Datenschutz und Datensicherheit

Bei allen Fragen zum Datenschutz arbeiten wir mit den Experten von Dataguard zusammen - einem der führenden Anbieter im Bereich DSGVO-Compliance.

Unser Datenschutzbeauftragter ist somit:
DataCo GmbH
Dachauer Straße 65
80335 München
Deutschland
+49 89 7400 45840

www.dataguard.de

Datenschutzschulungen sind Teil des obligatorischen Onboarding-Prozesses von Zavvy.
Alle Mitarbeiter von Zavvy sind zur Verschwiegenheit bzw. zur Einhaltung des Datenschutzes verpflichtet und werden auf die Konsequenzen bei Verstößen hingewiesen.

Darüber hinaus führt das Unternehmen regelmäßig Schulungen und Sensibilisierungsmaßnahmen zum Umgang mit personenbezogenen Daten, der GDPR und rechtlichen Neuerungen durch. 

Ja, sowohl unsere Kunden als Verantwortlicher als auch wir als Auftragsverarbeiter sind verpflichtet, einen entsprechenden Vertrag gemäß Art. 28 EU-DSGVO.

Der Abschluss des Vertrages durch beide Parteien ist zwingende Voraussetzung für die Nutzung unserer Software. Unsere Vorlage senden wir Ihnen auf Anfrage gerne zu.

Im Falle einer unerwarteten Datenverletzung, bei der die von den Kunden der Website gesammelten personenbezogenen Daten gefährdet sind und die Rechte und Freiheiten der Mitarbeiter des Kunden gefährdet sein könnten, wird Zavvy ein vom Datenschutzbeauftragten Dataguard festgelegtes Verfahren einhalten.

Dies beinhaltet die unverzügliche Benachrichtigung des Kunden über die vertraglichen Verpflichtungen, damit dieser seinen gesetzlichen Verpflichtungen zur Benachrichtigung der Aufsichtsbehörden und der betroffenen Personen nachkommen kann.

Als europäisches Unternehmen sind Datenschutz und die Einhaltung der GDPR zentraler Bestandteil unserer Produktstrategie.

Deshalb achten wir bereits bei der Entwicklung unserer Features auf Grundsätze wie Datensparsamkeit und den Einsatz modernster Maßnahmen zur Sicherstellung eines angemessenen Schutzniveaus.

Darüber hinaus bieten wir unseren Kunden die Möglichkeit, individuelle Berichtsformate zu erstellen, die ihren Bedürfnissen hinsichtlich der Anonymisierung einzelner Komponenten entsprechen.

Um dies dauerhaft sicherzustellen, haben wir zudem einen Prozess definiert, der die gesetzlichen Anforderungen kontinuierlich in den Produktentwicklungsprozess einbezieht und die Anwendung in regelmäßigen Abständen überprüft.

Zavvy erfüllt die Anforderungen der EU-Datenschutz-Grundverordnung und ist sowohl als Organisation als auch als Software datenschutzkonform gemäß EU-DSGVO.

Dazu haben wir unser Produkt von Anfang an auf die wesentlichen rechtlichen Anforderungen wie den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 EU-DSGVO) oder auch die Unterstützung des Kunden bei der Wahrung von Betroffenenrechten wie dem Recht auf Löschung, dem Recht auf Auskunft oder dem Recht auf Datenübertragbarkeit (Kapitel 3 EU-DSGVO) geprüft und entsprechende Anpassungen vorgenommen.

Ja - Für die gesamte Kommunikation zwischen Nutzern und unseren Servern wird HTTPS mit SSL-Zertifikaten durchgesetzt, die alle 3 Monate erneuert werden.

SSL (Secure Sockets Layer) ist die Standardsicherheitstechnologie zum Aufbau einer verschlüsselten Verbindung zwischen einem Webserver und einem Browser.

Diese Verbindung gewährleistet, dass alle zwischen dem Webserver und dem Browser übertragenen Daten vertraulich und unveränderlich bleiben. SSL ist ein Industriestandard und wird von Millionen von Websites verwendet, um die Online-Transaktionen ihrer Kunden zu schützen.

Für das Hosting der Software greift Zavvy auf die Dienste von Amazon Web Services (AWS) in Frankfurt (https://aws.amazon.com/de/compliance/gdpr-center/) zurück.

Die genutzten Rechenzentren sind nach ISO/IEC 27001 zertifiziert und erfüllen damit unsere hohen Anforderungen an die physische Sicherheit der Daten unserer Kunden.

Bei der Auswahl von externen Dienstleistern, die für den Betrieb der Software notwendig sind (z.B. Mailversand), ist das Hosting der Daten innerhalb der EU ein zwingendes Grundkriterium.

Die Vergabe der Zugriffsrechte wird protokolliert und basiert auf dem "Need-to-know"-Prinzip.

