TOM

1. Zutrittskontrolle

Jeder Mitarbeiter erhält ein personalisiertes Login zu den EDV-Systemen bei Einstellung in das Unternehmen durch Anweisung der Personalabteilung an der IT-Abteilung.

Verlässt ein Mitarbeiter das Unternehmen, so werden alle Zugangsberechtigungen des Mitarbeiter in den jeweiligen Systemen entfernt. Diese Maßnahme wir durch ein 4-Augen Review gesichert.

Alle Rechner des Unternehmens sind durch ein Startpasswort abgesichert. Es sind keine Gruppenaccounts eingerichtet. Das automatische Sperren des Rechners nach Inaktivität ist zentral eingerichtet.

Eine Passwortregelung existiert in einer technischen Variante. Der Aufbau des Passwortes ist geregelt. Die Mitarbeiter wurden schriftlich über die Passwortregeln informiert.

Alle Netzwerkverbindungen zu zentralen Datenhaltungssystemen werden mit einer VPN Verbindung oder durch doppelt gesicherte Zugänge (MFA) sichergestellt.

2. Zugangskontrolle

Kein Mitarbeiter erhält Zugang zu den IT-Räumen. Alle Rechnersysteme sind dezentral bei unserem Hosting-Partner (Cloud). Der Betreiber der Cloud hat gesicherte Zugangskontrollen ausserhalb unserer Kontrolle und Aufsicht. Externe Audits stellen regelmäßig die Überprüfungen der Zugänge bei unseren Partnern sicher.

3. Zugriffskontrolle

Berechtigungen werden anhand eines etablierten Rollensystems vergeben, die Rollen sind an die Tätigkeit der Personen angepasst. Zusätzlich werden weitergehende Feinberechtigungen auf Funktionsbasis vergeben. Zentrale Vergabestelle von Benutzerrechten sind eingerichtet. Diese sind unterteilt in die Nutzung interner Entwicklungssystem und unsere Kundenmanagementsysteme.

Zugriffsrechte werden von dem für die EDV zuständigen Mitarbeiter für Personal mit zeitlich begrenzten Verträgen mit einem Enddatum versehen.

Zugriffsrechte auf Kundensysteme werden durch den Auftraggeber vergeben und eingerichtet. Dazu ist ein Ansprechpartner beim Kunden definiert und dieser legt die entsprechenden Nutzer für die Mitarbeiter der fiinder.ai GmbH & Co. KG an.

Hierzu werden geschlossene Benutzergruppen festgelegt, welche einen fest definierten Kreis von Mitarbeitern für einen Kunden garantieren.

4. Weitergabekontrolle

fiinder.ai arbeitet rein digital. Es werden keine Papiere oder Ordner oder sonstige analoge Datenträger verwendet. Somit ist eine Regelung der Vernichtung nicht nötig.

Die Nutzung mobiler Datenträger ist dahingehend geregelt, diese nur im verschlüsselten Zustand zu verwenden.

Sämtliche Notebooks verfügen über eine Festplattenverschlüsselung und werden zu jedem Zeitpunkt gesichert gelagert und transportiert. Nach jedem Arbeitsprozess stellt der Mitarbeit sicher, das der Zugang zu seinem Arbeitsplatz abgemeldet wird und somit gesichert ist.

5. Eingabekontrolle

Die Eingabekontrolle wird durch ein personalisiertes Login-Verfahren gewährleistet. Die Zugriffe auf die jeweiligen Systeme der fiinder.ai GmbH & Co. KG werden anhand von Logdateien protokolliert. Diese werden bei jedem System vorgehalten und bei Bedarf kontrolliert, um nachzuvollziehen, welcher Benutzer ggf. Änderungen an Daten durchgeführt hat.

Logins auf die Kundensysteme werden kundenindividuell dokumentiert und im System des Auftraggebers entsprechend der Protokollierungseigenschaften der betroffenen Komponenten festgehalten.

6. Verfügbarkeit und Belastbarkeit

Die fiinder.ai GmbH & Co. KG setzt für die Erbringung ihrer Services Computersysteme ein, die sich in einem von einem Servicedienstleister betriebenen Rechenzentrum, Civo.com in Frankfurt am Main, befinden.

Zur Sicherstellung von Verfügbarkeit und Belastbarkeit, setzt die fiinder.ai GmbH & Co. KG auf einen zertifizierten Dienstleister für die Erbringung der Housingdienstleistungen (geschützter Raum, Strom, Klima) und erbringt die darüberliegenden Leistungen selbst.

Mit den folgenden Maßnahmen werden Verfügbarkeit und Belastbarkeit der Services sichergestellt:

• Die Versorgung der Server mit elektrischem Strom wird durch ein System von primären und sekundären Versorgungen sichergestellt.
• Das Data-Center kann durch Notstromgeneratoren unterbrechungsfrei und unabhängig vom öffentlichen Stromnetz versorgt werden.
• Alle von der fiinder.ai GmbH & Co. KG eingesetzten relevanten Geräte verfügen über zwei Netzteile, die an voneinander unabhängigen Stromkreisen angeschlossen sind. Generell sind alle Hard- und Softwaresysteme redundant ausgelegt.
• Sowohl Lufttemperatur als auch -feuchtigkeit werden durch Klimaanlagen im Betriebsbereich stabil gehalten.
• Das Gebäude ist mit Systemen zur Branderkennung und -bekämpfung ausgestattet.
• Technische Störungen, wie Störungen in der Stromversorgung, Klimaregulierung, Sicherheitstechnik aber auch Feueralarme werden durch Monitoring umgehend erkannt und durch rund um die Uhr vorgehaltenes, eigens geschultes Personal behoben.
• Die Instandhaltung der genannten technischen Vorrichtungen wird durch vorbeugende Wartungsprozesse kontinuierlich sichergestellt.
• Es werden Qualitäts-Managementsysteme zur stetigen Verbesserung der bestehenden Sicherheitsmaßnahmen und -prozesse eingesetzt.
• Es gibt ein dokumentiertes Datensicherungskonzept.
• Es liegt ein Virenschutzkonzept vor.

