Stellen, an die eine Übermittlung vorgesehen ist, sowie der ÜbermittlungswegeJa
Verpackungs- und Versandvorschriften, verschlüsselter E-Mail-VersandJa
Vollständigkeits- und RichtigkeitsprüfungJa
Sonstiges: Klicken Sie hier, um Text einzugeben.

Eingabekontrolle

Eingabekontrolle Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleistenvorhanden ja
Kennzeichnung erfasster DatenJa
Festlegung von Benutzerberechtigungen (Profile)Ja
Differenzierte Benutzerberechtigungen:
Lesen, Ändern, LöschenJa
Teilzugriff auf Daten bzw. FunktionenJa
Feldzugriff bei Datenbankenkein direkter Datenbank Zugriff
Organisatorische Festlegung von EingabezuständigkeitenJa
Protokollierung von Eingaben/LöschungenNein
ProtokollauswertungssystemNein
Verpflichtung auf das DatengeheimnisNein
Über OS-Standard hinausgehendes Log-KonzeptJa
Dezidierter LogserverJa
Regelung der Zugriffsberechtigungen für Logserver (LogAdmin)Ja
Regelung zu Aufbewahrungsfristen für Revision/NachweiszweckeJa
Sonstiges: Klicken Sie hier, um Text einzugeben.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeitskontrolle

Verfügbarkeitskontrolle Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.vorhanden ja
Datensicherungs- und BackupkonzepteJa
Durchführung der Datensicherungs- und BackupkonzepteJa
Zutrittsbegrenzung in Serverräumlichkeiten auf notwendiges PersonalJa (S)
Brandmeldeanlagen in ServerräumlichkeitenJa (S)
Rauchmelder in ServerräumlichkeitenJa (S)
Wasserlose Brandbekämpfungssysteme in ServerräumlichkeitenJa (S)
Klimatisierte ServerräumlichkeitenJa (S)
Blitz-/ ÜberspannungsschutzJa (S)
Wassersensoren in ServerräumlichkeitenJa (S)
Serverräumlichkeiten in separaten BrandabschnittJa (S)
Unterbringung von Backupsystemen in separaten Räumlichkeiten und BrandabschnittJa (S)
Gewährleistung der technischen Lesbarkeit von Backupspeichermedien für die ZukunftJa (S)
Lagerung von Archiv-Speichermedien unter notwendigen Lagerbedingungen (Klimatisierung, Schutzbedarf etc.)Ja (S)
CO2 Feuerlöscher in unmittelbarer Nähe der ServerräumlichkeitenJa (S)
Vereinbarung bzgl. Übergabe der (Daten-) SicherungenJa (S)
Katastrophen- oder Notfallplan (z.B. Wasser, Feuer, Explosion, Androhung von Anschlägen, Absturz, Erdbeben)Ja (S)
Einbeziehung des Einflusses angrenzender baulicher EinrichtungenJa (S)
Schwachstellenanalyse (Geländeschutz, Gebäudeschutz, Eindringen in Rechner, Rechnernetze)Ja (S)
Aufbewahrung der Daten in Datensicherungsschränken, TresorenJa (S)
USV-Anlage (Unterbrechungsfreie Stromversorgung)Ja (S)
StromgeneratorJa (S)
Sonstiges: Klicken Sie hier, um Text einzugeben.

