> ## Documentation Index
> Fetch the complete documentation index at: https://docs.botbrains.io/llms.txt
> Use this file to discover all available pages before exploring further.

# Data Processing Agreement

> How botBrains processes personal data on your behalf

<Note>
  The ADV takes effect when you accept our offer, which references both the [Terms of Service](/terms-of-service) and this agreement.

  A separately signed copy can be obtained by signing and sending it to [legal@botbrains.io](mailto:legal@botbrains.io).

  Note: The Data Processing Agreement (ADV) does not require written form \[Schriftform, § 126 of the German Civil Code (BGB)]; electronic form is sufficient under Art. 28(9) GDPR.
</Note>

<Card title="Download as PDF" icon="download" href="/assets/botbrains-data-processing-agreement.pdf" horizontal />

## Vereinbarung zur Auftragsverarbeitung

Diese Vereinbarung zur Auftragsverarbeitung wird zwischen den folgenden Vertragsparteien geschlossen:

**Auftraggeber** (Verantwortlicher): der im Angebot (Hauptvertrag) bezeichnete Auftraggeber.

**Auftragnehmer** (Auftragsverarbeiter): botBrains UG (haftungsbeschränkt), Osloer Straße 83, 13359 Berlin.

### **Präambel**

Um die Rechte und Pflichten aus dem Auftragsverarbeitungsverhältnis gemäß der gesetzlichen Verpflichtung aus Art. 28 DSGVO zu konkretisieren, schließen die Vertragsparteien (gemeinsam „Vertragsparteien“) die nachfolgende Vereinbarung.

Der Auftragnehmer verpflichtet sich, den Auftraggeber bei der Erfüllung seiner datenschutzrechtlichen Pflichten zu unterstützen und ihm die hierfür erforderlichen Informationen, Nachweise und Mittel zur Wahrung der DSGVO-Konformität bereitzustellen.

### **§ 1 Gegenstand des Auftrags, Art und Zweck der Verarbeitung**

1. Der Auftragsverarbeiter übernimmt die Erstellung, Bereitstellung und den Betrieb eines KI gestützten Chatbots für den Auftraggeber. Der Chatbot ist in die Webseite(n) des Auftraggebers integriert und dazu konzipiert Webseitenbesuchern Fragen zu beantworten. Darüber hinaus hilft dieser dem Kundensupport bei der Beantwortung von Kundenanfragen via E-Mail.

2. Im Übrigen ergibt sich der Gegenstand des Auftrags aus der Leistungsübersicht des zugrunde liegenden Angebots (im Folgenden „Hauptvertrag“), auf welches hier verwiesen wird.

   Eine Verarbeitung personenbezogener Daten des Auftraggebers durch den Auftragnehmer ist darüber hinaus nicht vorgesehen.

3. Die Verarbeitung der personenbezogenen Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen dokumentierten Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO) und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44-49 DSGVO erfüllt sind.

### **§ 2 Art der personenbezogenen Daten, Kategorien betroffener Personen**

1. Art der Daten:

   ☒ Personenstammdaten\
   ☒ Kommunikationsdaten und Kommunikationsinhalte (z.B. Telefon, E-Mail)\
   ☒ Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)\
   ☒ Kundenhistorie\
   ☒ Vertragsabrechnungs- und Zahlungsdaten

2. Kreis der betroffenen Personen:

   ☒ Kunden\
   ☒ Interessenten\
   ☒ Mitarbeiter\
   ☐ Lieferanten\
   ☐ Dienstleister

3. Einschränkung der Art der Daten

   Die Nutzung des Chatbots an sich führt nicht zur Erhebung oder Verarbeitung von Kundenstammdaten. Personenbezogene Kundenstammdaten (z. B. Vor- und Nachname, E-Mail-Adresse oder vergleichbare Identifikationsdaten) werden durch den Auftragnehmer ausschließlich dann erfasst und verarbeitet, wenn

   1. diese vom Auftraggeber aktiv über technische Schnittstellen wie dem Web-SDK oder der API an den Auftragnehmer übermittelt werden,

   2. der Auftraggeber Funktionen zur Eskalation von Chat-Konversationen in E-Mails oder Tickets nutzt, oder

   3. eine Integration mit einem Ticketing System (Zendesk, Salesforce, etc.) eingerichtet ist.

   In diesen Fällen ist die Verarbeitung der übermittelten Kundenstammdaten zur Durchführung der jeweiligen Funktion (z. B. Zuordnung eines Nutzers, Erstellung oder Weiterleitung einer E-Mail oder eines Tickets) technisch erforderlich.

### **§ 3 Dauer des Auftrages**

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit im Angebot.

### **§ 4 Verantwortlichkeit und Weisungsbefugnis**

1. Der Auftraggeber ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich (Art. 4 Nr. 7 DSGVO). Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Etwas anderes gilt nur in dem in Absatz 2 genannten Umfang.

2. Der Auftragnehmer verarbeitet personenbezogene Daten nur auf von ihm zu dokumentierte Weisung des Auftraggebers, es sei denn, es besteht eine anderweitige Verpflichtung durch Unionsrecht oder das Recht des Mitgliedstaats, dem der Auftragnehmer unterliegt. Im Falle einer anderweitigen Verpflichtung teilt der Auftragnehmer dem Auftraggeber vor der Verarbeitung unverzüglich die entsprechenden rechtlichen Anforderungen mit.

3. Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er gemäß Art. 28 Abs. 3 S. 3 DSGVO unverzüglich den Auftraggeber. Bis zur Bestätigung oder Änderung der entsprechenden Weisung ist der Auftragnehmer berechtigt, die Durchführung der Weisung auszusetzen.

### **§ 5 Vertraulichkeit**

Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die gemäß Art. 28 Abs. 3 S. 2 lit. b DSGVO auf die Vertraulichkeit verpflichtet worden sind und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

### **§ 6 Datensicherheit**

1. Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen zum angemessenen Schutz der personenbezogenen Daten gemäß Art. 28 Abs. 3 lit. c DSGVO in Verbindung mit Art. 32 Abs. 1 DSGVO, um die Sicherheit der Verarbeitung im Auftrag zu gewährleisten. Dazu wird der Auftragnehmer

   * die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen,

   * die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, sicherstellen sowie

   * ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung unterhalten.

   Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

2. Die Vertragsparteien vereinbaren die in **Anlage 2 „Technische und organisatorische Maßnahmen“** zu dieser Vereinbarung niedergelegten konkreten Datensicherheits- maßnahmen.

3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren und dem Auftraggeber schriftlich mitzuteilen.

### **§ 7 Einbeziehung weiterer Auftragsverarbeiter (Subunternehmer)**

1. Als Subunternehmer im Sinne dieser Regelung gelten vom Auftragnehmer beauftragte Auftragsverarbeiter, deren Dienstleistungen sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht dazu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen und Reinigung in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

2. Die Auslagerung auf Subunternehmer oder der Wechsel des bestehenden Subunternehmers sind zulässig, soweit:

   * der Auftragnehmer eine solche Auslagerung auf Subunternehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und

   * der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten schriftlich oder in Textform gegenüber dem Auftragnehmer Einspruch gegen die geplante Auslagerung erhebt.

3. Mit dem Subunternehmer ist eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 3 und 4 DSGVO abzuschließen, die den Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit dieser Vereinbarung entspricht. Der Auftraggeber ist berechtigt, beim Auftragnehmer Einsicht in seine Verträge mit Subunternehmern zu nehmen und vom Auftragnehmer die Übersendung einer Kopie dieser Verträge zu verlangen.

4. Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Subunternehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Die durch den Auftraggeber zum Zeitpunkt des Vertragsschlusses genehmigten Subunternehmer sind in der **Anlage 1** zu diesem Vertrag aufgelistet.

5. Erbringt der Subunternehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.

### **§ 8 Unterstützung bei der Wahrung von Betroffenenrechten**

1. Der Auftragnehmer ist verpflichtet, den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Wahrung der in Art. 12 bis 22 DSGVO genannten Rechte der betroffenen Personen zu unterstützen (Art. 28 Abs. 3 S. 2 lit. e DSGVO). Insbesondere wird der Auftragnehmer den Auftraggeber darin unterstützen, Ansprüche Betroffener auf Löschung ihrer personenbezogenen Daten gemäß Art. 17 DSGVO zu erfüllen.

2. Der Auftragnehmer darf personenbezogene Daten nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Auskünfte an Dritte oder betroffene Personen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.

3. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer wendet, um ihre Rechte gemäß Art. 12 bis 22 DSGVO geltend zu machen, wird der Auftragnehmer das Ersuchen unverzüglich an den Auftraggeber weiterleiten.

### **§ 9 Unterstützung bei Dokumentations- und Meldepflichten**

1. Wenn dem Auftragnehmer eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Auftraggeber unverzüglich (Art. 28 Abs. 3 lit. f, Art. 33 Abs. 2 DSGVO). Das Gleiche gilt, wenn beim Auftragnehmer beschäftigte Personen gegen diese Vereinbarung verstoßen.

2. Nach Absprache mit dem Auftraggeber trifft der Auftragnehmer unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen.

3. Der Auftragnehmer unterstützt den Auftraggeber mit allen ihm zur Verfügung stehenden Informationen bei der Erfüllung der Informationspflichten gegenüber der zuständigen Aufsichtsbehörde gemäß Art. 33 DSGVO und ggf. gegenüber den von der Verletzung des Schutzes personenbezogener Daten Betroffenen gemäß Art. 34 DSGVO.

4. Der Auftragnehmer unterstützt den Auftraggeber mit allen ihm zur Verfügung stehenden Informationen bei der Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei einer vorherigen Konsultation der zuständigen Aufsichtsbehörde gemäß Art. 36 DSGVO.

5. Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen.

### **§ 10 Beendigung des Auftrages**

1. Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers entweder zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

2. Der Auftragnehmer weist unaufgefordert dem Auftraggeber in Textform mit Datumsangabe nach, dass er sämtliche Datenträger sowie sonstige Unterlagen an den Auftraggeber herausgegeben oder datenschutzkonform vernichtet oder gelöscht und somit keine Daten des Auftraggebers zurückbehalten hat.

3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

### **§ 11 Kontrollrechte des Auftraggebers**

1. Der Auftraggeber ist berechtigt, vor Beginn der Verarbeitungsleistungen und währenddessen regelmäßig die technischen und organisatorischen Maßnahmen sowie die Einhaltung dieser Vereinbarung und datenschutzrechtlicher Vorgaben zu kontrollieren. Dazu kann der Auftraggeber oder ein beauftragter Prüfer die Datenverarbeitungsanlagen und die Datenverarbeitungsprogramme des Auftragnehmers inspizieren.

