Auftragsverarbeitungsvertrag

Präambel

(1) Diese Vereinbarung zur Auftragsverarbeitung („Vereinbarung“) wurde durch Bestätigung bei der Account-Registrierung durch den Verantwortlichen wirksam für beide Parteien abgeschlossen.

(2) Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien gem. des jeweiligen Auftrags bzw. der AGB (Stand: 1. August 2024) (im Folgenden: „Hauptvertrag“). Teil der Durchführung des Hauptvertrages ist die Verarbeitung von personenbezogenen Daten des Verantwortlichen durch den Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung („DSGVO“).

(3) Zur Erfüllung der Anforderungen der DSGVO, insbesondere des Art. 28 Abs. 3 DSGVO, haben die Parteien die nachfolgende Vereinbarung geschlossen.

1. Gegenstand/Umfang und Dauer der Beauftragung

1.1 Im Rahmen der Erbringung der gemäß dem Hauptvertrag durchzuführenden Leistungen, erlangt der Auftragsverarbeiter Zugriff auf die personenbezogenen Daten des Verantwortlichen (im Folgenden: „Auftraggeberdaten“). Diese darf er ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeiten.

1.2 Art, Umfang und Zweck der Verarbeitung von Auftraggeberdaten durch den Auftragsverarbeiter sowie die von dieser Verarbeitung betroffenen Kategorien betroffener Personen sind in Anlage 1 spezifiziert.

1.3 Ein über die in Anlage 1 beschriebene Verarbeitung hinausgehender Umgang mit Auftraggeberdaten ist dem Auftragsverarbeiter untersagt.

1.4 Die Verarbeitung der Auftraggeberdaten findet grundsätzlich in einem Mitgliedsstaat der Europäischen Union („EU“) oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum („EWR“) statt. Jede Verlagerung der Verarbeitung der Auftraggeberdaten in ein Land außerhalb der EU/des EWR erfolgt nur nach vorheriger Anzeige gegenüber dem Verantwortlichen und nur, soweit die besonderen Voraussetzungen der Art. 44 bis 49 DSGVO erfüllt sind.

1.5 Die Bestimmungen dieser Vereinbarung finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen der Auftragsverarbeiter und seine Beschäftigten mit den Auftraggeberdaten in Berührung kommen.

1.6 Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Die Möglichkeit zur fristlosen Kündigung aus einem wichtigen Grund bleibt hiervon unberührt.

2. Weisungsbefugnisse des Verantwortlichen

2.1 Der Auftragsverarbeiter verarbeitet die Auftraggeberdaten nur im Rahmen der Beauftragung und ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Der Verantwortliche hat insoweit das alleinige Recht, Weisungen über Art und Umfang der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch "Weisungsrecht"). Wird der Auftragsverarbeiter durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit.

2.2 Weisungen werden vom Verantwortlicher grundsätzlich schriftlich (E-Mail genügt) erteilt; mündlich erteilte Weisungen sind vom Verantwortlichen schriftlich zu bestätigen. Der Verantwortliche kann dem Auftragsverarbeiter die weisungs- und empfangsberechtigte Personen per E-Mail mitteilen.

2.3 Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verstößt, hat er dies dem Verantwortlichen mitzuteilen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis der Verantwortliche diese bestätigt oder ändert.

3. Technisch-organisatorische Maßnahmen

3.1 Der Auftragsverarbeiter hat bei der Verarbeitung der Auftraggeberdaten die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Die konkret durch den Auftragsverarbeiter implementierten technisch-organisatorischen Maßnahmen ergeben sich aus Anlage 2.

3.2 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden.

3.3 Auf Verlangen des Verantwortlichen wird der Auftragsverarbeiter dem Verantwortlichen die Einhaltung der in Anlage 2 bestimmten technischen und organisatorischen Maßnahmen durch geeignete Nachweise demonstrieren.

4. Informations- und Unterstützungspflichten des Auftragsverarbeiters

4.1 Bei Störungen, Verdacht auf Datenschutzverletzungen im Sinne des Art. 33 DSGVO oder Verletzungen vertraglicher Verpflichtungen des Auftragsverarbeiters bei der Verarbeitung der Auftraggeberdaten durch den Auftragsverarbeiter, durch bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens aber innerhalb von 24 Stunden in Schriftform oder elektronischer Form hierüber informieren. Hierbei teilt der Auftragsverarbeiter dem Verantwortlichen mindestens die in Art. 33 Abs. 3 DSGVO genannten Angaben mit.

