Compliance · Audit-Pack

Compliance-Audit-Pack

Diese Seite bündelt alle Audit-Belege zu CE-Doc. 42 PDF-Dokumente decken DSGVO, ISO 9001, ISO 42001, NIST AI RMF, OWASP ASVS, Multi-Tenant-Isolation, forensische Reproduzierbarkeit, Haftung und Business-Continuity ab. Jeder Befund hat einen Status, einen Schließungs-Termin und eine Verifikations-Spur.

✓ Etabliert Implementiert + dokumentiert
◐ Im Aufbau Sprint-Stand Q2 2026
○ Geplant Q3 2026 Roadmap

Sechs Compliance-Aspekte — wo wird was vertieft

Die Compliance-Belege sind nach sechs Aspekten gegliedert. Jeder Aspekt hat eine eigene Sub-Seite mit fachlicher Vertiefung und unten in dieser Seite den vollständigen Stapel Audit-Berichte als PDF.

📐

Fachstandard

12 Säulen, die erfahrene CE-Koordinatoren von einer Akte erwarten — inklusive KI-Governance, Audit-Trail-Tiefe und Koordinator-Verantwortung.

→ Fachstandard öffnen
📊

Reifegrad

Pipeline-Qualität pro Maschinen-Archetyp, Goel-Okumoto-Konvergenz, 17 Sprint-Iterationen, ISO/IEC 25010 Charakteristiken.

→ Reifegrad öffnen
⚙️

Betriebsmodelle

Vier Varianten — voll lokal, Cloud-GPU, eigener Server, SaaS. Verfügbarkeit, Backup, RTO/RPO, BCM-Exit-Konzept.

→ Betriebsmodelle öffnen
🔐

Vertraulichkeit

DSGVO, AVV, TOMs, DPIA, Sub-Verarbeiter-Liste, Multi-Tenant-Isolation, OWASP-Application-Security, EU-Hosting.

→ Vertraulichkeit öffnen
⚖️

Haftung

Drei Haftungs-Schichten (Hersteller, Koordinator, Werkzeug-Anbieter), Versicherungs-Kategorien, Pilot-Vertrags-Klauseln.

→ Haftung öffnen
📑

Audit-Berichts-Bibliothek

Alle 42 PDF-Dokumente — ISO 9001, ISO 42001, NIST AI RMF, OWASP ASVS, AUDIT-08/11/12, POL-10, BCM.

→ unten auf dieser Seite
Hinweis zum Stand: Diese Seite zeigt den aktuellen Compliance-Stand mit drei Stufen: etabliert (✓), im Aufbau (◐), geplant (○). Offene Befunde werden mit Schließungs-Termin geführt, geschlossene Befunde mit Verifikations-Spur. Der vollständige Befund-Stand steht im Befund-Dashboard.

Beispiel-Audit: Multi-Tenant-Isolation (AUDIT-11)

Dokumentation eines konkreten Self-Audit-Laufs zur Tenant-Isolation zwischen Koordinator-Mandaten.

Audit-Stand
2026-05-18
Test-Vektoren
V1–V10
Befund-Status
1 HIGH geschlossen · 3 MED offen
Verifikation
9/9 Pytest grün

Geprüft wurde die Tenant-Trennung zwischen Koordinator-Workspaces auf Verzeichnis-, API- und Datenbank-Ebene. AUDIT-11-F-01 (HIGH) wurde am Audit-Tag durch _assert_tenant-Helper in 13 HTTP-Endpoints geschlossen, mit Same-Day-Pytest-Verifikation (9/9).

AUDIT-11 Einstieg (PDF)  ·  Audit-Bericht  ·  Controls + Mitigations

Befund-Dashboard

Aggregierte Sicht über alle Audit-Aspekte. Offene Befunde mit Schließungs-Terminen, geschlossene Befunde mit Verifikations-Verweis.

HIGH offen
6
binnen 90 Tagen zu schließen
MED offen
8
binnen 180 Tagen
LOW offen
7
nächster Audit-Zyklus
geschlossen
8
mit Verifikations-Spur

Stand der offenen HIGH-Befunde: PII-Anonymisierung in Live-Logs, At-rest-Verschlüsselung der Workspace-Volumes und produktiver 10-Jahres-Archivierungs-Service sind für den Code-Sprint KW 24–25 eingeplant. Der Werkvertrag für die Tech-Lead-Rolle sowie die EcoHub-eigene Cyber-Versicherung sind für Q3 2026 vorgesehen.

