LIZ Smart Office GmbH
Stand
01.06.2022
Gemäß Artikel 32 DSGVO ergreifen wir als Unternehmen geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Diese Maßnahmen unterliegen einem ständigen Evaluierungsprozess, um die Anforderungen der DSGVO zu erfüllen und ein gleichbleibendes hohes Sicherheitsniveau gegenüber unseren Kunden, Interessenten und Beschäftigten zu gewährleisten.
Zu diesem Zweck ergreifen wir unter anderem folgende Maßnahmen, die folgendes einschließen:
- die Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Personenbezogene Daten müssen so verarbeitet werden, dass ein angemessener Schutz gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung durch geeignete technische und organisatorische Maßnahmen ("Integrität und Vertraulichkeit"), gemäß Art. 5 (1) f DSGVO. Die LIZ Smart Office GmbH (nachfolgend "LIZ" genannt) hat risikoadäquate Informationssicherheitsmaßnahmen zum Schutz personenbezogener und sensibler Unternehmensdaten umgesetzt. Die Mindeststandards gelten sowohl für Mitarbeiter als auch für eingesetzte externe Dienstleister.
Pseudonymisierung
Pseudonymisierung beschreibt die Verarbeitung personenbezogener Daten in einer Art und Weise, dass nur mit der Hinzuziehung weiterer Informationen, die Zuordnung zu einer betroffenen Person noch erfolgen kann.
Die Verarbeitungstätigkeiten in unseren Produkten werden ohne direkten Personenbezug durchgeführt. In unserem System werden nur anhand von eindeutigen IDs die Prozesse durchgeführt. Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass diese Daten ohne Hinzuziehung zusätzlicher Informationen aus der Authentifizierung nicht mehr einer bestimmten betroffenen Person zugeordnet werden können. Dabei werden die Stammdaten aus der Authentifizierung nicht im System gespeichert, sondern nur in Echtzeit aus dem Authentifizierungssystem (bspw. Microsoft 365, Google, Auth0.com, etc.) für Darstellungszwecke über die eindeutige ID verknüpft. Dadurch ist in unserem System alleinstehend keine Zuordnung zu einer Person möglich. Wird die Verknüpfung zum Authentifizierungssystem aufgehoben so ist auch keinen Bezug zu einer Person mehr möglich. Eine Datenübertragung in die Systemdatenbanken von den Authentifizierungssystemen findet nicht statt.
Verschlüsselung
Durch Verschlüsselung auf unterschiedlichen Ebenen können personenbezogene Daten so geschützt werden, dass die Vertraulichkeit auch bei Verlust, Diebstahl oder Kompromittierung erhalten bleibt.
Datenbanken der Kerninfrastruktur unserer Produkte werden mit dem AWS Key Management System (AWS KMS) verschlüsselt. AWS KMS ist ein gesicherter und ausfallsicherer Service, der FIPS-140-2-validierte Hardware-Sicherheitsmodule zur Verwaltung der Schlüssel verwendet. Der Schlüssel wird über die AWS-Verwaltungskonsole verwaltet.
AWS Key Management Service - AWS KMS Cryptographic Details (amazon.com)
Die Datenübertragung zwischen Endgerät und dem Server sind mit TLS 1.3 verschlüsselt. Alle Daten, welche in den Datenbanken abgelegt sind, werden ebenfalls bei Speicherung verschlüsselt. Bei der Übertragung von Daten zwischen Schnittstellen, ist die Verschlüsselung in Abhängigkeit des Datenliefernden Systems verfügbar. Die Implementierung dessen liegt in der Verantwortung des Kunden, da kein Einfluss auf Frontsysteme besteht.
Für Fernzugriffe auf die IT-Infrastruktur wird ausschließlich SSL verschlüsselte Verbindungen verwendet. Die Festplatten von mobilen Endgeräten werden ebenfalls verschlüsselt.
E-Mails werden mit einer Transportverschlüsselung verschlüsselt. Insofern es möglich ist, wird auch in Kommunikationssystemen, wie Business Messengern, Onlinemeetings, usw. die Ende-zu-Ende-Verschlüsselung aktiviert.
Passwörter werden in einem verschlüsselten Passwortmanager verwaltet.
