DSGVO & Sicherheit

Hier finden Sie alles rund um die DSGVO und den Schutz Ihrer Daten.

Diese Seite bietet einen Überblick über die Sicherheitsmassnahmen von Allthings zu den Themen Hosting, Datentransfer und Datenhaltung als auch Authentifizierung und Autorisierung.

Hosting

Die folgenden Regulierungen beschreiben die Sicherheit der Allthings Hosting Umgebung:

  • Die Webdienste laufen in ihrer eigenen privaten Cloud mit einem separaten öffentlichen und privaten Netzwerk.
  • Alle Webdienste nutzen eine dynamische Lastenverteilung mit Autoskalierung um Lastspitzen aushalten zu können.
  • Firewall Regeln limitieren den Zugriff auf die Cloud Dienste basierend auf IP- und Protokoll-basierten Regeln. HTTP und HTTPS sind die einzigen Protokolle, die aus dem öffentlichen Internet erreichbar sind.
  • Alle Ressourcen werden in Echtzeit mit erweiterten Statustests überwacht, die nicht nur den Status der Instanzen messen, sondern auch Anwendungsfehler erfassen.
  • Container Instanzen werden bei Ausfällen automatisch neu gestartet. Instanzen werden automatisch ersetzt, wenn ihre Statustests fehlschlagen.
  • Das Hosting Datencenter erfüllt die Anforderungen an eine umfassende Liste von global Sicherheitsstandards, inklusive ISO 27001, PCI DSS Level 1, IT Grundschutz und die EU Datenschutz Direktive.
  • Siehe auch AWS Cloud Compliance für weitere Informationen.

Datentransfer und Datenhaltung

Bezüglich Datentransfer und -haltung hat Allthings die folgenden Maßnahmen implementiert:

  • Kundendaten werden in Irland gespeichert und verlassen niemals die EU. Kundendaten unterliegen den Schweizer Datenschutzbestimmungen und der EU Datenschutz Direktive.
  • Alle Kundendaten werden mittels AES-256 verschlüsselt auf der Festplatte gespeichert. Passwörter werden als SHA-256 Hash und einem individuellem Salt gespeichert.
  • Alle Kundendaten werden in einem redundant ausgelegten Datenbank Replika Set für hohe Verfügbarkeit gespeichert.
  • Die Datenbankinhalte werden zusätzlich mit Off-Site Backups gesichert.
  • Alle Verbindungen zwischen Server Instanzen werdden mittels SSL verschlüsselt. Alle Verbindungen zwischen Clients und unseren Servern werden mittels HTTPS verschlüsselt.
  • Wir verwenden nur sichere SSL Chiffren und starke Verschlüsselungsparameter und erhalten eine A+ Bewertung in den Qualy’s SSL Labs Tests für unsere Webdienste.
  • Wir forcieren verschlüsselte Verbindungen mittels HTTP zu HTTPS Weiterleitung und HTTP Strict Transport Security (HSTS) und sind in den HSTS Preload Listen aller moderner Browser.
  • Zwischen den rechtlichen Entitäten sind überall Auftragsdatenverarbeitungs-Vereinbarungen in Kraft.

Authentifizierung und Autorisierung

Für die Authentifizierung und Autorisierung hat Allthings folgende Sicherheitsstandards umgesetzt:

  • Datenbankzugriff wird mittels feingranulierter Autorisierungs-Scopes limitiert. Autorisierung von Clients wir mittels des sicheren Standards OAuth 2.0 implementiert.
  • Anfragen an die API werden nur mit einem gültigen, Zeit-limitierten Zugriffs-Token akzeptiert.
  • Zugriffs-Token werden nur Nutzern mit einer authentifizierten Sitzung zur Verfügung gestellt.
  • Sitzungs-Cookies sind nicht mittels JavaScript zugreifbar (HTTP-only).
  • Sitzungs-Cookies sind nur für die individuelle Client Domain gültig.

