Stand: 29. Juli 2025
Die nachfolgende Checkliste umfasst technische und organisatorische Maßnahmen, die im Rahmen der Auftragsverarbeitung umgesetzt werden können. Die Auswahl und Umsetzung der Maßnahmen erfolgt unter Berücksichtigung der spezifischen Anforderungen und Gegebenheiten des Auftraggebers und Auftragnehmers.
Kontakt Datenschutzbeauftragte:
Tel.: +49 421 40887928
E-Mail: <datenschutz@jaai-group.com>Die in diesem Dokument beschriebenen technischen und organisatorischen Maßnahmen beziehen sich ausschließlich auf die Datenverarbeitung durch lector.ai und gelten nicht für externe Dienstleister, insbesondere Cloud-Dienstleister.
Bei der Beantwortung der Fragen wird in der Spalte “Erfüllt?” aus folgenden Werten gewählt:
| Maßnahme | Erfüllt? |
|---|---|
| Ausweistragepflicht für Besucher | Ja |
| Ausweistragepflicht für Mitarbeiter | Ja |
| Personenkontrolle am Eingang | Ja |
| Protokollierung der Besucher (Besucherbuch) | Ja |
| Protokollierung der Schlüsselausgabe (Schlüsselbuch) | Ja |
| Sorgfältige Auswahl des Reinigungspersonals | Ja |
| Einrichtung von Schutz- und Sicherheitszonen | Ja |
| Festlegung der zugangsberechtigten Personen | Ja |
| Absicherung von Gebäudeschächten | n/a |
| Alarmanlage | Ja |
| Automatisches Zugangskontrollsystem | Nein |
| Bewegungsmelder | Ja |
| Manuelles Schließsystem | Ja |
| Schließsystem mit Zugangscode | Nein |
| Sicherheitsschlösser | Ja |
| Videoüberwachung der Zugänge | Ja |
| Protokollierung der Zu- und Abgänge | Nein |
| Maßnahme | Erfüllt? |
|---|---|
| Revisionsfähigkeit der Zugangsberechtigungen | Ja |
| Passwortrichtlinie (Regelung von Passwortregeln und Wechsel) | Ja |
| Multi-Faktor-Authentifizierung | Ja |
| Zertifizierte Dienstleister für Akten- und Datenvernichtung | Ja |
| Regelungen zur Verlustmeldung und Reaktionen auf Datenträgerverlust | Ja |
| Netzwerksegmentierung | Nein |
| NAC - Network Access Control | Ja |
| Automatische Bildschirmsperre | Ja |
| Cloud-Zugangskontrolle über IAM | Ja |
| Maßnahme | Erfüllt? |
|---|---|
| Minimierte Anzahl von Administratoren | Ja |
| Sichere Aufbewahrung von Datenträgern | Ja |
| Sichere Verwaltung von Benutzerrechten | Ja |
| Regelmäßige Überprüfung der Berechtigungen | Ja |
| Revisionsfähiges Rollen-, Berechtigungs- und Nutzerkonzept | Ja |
| Datenträger-Vernichtung nach DIN 66399 | Ja |
| Externer Aktenvernichter (DIN 32757) | Ja |
| Physische Löschung von Datenträgern vor Wiederverwendung | Nein |
| Protokollierung der Datenvernichtung | Ja |
| Protokollierung der Eingabe, Veränderung und Löschung von Daten | Ja |
| Verschlüsselung von Datenträgern | Ja |
| Verschlüsselung von mobilen Geräten | Ja |
| Beschränkung der freien Abfragemöglichkeiten von Datenbanken | Ja |
| Zeitliche Begrenzung der Zugriffsmöglichkeiten | Ja |
| Maßnahme | Erfüllt? |
|---|---|
| Trennung von Datenbanken durch Berechtigungen | Ja |
| Berechtigungskonzept für Anwendungen, Laufwerke und Dateien | Ja |
| Organisatorische Berücksichtigung der Mandantentrennung | Ja |
| Datensätze sind mit Zweckattributen versehen | Ja |
| Trennung von Produktiv- und Testsystem | Ja |
| Mandantenfähigkeit relevanter Anwendungen, inkl. Cloud-Ressourcen | Ja |
| Physikalisch getrennte Systeme | Nein |
| Logische Trennung der Cloud-Instanzen | Ja |
| Trennung durch getrennte Verschlüsselung | Ja |
| Verwendung von Software, die eine buchhalterische Mandantentrennung ermöglicht | Ja |
| Maßnahme | Erfüllt? |
|---|---|