4.2 Der Auftragsverarbeiter wird den Verantwortlichen im Falle der Ziffer 4.1 bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe – und Informationsmaßnahmen, insbesondere derjenigen nach Art. 34 DSGVO, im Rahmen des Zumutbaren unterstützen und ihm die hierfür erforderlichen Informationen unverzüglich zur Verfügung stellen. Soweit der Geschäftsbetrieb des Auftragsnehmers hierdurch unverhältnismäßig belastet wird, trägt der Verantwortliche die Kosten, der hierfür erforderlichen Maßnahmen des Auftragsverarbeiters.

4.3 Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Datenschutz-Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

4.4 Prüfungen des Auftragsverarbeiters durch die Datenschutz-Aufsichtsbehörde wird der Auftragsverarbeiter dem Verantwortlichen unverzüglich, nachdem er Kenntnis von der beabsichtigten Durchführung dieser Prüfung erlangt hat, mitteilen, sofern Verarbeitungsvorgänge nach dieser Vereinbarung betroffen sind.

4.5 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO soweit dies erforderlich ist. Die Kosten für diese Unterstützung trägt der Verantwortliche.

5. Sonstige Verpflichtungen des Auftragsverarbeiters

5.1 Der Auftragsverarbeiter ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Verantwortlichen erlangten Informationen nicht an unbefugte Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

5.2 Der Auftragsverarbeiter wird die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO sicherstellen. Er sichert zu, im Umgang mit Auftraggeberdaten nur Beschäftigte einzusetzen, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten einschließlich der in dieser Vereinbarung eingeräumten Befugnisse, es sei denn, dass sie durch Unionsrecht oder das Recht der Mitgliedstaaten gesetzlich zur Verarbeitung verpflichtet sind.

5.3 Der Auftragsverarbeiter bestätigt, dass er – soweit eine gesetzliche Verpflichtung hierzu besteht – einen Datenschutzbeauftragten bestellt hat. Die Kontaktdaten des Datenschutzbeauftragten sind: Wir finalisieren gerade die Zusammenarbeit mit einem externen Datenschutz beauftragten. Vertretungsweise übernimmt die Aufgaben des Datenschutzbeauftragten unser Geschäftsführer Patrick Helmig.

5.4 Ein Wechsel in der Person des Datenschutzbeauftragten ist dem Verantwortlichen unverzüglich schriftlich mitzuteilen.

6. Unterauftragsverarbeitung

6.1 Als Unterauftragsverarbeitung im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transport-dienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt.

6.2 Der Verantwortliche genehmigt die in Anlage 3 genannten Unterauftragsverarbeiter.

6.3 Der Wechsel bestehender oder die Beauftragung neuer Unterauftragsverarbeiter sind nur zulässig, (i) soweit der Auftragsverarbeiter einen solchen Wechsel oder eine solche neue Beauftragung dem Verantwortlichen mindestens 30 Tage vor Beginn der Unterauftragsverarbeitung schriftlich oder in Textform anzeigt und (ii) soweit der Verantwortliche bis zu diesem Zeitpunkt keinen Einspruch gegen den geplanten Wechsel oder die geplante Beauftragung einlegt.

6.4 Erbringt der Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU/des EWR, gilt Ziffer 1.4 dieses Auftragsverarbeitungsvertrages entsprechend.

7. Kontrollrechte des Verantwortlichen

7.1 Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach dieser Vereinbarung und nach Art. 28 DSGVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung innerhalb einer angemessenen Frist die für die Durchführung der Kontrollen erforderlichen Auskünfte und Nachweise zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

7.2 Der Verantwortliche hat das Recht, bei berechtigten Zweifeln an der Einhaltung der datenschutzrechtlichen Anforderungen durch den Auftragsverarbeiter in Absprache mit dem Auftragsverarbeiter Vor-Ort Überprüfungen selbst oder durch im Einzelfall zu benennende Prüfer durchführen lassen. Diese Überprüfungen sind mit angemessenem Vorlauf anzukündigen, um den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig zu stören.

7.3 Werden bei einer solchen Überprüfung Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des Verfahrensablaufs erfordern, teilt der Verantwortliche dem Auftragsverarbeiter die notwendigen Verfahrensänderungen unverzüglich mit.

