Skip to main content
Technical and Organizational Measures (TOMs) are the safeguards botBrains applies to protect personal data, covering areas such as encryption, access control, availability, and resilience. Our Data Processing Agreement references the measures below, which form Annex 2 (Anlage 2) to the DPA and are maintained in German.

Technische und organisatorische Maßnahmen

Die nach Ziffer 6 der Vereinbarung zur Auftragsverarbeitung zu konkretisierenden technischen und organisatorischen Maßnahmen beim Auftragnehmer sind im Folgenden
explizit tabellarisch geregelt.
Folgende Grundsätze werden grundsätzlich beachtet:
  1. Der Auftragnehmer verschlüsselt alle Daten im Ruhezustand und während der Übertragung, welche ausschließlich via TLS geschieht. Für Verschlüsselung wird der Industriestandard AES-256 genutzt.
  2. Der Auftragnehmer nutzt Point-in-Time Recovery (PITR) mit automatisierten Datenbank-Backups und Write-Ahead-Log (WAL).
  3. Dedizierte Trennung der Lokalen-, Staging- und Produktivumgebung. Tests werden in einer von der Produktivumgebung getrennten Umgebung durchgeführt.
  4. Drittland Transfers sind ausgeschlossen. Kundendaten müssen auf EU-Servern gespeichert und verarbeitet werden. Die Verträge mit Subprozessoren sichern dem Auftraggeber bzw. den Kunden vom Auftragnehmer transitiv die Ausübungsrechte der Datensubjekte nach DSGVO zu.
  5. Auftragsverarbeiter erhalten kein Recht auf Weiterverwendung der Daten für z.B. Trainingszwecke. Der Auftragsnehmer hat mit allen Zulieferern Auftragsdatenverarbeitungsverträge, siehe Anlage 1.
  6. Transparenz über die Verfügbarkeit der botBrains Systeme über die Status-Seite: status.botbrains.io
* Ja (S), Ja, wenn durch unsere Subprozessor gehandhabt (z.B. bei physischen Servern oder unserer Managed DB)

Vertraulichkeit (ART. 32 ABS. 1 LIT. B DS-GVO)

Zutrittskontrolle

Zutrittskontrolle Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.vorhanden ja
BerechtigungsausweiseJa (S)
Elektronische Zutrittscodekarten/ ZutrittstransponderJa (S)
ZutrittsberechtigungskonzeptJa (S)
VideoüberwachungJa (S)
AlarmanlageJa (S)
SchlüsselregelungJa (S)
BesucherausweiseJa (S)
Begleitung von Besucherzutritten durch eigene MitarbeiterJa (S)
Anwesenheitsaufzeichnungen von BesucherzutrittenJa (S)
Sicherung auch außerhalb der Arbeitszeit durch WerkschutzJa (S)
Abgestufte Sicherheitsbereiche und kontrollierter ZutrittJa (S)
SpezialverglasungJa (S)
Gesondert gesicherter Zutritt zum RechenzentrumJa (S)
Aufbewahrung der Server in verschlossenen RäumenJa (S)
Aufbewahrung der Datenträger unter Verschluss bzw. in abgeschlossenen RäumenJa (S)
Aufbewahrung von Datensicherungen (z.B. Bänder, CDs) im zutrittsgeschützten SafeJa (S)
Anweisung zur Ausgabe von SchlüsselnJa (S)

Zugangskontrolle

Zugangskontrolle Das Eindringen Unbefugter in die DV-Systeme bzw. deren unbefugte Nutzung ist zu verhindern.vorhanden ja
Verschlüsselung von NetzwerkenJa
Verwendete Verschlüsselungsalgorithmen: WireGuard (ChaCha20-Poly1305 für Verschlüsselung, Curve25519 für Schlüsselaustausch, BLAKE2s für Hashing), TLS 1.3
Verschluss von Datenverarbeitungsanlagen (z.B. verschlossener Cage für Server)Ja (S)
Passwortsicherung von BildschirmarbeitsplätzenJa
Funktionelle und/oder zeitlich limitierte Vergabe von BenutzerberechtigungenJa
Verwendung von individuellen PasswörternJa
Automatische Sperrung von Nutzeraccounts nach mehrfacher Fehleingabe von PasswörternJa
Automatische passwortgesicherte Sperrung des Bildschirms nach Inaktivität (Bildschirmschoner)Ja
Passwortpolicy mit Mindestvorgaben zur Passwortkomplexität:Ja
Mindestens 8 Ziffern / Groß- und Kleinschreibung, Sonderzeichen, Zahl (davon mind. 3 Kriterien)Ja
Verhinderung von Trivialpasswörtern (z.B. Hund1, Hund2, Hund3)Ja
Passworthistorie (kein erneute Verwendung der letzten 5 Passwörter)Ja
Sonstiges:      
Hashing von gespeicherten PasswörternJa (S)
Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper)Ja (S)
Prozess zur Rechtevergabe bei Neueintritt von MitarbeiternJa
Prozess zum Rechteentzug bei Abteilungswechseln von MitarbeiternJa
Prozess zum Rechteentzug bei Austritt von MitarbeiternJa
Verpflichtung zur VertraulichkeitJa
Protokollierung und Auswertung der SystembenutzungJa
Kontrollierte Vernichtung von DatenträgernJa (S)

