Wir erheben, um unsere Services zur Verfügung stellen zu können, Daten unserer Nutzer. Dabei hat der Schutz Ihrer Daten für uns oberste Priorität.
Unsere vollständige Datenschutzerklärung kann auf unserer Website eingesehen werden.
Wir differenzieren in unserem Unternehmen zwischen zwei Arten von Daten: “Allgemeine Daten von Interessenten und Kunden” sowie “Buchhaltungsdaten unserer Kunden”.
Allgemeine Daten von Interessenten und Kunden
Dies sind alle Daten, welche wir im Zuge von Anfragen, beim Anlegen eines Testaccounts, zu Zwecken der Abrechnung von Nutzerkonten oder weil Sie sich für unseren Newsletter angemeldet haben, von Ihnen übermittelt bekommen haben – jedoch keine Buchhaltungsdaten.
Auf diese Daten haben unsere Mitarbeiter Zugriff, sowie eine Reihe an Auftragsverarbeitern. Hierzu zählen u.A. unser CRM-System, unser E-Mail Provider, unsere Bank und unser Telefonanbieter.
Diese Daten genießen besonderen Schutz und wir treffen diverse Maßnahmen, welche Sie in den unten aufgeführten technischen und organisatorischen Maßnahmen nachlesen können, um diese Daten zu schützen.
Buchhaltungsdaten unserer Kunden
Folgende höchste Sicherheitsvorkehrungen treffen wir für die Buchhaltungsdaten unserer Kunden:
- Stark beschränkte Mitarbeiteranzahl: Lediglich vier Mitarbeiter haben technisch die Möglichkeit, auf Buchhaltungsdaten zugreifen zu können. Neben der Geschäftsführung und dem CTO ist dies unser Head of Backend Development.
- Höchste Sicherheitsvorkehrungen: Die Serverinfrastruktur ist durch multiple Sicherheitsschranken gegen den Zugriff von außen geschützt.
- Tägliche Backups nach verschiedenen Methoden auf räumlich getrennten Servern ermöglichen die schnelle Wiederherstellung der Daten im unwahrscheinlichen Fall eines Datenverlusts, etwa bei Hardware-Defekten.
- Lediglich zwei Auftragsverarbeiter (Hosting und OCR) kommen in Kontakt mit buchhaltungsrelevanten Daten.
- Deutsches Rechenzentrum, nach ISO 9001, 14001, 22301, 27001, 27018 und 50001 zertifiziert. Sicherheitsaudits haben Bankenstandard.
Technische und organisatorische Maßnahmen
Im Folgenden beschreiben wir Ihnen in Auszügen unsere technischen und organisatorischen Datenschutzmaßnahmen. Eine genaue Auflistung sämtlicher Maßnahmen finden Sie in unserer Auftragsverarbeitungs-Vereinbarung, welche Ihnen über den Link zum Download zur Verfügung steht.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Unterschiedliche Maßnahmen verhindern sowohl den Zutritt, als auch den Zugang Unbefugter zu Datenverarbeitungsanlagen.
A) Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen (geeignete Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren):
- Schließsystem mit Codesperre
- Chipkarten / Transpondersysteme
- Besucher: Anmeldung und Protokoll am Empfang
- Besucher nur in Begleitung durch Mitarbeiter
- Empfang, 24/7 Security im Eingangs und Außenbereich
Die eigenen Büro- und Geschäftsräume des Auftragnehmers sind mit verschlossenen Türen und Schließsystemen versehen, sodass ein unbefugter Zutritt von Dritten wirksam unterbunden werden kann. Während der Geschäftszeiten gibt es eine Besucherregelung, die unter anderem vorsieht, dass jeder Besucher sich nicht ohne Begleitung durch die Büroräume bewegen kann.
Im Rechenzentrum sind folgende Maßnahmen getroffen:
- Zutritt zum Gebäude nur durch Legitimation über eine persönliche Code-Karte (RFID)
- Besucher können nur nach vorheriger Anmeldung das Gebäude betreten. Während des gesamten Aufenthalts begleitet mindestens ein Mitarbeiter die Gäste, welche einen gesonderten Ausweis erhalten, der jedoch keinen Zutritt zu geschützten Bereichen ermöglicht.