7.4 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann auch durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO, die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO, aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (z.B. nach BSI Grundschutz) erfolgen.

8. Rechte der Betroffenen

8.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36 DSGVO. Er wird dem Verantwortlichen unverzüglich, spätestens aber innerhalb von sieben (7) Werktagen, die gewünschte Auskunft über Auftraggeberdaten geben, sofern der Verantwortliche nicht selbst über die entsprechenden Informationen verfügt.

8.2 Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten und dessen Weisungen abwarten. Ohne entsprechende Einzelweisung wird der Auftragsverarbeiter nicht mit der betroffenen Person aktiv in Kontakt treten.

9. Löschung und Rückgabe von personenbezogenen Daten

9.1 Kopien oder Duplikate der Auftraggeberdaten werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

9.2 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung des Hauptvertrages – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung des Verantwortlichen datenschutzgerecht zu vernichten, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung dieser personenbezogenen Daten besteht. In diesem Fall wird der Auftragsverarbeiter den Verantwortlichen umgehend über solche Verpflichtungen informieren. Die in dieser Ziffer 9.2 vorgesehenen Regelungen gelten für Test- und Ausschussmaterial gleichermaßen. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

9.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.

9.4 Der Auftragsverarbeiter ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln.

10. Haftung

Die Haftung der Parteien richtet sich nach dem Hauptvertrag.

11. Schlussbestimmungen

11.1 Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragsverarbeiter i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

11.2 Sollten die Auftraggeberdaten beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragsverarbeiter wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Verantwortlichen liegt.

11.3 Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

11.4 Die Regelungen dieser Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor. Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen einer Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt.

11.5 Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Frankfurt am Main.

Anmerkung – Diese Vereinbarung wird gemeinsam mit den AGB bei der Registrierung eines Accounts elektronisch abgeschlossen.

Anlage 1 - Art, Umfang, Zweck und Auftragsverarbeitung

Dieses Dokument listet alle von Omnifact verarbeiteten Daten nach Art, Umfang, Zweck und externer Auftragsverarbeitung auf. Das Dokument dient als Anhang zu unserer Vereinbarung zur Auftragsdatenverarbeitung (AVV). Alle hier genannten Dienstleister werden in der AVV ausführlich aufgeführt.

Verarbeitung personenbezogener Daten

Anlage 2 - Technisch-Organisatorische Maßnahmen

1. Allgemeines

Datenschutz und IT-Sicherheit ist für die Omnifact GmbH zentraler Bestandteil unserer täglichen Arbeit. Wir ergänzen und optimieren daher unsere Maßnahmen zur IT-Sicherheit und zum Schutz ihrer Daten kontinuierlich. Dieses Dokument stellt einen aktuellen Auszug unserer Maßnahmen dar mit denen wir personenbezogene Daten schützen.

Der Scope in diesem Dokument bezieht sich auf die Verarbeitung personebezogener und anderer Kundendaten.

2. Katalog Technisch-Organisatorischer Maßnahmen

2.1 Zutrittskontrolle

Alle Daten auf der Omnifact Plattform werden in Microsoft Azure verarbeitet. Eine ausführliche Beschreibung der Maßnahmen zur physikalischen Sicherheit finden Sie hier: https://learn.microsoft.com/de-DE/azure/security/fundamentals/physical security#physical-security

Bei der Verarbeitung von Supportanfragen und der Angebotserstellung werden Namen und E Mail Adressen von Ansprechpartnerm in ihrem Unternehmen – Keine Daten aus der Omnifact Plattform – in Google Workspace verbeitet. Eine ausführliche Beschreibung der Maßnahem zur physikalischen Sicherheit bei Google finden Sie hier: https://cloud.google.com/docs/security/physical-to-logical-space?hl=de

2.2 Zugangskontrolle

2.2.1 Physische Zugangskontrolle

Alle Daten auf der Omnifact Plattform werden in Microsoft Azure verarbeitet. Eine ausführliche Beschreibung der Maßnahmen zur physikalischen Sicherheit finden Sie hier: https://learn.microsoft.com/de-DE/azure/security/fundamentals/physical-security#physical-security

Bei der Verarbeitung von Supportanfragen und der Angebotserstellung werden Namen und E Mail Adressen von Ansprechpartnerm in ihrem Unternehmen – Keine Daten aus der Omnifact Plattform – in Google Workspace verbeitet. Eine ausführliche Beschreibung der Maßnahem zur physikalischen Sicherheit bei Google finden Sie hier: https://cloud.google.com/docs/security/physical-to-logical-space?hl=de

