Zum Hauptinhalt springen

Unsere Sicherheitsmaßnahmen (Technische und organisatorische Maßnahmen – TOMs)

Sicherheit ist bei uns kein Feature — sie ist das Fundament von allem, was wir bauen. Unsere technischen und organisatorischen Maßnahmen schützen Ihre Daten auf jeder Ebene.

Verschlüsselung & Zugriffskontrollen

  • TLS/SSL für alle Daten bei Übertragung; AES-256 für alle gespeicherten Daten
  • Strenges Rollen- und Berechtigungskonzept nach dem Least-Privilege-Prinzip
  • Multi-Faktor-Authentifizierung (MFA) für alle internen Systeme
  • Mandantengetrennte Verarbeitung und isolierte Laufzeitumgebungen

SOC 2 & ISO-27001-Ausrichtung

  • Wir haben uns der SOC-2-Compliance verschrieben und richten unsere Sicherheitskontrollen kontinuierlich an SOC-2-Standards für Sicherheit, Verfügbarkeit und Vertraulichkeit aus
  • Betrieb in ISO-27001-zertifizierten EU-Rechenzentren (z. B. Azure, Hetzner)
  • Sicherheitsmanagement entlang ISO-27001-Grundsätzen — regelmäßige Reviews, Risikoanalyse und Maßnahmenbewertungen

Logging, Monitoring & Alerting

  • Vollständige Audit-Logs für alle Zugriffe und Änderungen
  • Kontinuierliches Monitoring mit automatischer Alarmierung bei Auffälligkeiten
  • DDoS-Schutz und ratenbegrenzende Mechanismen
  • Vorfallserkennung durch Microsoft Sentinel / Azure Security Center

Mitarbeiterschulungen & Zugriffsprinzipien

  • Vertraulichkeitsverpflichtung für alle Mitarbeitenden
  • Regelmäßige Datenschutz- und Security-Schulungen
  • Need-to-know und Vier-Augen-Prinzip in sensiblen Bereichen
  • Regelmäßige Security-Awareness-Programme

Datenmaskierung bei der KI-Verarbeitung

  • Alle personenbezogenen Daten werden maskiert, bevor sie ein LLM erreichen — Namen, E-Mail-Adressen und andere Identifikatoren werden durch anonymisierte Platzhalter ersetzt
  • Die KI verarbeitet ausschließlich maskierte Inhalte; Originaldaten werden innerhalb unserer gesicherten Infrastruktur wiederhergestellt
  • So ist sichergestellt, dass keine personenbezogenen Informationen in das Sprachmodell gelangen

Datenschutz by Design & by Default

  • Datenminimierung — wir erheben nur, was notwendig ist
  • Pseudonymisierung und Verschlüsselung als Standard
  • Datenmaskierung vor jeder KI-/LLM-Verarbeitung
  • EU-only-Verarbeitung mit kundenseitiger Lösch- und Speichersteuerung
  • Kein KI-Training mit Kundendaten, keine Verarbeitung zu eigenen Zwecken

Ausführliche Details finden Sie in Anlage 1 (TOMs) des AVV.