Zutrittskontrolle
Zutrittskontrollen sind Maßnahmen, welche vor dem unbefugten Zutritt zum Gelände, Gebäude oder einzelnen Räumen schützen.
Der Zugang zum Gebäude und zur Büroetage ist mechanisch gesichert.
Über Bewegungsmelder kann festgestellt werden, ob sich Personen im Gebäude aufhalten. Der Haupteingang ist stets verschlossen und kann nur durch autorisierte Personen geöffnet werden.
Personenbezogene Daten werden grundsätzlich nur digital verarbeitet. Mitarbeiter werden darauf sensibilisiert die Endgeräte vor Diebstahl und Fremdzugriff zu schützen. Zudem werden die Datenträger verschlüsselt und bei allen Geräten muss die Remotesteuerung aktiviert werden, für den Fall eines Verlustes.
Besucher können das Gebäude nur in Begleitung eines Mitarbeiters betreten. Sie müssen an der Tür abgeholt werden.
Zugangskontrolle
Die Zugangskontrollen sollten Datenverarbeitungssysteme vor unbefugten Zugriffen, Einsichtnahmen oder Nutzungen schützen.
Die Anmeldung an den Arbeitsplätzen erfolgt über die Eingabe von Benutzername und Passwort. Ein Zugang über Online-Dienste wird nur über SSL angeboten. Für die verwendeten Dienste wird wenn möglich die 2-Faktor- oder Multifaktor-Authentifizierung aktiviert. Benutzer werden sensibilisiert ihren PC bei Abwesenheit zu sperren, nach einigen Minuten wird die automatische Desktopsperre aktiv.
Ein Fernzugriff auf das Firmeneigene Netzwerk ist nicht möglich. Es werden auch keine Daten auf internen IT-Diensten gespeichert. Ein Virenschutz wird auf Servern und Clients eingesetzt. Es ist eine Firewall für die Clients implementiert.
Für einzelne Systeme/Anwendungen sind spezifische Sicherheitsmaßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit implementiert.
Mobile Clients haben eine verschlüsselte Festplatte. Clients werden generell mit einem Passwort, MFA, 2FA, Pin oder biometrischer Authentifizierung geschützt.
Es gibt eine allg. Richtlinie zum Datenschutz.
Benutzer werden grundsätzlich personalisiert angelegt.
Zugriffskontrolle
Zugriffskontrollen sollten auch bei System gewährleisten, dass nur die Personen Zugriff erhalten, welche dies für Ihre Arbeitsaufgabe benötigen.
Der Zugriff auf bestimmte Bereiche innerhalb von IT-Systemen ist über Berechtigungen nur für autorisierte Personen freigeschalten. Eine Trennung von personenbezogenen Daten ergibt sich zum Großteil schon durch die Verarbeitung in unterschiedlichen Systemen und durch Berechtigungen für die Verantwortlichen.
Zugriffsrechte von Mitarbeitern in einzelnen Fachbereichen werden von den Verantwortlichen
festgelegt und von dem Systembetreuer (Departmentverantworlichen) vergeben. Aus dem WIFI Gastnetzwerk kann nicht auf die firmeneigenen Daten ohne autorisierte Anmeldung zugegriffen werden.
Die Rechte der Benutzer werden so weit eingeschränkt, dass sie auf den bereitgestellten tragbaren PCs keine Software installieren können. Wenn dies technisch nicht möglich ist, sind die Mitarbeiter darüber zu informieren, welche Software oder Apps auf den tragbaren PCs installiert werden können.
Auf produktive Instanzen unserer Produkte haben nur autorisierte Entwickler Zugriff. Diese können die Daten nicht einer Person zuordnen, da die Authentifizierungsdaten nicht in dem System gespeichert werden.
Änderungen am System, welche durch Entwickler oder Administratoren durchgeführt werden, werden protokolliert.
In Entwicklungs- und Testinstanzen werden nur für diesen speziellen Zweck erstellte Testdaten, welche keine Bezüge zu echten Personen aufweisen verwendet. Es werden in keinem Fall Produktivdaten in diese Systeme übernommen.