2.2.2 Authentifizierungsmethoden

• Einsatz von Passwort Manager und komplexen Passwörtern
• 2-FA soweit möglich, unbedingt für:
  • Microsoft Azure
  • Google Workspace
• Private/Public Key Authentifizierung für Codeänderungen (git)
• Sichere Credentialverwaltung für CI/CD und Cloud Deployments

2.2.3 Verwaltung von Benutzerkonten

• Benutzerkonten werden zentral verwaltet
• Einsatz von SSO sofern technisch möglich
• Nutzerkonten werden beim Offboarding ovn Mitarbeitern umgehend deaktiviert
• Protokollierung des on- und off-boardings

2.3 Zugriffskontrolle

2.3.1 Berechtigungskonzepte

• Minimale Berechtigungen
• Entwickler haben keinen Zugriff auf Produktivdaten
• Administratoren sind dokumentiert und Änderungen werden protokolliert - Änderungen am Code nur nach Vier-Augen-Prinzip (Merge Requests) - Regelmäßige Überprüfung der Berechtigungen
• Innerhalb von Omnifact
  • Rollenbasierte Berechtigungen
  • Scoping der Berechtigungen auf eine Organisation

2.3.2 Weitere Maßnahmen

• Backups, Kopien und Sicherungen von Kundendaten geschieht nur innerhalb der jeweiligen Cloud Services
• Alle Services sind so konfiguriert, dass die Daten “encrypted at rest” abgelegt werden

2.4 Weitergabekontrolle

2.4.1 Übertragung

• Die Datenübertragung geschieht grundsätzlich verschlüsselt (HTTPS) - Sofern nicht deaktiviert, werden alle Prompts und Dateien vor der Übertragung an den LLM Anbieter von personenbezogenen Daten bereinigt
  • Ausnahme: Vom Nutzer im Profil hinterlegte Informationen und Verhaltensanweisungen and das LLM, die betroffenen Felder sind transparent gekennzeichnet
• Nicht-öffentliche Services sind per Firewall innerhalb der Cloud-Infrastruktur gesichert

2.4.2 Datenträger

• Alle Notebooks und Desktops verfügen über eine aktivierte
  Festplattenverschlüsselung

2.5 Eingabekontrolle

2.5.1 Dokumentation der Eingabe

• Daten können nicht ohne Authentifizierung und Authorisierung erstellt, verändert oder gelöscht werden

• Operationen innerhalb der Omnifact Plattform sind Nutzern zugeordnet - Derzeit in Arbeit: Protokollierung von administrativen Tätigkeiten innerhalb der Organisation

2.6 Auftragskontrolle

2.6.1 Anbieterauswahl

• Anbieter für die Datenverarbeitung werden vor der Beauftragung gründlich geprüft o Erfüllung von Datenschutzanforderungen
  • Vorhandenes ISMS (nach ISO 27001)
  • Besonderheit LLM Anbieter
    • Wir sind bemüht LLM Provider möglichst schnell und breit zur Verfügung zu stellen
    • Sofern vom Anbieter angeboten schließen wir eine AVV mit diesem Anbieter ab
    • Wenn dies nicht möglich ist, wir dies von uns transparent als Anlage zu unserer AVV mit unseren Kunden dokumentiert
    • Unsere Kunden können selbstständig für ihre Organsiation einzelnen LLM Anbieter de-/aktivieren und die Verfügbaren Dienste so ihren Bedürfnissen anpassen
• Anbieterwechsel werden unseren Kunden frühzeitig mitgeteilt
• AVV mit allen DSGVO-relevanten Anbietern

2.6.2 Omnifact als Auftragnehmer

• Bereitstellung einer AVV mit aktuellen Informationen zum DSGVO-konformen Vorgehen
• Möglichkeit der Auditierung nach Absprache
• Angestrebt für 2024: Implementierung und Zertifizierung eines ISMS

2.7 Verfügbarkeitskontrolle

2.7.1 Phyische Verfügbarkeit

Alle Daten auf der Omnifact Plattform werden in Microsoft Azure verarbeitet. Eine ausführliche Beschreibung der Maßnahmen zur physikalischen Sicherheit finden Sie hier: https://learn.microsoft.com/de-DE/azure/security/fundamentals/physical-security#physical-security

