SYAGA AuditMicrosoft 365 Edition
Startseite Funktionen Sicherheit Wie es funktioniert Preise
Anmelden Meine kostenlose Diagnose starten

Auftragsverarbeitungsvertrag (AVV)

Geschlossen in Anwendung von Artikel 28 der Verordnung (EU) 2016/679 (DSGVO) (Quelle: gdpr-info.eu/art-28-gdpr)

Betroffener Dienst: SYAGA Audit -- Sicherheits- und Konformitätsaudit von Microsoft 365, Nur-Lese-Modus

Version: 1.0 -- Datum: 27. Juni 2026 -- Datum des Inkrafttretens: 27. Juni 2026


Identifizierung der Parteien

Der Auftragsverarbeiter:

SYAGA CONSULTING, Gesellschaft mit beschränkter Haftung (SARL) mit einem Stammkapital von 20 000 Euro, eingetragen im Handelsregister (RCS) von Aix-en-Provence unter der SIREN-Nummer 518 489 471, gegründet am 08/12/2009, vertreten durch ihren Geschäftsführer Sébastien Questier, mit Sitz in 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Herausgeberin des Dienstes SYAGA Audit, nachfolgend der Auftragsverarbeiter genannt.

UND

Der Verantwortliche: der Kunde, der den Dienst SYAGA Audit zu den unter cgu.html verfügbaren AGB abonniert hat, dessen Kontaktdaten die bei der Bestellung angegebenen sind, nachfolgend der Verantwortliche genannt.

Nachfolgend gemeinsam die Parteien genannt.


Präambel

Der vorliegende Auftragsverarbeitungsvertrag (AVV) wird in Anwendung von Artikel 28 DSGVO geschlossen, der vorschreibt, dass eine durch einen Auftragsverarbeiter im Auftrag eines Verantwortlichen durchgeführte Verarbeitung durch einen Vertrag geregelt wird, der Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen festlegt.

Der vorliegende AVV ist Nebenbestandteil der Allgemeinen Geschäfts- und Dienstleistungsbedingungen (AGB) von SYAGA Audit (der Hauptvertrag). Im Falle eines Widerspruchs zwischen dem vorliegenden AVV und dem Hauptvertrag in einer Datenschutzfrage hat der vorliegende AVV Vorrang. Im Falle eines Widerspruchs im Bereich des Schutzes personenbezogener Daten hat der vorliegende AVV Vorrang vor den Nutzungsbedingungen.

Mit dem Abonnement des Dienstes SYAGA Audit akzeptiert der Kunde die Bestimmungen des vorliegenden AVV. Die elektronische Annahme gilt als Annahme des AVV gemäß den auf den Abschluss von Verträgen auf elektronischem Wege anwendbaren Vorschriften.


Artikel 1 -- Gegenstand und Doktrin des Dienstes

Der vorliegende AVV legt die Bedingungen fest, unter denen sich der Auftragsverarbeiter verpflichtet, im Auftrag und auf dokumentierte Weisung des Verantwortlichen die für die Erbringung des Dienstes SYAGA Audit erforderlichen Verarbeitungsvorgänge personenbezogener Daten durchzuführen.

SYAGA Audit führt ein Sicherheits- und Konformitätsaudit der Microsoft-365-Umgebung des Verantwortlichen im Nur-Lese-Modus durch: Der Dienst schreibt, ändert oder löscht keine Daten im auditierten Tenant.

Der Auftragsverarbeiter wendet eine Zero-Knowledge-Doktrin an: Erhebung und Pseudonymisierung werden im Browser des Kunden ausgeführt (Erweiterung). Der Auftragsverarbeiter erhält niemals die Rohdaten des Tenants noch das Microsoft-Zugriffstoken des Kunden: ausschließlich pseudonymisierte Prüfsummen. Die tokenisierten Audit-Ergebnisse werden im Kundenbereich aufbewahrt, damit der Kunde sie erneut öffnen kann, solange er aktiv ist; sie werden nur auf dem Endgerät des Kunden im Klartext rekontextualisiert.


