Sicherheit, Rollen, Kontrolle

Datensicherheit

Vertrauen braucht klare Rollen: Geschäftlich führen Sie die Beziehung zu Ihren Endkunden; nach dem Datenschutzrecht sind Sie ihnen gegenüber in der Regel die verantwortliche Stelle. Wir stellen Technik, Betrieb auf EU-Infrastruktur und offene Schnittstellen bereit – damit Sie die Kontrolle behalten und Daten bei Bedarf exportieren oder anbinden können.

DSGVO & AVVEUSC PlattformbetriebOffene APIsNach ISO/IEC 27001 ausgerichtetes ISMS
Sicherheitsschichten
Region

AWS European Sovereign Cloud

EU-Residenz für Plattform- und Backend-Dienste.

Daten

API & Export

Betriebs-, Kunden- und Abrechnungsdaten bleiben für Sie nutzbar.

Zugriff

RBAC & Verschlüsselung

Rollen, TLS und AES-256 als technische Leitplanken.

Verträge

AVV & TOMs

Auftragsverarbeitung und dokumentierte Schutzmaßnahmen.

Kontrollen statt Bauchgefühl
Die Darstellung gilt für den Betrieb der Lade- und Mobility-Plattform – Hinweise zur Markenwebsite lesen Sie in der Datenschutzerklärung.

Nicht nur Hosting

Datensicherheit bei OB7 verbindet Infrastruktur, Verträge, Produktfunktionen und Datenportabilität.

Für EMPs bzw. CPOs zählt nicht nur, wo Daten liegen. Entscheidend ist, wer welche Rolle trägt, wie Endkundendaten sauber verarbeitet werden, ob Exporte und Anbindungen praktisch machbar sind und ob Sie Prüfungs- und Aufsichtsfragen mit nachvollziehbaren Nachweisen beantworten können.

EU

Datenresidenz

Plattformbetrieb in der AWS European Sovereign Cloud mit EU-Datenresidenz.

AVV

Klare Rollen

CPO als Verantwortlicher gegenüber Endkunden, OB7 als Auftragsverarbeiterin, wo vertraglich vereinbart.

API

Portabilität

Datenzugriff über dokumentierte Schnittstellen und etablierte Standards statt geschlossener Blackbox.

Souveräne Betriebsarchitektur

EU-Betrieb, Marke beim Endnutzer, Daten über Standards – ohne die Detailkarten unten vorwegzunehmen.

Kurzfassung vor den vertiefenden Unterabschnitten: Region und Verarbeitungskontext, wer unter Ihrer Marke gegenüber Fahrerinnen und Fahrern ansprechbar bleibt (EMP oder CPO), sowie offene Datenflüsse statt undokumentierter Dateninseln. Für Gutachter und Revision liegen ohnehin AVV-Anlagen sowie ISMS- und Incident-Unterlagen neben allen öffentlich sichtbaren Texten bereit.

Plattform

EUSC mit EU-Residenz

Plattformverarbeitung in der AWS European Sovereign Cloud nach EU-Verarbeitungslogik; Tiefgang nur dort, wo Vertrag oder Prüfung ihn brauchen.

Marke

EMP oder CPO bleiben nach außen geführt

Auskunfts-, Änderungs- oder Löschanfragen erreichen unter Ihrer Marke vor allem Sie – wir stellen die technischen Mittel dahinter bereit.

Schnittstellen

Exportierbare Pfade vorhanden

REST-, OCPI- sowie DATEX-II-kompatible Wege ermöglichen Auswertung, Migration oder Anbindungen – ohne abgeschlossene Sonderlösung.

Sicherheitsdimensionen

Die wichtigsten Fragen gehören nicht in eine Fußnote.

Von Infrastruktur bis Self-Service – sortiert nach Themen, die bei Prüfungen, im Datenschutz und im Betreiberalltag wirklich vorkommen.

Infrastruktur

EUSC für Plattformdienste

Die Betreiberplattform läuft mit EU-Residenz; technische und vertragliche Einzelheiten binden wir in AVV und TOMs ein.

Compliance

ISO/IEC 27001 & NIS2

Wir führen ein Informationssicherheits-Managementsystem (ISMS), das sich an ISO/IEC 27001 orientiert, und bereiten die Organisation auf die Vorgaben der EU-Richtlinie NIS2 vor. Auf dieser Übersicht behaupten wir keine abgeschlossene ISO-Zertifizierung und keinen fertig umgesetzten NIS2-Stand – den konkreten Status vereinbaren und dokumentieren wir im jeweiligen Vertrag und in dessen Anlagen.

Datenhoheit

Export und offene APIs

Betriebsdaten, Ladevorgänge, Kundendaten und Abrechnung sollen für Betreiber verfügbar bleiben – für Reporting, eigene BI und spätere Migrationen.

Endkunden

Self-Service unter Ihrer Marke

EV-Fahrer sehen Ladehistorie, Rechnungen und Kontofunktionen in der White-Label-Oberfläche; Rechte und Datenschutzhinweise bleiben beim CPO verankert.

Technik

Verschlüsselung & Zugriff

TLS 1.3 bei der Übertragung, AES-256 im Ruhezustand, rollenbasierter Zugriff und das Least-Privilege-Prinzip bilden die technische Basis.

Nachvollziehbarkeit

Monitoring & Audit-Trails

Protokollierung, Monitoring und Incident-Prozesse schaffen Prüfbarkeit für Betrieb, Support und Datenschutz.

