Präambel

(1) Diese Vereinbarung zur Auftragsverarbeitung („Vereinbarung“) wurde durch Bestätigung bei der Account-Registrierung durch den Verantwortlichen wirksam für beide Parteien abgeschlossen.

(2) Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien gem. des jeweiligen Auftrags bzw. der AGB (Stand: 1. August 2024) (im Folgenden: „Hauptvertrag“). Teil der Durchführung des Hauptvertrages ist die Verarbeitung von personenbezogenen Daten des Verantwortlichen durch den Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung („DSGVO“).

(3) Zur Erfüllung der Anforderungen der DSGVO, insbesondere des Art. 28 Abs. 3 DSGVO, haben die Parteien die nachfolgende Vereinbarung geschlossen.

1. Gegenstand/Umfang und Dauer der Beauftragung

1.1 Im Rahmen der Erbringung der gemäß dem Hauptvertrag durchzuführenden Leistungen, erlangt der Auftragsverarbeiter Zugriff auf die personenbezogenen Daten des Verantwortlichen (im Folgenden: „Auftraggeberdaten“). Diese darf er ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeiten.

1.2 Art, Umfang und Zweck der Verarbeitung von Auftraggeberdaten durch den Auftragsverarbeiter sowie die von dieser Verarbeitung betroffenen Kategorien betroffener Personen sind in Anlage 1 spezifiziert.

1.3 Ein über die in Anlage 1 beschriebene Verarbeitung hinausgehender Umgang mit Auftraggeberdaten ist dem Auftragsverarbeiter untersagt.

1.4 Die Verarbeitung der Auftraggeberdaten findet grundsätzlich in einem Mitgliedsstaat der Europäischen Union („EU“) oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum („EWR“) statt. Jede Verlagerung der Verarbeitung der Auftraggeberdaten in ein Land außerhalb der EU/des EWR erfolgt nur nach vorheriger Anzeige gegenüber dem Verantwortlichen und nur, soweit die besonderen Voraussetzungen der Art. 44 bis 49 DSGVO erfüllt sind.

1.5 Die Bestimmungen dieser Vereinbarung finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen der Auftragsverarbeiter und seine Beschäftigten mit den Auftraggeberdaten in Berührung kommen.

1.6 Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Die Möglichkeit zur fristlosen Kündigung aus einem wichtigen Grund bleibt hiervon unberührt.

2. Weisungsbefugnisse des Verantwortlichen

2.1 Der Auftragsverarbeiter verarbeitet die Auftraggeberdaten nur im Rahmen der Beauftragung und ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Der Verantwortliche hat insoweit das alleinige Recht, Weisungen über Art und Umfang der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch "Weisungsrecht"). Wird der Auftragsverarbeiter durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit.

2.2 Weisungen werden vom Verantwortlicher grundsätzlich schriftlich (E-Mail genügt) erteilt; mündlich erteilte Weisungen sind vom Verantwortlichen schriftlich zu bestätigen. Der Verantwortliche kann dem Auftragsverarbeiter die weisungs- und empfangsberechtigte Personen per E-Mail mitteilen.

2.3 Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verstößt, hat er dies dem Verantwortlichen mitzuteilen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis der Verantwortliche diese bestätigt oder ändert.

3. Technisch-organisatorische Maßnahmen

3.1 Der Auftragsverarbeiter hat bei der Verarbeitung der Auftraggeberdaten die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Die konkret durch den Auftragsverarbeiter implementierten technisch-organisatorischen Maßnahmen ergeben sich aus Anlage 2.

3.2 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden.

3.3 Auf Verlangen des Verantwortlichen wird der Auftragsverarbeiter dem Verantwortlichen die Einhaltung der in Anlage 2 bestimmten technischen und organisatorischen Maßnahmen durch geeignete Nachweise demonstrieren.

4. Informations- und Unterstützungspflichten des Auftragsverarbeiters

4.1 Bei Störungen, Verdacht auf Datenschutzverletzungen im Sinne des Art. 33 DSGVO oder Verletzungen vertraglicher Verpflichtungen des Auftragsverarbeiters bei der Verarbeitung der Auftraggeberdaten durch den Auftragsverarbeiter, durch bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens aber innerhalb von 24 Stunden in Schriftform oder elektronischer Form hierüber informieren. Hierbei teilt der Auftragsverarbeiter dem Verantwortlichen mindestens die in Art. 33 Abs. 3 DSGVO genannten Angaben mit.