| Interne Anweisung, personenbezogene Daten im Falle der Weitergabe oder nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren/pseudonymisieren | Ja |
| Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesicherten System | Nein |
| Maßnahme | Erfüllt? |
|---|---|
| Festlegung der Übermittlungswege und der Datenempfänger | Ja |
| Organisatorische Regelungen zur Einrichtung und Befristung von Fernzugriffen (z. B. VPN) | Ja |
| Regelungen zum datenschutzgerechten Einsatz mobiler Datenträger | Ja |
| Regelungen zum datenschutzgerechten E-Mail-Versand | Ja |
| Nutzung von Cloud-Anbietern (z. B. Office365, Google Cloud) | Ja |
| Nutzung der OVH Cloud als primäre Hosting-Infrastruktur | Ja |
| Nutzung einer eigenen Serverinfrastruktur | Nein |
| Nutzung von hosted Servern eines Dienstleisters | Ja |
| Dokumentation der Abruf- und Übermittlungsvorgänge | Ja |
| Dokumentation der Datenempfänger, Überlassungs- und Löschfristen | Ja |
| Automatisierte Überwachung nach außen offener Ports, Protokolle und Dienste | Ja |
| Protokollierung der Datenübermittlung inkl. Abrufe und Empfänger | Ja |
| Einrichtung von VPN-Tunneln | Ja |
| E-Mail-Verschlüsselung | Nein |
| Sicheres Löschen | Ja |
| Überprüfung von Datenträgern auf Virenbefall | Ja |
| Zeitbegrenzung von Zugriffsmöglichkeiten | Ja |
| Protokollierung der autorisierten Weitergabe und Entfernung von Datenträgern | Ja |
| Protokollierung der Kopie von Datenträgern | Ja |
| Datenschutzgerechte Entsorgung nicht mehr benötigter Datenträger | Ja |
| Maßnahme | Erfüllt? |
|---|---|
| Sicherung der Software durch digitale Signaturen oder Hashwerte | Ja |
| Verschlüsselung der Datenträger | Ja |
| Verschlüsselung der internen Übertragungswege | Ja |
| Verschlüsselung von Dateien und Datenbanken | Ja |
| Kontrolle und Trennung von System- und User-Aktivitäten | Ja |
| Maßnahme | Erfüllt? |
|---|---|
| Notfallplan für die eingesetzten Systeme | Ja |
| Backup- und Recovery-Konzept | Ja |
| Kontrolle des Sicherungsvorgangs | Ja |
| Test der Datenwiederherstellung | Ja |
| Automatisierte Systemüberwachung und Alarmierung | Ja |
| Feuer- und Rauchmeldeanlagen | Ja |
| USV - Unterbrechungsfreie Stromversorgung | Ja |
| Trennung von Produktiv- und Testsystem | Ja |
| Nutzung der OVH Cloud-Infrastruktur mit SLA für Hochverfügbarkeit | Ja |
| Geografisch verteilte Rechenzentren des Cloud-Anbieters | Ja |
| Cloud-basiertes Backup- und Recovery-Konzept | Ja |
| Datenverarbeitung ausschließlich in EU-Rechenzentren | Ja |
Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
| Maßnahme | Erfüllt? |
|---|---|
| Notfallplan | Ja |
| Mehrstufiges Backup- und Restorekonzept | Ja |
| Sicherheits-Vorfall-Management | Ja |
| Notfallkonzept | Ja |
| Backup- und Restoreautomatisierung | Ja |
| Nutzung der Cloud-Anbieter-Disaster-Recovery-Funktionen | Ja |
| Regelmäßige Tests der Wiederherstellungsprozesse in der Cloud-Umgebung | Ja |
Gewährleistet das zuverlässige Funktionieren der Datenverarbeitungssysteme
| Maßnahme | Erfüllt? |
|---|---|
| Mindestens jährliche und dokumentierte Überprüfung der TOM | Ja |
| Regelung zur Reaktion auf Störungen | Ja |
| SLA für IT-Leistungen | Ja |
| Zentrale Beschaffung von Hard- und Software | Nein |
| Virenschutz | Ja |
| Malwarescan | Ja |
| Penetrationstests | Nein |
| Regelmäßiges und zeitnahes Patch-Management | Ja |
| MDM (Mobile Device Management) - Umfassendes System zur zentralen Verwaltung, Sicherung und Überwachung von mobilen Endgeräten inklusive Durchsetzung von Sicherheitsrichtlinien, Fernlöschung, Verschlüsselungsmanagement und Anwendungskontrolle | Ja |
