Auftragsverarbeitungsvertrag (AVV)

Vertrag über die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen gemäß Art. 28 DSGVO

zwischen

dem Nutzer bzw. Kunden der SaaS-Anwendung RISKMANAGER, der diesen Vertrag im Rahmen des Registrierungs- oder Bestellprozesses akzeptiert

– nachfolgend „Auftraggeber“ genannt –

und

ENSHUR GmbH
Rudolf-Diesel-Straße 9
56220 Urmitz

– nachfolgend „Auftragnehmer“ genannt –

Vertragsgegenstand

Im Rahmen der Leistungserbringung nach dem Hauptvertrag kann es erforderlich sein, dass der Auftragnehmer personenbezogene Daten verarbeitet, für die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend „Auftraggeber-Daten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrags.

Umfang der Beauftragung

  1. Der Auftragnehmer verarbeitet die Auftraggeber-Daten im Auftrag und nach dokumentierter Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt Verantwortlicher im datenschutzrechtlichen Sinn.

  2. Die Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer erfolgt in der Art, dem Umfang und zu dem Zweck wie in Anlage 1 zu diesem Vertrag spezifiziert; die Verarbeitung betrifft die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

  3. Die Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer findet grundsätzlich innerhalb der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Soweit im Rahmen der Leistungserbringung weitere Auftragsverarbeiter eingesetzt werden, kann eine Verarbeitung auch außerhalb der EU bzw. des EWR erfolgen.

Weisungsbefugnisse des Auftraggebers

  1. Der Auftragnehmer verarbeitet die Auftraggeber-Daten gemäß den dokumentierten Weisungen des Auftraggebers, sofern der Auftragnehmer nicht gesetzlich zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

  2. Die Weisungen des Auftraggebers sind grundsätzlich abschließend in den Bestimmungen dieses Vertrags festgelegt und dokumentiert. Gesondert zu dokumentierende Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers, sofern sie nicht erforderlich sind, um Rechtsverstöße im Zuständigkeitsbereich des Auftragnehmers abzustellen.

  3. Der Auftragnehmer gewährleistet, dass er die Auftraggeber-Daten im Einklang mit den Weisungen des Auftraggebers verarbeitet. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, ist er nach einer entsprechenden Mitteilung an den Auftraggeber berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen. Der Auftragnehmer kann bei Weisungen, die nach objektiv nachvollziehbarer (nicht notwendigerweise richtiger) Einschätzung des Auftragnehmers rechtswidrig sind und bei deren Umsetzung dem Auftragnehmer Schäden drohen, eine angemessene Sicherheitsleistung verlangen.

Verantwortlichkeiten des Auftraggebers

  1. Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Auftraggeber-Daten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien zueinander allein verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung von Auftraggeber-Daten nach Maßgabe dieses Vertrages Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.

  2. Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der Auftraggeber-Daten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.

  3. Der Auftraggeber hat dem Auftragnehmer auf Anforderung die in Art. 30 Abs. 2 DSGVO genannten Angaben zur Verfügung zu stellen, soweit sie dem Auftragnehmer nicht selbst vorliegen.

  4. Ist der Auftragnehmer gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftraggeber verpflichtet, den Auftragnehmer auf erstes Anfordern bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.

Anforderung an Personal

Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von Daten zur Vertraulichkeit zu verpflichten.

Sicherheit der Verarbeitung

  1. Der Auftragnehmer wird gemäß Art. 32 DSGVO erforderliche, geeignete technische und organisatorische Maßnahmen ergreifen, die unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintritts-wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten.
  2. Dem Auftragnehmer ist es gestattet, technische und organisatorische Maßnahmen während der Laufzeit des Vertrages zu ändern oder anzupassen, solange sie weiterhin den gesetzlichen Anforderungen genügen bzw. das Schutzniveau erhöhen.