4.2 Der Auftragsverarbeiter wird den Verantwortlichen im Falle der Ziffer 4.1 bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe – und Informationsmaßnahmen, insbesondere derjenigen nach Art. 34 DSGVO, im Rahmen des Zumutbaren unterstützen und ihm die hierfür erforderlichen Informationen unverzüglich zur Verfügung stellen. Soweit der Geschäftsbetrieb des Auftragsnehmers hierdurch unverhältnismäßig belastet wird, trägt der Verantwortliche die Kosten, der hierfür erforderlichen Maßnahmen des Auftragsverarbeiters.

4.3 Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Datenschutz-Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

4.4 Prüfungen des Auftragsverarbeiters durch die Datenschutz-Aufsichtsbehörde wird der Auftragsverarbeiter dem Verantwortlichen unverzüglich, nachdem er Kenntnis von der beabsichtigten Durchführung dieser Prüfung erlangt hat, mitteilen, sofern Verarbeitungsvorgänge nach dieser Vereinbarung betroffen sind.

4.5 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO soweit dies erforderlich ist. Die Kosten für diese Unterstützung trägt der Verantwortliche.

5. Sonstige Verpflichtungen des Auftragsverarbeiters

5.1 Der Auftragsverarbeiter ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Verantwortlichen erlangten Informationen nicht an unbefugte Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

5.2 Der Auftragsverarbeiter wird die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO sicherstellen. Er sichert zu, im Umgang mit Auftraggeberdaten nur Beschäftigte einzusetzen, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten einschließlich der in dieser Vereinbarung eingeräumten Befugnisse, es sei denn, dass sie durch Unionsrecht oder das Recht der Mitgliedstaaten gesetzlich zur Verarbeitung verpflichtet sind.

Der Auftragsverarbeiter bestätigt, dass er – soweit eine gesetzliche Verpflichtung hierzu besteht – einen Datenschutzbeauftragten bestellt hat. Die Kontaktdaten des Datenschutzbeauftragten sind:

Wolfgang Thanner

https://www.securiserve.de/securiserve/ Tel.: +49(0) 176-104 174 88 Fax: +49(0) 8801-9139160 kontakt[at]securiserve.de

Ein Wechsel in der Person des Datenschutzbeauftragten ist dem Verantwortlichen unverzüglich schriftlich mitzuteilen.

6. Unterauftragsverarbeitung

6.1 Als Unterauftragsverarbeitung im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transport-dienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt.

6.2 Der Verantwortliche genehmigt die in Anlage 3 genannten Unterauftragsverarbeiter.

6.3 Der Wechsel bestehender oder die Beauftragung neuer Unterauftragsverarbeiter sind nur zulässig, (i) soweit der Auftragsverarbeiter einen solchen Wechsel oder eine solche neue Beauftragung dem Verantwortlichen mindestens 30 Tage vor Beginn der Unterauftragsverarbeitung schriftlich oder in Textform anzeigt und (ii) soweit der Verantwortliche bis zu diesem Zeitpunkt keinen Einspruch gegen den geplanten Wechsel oder die geplante Beauftragung einlegt.

6.4 Erbringt der Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU/des EWR, gilt Ziffer 1.4 dieses Auftragsverarbeitungsvertrages entsprechend.

7. Kontrollrechte des Verantwortlichen

7.1 Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach dieser Vereinbarung und nach Art. 28 DSGVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung innerhalb einer angemessenen Frist die für die Durchführung der Kontrollen erforderlichen Auskünfte und Nachweise zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

7.2 Der Verantwortliche hat das Recht, bei berechtigten Zweifeln an der Einhaltung der datenschutzrechtlichen Anforderungen durch den Auftragsverarbeiter in Absprache mit dem Auftragsverarbeiter Vor-Ort Überprüfungen selbst oder durch im Einzelfall zu benennende Prüfer durchführen lassen. Diese Überprüfungen sind mit angemessenem Vorlauf anzukündigen, um den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig zu stören.

7.3 Werden bei einer solchen Überprüfung Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des Verfahrensablaufs erfordern, teilt der Verantwortliche dem Auftragsverarbeiter die notwendigen Verfahrensänderungen unverzüglich mit.

7.4 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann auch durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO, die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO, aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (z.B. nach BSI Grundschutz) erfolgen.