Gewährleistet, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
| Maßnahme | Erfüllt? |
|---|---|
| Auftragsverarbeitungsvertrag (AVV) | Ja |
| Laufende Überprüfung des Auftragnehmers | Ja |
| Prüfung der TOM des Auftragnehmers vor erstmaliger Datenübertragung | Ja |
| Sichere Datenvernichtung nach Auftragsende | Ja |
| Vereinbarung von Kontrollrechten | Ja |
| Vereinbarung von Kontrollrechten für lector.ai | Ja |
| Vereinbarung von Vertragsstrafen | Nein |
| Verpflichtung der Mitarbeiter des Auftragnehmers auf die Vertraulichkeit nach DSGVO | Ja |
| Sorgfältige Auswahl des Auftragnehmers | Ja |
| Sorgfältige Vertragsgestaltung | Ja |
| Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber | Ja |
| Schriftliche Weisungen an den Auftragnehmer | Ja |
| Regelungen zum Einsatz weiterer Subunternehmer | Ja |
| Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags | Ja |
| Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus bei längerer Zusammenarbeit | Ja |
| Protokollierung und Kontrolle der ordnungsgemäßen Vertragsausführung | Ja |
Gewährleistet die Einhaltung der DSGVO durch die Etablierung entsprechender Prozesse
| Maßnahme | Erfüllt? |
|---|---|
| Interner/externer Datenschutzbeauftragter (Kontaktdaten in AVV) | Ja |
| Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet | Ja |
| Regelmäßige Sensibilisierung der Mitarbeiter (mindestens jährlich) | Ja |
| Interner Informationssicherheitsbeauftragter | Ja |
| Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt | Ja |
| Die Organisation kommt den Informationspflichten nach Art. 13, 14 DSGVO nach | Ja |
| Formaler Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener | Ja |
| Software-Lösungen für Datenschutz-Management im Einsatz | Nein |
| Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz | Ja |
| Sicherheitszertifizierung nach ISO 27001, BSI IT Grundschutz oder ISIS12 | Nein |
| Alternatives Informationssicherheitskonzept | Ja |
| Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen (mindestens jährlich) | Ja |
| Berücksichtigung der ISO 27001, 27017, 27018 Zertifizierungen des Cloud-Anbieters | Ja |
| Abschluss eines AVV mit dem Cloud-Anbieter OVH | Ja |
| Jährliche Überprüfung der Compliance des Cloud-Anbieters | Ja |
Unterstützung bei der Reaktion auf Sicherheitsverletzungen
| Maßnahme | Erfüllt? |
|---|---|
| Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen/Datenpannen | Ja |
| Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen | Ja |
| Einbindung von DSB in Sicherheitsvorfälle und Datenpannen | Ja |
| Einbindung von ISB in Sicherheitsvorfälle und Datenpannen | Ja |
| Dokumentation von Sicherheitsvorfällen und Datenpannen, z.B. via Ticketsystem | Ja |
| Formaler Prozess zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen | Ja |
| Einsatz von Firewall und regelmäßige Aktualisierung | Ja |
| Einsatz von Spamfilter und regelmäßige Aktualisierung | Ja |
| Einsatz von Virenscanner und regelmäßige Aktualisierung | Ja |
| Intrusion Detection System (IDS) | Ja |
| Intrusion Prevention System (IPS) | Ja |
Gemäß Art. 25 Abs. 2 DSGVO
| Maßnahme | Erfüllt? |
|---|---|
| Einfache Ausübung des Widerrufsrechts des Betroffenen durch technische Maßnahmen | Nein |
| Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind | Ja |
Die Richtigkeit der Angaben wird bestätigt:
Benjamin von Ardenne
Geschäftsführer der lector.ai GmbH
Bremen, 18.11.2025