Befund-Dashboard vollständig (PDF, 57 KB)

Audit-Berichts-Bibliothek

Vollständige Liste der 42 Audit-Pack-PDFs, gegliedert nach Compliance- Bereich. Jedes Dokument ist einzeln abrufbar; der ganze Stapel auf Anfrage auch als ZIP.

Übergreifend
00 — Einstieg Audit-PackÜbersicht aller Audit-Bündel
11 — Befund-DashboardAggregierte Befund-Sicht
09 — KPI-DashboardQuartals-Kennzahlen
10 — Management-ReviewHalbjahres-Bericht GF
ISO 9001 — Qualitätsmanagement
01 — Qualitätspolitik (POL-04)QMS-Selbstverpflichtung
02 — Rollen-ZuordnungR-GF, R-COMP, R-TECH, …
03 — Audit-Programm (POL-09)Audit-Zyklen, Stichproben
04 — Prozesse Übersicht4 Kernprozesse
05 — PROC-K1 Mandanten-LifecycleOnboarding bis Offboarding
06 — PROC-K2 Software-LifecycleRelease-Management
07 — PROC-K3 BetriebOperations, Health, Alerts
08 — PROC-K4 Audit-VerbesserungKVP-Zyklus
12 — AUDIT-09 PolicyISO-9001-Audit-Selbstverpflichtung
13 — AUDIT-09 ScopeAudit-Reichweite
14 — AUDIT-09 Klausel-MappingISO-9001-Klauseln gemappt
15 — AUDIT-09 EvidenceBelege pro Klausel
16 — AUDIT-09 FindingsBefunde mit Schwere
17 — AUDIT-09 Audit-BerichtZusammenfassung
DSGVO & DPIA
18 — AUDIT-08 DPIA EinstiegAnbieter-DPIA + Koordinator-Vorlage
19 — AUDIT-08 PolicyDPIA-Selbstverpflichtung
20 — AUDIT-08 ScopeDatenkategorien
21 — AUDIT-08 ControlsCNIL/BSI-Methodik, 6 Risiken
22 — AUDIT-08 EvidenceBelege + Stichproben
23 — AUDIT-08 Findings6 Befunde
24 — AUDIT-08 Audit-BerichtZusammenfassung
25 — DPIA-Vorlage KoordinatorVorausgefüllt nach Art. 35
Multi-Tenant-Isolation
26 — AUDIT-11 EinstiegLebenszyklus des Bündels
27 — AUDIT-11 PolicySelbstverpflichtung
28 — AUDIT-11 Scope10 Test-Vektoren V1–V10
29 — AUDIT-11 ControlsCode-Inspektion + Mitigation
30 — AUDIT-11 EvidenceCode-Belege
31 — AUDIT-11 Findings1 HIGH geschlossen + 3 sekundäre
32 — AUDIT-11 Audit-Berichtappend-only-Log
Forensische Reproduzierbarkeit
33 — AUDIT-12 Einstieg10-Jahres-Aufbewahrungs-Prüfung
34 — AUDIT-12 PolicySelbstverpflichtung
35 — AUDIT-12 Scope5 Frage-Klassen, 8 Test-Vektoren
36 — AUDIT-12 ControlsCM-1 SHA-256-Stempel
37 — AUDIT-12 EvidenceSurrogat-Rekonstruktion
38 — AUDIT-12 Findings4 Befunde
39 — AUDIT-12 Audit-BerichtZusammenfassung
Haftung & BCM
40 — POL-10 Haftung & Versicherung3 Schichten, Versicherungs-Stand
41 — BCM & Exit-Konzept4 Eskalations-Stufen
Verträge
AVV-Mustervertrag (Stand 2026-05-15)nach DSGVO Art. 28

Audit-Pack anfordern

Der vollständige Audit-Pack-Stapel (42 PDFs als ZIP) wird auf Anfrage bereitgestellt. Vor dem Pilot-Vertrag erhalten Koordinatoren zusätzlich AVV-Entwurf, Sub-Verarbeiter-Liste, NDA-Muster und DPIA-Vorlage zur Prüfung durch die Koordinator-eigene Rechtsabteilung oder den Justiziar.

Kontakt aufnehmen