Inanspruchnahme weiterer Auftragsverarbeiter

  1. Der Auftraggeber erteilt dem Auftragnehmer hiermit die Genehmigung, weitere Auftragsverarbeiter hinsichtlich der Verarbeitung von Auftraggeber-Daten hinzuzuziehen. Der Auftragnehmer teilt dem Auftraggeber mit, wenn er einen Auftragsverarbeiter hinzuzieht. Der Auftraggeber hat sodann ein Widerspruchsrecht, das unverzüglich auszusprechen ist. Die zum Zeitpunkt des Vertragsschlusses hinzu-gezogenen weiteren Auftragsverarbeiter ergeben sich aus Anlage 2. Ist dort kein weiterer Auftragsverarbeiter benannt, gibt es auch keinen. Generell nicht genehmigungspflichtig sind Vertragsverhältnisse mit Dienstleistern, die die Prüfung oder Wartung von Datenverarbeitungsverfahren oder -anlagen durch andere Stellen oder andere Nebenleistungen zum Gegenstand haben, auch wenn dabei ein Zugriff auf Auftraggeber-Daten nicht ausgeschlossen werden kann, solange der Auftragnehmer angemessene Regelungen zum Schutz der Vertraulichkeit der Auftraggeber-Daten trifft.

  2. Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter jeweils konkret informieren. Dem Auftraggeber steht im Einzelfall ein Recht zu, Einspruch gegen die Beauftragung eines potenziellen weiteren Auftragsverarbeiters zu erheben.

  3. Der Vertrag zwischen dem Auftragnehmer und dem weiteren Auftragsverarbeiter muss letzterem dieselben Pflichten auferlegen, wie sie dem Auftragnehmer kraft dieses Vertrages obliegen. Die Parteien stimmen überein, dass diese Anforderung erfüllt ist, wenn der Vertrag ein diesem Vertrag entsprechendes Schutzniveau aufweist bzw. dem weiteren Auftragsverarbeiter die in Art. 28 Abs. 3 DSGVO festgelegten Pflichten auferlegt sind.

Rechte der betroffenen Personen

  1. Der Auftragnehmer wird den Auftraggeber angesichts der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.

  2. Soweit eine betroffene Person einen Antrag auf Wahrnehmung der ihr zustehenden Rechte unmittelbar gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.

  3. Der Auftragnehmer wird dem Auftraggeber Informationen über die gespeicherten Auftraggeber-Daten, die Empfänger von Auftraggeber-Daten, an die der Auftragnehmer sie auftragsgemäß weitergibt, und den Zweck der Speicherung mitteilen, sofern dem Auftraggeber diese Informationen nicht selbst vorliegen oder er sie sich selbst beschaffen kann.

  4. Der Auftragnehmer wird es dem Auftraggeber ermöglichen, im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden nachzuweisenden Aufwände und Kosten, Auftraggeber-Daten zu berichtigen, zu löschen oder ihre weitere Verarbeitung einzuschränken oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Einschränkung der weiteren Verarbeitung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.

  5. Soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit nach Art. 20 DSGVO geltend macht, wird der Auftragnehmer den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der nachgewiesenen Kosten bei der Bereitstellung der Auftraggeber-Daten in einem entsprechenden Format unterstützen, wenn der Auftraggeber sich die Daten nicht anderweitig beschaffen kann.

Mitteilungs- und Unterstützungspflichten des Auftragnehmers

  1. Soweit den Auftraggeber eine gesetzliche Melde- oder Benachrichtigungspflicht wegen einer Verletzung des Schutzes von Auftraggeber-Daten (insbesondere nach Art. 33, 34 DSGVO) trifft, wird der Auftragnehmer den Auftraggeber zeitnah über etwaige meldepflichtige Ereignisse in seinem Verantwortungsbereich informieren. Der Auftragnehmer wird den Auftraggeber bei der Erfüllung der Melde- und Benachrichtigungspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der Kosten unterstützen.
  2. Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der Kosten bei etwa vom Auftraggeber durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

Datenlöschung

  1. Der Auftragnehmer wird die Auftraggeber-Daten nach Beendigung dieses Vertrages löschen, sofern nicht gesetzlich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht oder aus sonstigen, von den Parteien zu benennenden Gründen eine Veranlassung besteht, die Daten aufzubewahren.
  2. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung von Auftraggeber-Daten dienen, dürfen durch den Auftragnehmer auch nach Vertragsende aufbewahrt werden.

Nachweise und Überprüfungen

  1. Der Auftragnehmer wird dem Auftraggeber auf dessen Anforderung alle erforderlichen und beim Auftragnehmer vorhandenen Informationen zum Nachweis der Einhaltung seiner Pflichten nach diesem Vertrag zur Verfügung stellen.

  2. Der Auftraggeber ist berechtigt, den Auftragnehmer bezüglich der Einhaltung der Regelungen dieses Vertrages, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen, zu überprüfen; einschließlich durch Inspektionen.