2. Der Auftragnehmer ist verpflichtet, dem Auftraggeber zu den üblichen Geschäftszeiten Zutritt zu den Räumlichkeiten zu gewähren, in denen die Daten des Auftraggebers physisch oder elektronisch verarbeitet werden. Der Auftraggeber stimmt die Durchführung der Inspektionen mit dem Auftragnehmer so ab, dass der Betriebsablauf beim Auftragnehmer so wenig wie möglich beeinträchtigt wird.

3. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der technischen und organisatorischen Maßnahmen sowie der Einhaltung dieser Vereinbarung und datenschutzrechtlicher Vorgaben zur Verfügung. Zu diesen Informationen gehören insbesondere aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, externe Sachverständige, IT-Sicherheits- oder Datenschutzauditoren) und geeignete Zertifizierung (z.B. nach BSI-Grundschutz). Der Auftragnehmer erteilt dem Auftraggeber unverzüglich konkrete Auskunft im Einzelfall.

### **§ 12 Haftung**

1. Auftraggeber und Auftragnehmer haften im Außenverhältnis nach Art. 82 Abs. 1 und 4 DSGVO für den materiellen und immateriellen Schaden, den eine Person wegen eines Verstoßes gegen die DSGVO erleidet. Sind für einen solchen Schaden sowohl der Auftraggeber als auch der Auftragnehmer verantwortlich, haften die Parteien im Innenverhältnis für diesen Schaden entsprechend ihres Anteils an der Verantwortung. Nimmt eine Person in einem solchen Fall eine Partei ganz oder überwiegend auf Schadensersatz in Anspruch, so kann diese von der jeweils anderen Partei Freistellung oder Schadloshaltung verlangen, soweit es ihrem Anteil an der Verantwortung für den Schaden entspricht.

2. Der Auftragnehmer haftet dem Verantwortlichen gegenüber entsprechend auch für die Einhaltung datenschutzrechtlicher Vorgaben durch die Subunternehmer, die er zur Erfüllung seiner Aufgaben einsetzt. Das Verschulden von Subunternehmern ist dem Auftragnehmer wie eigenes Verschulden zuzurechnen.

### **§ 13 Schlussbestimmungen**

1. Überlassene Datenträger und Datensätze verbleiben im Eigentum des Auftraggebers.

2. Sollten einzelne oder mehrere Regelungen dieser Vereinbarung unwirksam sein, so wird die Wirksamkeit der übrigen Vereinbarung hiervon nicht berührt. Für den Fall der Unwirksamkeit einzelner oder mehrerer Regelungen werden die Vertragsparteien die unwirksame Regelung unverzüglich durch eine solche Regelung ersetzen, die der unwirksamen Regelung wirtschaftlich und datenschutzrechtlich am ehesten entspricht.

3. Im Falle eines Widerspruchs zwischen dem Hauptvertrag und dieser Vereinbarung geht diese Vereinbarung vor, soweit der Widerspruch die Verarbeitung personenbezogener Daten betrifft.

4. Die folgenden Anhänge sind Bestandteil dieser Vereinbarung:

   * Anlage 1 „Genehmigte Subunternehmer“

   * Anlage 2 „Technische und organisatorische Maßnahmen“

5. Diese Vereinbarung wird durch die Annahme des Angebots (Hauptvertrag) wirksam, das ausdrücklich auf die Allgemeinen Geschäftsbedingungen (AGB) und diese Vereinbarung zur Auftragsverarbeitung Bezug nimmt. Die Vertragsparteien ergeben sich aus dem Angebot; einer gesonderten Unterzeichnung dieser Vereinbarung bedarf es nicht. Auf Wunsch kann der Auftraggeber eine gesondert unterzeichnete Fassung anfordern und an [legal@botbrains.io](mailto:legal@botbrains.io) senden.

# Anlage 1

## **Genehmigte Subunternehmer**

Der Auftraggeber stimmt der Beauftragung der nachfolgenden Subunternehmer zu, jedoch nur unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2 bis 4 DSGVO:

| Kategorie  | Unternehmen                        | Adresse                                                         | Art der Dienstleistung                                    | Verarbeitungsstandort          | Data Privacy Framework                                 |
| ---------- | ---------------------------------- | --------------------------------------------------------------- | --------------------------------------------------------- | ------------------------------ | ------------------------------------------------------ |
| Hosting    | Amazon Web Services EMEA Sàrl      | Avenue John F. Kennedy 38, 1855 Luxemburg, Luxemburg            | Anwendungshosting, Datenbankhosting, KI-Modelle           | EU (Frankfurt, Paris)          | Ja                                                     |
|            | Hetzner Online GmbH                | Industriestr. 25, 91710 Gunzenhausen, Deutschland               | Anwendungshosting                                         | EU (Falkenstein, Nürnberg)     | entfällt                                               |
|            | DigitalOcean LLC                   | 101 Avenue of the Americas, 10th Floor, New York, NY 10013, USA | Anwendungshosting (Caching, asynchrone Auftragsplanung)   | EU (Frankfurt)                 | Ja                                                     |
|            | Vercel, Inc.                       | 650 California St, San Francisco, CA 94108, USA                 | Anwendungshosting                                         | EU, weltweit (CDN)<sup>1</sup> | Ja                                                     |
|            | Modal Labs, Inc.                   | 584 Broadway, Floor 10/1001, New York, NY 10012, USA            | Anwendungshosting (nur bei Nutzung der Unitools-Funktion) | EU                             | Nein                                                   |
| KI         | Microsoft Deutschland GmbH         | Walter-Gropius-Straße 5, 80807 München, Deutschland             | Anwendungshosting, KI-Modelle                             | EU                             | entfällt                                               |
|            | OpenAI Ireland Ltd                 | 70 Sir John Rogerson's Quay, Dublin 2, Irland                   | KI-Modelle                                                | EU                             | Nein, aber Zero-Data-Retention-Enterprise-Vereinbarung |
| Monitoring | Functional Software, Inc. (Sentry) | 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA      | Anwendungsüberwachung                                     | EU                             | Ja                                                     |
|            | Better Stack, Inc.                 | 651 N Broad Street, Suite 206, Middletown, DE 19709, USA        | Anwendungsüberwachung                                     | EU                             | Nein                                                   |
|            | Langfuse GmbH                      | Gethsemanestr. 4, 10437 Berlin, Deutschland                     | KI-Überwachung                                            | EU (Frankfurt)                 | entfällt                                               |
|            | PostHog, Inc.                      | 2261 Market Street 4008, San Francisco, CA 94114, USA           | Produktanalyse                                            | EU (Frankfurt)                 | Ja                                                     |