Support Mitarbeiter haben Zugriff auf Daten auf Applikationsebene, um im Supportfall Kunden optimal unterstützten zu können. Auf Applikationsebene können auch personenbezogene Daten eingesehen werden, da hier Authentifizierungsdaten und Datenbankdaten verknüpft angezeigt werden.
Nicht mehr aufzubewahrende Unterlagen werden gelöscht oder vernichtet.
Nicht mehr benötigte Akten mit personenbezogenen Daten werden mit einem Aktenschredder vernichtet. Vertrauliche personenbezogene Daten werden nur Digital verwaltet und sind nicht in Papierform durch das Unternehmen verarbeitet. Bei in Cloud-Diensten gehosteten Services wird sichergestellt, dass der Dienstleister für eine datenschutzkonforme Löschung sorgt.
Es gibt nur eine geringe Anzahl an Administratoren. Die Berechtigung erhalten nur Personen, welche diese benötigten. Das Berechtigungskonzept ist nach Need-to-Know-Prinzip aufgebaut. Mitarbeiter sollen keine Daten lokal auf dem Client speichern.
Die Mitarbeiter des LIZ haben nur Zugriff auf die Netzwerke und Netzwerkdienste, die sie zur Erfüllung ihrer Aufgaben benötigen.
Zugriffe auf Anwendungen werden protokolliert.
Benutzerkontrolle
Durch die Benutzerkontrolle soll verhindert werden, dass unautorisierte Personen auf Datenverarbeitungssysteme zugreifen können.
Die Mitarbeiter werden zum Umgang mit Passwörtern sensibilisiert. Kritische Aktivitäten in den Systemen und insbesondere bei den Sicherheitssystemen werden protokolliert und überprüft.
Benutzer werden personalisiert angelegt. Mitarbeiter dürfen Ihre Passwörter nicht weitergeben. Das Passwort muss regelmäßig geändert werden. Durch die 2-Faktor- oder zum Teil sogar Multifaktor-Authentifizierung wird sichergestellt, dass es sich tatsächlich um den konkreten Mitarbeiter handelt.
Auch in unserer App bieten wir die Möglichkeit zur 2-Faktor-Authentifizerung an. Wird Single-Sign-On verwendet, wird die Einstellung des Frontsystems verwendet.
Auf allen Clients und Servern ist ein moderner Virenschutz installiert.
Weitergabe- und Transportkontrolle
Mit der Weitergabekontrolle bzw. Transportkontrolle sind Maßnahmen bei der Weitergabe von Informationen gemeint.
Der Fernzugriff auf die Systeme erfolgt unter Einsatz von TLS-Verschlüsselung. Bei der Bereitstellung von Diensten wird auf eine verschlüsselte Verbindung (SSL) geachtet. E-Mails werden mit einer Transportverschlüsselung versendet.
Die Datenübertragung zwischen Endgerät und dem Server sind mit TLS 1.3 verschlüsselt. Alle Daten, welche in den Datenbanken abgelegt sind, werden ebenfalls bei Speicherung verschlüsselt. Bei der Übertragung von Daten zwischen Schnittstellen, ist die Verschlüsselung in Abhängigkeit des Datenliefernden Systems verfügbar. Die Implementierung dessen liegt in der Verantwortung des Kunden, da kein Einfluss auf Frontsysteme besteht.
Personenbezogene Daten, die ein höheres Risiko für den Betroffenen bergen, werden per verschlüsselten Datentransfer übersendet. Besondere Daten werden nur über zentrale Applikationen bereitgestellt, bei denen sich der Mitarbeiter über eine Mehr-Faktor-Authentifizierung anmelden muss.
Mitarbeiter wurden umfangreich vom DSB geschult zur Nutzung von Verschlüsselung beim E-Mail-Versandt.
Die Datenverbindungen nach und von extern werden protokolliert.
Datenverbindungen von innen nach außen und von außen nach innen protokolliert.
Eingabekontrolle
Bei der Eingabekontrolle geht es um die Überprüfbarkeit der Datenverarbeitung. Durch Maßnahmen in diesem Segment soll die Kontrolle von Dateneingaben, Datenveränderungen und Datenlöschungen gewährleistet werden.
Die Eingabekontrolle zu Benutzerdaten liegt in der Verantwortung des Authentifizierungssystems bei Single-Sign-On.