Artikel 2 -- Art, Zweck und Dauer der Verarbeitung

2.1 Art der Vorgänge. Die Vorgänge bestehen aus: Erhebung (Lesezugriff, Least Privilege) über die Microsoft-APIs, durchgeführt durch eine Browser-Erweiterung, die auf dem Endgerät des Kunden ausgeführt wird; lokale Pseudonymisierung; Analyse ausschließlich der pseudonymisierten Prüfsummen durch den Auftragsverarbeiter anhand von Sicherheits-Referenzrahmen (BSI, Microsoft-Empfehlungen, DSGVO, NIS2); Rückgabe in Form von auf dem Endgerät des Kunden rekontextualisierten Berichten.

2.2 Ausschließlicher Zweck. Der Zweck ist die Bewertung der Sicherheits- und Konformitätsposition des Microsoft-365-Tenants des Verantwortlichen sowie die Erstellung der zugehörigen Audit-Berichte. Kein anderer Zweck (Akquise, Profiling, Weiterverwendung zu eigenen Zwecken des Auftragsverarbeiters) ist zulässig.

2.3 Dauer. Die Verarbeitung erfolgt während der Laufzeit des Hauptvertrags. Die Rohdaten werden unmittelbar bei der Lieferung des Berichts gelöscht.


Artikel 3 -- Kategorien der verarbeiteten personenbezogenen Daten

Der Auftragsverarbeiter verarbeitet die folgenden Datenkategorien:

  • Konfigurationsdaten und Sicherheitsmetadaten: Tenant-Einstellungen, Richtlinien für bedingten Zugriff, MFA-Konfiguration, administrative Rollen und Berechtigungen, Freigabeeinstellungen, Aktivierungszustände der Sicherheitsfunktionen
  • Identitäts- und Verzeichnismetadaten: Kontokennungen (UPN), Anzeigenamen, Gruppenzugehörigkeit, für das Audit relevante Verzeichnisattribute
  • Protokolle und Metadaten von Sicherheitsereignissen: Anmeldeprotokolle, Audit-Ereignisse, für die Bewertung der Kontrollen erforderliche Metadaten

Ausdrückliche Ausschlüsse. Der Auftragsverarbeiter verarbeitet nicht den Inhalt von E-Mails, Dateien oder Dokumenten. Verarbeitet werden ausschließlich Metadaten und Konfigurationsdaten.

Besondere Kategorien. Die Verarbeitung hat nicht die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO zum Gegenstand. Der Verantwortliche verpflichtet sich, den Dienst nicht in einer Weise zu konfigurieren, die zu einer solchen Verarbeitung führt.


Artikel 4 -- Kategorien betroffener Personen

Die betroffenen Personen sind die Inhaber von Konten und Identitäten innerhalb des Microsoft-365-Tenants des Verantwortlichen: Beschäftigte, Führungskräfte, Administratoren, Dienstleister und Gäste, die über ein Konto im auditierten Verzeichnis verfügen.


Artikel 5 -- Dokumentierte Weisungen des Verantwortlichen

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 Buchst. a DSGVO), einschließlich in Bezug auf Übermittlungen in ein Drittland, es sei denn, es besteht eine zwingende gesetzliche Verpflichtung (in diesem Fall informiert er den Verantwortlichen vor der Verarbeitung, sofern dies gesetzlich nicht untersagt ist).

Der vorliegende AVV, seine Anlagen und die AGB bilden die anfänglichen dokumentierten Weisungen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung einen Verstoß gegen die DSGVO darstellt (Art. 28 Abs. 3 letzter Unterabsatz DSGVO).


Artikel 6 -- Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichten oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 Buchst. b DSGVO) und die erforderliche Schulung im Bereich des Datenschutzes erhalten. Diese Verpflichtung besteht über das Ausscheiden aus der Funktion und das Ende des vorliegenden AVV hinaus fort.