7. Betrieb in angemieteten Rechenzentren (Subdienstleister)

Die fiinder.ai GmbH & Co. KG benutzt weitere Services ggf. auf Basis von externen, nicht von Civo.com betriebenen Rechenzentren. Keines dieser extern benutzten Systeme speichert die verarbeiteten Daten dauerhaft.

Alle diese externen Systeme werden ausschließlich in Absprache mit dem Kunden genutzt und in einem individuellen Vertrag aufgeführt.

8. Rechenzentrumsbetrieb ortsunabhängig

Unabhängig vom eingesetzten Rechenzentrum ist für Services, deren 24/7 Betriebsverantwortung bei fiinder.ai GmbH & Co. KG liegt, eine Rufbereitschaft bei fiinder.ai GmbH & Co. KG eingerichtet und durchgehend erreichbar.

Aktiviert wird der Support durch einen Anruf bei der zentral eingerichteten Hotline oder durch einen Alarm des Monitoringsystems.

Um Belastbarkeitsgrenzen zu erkennen verwendet fiinder.ai GmbH & Co. KG ausschließlich bewährte Produkte namhafter Hersteller. Darüber hinaus sind kundenindividuell und auf Anforderung DDoS-Abwehrdienste verfügbar und in die Anwendungen integrierbar.

9. Pseudonymisierung

Pseudonymisierung von personenbezogenen Daten kommt abhängig von den jeweiligen Anforderungen projekt- und/oder kundenspezifisch zum Einsatz.

So werden beispielsweise IP-Nummern in Logfiles, die an der Organisation zugänglichen Orten gespeichert sind, über Hash-Verfahren pseudonymisiert. Nur wenige ausgewählte Rollen in der Organisation verfügen über die nötigen Rechte, um den Personenbezug z.B. auf Anfrage von autorisierten Behörden punktuell wiederherzustellen.

10. Verschlüsselung

Die Anwendung von Verschlüsselung ist bei der fiinder.ai GmbH & Co. KG durch eine Cryptography Policy geregelt. Diese Policy regelt die Implementierung von Verschlüsselung und die Verwaltung der geheimen Schlüssel.

Die fiinder.ai GmbH & Co. KG verschlüsselt grundsätzlich die Daten aller mobilen Arbeitsgeräte/Speichermedien und auch sämtliche Zugriffe von externen Netzen auf die fiinder.ai GmbH & Co. KG Systeme.

11. Auftragsverarbeiter

Im Zuge der Pflichten hinsichtlich einer datenschutzkonformen Auftragsabwicklung sind auch Lieferanten und Dienstleister auf die Bestimmungen des Datenschutzes zu verpflichten.

Die Anforderungen des Artikels 28 DSGVO zur Auftragsverarbeitung bzgl. der Unterbeauftragung im Rahmen des operativen Betriebes der fiinder.ai GmbH & Co. KG sind zu erfüllen. Unterbeauftragung im Rahmen des operativen Betriebes der SpiriBo sind zu erfüllen.

12. Dienstleister-Audits

Eine Auditierung der beauftragten Dienstleister, in der sich beim Auftragnehmer vor Ort im Rahmen eines Audits über die getroffenen technisch-organisatorischen Maßnahmen überzeugt wird, hat zu erfolgen und soll dokumentiert werden. Diese Auditierung ist ggf. durch externe Prüfunternehmen zu erfolgen und durch deren Prüfberichte zu dokumentieren.

13. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Alle Mitarbeiter sind zur Vertraulichkeit verpflichtet. Diese Verpflichtung ist in Form einer Erklärung im Arbeitsvertrag vom Mitarbeiter unterschrieben. Kopien zu den Gesetzestexten werden dem Mitarbeiter im Intranet zur Verfügung gestellt.

Des Weiteren wurden die Mitarbeiter, die Zugriff auf Kundendaten haben, die dem Fernmeldegeheimnis unterliegen, gemäß § 3 Abs. 2 TTDSG (Fernmeldegeheimnis) schriftlich verpflichtet. Die Mitarbeiter werden regelmäßig zum Thema Datenschutz geschult, in dem speziell auf das Thema Vertraulichkeit sowie das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG; insb. § 3 zum Fernmeldegeheimnis und § 25 zur Cookie-Regelung) und den Schutz von Sozialdaten gem. § 80 SGB X hingewiesen wird.

Die fiinder.ai GmbH & Co. KG verfügt über ein Information Security Management System, welches Regeln, Prozesse, Maßnahmen und Tools mit dem Ziel definiert, IT-Sicherheitsrisiken zu identifizieren und minimieren. Die Informationssicherheit wird so sichergestellt, gesteuert und laufend optimiert.

Kontakt

fiinder.ai GmbH & Co. KG
Große Elbstraße 273
22767 Hamburg
Deutschland

eMail: hello@fiinder.ai

Version

Stand 31. August 2025