  3. Zur Durchführung von Inspektionen nach Ziffer 11.2 ist der Auftraggeber berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 9 bis 16 Uhr) nach rechtzeitiger Vorankündigung gemäß Ziffer 11.5 auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers zu betreten, in denen Auftraggeber-Daten verarbeitet werden.

  4. Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Überprüfungszwecke sind, zu erhalten.
  5. Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Überprüfung zusammenhängenden Umstände zu informieren. Der Auftraggeber darf eine Überprüfung pro Kalenderjahr durchführen. Weitere Überprüfungen erfolgen gegen Kostenerstattung und nach Abstimmung mit dem Auftragnehmer.
  6. Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Überprüfung, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 11 dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber ihm die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragnehmers mit der Kontrolle beauftragen.
  7. Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der Pflichten nach diesem Vertrage anstatt durch eine Inspektion auch durch die Vorlage eines geeigneten, aktuellen Testats oder Berichts einer unabhängigen Instanz (z.B. Wirtschaftsprüfer, Revision, Daten-schutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsbericht“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der Vertragspflichten zu überzeugen.

Vertragsdauer und Kündigung

Die Laufzeit und Kündigung dieses Vertrags richtet sich nach dem Hauptvertrag. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.

Haftung

Auftraggeber und Auftragnehmer haften für den Schaden, der durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wird, gemeinsam im Außenverhältnis gegenüber der jeweiligen betroffenen Person. Der Auftragnehmer haftet ausschließlich für Schäden, die auf einer von ihm durchgeführten Verarbeitung beruhen, bei der
- er den aus der DSGVO resultierenden und speziell für Auftragsverarbeiter auferlegten Pflichten nicht nachgekommen ist oder
- er unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Auftraggebers handelte oder
- er gegen die rechtmäßig erteilten Anweisungen des Auftraggebers gehandelt hat.

Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff auf den Auftragnehmer vorbehalten.

Im Innenverhältnis zwischen Auftraggeber und Auftragnehmer haftet der Auftragnehmer für den durch eine Verarbeitung verursachten Schaden jedoch nur, wenn er
- seinen ihm speziell durch die DSGVO auferlegten Pflichten nicht nachgekommen ist oder
- unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Auftraggebers oder gegen diese Anweisungen gehandelt hat.

Weitergehende Haftungsansprüche nach den allgemeinen Gesetzen bleiben unberührt.

Schlussbestimmungen

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle einer unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und dabei den Anforderungen des Art. 28 DSGVO genügt.

 

Urmitz, den 02.04.2026

 

Anlage 1: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kategorien der betroffenen Personen

Zweck der Datenverarbeitung Bereitstellung der SaaS-Plattform RISKMANAGER zur Erstellung, Verwaltung und Dokumentation von Gefährdungsbeurteilungen.
Art und Umfang der Datenverarbeitung Verarbeitung von Daten im Rahmen der Nutzung der Software durch den Kunden. Dies umfasst insbesondere die Speicherung, Verwaltung und Bearbeitung von Gefährdungsbeurteilungen, Betriebsmittel, Maßnahmen, Gefährdungen und Prüfintervallen sowie die Verwaltung von Benutzerkonten innerhalb des Mandanten. Zusätzlich können Protokoll- und Nutzungsdaten zur Sicherstellung des Betriebs, zur Fehleranalyse sowie zur technischen Optimierung der Software verarbeitet werden.
Art der Daten - Benutzerkontodaten (Name, E-Mail-Adresse, Rolle im System)
- Organisationsdaten des Kunden (Unternehmen, Standort)
- Daten zu Betriebsmitteln
- Gefährdungen, Bewertungen und Maßnahmen
- Protokoll- und Systemdaten (z. B. Login-Zeitpunkte, Systemlogs)
Kategorien betroffener Personen - Beschäftigte des Auftraggebers (z. B. VEFK, Sicherheitsfachkräfte, Administratoren, Mitarbeiter)
- Nutzer der Software innerhalb des Mandanten
- ggf. weitere vom Auftraggeber erfasste verantwortliche Personen im Rahmen von Gefährdungsbeurteilungen

 

Anlage 2: Weitere Auftragsverarbeiter (vgl. § 7 Abs. 1)

Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftraggebers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer“). Die Art der Verarbeitung, die Art der Daten sowie die Kategorien der betroffenen Personen gehen aus Anlage 1 hervor. Dabei handelt es sich um nachfolgende Unternehmen:


StackIT GmbH & Co. KG
Stiftsbergstraße 1
74172 Neckarsulm
Deutschland

Zweck: Cloud Hosting und Infrastruktur für den Betrieb der SaaS-Plattform RISKMANAGER

Slascone GmbH
Dreikönigstraße 55
70173 Stuttgart
Deutschland

Zweck: Lizenzmanagement und Lizenzvalidierung der Software
Art der Verarbeitung: Verarbeitung von Lizenz- und Nutzungsdaten zur Verwaltung von Softwarelizenzen
Standort der Datenverarbeitung: Europäische Union

Steuerkanzlei Straube
Hohenzollernstraße 127
56068 Koblenz
Deutschland

Art und Zweck der Verarbeitung:
Verarbeitung von personenbezogenen Daten im Rahmen der Finanzbuchhaltung, insbesondere zur Erstellung von Rechnungen, Buchführung sowie steuerlichen Pflichten.

Art der Daten:
Stammdaten, Vertragsdaten und Abrechnungsdaten.

Kategorien betroffener Personen:
Kunden und Ansprechpartner des Auftraggebers.

Mistral AI
SAS 21 Rue Tandou
75019 Paris
Frankreich

Zweck der Verarbeitung:
Bereitstellung von KI-Modellen zur Generierung von Vorschlägen für Gefährdungen, Risikobewertungen und Maßnahmen innerhalb der Software.

Art der Verarbeitung:
Verarbeitung von Textinhalten im Rahmen der KI-Assistenzfunktion zur Analyse und Generierung von Vorschlägen auf Basis von Nutzereingaben.
Standort der Datenverarbeitung:
Europäische Union

OpenAI, L.L.C.
3180 18th Street
San Francisco, CA 94110
USA

Zweck: Bereitstellung von KI-Modellen zur Generierung von Vorschlägen für Gefährdungen, Risikobewertungen und Maßnahmen innerhalb der Software

Art der Verarbeitung: Verarbeitung von Textinhalten im Rahmen der KI-Assistenzfunktion zur Generierung von Vorschlägen

Standort der Datenverarbeitung: Vereinigte Staaten (USA)

Besonderheit:
Der Einsatz erfolgt ausschließlich als optionaler technischer Fallback.

Qdrant Solutions GmbH
Chausseestraße 86
10115 Berlin
Deutschland

Zweck: Bereitstellung einer Vector-Datenbank zur Speicherung und Verarbeitung von Embeddings im Rahmen der KI-Assistenzfunktionen

Art der Verarbeitung: Speicherung und Verarbeitung von Embeddings zur semantischen Suche und KI-Unterstützung

Standort der Datenverarbeitung: Europäische Union

Traefik Labs SAS
132 rue Bossuet
69006 Lyon
France

Zweck: Loadbalancing und Routing des Netzwerkverkehrs für die hochverfügbare Bereitstellung der SaaS-Plattform RISKMANAGER

Art der Verarbeitung: Verarbeitung von Netzwerk- und Routinginformationen zur Sicherstellung der Verfügbarkeit der Software

Standort der Datenverarbeitung: Europäische Union

Anlage 3a: Technische und Organisatorische Maßnahmen – ENSHUR

Technische und organisatorische Maßnahmen (TOMs) – Technikgestaltung, technische und organisatorische Maßnahmen und datenschutzfreundliche Voreinstellungen

Die nachfolgenden Maßnahmen beziehen sich auf die allgemeinen organisatorischen und infrastrukturellen Sicherheitsmaßnahmen der ENSHUR GmbH.

 

1 Vertraulichkeit

1.1 Zugangskontrolle
Der Zugang zu IT-Systemen erfolgt über personalisierte Benutzerkonten und ist auf autorisierte Personen beschränkt. Die Authentifizierung ist durch Passwortrichtlinien sowie – soweit technisch möglich – durch Mehrfaktor-Authentifizierung abgesichert. Administratorrechte sind auf einen eng begrenzten Personenkreis beschränkt. Benutzerkonten werden bei Austritt von Mitarbeitenden oder bei Rollenwechsel unverzüglich deaktiviert oder angepasst. Fernzugriffe auf interne Systeme erfolgen über gesicherte Verbindungen, insbesondere über VPN. Der Zutritt zu Geschäftsräumen ist durch geeignete Maßnahmen wie Schließsysteme beschränkt.

