Compliance-Framework
Strukturierte Darstellung der Compliance-Maßnahmen, Standards-Orientierung und Arbeitsweise für nachvollziehbare und prüffähige Umsetzung.
Corporate Governance
Organisatorische Strukturen, Rollen und Verantwortlichkeiten für nachvollziehbare Entscheidungen und Transparenz.
Maßnahmen
- ✓Klare Rollen und Verantwortlichkeiten (RACI-Logik)
- ✓Dokumentierte Entscheidungsprozesse
- ✓Transparente Kommunikationsstrukturen
- ✓Eskalations- und Konfliktlösungsmechanismen
Datenschutz & DSGVO
Umsetzung der DSGVO-Grundsätze (Art. 5) mit Datensparsamkeit, Zweckbindung und technisch-organisatorischen Maßnahmen (TOMs).
Maßnahmen
- ✓Datensparsamkeit und Zweckbindung (Art. 5 Abs. 1 lit. b, c DSGVO)
- ✓Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)
- ✓Auftragsverarbeitung (Art. 28 DSGVO) bei Bedarf
- ✓Betroffenenrechte (Art. 12-22 DSGVO): Auskunft, Löschung, Berichtigung
- ✓Keine Tracking-Technologien ohne Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Informationssicherheit
Baseline-Sicherheitsmaßnahmen ohne Zertifizierungsanspruch, aber mit nachvollziehbaren Nachweisen und kontextbezogener Umsetzung.
Maßnahmen
- ✓Rollenprinzip und Least Privilege (DSGVO Art. 32)
- ✓Baseline Hardening (CIS Benchmarks, BSI IT-Grundschutz-orientiert)
- ✓Logging und Monitoring (minimal, zweckgebunden)
- ✓Incident Response (Eskalation, Kommunikation, Containment)
- ✓Regelmäßige Reviews und Updates
Qualitätsmanagement
Qualitätssicherungsprozesse ohne ISO-Zertifizierung, aber mit nachvollziehbaren Abnahmekriterien und Testprozessen.
Maßnahmen
- ✓Abnahmekriterien und Testprozesse (funktional, sicherheitsrelevant)
- ✓Review- und Freigabeprozesse (4-Augen-Prinzip)
- ✓Dokumentationsstandards (technisch, organisatorisch)
- ✓Lessons-Learned und kontinuierliche Verbesserung
Rollen & Zuständigkeiten
Klare Verantwortlichkeiten für Lieferung, Betrieb, Sicherheit und Compliance mit RACI-Logik.
Maßnahmen
- ✓RACI-Matrix für Projekte und Betrieb
- ✓Eskalations- und Kommunikationsstrukturen
- ✓Vertretungsregelungen und Backup-Rollen
- ✓Dokumentierte Übergabepunkte
Keine unbestätigten Leistungsversprechen
Transparenz über Grenzen und Annahmen; keine Marketing-Behauptungen, keine erfundenen Kennzahlen, keine Zertifikats-Badges ohne Nachweis.
Maßnahmen
- ✓Keine unbestätigten Referenzen oder Kundennamen
- ✓Keine erfundenen KPIs oder Performance-Claims
- ✓Keine Zertifikats-Badges ohne Nachweis
- ✓Transparente Kommunikation über Grenzen und Annahmen
Standards-Orientierung
Orientierung an etablierten Standards (ITIL, CIS, BSI) ohne Zertifizierungsanspruch, aber mit nachvollziehbarer Umsetzung.
Maßnahmen
- ✓ITIL-nahe Vorgehensweisen (Incident, Request, Change)
- ✓CIS Benchmarks und BSI IT-Grundschutz-Orientierung
- ✓DSGVO-konforme Umsetzung (Art. 5, 25, 32)
- ✓Keine Zertifizierungsansprüche ohne Nachweis
Procurement Validation
Automatisierte Validierung der Website-Inhalte auf Marketing-Hype, unbestätigte Claims und Compliance-Verstöße.
Maßnahmen
- ✓Automatisierte Validierung bei jedem Pull Request
- ✓Prüfung auf Marketing-Hype und unbestätigte Claims
- ✓Prüfung auf DSGVO-Referenzen und Datenschutz
- ✓Prüfung auf Tracking-Technologien ohne Einwilligung
Rechtliche Grundlagen
Datenschutz
- → DSGVO (Datenschutz-Grundverordnung)
- → BDSG (Bundesdatenschutzgesetz)
- → TMG (Telemediengesetz)
- → TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz)
Vergabe & Procurement
- → GWB (Gesetz gegen Wettbewerbsbeschränkungen)
- → VgV (Vergabeverordnung)
- → UVgO (Unterschwellenvergabeordnung)
- → EU-Vergaberichtlinien
Sicherheit
- → BSI IT-Grundschutz (Orientierung)
- → CIS Benchmarks (Orientierung)
- → DSGVO Art. 32 (Technisch-organisatorische Maßnahmen)
Qualität
- → ITIL (Orientierung, keine Zertifizierung)
- → ISO 27001 (Orientierung, keine Zertifizierung)
- → ISO 9001 (Orientierung, keine Zertifizierung)
Weitere Informationen
Für detaillierte Informationen zu Datenschutz, Impressum oder Procurement-Profil besuchen Sie die entsprechenden Seiten.