8. Rechte der Betroffenen

8.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36 DSGVO. Er wird dem Verantwortlichen unverzüglich, spätestens aber innerhalb von sieben (7) Werktagen, die gewünschte Auskunft über Auftraggeberdaten geben, sofern der Verantwortliche nicht selbst über die entsprechenden Informationen verfügt.

8.2 Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten und dessen Weisungen abwarten. Ohne entsprechende Einzelweisung wird der Auftragsverarbeiter nicht mit der betroffenen Person aktiv in Kontakt treten.

9. Löschung und Rückgabe von personenbezogenen Daten

9.1 Kopien oder Duplikate der Auftraggeberdaten werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

9.2 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung des Hauptvertrages – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung des Verantwortlichen datenschutzgerecht zu vernichten, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung dieser personenbezogenen Daten besteht. In diesem Fall wird der Auftragsverarbeiter den Verantwortlichen umgehend über solche Verpflichtungen informieren. Die in dieser Ziffer 9.2 vorgesehenen Regelungen gelten für Test- und Ausschussmaterial gleichermaßen. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

9.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.

9.4 Der Auftragsverarbeiter ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln.

10. Haftung

Die Haftung der Parteien richtet sich nach dem Hauptvertrag.

11. Schlussbestimmungen

11.1 Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragsverarbeiter i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

11.2 Sollten die Auftraggeberdaten beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragsverarbeiter wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Verantwortlichen liegt.

11.3 Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

11.4 Die Regelungen dieser Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor. Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen einer Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt.

11.5 Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Frankfurt am Main.

Anmerkung – Diese Vereinbarung wird gemeinsam mit den AGB bei der Registrierung eines Accounts elektronisch abgeschlossen.

Anlage 1 - Art, Umfang, Zweck und Auftragsverarbeitung

Dieses Dokument listet alle von Omnifact verarbeiteten Daten nach Art, Umfang, Zweck und externer Auftragsverarbeitung auf. Das Dokument dient als Anhang zu unserer Vereinbarung zur Auftragsdatenverarbeitung (AVV). Alle hier genannten Dienstleister werden in der AVV ausführlich aufgeführt.

Verarbeitung personenbezogener Daten

Anlage 2 zur AVV - Weisungs- und empfangsberechtigte Personen

Omnifact GmbH, Hansaallee 154, 60320 Frankfurt, Deutschland

Folgende Person(en) ist/sind beim Verantwortlichen berechtigt, Weisungen hinsichtlich der dieser Auftragsverarbeitungsvereinbarung gegenständlichen Datenverarbeitung zu erteilen:

Name:

Position:

Erreichbarkeit innerhalb des Unternehmens:

Folgende Person(en) ist/sind beim Auftragsverarbeiter berechtigt, Weisungen hinsichtlich der dieser Auftragsverarbeitungsvereinbarung gegenständlichen Datenverarbeitung entgegenzunehmen:

Name: Patrick Helmig, Florian Reifschneider

Position: CEO / CTO (beide Geschäftsführer)

Erreichbarkeit innerhalb des Unternehmens: patrick@omnifact.ai / florian@omnifact.ai

Anlage 3 - Technisch-Organisatorische Maßnahmen

1. Allgemeines

Datenschutz und IT-Sicherheit sind für die Omnifact GmbH zentraler Bestandteil unserer täglichen Arbeit. Wir ergänzen und optimieren unsere Maßnahmen zur IT-Sicherheit und zum Schutz Ihrer Daten kontinuierlich. Dieses Dokument stellt einen aktuellen Auszug der Maßnahmen dar, mit denen wir personenbezogene Daten schützen.

Der Scope dieses Dokuments bezieht sich auf die Verarbeitung personenbezogener und anderer Kundendaten. Omnifact betreibt ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001:2022, das seit dem 14. April 2026 zertifiziert ist. Das Zertifikat und weitere Nachweise sind unter https://trust.omnifact.ai abrufbar.