Der folgende Subunternehmer verarbeitet ausschließlich die Daten Ihrer Mitarbeiter (Beschäftigten) zur Plattform-Anmeldung, niemals Endnutzer-Chatdaten:

| Unternehmen | Adresse                                                 | Art der Dienstleistung                                       | Verarbeitungsstandort | Data Privacy Framework |
| ----------- | ------------------------------------------------------- | ------------------------------------------------------------ | --------------------- | ---------------------- |
| Clerk, Inc. | 660 King Street, Unit 345, San Francisco, CA 94107, USA | Authentifizierung und Nutzerverwaltung (Plattform-Anmeldung) | Weltweit<sup>2</sup>  | Ja                     |

\[1] Vercel verarbeitet die Anfragen zur Ausspielung statischer Inhalte mittels des Content Distribution Networks (CDNs). CDNs sind zur Latenz-Optimierung global verteilt. Vercel verarbeitet für die Ausspielung ausschließlich die IP-Adresse des Nutzers; Kommunikationsinhalte gehören nicht zu statischen Inhalten.

\[2] Clerk speichert die Daten von Mitarbeitern des Auftraggebers für die Anmeldung in der Adminoberfläche und wird ausschließlich für die Plattform, nicht für die Verarbeitung von Chat-Daten, genutzt. Clerk unterliegt den Vorgaben des Data Privacy Frameworks.

# Anlage 2

## **Technische und organisatorische Maßnahmen**

Die nach Ziffer 6 der Vereinbarung zur Auftragsverarbeitung zu konkretisierenden technischen und organisatorischen Maßnahmen beim Auftragnehmer sind im Folgenden\
explizit tabellarisch geregelt.

Folgende Grundsätze werden grundsätzlich beachtet:

1. Der Auftragnehmer verschlüsselt alle Daten im Ruhezustand und während der Übertragung, welche ausschließlich via TLS geschieht. Für Verschlüsselung wird der Industriestandard AES-256 genutzt.
2. Der Auftragnehmer nutzt Point-in-Time Recovery (PITR) mit automatisierten Datenbank-Backups und Write-Ahead-Log (WAL).
3. Dedizierte Trennung der Lokalen-, Staging- und Produktivumgebung. Tests werden in einer von der Produktivumgebung getrennten Umgebung durchgeführt.
4. Drittland Transfers sind ausgeschlossen. Kundendaten müssen auf EU-Servern gespeichert und verarbeitet werden. Die Verträge mit Subprozessoren sichern dem Auftraggeber bzw. den Kunden vom Auftragnehmer transitiv die Ausübungsrechte der Datensubjekte nach DSGVO zu.
5. Auftragsverarbeiter erhalten kein Recht auf Weiterverwendung der Daten für z.B. Trainingszwecke. Der Auftragsnehmer hat mit allen Zulieferern Auftragsdatenverarbeitungsverträge, siehe Anlage 1.
6. Transparenz über die Verfügbarkeit der botBrains Systeme über die Status-Seite: [status.botbrains.io](https://status.botbrains.io/)

\* Ja (S), Ja, wenn durch unsere Subprozessor gehandhabt (z.B. bei physischen Servern oder unserer Managed DB)

### Vertraulichkeit (ART. 32 ABS. 1 LIT. B DS-GVO)

#### Zutrittskontrolle

| Zutrittskontrolle Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist. | vorhanden ja |
| :------------------------------------------------------------------------------------------------------- | :----------- |
| Berechtigungsausweise                                                                                    | Ja (S)       |
| Elektronische Zutrittscodekarten/ Zutrittstransponder                                                    | Ja (S)       |
| Zutrittsberechtigungskonzept                                                                             | Ja (S)       |
| Videoüberwachung                                                                                         | Ja (S)       |
| Alarmanlage                                                                                              | Ja (S)       |
| Schlüsselregelung                                                                                        | Ja (S)       |
| Besucherausweise                                                                                         | Ja (S)       |
| Begleitung von Besucherzutritten durch eigene Mitarbeiter                                                | Ja (S)       |
| Anwesenheitsaufzeichnungen von Besucherzutritten                                                         | Ja (S)       |
| Sicherung auch außerhalb der Arbeitszeit durch Werkschutz                                                | Ja (S)       |
| Abgestufte Sicherheitsbereiche und kontrollierter Zutritt                                                | Ja (S)       |
| Spezialverglasung                                                                                        | Ja (S)       |
| Gesondert gesicherter Zutritt zum Rechenzentrum                                                          | Ja (S)       |
| Aufbewahrung der Server in verschlossenen Räumen                                                         | Ja (S)       |
| Aufbewahrung der Datenträger unter Verschluss bzw. in abgeschlossenen Räumen                             | Ja (S)       |
| Aufbewahrung von Datensicherungen (z.B. Bänder, CDs) im zutrittsgeschützten Safe                         | Ja (S)       |
| Anweisung zur Ausgabe von Schlüsseln                                                                     | Ja (S)       |