- Wachschutz 24h/Tag, 365 Tage im Jahr, Kontrollgänge werden durchgeführt
- Alarmanlagensystem mit Aufschaltung auf örtliche Polizeidienststellen
- abgesichertes Rechenzentrum mit eigenem Eingang, geschützt durch speziell codierte Zugangskarten (personenbezogen, RFID)
- Schleusensystem, Kameraüberwachung und Protokollierung von Zugängen sichern den Aufenthalt ab
- Serverracks sind verschlossen und werden nur im Bedarfsfall geöffnet. Die Schlüssel zu den Racks liegen in einem verschlossenen Safe, zu dem nur autorisierte Personen Zugang haben.
B) Zugangskontrolle
Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
- Login mit Benutzername sowie geeignetem Kennwortverfahren (u.a. Sonderzeichen, Mindestlänge, bedarfsorientierter Wechsel des Kennworts)
- Einsatz aktueller Antivirus-Client (Endpoint-Security)
- Einsatz aktueller Antivirus-Software für mobile Endgeräte (insbesondere Notebooks)
- Einsatz von VPN-Verbindungen bei Remotezugriffen
- Sperre von externen Schnittstellen (insb. USB)
- Automatische Bildschirm- bzw. Desktopsperre
- Verschlüsselung von Datenträgern (insb. Festplatten)
- Verschlüsselung von Datenträgern in mobilen Endgeräten (u.a. Notebooks, Tablets, Smartphones)
- Einsatz moderner Firewall Technologien (Bsp. Application Layer Firewall, Intrusion Detection System, Intrusion Prevention System etc.)
- Verwalten von Benutzerberechtigungen durch Systemadministratoren
- Erstellen von Benutzerprofilen (insbesondere Einrichtung eines Benutzerstammsatzes pro User)
- Richtlinie für die Erstellung und Verwendung sicherer Passwörter sowie Logindaten
- Richtlinie für einen aufgeräumten Schreibtisch (Clean-Desk-Policy)
Alle vorstehenden Punkte werden durch den Auftragnehmer erfüllt.
Alle IT-Systeme und Applikationen des Auftragnehmers sind erst nach vorheriger Authentifizierung zugänglich.
Die Mindestpasswortlänge beträgt derzeit 20 Zeichen. Passwörter müssen zudem komplex sein (Groß- /Kleinbuchstaben, Ziffern, Sonderzeichen).
Alle Server-Systeme sind mit Firewall-Technologie (Hardware) gesichert. Auf allen Systemen ist moderne Antiviren-Software installiert, bei der eine regelmäßige Aktualisierung gewährleistet ist.
C) Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
- Aktenvernichter (Sicherheitsstufe 5 nach DIN 66399)
- Einsatz externer Datenvernichter zur Löschung/Vernichtung von Daten und Datenträgern wie Festplatten, PCs, Notebooks und sonstiger Speichermedien (zertifiziert, AVV erforderlich)
- Protokollierung der Zugriffe auf Anwendungen, insbesondere von Eingabe, Änderung und Löschung von Daten
- Einsatz eines Berechtigungskonzepts inkl. Rollendefinition
- Richtlinie zur Verwendung von Datenverarbeitungsanlagen bzw. Datenträgern (u.a. Verbot zur Nutzung privater Geräte)
- Kontrolle der ordnungsgemäßen Löschung von Daten und Vernichtung von Datenträgern anhand von Stichproben
- minimale Anzahl an Administratoren (Begrenzung auf die unbedingt erforderliche Anzahl)
Alle vorstehenden Punkte werden vom Auftragnehmer erfüllt. Die Protokollierung erfolgt im jeweiligen System oder, sofern technisch nicht möglich, an separater Stelle.
Ein Berechtigungskonzept ist im Einsatz. Alle Applikationen und Datenbanken sehen eine differenzierte Einräumung von Berechtigungen vor (Profile, Rollen, Transaktionen und Objekte). Im Verantwortungsbereich des Auftragnehmers werden Berechtigungen ausschließlich nach dem “Need-to-know-Prinzip“ vergeben.
Bei ausscheidenden Mitarbeitenden wird dafür Sorge getragen, dass die Berechtigungen rechtzeitig wieder entzogen werden.