Zugriffskontrolle

Zugriffskontrolle Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern.vorhanden ja
Festlegung der Zugriffsberechtigung, BerechtigungskonzeptJa
Regelung zur Wiederherstellung von Daten aus Backups (wer, wann, auf wessen Anforderung)Ja
Regelmäßige Überprüfung von BerechtigungenJa
Beschränkung der freien und unkontrollierten Abfragemöglichkeit von DatenbankenJa
Regelmäßige Auswertung von Protokollen (Logfiles)Ja
Teilzugriffsmöglichkeiten auf Datenbestände und Funktionen (Read, Write, Execute)Ja
Protokollierung von DateizugriffenJa
Protokollierung von DateilöschungenJa
Werden entsprechende Sicherheitssysteme (Software/Hardware) eingesetzt?
VirenscannerJa
FirewallsJa
SPAM-FilterJa
Intrusionprevention (IPS)Nein
Intrusiondetection (IDS)Ja
Software für das Security Information and Event Management (SIEM)Ja
Verschlüsselte Speicherung der DatenJa (at Rest)
verwendete Verschlüsselungsalgorithmen:
AES-256
Verwendete Hash-Funktion:Anmerkungen: in S3/Database liegen keine Passwörter
SHA2 (256, 384, 512 bit)Nein
SHA3Nein
Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper)Nein

Trennungskontrolle

Trennungskontrolle Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.vorhanden ja
Trennung von Kunden (Mandantenfähigkeit des verwendeten Systems)Ja
Dateiseparierung bei DatenbankenNein
Logische Datentrennung (z.B. auf Basis von Kunden- oder Mandantennummern)Ja
Verarbeitung der Daten des Auftraggebers und anderer Kunden von unterschiedlichen Mitarbeitern des AuftragnehmersJa
Datensicherungen der Auftraggeber-Daten auf separaten Datenträgern (ohne Daten anderer Kunden)Nein
Berechtigungskonzept, das der getrennten Verarbeitung der Auftraggeber-Daten von Daten anderer Kunden Rechnung trägtJa
FunktionstrennungJa
Trennung von Entwicklungs-, Test- und ProduktivsystemJa
Sonstiges: dediziertes System

Pseudonymisierung

(Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO) Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;vorhanden ja
Maßnahmen: Daten Modellierung unseres Systems, Separation von Informationen

Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle

Weitergabekontrolle Aspekte der Weitergabe (Übermittlung) personenbezogener Daten sind zu regeln: Elektronische Übertragung, Datentransport, sowie deren Kontrolle.vorhanden ja
Welche Versendungsart der Daten besteht zwischen Auftraggeber und Dritten?
Citrix-Verbindung (128 Bit verschlüsselt)-
VPN-Verbindung (IP-Sec)Ja
E-Mail Versand mit verschlüsselten ZIP-DateienJa
Datenaustausch über https-VerbindungJa
Sonstige Versendungsart:      -
verwendete Verschlüsselungsalgorithmen:-
Verwendete Hash-Funktion:-
Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper)-
Gesicherter Eingang für An- und Ablieferung-
Dokumentierte Verwaltung von Datenträgern, BestandskontrolleJa
Festlegung der Bereiche, in dem sich Datenträger befinden müssen-
Verschlüsselung vertraulicher DatenträgerJa
Verschlüsselung von LaptopfestplattenJa
Verschlüsselung mobiler DatenträgerJa
Kontrollierte Vernichtung von DatenJa
Datenträgerentsorgung - Sichere Löschung von Datenträgern:
Physikalische Zerstörung (z.B. Shredder bei Partikelgrößen bis max. 1000 Quadrat-Millimeter)Nein
Sonstiges: Überschreibung bei Bändern und FestplattenJa
Papierentsorgung: Sicheres Vernichten von Papierdokumenten: Das Anfertigen von Papierdokumenten ist für Sicherheit oder Datenschutz relevanten Daten ist nicht vorgesehenNein
Verschlossene Behältnisse aus Metall (sog. Datenschutztonnen), Entsorgung durch Dienstleister-
Shredder gem. DIN 66399-
Sicherheitsstufe:      -
Regelung zur Anfertigung von KopienJa
Sicherungskopien von Datenträgern, die transportiert werden müssen-
Dokumentation der Stellen, an die eine Übermittlung vorgesehen ist, sowie der ÜbermittlungswegeJa
Verpackungs- und Versandvorschriften, verschlüsselter E-Mail-VersandJa
Vollständigkeits- und RichtigkeitsprüfungJa
Sonstiges: Klicken Sie hier, um Text einzugeben.