#### Zugangskontrolle

| Zugangskontrolle Das Eindringen Unbefugter in die DV-Systeme bzw. deren unbefugte Nutzung ist zu verhindern.                                               | vorhanden ja |
| :--------------------------------------------------------------------------------------------------------------------------------------------------------- | :----------- |
| Verschlüsselung von Netzwerken                                                                                                                             | Ja           |
| Verwendete Verschlüsselungsalgorithmen: WireGuard (ChaCha20-Poly1305 für Verschlüsselung, Curve25519 für Schlüsselaustausch, BLAKE2s für Hashing), TLS 1.3 |              |
| Verschluss von Datenverarbeitungsanlagen (z.B. verschlossener Cage für Server)                                                                             | Ja (S)       |
| Passwortsicherung von Bildschirmarbeitsplätzen                                                                                                             | Ja           |
| Funktionelle und/oder zeitlich limitierte Vergabe von Benutzerberechtigungen                                                                               | Ja           |
| Verwendung von individuellen Passwörtern                                                                                                                   | Ja           |
| Automatische Sperrung von Nutzeraccounts nach mehrfacher Fehleingabe von Passwörtern                                                                       | Ja           |
| Automatische passwortgesicherte Sperrung des Bildschirms nach Inaktivität (Bildschirmschoner)                                                              | Ja           |
| Passwortpolicy mit Mindestvorgaben zur Passwortkomplexität:                                                                                                | Ja           |
| Mindestens 8 Ziffern / Groß- und Kleinschreibung, Sonderzeichen, Zahl (davon mind. 3 Kriterien)                                                            | Ja           |
| Verhinderung von Trivialpasswörtern (z.B. Hund1, Hund2, Hund3)                                                                                             | Ja           |
| Passworthistorie (kein erneute Verwendung der letzten 5 Passwörter)                                                                                        | Ja           |
| Sonstiges:                                                                                                                                                 |              |
| Hashing von gespeicherten Passwörtern                                                                                                                      | Ja (S)       |
| Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper)                                                                                                  | Ja (S)       |
| Prozess zur Rechtevergabe bei Neueintritt von Mitarbeitern                                                                                                 | Ja           |
| Prozess zum Rechteentzug bei Abteilungswechseln von Mitarbeitern                                                                                           | Ja           |
| Prozess zum Rechteentzug bei Austritt von Mitarbeitern                                                                                                     | Ja           |
| Verpflichtung zur Vertraulichkeit                                                                                                                          | Ja           |
| Protokollierung und Auswertung der Systembenutzung                                                                                                         | Ja           |
| Kontrollierte Vernichtung von Datenträgern                                                                                                                 | Ja (S)       |

#### Zugriffskontrolle

| Zugriffskontrolle Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern. | vorhanden ja                                        |
| :---------------------------------------------------------------------------------------------------------------- | :-------------------------------------------------- |
| Festlegung der Zugriffsberechtigung, Berechtigungskonzept                                                         | Ja                                                  |
| Regelung zur Wiederherstellung von Daten aus Backups (wer, wann, auf wessen Anforderung)                          | Ja                                                  |
| Regelmäßige Überprüfung von Berechtigungen                                                                        | Ja                                                  |
| Beschränkung der freien und unkontrollierten Abfragemöglichkeit von Datenbanken                                   | Ja                                                  |
| Regelmäßige Auswertung von Protokollen (Logfiles)                                                                 | Ja                                                  |
| Teilzugriffsmöglichkeiten auf Datenbestände und Funktionen (Read, Write, Execute)                                 | Ja                                                  |
| Protokollierung von Dateizugriffen                                                                                | Ja                                                  |
| Protokollierung von Dateilöschungen                                                                               | Ja                                                  |
| Werden entsprechende Sicherheitssysteme (Software/Hardware) eingesetzt?                                           |                                                     |
| Virenscanner                                                                                                      | Ja                                                  |
| Firewalls                                                                                                         | Ja                                                  |
| SPAM-Filter                                                                                                       | Ja                                                  |
| Intrusionprevention (IPS)                                                                                         | Nein                                                |
| Intrusiondetection (IDS)                                                                                          | Ja                                                  |
| Software für das Security Information and Event Management (SIEM)                                                 | Ja                                                  |
| Verschlüsselte Speicherung der Daten                                                                              | Ja (at Rest)                                        |
| verwendete Verschlüsselungsalgorithmen:                                                                           |                                                     |
| AES-256                                                                                                           |                                                     |
| Verwendete Hash-Funktion:                                                                                         | Anmerkungen: in S3/Database liegen keine Passwörter |
| SHA2 (256, 384, 512 bit)                                                                                          | Nein                                                |
| SHA3                                                                                                              | Nein                                                |
| Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper)                                                         | Nein                                                |
|                                                                                                                   |                                                     |

