Sicherheit & Datenschutz nach DSGVO

Datenschutz und Informationssicherheit sind zentraler Bestandteil der Produkte und Dienstleistungen der Helm & Nagel GmbH. Der Schutz Ihrer Daten und Ihr Vertrauen sind uns sehr wichtig. Daher haben wir technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung implementiert, welche wir kontinuierlich weiterentwickeln. Konfuzio als Produkt der Helm & Nagel GmbH erfüllt alle Anforderungen der EU-Datenschutz-Grundverordnung und ist als Organisation sowie als Software datenschutzkonform gemäß EU-DSGVO.

Sofern Sie weiterführende Informationen benötigen oder Fragen zu den Inhalten dieser Seite haben, kontaktieren Sie gerne unser Datenschutz- und Informationssicherheitsteam unter datenschutz@helm-nagel.com. Bei potentiell sicherheitsrelevanten Anliegen wenden Sie sich gerne an security@helm-nagel.com.

Allgemeines zum Datenschutz

Eine Übersicht häufig gestellter Fragen.

Ja, Konfuzio erfüllt alle Anforderungen der EU-Datenschutz-Grundverordnung und ist als Organisation sowie als Software datenschutzkonform gemäß EU-DSGVO. Dazu haben wir im Rahmen der Vorbereitungen auf die EU-DSGVO unser Produkt auf die wesentlichen gesetzlichen Anforderungen wie Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 EU-DSGVO) oder auch die Unterstützung des Kunden bei der Wahrung der Betroffenenrechte wie Recht auf Löschung, Auskunftsrecht oder Recht auf Datenübertragbarkeit (Kapitel 3 EU-DSGVO) überprüft und entsprechende Anpassungen vorgenommen. So kann der Kunde Dokumentendaten sowohl automatisch wie manuell löschen und Mitarbeiterdaten entweder sperren oder komplett und sicher löschen.

Aufgrund des Self-Service Ansatzes von Konfuzio können Anwender zudem selbst direkt jederzeit Einsicht in ihre Projekte nehmen. Zudem können Mitarbeiter hochgeladene Daten aus den Projekten im maschinenlesbaren Format selbst exportieren sowie ihre selbst eingebrachten Dokumente herunterladen.

Ja, Datenschutz ist integraler Bestandteil unserer Produktstrategie und damit achten wir bei der Entwicklung unserer Features bereits auf Prinzipien wie Datensparsamkeit sowie den Einsatz von Maßnahmen nach dem Stand der Technik zur Sicherstellung eines angemessenen Schutzniveaus. Im Rahmen der Vorbereitungen auf die EU-DSGVO haben wir zudem die gesamte Anwendung hinsichtlich der Voreinstellungen überprüft und soweit angepasst, dass sie ein höchstmögliches Niveau an Datenschutzfreundlichkeit bei gleichzeitiger Nutzerfreundlichkeit erreicht. Zudem sind die Einstellungen grundsätzlich so konzipiert, dass der Kunde sie nach seinen Bedürfnissen anpassen kann. Um dies auch fortlaufend zu gewährleisten, haben wir zudem einen Prozess definiert, um gesetzliche Anforderungen kontinuierlich in den Produktentwicklungsprozess einzuspeisen und die Anwendung daraufhin in regelmäßigen Abständen zu überprüfen.

Die Helm & Nagel GmbH erbringt Leistungen DSGVO-konform und berücksichtigt branchenspezifische Vorgaben, unter anderem die Vorgaben des Datenschutzkodex des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Die Helm & Nagel GmbH strebt dabei die kontinuierliche Verbesserung der Prozesse und Strukturen im Datenschutz und der Informationssicherheit an.

