> ## Documentation Index
> Fetch the complete documentation index at: https://docs.botbrains.io/llms.txt
> Use this file to discover all available pages before exploring further.

# Technical and Organizational Measures

> The technical and organizational measures botBrains uses to protect your data

Technical and Organizational Measures (TOMs) are the safeguards botBrains applies to protect personal data, covering areas such as encryption, access control, availability, and resilience. Our [Data Processing Agreement](/data-processing-agreement) references the measures below, which form Annex 2 (Anlage 2) to the DPA and are maintained in German.

## **Technische und organisatorische Maßnahmen**

Die nach Ziffer 6 der Vereinbarung zur Auftragsverarbeitung zu konkretisierenden technischen und organisatorischen Maßnahmen beim Auftragnehmer sind im Folgenden\
explizit tabellarisch geregelt.

Folgende Grundsätze werden grundsätzlich beachtet:

1. Der Auftragnehmer verschlüsselt alle Daten im Ruhezustand und während der Übertragung, welche ausschließlich via TLS geschieht. Für Verschlüsselung wird der Industriestandard AES-256 genutzt.
2. Der Auftragnehmer nutzt Point-in-Time Recovery (PITR) mit automatisierten Datenbank-Backups und Write-Ahead-Log (WAL).
3. Dedizierte Trennung der Lokalen-, Staging- und Produktivumgebung. Tests werden in einer von der Produktivumgebung getrennten Umgebung durchgeführt.
4. Drittland Transfers sind ausgeschlossen. Kundendaten müssen auf EU-Servern gespeichert und verarbeitet werden. Die Verträge mit Subprozessoren sichern dem Auftraggeber bzw. den Kunden vom Auftragnehmer transitiv die Ausübungsrechte der Datensubjekte nach DSGVO zu.
5. Auftragsverarbeiter erhalten kein Recht auf Weiterverwendung der Daten für z.B. Trainingszwecke. Der Auftragsnehmer hat mit allen Zulieferern Auftragsdatenverarbeitungsverträge, siehe Anlage 1.
6. Transparenz über die Verfügbarkeit der botBrains Systeme über die Status-Seite: [status.botbrains.io](https://status.botbrains.io/)

\* Ja (S), Ja, wenn durch unsere Subprozessor gehandhabt (z.B. bei physischen Servern oder unserer Managed DB)

### Vertraulichkeit (ART. 32 ABS. 1 LIT. B DS-GVO)

#### Zutrittskontrolle

| Zutrittskontrolle Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist. | vorhanden ja |
| :------------------------------------------------------------------------------------------------------- | :----------- |
| Berechtigungsausweise                                                                                    | Ja (S)       |
| Elektronische Zutrittscodekarten/ Zutrittstransponder                                                    | Ja (S)       |
| Zutrittsberechtigungskonzept                                                                             | Ja (S)       |
| Videoüberwachung                                                                                         | Ja (S)       |
| Alarmanlage                                                                                              | Ja (S)       |
| Schlüsselregelung                                                                                        | Ja (S)       |
| Besucherausweise                                                                                         | Ja (S)       |
| Begleitung von Besucherzutritten durch eigene Mitarbeiter                                                | Ja (S)       |
| Anwesenheitsaufzeichnungen von Besucherzutritten                                                         | Ja (S)       |
| Sicherung auch außerhalb der Arbeitszeit durch Werkschutz                                                | Ja (S)       |
| Abgestufte Sicherheitsbereiche und kontrollierter Zutritt                                                | Ja (S)       |
| Spezialverglasung                                                                                        | Ja (S)       |
| Gesondert gesicherter Zutritt zum Rechenzentrum                                                          | Ja (S)       |
| Aufbewahrung der Server in verschlossenen Räumen                                                         | Ja (S)       |
| Aufbewahrung der Datenträger unter Verschluss bzw. in abgeschlossenen Räumen                             | Ja (S)       |
| Aufbewahrung von Datensicherungen (z.B. Bänder, CDs) im zutrittsgeschützten Safe                         | Ja (S)       |
| Anweisung zur Ausgabe von Schlüsseln                                                                     | Ja (S)       |

