Datenschutz
Geografischer Standort des Rechenzentrums
Datenschutzzertifizierung
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Zertifizierung des Rechenzentrums und der technischen Infrastruktur
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Verlinkung zum Zertifikat
https://www.telemaxx.de/fileadmin/files/dokumente/ISO_27001_Telemaxx_DE.pdf
Audits
Durchführung von Audits auf Antrag durch den Anwender
Ja
Beschreibung
Vertragliche Zusicherung von Audits: a. Inspektion / Überprüfung der TOMs in der Betriebsstätte vor Ort bzw. am Standort der Subunternehmer. b. Schriftliche Nachweise bzw. jährliches Testat über Einhaltung aller vertraglichen Pflichten.
Verfügbarkeit
Zugesicherte Ende-zu-Ende Service-Verfügbarkeit in Prozent / Jahr
Verfügbarkeitsklasse 3 - 99,9 % ? 43:48 Minuten/Monat oder 8:45:58 Stunden/Jahr
Maximale Downtime in Stunden
max 2 Std. (nach Ankündigung für Updates - Zeitraum 03:00 bis 05:00 Uhr)
Support
Garantierte Antwortzeit des Kunden-Supports
1 Arbeitstag
Durchschnittliche Zeit bis zur Problemlösung?
< 4 Arbeitstage
Verfügbarkeit des Kunden-Supports
Übliche Arbeitszeiten (5x8)
Beschreibung der Supportleistungen
A. Art und Kosten für Supportleistungen können der Preisliste auf der Website entnommen werden: https://www.sewobe.de/vereinssoftware/preise/
B. Der Kunde wird bereits im Vertrag auf die Nutzungs des Serviceportals hingewiesen (siehe Softwaremietvertrag 2017)
In § 13 SEWOBE Serviceportal werden die Vertragsmodalitäten zum Support geregelt:
(1) Die SEWOBE verwendet für Support / Fehlermeldung / Schulungsanfragen das SEWOBE Online-Serviceportal, damit der Kunde seine Supportanfrage jederzeit qualifiziert einreichen kann. Die Anfrage wird mit einer Bearbeitungsnummer (Ticket-Nummer) versehen und der Kunde erhält eine Eingangsbestätigung per E-Mail. Es wird dem Kunden empfohlen, zur schnellstmöglichen Bearbeitung eine möglichst detaillierte Sachverhaltsbeschreibung anzuliefern. Der Kunde unterstützt damit die schnelle, effiziente und kostengünstige Bearbeitung der Tickets.
(2) Angabe der Support berechtigte/n Personen/en
(3) Die Beseitigung von Programmfehlern (Bugs) ist kostenfrei und wird zeitnah durchgeführt.
(4) Für die Nutzung der Kundenhotline rechnet die SEWOBE neben der Telefonzeit auch die gesamte aufgewendete Zeit ab, die zur Lösung des Auftrages erforderlich war. Dazu gehört Zeit für Kommunikation, Koordination, Abnahme und administrative Tätigkeiten.
(5) Der Kunde erhält nach jedem Supportvorgang bzw. nach jeder Schulung eine E-Mail-Bestätigung mit den Angaben zum Support-Aufwand.
Abgerechnet werden alle Aktivitäten der SEWOBE zu Bedienungsfragen, Fehlbedienungen, Schulungen, Supportfälle, Anrufe und E-Mails. Sofern kein Limit definiert wurde, wird SEWOBE alle Vorgänge ohne Rückfrage bearbeiten. Sollte absehbar sein, dass der Bearbeitungsaufwand eines Tickets über dem definierten Budget liegt, wird der Kunde über den zu erwartenden Aufwand informiert und der Vorgang bis zur Freigabe geparkt.
(6) Sofern die SEWOBE zu Supportdienstleistungen direkt vor Ort beim Kunden angefordert wird, erhält die SEWOBE das vereinbarte Support-Honorar für die gesamte aufgewendete Zeit (Verlassen der SEWOBE bis zur Rückkehr) zuzüglich der tatsächlich angefallen Reisekosten (Flugtickets, Parkgebühren, PKW 50 Cents / km, Taxigebühren). Notwendige Übernachtungen bzw. Hotelkosten (mittleres Preissegment) sind bis 150 Euro / Person frei buchbar. Höhere Kosten sind vorab vom Kunden freizugeben.
(7) Sofern auf Kundenwunsch individuelle Module programmiert wurden, wird eine Lauffähigkeit dieser neuen Funktionen für mindestens 2 Jahre nach Bereitstellung garantiert. Sollten nach diesem Zeitraum bei Individualmodulen Probleme nach Programm-Updates auftreten, stellt dies keinen Bug dar.
