1. Zugriffskontrolle
A1 – Benutzerrechte-Management: Zugang zum Klara-Dashboard erhält nur, wer über berechtigte Logins verfügt.
A2 – Zwei-Faktor-Authentifizierung: Eingesetzt für alle Administrator- und Supportkonten.
A3 – Rollen & Berechtigungen: Zugriff auf Daten und Funktionen wird strikt nach Rolle (z. B. Administrator, Recruiter) strukturiert.
2. Zugriffsüberwachung
B1 – Audit-Logs: Jeder Zugriff auf Bewerberdaten, Anpassungen bei Bewerbungsfragen und Interviewaufzeichnungen wird vollständig protokolliert.
B2 – Protokollintegrität: Logs können nur von autorisierten Admins eingesehen, bei Bedarf exportiert, aber nicht verändert werden.
3. Zugriffssicherung
C1 – Verschlüsselte Verbindung: Sämtliche Übertragungen (Dashboard-Zugriff, API-Kommunikation mit Recruitee, Twilio, ElevenLabs, Stripe) erfolgen via TLS.
C2 – Datenisolation: Infrastruktur (z. B. AWS-Instanzen in Frankfurt) ist logisch und streng getrennt pro Mandant/Kunde.
4. Weitergabekontrolle
D1 – Datenweitergabe nur über sichere APIs: Transfer etwa an Stripe oder Recruitee erfolgt nur über geprüfte, verschlüsselte Schnittstellen.
D2 – Zustimmung & Transparenz: Bewerber und Unternehmen werden über Datenübermittlung informiert (z. B. an Recruitee).
5. Eingabekontrolle
E1 – Nachvollziehbarkeit: Jede Änderung an Fragen, Antworten oder Interviewdaten lässt sich auf User und Zeitpunkt zurückverfolgen.
E2 – Automatisierte Backups: Daten werden regelmäßig gesichert (z. B. AWS in Frankfurt) und können bei Bedarf zeitnah wiederhergestellt werden.
6. Auftragskontrolle
F1 – Subprozessordokumentation: Alle Drittanbieter (Twilio, VAPI, AWS, ElevenLabs, Stripe, Recruitee) sind vertraglich gebunden – inklusive DSGVO-konformer Auftragsverarbeitung.
F2 – Überprüfung und Audits: Regelmäßige Kontrollen, ob Subprozessoren die Sicherheits- und Datenschutzstandards einhalten.
7. Verfügbarkeitskontrolle
G1 – Hochverfügbarkeit: Klara AI ist redundant aufgesetzt (z. B. in mehreren AZs/Regionen innerhalb Frankfurt).
G2 – Notfallmanagement und Wiederherstellung: Vorgefertigte Verfahren bei Systemausfällen (z. B. Backup-Wiederherstellung, Failover).
8. Sicherheitsrichtlinien & Schulung
H1 – Datenschutzrichtlinien sind dokumentiert, veröffentlicht und allen Mitarbeitenden bekannt.
H2 – Schulungen: Regelmäßige Trainings zu Informationssicherheit, Datenschutz (DSGVO), sicherem Umgang mit Klara AI.
9. Incident-Management
I1 – Meldeverfahren: Vorfall-Meldung (z. B. Datenschutzverletzung oder Systemausfall) erfolgt über etablierte Kanäle und Fristen (z. B. 72 h nach Bekanntwerden).
I2 – Reaktion & Dokumentation: Jeder Sicherheitsvorfall wird analysiert, dokumentiert und Maßnahmen zur Vermeidung zukünftiger Vorfälle abgeleitet.
10. Datenschutzfolgenabschätzung (DSFA)
J1 – DSFA-Dokument: Für Klara AI existiert eine aktuelle Datenschutz-Folgenabschätzung, speziell im Kontext automatisierter Interviews.
J2 – Aktualisierung: Die DSFA wird regelmäßig (z. B. halbjährlich oder bei Änderungen im Funktionsumfang) überprüft und angepasst.