#### Zugangskontrolle

| Zugangskontrolle Das Eindringen Unbefugter in die DV-Systeme bzw. deren unbefugte Nutzung ist zu verhindern.                                               | vorhanden ja |
| :--------------------------------------------------------------------------------------------------------------------------------------------------------- | :----------- |
| Verschlüsselung von Netzwerken                                                                                                                             | Ja           |
| Verwendete Verschlüsselungsalgorithmen: WireGuard (ChaCha20-Poly1305 für Verschlüsselung, Curve25519 für Schlüsselaustausch, BLAKE2s für Hashing), TLS 1.3 |              |
| Verschluss von Datenverarbeitungsanlagen (z.B. verschlossener Cage für Server)                                                                             | Ja (S)       |
| Passwortsicherung von Bildschirmarbeitsplätzen                                                                                                             | Ja           |
| Funktionelle und/oder zeitlich limitierte Vergabe von Benutzerberechtigungen                                                                               | Ja           |
| Verwendung von individuellen Passwörtern                                                                                                                   | Ja           |
| Automatische Sperrung von Nutzeraccounts nach mehrfacher Fehleingabe von Passwörtern                                                                       | Ja           |
| Automatische passwortgesicherte Sperrung des Bildschirms nach Inaktivität (Bildschirmschoner)                                                              | Ja           |
| Passwortpolicy mit Mindestvorgaben zur Passwortkomplexität:                                                                                                | Ja           |
| Mindestens 8 Ziffern / Groß- und Kleinschreibung, Sonderzeichen, Zahl (davon mind. 3 Kriterien)                                                            | Ja           |
| Verhinderung von Trivialpasswörtern (z.B. Hund1, Hund2, Hund3)                                                                                             | Ja           |
| Passworthistorie (kein erneute Verwendung der letzten 5 Passwörter)                                                                                        | Ja           |
| Sonstiges:                                                                                                                                                 |              |
| Hashing von gespeicherten Passwörtern                                                                                                                      | Ja (S)       |
| Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper)                                                                                                  | Ja (S)       |
| Prozess zur Rechtevergabe bei Neueintritt von Mitarbeitern                                                                                                 | Ja           |
| Prozess zum Rechteentzug bei Abteilungswechseln von Mitarbeitern                                                                                           | Ja           |
| Prozess zum Rechteentzug bei Austritt von Mitarbeitern                                                                                                     | Ja           |
| Verpflichtung zur Vertraulichkeit                                                                                                                          | Ja           |
| Protokollierung und Auswertung der Systembenutzung                                                                                                         | Ja           |
| Kontrollierte Vernichtung von Datenträgern                                                                                                                 | Ja (S)       |

#### Zugriffskontrolle

| Zugriffskontrolle Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern. | vorhanden ja                                        |
| :---------------------------------------------------------------------------------------------------------------- | :-------------------------------------------------- |
| Festlegung der Zugriffsberechtigung, Berechtigungskonzept                                                         | Ja                                                  |
| Regelung zur Wiederherstellung von Daten aus Backups (wer, wann, auf wessen Anforderung)                          | Ja                                                  |
| Regelmäßige Überprüfung von Berechtigungen                                                                        | Ja                                                  |
| Beschränkung der freien und unkontrollierten Abfragemöglichkeit von Datenbanken                                   | Ja                                                  |
| Regelmäßige Auswertung von Protokollen (Logfiles)                                                                 | Ja                                                  |
| Teilzugriffsmöglichkeiten auf Datenbestände und Funktionen (Read, Write, Execute)                                 | Ja                                                  |
| Protokollierung von Dateizugriffen                                                                                | Ja                                                  |
| Protokollierung von Dateilöschungen                                                                               | Ja                                                  |
| Werden entsprechende Sicherheitssysteme (Software/Hardware) eingesetzt?                                           |                                                     |
| Virenscanner                                                                                                      | Ja                                                  |
| Firewalls                                                                                                         | Ja                                                  |
| SPAM-Filter                                                                                                       | Ja                                                  |
| Intrusionprevention (IPS)                                                                                         | Nein                                                |
| Intrusiondetection (IDS)                                                                                          | Ja                                                  |
| Software für das Security Information and Event Management (SIEM)                                                 | Ja                                                  |
| Verschlüsselte Speicherung der Daten                                                                              | Ja (at Rest)                                        |
| verwendete Verschlüsselungsalgorithmen:                                                                           |                                                     |
| AES-256                                                                                                           |                                                     |
| Verwendete Hash-Funktion:                                                                                         | Anmerkungen: in S3/Database liegen keine Passwörter |
| SHA2 (256, 384, 512 bit)                                                                                          | Nein                                                |
| SHA3                                                                                                              | Nein                                                |
| Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper)                                                         | Nein                                                |
|                                                                                                                   |                                                     |

