© 2026 OSOS/Omega. All rights reserved.
Omega version: 0.1.0
Produkt: OSOS / Omega
Anbieter: Osos AI GmbH, Cosimastraße 121, 81925 München, Germany
Stand: 30.04.2026
Version: 1.0
Verhältnis zu anderen Dokumenten: Diese Hinweise sind Anlage zum EULA und konkretisieren – gemeinsam mit der TOM-Anlage des AVV und der AI Data Policy – die vom Anbieter implementierten Sicherheits- und Compliance-Maßnahmen.
> Hinweis: Dieses Dokument dient der transparenten Information über Status, Geltungsbereich und Nachweisbarkeit der genannten Standards. Die Aufnahme einer Norm bedeutet keine eigenständige vertragliche Garantie über den im Hauptvertrag vereinbarten Leistungsumfang hinaus, soweit nicht ausdrücklich anders gekennzeichnet ("Stand"-Angaben).
| Standard / Norm | Status | Geltungsbereich | Nachweis-Typ |
|---|---|---|---|
| ISO/IEC 27001 (ISMS) | [zertifiziert / in Vorbereitung] | Cloud-Plattform, Entwicklungs- und Betriebsorganisation | Zertifikat einer akkreditierten Stelle |
| ISO/IEC 27017 (Cloud-Security) | [adressiert / zertifiziert / geplant] | Cloud-Bereitstellung | Statement of Applicability |
| ISO/IEC 27018 (PII in Public Cloud) | [adressiert / zertifiziert / geplant] | Cloud-Bereitstellung | Statement of Applicability |
| ISO/IEC 27701 (PIMS, DSGVO-Erweiterung) | [zertifiziert / in Vorbereitung] | Privacy Information Management | Zertifikat |
| ISO/IEC 42001 (AI Management System) | [zertifiziert / in Vorbereitung] | KI-Management, KI-Komponenten von OSOS / Omega | Zertifikat |
| SOC 2 Type II (Trust Services Criteria) | [Bericht verfügbar / in Vorbereitung] | Cloud-Plattform | Auditbericht (auf Anfrage / NDA) |
| TISAX® (Automotive Information Security) | [Label / AL2 / AL3 / in Vorbereitung] | Automotive-Kunden, Verarbeitung schutzbedürftiger Inhalte | TISAX-Label im ENX-Portal |
| BSI C5 (Cloud Computing Compliance Criteria Catalogue, Deutschland) | [Typ 1 / Typ 2 / in Vorbereitung] | Cloud-Bereitstellung in EU/DE | Prüfungsbericht |
| EU AI Act (VO (EU) 2024/1689) | adressiert | KI-Komponenten | Konformitätsdokumentation, siehe AI Data Policy |
| DSGVO / BDSG | adressiert | Verarbeitung personenbezogener Daten | AVV, VVT, TOM |
> Die jeweils aktuellen Versionen der Zertifikate, Auditberichte und Statements sind im Trust Center des Anbieters unter [Link Trust Center] verfügbar bzw. werden auf Anfrage und nach Abschluss eines NDA bereitgestellt.
ISO/IEC 27001 spezifiziert Anforderungen an ein etabliertes Information Security Management System. Der Anbieter betreibt sein ISMS auf Basis dieser Norm; der Anwendungsbereich umfasst die Entwicklung, den Betrieb und die Bereitstellung der Cloud Software OSOS / Omega sowie zugehörige Support- und Professional-Services-Prozesse.
Wesentliche Bestandteile sind: Risikoanalyse und -behandlung, Sicherheitsleitlinien, Asset Management, Zugriffskontrollen, Kryptografie, physische Sicherheit, Betriebs- und Kommunikationssicherheit, Lieferantenmanagement, Incident-Management, Business Continuity sowie regelmäßige interne und externe Audits.
ISO/IEC 27017 erweitert ISO 27001 um cloud-spezifische Sicherheitskontrollen. ISO/IEC 27018 ergänzt Maßnahmen zum Schutz personenbezogener Daten (PII) in Public-Cloud-Umgebungen. Beide Standards werden im Statement of Applicability des Anbieters berücksichtigt; eingesetzte Hyperscaler verfügen ihrerseits über entsprechende Zertifizierungen.
ISO/IEC 27701 erweitert ISO 27001/27002 um Anforderungen an ein Datenschutz-Managementsystem und stellt einen anerkannten Nachweis für DSGVO-Konformität auf organisatorischer Ebene dar.
ISO/IEC 42001 ist die erste internationale Norm für Management-Systeme im Bereich Künstlicher Intelligenz. Sie adressiert verantwortungsvolle Entwicklung und Bereitstellung von KI-Systemen, einschließlich Risiko-Management, Transparenz, Erklärbarkeit, Human Oversight, Bias-Management und kontinuierliche Verbesserung.