1.2 Zugriffskontrolle
Der Zugriff auf personenbezogene Daten erfolgt auf Basis eines rollenbasierten Berechtigungskonzepts nach dem Need-to-know-Prinzip. Zugriffsrechte werden regelmäßig überprüft und bei Bedarf angepasst. Der Zugriff auf Daten ist auf die zur jeweiligen Aufgabenerfüllung erforderlichen Personen beschränkt.

1.3 Übertragungskontrolle
Die Übertragung personenbezogener Daten erfolgt über gesicherte Kommunikationsverbindungen, insbesondere mittels TLS oder VPN. Netzwerke werden durch geeignete Sicherheitsmechanismen wie Firewalls vor unbefugten Zugriffen geschützt. Ein Austausch personenbezogener Daten mit Dritten oder Partnerunternehmen erfolgt auf vertraglicher Grundlage und im erforderlichen Umfang.

1.4 Trennungskontrolle
Daten werden logisch getrennt verarbeitet, um eine unbefugte Vermischung von Daten unterschiedlicher Zwecke oder Mandanten zu verhindern. Test- und Entwicklungsumgebungen werden – soweit erforderlich – getrennt von produktiven Systemen betrieben.

2 Integrität

2.1 Eingabekontrolle
Es werden geeignete Maßnahmen getroffen, um die Nachvollziehbarkeit von Datenverarbeitungen sicherzustellen. Sicherheitsrelevante Ereignisse sowie Zugriffe und Änderungen an Daten werden protokolliert, soweit dies technisch vorgesehen ist, und im Rahmen der Systemüberwachung ausgewertet.

2.2 Datenintegrität
Es bestehen Maßnahmen zur Sicherstellung der Integrität von Daten. Systeme und Endgeräte werden regelmäßig aktualisiert und durch geeignete Sicherheitsmechanismen geschützt, um unbefugte Veränderungen oder Verluste von Daten zu verhindern. Endgeräte werden durch aktuelle Betriebssysteme, Zugriffsschutz und Sicherheitssoftware abgesichert.

2.3 Technische Absicherung der Verarbeitung
Durch technische und organisatorische Maßnahmen wird sichergestellt, dass Daten nur im vorgesehenen Rahmen verarbeitet und nicht unbefugt verändert oder gelöscht werden können.

3 Verfügbarkeit

3.1 Verfügbarkeitskontrolle
Die Verfügbarkeit der IT-Systeme wird durch geeignete organisatorische und technische Maßnahmen sichergestellt. Systemzustände und relevante Betriebsparameter werden überwacht und dokumentiert, um Störungen frühzeitig zu erkennen und geeignete Gegenmaßnahmen einzuleiten.

3.2 Belastbarkeit
Die eingesetzten Systeme sind so ausgelegt, dass sie den betrieblichen Anforderungen entsprechen und auch bei erhöhter Beanspruchung stabil betrieben werden können.

3.3 Wiederherstellung der Verfügbarkeit
Es bestehen Verfahren zur Sicherung und Wiederherstellung von Daten. Datensicherungen werden regelmäßig durchgeführt und getrennt von den Produktivsystemen aufbewahrt. Verfahren zur Wiederherstellung der Daten im Falle eines technischen oder physischen Zwischenfalls sind definiert und werden regelmäßig überprüft.

3.4 Störungsmanagement
Störungen und Sicherheitsvorfälle werden erkannt, dokumentiert und im Rahmen definierter Prozesse bearbeitet. Es bestehen Prozesse zur Analyse und Behebung von Störungen sowie zur Wiederherstellung des Regelbetriebs. Im Falle sicherheitsrelevanter Vorfälle erfolgt eine definierte Eskalation an die zuständigen internen Stellen, einschließlich der Geschäftsführung.

4 Pseudonymisierung

Eine Pseudonymisierung personenbezogener Daten erfolgt, soweit dies im jeweiligen Verarbeitungskontext erforderlich und technisch vorgesehen ist.

