Trust & Datenschutz

Verarbeitungsumfang, Ergebnisdaten und Exportkontext bleiben voneinander abgegrenzt.

Axiomify trennt öffentliche Vendor-Recherche, kundenseitig bereitgestellte Dokumente und Report-Outputs. Der vereinbarte Analyseumfang sowie die gespeicherte Aufbewahrungs- und Exportklassifikation bleiben Teil des technischen Nachweises.

Dokument- und Analysehandling

Zweck, Zugriff und Lebenszyklus werden vor der Verarbeitung abgegrenzt.

Quelle, Bereitstellung und vereinbarter Output bestimmen den Verarbeitungskontext. Konkrete Kontrollen und Fristen richten sich nach dem vereinbarten Betriebsmodell.

Illustratives BeispielAxiomify System Visual
Definierte Verarbeitungsgrenze
  1. 01
    EingangDokument + AuftragPrüfgegenstand und zulässiger Kontext werden gemeinsam festgehalten.
  2. 02
    ArbeitsbereichKontrollierte AnalyseVerarbeitung folgt dem vereinbarten Betriebs- und Zugriffsmodell.
  3. 03
    AusgangBefund + QuellenbezugDas Ergebnis trennt Beleg, Interpretation und offenen Punkt.

Konkrete technische und organisatorische Kontrollen richten sich nach dem vereinbarten Betriebsmodell.

Das Visual beschreibt die Kontrollfragen des Servicepfads; konkrete technische und organisatorische Nachweise bleiben scope-spezifisch.

Aufbewahrungs- und Exportkontext

Klassifikation und Exportumfang bleiben im Technical Appendix sichtbar.

Der Technical Appendix ordnet Originaldokument, Evidence, Finding, Report und Laufmetadaten dem ausgewiesenen Datenvertrag zu. Er zeigt die gespeicherte Aufbewahrungsklassifikation, die Exportentscheidung und den enthaltenen Datenumfang.

Eine gespeicherte Aufbewahrungsklassifikation ist ein Policy-Input und kein Nachweis einer ausgeführten Löschung. Konkrete Fristen und Löschmechanismen werden im jeweiligen Kunden- und Leistungskontext vertraglich und betrieblich festgelegt; der Löschvollzug benötigt einen separaten Betriebsnachweis.

Datenobjekte

  • Originaldokument und Anlagen
  • Evidence-Auszüge und Quellenreferenzen
  • Findings und Reportartefakte
  • Run-, Katalog- und Exportmetadaten

Dokumentierter Kontext

  • Analyse- und Verarbeitungszweck
  • gespeicherte Aufbewahrungsklassifikation
  • Exportentscheidung und Exportumfang
  • Grenzen des technischen Nachweises

Provider und Datenregion

Provider- und Regionsaussagen bleiben auf belegte Einzelangaben begrenzt.

Maßgeblich sind der konkrete Verarbeitungsweg, der dokumentierte Nachweisstand und sichtbar verbleibende Informationslücken. Daraus wird keine pauschale Hosting- oder Residency-Zusage abgeleitet.

Provider-Nachweis

Eine freigegebene Einzelangabe benennt Anbieter, Funktion, betroffenen Verarbeitungspfad und Stand; fehlende Angaben bleiben sichtbar.

Subprocessor-Kontext

Rolle, Verarbeitungszweck und Vertragsbezug werden nur genannt, soweit sie im aktuellen Serviceprofil dokumentiert sind.

Datenregion

Eine Regionsangabe bleibt an Dienst, Datenkategorie, Verarbeitungspfad und Stand gebunden und begründet keine pauschale EWR-only-Aussage.

Zugriff und Mandatskontext

Zugriff auf kundenspezifische Analysen bleibt an den autorisierten Arbeitskontext gebunden.

Öffentliche Website, authentifizierte Anwendung und kundenbezogene Dokumentverarbeitung sind getrennte System- und Verantwortungsbereiche.

Guided Access

Zugänge werden nach Qualifizierung und vereinbartem Einsatzkontext bereitgestellt; die öffentliche Website benötigt keine Anmeldung.

Authentifizierte App

Kundenworkspace, Analysen und Reports liegen auf der getrennten Anwendungsdomain und nicht im öffentlichen Webauftritt.

Betriebszugriff

Für Betriebs- und Supportzugriffe werden nur die im konkreten Service-Scope belegten Rollen und Kontrollen beschrieben.

Audit- und Run-Metadaten

Ergebnis, Prüfkatalog, Dokumentstand und Export bleiben einem Lauf zugeordnet.

Findings verweisen auf Checkpoint und Evidence. Reports führen Run-, Report-, Katalog-, Dokument- und Zeitreferenzen zusammen. Der Technical Appendix dokumentiert den ausgegebenen Datenumfang und die Exportklassifikation.

Diese Metadaten belegen den technischen Analysepfad des ausgewiesenen Laufs. Sie ersetzen keine fachliche oder rechtliche Würdigung.

Laufkontext

Run-ID
Referenz des Analyselaufs
Report-ID
Referenz des Ergebnisartefakts
Katalog
Kennung und Versionsreferenz
Zeit
Analyse- und Erzeugungszeitpunkt

Dokument- und Exportkontext

Prüfgegenstand
Indicator, Vendor oder Vertrag
Dokument
Titel, Typ, Version und Quelle
Evidence
Checkpoint und Belegreferenz
Export
Policy-Klasse und enthaltener Umfang

Due-Diligence-Unterlagen

Service- und Verarbeitungsinformationen werden scope- und evidenzspezifisch eingeordnet.

Im qualifizierten Prüfprozess stellt Axiomify die verfügbaren aktuellen Einzelnachweise zu Verarbeitungsprofil, Providern, Regionen, Zugriff und technischen Anhängen zusammen. Nicht belegte oder unvollständige Angaben bleiben ausdrücklich offen.

Der Nachweisumfang richtet sich nach Produkt, Dokumenttyp und geplanter Nutzung und wird vor dem Kunden-Onboarding abgegrenzt.

Service Scope

Dokumentierter Nachweisstand

Input, Zweck, belegte Provider- und Regionsreferenzen sowie sichtbar verbleibende Angaben.

Technical Evidence

Technischer Anhang

Run-, Katalog-, Dokument-, Evidence- und Exportmetadaten des konkreten Outputs.

Kontakt

Due-Diligence-Fragen

Abgegrenzter Austausch zu technischen, datenschutzbezogenen und vertraglichen Nachweisen.

Gespräch vereinbaren

Trust & Datenschutz

Den konkreten Service- und Verarbeitungs-Scope prüfen.

Wir stellen die für Ihren Due-Diligence-Prozess relevanten Nachweise im qualifizierten Austausch zusammen.