Auf der Zavvy-Seite haben nur unser Engineering-Team (Serverseite) sowie unsere Produktmanager und die Mitarbeiter des Customer Success bzw. Learning Experience Teams (Kundensystemseite) ad hoc Zugriff.

Dies ist notwendig, um die Ersteinrichtung des Accounts und die Bearbeitung von Serviceanfragen zu unterstützen.

Der Zugang erfolgt ausschließlich über personalisierte Benutzerkonten, die einer Person eindeutig zugewiesen sind. Die Anmeldung erfolgt mit einem Benutzernamen und einem Passwort, das bei der Erstanmeldung entsprechend der in der Anwendung implementierten sicheren Passwortpolitik festgelegt werden muss.
‍
Die Mindestanforderungen an ein Passwort sind:
‍
- Mindestens 8 Zeichen lang
- Mindestens 1 Zahl oder Sonderzeichen
- Mindestens 1 Kleinbuchstabe
- Mindestens 1 Großbuchstabe

Grundsätzlich sind die Zugriffsrechte so gestaltet, dass die Anforderungen des Art. 24 EU-DSGVO für datenschutzfreundliche Voreinstellungen erfüllt sind.

Das bedeutet, dass neu angelegte Mitarbeiter "standardmäßig" keine Rechte haben, die über die Bearbeitung des eigenen Profils hinausgehen.

Sie als Kunde haben jedoch die Möglichkeit, Rechte individuell auf Basis Ihres eigenen Berechtigungskonzeptes zu vergeben.

Der Kunde ist "Herr der Daten" sowohl im Vertragsverhältnis als auch im datenschutzrechtlichen Sinne. Er ist alleiniger Verfügungsberechtigter über alle von ihm verwendeten Daten (eingegebene Daten, verarbeitete Daten, gespeicherte Daten, ausgegebene Daten).

Dies bedeutet insbesondere auch, dass der Kunde für die Wahrung der Rechte der Betroffenen verantwortlich ist (Kapitel 3 EU-DSGVO).Zavvy ist Auftragsverarbeiter und verarbeitet Ihre Daten daher ausschließlich auf Ihre Weisung und zu den im Vertrag zur Auftragsverarbeitung geregelten Zwecken.

Dies bedeutet insbesondere, dass Zavvy unter keinen Umständen Daten an Dritte verkauft oder weitergibt, ausgenommen die im Vertrag zur Auftragsverarbeitung mit unseren Kunden geregelte Weitergabe von Daten an Subunternehmer. Darüber hinaus behält sich Zavvy das Recht vor, vollständig anonymisierte Daten zu verwenden, z.B. zu Testzwecken oder zur Weiterentwicklung des Produktes.

Eine solche Anonymisierung erfolgt ausschließlich im Rahmen der gesetzlichen Bestimmungen und berücksichtigt den Stand der Technik sowie die Empfehlungen der Artikel 29-Datenschutzgruppe und des Europäischen Datenschutzausschusses. Anonymisierte Daten bedeuten, dass keine Rückschlüsse auf Zavvy oder Unternehmen gezogen werden können.

Für unsere Kunden besteht somit kein Risiko. Zavvy legt besonderen Wert auf den Schutz der Privatsphäre des Kunden.

Gemeinsam mit unserem Datenschutzbeauftragten Dataguard haben wir daher technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung getroffen, die wir kontinuierlich weiterentwickeln. Zavvy erfüllt alle Anforderungen der EU-Datenschutzgrundverordnung und ist sowohl als Organisation als auch als Software datenschutzkonform gemäß EU-DSGVO.

Bei Beendigung der Geschäftsbeziehung können die Bevollmächtigten des Kunden die Herausgabe der Daten verlangen, woraufhin die Daten nach Ablauf der vertraglich festgelegten Frist unwiederbringlich gelöscht werden.

Grundsätzlich gilt für den unwahrscheinlichen Fall, dass Zavvy den Geschäftsbetrieb einstellt, keine Abweichung hiervon, da der Kunde "Herr der Daten" ist und Zavvy lediglich Verarbeiter ist und somit nicht anderweitig über die personenbezogenen Daten verfügen kann/wird.

Wir erstellen täglich Backups unserer Datenbank und speichern sie sicher in unserer AWS-Cloud-Infrastruktur. Wenn eine Wiederherstellung aus einer Sicherung erforderlich ist, können unsere leitenden Ingenieure darauf zugreifen.

Wir führen regelmäßig Audits unserer Organisation und unserer Produkte auf der Grundlage der gesetzlichen Anforderungen des Datenschutzes durch. Die Ergebnisse dieser Audits nehmen wir zum Anlass, Maßnahmen zur Weiterentwicklung unserer Dokumentation, Prozesse, Strukturen oder Funktionalitäten sowie technische und organisatorische Maßnahmen zu ergreifen.