Eingabekontrolle

Eingabekontrolle Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleistenvorhanden ja
Kennzeichnung erfasster DatenJa
Festlegung von Benutzerberechtigungen (Profile)Ja
Differenzierte Benutzerberechtigungen:
Lesen, Ändern, LöschenJa
Teilzugriff auf Daten bzw. FunktionenJa
Feldzugriff bei Datenbankenkein direkter Datenbank Zugriff
Organisatorische Festlegung von EingabezuständigkeitenJa
Protokollierung von Eingaben/LöschungenNein
ProtokollauswertungssystemNein
Verpflichtung auf das DatengeheimnisNein
Über OS-Standard hinausgehendes Log-KonzeptJa
Dezidierter LogserverJa
Regelung der Zugriffsberechtigungen für Logserver (LogAdmin)Ja
Regelung zu Aufbewahrungsfristen für Revision/NachweiszweckeJa
Sonstiges: Klicken Sie hier, um Text einzugeben.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeitskontrolle

Verfügbarkeitskontrolle Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.vorhanden ja
Datensicherungs- und BackupkonzepteJa
Durchführung der Datensicherungs- und BackupkonzepteJa
Zutrittsbegrenzung in Serverräumlichkeiten auf notwendiges PersonalJa (S)
Brandmeldeanlagen in ServerräumlichkeitenJa (S)
Rauchmelder in ServerräumlichkeitenJa (S)
Wasserlose Brandbekämpfungssysteme in ServerräumlichkeitenJa (S)
Klimatisierte ServerräumlichkeitenJa (S)
Blitz-/ ÜberspannungsschutzJa (S)
Wassersensoren in ServerräumlichkeitenJa (S)
Serverräumlichkeiten in separaten BrandabschnittJa (S)
Unterbringung von Backupsystemen in separaten Räumlichkeiten und BrandabschnittJa (S)
Gewährleistung der technischen Lesbarkeit von Backupspeichermedien für die ZukunftJa (S)
Lagerung von Archiv-Speichermedien unter notwendigen Lagerbedingungen (Klimatisierung, Schutzbedarf etc.)Ja (S)
CO2 Feuerlöscher in unmittelbarer Nähe der ServerräumlichkeitenJa (S)
Vereinbarung bzgl. Übergabe der (Daten-) SicherungenJa (S)
Katastrophen- oder Notfallplan (z.B. Wasser, Feuer, Explosion, Androhung von Anschlägen, Absturz, Erdbeben)Ja (S)
Einbeziehung des Einflusses angrenzender baulicher EinrichtungenJa (S)
Schwachstellenanalyse (Geländeschutz, Gebäudeschutz, Eindringen in Rechner, Rechnernetze)Ja (S)
Aufbewahrung der Daten in Datensicherungsschränken, TresorenJa (S)
USV-Anlage (Unterbrechungsfreie Stromversorgung)Ja (S)
StromgeneratorJa (S)
Sonstiges: Klicken Sie hier, um Text einzugeben.