Widerstandsfähigkeit- und Ausfallsicherheitskontrolle

Widerstandsfähigkeit- und Ausfallsicherheitskontrolle Systeme müssen die Fähigkeit besitzen mit risikobedingten Veränderungen umgehen zu können und eine Toleranz und Ausgleichsfähigkeit gegenüber Störungen aufweisen.vorhanden ja
Ausweich-Rechenzentren vorhanden (Hot- bzw. Cold-Stand-by?): HotJa
Redundante StromversorgungJa (S)
Redundante USV-AnlageJa (S)
Redundante StromgeneratorenJa (S)
Redundante KlimatisierungJa (S)
Redundante BrandbekämpfungJa (S)
sonstige redundante Systeme/Verfahren:      
FestplattenspiegelungJa (S)
Computer Emergency Response Team (CERT)Ja (S)
LoadbalancerJa
Datenspeicherung auf RAID-Systemen (RAID 1 und höher)Ja (S)
Abgrenzung kritischer KomponentenJa
Durchführung von PenetrationstestsNein
Systemhärtung (Deaktivierung nicht erforderlicher Komponenten)Ja
Unverzügliche und regelmäßige Aktivierung von verfügbaren Soft- und FirmwareupdatesJa
Identifikation der verschiedenen Geräte, aus denen sich das Netzwerk zusammensetzt, und Bestimmung ihrer Hardware-Version sowie ihrer aktuellen Software- und Firmware-Versionen.Ja
Kommunikationskanal mit den Herstellern, um sich über neue Updates und Patches zu informieren, die für die im Besitz befindlichen Geräte freigegeben wurden.Ja
Definition von Zeiträumen, in denen die Updates implementiert werden sollen (z. B. Perioden niedrigerer Operationen, Wartungszeiten usw.).Ja
Verwendung redundanter Systeme, um den Betrieb aufrecht zu erhalten, während die Hauptgeräte aktualisiert werden.Ja
Progressive Bereitstellung von Updates / Patches, um Probleme frühzeitig zu erkennen, ohne mehrere Geräte zu beeinträchtigen.Ja
Festlegung einer Testperiode, um die korrekte Implementierung des Updates zu überprüfen und sicherzustellen, dass die Operationen mit den neuen Updates weiterhin reibungslos ablaufen.Ja
Sicherheit wird während der Entwurfsphase der Systeme als Hauptbetrachtung mit umfasst.Ja
Definition von Sicherheitsmaßnahmen zum Schutz und zur Validierung der Kommunikation zwischen SystemkomponentenJa
Begrenzung von Berechtigungen auf Bedarfsnotwendigkeit.Ja
Externe Auftragnehmer und Wartungspersonal erhalten einen spezifischen Zugang, der nur während des Eingriffs aktiv und den Rest der Zeit deaktiviert ist.Ja
Periodische Sicherheitstrainings und Sensibilisierungskampagnen innerhalb der Organisation.Ja
Sensibilisierungskampagnen, um die Benutzer über die Sicherheitskonzepte zu informieren, die sowohl für konkrete Systeme als auch für traditionelle IT-Systeme spezifisch sind.Ja
Spezielles Sicherheitstraining, um zu lehren, wie man Sicherheitsmaßnahmen und Verhaltensweisen auf die täglichen Prozesse mit möglichst geringem Aufwand anwendet.Nein
Abschluss einer Cyber-VersicherungNein
Identifikation der IT-Geräte, Assets und Netzwerksysteme in der Infrastruktur der Organisation.Ja
Durchführung einer Risikoanalyse unter Berücksichtigung all dieser Systeme, Geräte und Vermögenswerte, die identifiziert wurden, zur Ermittlung der Bedrohungen, inklusive ihrer Wahrscheinlichkeit und ihrer Auswirkungen.Nein

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Kontrollverfahren

Kontrollverfahren Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Datensicherheitsmaßnahmen ist zu implementierenvorhanden ja
Interne Verfahrensverzeichnisse werden mind. jährlich aktualisiertJa
Meldung neuer/veränderter Datenverarbeitungsverfahren an den DatenschutzbeauftragtenJa
Meldung neuer/veränderter Datenverarbeitungsverfahren an den IT-SicherheitsbeauftragtenJa
Prozesse zur Meldung neuer/veränderter Verfahren sind dokumentiertJa
Es werden datenschutzfreundliche Voreinstellungen gewähltJa
Getroffene Sicherheitsmaßnahmen werden einer regelmäßigen internen Kontrolle unterzogenJa
Bei negativem Verlauf der zuvor genannten Überprüfung werden die Sicherheitsmaßnahmen risikobezogen angepasst, erneuert und umgesetztJa
Es besteht ein Prozess zur Vorbereitung auf Sicherheitsverletzungen (Angriffen) und Systemstörungen sowie zur Identifizierung, Eingrenzung, Beseitigung und Erholung von selbigen (Incident-Response-Prozess).Ja

Auftragskontrolle

Auftragskontrolle Es ist sicherzustellen, dass Daten die im Auftrag durch Dienstleister (Subauftragnehmer) verarbeitet werden, nur gemäß der Weisung des Auftragnehmers verarbeitet werden.vorhanden ja
Vertragsgestaltung gem. gesetzlichen Vorgaben (Art. 28 DSGVO)Ja
Zentrale Erfassung vorhandener Dienstleister (einheitliches Vertragsmanagement)Ja
Regelmäßige Kontrollen beim Auftragnehmer nach Vertragsbeginn (Während Vertragsdauer)Nein
Vor-Ort-Kontrollen beim AuftragnehmerNein
Überprüfung des Datensicherheitskonzepts beim AuftragnehmerJa
Sichtung vorhandener IT-Sicherheitszertifikate der AuftragnehmerJa