#### **Trennungskontrolle**

| Trennungskontrolle Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.        | vorhanden ja |
| :------------------------------------------------------------------------------------------------------------------- | :----------- |
| Trennung von Kunden (Mandantenfähigkeit des verwendeten Systems)                                                     | Ja           |
| Dateiseparierung bei Datenbanken                                                                                     | Nein         |
| Logische Datentrennung (z.B. auf Basis von Kunden- oder Mandantennummern)                                            | Ja           |
| Verarbeitung der  Daten des Auftraggebers und anderer Kunden von unterschiedlichen Mitarbeitern des Auftragnehmers   | Ja           |
| Datensicherungen der Auftraggeber-Daten auf separaten Datenträgern (ohne Daten anderer Kunden)                       | Nein         |
| Berechtigungskonzept, das der getrennten Verarbeitung der Auftraggeber-Daten von Daten anderer Kunden Rechnung trägt | Ja           |
| Funktionstrennung                                                                                                    | Ja           |
| Trennung von Entwicklungs-, Test- und Produktivsystem                                                                | Ja           |
| Sonstiges: dediziertes System                                                                                        |              |

#### **Pseudonymisierung**

| (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen; | vorhanden ja |
| :--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :----------- |
| Maßnahmen: Daten Modellierung unseres Systems, Separation von Informationen                                                                                                                                                                                                                                                                                                                          |              |

### Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

#### **Weitergabekontrolle**

| Weitergabekontrolle Aspekte der Weitergabe (Übermittlung) personenbezogener Daten sind zu regeln: Elektronische Übertragung, Datentransport, sowie deren Kontrolle.       | vorhanden ja |
| :------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | :----------- |
| Welche Versendungsart der Daten besteht zwischen Auftraggeber und Dritten?                                                                                                |              |
| Citrix-Verbindung (128 Bit verschlüsselt)                                                                                                                                 | -            |
| VPN-Verbindung (IP-Sec)                                                                                                                                                   | Ja           |
| E-Mail Versand mit verschlüsselten ZIP-Dateien                                                                                                                            | Ja           |
| Datenaustausch über https-Verbindung                                                                                                                                      | Ja           |
| Sonstige Versendungsart:                                                                                                                                                  | -            |
| verwendete Verschlüsselungsalgorithmen:                                                                                                                                   | -            |
| Verwendete Hash-Funktion:                                                                                                                                                 | -            |
| Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper)                                                                                                                 | -            |
| Gesicherter Eingang für An-  und Ablieferung                                                                                                                              | -            |
| Dokumentierte Verwaltung von Datenträgern, Bestandskontrolle                                                                                                              | Ja           |
| Festlegung der Bereiche, in dem sich Datenträger befinden müssen                                                                                                          | -            |
| Verschlüsselung vertraulicher Datenträger                                                                                                                                 | Ja           |
| Verschlüsselung von Laptopfestplatten                                                                                                                                     | Ja           |
| Verschlüsselung mobiler Datenträger                                                                                                                                       | Ja           |
| Kontrollierte Vernichtung von Daten                                                                                                                                       | Ja           |
| Datenträgerentsorgung - Sichere Löschung von Datenträgern:                                                                                                                |              |
| Physikalische Zerstörung (z.B. Shredder bei Partikelgrößen bis max. 1000 Quadrat-Millimeter)                                                                              | Nein         |
| Sonstiges: Überschreibung bei Bändern und Festplatten                                                                                                                     | Ja           |
| Papierentsorgung: Sicheres Vernichten von Papierdokumenten: Das Anfertigen von Papierdokumenten ist für Sicherheit oder Datenschutz relevanten Daten ist nicht vorgesehen | Nein         |
| Verschlossene Behältnisse aus Metall (sog. Datenschutztonnen), Entsorgung durch Dienstleister                                                                             | -            |
| Shredder gem. DIN 66399                                                                                                                                                   | -            |
| Sicherheitsstufe:                                                                                                                                                         | -            |
| Regelung zur Anfertigung von Kopien                                                                                                                                       | Ja           |
| Sicherungskopien von Datenträgern, die transportiert werden müssen                                                                                                        | -            |
| Dokumentation der Stellen, an die eine Übermittlung vorgesehen ist, sowie der Übermittlungswege                                                                           | Ja           |
| Verpackungs- und Versandvorschriften, verschlüsselter E-Mail-Versand                                                                                                      | Ja           |
| Vollständigkeits- und Richtigkeitsprüfung                                                                                                                                 | Ja           |
| Sonstiges: Klicken Sie hier, um Text einzugeben.                                                                                                                          |              |