Artikel 7 -- Sicherheitsmaßnahmen (Art. 32 DSGVO) und Ausrichtung an Referenzrahmen

Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten (Art. 32 DSGVO). Die bestehenden Maßnahmen umfassen insbesondere:

  • Zero-Knowledge-Architektur: Erhebung und Pseudonymisierung werden im Browser des Kunden ausgeführt (Erweiterung); der Auftragsverarbeiter erhält nur pseudonymisierte Prüfsummen; die Rohdaten des Tenants und das Microsoft-Token werden ihm niemals übermittelt
  • Least Privilege: Verbindung über Microsoft OAuth mit den engsten von Microsoft für jeden Bereich angebotenen Berechtigungen; der Dienst schreibt, ändert oder löscht niemals Daten des auditierten Tenants
  • Verschlüsselung bei der Übertragung: TLS 1.2/1.3 für alle Kommunikationen; SPF, DKIM und DMARC aktiviert
  • Microsoft-Token: verlässt niemals den Browser des Kunden; der Auftragsverarbeiter erhält oder speichert es niemals
  • Hosting in Frankreich: OVH-Infrastruktur (Frankreich), betrieben für SYAGA CONSULTING
  • Zugriffsverwaltung: Least-Privilege-Prinzip; namentliche Berechtigungen; regelmäßige Überprüfung
  • Missbrauchsschutz: Obergrenze von 2 Audits/Tag/Tenant; Anti-DDoS-Maßnahmen
  • Protokollierung: Nachvollziehbarkeit der Datenzugriffe
  • Regelmäßige Tests der Wirksamkeit der Sicherheitsmaßnahmen

Ausrichtung an anerkannten Sicherheitsrahmen

Die vorstehenden Maßnahmen sind in Übereinstimmung mit den folgenden Referenzrahmen konzipiert. SYAGA beansprucht keine formelle Zertifizierung nach diesen Referenzrahmen die Maßnahmen sind an den Anforderungen der Norm ISO/IEC 27001 ausgerichtet, wobei ein Zertifizierungsverfahren eingeleitet wurde, ohne dass bislang eine Zertifizierung erlangt wurde; es handelt sich um eine funktionale Ausrichtung:

ReferenzrahmenRelevanz für SYAGA AuditOffizielle Quelle
DSGVO (EU) 2016/679 Unmittelbar anwendbare Rechtsgrundlage. Art. 32: technische und organisatorische Maßnahmen. Ephemere Architektur = Minimierungsmaßnahme gemäß Art. 5 Abs. 1 Buchst. e. eur-lex.europa.eu CELEX:32016R0679
Richtlinie NIS2 (EU) 2022/2555 Maßnahmen zum Cybersicherheits-Risikomanagement (Art. 21 NIS2): Betriebskontinuität, Vorfallsmanagement, Netzwerksicherheit, Verschlüsselung. SYAGA Audit unterstützt Kunden dabei, ihre eigene NIS2-Konformität in ihrem M365-Tenant zu bewerten. SYAGA, dessen Mitarbeiterzahl und Umsatz unterhalb der Schwellenwerte der wichtigen Einrichtungen im Sinne der Richtlinie (EU) 2022/2555 liegen (50 Beschäftigte oder 10 Mio. EUR), fällt nicht in den Anwendungsbereich der NIS2-pflichtigen Einrichtungen. SYAGA Audit unterstützt seine Kunden gleichwohl dabei, ihre Konformität mit diesem Referenzrahmen zu messen. eur-lex.europa.eu CELEX:32022L2555
Verordnung DORA (EU) 2022/2554 Digitale operationelle Resilienz für regulierte Finanzunternehmen. SYAGA Audit kann Finanzkunden dabei unterstützen, ihre DORA-Position in ihrem M365-Tenant zu dokumentieren. Da SYAGA kein reguliertes Finanzunternehmen ist, ist DORA auf SYAGA nicht unmittelbar anwendbar; vertragliche Pflichten können im Einzelfall für Kunden des Finanzsektors gelten, die DORA unterliegen. eur-lex.europa.eu CELEX:32022R2554
ISO/IEC 27001 ISMS-Rahmen: Sicherheitsrichtlinie, Risikomanagement, Zugriffskontrollen, Verschlüsselung, Protokollierung. Die Maßnahmen von SYAGA Audit sind an den entsprechenden ISO-27002-Kontrollen ausgerichtet. Die Maßnahmen von SYAGA Audit sind an den Anforderungen der Norm ISO/IEC 27001 ausgerichtet, wobei ein Zertifizierungsverfahren eingeleitet wurde, ohne dass bislang eine Zertifizierung erlangt wurde. iso.org/standard/27001
BSI-Empfehlungen IT-Grundschutz, Empfehlungen zur Sicherheit von Informationssystemen. Maßnahmen, die von den BSI-Empfehlungen zur Verwaltung von Konten, zur Verschlüsselung und zur Protokollierung inspiriert sind. SYAGA Audit bewertet die M365-Konfigurationen anhand der BSI-Empfehlungen. ssi.gouv.fr