Allthings setzt eine Vielzahl von technischen und organisatorischen Massnahmen ein, um die Sicherheit Ihrer Daten zu gewährleisten. Gerne lassen wir Ihnen diese persönlich zukommen. Kontaktieren Sie sales@allthings.me für weitere Informationen.

Der Schutz Ihrer Daten liegt uns am Herzen

Die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz ist für Allthings essentiell und entsprechend sorgen wir für eine datenschutzkonforme Umsetzung unserer Services. Unsere Services sind auf europäischer Ebene insbesondere auf Konformität bezüglich der ab Mai 2018 gültigen übergeordneten Datenschutzgrundverordnung (DSGVO / GDPR), in Deutschland zusätzlich bezüglich des Telemediengesetzes (TMG) und des Bundesdatenschutzgesetzes (BDSG) und in der Schweiz nach dem Bundesgesetz über den Datenschutz (DSG) und die Verordnung zum Bundesgesetz über den Datenschutz (VDSG) geprüft worden.

Neben der Stärkung und Vereinheitlichung des Schutzes von Nutzerdaten in allen EU-Ländern wurden damit auch neue oder zusätzliche Verpflichtungen für sämtliche Organisationen eingeführt, die mit personenbezogenen Daten von EU-Bürgern zu tun haben, unabhängig davon, wo diese Organisationen ihren Sitz haben.

Einhaltung der DSGVO

Die aktualisierten Anforderungen der DSGVO bringen erhebliche Änderungen mit sich, und unser Team hat das Produkt und die vertraglichen Verpflichtungen von Allthings angepasst, um Kunden bei der Einhaltung dieser Vorschriften zu unterstützen. Zu den von uns ergriffenen Massnahmen gehören:

  • Investitionen in unsere Sicherheitsinfrastruktur und -zertifizierungen
  • Aktualisierung entsprechender Vertragsbedingungen
  • Unterstützung für die internationale Datenübertragung,indem wir Standardvertragsklauseln mithilfe unserer Data Processing Agreements erfüllen
  • Unser verlässliches Support Team (support@allthings.me), um Anfragen von Benutzern nachzukommen und deren persönliche Informationen wie Namen und E-Mail-Adressen von einem Account zu löschen.

Selbstverständlich informieren wir uns auch über die neuesten Publikationen von Datenschutz-Aufsichtsbehörden und nehmen entsprechende Aktualisierungen unserer Produktfunktionen und vertraglichen Verpflichtungen vor.

Unsere Sicherheitsinfrastruktur

Der Schutz der Daten unserer Kunden sowie der Privatsphäre ihrer Benutzer ist für uns von größter WIchtigkeit. Da wir ein Cloud-basiertes Unternehmen sind, dem einige der wertvollsten Daten unserer Kunden anvertraut sind, setzen wir in puncto Sicherheit auf hohe Standards. Das Hosting Datencenter erfüllt die Anforderungen an eine umfassende Liste von global Sicherheitsstandards, inklusive ISO 27001, PCI DSS Level 1, IT Grundschutz und die EU Datenschutz Direktive. Siehe auch AWS Cloud Compliancefür weitere Informationen.

Allthings hat viel in ein solides Sicherheits-Team investiert, das mit einer Vielzahl von Problemen umgehen kann –  d. h. alles von der Erkennung von Bedrohungen bis zur Entwicklung neuer Sicherheitsprozesse. Gemäss den DSGVO-Anforderungen rund um die Benachrichtigung bei Sicherheitsvorfällen wird Allthings weiterhin seinen Verpflichtungen nachkommen und vertraglich geregelte Zusicherungen machen.

Wenn Sie mehr über die Sicherheitsrichtlinien und -maßnahmen von Allthings erfahren möchten, wenden Sie sich an unsere Datenschutzerklärung oder erfahren Sie mehr zu unseren Sicherheitsmassnahmen in auf unserer Website.

