Inhaltsverzeichnis

Fragen zu Sicherheit & Datenschutz

Ingo Updated von Ingo

Fragen zu Sicherheit & Datenschutz

Alle Daten in MATE werden auf Servern innerhalb der Europäischen Union und hier primär in Deutschland verarbeitet. Wir legen dabei höchsten Wert auf Datenschutz und Datensicherheit. Details dazu können Sie auch in unserer Auftragsverarbeitungsvereinbarung (AVV) und unseren technischen und organisatorische Maßnahmen (TOMs) als Anhang zu unseren AGB hier nachlesen.

Wo sind meine Daten gespeichert?

Ihre Daten werden in unseren sicheren Rechenzentren der IBM Deutschland GmbH in Frankfurt am Main (Deutschland) gespeichert.

Allgemeine Sicherheitsinformationen zur IBM Cloud

Die IBM Cloud bietet eine offene und sichere Public Cloud für Unternehmen an, mit umfangreichen Compliance- und Sicherheitszertifizierungen für den Schutz der Daten und Anwendungen von Kunden. Die IBM Cloud-Plattform basiert auf Secure-Engineering-Verfahren und bietet mehrstufige Sicherheitskontrollen in Netzwerk und Infrastruktur. Außerdem verpflichtet sich IBM zur Einhaltung europäischer, gesetzlicher Bestimmungen bezüglich des Schutzes der Daten und Anwendungen seiner Kunden.

Die Zertifizierungen umfassen unter anderem internationale Standards zu Datensicherheit (ISO 27001) und Datenschutz (ISO 27018 und 27701), ausführliche schriftliche Dokumentationen interner Kontrollmechanismen (SOC 1-3), spezifische Cloud Sicherheitszertifizierungen (CSA STAR) und natürlich DSGVO-Konformität. Nähere Informationen zu Compliance- und Sicherheitszertifizierungen erhalten Sie dazu in der Übersicht der IBM Cloud-Compliance-Programme.

Wie verhält sich IBM zum CLOUD Act?

Was besagt der CLOUD Act?

Er verpflichtet US IT Provider, unter bestimmten Umständen US Behörden Zugriff auf Kundendaten außerhalb der USA zu gewähren.

Was beinhaltet er nicht?

  • grundlegende Änderung der rechtlichen Situation aus Sicht der IBM Public Cloud
  • tatsächliche Lockerung der Auflagen für US-Behörden, bevor sie Zugriff bekommen

Richtlinien und Praxis in der IBM Public Cloud für solche Auskunftsbegehren beruhen darauf, dass Kundendaten dem Kunden gehören, und nur vom Kunden freigegeben werden, d.h.

Wie verhält sich IBM zu Privacy Shield

Was ist passiert?

Mit Urteil vom 16. Juli 2020 (Rechtssache C 311/18 – „Schrems II“) hat der EuGH diesen Durchführungsbeschluss zum Privacy Shield für unwirksam erklärt.

Was bedeutet das?

  • EU-US Privacy Shield ist nicht länger gültig für Datenexporte aus der EU in die USA
  • IBM Public Cloud verwendet Standardvertragsklauseln der EU (EUMCs)
  • EUMCs wurden durch Schrems-II explizit nicht entwertet
  • Data Exporter und Data Importer müssen dafür sorgen, dass die EUMCs gestützt werden durch„supplementary measures to ensure an essentially equivalent level of protection”.

Ergänzende Maßnahmen (supplementary measures):

Weitere umfangreiche Informationen zur Verpflichtung zum Schutz der internationalen Datenübermittlung durch IBM, können Sie hier nachlesen.

Welche Sicherheitsmaßnahmen trifft MATE?

Die technischen und organisatorischen Maßnahmen zum Schutz Ihrer Daten können Sie hier im Annex 2 unseres AV-Vertrages nachlesen. Weiterhin gewährleisten wir den Schutz Ihrer Daten auf in der IBM Cloud unter anderem durch Folgendes:

  • Die Nutzung umfangreicher Sicherheitsmöglichkeiten der IBM Cloud, um die Verschlüsselung der Daten zu gewährleisten. Dies geschieht sowohl beim Transport per SSL/TLS 1.2 als auch in Ruhe bei der Speicherung. Die Daten werden beispielsweise für unsere PostgreSQL Datenbank sowohl im Transport als auch in Ruhe mit LUKS unter Verwendung von AES-256 verschlüsselt.
  • Die Nutzung der IBM Option, dass Support nur innerhalb der EU durchgeführt oder überwacht wird.
  • Eine umfassendes System- und Anwendungsprotokollierung mit dem IBM Service LogDNA, wobei Logdaten nicht länger als 30 Tage vorgehalten werden.
  • Ein detailliertest Monitoring zum Status von Services und Anwendungen mit dem IBM Service Sysdig.
  • Die Verwendung von IBM Cloud Activity Tracker mit LogDNA, um Einblicke in Aktionen zu erhalten, mit denen der Status eines Service in IBM Cloud geändert wird.  Dieser Service wird verwendet, um nach anormaler Aktivität und kritischen Aktionen zu suchen und um regulatorische Auditvorschriften zu erfüllen.
  • Key Management per IBM Key Protect. Dadurch können wir Verschlüsselungen mit einem eigenen Schlüssel (Bring Your Own Key - BYOK) umsetzen und für die integrierten IBM Services verwenden.
  • Verschlüsselte Backups die automatisiert täglich erstellt werden und nicht länger als 30 Tage vorgehalten werden, dies geschieht beispielsweise für unsere PostgreSQL Datenbank.

Sind meine Daten gesichert, sollte ein Notfall eintreten?