#### **Eingabekontrolle**

| Eingabekontrolle Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten | vorhanden ja                    |
| :--------------------------------------------------------------------------------------------------------------- | :------------------------------ |
| Kennzeichnung erfasster Daten                                                                                    | Ja                              |
| Festlegung von Benutzerberechtigungen (Profile)                                                                  | Ja                              |
| Differenzierte Benutzerberechtigungen:                                                                           |                                 |
| Lesen, Ändern, Löschen                                                                                           | Ja                              |
| Teilzugriff auf Daten bzw. Funktionen                                                                            | Ja                              |
| Feldzugriff bei Datenbanken                                                                                      | kein direkter Datenbank Zugriff |
| Organisatorische Festlegung von Eingabezuständigkeiten                                                           | Ja                              |
| Protokollierung von Eingaben/Löschungen                                                                          | Nein                            |
| Protokollauswertungssystem                                                                                       | Nein                            |
| Verpflichtung auf das Datengeheimnis                                                                             | Nein                            |
| Über OS-Standard hinausgehendes Log-Konzept                                                                      | Ja                              |
| Dezidierter Logserver                                                                                            | Ja                              |
| Regelung der Zugriffsberechtigungen für Logserver (LogAdmin)                                                     | Ja                              |
| Regelung zu Aufbewahrungsfristen für Revision/Nachweiszwecke                                                     | Ja                              |
| Sonstiges: Klicken Sie hier, um Text einzugeben.                                                                 |                                 |

### Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

#### **Verfügbarkeitskontrolle**

| Verfügbarkeitskontrolle Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.                 | vorhanden ja |
| :---------------------------------------------------------------------------------------------------------- | :----------- |
| Datensicherungs- und Backupkonzepte                                                                         | Ja           |
| Durchführung der Datensicherungs- und Backupkonzepte                                                        | Ja           |
| Zutrittsbegrenzung in Serverräumlichkeiten auf notwendiges Personal                                         | Ja (S)       |
| Brandmeldeanlagen in Serverräumlichkeiten                                                                   | Ja (S)       |
| Rauchmelder in Serverräumlichkeiten                                                                         | Ja (S)       |
| Wasserlose Brandbekämpfungssysteme in Serverräumlichkeiten                                                  | Ja (S)       |
| Klimatisierte Serverräumlichkeiten                                                                          | Ja (S)       |
| Blitz-/ Überspannungsschutz                                                                                 | Ja (S)       |
| Wassersensoren in Serverräumlichkeiten                                                                      | Ja (S)       |
| Serverräumlichkeiten in separaten Brandabschnitt                                                            | Ja (S)       |
| Unterbringung von Backupsystemen in separaten Räumlichkeiten und Brandabschnitt                             | Ja (S)       |
| Gewährleistung der technischen Lesbarkeit von Backupspeichermedien für die Zukunft                          | Ja (S)       |
| Lagerung von Archiv-Speichermedien unter notwendigen Lagerbedingungen (Klimatisierung, Schutzbedarf etc.)   | Ja (S)       |
| CO2 Feuerlöscher in unmittelbarer Nähe der Serverräumlichkeiten                                             | Ja (S)       |
| Vereinbarung bzgl. Übergabe der (Daten-) Sicherungen                                                        | Ja (S)       |
| Katastrophen- oder Notfallplan (z.B. Wasser, Feuer, Explosion, Androhung von Anschlägen, Absturz, Erdbeben) | Ja (S)       |
| Einbeziehung des Einflusses angrenzender baulicher Einrichtungen                                            | Ja (S)       |
| Schwachstellenanalyse (Geländeschutz, Gebäudeschutz, Eindringen in Rechner, Rechnernetze)                   | Ja (S)       |
| Aufbewahrung der Daten in Datensicherungsschränken, Tresoren                                                | Ja (S)       |
| USV-Anlage (Unterbrechungsfreie Stromversorgung)                                                            | Ja (S)       |
| Stromgenerator                                                                                              | Ja (S)       |
| Sonstiges: Klicken Sie hier, um Text einzugeben.                                                            |              |