Die vollständigen Einzelheiten der technischen und organisatorischen Maßnahmen sind in Anlage 1 aufgeführt.


Artikel 8 -- Hinzuziehung von Unterauftragsverarbeitern

Der Verantwortliche ermächtigt den Auftragsverarbeiter, die in Anlage 2 aufgeführten Unterauftragsverarbeiter hinzuzuziehen. Bei jedem neuen Unterauftragsverarbeiter oder Ersatz informiert der Auftragsverarbeiter den Verantwortlichen schriftlich mindestens dreißig (30) Tage vor Wirksamwerden; der Verantwortliche verfügt über eine Frist von dreißig (30) Tagen, um aus angemessenen, mit dem Datenschutz zusammenhängenden Gründen Einspruch zu erheben (Art. 28 Abs. 2 und Abs. 4 DSGVO). Diese Fristen und Modalitäten gelten vorbehaltlich einer besonderen Vereinbarung zwischen den Parteien.

Der Auftragsverarbeiter erlegt den Unterauftragsverarbeitern vertraglich dieselben Datenschutzpflichten auf, wie sie im vorliegenden AVV vorgesehen sind (Art. 28 Abs. 4 DSGVO), und bleibt gegenüber dem Verantwortlichen für deren Erfüllung uneingeschränkt verantwortlich.


Artikel 9 -- Unterstützung des Verantwortlichen

9.1 Rechte der betroffenen Personen (Art. 12 bis 22 und 28 Abs. 3 Buchst. e DSGVO). Der Auftragsverarbeiter leitet dem Verantwortlichen unverzüglich jeden unmittelbar von einer betroffenen Person erhaltenen Antrag auf Ausübung von Rechten weiter und unterstützt ihn bei dessen Beantwortung.

9.2 Sicherheit und DSFA (Art. 32 bis 36 und 28 Abs. 3 Buchst. f DSGVO). Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Sicherheit der Verarbeitung, der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) falls erforderlich und gegebenenfalls einer vorherigen Konsultation der BfDI.

9.3 Datenschutzverletzungen (Art. 33 und 34 DSGVO). Der Auftragsverarbeiter meldet dem Verantwortlichen jede Datenschutzverletzung unverzüglich innerhalb einer Frist von höchstens achtundvierzig (48) Stunden, nachdem sie ihm bekannt geworden ist, um dem Verantwortlichen die Einhaltung der in Artikel 33 DSGVO vorgesehenen Frist von 72 Stunden zu ermöglichen, und stellt dabei die für die etwaige Meldung sachdienlichen Informationen bereit.


Artikel 10 -- Verbleib der Daten bei Vertragsende

Nach Ablauf des vorliegenden AVV verfährt der Auftragsverarbeiter innerhalb einer Frist von dreißig (30) Tagen nach Vertragsende nach Wahl des Verantwortlichen, die schriftlich mitgeteilt wird (Art. 28 Abs. 3 Buchst. g DSGVO):

Hinweis: Aufgrund der ephemeren Architektur des Dienstes werden nach Erbringung der Leistung keine Audit-Daten aufbewahrt; nur die Rechnungsdaten werden gemäß den gesetzlichen Verpflichtungen aufbewahrt (10 Jahre).

  • entweder die Rückgabe der verarbeiteten personenbezogenen Daten an den Verantwortlichen in einem strukturierten Format (JSON oder CSV je nach Verfügbarkeit);
  • oder die sichere Löschung sämtlicher Daten, einschließlich der Kopien, außer bei gesetzlicher Aufbewahrungspflicht.

