Datenschutz, Techn. & organisat. Maßnahmen

Owned by Maximilian Zielosko
Last updated: Feb 21, 2019 by Natalie Bichler (Unlicensed)
3 min read

Wir erheben, um unsere Services zur Verfügung stellen zu können, Daten unserer Nutzer. Dabei hat der Schutz Ihrer Daten für uns oberste Priorität.
Wir möchten Ihnen im Folgenden die wesentlichen Punkte zusammenstellen, die wir als besonders wissenswert über den Umgang mit Ihren Daten betrachten.

Unsere vollständige Datenschutzerklärung können Sie hier einsehen.


Wir differenzieren in unserem Unternehmen zwischen zwei Arten von Daten: "Allgemeine Daten von Interessenten und Kunden" sowie "Buchhaltungsdaten unserer Kunden".

Allgemeine Daten von Interessenten und Kunden

Dies sind alle Daten, welche wir im Zuge von Anfragen, beim Anlegen eines Testaccounts, zu Zwecken der Abrechnung von Nutzerkonten oder, weil Sie sich für unseren Newsletter angemeldet haben, von Ihnen übermittelt bekommen haben - jedoch keine Buchhaltungs-Daten.

Auf diese Daten haben unsere Mitarbeiter Zugriff, sowie eine Reihe an Auftragsverarbeitern. Hierzu zählen u.A. unser CRM-System, unser E-Mail Provider, unsere Bank und unser Telefonanbieter.

Diese Daten genießen besonderen Schutz und wir treffen diverse Maßnahmen, welche Sie in den unten aufgeführten technischen und organisatorischen Maßnahmen nachlesen können, um diese Daten zu schützen.

Buchhaltungsdaten unserer Kunden

Höchste Sicherheitsvorkehrungen treffen wir für die Buchhaltungsdaten unserer Kunden, welche wir Ihnen im Folgenden kurz umreißen möchten:

  • Stark beschränkte Mitarbeiteranzahl: Lediglich vier Mitarbeiter haben technisch die Möglichkeit, auf Buchhaltungsdaten zugreifen zu können. Neben der Geschäftsführung und dem CTO ist dies unser Head of Backend Development.
  • Höchste Sicherheitsvorkehrungen: Die Serverinfrastruktur ist durch multiple Sicherheitsschranken gegen den Zugriff von außen geschützt.
  • Tägliche Backups nach verschiedenen Methoden auf räumlich getrennten Servern ermöglichen die schnelle Wiederherstellung der Daten im unwahrscheinlichen Fall eines Datenverlusts, etwa bei Hardware-Defekten
  • Lediglich zwei Auftragsverarbeiter (Hosting und OCR) kommen in Kontakt mit buchhaltungsrelevanten Daten
  • Deutsches Rechenzentrum, nach ISO 9001, 14001, 22301, 27001, 27018 und 50001 zertifiziert. Sicherheitsaudits haben Bankenstandard.

Niemals würden wir in unserer Webapp, also dem Bereich, in dem Ihre Buchhaltung stattfindet, mit Tools wie Google Analytics o.ä. arbeiten. Der Schutz Ihrer Buchhaltungsdaten hat für uns allerhöchste Priorität.

Technische und organisatorische Maßnahmen

Im Folgenden beschreiben wir Ihnen in Auszügen unsere technischen und organisatorischen Datenschutzmaßnahmen.
Eine genaue Auflistung sämtlicher Maßnahmen finden Sie in unserer Auftragsverarbeitungs-Vereinbarung, welche Sie hier herunterladen können.

Vertraulichkeit

Zutrittskontrolle

  • Besucher können die Geschäftsräume nur unter Aufsicht und zu den Geschäftszeiten (Mo‐Fr, 08:00 – 21:00 Uhr) betreten.
  • Zum Eintritt ist eine Chipkarte für den Check‐In notwendig.
  • Ein Empfang beaufsichtigt den Eintritt in die Geschäftsräume.
  • Die Geschäftsräume sind durch eine Alarmanlage geschützt.
  • Für das Rechenzentrum gelten strengste IT‐Sicherheitsrichtlinien des Betreibers.

Zugangskontrolle

  • Die Rechner der Mitarbeiter sind mit einer Firewall und Virenscannern geschützt.
  • Die Entsperrung der Computer ist nur mittels Passwort möglich.
  • Zugriff zu den Systemen (etwa CRM, Rechnungsstellung, Mailing o.ä.) erfolgt nur mittels sicherer und individueller Passwörter, welche verschlüsselt im Passwortmanager
    Keepass aufbewahrt werden.
  • Der Server zur Verarbeitung der Kundendaten unterliegt speziellen Schutzmaßnahmen. Der Zugang zum System kann nur durch ein komplexes Passwort, welches regelmäßig geändert wird, über VPN-Verbindungen sowie über legitimierte IP Adressen und Ports erfolgen.

Zugriffskontrolle

  • Zugriffe auf Buchhaltungsdaten sind nur einem stark eingeschränkten Personenkreis technisch möglich. Wenngleich ein Datenzugriff technisch möglich ist, erfolgt niemals eine
    Einsichtnahme in Buchhaltungsdaten der Kunden.
  • Andere Mitarbeiter des Unternehmens haben keinen Zugriff auf die Verarbeitungssysteme des Unternehmens. Einsicht haben Mitarbeiter lediglich in die Stammdaten des Auftraggebers (Name, Firma, Adresse, Kontaktdaten, gebuchte Dienstleistung) sowie in bisherige Konversationen.

Trennungsgebot

  • Daten, welche zu unterschiedlichen Zwecken erhoben und verarbeitet werden, werden getrennt voneinander gespeichert und verarbeitet.
  • Jeder Kunde hat seinen eigenen Kundenzugang.
  • White‐Label‐Instanzen nutzen zudem physisch getrennte Datenbanken.

Pseudonymisierung

Bei Datenanalysen werden gemäß Art. 32 Abs. 1 lit. a DS‐GVO und Art. 25 Abs. 1 DS‐GVO die Daten pseudonymisiert und anonym verarbeitet.

Integrität

Weitergabekontrolle

Werden Daten weitergeleitet, werden diese mit modernsten Verschlüsselungstechnologien (z.B. SSL, https) geschützt soweit dieses technisch möglich und wirtschaftlich vertretbar ist.

Buchhaltungsdaten werden niemals an Dritte weiter gegeben.

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

  • Die Stromversorgung und Netzersatzanlage garantieren höchste Ausfallsicherheit.
  • Der Schutz vor Viren und Hacker‐Angriffen wird durch eine Firewall sowie diverse Sicherheitsschranken, dem aktuellen Stand der System‐Administration entsprechend, sichergestellt.
  • Alle Daten werden mindestens einmal täglich auf einem räumlich getrennten Backup‐Server gesichert. Backups werden mindestens 6 Wochen vorgehalten.

Wiederherstellbarkeit

Nach einem etwaigen Datenverlust ist die schnelle Wiederherstellbarkeit von unserem Backup‐System gewährleistet.