2. Katalog Technisch-Organisatorischer Maßnahmen

2.1 Zutrittskontrolle

Alle Kundendaten der Omnifact-Plattform werden in Microsoft Azure, Region Germany West Central (Frankfurt) verarbeitet. Eine ausführliche Beschreibung der physikalischen Sicherheit in Azure-Rechenzentren finden Sie unter: https://learn.microsoft.com/de-de/azure/security/fundamentals/physical-security

Bei der Verarbeitung von Supportanfragen und der Angebotserstellung werden Namen und E-Mail-Adressen von Ansprechpartnern in Ihrem Unternehmen – keine Daten aus der Omnifact-Plattform – in Google Workspace verarbeitet. Eine Beschreibung der physikalischen Sicherheit bei Google finden Sie unter: https://cloud.google.com/docs/security/physical-to-logical-space?hl=de

Unser Büro in der Hansaallee 154, 60320 Frankfurt am Main, befindet sich in einem Mehrmieter-Bürogebäude. Das Gebäude ist außerhalb der Geschäftszeiten verschlossen; der Zugang erfolgt über physische Schlüssel mit dokumentierter Schlüsselvergabe. Auf Büro-Equipment werden keine produktiven Kundendaten verarbeitet oder gespeichert – ausschließlich Entwicklungs- und Testsysteme.

2.2 Zugangskontrolle

2.2.1 Physische Zugangskontrolle

Siehe Abschnitt Zutrittskontrolle – der Zugang zu Systemen, auf denen Kundendaten verarbeitet werden, liegt ausschließlich in der Verantwortung von Microsoft Azure bzw. Google Workspace.

2.2.2 Authentifizierungsmethoden

• Zentrale Identitätsverwaltung über Microsoft Entra ID für Azure sowie Google Workspace als Identitätsanbieter für interne Tools.
• Multi-Faktor-Authentifizierung (MFA) ist verpflichtend für alle zentralen Systeme:
  • Microsoft Azure / Entra ID (mandatory)
  • Google Workspace (2SV organisationsweit erzwungen)
  • GitLab (2FA erzwungen)
  • 1Password (Authenticator App + Security Key)
  • Cloudflare (MFA aktiviert)
• Passwort-Manager-Pflicht: Alle Mitarbeitenden nutzen 1Password; starke Passwort-Richtlinie mit Mindestlänge 16 Zeichen und Komplexitätsanforderungen.
• Private/Public-Key-Authentifizierung für Code-Änderungen (Git/GitLab).
• Sichere Credential-Verwaltung für CI/CD und Cloud-Deployments: Secrets in Azure Key Vault, Integration in Pulumi-IaC und GitLab CI.
• Kundenauthentifizierung: SAML 2.0 inklusive Azure AD / Microsoft Entra ID; automatisches Session-Locking bei Inaktivität.

2.2.3 Verwaltung von Benutzerkonten

• Benutzerkonten werden zentral verwaltet (Entra ID, Google Workspace).
• Single Sign-On (SSO) wird eingesetzt, sofern vom jeweiligen Dienst unterstützt.
• Dokumentierter On- und Offboarding-Prozess; Zugänge werden beim Offboarding innerhalb von 24 Stunden bzw. spätestens am nächsten Arbeitstag deaktiviert.
• Inventarisierung aller Zugriffe; mindestens jährliche Überprüfung der Berechtigungen.
• Protokollierung administrativer Tätigkeiten in Entra ID, Google Workspace, GitLab und Azure.

2.3 Zugriffskontrolle

2.3.1 Berechtigungskonzepte

• Least-Privilege-Prinzip – Nutzende erhalten ausschließlich die für ihre Rolle notwendigen Berechtigungen.
• Entwickler haben keinen Zugriff auf Produktivdaten.
• Privileged Access Management auf Produktionsressourcen erfolgt über Azure PIM (Privileged Identity Management) – keine stehenden Administrator-Rechte, zeitlich begrenzte Aktivierung (max. 1 Stunde) mit dokumentierter Begründung.
• Dedizierte Administrator-Accounts; das Break-Glass-Konto ist überwacht (Sev-1-Alarm bei jeder Anmeldung).
• Administratoren sind dokumentiert; Änderungen werden protokolliert.
• Änderungen am Code ausschließlich nach Vier-Augen-Prinzip über GitLab Merge Requests mit Branch Protection.
• Regelmäßige Überprüfung der Berechtigungen (mindestens jährlich).
• Innerhalb der Omnifact-Plattform:
  • Rollenbasierte Berechtigungen (Platform: User/Admin; Spaces: User/Admin, optional Knowledge Base Manager)
  • Scoping der Berechtigungen auf die Organisation (Mandantentrennung, siehe Trennungsgebot)

2.3.2 Datenbankzugriff

• Anwendungszugriff über einen dedizierten Service-Account mit minimalen Rechten.
• Menschlicher Zugriff auf produktive Datenbanken ausschließlich über Microsoft-Entra-Authentifizierung – jede zugreifende Person authentifiziert sich mit ihrer individuellen Azure-AD-Identität.
• Netzwerkzugang zur Produktionsumgebung ausschließlich über NetBird Mesh-VPN mit Just-in-Time-Freigabe: Produktionszugriff wird über einen automatisierten Slack-Workflow beantragt, zeitlich begrenzt gewährt, mit Begründung dokumentiert und automatisch entzogen.