Widerstandsfähigkeit- und Ausfallsicherheitskontrolle

Widerstandsfähigkeit- und Ausfallsicherheitskontrolle Systeme müssen die Fähigkeit besitzen mit risikobedingten Veränderungen umgehen zu können und eine Toleranz und Ausgleichsfähigkeit gegenüber Störungen aufweisen.vorhanden ja
Ausweich-Rechenzentren vorhanden (Hot- bzw. Cold-Stand-by?): HotJa
Redundante StromversorgungJa (S)
Redundante USV-AnlageJa (S)
Redundante StromgeneratorenJa (S)
Redundante KlimatisierungJa (S)
Redundante BrandbekämpfungJa (S)
sonstige redundante Systeme/Verfahren:      
FestplattenspiegelungJa (S)
Computer Emergency Response Team (CERT)Ja (S)
LoadbalancerJa
Datenspeicherung auf RAID-Systemen (RAID 1 und höher)Ja (S)
Abgrenzung kritischer KomponentenJa
Durchführung von PenetrationstestsNein
Systemhärtung (Deaktivierung nicht erforderlicher Komponenten)Ja
Unverzügliche und regelmäßige Aktivierung von verfügbaren Soft- und FirmwareupdatesJa
Identifikation der verschiedenen Geräte, aus denen sich das Netzwerk zusammensetzt, und Bestimmung ihrer Hardware-Version sowie ihrer aktuellen Software- und Firmware-Versionen.Ja
Kommunikationskanal mit den Herstellern, um sich über neue Updates und Patches zu informieren, die für die im Besitz befindlichen Geräte freigegeben wurden.Ja
Definition von Zeiträumen, in denen die Updates implementiert werden sollen (z. B. Perioden niedrigerer Operationen, Wartungszeiten usw.).Ja
Verwendung redundanter Systeme, um den Betrieb aufrecht zu erhalten, während die Hauptgeräte aktualisiert werden.Ja
Progressive Bereitstellung von Updates / Patches, um Probleme frühzeitig zu erkennen, ohne mehrere Geräte zu beeinträchtigen.Ja
Festlegung einer Testperiode, um die korrekte Implementierung des Updates zu überprüfen und sicherzustellen, dass die Operationen mit den neuen Updates weiterhin reibungslos ablaufen.Ja
Sicherheit wird während der Entwurfsphase der Systeme als Hauptbetrachtung mit umfasst.Ja
Definition von Sicherheitsmaßnahmen zum Schutz und zur Validierung der Kommunikation zwischen SystemkomponentenJa
Begrenzung von Berechtigungen auf Bedarfsnotwendigkeit.Ja
Externe Auftragnehmer und Wartungspersonal erhalten einen spezifischen Zugang, der nur während des Eingriffs aktiv und den Rest der Zeit deaktiviert ist.Ja
Periodische Sicherheitstrainings und Sensibilisierungskampagnen innerhalb der Organisation.Ja
Sensibilisierungskampagnen, um die Benutzer über die Sicherheitskonzepte zu informieren, die sowohl für konkrete Systeme als auch für traditionelle IT-Systeme spezifisch sind.Ja
Spezielles Sicherheitstraining, um zu lehren, wie man Sicherheitsmaßnahmen und Verhaltensweisen auf die täglichen Prozesse mit möglichst geringem Aufwand anwendet.Nein
Abschluss einer Cyber-VersicherungNein
Identifikation der IT-Geräte, Assets und Netzwerksysteme in der Infrastruktur der Organisation.Ja
Durchführung einer Risikoanalyse unter Berücksichtigung all dieser Systeme, Geräte und Vermögenswerte, die identifiziert wurden, zur Ermittlung der Bedrohungen, inklusive ihrer Wahrscheinlichkeit und ihrer Auswirkungen.Nein

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Kontrollverfahren

Kontrollverfahren Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Datensicherheitsmaßnahmen ist zu implementierenvorhanden ja
Interne Verfahrensverzeichnisse werden mind. jährlich aktualisiertJa
Meldung neuer/veränderter Datenverarbeitungsverfahren an den DatenschutzbeauftragtenJa
Meldung neuer/veränderter Datenverarbeitungsverfahren an den IT-SicherheitsbeauftragtenJa
Prozesse zur Meldung neuer/veränderter Verfahren sind dokumentiertJa
Es werden datenschutzfreundliche Voreinstellungen gewähltJa
Getroffene Sicherheitsmaßnahmen werden einer regelmäßigen internen Kontrolle unterzogenJa
Bei negativem Verlauf der zuvor genannten Überprüfung werden die Sicherheitsmaßnahmen risikobezogen angepasst, erneuert und umgesetztJa
Es besteht ein Prozess zur Vorbereitung auf Sicherheitsverletzungen (Angriffen) und Systemstörungen sowie zur Identifizierung, Eingrenzung, Beseitigung und Erholung von selbigen (Incident-Response-Prozess).Ja

Auftragskontrolle

Auftragskontrolle Es ist sicherzustellen, dass Daten die im Auftrag durch Dienstleister (Subauftragnehmer) verarbeitet werden, nur gemäß der Weisung des Auftragnehmers verarbeitet werden.vorhanden ja
Vertragsgestaltung gem. gesetzlichen Vorgaben (Art. 28 DSGVO)Ja
Zentrale Erfassung vorhandener Dienstleister (einheitliches Vertragsmanagement)Ja
Regelmäßige Kontrollen beim Auftragnehmer nach Vertragsbeginn (Während Vertragsdauer)Nein
Vor-Ort-Kontrollen beim AuftragnehmerNein
Überprüfung des Datensicherheitskonzepts beim AuftragnehmerJa
Sichtung vorhandener IT-Sicherheitszertifikate der AuftragnehmerJa