#### **Trennungskontrolle**

| Trennungskontrolle Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.        | vorhanden ja |
| :------------------------------------------------------------------------------------------------------------------- | :----------- |
| Trennung von Kunden (Mandantenfähigkeit des verwendeten Systems)                                                     | Ja           |
| Dateiseparierung bei Datenbanken                                                                                     | Nein         |
| Logische Datentrennung (z.B. auf Basis von Kunden- oder Mandantennummern)                                            | Ja           |
| Verarbeitung der  Daten des Auftraggebers und anderer Kunden von unterschiedlichen Mitarbeitern des Auftragnehmers   | Ja           |
| Datensicherungen der Auftraggeber-Daten auf separaten Datenträgern (ohne Daten anderer Kunden)                       | Nein         |
| Berechtigungskonzept, das der getrennten Verarbeitung der Auftraggeber-Daten von Daten anderer Kunden Rechnung trägt | Ja           |
| Funktionstrennung                                                                                                    | Ja           |
| Trennung von Entwicklungs-, Test- und Produktivsystem                                                                | Ja           |
| Sonstiges: dediziertes System                                                                                        |              |

#### **Pseudonymisierung**

| (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen; | vorhanden ja |
| :--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :----------- |
| Maßnahmen: Daten Modellierung unseres Systems, Separation von Informationen                                                                                                                                                                                                                                                                                                                          |              |

### Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

#### **Weitergabekontrolle**

| Weitergabekontrolle Aspekte der Weitergabe (Übermittlung) personenbezogener Daten sind zu regeln: Elektronische Übertragung, Datentransport, sowie deren Kontrolle.       | vorhanden ja |
| :------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | :----------- |
| Welche Versendungsart der Daten besteht zwischen Auftraggeber und Dritten?                                                                                                |              |
| Citrix-Verbindung (128 Bit verschlüsselt)                                                                                                                                 | -            |
| VPN-Verbindung (IP-Sec)                                                                                                                                                   | Ja           |
| E-Mail Versand mit verschlüsselten ZIP-Dateien                                                                                                                            | Ja           |
| Datenaustausch über https-Verbindung                                                                                                                                      | Ja           |
| Sonstige Versendungsart:                                                                                                                                                  | -            |
| verwendete Verschlüsselungsalgorithmen:                                                                                                                                   | -            |
| Verwendete Hash-Funktion:                                                                                                                                                 | -            |
| Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper)                                                                                                                 | -            |
| Gesicherter Eingang für An-  und Ablieferung                                                                                                                              | -            |
| Dokumentierte Verwaltung von Datenträgern, Bestandskontrolle                                                                                                              | Ja           |
| Festlegung der Bereiche, in dem sich Datenträger befinden müssen                                                                                                          | -            |
| Verschlüsselung vertraulicher Datenträger                                                                                                                                 | Ja           |
| Verschlüsselung von Laptopfestplatten                                                                                                                                     | Ja           |
| Verschlüsselung mobiler Datenträger                                                                                                                                       | Ja           |
| Kontrollierte Vernichtung von Daten                                                                                                                                       | Ja           |
| Datenträgerentsorgung - Sichere Löschung von Datenträgern:                                                                                                                |              |
| Physikalische Zerstörung (z.B. Shredder bei Partikelgrößen bis max. 1000 Quadrat-Millimeter)                                                                              | Nein         |
| Sonstiges: Überschreibung bei Bändern und Festplatten                                                                                                                     | Ja           |
| Papierentsorgung: Sicheres Vernichten von Papierdokumenten: Das Anfertigen von Papierdokumenten ist für Sicherheit oder Datenschutz relevanten Daten ist nicht vorgesehen | Nein         |
| Verschlossene Behältnisse aus Metall (sog. Datenschutztonnen), Entsorgung durch Dienstleister                                                                             | -            |
| Shredder gem. DIN 66399                                                                                                                                                   | -            |
| Sicherheitsstufe:                                                                                                                                                         | -            |
| Regelung zur Anfertigung von Kopien                                                                                                                                       | Ja           |
| Sicherungskopien von Datenträgern, die transportiert werden müssen                                                                                                        | -            |
| Dokumentation der Stellen, an die eine Übermittlung vorgesehen ist, sowie der Übermittlungswege                                                                           | Ja           |
| Verpackungs- und Versandvorschriften, verschlüsselter E-Mail-Versand                                                                                                      | Ja           |
| Vollständigkeits- und Richtigkeitsprüfung                                                                                                                                 | Ja           |
| Sonstiges: Klicken Sie hier, um Text einzugeben.                                                                                                                          |              |