Im Rahmen von Fort- und Weiterbildungen werden die eigenen Anforderungen an Datenschutz- und Informationssicherheit geschärft. Es werden nicht nur die internen Prozesse und Schutzmaßnahmen kontinuierlich verbessert, sondern Sicherheitslücken anderer Firmen identifiziert und gemeldet. Zum Beispiel hat die BASF SE Florian Zyprian, den CTO, auf Basis einer solchen Meldung als “Hero of BASF” gewürdigt.

Vertraulichkeit & Integrität

Ja, auf allen von der Helm & Nagel GmbH eingesetzten Datenbanken und Speicher von binären Dateien, wie z. B. einem PDF, wird eine Verschlüsselung „at Rest“ nach dem Stand der Technik eingesetzt, sodass die Daten nur nach ordnungsgemäßer Authentifizierung gelesen werden können.

Ja, alle personenbezogenen oder personenbeziehbaren Daten, die von der Konfuzio-Anwendung an einen Client oder zu anderen Plattformen übertragen werden, müssen mittels Transport Layer Security (TLS) verschlüsselt werden, damit insbesondere auch HTTPS verschlüsselt. Dafür muss zunächst eine gesicherte Verbindung zwischen den beiden Verbindungspartnern (Client und Server) aufgebaut werden, bevor eine Datenübertragung erfolgen kann.

Die Helm & Nagel GmbH setzt beim Hosting ihrer Software auf die Azure Services, ein Produkt der Microsoft Corporation. Die genutzten Rechenzentren sind ISO/IEC 27001 zertifiziert und erfüllen somit unsere hohen Anforderungen an die physische Sicherheit der Daten unserer Kunden.

Grundsätzlich haben weder Mitarbeiter in den Rechenzentren noch bei Microsoft Zugriff auf Ihre Daten. Auf Seiten der Helm & Nagel GmbH nehmen nur unser Infrastruktur Team (serverseitig) sowie unsere KI-Experten (kundensystemseitig) anlassbezogen Zugriff. Dieser ist notwendig, um bei der initialen Einrichtung des Accounts sowie bei der Bearbeitung von Serviceanfragen zu unterstützen. Die Vergabe von Zugriffsrechten erfolgt protokolliert und nach dem “Need-to-Know”-Prinzip. Zusätzlich ist der Zugriff auf Kundensysteme protokolliert.

Die Helm & Nagel GmbH setzt serverseitig ein host-basiertes Angriffserkennungssystem zur Überwachung von Parametern wie auffälligen Log-Einträgen, Signaturen bekannter Rootkits und Trojaner, Auffälligkeiten im Device File System, oder klassischen Brute-Force-Angriffen ein. Diese Parameter werden regelmäßig auf Auffälligkeiten untersucht. Im Falle einer Auffälligkeit werden die zuständigen Mitarbeiter im Betrieb und Entwicklung sofort informiert, um Gegenmaßnahmen zu ergreifen. Zudem werden anwendungsseitig alle wesentlichen Aktivitäten (dabei insbesondere Change-, Delete-, Update-Operationen) protokolliert, um unautorisierte Zugriffe und Veränderungen an Daten auf Anfrage nachweisen zu können.

Zugänge erfolgen ausschließlich über personalisierte Benutzeraccounts, die eindeutig einer Person zugeordnet sind. Die Anmeldung erfolgt mit Benutzernamen und einem Passwort, welches bei initialem Login entsprechend der in der Anwendung implementierten sicheren Passwort-Richtlinie geändert werden muss.

Die Zugriffsrechte sind grundsätzlich so konzipiert, dass die Anforderungen des Art. 24 EU-DSGVO nach datenschutzfreundlichen Voreinstellungen gewahrt sind. Dies bedeutet, dass neu angelegte Mitarbeiter “per default” keine Rechte über die Bearbeitung des eigenen Profils hinaus haben. Sie als Kunde sind jedoch in der Lage, die Rechtevergabe individuell auf Basis Ihres eigenen Berechtigungskonzepts zu vergeben.

