Inhaltsverzeichnis

Fragen zu Sicherheit & Datenschutz

Sven Frauen Updated von Sven Frauen

Fragen zu Sicherheit & Datenschutz

Alle Daten in Sweap werden auf Servern innerhalb der Europäischen Union und hier primär in Deutschland verarbeitet. Wir legen dabei höchsten Wert auf Datenschutz und Datensicherheit. Details dazu kannst du auch in unserer Auftragsverarbeitungsvereinbarung (AVV) und unseren technischen und organisatorische Maßnahmen (TOMs) als Anhang zu unseren AGB hier nachlesen.

Wo sind meine Daten gespeichert?

Deine Daten werden in unseren sicheren Rechenzentren der IBM Deutschland GmbH in Frankfurt am Main (Deutschland) gespeichert.

Allgemeine Sicherheitsinformationen zur IBM Cloud

Die IBM Cloud bietet eine offene und sichere Public Cloud für Unternehmen an, mit umfangreichen Compliance- und Sicherheitszertifizierungen für den Schutz der Daten und Anwendungen von Kunden. Die IBM Cloud-Plattform basiert auf Secure-Engineering-Verfahren und bietet mehrstufige Sicherheitskontrollen in Netzwerk und Infrastruktur. Außerdem verpflichtet sich IBM zur Einhaltung europäischer, gesetzlicher Bestimmungen bezüglich des Schutzes der Daten und Anwendungen seiner Kunden.

Die Zertifizierungen umfassen unter anderem internationale Standards zu Datensicherheit (ISO 27001) und Datenschutz (ISO 27018 und 27701), ausführliche schriftliche Dokumentationen interner Kontrollmechanismen (SOC 1-3), spezifische Cloud Sicherheitszertifizierungen (CSA STAR) und natürlich DSGVO-Konformität. Nähere Informationen zu Compliance- und Sicherheitszertifizierungen erhältst du dazu in der Übersicht der IBM Cloud-Compliance-Programme.

Wie verhält sich IBM zum CLOUD Act?

Was besagt der CLOUD Act?

Er verpflichtet US IT Provider, unter bestimmten Umständen US Behörden Zugriff auf Kundendaten außerhalb der USA zu gewähren.

Was beinhaltet er nicht?

  • grundlegende Änderung der rechtlichen Situation aus Sicht der IBM Public Cloud
  • tatsächliche Lockerung der Auflagen für US-Behörden, bevor sie Zugriff bekommen

Richtlinien und Praxis in der IBM Public Cloud für solche Auskunftsbegehren beruhen darauf, dass Kundendaten dem Kunden gehören, und nur vom Kunden freigegeben werden, d.h.

Wie verhält sich IBM zu Privacy Shield

Was ist passiert?

Mit Urteil vom 16. Juli 2020 (Rechtssache C 311/18 – „Schrems II“) hat der EuGH diesen Durchführungsbeschluss zum Privacy Shield für unwirksam erklärt.

Was bedeutet das?

  • EU-US Privacy Shield ist nicht länger gültig für Datenexporte aus der EU in die USA
  • IBM Public Cloud verwendet Standardvertragsklauseln der EU (EUMCs)
  • EUMCs wurden durch Schrems-II explizit nicht entwertet
  • Data Exporter und Data Importer müssen dafür sorgen, dass die EUMCs gestützt werden durch „supplementary measures to ensure an essentially equivalent level of protection”.

Ergänzende Maßnahmen (supplementary measures):

Weitere umfangreiche Informationen zur Verpflichtung zum Schutz der internationalen Datenübermittlung durch IBM, kannst du hier nachlesen.

Welche Sicherheitsmaßnahmen trifft Sweap?