Der Anbieter betreibt sein AI Management System nach ISO/IEC 42001; Geltungsbereich sind die KI-Komponenten von OSOS / Omega. Detailregelungen finden sich in der AI Data Policy.
SOC 2 (Service Organization Control 2) Type II ist ein US-Auditstandard nach AICPA. Der Bericht bescheinigt die operative Wirksamkeit (über einen Beobachtungszeitraum, in der Regel 6–12 Monate) der Kontrollen entlang der Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality und Privacy.
Der Anbieter stellt SOC-2-Type-II-Berichte interessierten Kunden auf Anfrage und nach Abschluss eines NDA bereit.
TISAX® ist der von der Automobilindustrie (ENX Association / VDA-ISA) etablierte Branchenstandard für Informationssicherheit. Er adressiert insbesondere den Schutz vertraulicher Informationen, Prototypenschutz und den Datenschutz in der Lieferkette.
Der Anbieter strebt – bzw. verfügt über – ein TISAX-Label im für sein Risiko- und Datenklassifizierungs-Profil maßgeblichen Assessment Level (typischerweise AL2 oder AL3). Das Label ist – vorbehaltlich der ENX-Veröffentlichungsfreigabe des Kunden – im ENX-Portal einsehbar.
Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene C5-Katalog ist der in Deutschland und im EU-Public-Sector etablierte Anforderungskatalog für Cloud-Anbieter. Geprüft wird in Form eines Wirtschaftsprüfer-Testats nach IDW PS 951 (Typ 1: Konzeption / Typ 2: Wirksamkeit über einen Zeitraum).
Verordnung (EU) 2024/1689 (EU AI Act) regelt das Inverkehrbringen und den Einsatz von KI-Systemen in der EU. Der Anbieter dokumentiert die Konformität von OSOS / Omega entsprechend der jeweiligen Risikoklassifikation und stellt für Hochrisiko-Use-Cases beim Lizenznehmer auf Anfrage die einschlägige Provider-Dokumentation (z.B. nach Art. 11, 13 AI Act) bereit. Details finden sich in der AI Data Policy, Ziffer 10.
Für die Verarbeitung personenbezogener Daten im Auftrag des Lizenznehmers gilt der Auftragsverarbeitungsvertrag (AVV) inklusive der TOM-Anlage und der Subprocessor-Liste. Im Übrigen werden die Anforderungen aus DSGVO und BDSG durch das ISMS / PIMS adressiert.
Die Cloud Software wird in zertifizierten Rechenzentren gehostet, die mindestens den Anforderungen der vorgenannten Standards entsprechen. Die Standard-Hosting-Region für Kunden mit Hauptsitz im EWR ist die Europäische Union (typischerweise Frankfurt/Deutschland und/oder weitere EU-Standorte; konkrete Region siehe Order Form bzw. Trust Center).
Auf Wunsch und – soweit verfügbar – kann die Verarbeitung auf EU-Ressourcen beschränkt werden ("EU Data Boundary"). Dies ist im Order Form zu vereinbaren.
Die jeweils aktuelle Liste aller Sub-Auftragsverarbeiter (inkl. KI-Subdienstleister, Hosting, Monitoring, Support-Tools) ist abrufbar unter [Link Subprocessor-Liste]. Notifikations- und Widerspruchsrechte ergeben sich aus dem AVV.
Die nachfolgende Aufzählung ergänzt die in der TOM-Anlage zum AVV aufgeführten Maßnahmen:
OSOS / Omega unterstützt Engineering-Prozesse nach gängigen branchenspezifischen Normen. Die nachfolgende Aufstellung dient der Orientierung; eine eigenständige Tool-Qualifikation ("Tool Confidence Level") wird vom Anbieter nicht vorgenommen, soweit nicht separat vereinbart (vgl. EULA Ziffer 17).
Zur Unterstützung von Tool-Qualifikationsprozessen stellt der Anbieter auf Anfrage und gegen Vergütung relevante Dokumentation (z.B. Tool Operational Requirements, Use Cases, Prüfprotokolle) bereit.
Status und Geltungsbereich der hier genannten Zertifikate, Audits und Konformitätsnachweise werden regelmäßig aktualisiert. Die jeweils aktuelle Fassung dieses Dokuments sowie der zugrunde liegenden Nachweise ist über das Trust Center des Anbieters abrufbar.
Wesentliche Änderungen am Zertifizierungsstand werden Lizenznehmern mit aktivem Hauptvertrag auf geeignetem Wege (z.B. Trust-Center-Update, E-Mail an benannte Ansprechpartner) mitgeteilt.
[Link Trust Center][security@anbieter.com][privacy@anbieter.com][security.txt / Link]