Sicherheit und Datenschutz

1. Zweck dieses Dokuments

Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen, mit denen die Sicherheit, die Vertraulichkeit, die Integrität und die Verfügbarkeit der über die Plattform ImigraData verarbeiteten Daten gewährleistet werden. Es ergänzt die Datenschutzerklärung der Plattform und dient zugleich als Grundlage für die technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO im Rahmen der Auftragsverarbeitung.

2. Datenheimat und Infrastruktur

Die Plattform wird ausschließlich auf Servern innerhalb der Bundesrepublik Deutschland betrieben. Eingesetzt wird die Infrastruktur der Hetzner Online GmbH mit Rechenzentrumsstandorten in Falkenstein und Nürnberg. Ein Transfer personenbezogener Daten in Drittländer findet im Rahmen des Plattformbetriebs nicht statt. Mit dem Infrastrukturanbieter besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

3. Verschlüsselung

Die Datenübertragung zwischen dem Endgerät des Nutzers, den angebundenen Systemen und der Plattform erfolgt über transportverschlüsselte Verbindungen nach aktuellem Standard. Gespeicherte Daten, insbesondere Migrationsdaten, werden durch geeignete Verschlüsselungsverfahren gegen unbefugten Zugriff geschützt. Passwörter werden nicht im Klartext gespeichert, sondern ausschließlich in Form geeigneter kryptografischer Werte.

4. Zugriffs- und Berechtigungskonzept

Der Zugriff auf Funktionen, Migrationsvorgänge und Daten der Plattform ist über ein Rollen- und Berechtigungssystem gesteuert. Jeder Nutzer erhält nur die für seine Aufgabe erforderlichen Berechtigungen. Administrative Zugriffe der Anbieterin sind gesondert abgesichert und werden protokolliert.

5. Mandantenisolation

Die Plattform ist so ausgelegt, dass die Daten und Migrationsvorgänge unterschiedlicher Nutzer logisch voneinander getrennt verarbeitet werden. Die Mandantentrennung ist ein Architekturprinzip und stellt sicher, dass ein Nutzer keinen Zugriff auf die Daten oder Migrationsvorgänge eines anderen Nutzers erhält.

6. Integrität der Migrationsdaten

Die Plattform setzt Maßnahmen ein, um die Integrität der migrierten Datenbestände zu unterstützen. Zu jedem Migrationsvorgang wird ein Protokoll erstellt, das Ablauf, Umfang und Ergebnis dokumentiert und dem Nutzer als Grundlage für die ihm obliegende Prüfung des Migrationsergebnisses dient.

7. Datensicherung und Wiederherstellung

Die Anbieterin führt für die Plattform selbst regelmäßige Datensicherungen durch. Sicherungskopien werden auf voneinander getrennten Systemen vorgehalten. Das Sicherungskonzept wird fortlaufend weiterentwickelt.

Wichtiger Hinweis: Die Sicherung der zu migrierenden Datenbestände im Quellsystem obliegt dem Nutzer. Der Nutzer ist verpflichtet, vor jedem Migrationsvorgang eine eigene, vollständige und wiederherstellbare Sicherung der betroffenen Daten anzufertigen. Die Plattform ersetzt diese Eigensicherung nicht.

8. Schutz vor unbefugtem Zugriff und Angriffen

Die Anbieterin setzt Maßnahmen zum Schutz vor unbefugtem Zugriff und vor Angriffen ein, insbesondere abgesicherte Systemkonfigurationen, Schutzmechanismen gegen verbreitete Angriffsarten sowie eine fortlaufende Aktualisierung der eingesetzten Komponenten.

9. Protokollierung und Nachvollziehbarkeit

Sicherheitsrelevante Ereignisse, administrative Zugriffe und Migrationsvorgänge werden protokolliert, um Vorgänge nachvollziehbar zu machen und im Bedarfsfall auswerten zu können. Die Protokolldaten werden nur für die für Sicherheits- und Nachweiszwecke erforderliche Dauer aufbewahrt.

10. Umgang mit Datenschutzverletzungen

Die Anbieterin verfügt über einen Prozess zur Erkennung, Bewertung und Behandlung von Verletzungen des Schutzes personenbezogener Daten. Wird die Anbieterin im Rahmen der Auftragsverarbeitung von einer Verletzung Kenntnis erlangen, die Daten eines Nutzers betrifft, unterrichtet sie den betroffenen Nutzer unverzüglich, damit dieser seine Melde- und Benachrichtigungspflichten erfüllen kann.

11. Organisatorische Maßnahmen

Die technischen Maßnahmen werden durch organisatorische Maßnahmen ergänzt. Hierzu zählen die Verpflichtung der mit der Datenverarbeitung betrauten Personen auf Vertraulichkeit, klare Zuständigkeiten sowie interne Vorgaben für den sicheren Umgang mit Daten, Systemzugängen und Migrationsvorgängen.

12. Löschung der Migrationsdaten

Nach Abschluss eines Migrationsvorgangs werden die Migrationsdaten nach Maßgabe des Auftragsverarbeitungsvertrags und nach Weisung des Nutzers zurückgegeben oder gelöscht. Migrationsdaten werden nicht über den für die Durchführung und Nachvollziehbarkeit des Vorgangs erforderlichen Zeitraum hinaus vorgehalten.

13. Verbot des Verkaufs von Daten

Die SysTec Analytics Ltd verkauft keine personenbezogenen Daten. Migrationsdaten werden ausschließlich zur Durchführung des beauftragten Migrationsvorgangs verarbeitet und weder einzeln noch in aggregierter Form an Dritte veräußert oder zu Werbezwecken Dritter überlassen.

14. Fortlaufende Verbesserung

Die Anbieterin überprüft ihr Sicherheits- und Datenschutzkonzept regelmäßig und passt es bei Bedarf an den Stand der Technik, an neue Bedrohungslagen und an veränderte rechtliche Anforderungen an.