Die technischen und organisatorischen Maßnahmen zum Schutz deiner Daten kannst du hier im Annex 2 unseres AV-Vertrages nachlesen. Weiterhin gewährleisten wir den Schutz deiner Daten auf in der IBM Cloud unter anderem durch Folgendes:

  • Die Nutzung umfangreicher Sicherheitsmöglichkeiten der IBM Cloud, um die Verschlüsselung der Daten zu gewährleisten. Dies geschieht sowohl beim Transport per SSL/TLS 1.2 als auch in Ruhe bei der Speicherung. Die Daten werden beispielsweise für unsere PostgreSQL Datenbank sowohl im Transport als auch in Ruhe mit LUKS unter Verwendung von AES-256 verschlüsselt.
  • Die Nutzung der IBM Option, dass Support nur innerhalb der EU durchgeführt oder überwacht wird.
  • Eine umfassendes System- und Anwendungsprotokollierung mit dem Service IBM Log Analysis, wobei Logdaten nicht länger als 30 Tage vorgehalten werden.
  • Ein detailliertest Monitoring zum Status von Services und Anwendungen mit dem Service IBM Cloud Monitoring.
  • Die Verwendung von IBM Cloud Activity Tracker, um Einblicke in Aktionen zu erhalten, mit denen der Status eines Service in IBM Cloud geändert wird.  Dieser Service wird verwendet, um nach anormaler Aktivität und kritischen Aktionen zu suchen und um regulatorische Auditvorschriften zu erfüllen.
  • Key Management per IBM Key Protect. Dadurch können wir Verschlüsselungen mit einem eigenen Schlüssel (Bring Your Own Key - BYOK) umsetzen und für die integrierten IBM Services verwenden.
  • Verschlüsselte Backups die automatisiert täglich erstellt werden und nicht länger als 30 Tage vorgehalten werden, dies geschieht beispielsweise für unsere PostgreSQL Datenbank.

Sind meine Daten gesichert, sollte ein Notfall eintreten?

Alle Daten werden auf sehr sicheren und hochverfügbaren Servern der IBM Cloud gehostet. Die Daten werden täglich verschlüsselt gesichert und redundant und verteilt gespeichert. Im Falle eines unvorhergesehenen Events und bei systemweiten Notfällen, kann von uns eine vollständige Backup-Wiederherstellung durchgeführt werden.

Wo werden meine E-Mails versendet?

Die E-Mails in Sweap werden über unseren E-Mail Providers Mailjet mit den sicheren Rechenzentren der Google Cloud Platform in Frankfurt am Main (Deutschland) und Saint-Ghislain (Belgien) versendet.

Allgemeine Sicherheitsinformationen des Anbieters Mailjet

Mailjet ist ISO 27001 zertifiziert und DSGVO-konform. EU-Kundendaten werden ausschließlich auf EU-Servern gespeichert. Alle Daten unterliegen SCCs (Standardvertragsklauseln) und sind verschlüsselt. Der Zugriff auf die Daten außerhalb der EU ist sehr begrenzt, und die Daten sind minimiert, verschlüsselt und SCC-konform.

Nähere Informationen zum Thema Sicherheit & Datenschutz von Mailjet erhältst du hier.

Nähere Informationen zur Verarbeitung von Daten (AVV) durch Mailjet erhälst du hier.

Ist Sweap DSGVO-kompatibel?

Ja, Sweap erfüllt alle Anforderungen der EU-Datenschutz-Grundverordnung und ist als Organisation sowie als Software datenschutzkonform gemäß EU-DSGVO. Dazu haben wir im Rahmen der Vorbereitungen auf die EU-DSGVO unser Produkt auf die wesentlichen gesetzlichen Anforderungen überprüft und entsprechende Anpassungen vorgenommen, wie du hier nachlesen können.

Wurde ein Datenschutzbeauftragter benannt?

Ja, bei der Beratung in Datenschutzfragen sowie Unterstützung als betrieblicher Datenschutzbeauftragter setzen wir auf die Proliance GmbH / www.datenschutzexperte.de:

Proliance GmbH, Leopoldstr. 21, 80802 München.

Mehr zum offiziellen Datenschutz Siegel von Datenschutzexperte.de findest du hier.

Datenschutzsiegel

Sofern du Fragen zum Thema Datenschutz bei Sweap hast, wende dich bitte an privacy@sweap.io.