#### **Eingabekontrolle**

| Eingabekontrolle Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten | vorhanden ja                    |
| :--------------------------------------------------------------------------------------------------------------- | :------------------------------ |
| Kennzeichnung erfasster Daten                                                                                    | Ja                              |
| Festlegung von Benutzerberechtigungen (Profile)                                                                  | Ja                              |
| Differenzierte Benutzerberechtigungen:                                                                           |                                 |
| Lesen, Ändern, Löschen                                                                                           | Ja                              |
| Teilzugriff auf Daten bzw. Funktionen                                                                            | Ja                              |
| Feldzugriff bei Datenbanken                                                                                      | kein direkter Datenbank Zugriff |
| Organisatorische Festlegung von Eingabezuständigkeiten                                                           | Ja                              |
| Protokollierung von Eingaben/Löschungen                                                                          | Nein                            |
| Protokollauswertungssystem                                                                                       | Nein                            |
| Verpflichtung auf das Datengeheimnis                                                                             | Nein                            |
| Über OS-Standard hinausgehendes Log-Konzept                                                                      | Ja                              |
| Dezidierter Logserver                                                                                            | Ja                              |
| Regelung der Zugriffsberechtigungen für Logserver (LogAdmin)                                                     | Ja                              |
| Regelung zu Aufbewahrungsfristen für Revision/Nachweiszwecke                                                     | Ja                              |
| Sonstiges: Klicken Sie hier, um Text einzugeben.                                                                 |                                 |

### Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

#### **Verfügbarkeitskontrolle**

| Verfügbarkeitskontrolle Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.                 | vorhanden ja |
| :---------------------------------------------------------------------------------------------------------- | :----------- |
| Datensicherungs- und Backupkonzepte                                                                         | Ja           |
| Durchführung der Datensicherungs- und Backupkonzepte                                                        | Ja           |
| Zutrittsbegrenzung in Serverräumlichkeiten auf notwendiges Personal                                         | Ja (S)       |
| Brandmeldeanlagen in Serverräumlichkeiten                                                                   | Ja (S)       |
| Rauchmelder in Serverräumlichkeiten                                                                         | Ja (S)       |
| Wasserlose Brandbekämpfungssysteme in Serverräumlichkeiten                                                  | Ja (S)       |
| Klimatisierte Serverräumlichkeiten                                                                          | Ja (S)       |
| Blitz-/ Überspannungsschutz                                                                                 | Ja (S)       |
| Wassersensoren in Serverräumlichkeiten                                                                      | Ja (S)       |
| Serverräumlichkeiten in separaten Brandabschnitt                                                            | Ja (S)       |
| Unterbringung von Backupsystemen in separaten Räumlichkeiten und Brandabschnitt                             | Ja (S)       |
| Gewährleistung der technischen Lesbarkeit von Backupspeichermedien für die Zukunft                          | Ja (S)       |
| Lagerung von Archiv-Speichermedien unter notwendigen Lagerbedingungen (Klimatisierung, Schutzbedarf etc.)   | Ja (S)       |
| CO2 Feuerlöscher in unmittelbarer Nähe der Serverräumlichkeiten                                             | Ja (S)       |
| Vereinbarung bzgl. Übergabe der (Daten-) Sicherungen                                                        | Ja (S)       |
| Katastrophen- oder Notfallplan (z.B. Wasser, Feuer, Explosion, Androhung von Anschlägen, Absturz, Erdbeben) | Ja (S)       |
| Einbeziehung des Einflusses angrenzender baulicher Einrichtungen                                            | Ja (S)       |
| Schwachstellenanalyse (Geländeschutz, Gebäudeschutz, Eindringen in Rechner, Rechnernetze)                   | Ja (S)       |
| Aufbewahrung der Daten in Datensicherungsschränken, Tresoren                                                | Ja (S)       |
| USV-Anlage (Unterbrechungsfreie Stromversorgung)                                                            | Ja (S)       |
| Stromgenerator                                                                                              | Ja (S)       |
| Sonstiges: Klicken Sie hier, um Text einzugeben.                                                            |              |