2.3.3 Weitere Maßnahmen

• Backups und Replikate von Kundendaten verbleiben ausschließlich innerhalb der Azure-Infrastruktur in der EU (Frankfurt).
• Alle Services sind so konfiguriert, dass die Daten "encrypted at rest" (AES-256) abgelegt werden. Dies gilt für PostgreSQL, Blob Storage und alle weiteren persistenten Azure-Dienste.
• Sicherheits- und Konfigurations-Monitoring über Microsoft Defender for Cloud über alle vier Azure-Subskriptionen.

2.4 Weitergabekontrolle

2.4.1 Übertragung

• Die Datenübertragung erfolgt grundsätzlich verschlüsselt (HTTPS/TLS) – sowohl zwischen Client und Plattform als auch zwischen internen Services.
• Sofern nicht vom Kunden deaktiviert, werden alle Prompts und Dateien vor der Übertragung an den LLM-Anbieter durch unseren Datenschutzfilter von personenbezogenen Daten bereinigt (Platzhalter-Ersetzung).
  • Ausnahme: Vom Nutzer im Profil hinterlegte Informationen und Verhaltensanweisungen an das LLM; die betroffenen Felder sind transparent gekennzeichnet.
• Nutzende können maskierte Felder aktiv demaskieren, sofern für den Anwendungsfall erforderlich.
• Nicht-öffentliche Services sind innerhalb der Cloud-Infrastruktur über Network Security Groups (NSGs) und Private Endpoints abgesichert.
• Die öffentlich erreichbaren Endpunkte sind durch Cloudflare (Web Application Firewall und DDoS-Schutz) vorgelagert.

2.4.2 Datenträger

• Alle Notebooks und Desktops verfügen über aktivierte Festplattenverschlüsselung.
• Mobile Device Management (MDM) und Endpoint-Schutz (Anti-Malware) sind auf allen Endgeräten aktiv.
• Inventarisierung aller Endgeräte über das MDM.

2.5 Eingabekontrolle

2.5.1 Dokumentation der Eingabe

• Daten können nicht ohne Authentifizierung und Autorisierung erstellt, verändert oder gelöscht werden.
• Operationen innerhalb der Omnifact-Plattform sind Nutzenden eindeutig zugeordnet.
• Audit-Logging administrativer Tätigkeiten (Benutzerstatus-Änderungen, Ressourcen-Löschungen) ist implementiert; das System ist für weitere Events erweiterbar. Logs werden mindestens 90 Tage aufbewahrt, verschlüsselt übertragen und gespeichert, und sind innerhalb des Aufbewahrungszeitraums gegen Veränderung geschützt (append-only).
• Zeitsynchronisation: Alle Systeme verwenden UTC für konsistente Zeitstempel über Log-Quellen hinweg.
• Überwachung: Azure Application Insights mit ML-basierter Anomalie-Erkennung, Azure Monitor Networks, Defender for Cloud.

2.6 Auftragskontrolle

2.6.1 Anbieterauswahl

• Anbieter werden vor der Beauftragung im Rahmen unseres dokumentierten Vendor-Management-Prozesses geprüft:
  • Erfüllung von Datenschutzanforderungen (DSGVO, ggf. Drittland-Garantien)
  • Vorhandensein eines ISMS (vorzugsweise nach ISO 27001)
  • Security-Posture, Zertifizierungen, Referenzen
• Besonderheit LLM-Anbieter:
  • Wir sind bestrebt, LLM-Provider zeitnah und in der Breite bereitzustellen.
  • Sofern vom Anbieter angeboten, schließen wir eine AVV mit diesem Anbieter ab.
  • Ist dies nicht möglich, wird der Umstand transparent als Anlage zu unserer AVV mit unseren Kunden dokumentiert.
  • Kunden können LLM-Anbieter für ihre Organisation eigenständig aktivieren oder deaktivieren und die verfügbaren Dienste an ihre Bedürfnisse anpassen.
• Anbieterwechsel werden unseren Kunden frühzeitig mitgeteilt.
• AVV mit allen DSGVO-relevanten Anbietern sind abgeschlossen.