Zweckbindung

Der Kunde ist und bleibt “Herr der Daten” und verantwortliche Stelle im Sinne des Art. 24 EU-DSGVO. Dies bedeutet insbesondere auch, dass der Kunde für die Wahrung der Betroffenenrechte (Kapitel 3 EU-DSGVO) verantwortlich ist. Die Helm & Nagel GmbH ist Auftragsverarbeiter und verarbeitet Ihre Daten damit ausschließlich auf Ihre Weisung und zu den im Rahmen des Vertrags zur Auftragsverarbeitung geregelten Zwecke.

Das bedeutet, dass die Helm & Nagel GmbH Daten unter keinen Umständen an Dritte verkauft oder weitergibt. Davon ausgenommen ist eine Weitergabe an etwaig beauftragte Unterauftragnehmer, welche im Rahmen des Vertrags zur Auftragsverarbeitung mit unseren Kunden geregelt ist.

Darüber hinaus behält es sich die Helm & Nagel GmbH vor, ausschließlich vollständig anonymisierte Daten, beispielsweise zu Zwecken des Testens oder der Weiterentwicklung des Produkts, zu verwenden. Eine solche Anonymisierung erfolgt ausschließlich im Rahmen der gesetzlichen Regelungen und berücksichtigt dabei den Stand der Technik sowie die Empfehlungen der Artikel-29-Datenschutzgruppe bzw. des Europäischen Datenschutzausschusses. Anonymisierte Daten bedeuten dabei, dass keinerlei Rückschluss auf Einzelpersonen oder Unternehmen gezogen werden kann. Damit besteht für unsere Kunden hierbei keinerlei Risiko.

Bei Beendigung der Geschäftsbeziehung können weisungsberechtigte Personen des Kunden die Herausgabe der Daten in einem maschinenlesbaren Format beantragen. Anschließend werden die Daten nach Ablauf der vertraglich definierten Frist unwiederbringlich gelöscht. Grundsätzlich ergibt sich im unwahrscheinlichen Fall der Einstellung des Geschäftsbetriebs durch die Helm & Nagel GmbH keine Abweichung hiervon, da der Kunde “Herr der Daten” und die Helm & Nagel GmbH lediglich Auftragsverarbeiter ist und damit über die personenbezogenen Daten nicht anderweitig verfügen kann und wird.

Verfügbarkeit

Die Helm & Nagel GmbH setzt hier insbesondere auf eine redundante Auslegung der Server-Infrastruktur in Bezug auf Produktiv-Daten und Backups sowie die physische Sicherheit der Rechenzentren (bspw. unterbrechungsfreie Stromversorgung, Alarmanlage, Brandmeldeanlage etc.) und betreibt zudem ein kontinuierliches Kapazitätsmanagement zur Überwachung der genutzten und Verteilung notwendiger Ressourcen.

Die Helm & Nagel GmbH setzt zur Gewährleistung einer angemessenen Verfügbarkeit ein Backup-Konzept für die Datenbank mit den darauf gespeicherten Daten des Auftraggebers nach dem aktuellstem Stand der Technik um. Die Backups der Datenbank-Systeme werden ausschließlich verschlüsselt gespeichert. Damit ist keine Durchführung eigener Backups durch den Kunden notwendig. Es werden regelmäßige Restore-Tests durchgeführt, um sicherzustellen, dass die Backups ordnungsgemäß gespeichert wurden und im Falle eines Datenverlusts wiederherstellbar sind.

Im unwahrscheinlichen Fall eines Totalausfalls des Systems ist durch die redundante Auslegung der Rechenzentren (Produktiv- und Backup-Daten) sichergestellt, dass Ihre Daten nicht verloren gehen. In diesem Falle werden wir entsprechend unseres Notfallplans/ Disaster Recovery Konzepts die schnellstmögliche Wiederherstellung sicherstellen.

Arrow-up
de_DE_formalGerman
en_USEnglish de_DE_formalGerman