Compliance · Audit-Pack
Diese Seite bündelt alle Audit-Belege zu CE-Doc. 42 PDF-Dokumente decken DSGVO, ISO 9001, ISO 42001, NIST AI RMF, OWASP ASVS, Multi-Tenant-Isolation, forensische Reproduzierbarkeit, Haftung und Business-Continuity ab. Jeder Befund hat einen Status, einen Schließungs-Termin und eine Verifikations-Spur.
Die Compliance-Belege sind nach sechs Aspekten gegliedert. Jeder Aspekt hat eine eigene Sub-Seite mit fachlicher Vertiefung und unten in dieser Seite den vollständigen Stapel Audit-Berichte als PDF.
12 Säulen, die erfahrene CE-Koordinatoren von einer Akte erwarten — inklusive KI-Governance, Audit-Trail-Tiefe und Koordinator-Verantwortung.
→ Fachstandard öffnenPipeline-Qualität pro Maschinen-Archetyp, Goel-Okumoto-Konvergenz, 17 Sprint-Iterationen, ISO/IEC 25010 Charakteristiken.
→ Reifegrad öffnenVier Varianten — voll lokal, Cloud-GPU, eigener Server, SaaS. Verfügbarkeit, Backup, RTO/RPO, BCM-Exit-Konzept.
→ Betriebsmodelle öffnenDSGVO, AVV, TOMs, DPIA, Sub-Verarbeiter-Liste, Multi-Tenant-Isolation, OWASP-Application-Security, EU-Hosting.
→ Vertraulichkeit öffnenDrei Haftungs-Schichten (Hersteller, Koordinator, Werkzeug-Anbieter), Versicherungs-Kategorien, Pilot-Vertrags-Klauseln.
→ Haftung öffnenAlle 42 PDF-Dokumente — ISO 9001, ISO 42001, NIST AI RMF, OWASP ASVS, AUDIT-08/11/12, POL-10, BCM.
→ unten auf dieser SeiteDokumentation eines konkreten Self-Audit-Laufs zur Tenant-Isolation zwischen Koordinator-Mandaten.
Geprüft wurde die Tenant-Trennung zwischen Koordinator-Workspaces auf
Verzeichnis-, API- und Datenbank-Ebene. AUDIT-11-F-01 (HIGH) wurde am
Audit-Tag durch _assert_tenant-Helper in 13 HTTP-Endpoints
geschlossen, mit Same-Day-Pytest-Verifikation (9/9).
AUDIT-11 Einstieg (PDF) · Audit-Bericht · Controls + Mitigations
Aggregierte Sicht über alle Audit-Aspekte. Offene Befunde mit Schließungs-Terminen, geschlossene Befunde mit Verifikations-Verweis.
Stand der offenen HIGH-Befunde: PII-Anonymisierung in Live-Logs, At-rest-Verschlüsselung der Workspace-Volumes und produktiver 10-Jahres-Archivierungs-Service sind für den Code-Sprint KW 24–25 eingeplant. Der Werkvertrag für die Tech-Lead-Rolle sowie die EcoHub-eigene Cyber-Versicherung sind für Q3 2026 vorgesehen.
Vollständige Liste der 42 Audit-Pack-PDFs, gegliedert nach Compliance- Bereich. Jedes Dokument ist einzeln abrufbar; der ganze Stapel auf Anfrage auch als ZIP.
| Übergreifend | |
| 00 — Einstieg Audit-Pack | Übersicht aller Audit-Bündel |
| 11 — Befund-Dashboard | Aggregierte Befund-Sicht |
| 09 — KPI-Dashboard | Quartals-Kennzahlen |
| 10 — Management-Review | Halbjahres-Bericht GF |
| ISO 9001 — Qualitätsmanagement | |
| 01 — Qualitätspolitik (POL-04) | QMS-Selbstverpflichtung |
| 02 — Rollen-Zuordnung | R-GF, R-COMP, R-TECH, … |
| 03 — Audit-Programm (POL-09) | Audit-Zyklen, Stichproben |
| 04 — Prozesse Übersicht | 4 Kernprozesse |
| 05 — PROC-K1 Mandanten-Lifecycle | Onboarding bis Offboarding |
| 06 — PROC-K2 Software-Lifecycle | Release-Management |
| 07 — PROC-K3 Betrieb | Operations, Health, Alerts |
| 08 — PROC-K4 Audit-Verbesserung | KVP-Zyklus |
| 12 — AUDIT-09 Policy | ISO-9001-Audit-Selbstverpflichtung |
| 13 — AUDIT-09 Scope | Audit-Reichweite |
| 14 — AUDIT-09 Klausel-Mapping | ISO-9001-Klauseln gemappt |
| 15 — AUDIT-09 Evidence | Belege pro Klausel |
| 16 — AUDIT-09 Findings | Befunde mit Schwere |
| 17 — AUDIT-09 Audit-Bericht | Zusammenfassung |
| DSGVO & DPIA | |
| 18 — AUDIT-08 DPIA Einstieg | Anbieter-DPIA + Koordinator-Vorlage |
| 19 — AUDIT-08 Policy | DPIA-Selbstverpflichtung |
| 20 — AUDIT-08 Scope | Datenkategorien |
| 21 — AUDIT-08 Controls | CNIL/BSI-Methodik, 6 Risiken |
| 22 — AUDIT-08 Evidence | Belege + Stichproben |
| 23 — AUDIT-08 Findings | 6 Befunde |
| 24 — AUDIT-08 Audit-Bericht | Zusammenfassung |
| 25 — DPIA-Vorlage Koordinator | Vorausgefüllt nach Art. 35 |
| Multi-Tenant-Isolation | |
| 26 — AUDIT-11 Einstieg | Lebenszyklus des Bündels |
| 27 — AUDIT-11 Policy | Selbstverpflichtung |
| 28 — AUDIT-11 Scope | 10 Test-Vektoren V1–V10 |
| 29 — AUDIT-11 Controls | Code-Inspektion + Mitigation |
| 30 — AUDIT-11 Evidence | Code-Belege |
| 31 — AUDIT-11 Findings | 1 HIGH geschlossen + 3 sekundäre |
| 32 — AUDIT-11 Audit-Bericht | append-only-Log |
| Forensische Reproduzierbarkeit | |
| 33 — AUDIT-12 Einstieg | 10-Jahres-Aufbewahrungs-Prüfung |
| 34 — AUDIT-12 Policy | Selbstverpflichtung |
| 35 — AUDIT-12 Scope | 5 Frage-Klassen, 8 Test-Vektoren |
| 36 — AUDIT-12 Controls | CM-1 SHA-256-Stempel |
| 37 — AUDIT-12 Evidence | Surrogat-Rekonstruktion |
| 38 — AUDIT-12 Findings | 4 Befunde |
| 39 — AUDIT-12 Audit-Bericht | Zusammenfassung |
| Haftung & BCM | |
| 40 — POL-10 Haftung & Versicherung | 3 Schichten, Versicherungs-Stand |
| 41 — BCM & Exit-Konzept | 4 Eskalations-Stufen |
| Verträge | |
| AVV-Mustervertrag (Stand 2026-05-15) | nach DSGVO Art. 28 |
Der vollständige Audit-Pack-Stapel (42 PDFs als ZIP) wird auf Anfrage bereitgestellt. Vor dem Pilot-Vertrag erhalten Koordinatoren zusätzlich AVV-Entwurf, Sub-Verarbeiter-Liste, NDA-Muster und DPIA-Vorlage zur Prüfung durch die Koordinator-eigene Rechtsabteilung oder den Justiziar.