Internationale Datenübertagung: Datenschutzschild und Vertragsbedingungen

Zur Einhaltung der EU-Datenschutzgesetze rund um Mechanismen zur internationalen Datenübertragung haben wir strikte Bestimmungen eingeführt. Kundendaten unterliegen den Schweizer Datenschutzbestimmungen und dem EU Datenschutz und werden immer mittels AES-256 Verschlüsselung gespeichert. Des Weiteren werden Kundendaten in Irland gespeichert und verlassen somit niemals die EU. Bei allen Unterauftragsverhältnissen achten wir besonders auf die DSGVO-Konformität unserer Auftragnehmer im Ausland und sichern diese mit Hilfe einer Auftragsdatenverarbeitung ab.

**Bitte beachten Sie, dass wir mit allgemeinen Informationen zu rechtlichen Themen keine Rechtsberatung oder Schulung darstellt und diese im Einzelfall auch nicht ersetzen kann. Wie die meisten gesetzlichen Vorschriften können die auf Sie anwendbaren Normen bzw. deren konkrete Auslegung unterschiedlich ausfallen. Unsere Informationen beruhen auf unserem Verständnis der genannten gesetzlichen Regelungen zum Zeitpunkt der Erstellung dieses Dokuments. Wir übernehmen keine Haftung oder Gewährleistung für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen.**

Durch den Kundenvertrag und die Auftragsverarbeitungsvereinbarung wird der Kunde als Verantwortliche Stelle festgelegt. Das bedeutet, dass der Kunde Allthings und allen Parteien, denen der Kunde Zugriff auf “seine” Plattform gibt, Weisungen erteilen kann.

Der Umgang dieser Dritten mit den Mieterdaten erfolgt datenschutzrechtlich aus Sicht dieser Dritten entweder eigenverantwortlich oder auf Weisung des Kunden. Allthings trägt keine Verantwortung.

Es ist folglich nicht notwendig, dass ein direktes Vertragsverhältnis zwischen Allthings und einem Vertragspartner des Allthings Kunden, z. B. einem Bewirtschaftungsdienstleiter, besteht, damit ein Datenaustausch stattfinden darf.

**Bitte beachten Sie, dass wir mit allgemeinen Informationen zu rechtlichen Themen keine Rechtsberatung oder Schulung darstellt und diese im Einzelfall auch nicht ersetzen kann. Wie die meisten gesetzlichen Vorschriften können die auf Sie anwendbaren Normen bzw. deren konkrete Auslegung unterschiedlich ausfallen. Unsere Informationen beruhen auf unserem Verständnis der genannten gesetzlichen Regelungen zum Zeitpunkt der Erstellung dieses Dokuments. Wir übernehmen keine Haftung oder Gewährleistung für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen.**

Geschäftspartner des Allthings Kunden, die auf der Plattform ihre Dienstleistungen anbieten, haben regelmäßig Zugriff auf personenbezogene Daten. Daher ist zu prüfen ob der Abschluss einer Auftragsverarbeitungsvereinbarung zwischen dem Geschäftspartner und dem Kunden nötig ist (Art. 28 DGSVO)

In diesem Fall sind Geschäftspartner rechtlich dafür verantwortlich, dass sie datenschutzkonform arbeiten und den Weisungen des Kunden zum Umgang mit personenbezogenen Daten Folge leisten (Art. 28 Abs. 3 DSGVO)

**Bitte beachten Sie, dass wir mit allgemeinen Informationen zu rechtlichen Themen keine Rechtsberatung oder Schulung darstellt und diese im Einzelfall auch nicht ersetzen kann. Wie die meisten gesetzlichen Vorschriften können die auf Sie anwendbaren Normen bzw. deren konkrete Auslegung unterschiedlich ausfallen. Unsere Informationen beruhen auf unserem Verständnis der genannten gesetzlichen Regelungen zum Zeitpunkt der Erstellung dieses Dokuments. Wir übernehmen keine Haftung oder Gewährleistung für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen.**