5 Verschlüsselung

Personenbezogene Daten werden bei der Übertragung durch geeignete Verschlüsselungsverfahren geschützt. Weitere Verschlüsselungsmaßnahmen werden unter Berücksichtigung des Stands der Technik und des jeweiligen Schutzbedarfs umgesetzt

6 Überprüfung, Bewertung und Evaluierung der Wirksamkeit

6.1 Überprüfung und Bewertung
Technische und organisatorische Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst. Sicherheitsrelevante Prozesse sind dokumentiert und werden fortlaufend weiterentwickelt.

6.2 Sicherheitsmanagement und Vorfallbehandlung
Sicherheitsvorfälle werden nach definierten Prozessen erkannt, bewertet, dokumentiert und bearbeitet. Maßnahmen zur Verbesserung der Informationssicherheit werden kontinuierlich umgesetzt.

6.3 Schulung und Sensibilisierung
Mitarbeitende werden regelmäßig im Bereich Datenschutz und Informationssicherheit geschult und auf Vertraulichkeit verpflichtet.

7 Weisungsgemäße Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rahmen der vertraglichen Vereinbarungen und gemäß den dokumentierten Weisungen des Auftraggebers.

 

Anlage 3b: Technische und Organisatorische Maßnahmen – RISKMANAGER

Technische und organisatorische Maßnahmen (TOMs) – Technikgestaltung, technische und organisatorische Maßnahmen und datenschutzfreundliche Voreinstellungen
(produktspezifisch für den RISKMANAGER)

Die nachfolgenden Maßnahmen beziehen sich ausschließlich auf den Betrieb des Produkts RISKMANAGER in einer Cloud-Infrastruktur.

 

1 Vertraulichkeit

1.1 Zutrittskontrolle
Die Verarbeitung erfolgt in Rechenzentren innerhalb der Europäischen Union. Der physische Zutritt zu den Rechenzentren ist auf autorisiertes Personal des Infrastrukturproviders beschränkt. Die Rechenzentren verfügen über mehrstufige Zugangskontrollen, insbesondere durch Zugangskarten und Videoüberwachung. Zutritte werden durch den Infrastrukturprovider dokumentiert und protokolliert.

1.2 Zugangskontrolle
Der Zugriff auf Produktivsysteme erfolgt über personalisierte Benutzerkonten und ist auf autorisierte Nutzer beschränkt. Die Authentifizierung erfolgt über etablierte Sicherheitsverfahren, insbesondere durch Passwortrichtlinien und – soweit technisch umgesetzt – Multi-Faktor-Authentifizierung. Der Zugriff auf Produktionssysteme und administrative Systemkomponenten ist auf autorisierte Administratoren beschränkt.

Administrativer Zugriff auf Systemkomponenten und Cloud-Ressourcen erfolgt über authentifizierte und gesicherte Zugänge. Administrationsschnittstellen können über öffentliche Endpunkte erreichbar sein, sind jedoch durch geeignete Sicherheitsmaßnahmen geschützt, insbesondere durch verschlüsselte Verbindungen, rollenbasierte Zugriffskontrollen sowie zusätzliche Zugriffsbeschränkungen wie IP-Whitelisting oder zertifikatsbasierte Authentifizierung. Infrastruktur- und Administrationszugänge werden regelmäßig überprüft und nicht mehr benötigte Berechtigungen werden entzogen.

Die Verwaltung von Benutzerkonten und Zugriffsrechten innerhalb der Anwendung erfolgt durch den jeweiligen Kunden.

1.3 Zugriffskontrolle
Der Zugriff auf Daten innerhalb der Anwendung erfolgt auf Basis eines rollenbasierten Berechtigungskonzepts. Kundendaten werden mandantenbezogen verarbeitet. Der Zugriff auf Kundendaten durch den Anbieter erfolgt nur im Rahmen von Support- oder Wartungstätigkeiten und ist auf autorisierte Personen beschränkt.

Der Zugriff auf Datenbankebene ist auf autorisierte technische Administratoren beschränkt. Der Zugriff auf Protokoll- und Debugdaten ist auf autorisierte Personen, insbesondere im Rahmen technischer Analyse- und Wartungstätigkeiten, begrenzt.

1.4 Übertragungskontrolle
Die Übertragung personenbezogener Daten erfolgt über verschlüsselte Kommunikationsverbindungen, insbesondere mittels TLS. API-Kommunikation erfolgt ausschließlich über gesicherte Endpunkte.

