Vertrauen und Compliance

SoftBCom Berlin GmbH - Plattform- und Projektlösungen





Hosting & Infrastruktur

  • Die QAWacht SaaS-Plattform und andere projektbasierte Lösungen von SoftBCom werden überwiegend auf dedizierten Cloud-Servern der Hetzner Online GmbH in Deutschland betrieben.
  • Für Kunden außerhalb der EU (vor allem in der Region Americas) wird RunPod, Inc. (USA) als zusätzlicher Infrastruktur-Anbieter für rechenintensive KI-Verarbeitungsaufgaben eingesetzt. RunPod stellt hierfür eine dedizierte GPU-Cloud-Infrastruktur bereit.
  • Alle beteiligten Rechenzentren sind ISO/IEC 27001 zertifiziert oder gleichwertig und erfüllen Anforderungen an physische Sicherheit, Stromversorgung, Zugangskontrolle und Redundanz.


Datenresidenz & Datenschutz

  • Personenbezogene Daten des Kunden werden ausschließlich innerhalb der vertraglich oder produktspezifisch definierten geografischen Region verarbeitet und gespeichert:

    • Für Kunden mit Sitz in Deutschland: ausschließlich innerhalb Deutschlands (z. B. auf Servern der Hetzner Online GmbH).
    • Für Kunden in anderen EU-Mitgliedstaaten: innerhalb der Europäischen Union.
    • Für Kunden in Drittstaaten: innerhalb der vertraglich festgelegten Region (z. B. EU-Rechenzentrum), soweit technisch verfügbar. Wenn keine EU-Infrastruktur vertraglich vorgesehen ist (vor allem für Kunden in der Region Americas), kann die Verarbeitung auf der Infrastruktur von RunPod, Inc. (USA) erfolgen. Diese Verarbeitung unterliegt den EU-Standardvertragsklauseln gemäß Art. 46 DSGVO.
  • Daten werden nicht außerhalb der definierten Region übertragen. Wenn eine Verarbeitung außerhalb dieser Region technisch oder funktional erforderlich ist (z. B. externe KI-Dienste oder GPU-Workloads auf RunPod), erfolgt zuvor eine Anonymisierung oder Pseudonymisierung, sodass keine personenbezogenen Bezüge im Sinne der DSGVO verbleiben.
  • SoftBCom erfüllt die Anforderungen der DSGVO, insbesondere der Artikel 5, 6, 28 und 32.


Zugriffskontrollen

  • Zugriff nur mit dem Zweck von Wartung und Dienstleistung durch autorisierte Mitarbeitende mit rollenbasierten Rechten.
  • IP-Filter werden verwendet.
  • Automatische Sitzungs-Timeouts bei Bedarf aktivierbar.


Verschlüsselung

  • Datenübertragung via TLS 1.2+.
  • Speicherung sicherheitsrelevanter Konfigurationsdaten (z. B. API-Schlüssel, Tokens, Zugriffsdaten) erfolgt verschlüsselt (AES-verschlüsselt).


Backup & Wiederherstellung

  • Anwendungsbezogene Backups erfolgen gemäß vordefinierter Backup-Pläne.
  • Wiederherstellungstests gemäß Notfallplan


Vorfallmanagement

  • Interne Prozesse zur Erkennung, Dokumentation und Bewertung von Sicherheitsvorfällen
  • Verpflichtung zur Meldung relevanter Vorfälle an betroffene Kunden gemäß Art. 33 DSGVO


Penetrationstests & technische Prüfungen

  • Interne Sicherheitsprüfungen vor jeder größeren Version oder projektspezifischen Einführung
  • Externe Tests durch unabhängige IT-Partner auf Anfrage möglich (gegen Kostenerstattung)


Subprozessoren & Verantwortlichkeiten



ISO-Konformitätserklärung

  • SoftBCom orientiert sich an den Grundprinzipien der ISO/IEC 27001 und setzt diese im Rahmen seines internen Informationssicherheitsmanagements um.

Abrechnung & Zahlungssicherheit

  • QAWacht nutzt Stripe Payments Europe, Ltd. als Zahlungsabwickler.
  • Stripe ist nach PCI DSS Level 1 zertifiziert, dem höchsten internationalen Standard für Zahlungssicherheit.
  • Alle Zahlungsdaten werden über TLS-Verschlüsselung übertragen und bei Stripe mit AES-256 gespeichert.
  • Systeme von SoftBCom verarbeiten oder speichern keine Rohdaten von Zahlungskarten; stattdessen wird Tokenisierung eingesetzt, sodass nur nicht sensible Referenzen verwendet werden.
  • Für internationale Datenübermittlungen stützt sich Stripe auf die EU-Standardvertragsklauseln (SCCs) sowie auf das EU–US Data Privacy Framework und gewährleistet so eine DSGVO-konforme Verarbeitung von Kundendaten.

Webservices & Kundeninteraktion

  • Die öffentlich zugänglichen Websites und kundenorientierten Marketing-Tools von SoftBCom (einschließlich Webinar-Registrierung und Lead-Formulare) werden über HubSpot, Inc. betrieben.
  • HubSpot verfügt über ISO 27001-Zertifizierung, SOC 2-Berichte und setzt Verschlüsselung sowohl bei der Übertragung (TLS 1.2+) als auch bei der Speicherung (AES-256) ein.
  • Über HubSpot erhobene Kontaktdaten werden gemäß dem Auftragsverarbeitungsvertrag (AVV) von SoftBCom verarbeitet und unterliegen bei Übermittlungen außerhalb der EU den EU-Standardvertragsklauseln.
  • Zahlungsdaten oder Gesprächstranskripte werden in HubSpot nicht verarbeitet.




Unterlagen:




1. Datenschutzerklärung

https://www.softbcom.de/datenschutzerklarung


2. SaaS-Nutzungsbedingungen

https://www.softbcom.de/saas-terms-of-use


3. Allgemeine Geschäftsbedingungen (AGB)

https://www.softbcom.de/agb


4. Vertrag zur Auftragsverarbeitung (AVV)

http://www.softbcom.de/avv


5. Technische und organisatorische Maßnahmen

https://www.softbcom.de/tom


6. Liste der Unterauftragnehmer

https://www.softbcom.de/trust/subprocessors


7. Datenverarbeitungsprinzipien für QAWacht und KI-basierte Systeme

https://www.softbcom.de/trust/QAWacht-Datenverarbeitungsprinzipien


8. Online-Abonnementvertrag

Diese Vereinbarung regelt das Vertragsverhältnis zwischen SoftBCom und den Kunden der QAWacht-Plattform und anderer SaaS-Dienste.

https://www.softbcom.de/online-subscription-agreeement

9. Erklärung zur Barrierefreiheit gemäß dem Barrierefreiheitsstärkungsgesetz (BFSG)

https://www.softbcom.de/barrierefreiheit