2.6.2 Omnifact als Auftragnehmer

• Bereitstellung einer AVV mit aktuellen Informationen zum DSGVO-konformen Vorgehen.
• Auditierung durch Kunden nach Absprache möglich.
• ISMS nach ISO/IEC 27001:2022 implementiert und zertifiziert (Zertifikat und weitere Nachweise: https://trust.omnifact.ai).
• Externer Datenschutzbeauftragter (Wolfgang Thanner) etabliert; Meldeprozesse für Datenschutzverletzungen dokumentiert.

2.7 Verfügbarkeitskontrolle

2.7.1 Physische Verfügbarkeit

Siehe Abschnitt Zutrittskontrolle. Die Produktionsdatenbank wird als Azure PostgreSQL Flexible Server mit Zone-Redundant High Availability betrieben.

2.7.2 Datensicherung

• Die Vorhaltung der Daten unserer Kunden (Retention) kann vom Administrator einer Organisation eingestellt werden.
• Datenbank-Backups:
  • Point-in-Time Recovery (PITR): tägliche Snapshots + kontinuierliches WAL-Archiving, 30 Tage Aufbewahrung, Microsoft-verwaltete Storage-Accounts (isoliert vom Kundenzugriff). RPO ca. 5 Minuten, RTO ca. 2 Stunden.
  • Wöchentliche pg_dump-Backups in Azure Backup Vault als Fallback für Szenarien, in denen Azure PITR nicht zur Verfügung steht.
• Blob Storage: Soft Delete mit 14-Tage-Aufbewahrung.
• Backups sind verschlüsselt (in-transit und at-rest, AES-256) und unter Ausnutzung von Zone-/Geo-Redundanz des Cloud-Providers abgelegt.
• Die Wiederherstellung aus Backups wird mindestens jährlich in der Entwicklungsumgebung getestet; Ergebnisse werden dokumentiert (Data Recovery Test Log).
• Deployments und Konfigurationen werden automatisiert über Infrastructure-as-Code (Pulumi) und GitLab CI/CD auf Staging- und Produktivsysteme ausgerollt, mit verpflichtender Freigabe vor der Produktion. Dies minimiert menschliche Fehler und ermöglicht kurzfristige Wiederherstellung in anderen Azure-Verfügbarkeitszonen.
• Löschung:
  • Die Löschung von Chats, Nutzenden und Organisationen ist technisch umgesetzt und dokumentiert.
  • Das Löschen von Nutzenden samt zugehöriger Profile kann vom Administrator einer Organisation angestoßen werden.
  • Die Löschung einer Organisation kann über unseren Support (support@omnifact.ai) beauftragt werden; Löschung erfolgt innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
  • Backups werden nach Ablauf der dokumentierten Aufbewahrungsfrist automatisch gelöscht.

2.7.3 Business Continuity

Omnifact verfügt über eine dokumentierte Business Continuity and Disaster Recovery Policy sowie ein jährlich getestetes Disaster-Recovery-Verfahren. Die Strategie umfasst:

• Betrieb in mehreren Azure-Verfügbarkeitszonen (Zone-Redundant HA für die Produktionsdatenbank).
• Automatisierung der Infrastruktur (Pulumi IaC) und der Deployments erlaubt kurzfristige Wiederherstellung in anderen Verfügbarkeitszonen.
• Regelmäßige Wiederherstellungstests für Backups (jährlich, zuletzt 2026-02-26 für PITR und pg_dump).
• Dokumentiertes Incident-Response- und Disruption-Response-Verfahren mit klaren Rollen (Tech Leadership, externer DPO).
• System-Verfügbarkeits-SLA: 99,9 %.

2.8 Trennungsgebot

2.8.1 Trennung nach Art der Daten und Verarbeitung

• Wir unterscheiden zwischen Kundendaten und internen Daten. Kundendaten werden grundsätzlich wie personenbezogene Daten behandelt.
• Ausnahme: Nutzer-Prompts werden nach Anwendung unseres Datenschutzfilters an den ausgewählten LLM-Anbieter übertragen. Nutzende können maskierte Felder aktiv demaskieren (z. B. wenn das Wissen eines LLMs zu einem bestimmten Unternehmen genutzt werden soll).