Netzwerkzugriffe werden durch geeignete Sicherheitsmechanismen geschützt, insbesondere durch TLS-Verschlüsselung, Authentifizierung, IP-Whitelisting, Rate-Limiting und sicherheitsrelevante HTTP-Header. Innerhalb der Cluster-Infrastruktur gilt ein restriktives Netzwerkmodell („deny-all policy“), bei dem Verbindungen standardmäßig untersagt und nur für explizit freigegebene Kommunikationsbeziehungen erlaubt werden. Loadbalancer und Reverse Proxy-Komponenten, insbesondere Traefik, werden mit TLS-Terminierung und geeigneten Sicherheitsmechanismen betrieben.

1.5 Trennungskontrolle
Die Anwendung stellt eine logische Mandantentrennung auf Applikationsebene sicher. Darüber hinaus erfolgt eine logische Trennung auf Datenbankebene. Entwicklungs-, Test- und Produktionsumgebungen sind voneinander getrennt.

Protokoll- und Debugdaten werden getrennt von Produktivdaten gespeichert. In Entwicklungsumgebungen werden, soweit möglich, anonymisierte oder synthetische Daten verwendet.

2 Integrität

2.1 Eingabekontrolle
Es werden geeignete Maßnahmen getroffen, um die Nachvollziehbarkeit von Datenverarbeitungen sicherzustellen. Änderungen an Nutzdaten werden systemseitig protokolliert und nachvollziehbar dokumentiert. Sicherheitsrelevante Systemereignisse werden erfasst und können im Rahmen der Systemüberwachung ausgewertet werden.

Die Erstellung und der Abschluss von Nutzdaten werden systemseitig dokumentiert. Dadurch ist nachvollziehbar, wann Daten angelegt, bearbeitet oder abgeschlossen wurden.

2.2 Datenintegrität
Es bestehen technische und organisatorische Maßnahmen zur Sicherstellung der Integrität von Daten. Abgeschlossene fachliche Daten, insbesondere abgeschlossene Gefährdungsbeurteilungen, sind technisch vor nachträglichen Änderungen geschützt. Änderungen erfolgen durch Erstellung neuer Versionen. Frühere Versionen bleiben gespeichert und nachvollziehbar.

Systeme und Komponenten werden regelmäßig aktualisiert, um Sicherheitslücken zu schließen und die Integrität der Verarbeitung zu erhalten. Sicherheitsrelevante Softwareupdates und Patches werden regelmäßig eingespielt.

2.3 Technische Absicherung der Verarbeitung
Durch technische und organisatorische Maßnahmen wird sichergestellt, dass Daten nur im vorgesehenen Rahmen verarbeitet und gegen unbefugte Veränderung, Löschung oder Offenlegung geschützt werden. Die Verarbeitung erfolgt innerhalb definierter Systemgrenzen und auf Grundlage festgelegter Rollen, Berechtigungen und technischer Schutzmechanismen.

3 Verfügbarkeit

3.1 Verfügbarkeitskontrolle
Die Anwendung wird in einer hochverfügbaren Cloud-Infrastruktur betrieben. Es werden technische Maßnahmen wie Loadbalancing, Container-Orchestrierung sowie automatische Neustartmechanismen für Services eingesetzt, um die kontinuierliche Verfügbarkeit der Anwendung zu unterstützen.

Systemzustände und relevante Betriebsparameter werden überwacht, um Störungen frühzeitig zu erkennen und geeignete Gegenmaßnahmen einzuleiten. Regelmäßige Sicherheits- und Softwareupdates tragen zusätzlich zur stabilen Bereitstellung der Anwendung bei.

3.2 Belastbarkeit
Die eingesetzten Systeme sind so ausgelegt, dass sie den betrieblichen Anforderungen entsprechen und auch bei erhöhter Last stabil betrieben werden können. Die Infrastruktur ist auf Skalierbarkeit und eine belastbare Bereitstellung der Services ausgelegt.

3.3 Wiederherstellung der Verfügbarkeit
Es werden tägliche automatisierte Backups der Produktivdatenbank durchgeführt. Die Backups werden für einen definierten Zeitraum von 30 Tagen aufbewahrt und nach Ablauf der Aufbewahrungsdauer automatisiert gelöscht oder überschrieben.

Verfahren zur Wiederherstellung der Daten im Falle technischer Störungen sind definiert. Eine Wiederherstellung aus Backups ist möglich und die Wiederherstellbarkeit wird regelmäßig überprüft.