Gemeinsamer Start

Sie nennen Ihre Rahmenbedingungen – wir stellen Rechte und Datenflüsse im Admin so ein, dass Ihr Datenschutzteam später nachvollziehen kann, was gilt.

Beim gemeinsamen Projektstart bündeln wir, was Ihre Organisation für einen datenschutzkonformen Betrieb der Plattform braucht: Sie beschreiben das Szenario, Ihr Rollenmodell und welche Unterlagen Sie intern für Compliance und Datenschutz vorsehen. Gemeinsam stimmen wir die OB7-Admin-Einstellungen ab und stellen Nachweise sowie technischen Zugriff so bereit, dass Ihre Datenschutzteams später ohne Umweg darauf zurückgreifen können.

01

Anforderungen einsammeln

Sie teilen Märkte, Endkundenkontexte und regulatorische Eckpunkte – wir laden frühzeitig Ihre juristischen und datenschutzrechtlichen Kolleginnen und Kollegen ein, falls Sie das wünschen, damit Fragen geklärt werden, bevor etwas eingestellt wird.

02

Admin-System einstellen

Gemeinsam legen wir im OB7-Admin fest, wer welche Daten sieht und welche Prozesse laufen müssen – von Rollenbildern über Schnittstellenzugänge bis zu Exportpfaden. So entspricht der operative Zugriff Ihrem Daten- und Pflichtenbild.

03

Unterlagen fürs Datenschutzteam

Vertragliche und technisch erläuterte Grundlagen rund um Auftragsverarbeitung und technisch-organisatorische Maßnahmen stellen wir so bereit, dass Ihre Datenschutz- oder Rechtsabteilung sie in interne Vorlagen, Prüfungen oder Workshops direkt weiterverwenden kann.

04

Dauerhaft erreichbar

Nach Launch bleiben exportierbare Daten, Schnittstellenzugänge und aktuelle Arbeitsunterlagen bereitstehen – ideal für wiederkehrende Prüfungen, neue regulatorische Nachfragen oder interne Audits Ihrerseits.

Passende Vertiefung

Open Blueprint

Wie offene APIs, Datenzugriff und Wechseloptionen die Betreiber-Souveränität stützen.

Datenschutzerklärung

Die Website-Verarbeitung und rechtlichen Hinweise für ob7.com transparent nachlesen.

FAQs

Häufig gestellte Fragen

Alles zu Datensicherheit und Compliance – von Infrastruktur bis Betroffenenrechten.

Wie ist der Stand bei ISO/IEC 27001?

Wir betreiben ein Informationssicherheits-Managementsystem (ISMS), das sich an die Anforderungen der ISO/IEC 27001 orientiert. Ob und in welchem Umfang eine Zertifizierung vorliegt sowie welche Audits geplant oder abgeschlossen sind, dokumentieren wir im jeweiligen Vertrag – diese Seite ersetzt keine vertragliche Zusicherung.

Wo werden Plattformdaten gespeichert?

Die OB7-Lade- und Mobility-Plattform betreiben wir in der AWS European Sovereign Cloud mit EU-Datenresidenz. Rechtsgrundlagen und technische Einzelheiten zur Auftragsverarbeitung regeln AVV, Unterauftragsverarbeiterlisten und die begleitende Dokumentation. Für die Datenverarbeitung auf der öffentlichen Markenwebsite gelten gesonderte Hinweise in der Datenschutzerklärung.

Wie wird die DSGVO-Konformität unterstützt?

Wir bieten Auftragsverarbeitungsverträge (AVV), arbeiten mit einem Datenschutzbeauftragten zusammen und setzen technische und organisatorische Maßnahmen um. Ihre Organisation bleibt gegenüber Endkunden in der Regel die Verantwortliche; wir unterstützen als Auftragsverarbeiterin nach Weisung.

Können wir unsere Daten exportieren oder anbinden?

Ja. Über dokumentierte APIs und etablierte Standards können Sie Ladevorgänge, Kunden- und Abrechnungsdaten für eigene Auswertungen und Migrationen nutzbar machen – ohne von einer undokumentierten Einzellösung abhängig zu sein.

Welche Verschlüsselung wird eingesetzt?

Daten werden im Ruhezustand verschlüsselt (z. B. AES-256) und bei der Übertragung über TLS 1.3 geschützt.

Wie werden Zugriffsrechte im Produkt verwaltet?

Im Admin-System steuern Sie Zugriffe rollenbasiert (RBAC) und definieren, welche Rollen welche Daten und Funktionen sehen.

Wie erreichen Endkunden ihre Betroffenenrechte?

EV-Fahrerinnen und -fahrer wenden sich für Auskunft, Berichtigung oder Löschung in der Regel an die Organisation, die ihnen gegenüber die verantwortliche Stelle im Sinne der DSGVO ist – typischerweise der jeweilige EMP oder CPO unter Ihrer Marke. Unsere Plattform adressiert beide Rollen; Datenschutzhinweise und Supportkanäle kommen daher immer von der jeweiligen Betreiberorganisation. Self-Service-Funktionen stehen in OB7 bereit; welche davon Sie Endkunden anbieten, steuern die Administratoren des jeweiligen EMP oder CPO.

Was passiert bei einem Sicherheitsvorfall?

Wir unterhalten dokumentierte Incident-Response-Prozesse und informieren betroffene Kunden sowie Behörden, soweit gesetzlich und vertraglich erforderlich. Konkrete Fristen und Inhalte ergeben sich aus dem AVV und geltendem Recht.