Wird die Systemeigene Authentifizierung genutzt, so liegt die Eingabekontrolle in der Verifizierung der E-Mail-Adresse.
Es findet eine automatische Protokollierung der Eingabe, Änderung und Löschung von Stammdaten und Einstellungen statt.
Über die Art der Dateneingabe findet eine Plausibilitätskontrolle statt. Systemseitige Übertragungen werden mit automatischen Kontrollen auf Fehler überprüft.
Verfügbarkeits- und Wiederherstellungskontrolle
Verfügbarkeits- und Wiederherstellbarkeitskontrollen sollen den Schutz von personenbezogenen Daten vor Verlust und Zerstörung sicherstellen und gewährleisten, falls es doch zu einem Störungsfall kommt, die Systeme wiederhergestellt werden können.
Die Server, auf denen die produktiven Kundendaten liegen sind redundant aufgebaut und über SLAs mit dem Hosting-Partner abgesichert. Die Verfügbarkeitsanforderungen für die jeweiligen Dienste sind im Vertrag mit dem Rechenzentrum dokumentiert und werden regelmäßig überwacht. Mindestverfügbarkeitsstandards werden über SLA mit dem Provider vereinbart.
Ein Notfallmanagement wird betrieben. Notfallprozesse sind etabliert.
Infrastrukturschutz:
- Clients sind so gesichert, dass eine Remotelöschung möglich ist.
- Zugänge sind so gesichert, dass ein Zugriff nur durch einen zweiten Faktor möglich ist oder eine biometrische Erkennung erfolgt.
- Systeme sind in zertifizierten Rechenzentren ausgelagert.
IT-Systeme:
- Virtualisierung der IT-Infrastruktur
- Digitalisierung von Informationen
- Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums
- Backups
- Kontrolle des Backups auf Fehler und Störungen
- Redundanzen bei wichtigen IT-Systemen
- Notfallhandbuch
- Recovery-Pläne
- Getrennte Partitionen für Betriebssysteme und Daten
- Monitoring der Systeme und deren Verfügbarkeit
Datenträgerkontrolle
Bei dieser Kontrolle soll verhindert werden, das Datenträger vor unbefugten Lesen, Kopieren, Verändern und Löschen geschützt sind.
Festplatten von mobilen Endgeräten werden verschlüsselt. Der Zugang zum Client ist nur nach Authentifizierung über Benutzername und Passwort möglich. Der Zugang zu Daten und Applikationen nur nach erfolgreicher Authentifizierung mit Multifaktor.
Der Verlust von Geräten muss sofort gemeldet werden, um die Zugänge zu sperren. Stationäre Geräte sind durch Zugangsbeschränkungen geschützt.
Anweisung zum Umgang mit Endgeräten und Datenträgern an die Mitarbeiter zur Sensibilisierung.
Speicherkontrolle
Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie unbefugter Kenntnisnahme, Veränderung und Löschung von personenbezogenen Daten.
Zugriffsschutz über das Netzwerk:
- Schutz vor Schadsoftware auf Clients und Servern
- Regelmäßige Updates und zentrales Patchmanagement
- Spamfilter
- Filterung über Firewall
Mitarbeiter werden sensibilisiert den Client bei Verlassen des Arbeitsplatzes zu sperren.
Zugriffe auf Anwendungen werden protokolliert.
Berechtigungen werden nach Need-to-Know-Prinzip vergeben. Bestimmte Anwendungen und Verzeichnisse sind nur von Mitarbeitern mit entsprechendem Zuständigkeitsbereich und ihrer weisungsgemäßen Befugnisse zugänglich.
Auf die zentralen Speicher bzw. die Server und Datenbanken unserer Produkte können nur Entwickler in absolut notwendigen Fällen und abgesichert mit Multi-Faktor-Authentifizierung zugreifen. Die Daten liegen verschlüsselt auf den Servern und sind pseudonymisiert. Die Server sind zusätzlich vom Hosting-Anbieter verschlüsselt.
Belastbarkeit und Zuverlässigkeit der Systeme
Die Belastbarkeit der Systeme beschreibt die Fähigkeit eines Systems trotz massiver Störungen Dienste trotzdem aufrechterhalten bzw. bereitstellen kann.