(8) Im permanenten Verbesserungsprozess werden von der SEWOBE neue Funktionen und Programmerweiterungen bereitgestellt. Daher kann es vorkommen, dass manche Funktionen nicht per Video oder textlich erläutert werden. Dies stellt keinen Mangel dar.
C. Es werden unterschiedlichste Supportleistungen angeboten:
- Produktschulungen (Online, Vorort und Inhouse / alternativ Workshops im Unternehmen)
- Datenmigration von Kundendaten, Abrechnung nach Aufwand. Nach Sichtung der Migrationsdatei/en wird ein Festpreisangebots erstellt. Eine Geheimhaltungsvereinbarung wird vorab zugesendet.
- Workflow (Erstellung und Bearbeitung individueller Geschäftsprozesse z. B. von Urlaubsanträgen, Ticketing-System, etc.)
- Softwareanpassung gemäß Kundenwunsch (Individualisierung und Erweiterung von Funktionen)
- Konfiguration des Systems
- Entwicklung indiv. Kundenmodule
- Anpassung von Homepage-Masken
Die Abrechnung erfolgt gemäß Stundensatz im jeweiligen Vertrag / Preisliste oder nach Festpreisangebot. Der Kunde kann ein Support-Minutenpaket buchen oder Support nach Bedarf wählen.
Werden Trainings angeboten?
Ja
Trainingspartner
Trainings werden durch SEWOBE Mitarbeiter durchgeführt, Trainings von Großkunden auch durch die Geschäftsführer.
Auditierbarkeit
Ist es möglich, dass Audits vom Anwender zu Arbeitsprozessen und organisatorischen Abläufen in Bezug auf Datenschutz- und Sicherheit durchgeführt werden?
Durch Dritte
Serviceverfügbarkeit
Wie wird die rasche Wiederherstellung der Verfügbarkeit der Kundendaten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall garantiert?
Durch die Vollvirtualisierung der Server kann aus dem Bestand ein Sicherungsimage eingespielt werden. Die Daten werden in einem verschlüsselten Online-Backup 30 Tage vorgehalten und können eingespielt werden. Je nach Datenvolumen kann der Dienst binnen kurzer Zeit wieder gestartet werden.
Backups
Beschreibung der Backup-Optionen
Im Zeitfenster von 1.00 – 5.00 Uhr werden alle Betriebsdaten (Datenbank, Erzeugte Dateien, Konfigurationen und Programmcodes) im Rechenzentrum gesichert und an ein räumlich getrenntes Backup übertragen. Hier findet eine inkrementelle Sicherung statt. Die Backups werden 30 Tage vorgehalten und können unter Kenntnis des Keys wieder eingespielt werden.
Wie wird sichergestellt, dass die Anforderungen zur Wahrung der Vertraulichkeit sich auch auf die Backups erstreckt?
Die Backups sind per AES256 verschlüsselt. Ohne Kenntnis des Schlüssels ist kein Entpacken des Paketes außerhalb des Servers möglich. Der Key ist verschlüsselt auf dem jeweiligen Server gespeichert und ist ausschließlich beiden Geschäftsführern bekannt, um im Falle eines Einspielen auf eines Drittsystems Zugriff zu haben
Service Level Agreements
Wird vertraglich eine dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung zugesichert?
Nein
Wird die Verfügbarkeit und der Zugang der Daten sowie die rasche Wiederherstellung bei einem physischen oder technischen Zwischenfall vertraglich zugesichert?
Nein
Management von Sicherheitsvorfällen
Beschreibung des Prozesses zur Meldung von Datenpannen an den Auftraggeber
Der Auftraggeber wird gemäß Vertrag zur Auftragsverarbeitung umgehend und detailliert über die Art des Vorfalls und die geschätzten Auswirkungen für die Betroffen informiert. Gemeinsam mit dem Auftraggeber wird die weitere Vorgehensweise gemeinsam abgestimmt.
Sollte es im Unternehmen zu Sicherheitsvorfällen kommen, so werden diese im Datenschutzmanagementsystem der SEWOBE unter "Datenschutzverletzungen" dokumentiert und die zuständige Landesdatensicherheitsaufsichtsbehörde Bayern informiert, die auf ihrer Website ein Formblatt zur Meldung von Datenpannen bereit hält und ferner Informationen zum Umgang mit Datenschutzverletzungen veröffentlicht hat.
Die SEWOBE hat mit ihrem Datenschutzbeauftragten und dem verantwortlichen Leiter der IT Abteilung ein IT-Sicherheits- und Datenschutzmanagementkonzept erstellt, das die Verfahrensweise in Notfällen umfassend regelt.
Verschlüsselung
Welche Verschlüsselungstechniken zur Verschlüsselung der Datenübertragung und -Speicherung können angewendet werden?
