Dieser Artikel ist auch verfügbar in:
Dieser Artikel erläutert unsere technischen und organisatorischen Maßnahmen zur Datensicherung, zum Datenschutz und zur Datensicherheit.

1. Vertraulichkeit (Artikel 32, Absatz 1, Punkt b GDPR)

Physische Zugangskontrolle

Wir hosten unsere Plattform auf AWS von Amazon in Frankfurt, Deutschland. Sie geben auf dieser Seite einen detaillierten Einblick in ihre Sicherheitsmaßnahmen: https://aws.amazon.com/compliance/data-center/controls/

Elektronische Zugriffskontrolle

Der Zugriff auf die Datenbank ist nur on premise möglich. Der Zugriff ist nur auf Systemadministratoren beschränkt. Wir haben das direkte Ändern von Daten in der Datenbank eingeschränkt. Passwörter für den Zugriff auf die Datenbank können nur bei der Anmeldung mit Zwei-Faktor-Authentifizierung an unserer Passwortverwaltungssoftware verwendet werden. Der CTO ist für die Zugriffs- und Schlüsselverwaltung und die Vergabe von Berechtigungen zuständig. Wir vergeben den Zugang nur, wenn er für die Tätigkeit des Mitarbeiters notwendig ist.

Interne Zugriffskontrolle (Berechtigungen für Benutzerrechte zum Zugriff auf und zur Änderung von Daten)

Wir können nur vor Ort auf die Datenbank zugreifen. Der Zugriff ist nur auf Systemadministratoren beschränkt. Wir haben das direkte Ändern von Daten in der Datenbank eingeschränkt. Der CTO ist für den Zugriff, die Schlüsselverwaltung und die Vergabe von Berechtigungen zuständig. Wir vergeben den Zugriff nur, wenn es für die Arbeit des Mitarbeiters notwendig ist.

Isolationskontrolle

Alle Daten für jeden Kunden sind an die ID des Kontos des Kunden gebunden.

Pseudonymisierung (Artikel 32, Absatz 1, Punkt a GDPR; Artikel 25, Absatz 1, GDPR)

Die von uns gespeicherten personenbezogenen Daten werden verschlüsselt. Auf personenbezogene Daten kann nur zugegriffen werden, wenn Sie die Zugangsdaten des Kundenkontos oder den Login zur Datenbank und den Verschlüsselungscode haben.

2. Integrität (Artikel 32, Absatz 1, Punkt b GDPR)

Kontrolle der Datenübertragung

Wir können nur vor Ort auf die Datenbank zugreifen. Der Zugriff ist nur auf Systemadministratoren beschränkt. Wir haben das direkte Ändern von Daten in der Datenbank eingeschränkt. Alle persönlichen Daten werden in der Datenbank verschlüsselt.

Kontrolle der Dateneingabe

Kontrolle, ob und von wem personenbezogene Daten in ein Datenverarbeitungssystem eingegeben, geändert oder gelöscht werden, z.B: Protokollierung, Dokumentenverwaltung _

Nur eingeloggte Kunden haben Zugriff und können personenbezogene Daten des Kundenkontos ändern. Wir protokollieren keine Änderungen oder Löschungen von personenbezogenen Daten.

3. Verfügbarkeit und Ausfallsicherheit (Artikel 32, Absatz 1, Punkt b GDPR)

Verfügbarkeitskontrolle

Verhinderung von versehentlicher oder mutwilliger Zerstörung oder Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldeverfahren und Notfallplanung._

Wir hosten unsere Plattform auf AWS von Amazon in Frankfurt, Deutschland. Einblicke in ihre Sicherheitsmaßnahmen geben sie im Detail auf dieser Seite: https://aws.amazon.com/compliance/data-center/controls/

Wir haben eine Backup-Strategie, bei der wir die Daten für 30 Tage sichern.

Schnelle Wiederherstellung (Artikel 32 Absatz 1 Punkt c GDPR);

Wir haben eine Vorlaufzeit für die Datenwiederherstellung von 48 Arbeitsstunden.

4. Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung (Artikel 32, Absatz 1, Punkt d GDPR; Artikel 25, Absatz 1, GDPR)

Datenschutz-Management

Wir führen einmal im Jahr ein internes Audit des aktuellen Stands unseres Datenschutzmanagements durch.

Incident Response Management

Wir haben ein Verfahren für Vorfälle eingerichtet.

Datenschutz durch Design und Voreinstellungen (Artikel 25 Absatz 2 GDPR);

Unser Erstellungs- und Entwicklungsprozess beinhaltet Datenschutz durch Design und Voreinstellung.

Auftrags- oder Vertragskontrolle

Wir haben einen Prozess zur Vertragskontrolle eingerichtet.

Keine Datenverarbeitung durch Dritte gemäß Artikel 28 DSGVO ohne entsprechende Anweisungen des Auftraggebers, z. B.: klare und eindeutige vertragliche Vereinbarungen, formalisiertes Auftragsmanagement, strenge Kontrollen bei der Auswahl des Dienstleisters, Pflicht zur Vorabbewertung, aufsichtsrechtliche Nachkontrollen.

Wie in der Auftragsverarbeiter-Vereinbarung festgelegt, verarbeiten wir Daten nur mit schriftlicher Zustimmung des Verantwortlichen und nur durch die Drittanbieter Mailchimp und Amazon Frankfurt.
War dieser Beitrag hilfreich?
Stornieren
Danke!