#### Widerstandsfähigkeit- und Ausfallsicherheitskontrolle

| Widerstandsfähigkeit- und Ausfallsicherheitskontrolle Systeme müssen die Fähigkeit besitzen mit risikobedingten Veränderungen umgehen zu können und eine Toleranz und Ausgleichsfähigkeit gegenüber Störungen aufweisen.    | vorhanden ja |
| :-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :----------- |
| Ausweich-Rechenzentren vorhanden (Hot- bzw. Cold-Stand-by?): Hot                                                                                                                                                            | Ja           |
| Redundante Stromversorgung                                                                                                                                                                                                  | Ja (S)       |
| Redundante USV-Anlage                                                                                                                                                                                                       | Ja (S)       |
| Redundante Stromgeneratoren                                                                                                                                                                                                 | Ja (S)       |
| Redundante Klimatisierung                                                                                                                                                                                                   | Ja (S)       |
| Redundante Brandbekämpfung                                                                                                                                                                                                  | Ja (S)       |
| sonstige redundante Systeme/Verfahren:                                                                                                                                                                                      |              |
| Festplattenspiegelung                                                                                                                                                                                                       | Ja (S)       |
| Computer Emergency Response Team (CERT)                                                                                                                                                                                     | Ja (S)       |
| Loadbalancer                                                                                                                                                                                                                | Ja           |
| Datenspeicherung auf RAID-Systemen (RAID 1 und höher)                                                                                                                                                                       | Ja (S)       |
| Abgrenzung kritischer Komponenten                                                                                                                                                                                           | Ja           |
| Durchführung von Penetrationstests                                                                                                                                                                                          | Nein         |
| Systemhärtung (Deaktivierung nicht erforderlicher Komponenten)                                                                                                                                                              | Ja           |
| Unverzügliche und regelmäßige Aktivierung von verfügbaren Soft- und Firmwareupdates                                                                                                                                         | Ja           |
| Identifikation der verschiedenen Geräte, aus denen sich das Netzwerk zusammensetzt, und Bestimmung ihrer Hardware-Version sowie ihrer aktuellen Software- und Firmware-Versionen.                                           | Ja           |
| Kommunikationskanal mit den Herstellern, um sich über neue Updates und Patches zu informieren, die für die im Besitz befindlichen Geräte freigegeben wurden.                                                                | Ja           |
| Definition von Zeiträumen, in denen die Updates implementiert werden sollen (z. B. Perioden niedrigerer Operationen, Wartungszeiten usw.).                                                                                  | Ja           |
| Verwendung redundanter Systeme, um den Betrieb aufrecht zu erhalten, während die Hauptgeräte aktualisiert werden.                                                                                                           | Ja           |
| Progressive Bereitstellung von Updates / Patches, um Probleme frühzeitig zu erkennen, ohne mehrere Geräte zu beeinträchtigen.                                                                                               | Ja           |
| Festlegung einer Testperiode, um die korrekte Implementierung des Updates zu überprüfen und sicherzustellen, dass die Operationen mit den neuen Updates weiterhin reibungslos ablaufen.                                     | Ja           |
| Sicherheit wird während der Entwurfsphase der Systeme als Hauptbetrachtung mit umfasst.                                                                                                                                     | Ja           |
| Definition von Sicherheitsmaßnahmen zum Schutz und zur Validierung der Kommunikation zwischen Systemkomponenten                                                                                                             | Ja           |
| Begrenzung von Berechtigungen auf Bedarfsnotwendigkeit.                                                                                                                                                                     | Ja           |
| Externe Auftragnehmer und Wartungspersonal erhalten einen spezifischen Zugang, der nur während des Eingriffs aktiv und den Rest der Zeit deaktiviert ist.                                                                   | Ja           |
| Periodische Sicherheitstrainings und Sensibilisierungskampagnen innerhalb der Organisation.                                                                                                                                 | Ja           |
| Sensibilisierungskampagnen, um die Benutzer über die Sicherheitskonzepte zu informieren, die sowohl für konkrete Systeme als auch für traditionelle IT-Systeme spezifisch sind.                                             | Ja           |
| Spezielles Sicherheitstraining, um zu lehren, wie man Sicherheitsmaßnahmen und Verhaltensweisen auf die täglichen Prozesse mit möglichst geringem Aufwand anwendet.                                                         | Nein         |
| Abschluss einer Cyber-Versicherung                                                                                                                                                                                          | Nein         |
| Identifikation der IT-Geräte, Assets und Netzwerksysteme in der Infrastruktur der Organisation.                                                                                                                             | Ja           |
| Durchführung einer Risikoanalyse unter Berücksichtigung all dieser Systeme, Geräte und Vermögenswerte, die identifiziert wurden, zur Ermittlung der Bedrohungen, inklusive ihrer Wahrscheinlichkeit und ihrer Auswirkungen. | Nein         |

### Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

#### **Kontrollverfahren**

| Kontrollverfahren Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Datensicherheitsmaßnahmen ist zu implementieren                                                    | vorhanden ja |
| :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :----------- |
| Interne Verfahrensverzeichnisse werden mind. jährlich aktualisiert                                                                                                                                             | Ja           |
| Meldung neuer/veränderter Datenverarbeitungsverfahren an den Datenschutzbeauftragten                                                                                                                           | Ja           |
| Meldung neuer/veränderter Datenverarbeitungsverfahren an den IT-Sicherheitsbeauftragten                                                                                                                        | Ja           |
| Prozesse zur Meldung neuer/veränderter Verfahren sind dokumentiert                                                                                                                                             | Ja           |
| Es werden datenschutzfreundliche Voreinstellungen gewählt                                                                                                                                                      | Ja           |
| Getroffene Sicherheitsmaßnahmen werden einer regelmäßigen internen Kontrolle unterzogen                                                                                                                        | Ja           |
| Bei negativem Verlauf der zuvor genannten Überprüfung werden die Sicherheitsmaßnahmen risikobezogen angepasst, erneuert und umgesetzt                                                                          | Ja           |
| Es besteht ein Prozess zur Vorbereitung auf Sicherheitsverletzungen (Angriffen) und Systemstörungen sowie zur Identifizierung, Eingrenzung, Beseitigung und Erholung von selbigen (Incident-Response-Prozess). | Ja           |
|                                                                                                                                                                                                                |              |

#### **Auftragskontrolle**

| Auftragskontrolle Es ist sicherzustellen, dass Daten die im Auftrag durch Dienstleister (Subauftragnehmer) verarbeitet werden, nur gemäß der Weisung des Auftragnehmers verarbeitet werden. | vorhanden ja |
| :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | :----------- |
| Vertragsgestaltung gem. gesetzlichen Vorgaben (Art. 28 DSGVO)                                                                                                                               | Ja           |
| Zentrale Erfassung vorhandener Dienstleister (einheitliches Vertragsmanagement)                                                                                                             | Ja           |
| Regelmäßige Kontrollen beim Auftragnehmer nach Vertragsbeginn (Während Vertragsdauer)                                                                                                       | Nein         |
| Vor-Ort-Kontrollen beim Auftragnehmer                                                                                                                                                       | Nein         |
| Überprüfung des Datensicherheitskonzepts beim Auftragnehmer                                                                                                                                 | Ja           |
| Sichtung vorhandener IT-Sicherheitszertifikate der Auftragnehmer                                                                                                                            | Ja           |