SSL-Verschlüsselung
Optionen für das Key-Management
Encryption-Keys werden durch den Anbieter verwaltet
Identity- und Accessmanagement
Welches Rechte- und Rollenkonzept wird angewendet?
es wird ein unternehmensweites Rechte - und Rollenkonzept angewendet
Technische und organisatorische Maßnahmen
Wie erfolgt die angemessene Umsetzung der technischen und organisatorischen Maßnahmen laut DSGVO?
Umsetzung erfolgt durch Vertrag zur Auftragsdatenvereinbarung gem. Art. 28 DSGVO
Formale Datenschutzanforderungen
Wird ein ADV-Vertrag bzw. Rechtsakt basierend auf den EU-DSGVO Anforderungen mit dem Kunden vereinbart?
ein schriftlicher/elektronischer Vertrag wird gemäß Art.28 DSGVO angeboten
Wird vertraglich die Unterstützung bei einer Datenschutzfolgeabschätzung (DFA) zugesagt sofern diese für den Auftraggeber notwendig
ist? (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.)
Ja
Nachweispflichten
Welche der folgenden Nachweise können mit geeigneten Mitteln gemäß dem ADV-Vertrag dem Auftragsgeber zur Überprüfung zur Verfügung gestellt werden?
unternehmensinterne Verhaltensregeln einschließlich eines externen Nachweises über deren Einhaltung
Umsetzung der Betroffenheitsrechte
Wie wird sichergestellt, dass die Anforderungen aus der DSGVO zur Umsetzung der Betroffenheitsrechte, wie z.B. das Löschen von personenbezogenen Daten gewährleistet werden können?
Die SEWOBE beschäftigt seit über 10 Jahren ein Datenschutzteam, bestehend aus einem externen Datenschutzbeauftragten und einer internen Datenschutzkoordinatorin, das konsequent und regelmäßig die Einhaltung aller relevanten Datenschutzbelange des Unternehmens prüft und mit den Verantwortlichen aktualisiert.
Die Mitarbeiter wurden bereits im Frühjahr 2018 zu den Betroffenenrechten gemäß EU-DSGVO geschult und im Umgang mit den einzelnen Rechten Betroffener unterwiesen. Die Unterweisung umfasste das Recht auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Widerspruch, Löschung und Datenportabiltät sowie das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde.
Im Datenschutzmanagementsystem ist im Verarbeitungsverzeichnis die Verarbeitungstätigkeit " Rechte von Betroffenen" ausführlich dokumentiert, u. a. wie mit Anfragen von Betroffenen zu verfahren ist.
Die Betroffenen werden zudem auf der Website https://www.sewobe.de/datenschutz/datenschutz/ unter Ziffer 3 über ihre Rechte informiert, ferner auch darüber, wie welche Daten verarbeitet bzw. gelöscht werden, die z.B. auch in der Verwaltung anfallen.
Auch enthalten die Verträge zur Auftragsverarbeitung detallierte Ausführungen zu den Rechten Betroffener und die damit verbundenen Informationspflichten
Wie wird sichergestellt, dass bei Vertragsende nicht nur die Daten gelöscht werden, sondern auch Links auf die betreffenden Daten und Datenkopien in der Cloud?
In der SEWOBE Verwaltungssoftware ist das Feld "Datum Vertragsende" implementiert, das nach Eingang der Kündigung mit dem Kündigungsdatum des Mandanten befüllt wird. Im Falle einer Kündigung werden diverse Vorgänge in der Software aktiviert, z.B. das Datum der letzten Rechnung.
Des Weiteren ist im Datenschutzmanagementsystem der SEWOBE ist für den Fall der Kündigung
a. eine Checkliste hinterlegt, die die Verarbeitungstätigkeiten beschreibt, die "vor und nach dem Vertragsende" vorzunehmen sind und
b. das Löschkonzept hinterlegt, das zwei Komponenten, den Server und das Backup, berücksichtigt:
Ablauf: Die Daten werden gemäß Auswertung anhand der gesetzlichen Aufbewahrungsfristen eruiert und nach Fristende manuell in der Software und damit auch aus der Datenbank bzw. auf dem Server gelöscht, so dass keine Referenzen der betroffenen Daten mehr vorhanden sind. Im Backup werden diese Daten noch maximal 30 Tage vorgehalten und hiernach vom Backup-Anbieter gemäß Vereinbarung automatisch gelöscht. Somit ist sichergestellt, dass die Daten unwiderruflich und nicht wiederherstellbar gelöscht sind. Der Backup-Anbieter wurde gemäß Vertrag zur Auftragsverarbeitung zur datenschutzkonformen Verarbeitung personenbezogener Daten verpflichtet und dokumentiert per Protokoll die Löschung.
Mitarbeiter
Ist die Verpflichtung aller die zur Verarbeitung der personenbezogenen Daten befugten Personen auf das Datengeheimnis gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO vertraglich definiert?
Ja