Gemäß der ephemeren Architektur des Dienstes werden die Audit-Rohdaten bereits bei der Lieferung des Berichts gelöscht. Der Auftragsverarbeiter stellt auf Anfrage eine Löschbescheinigung aus.


Artikel 11 -- Audits und Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Artikel 28 DSGVO zur Verfügung und ermöglicht die Durchführung von Audits, einschließlich Inspektionen (Art. 28 Abs. 3 Buchst. h DSGVO).

Die Audits unterliegen den folgenden Bedingungen: schriftliche Ankündigung von mindestens dreißig (30) Werktagen, Durchführung während der Geschäftszeiten, Höchsthäufigkeit von einem (1) Audit je Zeitraum von zwölf (12) Monaten außer bei außergewöhnlichen Umständen (insbesondere nachgewiesenem Sicherheitsvorfall), Kosten zu Lasten des Verantwortlichen, Vertraulichkeit der erlangten Informationen.


Artikel 12 -- Übermittlungen außerhalb der Europäischen Union

12.1 Hauptstandort. Die Daten werden in Frankreich verarbeitet und gehostet. SYAGA CONSULTING ist eine Einrichtung französischen Rechts. Eine mittelbare Exposition gegenüber dem CLOUD Act über Drittanbieter kann nicht vollständig ausgeschlossen werden; SYAGA begrenzt sie durch das Hosting in Frankreich (OVH SAS) und vor allem durch die Pseudonymisierung: Der Dienst erhält nur Token, niemals Ihre Daten im Klartext.

12.2 Inanspruchnahme von Microsoft. Der Verantwortliche erkennt an, dass die Microsoft-Graph-API von der Microsoft Corporation (Vereinigte Staaten) betrieben wird. Übermittlungen unter Beteiligung von Microsoft werden durch die von der Europäischen Kommission genehmigten Standardvertragsklauseln und gegebenenfalls den EU-U.S. Data Privacy Framework abgesichert. Die auditierten Daten sind diejenigen des eigenen Microsoft-365-Tenants des Kunden, die im Nur-Lese-Modus in seinem Auftrag über Microsoft Graph abgerufen werden. Microsoft handelt als Anbieter des Kunden; SYAGA ist nicht dessen Unterauftragsverarbeiter.

12.3 Allgemeine Garantien. Jede Übermittlung außerhalb der EU durch den Auftragsverarbeiter oder einen Unterauftragsverarbeiter setzt die Umsetzung eines gültigen Mechanismus im Sinne von Kapitel V DSGVO voraus (Angemessenheitsbeschluss, Standardvertragsklauseln oder andere geeignete Garantie).


Artikel 13 -- Datenschutz-Kontaktstelle

Auftragsverarbeiter (SYAGA CONSULTING): Kontaktstelle für den Datenschutz -- contact@syaga.fr. Die Benennung eines Datenschutzbeauftragten ist im Sinne von Artikel 37 DSGVO nicht verpflichtend; für den Datenschutz verantwortlich ist der Geschäftsführer, Sébastien Questier, Ansprechpartner für alle Fragen zu personenbezogenen Daten.

Verantwortlicher: vom Kunden gemäß seinen eigenen Pflichten benannte DSGVO-Kontaktstelle.


Artikel 14 -- Dauer, Änderung und anwendbares Recht

Der vorliegende AVV tritt mit dem Abonnement des Dienstes SYAGA Audit in Kraft und bleibt für die gesamte Dauer der im Auftrag des Verantwortlichen durchgeführten Verarbeitung in Kraft.

Jede wesentliche Änderung wird dem Verantwortlichen vorab mitgeteilt. Die fortgesetzte Nutzung des Dienstes nach Ablauf der Mitteilungsfrist gilt als Annahme der Änderungen. Diese Änderungsmodalitäten entsprechen den Anforderungen von Artikel 28 DSGVO an Auftragsverarbeitungsverträge.

Der vorliegende AVV unterliegt dem französischen Recht. Für alle Streitigkeiten sind die Gerichte im Bezirk von Aix-en-Provence zuständig. vorbehaltlich der auf grenzüberschreitende Streitigkeiten anwendbaren zwingenden Vorschriften.