Alle Daten werden auf sehr sicheren und hochverfügbaren Servern der IBM Cloud gehostet. Die Daten werden täglich verschlüsselt gesichert und redundant und verteilt gespeichert. Im Falle eines unvorhergesehenen Events und bei systemweiten Notfällen, kann von uns eine vollständige Backup-Wiederherstellung durchgeführt werden.

Wo werden meine E-Mails versendet?

Die E-Mails in MATE werden über unseren E-Mail Providers Mailjet mit den sicheren Rechenzentren der Google Cloud Platform in Frankfurt am Main (Deutschland) und Saint-Ghislain (Belgien) versendet.

Allgemeine Sicherheitsinformationen des Anbieters Mailjet

Mailjet ist ISO 27001 zertifiziert und DSGVO-konform.

Nähere Informationen zum Thema Sicherheit & Datenschutz von Mailjet erhalten Sie hier.

Nähere Informationen zur Verarbeitung von Daten (AVV) durch Mailjet erhalten Sie hier.

Ist MATE DSGVO-kompatibel?

Ja, MATE erfüllt alle Anforderungen der EU-Datenschutz-Grundverordnung und ist als Organisation sowie als Software datenschutzkonform gemäß EU-DSGVO. Dazu haben wir im Rahmen der Vorbereitungen auf die EU-DSGVO unser Produkt auf die wesentlichen gesetzlichen Anforderungen überprüft und entsprechende Anpassungen vorgenommen, wie Sie hier nachlesen können.

Wurde ein Datenschutzbeauftragter benannt?

Ja, bei der Beratung in Datenschutzfragen sowie Unterstützung als betrieblicher Datenschutzbeauftragter setzen wir auf die Proliance GmbH / www.datenschutzexperte.de:

Proliance GmbH, Leopoldstr. 21, 80802 München.

Mehr zum offiziellen Datenschutz Siegel von Datenschutzexperte.de finden Sie hier.

Datenschutzsiegel

Sofern Sie Fragen zum Thema Datenschutz bei MATE haben, wenden Sie sich bitte an privacy@mateforevents.com.

Wie kann ich sicherstellen, dass meine Datenschutzrechte gewährleistet sind?

Wir verfügen über Prozesse zur Sicherstellung Ihres Rechts auf Löschen, Berichtigung, Übertragbarkeit, Auskunft und Vergessenwerden oder Einschränkung. Details dazu finden Sie auch hier in unserem Datenschutzkonzept.

Findet in MATE Tracking statt?

Generell gilt bei MATE der Grundsatz der Datenvermeidung und der Datensparsamkeit. Es wird also versucht nur die nötigen Daten zu sammeln. Beim Thema Tracking unterscheiden wir zwischen Gästen (Teilnehmern) Ihrer Veranstaltung und den MATE Nutzern der MATE Anwendung.

Gäste und Webseiten

Beim Aufruf der Standard-Registrierungsseite durch einen Gast (dem Teilnehmer einer Veranstaltung) werden keine Cookies verwendet und es werden auch keine Daten für weitere Zwecke getrackt (z.B. Marketing). Auf den Webseiten verwendet MATE kein Google Analytics oder ähnliche Webtracker.

Jedoch können durch den MATE Nutzer eigene Webtracker eingebunden werden, z.B. über JavaScript. Weiterhin besteht die Möglichkeit Google Maps oder andere Drittdienste (z.B. YouTube bei der Einbettung eines Videos) freiwillig einzubinden. Für die Nutzung dieser Dienste muss eine IP-Adresse übermittelt werden. Was mit dieser IP-Adresse geschieht, liegt dann wiederum in der Verantwortung des Drittdienstleisters (Google, YouTube etc.).

Auch werden beispielsweise bei der Einbindung von YouTube Videos Tracking Cookies durch den Dienst genutzt. Ob Cookies auf der Webseite vorhanden sind kann z.B. mit diesem Dienst geprüft werden: https://www.cookiemetrix.com/ 

Gäste und E-Mails

Bei den E-Mails findet standardmäßig kein Tracking statt. Nur die Bounceraten (fehlerhafte Sendungen) sowie die korrekte Übermittlung der E-Mails wird gespeichert. Optional kann der MATE Nutzer auch die Öffnungsraten der E-Mails tracken. Dies geschieht mit Hilfe eines unsichtbaren Tracking Pixels das durch unseren E-Mail Anbieter Mailjet eingesetzt wird. Diese Option kann allerdings vom MATE Nutzer frei aktiviert oder deaktiviert werden. Standardmäßig ist diese Funktion deaktiviert und muss aktiviert werden. MATE wertet diese Daten nicht weiter aus.

MATE Nutzer

Wir analysieren bei unseren Kunden, den Nutzern der MATE Anwendung (MATE Webanwendung und MATE Gästeliste iOS App), mit Hilfe von Google Analytics, Fehlerreporting und Support Tools, anonymisiert das Nutzungsverhalten um Ihnen eine optimale Softwareerfahrung zu bieten und diese kontinuierlich weiter zu verbessern. Dies betrifft lediglich die Nutzer des MATE Systems, die sich in unsere Software einloggen. Dabei werden neben Session Cookies zur technischen Funktionalität der Seite auch Tracking Cookies verwendet. Näheres dazu finden Sie in unseren Datenschutzbestimmungen.

Wie haben wir uns geschlagen?

Warum muss ich mein Impressum und meine Datenschutzerklärung auf den E-Mails und Webseiten von MATE einbinden?

Wie wird bei MATE die DSGVO-Konformität sichergestellt?

Kontakt