#### Widerstandsfähigkeit- und Ausfallsicherheitskontrolle

| Widerstandsfähigkeit- und Ausfallsicherheitskontrolle Systeme müssen die Fähigkeit besitzen mit risikobedingten Veränderungen umgehen zu können und eine Toleranz und Ausgleichsfähigkeit gegenüber Störungen aufweisen.    | vorhanden ja |
| :-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :----------- |
| Ausweich-Rechenzentren vorhanden (Hot- bzw. Cold-Stand-by?): Hot                                                                                                                                                            | Ja           |
| Redundante Stromversorgung                                                                                                                                                                                                  | Ja (S)       |
| Redundante USV-Anlage                                                                                                                                                                                                       | Ja (S)       |
| Redundante Stromgeneratoren                                                                                                                                                                                                 | Ja (S)       |
| Redundante Klimatisierung                                                                                                                                                                                                   | Ja (S)       |
| Redundante Brandbekämpfung                                                                                                                                                                                                  | Ja (S)       |
| sonstige redundante Systeme/Verfahren:                                                                                                                                                                                      |              |
| Festplattenspiegelung                                                                                                                                                                                                       | Ja (S)       |
| Computer Emergency Response Team (CERT)                                                                                                                                                                                     | Ja (S)       |
| Loadbalancer                                                                                                                                                                                                                | Ja           |
| Datenspeicherung auf RAID-Systemen (RAID 1 und höher)                                                                                                                                                                       | Ja (S)       |
| Abgrenzung kritischer Komponenten                                                                                                                                                                                           | Ja           |
| Durchführung von Penetrationstests                                                                                                                                                                                          | Nein         |
| Systemhärtung (Deaktivierung nicht erforderlicher Komponenten)                                                                                                                                                              | Ja           |
| Unverzügliche und regelmäßige Aktivierung von verfügbaren Soft- und Firmwareupdates                                                                                                                                         | Ja           |
| Identifikation der verschiedenen Geräte, aus denen sich das Netzwerk zusammensetzt, und Bestimmung ihrer Hardware-Version sowie ihrer aktuellen Software- und Firmware-Versionen.                                           | Ja           |
| Kommunikationskanal mit den Herstellern, um sich über neue Updates und Patches zu informieren, die für die im Besitz befindlichen Geräte freigegeben wurden.                                                                | Ja           |
| Definition von Zeiträumen, in denen die Updates implementiert werden sollen (z. B. Perioden niedrigerer Operationen, Wartungszeiten usw.).                                                                                  | Ja           |
| Verwendung redundanter Systeme, um den Betrieb aufrecht zu erhalten, während die Hauptgeräte aktualisiert werden.                                                                                                           | Ja           |
| Progressive Bereitstellung von Updates / Patches, um Probleme frühzeitig zu erkennen, ohne mehrere Geräte zu beeinträchtigen.                                                                                               | Ja           |
| Festlegung einer Testperiode, um die korrekte Implementierung des Updates zu überprüfen und sicherzustellen, dass die Operationen mit den neuen Updates weiterhin reibungslos ablaufen.                                     | Ja           |
| Sicherheit wird während der Entwurfsphase der Systeme als Hauptbetrachtung mit umfasst.                                                                                                                                     | Ja           |
| Definition von Sicherheitsmaßnahmen zum Schutz und zur Validierung der Kommunikation zwischen Systemkomponenten                                                                                                             | Ja           |
| Begrenzung von Berechtigungen auf Bedarfsnotwendigkeit.                                                                                                                                                                     | Ja           |
| Externe Auftragnehmer und Wartungspersonal erhalten einen spezifischen Zugang, der nur während des Eingriffs aktiv und den Rest der Zeit deaktiviert ist.                                                                   | Ja           |
| Periodische Sicherheitstrainings und Sensibilisierungskampagnen innerhalb der Organisation.                                                                                                                                 | Ja           |
| Sensibilisierungskampagnen, um die Benutzer über die Sicherheitskonzepte zu informieren, die sowohl für konkrete Systeme als auch für traditionelle IT-Systeme spezifisch sind.                                             | Ja           |
| Spezielles Sicherheitstraining, um zu lehren, wie man Sicherheitsmaßnahmen und Verhaltensweisen auf die täglichen Prozesse mit möglichst geringem Aufwand anwendet.                                                         | Nein         |
| Abschluss einer Cyber-Versicherung                                                                                                                                                                                          | Nein         |
| Identifikation der IT-Geräte, Assets und Netzwerksysteme in der Infrastruktur der Organisation.                                                                                                                             | Ja           |
| Durchführung einer Risikoanalyse unter Berücksichtigung all dieser Systeme, Geräte und Vermögenswerte, die identifiziert wurden, zur Ermittlung der Bedrohungen, inklusive ihrer Wahrscheinlichkeit und ihrer Auswirkungen. | Nein         |

### Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

#### **Kontrollverfahren**

| Kontrollverfahren Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Datensicherheitsmaßnahmen ist zu implementieren                                                    | vorhanden ja |
| :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :----------- |
| Interne Verfahrensverzeichnisse werden mind. jährlich aktualisiert                                                                                                                                             | Ja           |
| Meldung neuer/veränderter Datenverarbeitungsverfahren an den Datenschutzbeauftragten                                                                                                                           | Ja           |
| Meldung neuer/veränderter Datenverarbeitungsverfahren an den IT-Sicherheitsbeauftragten                                                                                                                        | Ja           |
| Prozesse zur Meldung neuer/veränderter Verfahren sind dokumentiert                                                                                                                                             | Ja           |
| Es werden datenschutzfreundliche Voreinstellungen gewählt                                                                                                                                                      | Ja           |
| Getroffene Sicherheitsmaßnahmen werden einer regelmäßigen internen Kontrolle unterzogen                                                                                                                        | Ja           |
| Bei negativem Verlauf der zuvor genannten Überprüfung werden die Sicherheitsmaßnahmen risikobezogen angepasst, erneuert und umgesetzt                                                                          | Ja           |
| Es besteht ein Prozess zur Vorbereitung auf Sicherheitsverletzungen (Angriffen) und Systemstörungen sowie zur Identifizierung, Eingrenzung, Beseitigung und Erholung von selbigen (Incident-Response-Prozess). | Ja           |
|                                                                                                                                                                                                                |              |

#### **Auftragskontrolle**

| Auftragskontrolle Es ist sicherzustellen, dass Daten die im Auftrag durch Dienstleister (Subauftragnehmer) verarbeitet werden, nur gemäß der Weisung des Auftragnehmers verarbeitet werden. | vorhanden ja |
| :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | :----------- |
| Vertragsgestaltung gem. gesetzlichen Vorgaben (Art. 28 DSGVO)                                                                                                                               | Ja           |
| Zentrale Erfassung vorhandener Dienstleister (einheitliches Vertragsmanagement)                                                                                                             | Ja           |
| Regelmäßige Kontrollen beim Auftragnehmer nach Vertragsbeginn (Während Vertragsdauer)                                                                                                       | Nein         |
| Vor-Ort-Kontrollen beim Auftragnehmer                                                                                                                                                       | Nein         |
| Überprüfung des Datensicherheitskonzepts beim Auftragnehmer                                                                                                                                 | Ja           |
| Sichtung vorhandener IT-Sicherheitszertifikate der Auftragnehmer                                                                                                                            | Ja           |