Es wird ein moderner Virenschutz eingesetzt. Unnötige Schnittstellen zu den Clients werden deaktiviert.
Das Kapazitätsmanagement erfolgt in enger Abstimmung mit dem Provider. Die Verfügbarkeitsanforderungen für die jeweiligen Dienste sind im Vertrag mit dem Rechenzentrum dokumentiert und werden regelmäßig überwacht. Mindestverfügbarkeitsstandards werden über SLA mit dem Provider vereinbart.
Ein Notfallmanagement wird betrieben. Notfallprozesse sind etabliert.
Die Systeme sind virtualisiert und so gestaltet, dass eine flexible Skalierung möglich ist.
Datenintegrität
Sicherstellung, dass die gespeicherten personenbezogenen Daten noch dem Original entsprechen und nicht bewusst oder unbewusst verändert wurden.
Das Protokolle für Stammdaten, Systemeinstellungen, -fehler und weitere Tabellen ist aktiviert. Benutzer werden personalisiert angelegt.
Es gibt systemseitige Plausibilitätskontrollen.
Digitale Dokumente werden in PDF-Form gespeichert und versioniert.
Sicherheitsereignissen werden zeitnah behoben.
Auftragskontrolle
Die Auftragskontrolle ist immer dann einschlägig, wenn eine Auftragsverarbeitung stattfindet. Dann muss gewährleistet werden, dass die Verarbeitung nach den Weisungen des Auftraggebers erfolgt.
Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation.
Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit, Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standard Vertragsklauseln, Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus, Regelung zum Einsatz weiterer Subunternehmer.
Abschluss der notwendigen Vereinbarung zur Auftragsdatenverarbeitung bzw. EU-Standardvertragsklauseln.
Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen Bestellpflicht. Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis.
Schriftliche Weisungen an den Auftragnehmer.
Vereinbarung von wirksamen Kontrollrechten bezüglich Auftragnehmers.
Überprüfung der Auftragsleistung.
Überprüfung des Auftragnehmers anhand von angemessenen Nachweisen oder Audits.
Regelungen zum Einsatz weiterer Subunternehmer.
Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrages.
Bei Übermittlung von Daten außerhalb der EU: Prüfung der Technisch-organisatorischen Maßnahmen, Sicherheitsmechanismen und Abschluss eines AV-Vertrags auf Basis der Standardvertragsklauseln, insofern kein Angemessenheitsbeschluss für das Land vorliegt.
Trennungskontrolle
Werden personenbezogene Daten zu unterschiedlichen Zwecken erhoben, so muss die Verarbeitung getrennt erfolgen.
Für relevante Systeme findet eine Trennung von Produktiv- und Testumgebung statt. Kundendaten werden über die eindeutigen Organisationseinheiten voneinander getrennt.
Datenbankrechte und Berechtigungskonzepte sind auf die jeweiligen Datensätze angepasst.
Für unterschiedliche Zwecke erhobene Daten sind zum Großteil in unterschiedlichen Systemen erfasst.
Datenschutz-Management
Eine Überprüfung der Wirksamkeit der technisch-organisatorischen Schutzmaßnahmen wird mind. jährlich durchgeführt.
Verfahrensweisen und Regelungen zum Datenschutz werden dokumentiert. Mitarbeiter haben nach Bedarf / Berechtigung Zugang zu den Dokumenten.
Externe Datenschutzbeauftragte:
vimopro GmbH
Telefon: +49 7721 69811 50
E-Mail: data.protection@liz.solutions
Mitarbeiter werden geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet.
Es gibt einen formalisierten Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener.
Datenschutzfolgeabschätzungen werden bei Bedarf durchgeführt. Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach. Es gib einen formalisierten Prozess für die Meldung von Datenschutzverstößen.
Incident-Response-Management
Fehlermeldungen werden zeitnah behoben. Zur Unterstützung bei der Betreuung und Fehlern sind SLAs mit externen Dienstleistern abgeschlossen.
Ein automatisches Monitoring findet statt und meldet Störungen automatisch und zeitnah an die Entwickler.
Datenschutzverletzungen werden zeitnah untersucht und fristgerecht gemeldet.