Die Zugriffsrechte von Datenbanknutzern sind auf das Notwendigste reduziert, um die Integrität der Daten bestmöglich zu gewährleisten.
D) Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.
Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:
- Trennung von Produktiv- und Testumgebung
- Physikalische Trennung von Systemen, Datenbanken und Datenträgern
- Strikte räumliche Trennung von Arbeitsplätzen und Servern
- Mandantenfähigkeit relevanter Anwendungen
- Steuerung über Berechtigungskonzept
- Festlegung/Zuweisung von Datenbankrechten
- Datensätze sind mit Zweckattributen versehen (sodass eine zweckgebundene Verarbeitung jederzeit gewährleistet ist)
Eine Trennung der Daten ist so jederzeit gewährleistet.
E) Pseudonymisierung (Art. 32 Abs. 1 lit. DSGVO, Art. 25 Abs. 1 DSGVO)
Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen:
- Soweit Pseudonymisierung verwendet wird: Trennung der jeweiligen Zuordnungsdaten und Aufbewahrung in getrennten und abgesicherten Systemen (unter Verwendung einer geeigneten Verschlüsselung)
Eine Pseudonymisierung wird je nach Schutzbedarf der personenbezogenen Daten angewendet.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
A) Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
- Einsatz von VPN geschützten Verbindungen (Virtual Private Network)
- E-Mail-Verschlüsselung (i.d.R. SSL/TLS)
- Bereitstellung von Daten mittels verschlüsselter Verbindungen wie sftp, https etc.
- https verschlüsselte Datenübertragung über Website und Webapp
- Einsatz von aktueller Firewall
Alle vorstehenden Punkte werden vom Auftragnehmer erfüllt.
Der Auftragnehmer gibt grundsätzlich keine Daten an Dritte weiter, sofern dies nicht zu den Vertragspflichten gegenüber dem Auftraggeber gehört.
Es werden verschlüsselte Verbindungen zur Nutzung der Applikation verwendet.
B) Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten.
Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:
- Stichproben und Anlass basierte Kontrolle von Protokollen
- Sicherstellung durch Übersicht mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
- Die Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten wird durch individuelle Benutzernamen mit einem Benutzer gewährleistet
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Klare Zuständigkeiten für Vornahme/Kontrolle/Protokollierung von Löschungen
- Protokollierung und Nachvollziehbarkeit von Eingaben, Änderungen und Löschung von Daten (durch Logfiles). Der Zugriff auf Datenbestände erfolgt anhand von Berechtigungen. Das Verfahren gewährleistet, dass keine Datenveränderungen unbemerkt vorgenommen werden können.
Die Eingabe, Änderung und Löschung von Daten werden, soweit technisch und unter angemessenem Aufwand möglich, protokolliert. Vornahmen von Eingaben oder Datenveränderungen können Nutzern zugeordnet werden.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle
Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.
Maßnahmen zur Datensicherung (physikalisch/logisch):
- Moderne Feuer- und Rauchmeldeanlage (Büros/Rechenzentrum)
- Inertgas-Löschanlage (Rechenzentrum)
- Klimatisierter Serverraum (Rechenzentrum)
- USV (Unterbrechungsfreie Stromversorgung, insbesondere Rechenzentrum)
- RAID System (gespiegelte Festplatten, Rechenzentrum)
- Serverräume sind hochwassergeschützt errichtet (Rechenzentrum)
- Videoüberwachung Serverraum (Rechenzentrum)
- Alarmmeldung bei unberechtigtem Zutritt zu Serverräumen (Rechenzentrum)
- Sprinkleranlage (Rechenzentrum)
- Brandklasseneinteilung (Kennzeichnung besonders gefährdeter Räume, Rechenzentrum)
- Feuerlöscher an/in den PC-Arbeitsräumen (Rechenzentrum/Büros)
- Einsatz eines geeigneten Antiviren-Programms
- Bestehendes Backup & Recovery-Konzept
- Regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse
- Backups und Sicherungsmedien werden örtlich getrennt aufbewahrt
- Keine sanitären Anschlüsse im oder oberhalb der Serverräume
- Vorliegen eines geeigneten Notfallplans
- Getrennte Partitionen für Betriebssysteme und Daten
Alle eingesetzten Serversysteme arbeiten mit gespiegelten Festplattensystemen (RAID). Das Backup Konzept sieht mindestens eine tägliche inkrementelle und eine wöchentliche Vollsicherung vor. Die Backups werden örtlich getrennt aufbewahrt. Ausgelagerte Backups werden zudem verschlüsselt.
