Technische & organisatorische Maßnahmen (TOM)
Referenzdokument
Dies ist die standardmäßige Beschreibung der technischen und organisatorischen Maßnahmen von niil (Art. 32 DSGVO). Sie spiegelt die in der Plattform umgesetzten Kontrollen wider. Mit betreiberbestätigt gekennzeichnete Punkte sind einsatz- bzw. betriebsbezogene Zusagen, die Ihr niil-Betreiber für Ihre Instanz bestätigt. Für den gehosteten niil-Dienst (niil.ai / app.niil.ai) ist der Betreiber die Gradient Zero Deutschland GmbH (gzero.ai); bei einer selbst gehosteten Installation ist es die Organisation, die die Instanz betreibt.
Art. 32 DSGVO · Version 1.0
Diese Maßnahmen schützen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitung.
1. Vertraulichkeit
- Verschlüsselung im Ruhezustand — Chat-Nachrichten, hochgeladene Dokumente und Konversationstitel werden vor der Speicherung mit AES-256-GCM verschlüsselt; Konnektor-Anmeldedaten werden mit einem separaten AES-256-GCM-Schlüssel versiegelt. Die Schlüssel werden als Einsatzgeheimnisse bereitgestellt (in der Produktion KMS-verwaltet). Siehe Verschlüsselung.
- Verschlüsselung bei der Übertragung — TLS, terminiert am Ingress; sichere, HTTP-only Sitzungs-Cookies.
- Zugriffskontrolle — rollenbasierte Zugriffskontrolle (Mandantenadmin / Builder / Betrachter); Befehlsautorisierung nach dem Prinzip der geringsten Rechte; Mandantentrennung auf Befehls-/Abfrageebene und in der Produktion durch PostgreSQL Row-Level Security.
- Mandantentrennung — jeder Datensatz ist mandantenbezogen; mandantenübergreifender Zugriff wird durch die Autorisierungsschicht verweigert.
- Data-Loss-Prevention — Erkennung und Schwärzung von PII bei Chat-Ein- und -Ausgabe, mit Protokollierung der Funde im Audit-Trail. Siehe Datenschutz & DSGVO.
- Physischer Zugang (betreiberbestätigt) — kontrolliert durch den EU-IaaS- Anbieter (ISO-27001-zertifizierte Rechenzentren).
2. Integrität
- Eingabe-/Übertragungskontrolle — ein ereignisbasiertes, anfügendes Befehls-/Ereignisprotokoll; unveränderliche Audit-Einträge.
- Audit-Protokollierung — jede wesentliche Handlung wird mit Akteur, Aktion, Ressource und Compliance-Kontroll-Tags (DSGVO / SOC 2 / HIPAA) erfasst.
3. Verfügbarkeit & Belastbarkeit
- Backups (betreiberbestätigt) — tägliche verschlüsselte Backups des Datenspeichers mit mindestens 7 Tagen Aufbewahrung; regelmäßige Wiederherstellungstests.
- Notfallwiederherstellung (betreiberbestätigt) — ein dokumentiertes Wiederherstellungs-Runbook mit definierten RPO-/RTO-Zielen.
- Verfügbarkeitsziel (betreiberbestätigt) — gemäß dem Hauptvertrag.
4. Zero Data Retention & kein Training
Prompts und Ausgaben werden nicht zum Training von Modellen verwendet. ZDR wird mit KI-Unterauftragsverarbeitern vereinbart und, soweit unterstützt, technisch signalisiert — siehe Zero Data Retention.
5. Verfahren zur regelmäßigen Überprüfung
- Datenschutzmanagement (betreiberbestätigt) — regelmäßige Überprüfung der Maßnahmen; Datenschutzbeauftragter, sofern erforderlich.
- Incident Response — ein dokumentierter Prozess Erkennung → Meldung → Analyse → Behebung; Meldung von Verletzungen an den Kunden ohne unangemessene Verzögerung.
- Tests & Schwachstellenmanagement (betreiberbestätigt) — regelmäßige externe Tests und kontinuierliches Scannen von Abhängigkeiten.
6. Betroffenenrechte & Löschung
- Self-Service-Datenexport (Art. 15) und Löschung (Art. 17) je betroffener Person.
- Die Löschung krypto-löscht verschlüsselte Inhalte; gesetzliche Aufbewahrungspflichten werden beachtet.