Anlage 1 -- Detaillierte Beschreibung der Verarbeitung und Sicherheitsmaßnahmen (Art. 32 DSGVO)

ParameterBeschreibung
ZweckeSicherheits- und Konformitätsaudit M365 -- Erstellung von Berichten
DatenkategorienKonfigurationsmetadaten, Identitätsmetadaten (UPN, Namen), Sicherheitsprotokolle
Besondere Kategorien (Art. 9)Keine
Betroffene PersonenKonten und Identitäten des Microsoft-365-Tenants des Kunden
Aufbewahrung auf ServerseiteRohdaten des Tenants: niemals übermittelt (Pseudonymisierung im Browser). Tokenisierte Ergebnisse: im Kundenbereich aufbewahrt, solange der Kunde aktiv ist.
Ort der VerarbeitungFrankreich (Infrastruktur SYAGA CONSULTING)
Verschlüsselung bei der ÜbertragungTLS 1.2/1.3 -- alle Kommunikationen; SPF/DKIM/DMARC
Microsoft-TokenVerlässt niemals den Browser des Kunden; niemals vom Auftragsverarbeiter empfangen
ArchitekturErhebung und Pseudonymisierung durch eine Erweiterung im Browser des Kunden; der Auftragsverarbeiter analysiert ausschließlich Prüfsummen
ZugriffsverwaltungLeast-Privilege-Prinzip; namentliche Berechtigungen
MissbrauchsschutzObergrenze 2 Audits/Tag/Tenant; Anti-DDoS
ProtokollierungMinimale technische Betriebs- und Sicherheitsprotokolle, ohne personenbezogene Audit-Daten, aufbewahrt etwa 12 Monate gemäß den Empfehlungen der BfDI.
Ausrichtung an Sicherheits-ReferenzrahmenMaßnahmen ausgerichtet an DSGVO Art. 32, ISO/IEC 27001 (wobei ein Zertifizierungsverfahren eingeleitet wurde, ohne dass bislang eine Zertifizierung erlangt wurde), BSI-Empfehlungen.

Anlage 2 -- Liste der zugelassenen Unterauftragsverarbeiter

UnterauftragsverarbeiterLeistungStandortÜbermittlungsgarantien
Microsoft Corporation Microsoft-Graph-API -- Lesezugriff auf die Konfigurationsdaten des Tenants EU + Vereinigte Staaten (Microsoft-Infrastruktur) Microsoft handelt als Anbieter des Kunden (nicht als Unterauftragsverarbeiter von SYAGA). Übermittlungen werden durch die EU-Standardvertragsklauseln und die Teilnahme von Microsoft am EU-U.S. Data Privacy Framework abgesichert.
OVH SAS (Hosting, Roubaix, Frankreich) Hosting der Plattform SYAGA Audit Frankreich Nicht zutreffend (EU)
Stripe Inc. Zahlung -- ausschließlich Rechnungsdaten des Kunden (ohne Tenant-Daten) Vereinigte Staaten / EU EU-U.S. Data Privacy Framework (Stripe zertifiziert) und, hilfsweise, EU-Standardvertragsklauseln (2021) -- Data Transfers Addendum von Stripe.

Rechtliche Referenzen

  • CNIL -- Auftragsverarbeiter, Pflichten Art. 28 DSGVO: cnil.fr/fr/sous-traitant
  • Verordnung (EU) 2016/679 (DSGVO), Artikel 4, 9, 12 bis 22, 28, 32 bis 36: EUR-Lex CELEX:32016R0679
  • Richtlinie NIS2 (EU) 2022/2555, Art. 21: EUR-Lex CELEX:32022L2555
  • Verordnung DORA (EU) 2022/2554: EUR-Lex CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI -- Leitfaden für IT-Hygiene: ssi.gouv.fr
  • Gesetz Nr° 78-17 vom 6. Januar 1978 in geänderter Fassung: Légifrance
SYAGA Audit
Sicherheit Datenschutz CGU DPA Impressum © 2026 SYAGA