3.4 Störungsmanagement
Systemmonitoring ermöglicht die frühzeitige Erkennung technischer Störungen. Es bestehen dokumentierte Prozesse zur Analyse, Bearbeitung und Behebung von Störungen sowie zur Wiederherstellung des Regelbetriebs.

Technische Systemereignisse und Anwendungsprotokolle werden zentral erfasst und zur Überwachung sowie zur Diagnose von Systemproblemen ausgewertet. Sicherheitsvorfälle, insbesondere unberechtigte Zugriffe oder potenzielle Datenabflüsse, werden nach definierten Prozessen erkannt, eingedämmt, dokumentiert und an zuständige Stellen gemeldet.

4 Pseudonymisierung & Anonymisierung

Personenbezogene Daten werden – insbesondere im Zusammenhang mit Protokoll- und KI-gestützten Funktionen – soweit möglich anonymisiert, pseudonymisiert oder in ihrem Personenbezug reduziert verarbeitet. In Entwicklungs- und Testkontexten wird, soweit möglich, auf anonymisierte oder synthetische Daten zurückgegriffen.

5 Verschlüsselung

Personenbezogene Daten werden bei der Übertragung durch geeignete Verschlüsselungsverfahren geschützt. Insbesondere erfolgt die Kommunikation zwischen Nutzern, Anwendung, Schnittstellen und Systemkomponenten verschlüsselt mittels TLS.

Weitere Verschlüsselungsmaßnahmen werden unter Berücksichtigung des Stands der Technik, des Schutzbedarfs und der technischen Ausgestaltung der jeweiligen Systemkomponenten umgesetzt.

6 Überprüfung, Bewertung und Evaluierung der Wirksamkeit

6.1 Überprüfung und Bewertung
Technische und organisatorische Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst. Sicherheitsrelevante Prozesse sind dokumentiert und werden fortlaufend weiterentwickelt. Eingesetzte Sub-Processor werden regelmäßig überprüft.

6.2 Sicherheitsmanagement und Vorfallbehandlung
Es bestehen dokumentierte Prozesse für Sicherheitsmanagement und Vorfallbehandlung. Sicherheitsvorfälle werden nach definierten Verfahren erkannt, bewertet, dokumentiert und bearbeitet. Maßnahmen zur Verbesserung der Informationssicherheit werden kontinuierlich umgesetzt.

6.3 Datenschutzfreundliche Voreinstellungen
Die Verarbeitung personenbezogener Daten erfolgt nach dem Prinzip der Datenminimierung und nur insoweit, wie dies für die Erbringung der vertraglich geschuldeten Leistungen erforderlich ist.

Eine Nutzung von Daten zur Verbesserung der KI-gestützten Funktionen kann erfolgen, soweit ein Personenbezug reduziert, pseudonymisiert oder, soweit möglich, anonymisiert wird und keine überwiegenden schutzwürdigen Interessen der betroffenen Personen entgegenstehen. Kunden haben die Möglichkeit, einer solchen Nutzung jederzeit zu widersprechen (Opt-out).

7 Weisungsgemäße Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rahmen der vertraglichen Vereinbarungen und gemäß den dokumentierten Weisungen des Auftraggebers. Mit eingesetzten Dienstleistern werden die erforderlichen datenschutzrechtlichen Vereinbarungen abgeschlossen.

8 Umgang mit Protokoll- und KI-Daten

Protokoll- und Debugdaten können zur Analyse von Fehlern, zur Sicherstellung der Systemstabilität sowie zur technischen Diagnose verarbeitet werden. Diese Daten werden getrennt von Produktivdaten gespeichert.

Protokolldaten im Zusammenhang mit KI-Assistenzfunktionen werden für einen definierten Zeitraum gespeichert und spätestens nach 90 Tagen gelöscht, sofern keine gesetzlichen oder zwingenden betrieblichen Gründe eine längere Aufbewahrung erfordern.

9 Sub-Processor

Zur Leistungserbringung können technische Dienstleister eingesetzt werden, insbesondere Cloud-Hosting-Provider, KI-Dienstleister sowie Monitoring- und Observability-Services.

Eine aktuelle Liste der eingesetzten Sub-Processor wird dem Auftraggeber auf Anfrage zur Verfügung gestellt.