Anlage 2: Technische und organisatorische Maßnahmen
1. Zweck der Anlage
Diese Anlage beschreibt technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO für die Bereitstellung von xpandAI workspace, soweit xpand personenbezogene Daten im Auftrag des Kunden verarbeitet.
Die Maßnahmen werden im Rahmen der technischen und organisatorischen Weiterentwicklung der Plattform fortlaufend gepflegt.
2. Zugriff und Berechtigungen
xpand setzt rollen- und berechtigungsbasierte Zugriffskonzepte ein. Maßnahmen:
- getrennte Nutzer- und Administrationskonten
- Zugriff nur für berechtigte Personen nach Aufgabenbedarf
- rollenbasierte Rechte in WordPress, MemberPress, OpenWebUI und Hosting-/Cloud-Systemen, soweit technisch verfügbar
- regelmäßige Prüfung von Admin- und Supportberechtigungen
- Entzug von Zugriffen bei Rollenwechsel oder Ausscheiden
- vertrauliche Behandlung von Zugangsdaten
3. Authentifizierung
Maßnahmen:
- Passwortschutz für Nutzer- und Administrationskonten
- MFA für kritische Adminzugriffe, soweit technisch verfügbar
- OAuth-/SSO-Brücke zwischen WordPress und OpenWebUI über miniOrange
- keine Weitergabe persönlicher Zugangsdaten
- Protokollierung sicherheitsrelevanter Login- und Administrationsereignisse, soweit technisch verfügbar
4. Mandantentrennung und Paketsteuerung
Maßnahmen:
- Nutzer- und Paketverwaltung über WordPress / MemberPress
- Freischaltung von Modellpfaden nach Paketlogik
- paketbezogene Steuerung von Modellpfaden über Berechtigungen, Gruppen und Freigaben
- monatliche automatisierte Prüfung der Zugriffsrechte auf verwaiste, doppelte und fehlerhafte Einträge mit datierter Dokumentation des Prüflaufs
- keine Freischaltung internationaler Modellpfade für Basic und Plus, soweit solche Pakete eingerichtet sind
- Plus nutzt nach aktueller Konfiguration Azure Datenzonenstandard (EUR) / EU-Verarbeitungszone
5. Verschlüsselung und Transport
Maßnahmen:
- Zugriff auf Website und Plattform über TLS/HTTPS
- verschlüsselte Übertragung zu externen Modellanbietern über HTTPS/API-Verbindungen
- Schutz von API-Keys und Secrets gegen unberechtigten Zugriff
- keine Speicherung vollständiger Zahlungsdaten durch xpand, soweit Zahlungsabwicklung über Stripe erfolgt
6. Speicherung, Löschung und Backups
Maßnahmen:
- Speicherung von Workspace-Daten auf der für den Dienst vorgesehenen Server-/Datenbankinfrastruktur
- Speicherung von Chats, Uploads und Wissensspeichern während aktiver Nutzung, damit Kunden und Nutzer auf ihre Arbeitsstände zugreifen können
- keine laufende automatische Löschung von Workspace-Inhalten ohne Kündigung, Vertragsende oder dokumentierte Weisung
- Löschung, Export oder Sperrung von Nutzerkonten und Kundendaten nach Vertragsende oder Weisung, soweit technisch möglich
- Backup- und Wiederherstellungsverfahren für Verfügbarkeit und Integrität
- Schutz von Backups gegen regulären Zugriff
- Löschung oder Überschreibung von Daten in Backups im regulären Backup-Zyklus
7. Logging und Monitoring
Maßnahmen:
- technische Logs zur Sicherstellung von Betrieb, Sicherheit und Fehleranalyse
- Zugriff auf Logs nur für berechtigte Personen
- Begrenzung der Lognutzung auf erforderliche Zwecke
- Vermeidung unnötiger Speicherung von Prompt- oder Inhaltsdaten in Logs, soweit technisch steuerbar
8. Support- und Adminzugriffe
Maßnahmen:
- keine allgemeine inhaltliche Kontrolle von Kundendaten
- Einsicht in Prompts, Dateien, Chatverläufe oder sonstige Inhaltsdaten nur bei Support, Fehleranalyse, Sicherheit, Missbrauchsvermeidung, Vertragserfüllung oder dokumentierter Weisung/Freigabe
- Beschränkung auf berechtigte Personen
- Vertraulichkeitsverpflichtung der zugriffsberechtigten Personen
- Dokumentation von Zugriffen, soweit technisch und organisatorisch angemessen
9. Modellanbieter und Datenausleitung
Maßnahmen:
- Modellpfade werden nach Paketlogik über Berechtigungen, Gruppen und Freigaben gesteuert
- Basic: deutsche Modellpfade
- Plus: deutsche und europäische Modellpfade; Azure nach aktueller Konfiguration Datenzonenstandard (EUR)
- Pro: internationale Modellpfade, gesondert beschrieben in Anlage 4
- internationale Modellpfade werden nicht als EU-only beworben oder dokumentiert
10. Privacy-Filter
Soweit pro Nachricht aktiviert, kann ein Privacy-Filter eingesetzt werden, um bestimmte erkannte Muster in Nutzer-Eingabetexten vor Weiterleitung an Modellanbieter zu maskieren.
Der Privacy-Filter ist eine technische Zusatzmaßnahme. Er ersetzt nicht:
- die Auswahl eines geeigneten Pakets
- die Rechtsgrundlage des Kunden
- die Informationspflichten des Kunden
- die Bewertung, ob bestimmte Datenarten für einen Modellpfad geeignet sind
Der Privacy-Filter wirkt nur im technisch aktivierten Umfang. Er erfasst insbesondere keine Datei-Uploads, Knowledge-/RAG-Inhalte, Systemprompts oder bereits erzeugte Antworten.
11. KI-Unterstützung im Betrieb
Soweit xpand im Betrieb KI-unterstützte Werkzeuge nutzt, gelten interne Beschränkungen:
- keine bewusste Eingabe produktiver Kundendaten in externe KI-Tools ohne gesonderte Grundlage
- keine Weitergabe von Secrets oder API-Keys
- Nutzung für Code-, Konfigurations- und Betriebsunterstützung nur im erforderlichen Umfang
- Prüfung von KI-generierten Änderungen durch berechtigte Personen
12. Incident Management
Maßnahmen:
- interner Prozess für Sicherheits- und Datenschutzvorfälle
- Bewertung, ob Kundendaten betroffen sind
- Information betroffener Kunden unverzüglich nach Kenntnis, soweit eine Auftragsverarbeitung betroffen ist
- Unterstützung des Kunden bei eigener Melde- und Benachrichtigungspflicht
- Dokumentation von Vorfall, Bewertung, Maßnahmen und Abschluss
Details werden in der internen Incident-Dokumentation von xpand geführt.
13. Überprüfung und Weiterentwicklung
xpand darf technische und organisatorische Maßnahmen weiterentwickeln, sofern das Sicherheitsniveau insgesamt nicht wesentlich abgesenkt wird. Wesentliche Änderungen, die das Schutzlevel für Kundendaten betreffen, werden nach Maßgabe der AGB und Datenschutzanlagen kommuniziert.