Alle Serversysteme im Rechenzentrum verfügen über eine unterbrechungsfreie Stromversorgung (Akkus und Dieselgeneratoren).
Ein Inergen-Gas basierendes Feuerlöschsystem mit Aufschaltung auf örtliche Feuerleitstellen ist im Einsatz.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
A) Datenschutz-Management
- Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf/Berechtigung (z.B. Intranet, Collaboration Software etc.)
- Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. jährlich durchgeführt.
- Bestehende Sicherheitszertifizierung nach ISO 27001, BSI-Grundschutz, ggf. weitere oder sonstige Zertifizierungen, u.a. VdS-Zertifikat
- Externer Datenschutzbeauftragter bestellt – dessen Kontaktdaten sind auf der Website des Verantwortlichen jederzeit einsehbar
- Regelmäßige und dem individuellen Bedarf angepasste Schulung der Mitarbeiter zum Datenschutz
- Durchführung Datenschutz-Folgenabschätzung soweit erforderlich
- Erfüllung sämtlicher Informationspflichten nach Art. 13 und 14 DSGVO
- Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen durch Betroffene
Alle vorgenannten Maßnahmen werden umgesetzt und regelmäßig überprüft und bei
Änderungsbedarf entsprechend angepasst. Die getroffenen Maßnahmen werden entsprechend protokolliert.
B) Incident-Response-Management
- Einsatz von Firewall und regelmäßige Aktualisierung (s. auch Zugriffskontrolle)
- Einsatz von Spamfilter und regelmäßige Aktualisierung
- Einsatz geeigneter sowie regelmäßig aktualisierter Antivirus-Software (mit Virenscanner)
- Einsatz eines Intrusion Detection Systems (IDS) zur Aufdeckung von Sicherheitsvorfällen (Netzwerk)
- Einsatz eines Intrusion Prevention Systems (IPS) zur Behebung und Einleitung von Gegenmaßnahmen bei Sicherheitsvorfällen
- Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen/Datenpannen (dieser berücksichtigt ebenfalls Meldepflicht gegenüber Aufsichtsbehörde und Betroffenen)
- Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
- Einbindung von DSB und der IT-Sicherheit in Sicherheitsvorfälle und Datenpannen
- Dokumentation von Sicherheitsvorfällen und Datenpannen (u.a. Ticketsystem)
- Definierter Prozess sowie Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen
Sämtliche genannte Maßnahmen werden umgesetzt sowie die Verfahren in einem angemessenen Umfang auf Aktualität und insbesondere deren Wirksamkeit hin überprüft.
C) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Privacy by design & Privacy by default:
- Die Gestaltung und Voreinstellungen von Softwares und anderen Verarbeitungsvorgängen gewährleisten, dass lediglich solche personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck auch tatsächlich erforderlich sind
- Technische Maßnahmen gewährleisten die einfache Ausübung des Widerrufsrechts von Betroffenen
D) Auftragskontrolle (Outsourcing)
- Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen sowie der Dokumentation (Vorabüberzeugungspflicht)
- Sorgfältige Auswahl des Auftragnehmers (insbesondere hinsichtlich Datenschutz und Datensicherheit)
- Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standardvertragsklauseln
- Weisungen an den Auftragnehmer erfolgen grundsätzlich ausschließlich schriftlich oder in Textform (mündliche Weisungen werden zusätzlich entsprechend schriftlich oder in Textform erteilt)
- Verpflichtung der Mitarbeiter des Auftragnehmers auf den Datenschutz & Vertraulichkeit
- Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen einer Bestellpflicht
- Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
- Regelung zum Einsatz weiterer Subunternehmer
- Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus bei längerer Zusammenarbeit
- Sicherstellung der Löschung/Vernichtung von Daten nach Beendigung des Auftrags
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters und Vorabüberzeugungspflicht.
Stand: 04 / 2020