Ein Virenscanner wird eingesetzt. Systeme werden überwacht, so dass Störungen zeitnah bemerkt werden.
Datenschutzfreundliche Voreinstellungen
Bei den datenschutzfreundlichen Voreinstellungen, auch bekannt unter “Privacy by Default”, geht es um den Grundsatz, dass durch Voreinstellungen nur Daten, die für den jeweiligen bestimmten Verarbeitungszweck unbedingt erforderlich sind, verarbeitet werden.
So sollten die Voreinstellungen von Portalen mit Benutzerprofilen (z.B. Social Media) derart konfiguriert werden, dass bereits die datenschutzfreundlichste Konfiguration in den jeweiligen Einstellungen gewählt ist. Auch Checkboxen für datenschutzfreundliche Optionen sollten von Beginn an aktiviert sein.
Wir haben unser Produkt so entwickelt, dass die Erhobenen und gespeicherten personenbezogenen Daten auf ein Minimum reduziert werden. Der Kunde kann selbst über die Konfigurationsoberfläche alle seine Daten verwalten, ohne dass ein Eingriff unsererseits notwendig ist. In den Datenbanken ist keinerlei Personenbezug möglich, dies wird nur durch die Darstellung auf Applikationsebene durch die Echtzeit Datenabfrage aus dem Authentifizierungssystem möglich. In unserem System arbeiten wir nur mit eindeutigen IDs, die ohne die Anbindung des Authentifizierungssystems keiner Person oder Benutzern zugeordnet werden können. Die Löschung von Daten, bspw. Sensordaten, kann durch den Administrator des Kunden selbstständig konfiguriert werden.
Jeder Benutzer kann jederzeit den Zugriff auf das System selbstständig löschen und damit auch die Verbindung von sich selbst zu den Systemdaten komplett trennen.
Es werden grundsätzlich nicht mehr personenbezogene Daten erhoben als für den Betrieb der Anwendung notwendig. Bei Bedarf werden Informationen zur datenschutzkonformen Konfiguration für den Anwender bereitgestellt.
Anhang 4
Genehmigte Unterauftragsverarbeiter
| Unternehmen | Adresse/Land | Service | Maßnahmen bei Drittlandübermittlung |
| Okta Data Transfer Responsible in the Company: Auth0, LLC |
10800 NE 8th St, Suite 700 Bellevue, WA 98004 |
Authentifizierung | Es gibt einen Angemessenheitsbeschluss für die Übertragung in die USA (Data Privacy Framework). |
| Amazon AWS | Amazon Web Services EMEA SARL 38 Avenue John F. Kennedy, L-1855 Luxembourg |
Cloud-Infrastruktur, Monitoring-System und diverse Entwicklungsbibliotheken. | Es gibt einen Angemessenheitsbeschluss für die Übertragung in die USA (Data Privacy Framework). |
| Google Workspace | Google Ireland Limited Gordon House Barrow Street Dublin 4 Ireland |
Bereitstellung von Meetings zu Vertriebs- und Supportzwecken. Bereitstellung Support-Postfach. |
Es gibt einen Angemessenheitsbeschluss für die Übertragung in die USA (Data Privacy Framework). |
| Microsoft 365 |
Microsoft Corporation One Microsoft Way Redmond, WA 98052-6399 USA |
Bereitstellung von Meetings zu Vertriebs- und Supportzwecken. Bereitstellung Support-Postfach. | Es gibt einen Angemessenheitsbeschluss für die Übertragung in die USA (Data Privacy Framework). |
Hinweis: Wenn Sie bestimmte Synchronisationsservices verwenden, werden Daten von diesen entweder nicht personenbezogen übertragen oder in Echtzeit aus dem System abgefragt und nur in der Darstellung zusammengefügt. Daher gilt in diesen Bereichen der Hersteller / Anbieter nicht als unser Unterauftragsverarbeiter, sondern Sie benötigen ggf. einen eigenen Auftragsverarbeitungsvertrag mit diesen. Wir sind in diesen Fällen auch nicht der Anbieter des Drittsystems, sondern stellen nur die Möglichkeit zur Synchronisation aus Systemen, welche Sie im Einsatz haben, bereit.