2.8.2 Mandantentrennung

• Unser Datenmodell ist nach Mandanten (Organisationen) aufgeteilt.
• Benutzerrollen und Berechtigungen gelten ausschließlich innerhalb eines Mandanten und setzen sich nicht auf andere Organisationen fort.

2.8.3 Trennung der Systeme

• Produktiv-, Staging- und Entwicklungsumgebungen sind vollständig getrennt (separate Azure Resource Groups: omnifact-prod, omnifact-dev, omnifact-test).
• Keine geteilten Daten zwischen den Umgebungen.
• Wir testen nicht mit Kundendaten – es werden ausschließlich synthetische oder anonymisierte Daten verwendet.
• Nutzerkonten für die einzelnen Umgebungen sind separat.
• Entwickler haben keinen Zugriff auf Produktivsysteme.

2.9 Kontinuierliche Verbesserung

• Sicherheits-Scanning: SAST (Semgrep), Dependency-Scanning (Gemnasium / SBOM), IaC-Scanning (KICS) laufen in jeder GitLab-CI/CD-Pipeline; Cloud-Posture-Management durch Microsoft Defender for Cloud.
• Penetrationstests: Jährliche externe Penetrationstests mit dokumentierter Remediation.
• Schulungen: Regelmäßige Security-Awareness-Trainings für alle Mitarbeitenden.
• Management-Review: Mindestens jährliche ISMS-Management-Reviews.
• Interne Audits: Definiertes internes Audit-Programm; externe Surveillance-Audits im Rahmen der ISO-27001-Zertifizierung.

2.10 Sonstiges

Datenschutzfilter (Privacy Filter) Der Omnifact Datenschutzfilter basiert auf einem Ensemble-Ansatz, der zwei komplementäre Erkennungsverfahren kombiniert:

• Ein eigens trainiertes Small Language Model (SLM) zur Named Entity Recognition (NER), das kontextabhängig personenbezogene Entitäten wie Personen- und Firmennamen, Adressen sowie freitextliche Identifikatoren erkennt.
• Regelbasierte RegEx-Heuristiken, die strukturierte Muster wie E-Mail-Adressen, Telefonnummern, IBAN-Nummern und weitere standardisierte Identifikatoren zuverlässig erfassen.

Durch die Kombination beider Verfahren wird eine hohe Erkennungsrate bei gleichzeitig niedriger Falsch-Positiv-Quote erreicht. Erkannte Entitäten werden durch Platzhalter-Tokens ersetzt, bevor der Prompt oder das Dokument an den LLM-Anbieter übermittelt wird. Nach Erhalt der LLM-Antwort werden die Platzhalter automatisch in die Originalwerte zurückübersetzt, sodass Nutzende eine vollständige und lesbare Antwort erhalten.

Die gesamte Filterung findet ausschließlich innerhalb der Omnifact-Plattform auf Infrastruktur in Deutschland (Azure Region Germany West Central, Frankfurt) statt. Sensible Daten verlassen zu keinem Zeitpunkt die kontrollierte Umgebung, bevor die Maskierung abgeschlossen ist.

Anlage 4 - Genehmigte Unterauftragsverarbeiter

Dieses Dokument listet alle von Omnifact für die Verarbeitung notwendigen Unterauftragsverarbeiter.

1. Allgemeine Verarbeitung

1.2 LLM-Anbieter (über die allgemeine Verarbeitung hinaus)

Wichtige Hinweise:

• Wir ermöglichen auch die Nutzung von Anbietern, wie z.B. Groq, die stand heute noch keine DSGVO konforme AVV anbieten und ihren Dienst nicht über eine Legal-Entity im EWR betreiben. Bitte prüfen Sie daher, ob die von Ihnen in der Organisation aktivierten Anbieter Ihren eigenen Datenschutzanforderungen genügen.
• Sofern Sie Ihren eigenen API-Key über die Omnifact Plattform nutzen, gelten für die Verarbeitung durch den LLM-Anbieter die mit Ihnen vereinbarten Regelungen. Bitte stellen Sie in diesem Fall sicher, dass eine AVV vorliegt, sofern diese für Ihre Zwecke notwendig ist.