Wie kann ich sicherstellen, dass meine Datenschutzrechte gewährleistet sind?

Wir verfügen über Prozesse zur Sicherstellung deines Rechts auf Löschen, Berichtigung, Übertragbarkeit, Auskunft und Vergessenwerden oder Einschränkung. Details dazu findest du auch hier in unserem Datenschutzkonzept.

Findet in Sweap Tracking statt?

Generell gilt bei Sweap der Grundsatz der Datenvermeidung und der Datensparsamkeit. Es wird also versucht nur die nötigen Daten zu sammeln. Beim Thema Tracking unterscheiden wir zwischen Gästen (Teilnehmern) deiner Veranstaltung und den Usern der Sweap Anwendung.

Gäste und Webseiten

Beim Aufruf der Standard-Registrierungsseite durch einen Gast (dem Teilnehmer einer Veranstaltung) werden keine Tracking Cookies verwendet und es werden auch keine Daten für weitere Zwecke getrackt (z.B. Marketing). Auf den Webseiten verwendet Sweap kein Google Analytics oder ähnliche Webtracker.

Es wird lediglich ein technisch zwingend notwendiges essentielles Cookie gesetzt, für welches keine Cookie Einwilligung benötigt wird. Hierbei handelt es sich um das Cookie mit dem Namen INGRESSCOOKIE:

Name

INGRESSCOOKIE

Zweck

Registriert, welcher Server-Cluster den Besucher bedient. Dies wird im Zusammenhang mit dem Lastenausgleich benötigt, um die Benutzererfahrung zu optimieren.

Cookie Laufzeit

Nur temporär für die Sitzung (Session)

Jedoch können durch den Sweap User eigene Webtracker eingebunden werden, z.B. über JavaScript. Weiterhin besteht die Möglichkeit Google Maps oder andere Drittdienste (z.B. YouTube bei der Einbettung eines Videos) freiwillig einzubinden. Für die Nutzung dieser Dienste muss eine IP-Adresse übermittelt werden. Was mit dieser IP-Adresse geschieht, liegt dann wiederum in der Verantwortung des Drittdienstleisters (Google, YouTube etc.).

Auch werden beispielsweise bei der Einbindung von YouTube Videos Tracking Cookies durch den Dienst genutzt. Ob Cookies auf der Webseite vorhanden sind kann z.B. mit diesem Dienst geprüft werden: https://www.cookiemetrix.com/ 

Gäste und E-Mails

Bei den E-Mails findet standardmäßig kein Tracking statt. Nur die Bounceraten (fehlerhafte Sendungen) sowie die korrekte Übermittlung der E-Mails wird gespeichert. Optional kann der Sweap User auch die Öffnungsraten der E-Mails tracken. Dies geschieht mit Hilfe eines unsichtbaren Tracking Pixels das durch unseren E-Mail Anbieter Mailjet eingesetzt wird. Diese Option kann allerdings vom Sweap User frei aktiviert oder deaktiviert werden. Standardmäßig ist diese Funktion deaktiviert und muss aktiviert werden. Sweap wertet diese Daten nicht weiter aus.

Sweap User

Wir analysieren bei unseren Kunden, den Usern der Sweap Anwendung (Sweap Webanwendung und Sweap Gästeliste iOS App), mit Hilfe von Microsoft Clarity, Fehlerreporting und Support Tools, anonymisiert das Nutzungsverhalten um eine optimale Softwareerfahrung zu bieten und diese kontinuierlich weiter zu verbessern. Dies betrifft lediglich die User des Sweap Systems, die sich in unsere Software einloggen. Dabei werden neben Session Cookies zur technischen Funktionalität der Seite auch Tracking Cookies verwendet. Näheres dazu findest du in unseren Datenschutzbestimmungen.

Wie haben wir uns geschlagen?

Datenschutz und DSGVO bei Sweap

Sweap AI - Fragen zu Sicherheit & Datenschutz

Kontakt