Bei der Verarbeitung von Supportanfragen und der Angebotserstellung werden Namen und E Mail Adressen von Ansprechpartnerm in ihrem Unternehmen – Keine Daten aus der Omnifact Plattform – in Google Workspace verbeitet. Eine ausführliche Beschreibung der Maßnahem zur physikalischen Sicherheit bei Google finden Sie hier: https://cloud.google.com/docs/security/physical-to-logical-space?hl=de

2.7.2 Datensicherrung

• Die Vorhaltung der Daten unserer Kunden (Retention) kann vom Administrator einer Organisation eingestellt werden
• Wir führen auf Datenbankebene regelmäßige Backups durch (Täglich + Vor neuen Änderungen am System)
• Wir überprüfen das Einspielen von Backups mindestens vierteljährlich - Wir halten Backups der letzten 30 Tage vor
• Löschung
  • Die Lösung von Chats, Nutzern und Organisationen ist technisch umgesetzt und dokumentiert
  • Das Löschen von Nutzern und der dazugehörigen Profile kann vom Administrator einer Organisation angestoßen werden
  • Das Löschen einer Organisation kann über unseren Support (support@omnifact.ai) angestoßen werden
• Deployments und Konfigurationen werden automatisiert auf Staging- und Produktivsysteme ausgerollt. Dies minimiert die Möglichkeiten menschlicher Fehler - Backups werden nach der dokumentierten Vorhaltefrist gelöscht

2.7.3 Business Continuity

• Eine ausführliche Business Continuity Planung wird 2024 erarbeitet werden
• Aktuell beschränkt sich unsere Planung auf die technische Aufrechterhaltung und Wiederaufnahme des Betriebs
  • Zugriff auf mehrere Verfügbarkeitszonen von Microsoft Azure
  • Backups / Testen des Einspielen von Backups
  • Automatisierung der Infrastrukturorganisation und der Deploymnets erlaubt es uns kurzfristig unsere Infrastruktur in anderen Verfügbarkeitszonen wiederherzustellen

2.8 Trennungsgebot

2.8.1 Trennung nach Art der Daten und Verarbeitung

• Wir unterscheiden nach Kundendaten und internen Daten. Kundendaten werden bei uns grundsätzlich wie personenbezogenen Daten behandelt
• Ausnahmen
  • Nutzerprompts werden nach der Anwendung unseres Datenschutzfilters an den LLM Anbieter übertragen
  • Der Nutzer hat hierbei die Möglichkeit aktiv maskierte Felder zu demaskieren (z.B. weil das Wissen eines LLMs zu einem bestimmten Unternehmen genutzt werden soll)

2.8.2 Mandantentrennung

• Unser Datenmodell ist nach Mandanten (Organisationen) aufgeteilt
• Die Benutzerrollen und Berechtigungen gelten innerhalb eines Mandanten und setzen sich nicht auf andere Organisationen fort

2.8.3 Trennung der Systeme

• Produktiv-, Staging- und Entwicklungssyteme sind getrennt
  • Keine geteilten Daten zwischen den Systemen
  • Wir testen nicht mit Kundendaten
  • Die Nutzerkonten für diese Systeme sind separat
  • Entwickler haben kein Zugriff auf Produktivsysteme

Anlage 3 - Genehmigte Unterauftragsverarbeiter

Dieses Dokument listet alle von Omnifact für die Verarbeitung notwendigen Unterauftragsverarbeiter.

1. Allgemeine Verarbeitung

1.2 LLM-Anbieter (über die allgemeine Verarbeitung hinaus)

Wichtige Hinweise:

• Wir ermöglichen auch die Nutzung von Anbietern, wie z.B. Anthropic, die stand heute noch keine DSGVO konforme AVV anbieten und ihren Dienst nicht über eine Legal Entity im EWR betreiben. Bitte prüfen Sie daher, ob die von ihnen in der Organisation aktivierten Anbieter ihren eigenen Datenschutzanforderungen genügen.
• Sofern Sie ihren eigenen API-Key über die Omnifact Plattform nutzen, gelten für die Verarbeitung durch den LLM-Anbieter die mit ihnen vereinbarten Regelungen. Bitte stellen Sie in diesem Fall sicher, dass eine AVV vorliegt, sofern diese für ihre Zwecke notwendig ist.