Datensicherheit & Serverstandort

Alle Daten innerhalb von CaseWorx Baurecht werden in deutschen Rechenzentren der Amazon Cloud (AWS) nach ISO/IEC 27001:2013 gespeichert. ISO/IEC 27001:2013 ist ein Sicherheitsstandard, der bewährte Sicherheitsmanagementverfahren und umfassende Sicherheitskontrollen gemäß den in ISO/IEC 27002 festgelegten Leitlinien für bewährte Methoden festlegt.

 

Diese Zertifizierung basiert auf der Entwicklung und Implementierung eines strengen Sicherheitsprogramms. Hierzu zählt auch die Entwicklung und Implementierung eines Informationssicherheits-Managementsystems (ISMS), das festlegt, wie AWS die Sicherheit kontinuierlich auf ganzheitliche und umfassende Weise verwaltet. Dieser weithin anerkannte internationale Sicherheitsstandard legt fest, dass AWS Folgendes erfüllt:

 

  • Wir bewerten unsere IT-Sicherheitsrisiken systematisch unter Berücksichtigung der Auswirkungen von Bedrohungen und Schwachstellen.
  • Wir entwerfen eine umfassende Palette von IT-Sicherheitskontrollen und anderen Formen des Risikomanagements zum Bewältigen von Sicherheitsrisiken für Unternehmen und Architektur und setzen diese um.
  • Wir führen einen allumfassenden Managementprozess ein, um zu gewährleisten, dass die IT-Sicherheitskontrollen unsere IT-Sicherheitsvorgaben durchgängig erfüllen.

Verschlüsselung

Sämtliche durch den Nutzer hochgeladenen Daten werden unabhängig von den Login Daten gespeichert und verschlüsselt. Alle Server, auf denen Daten gespeichert werden, sind in einer Virtual Private Cloud verbunden und von den Servern getrennt, auf denen die Web-Applikation ausgeführt wird. Alle Dokumente, die von Nutzern im System hochgeladen werden, werden verschlüsselt gespeichert.

 

Die Verschlüsselung der Dokumente erfolgt Nutzer-spezifisch. Hierzu wird die Verschlüsselung mit dem Account des Nutzers verbunden, eine Entschlüsselung ist nur möglich, wenn der Nutzer sich im System angemeldet und einen Verarbeitungsschritt gestartet hat. Alle Zusatzinformationen, die zu den Dokumenten im System erstellt werden, werden ebenfalls verschlüsselt gespeichert.

 

Daten werden immer nur dann entschlüsselt, wenn sie für die Verarbeitung benötigt werden. In dieser Zeit werden sie im Arbeitsspeicher vorgehalten und nicht anderweitig abgespeichert. Verarbeitungsschritte sind: 

 

  • die OCR-Erfassung von Text in Dokumenten
  • die automatische Analyse und Anreicherung von Dokumenten
  • die Übertragung der Informationen beim Aufruf des Produkts durch den Nutzer

Die Übertragung von Daten zum Rechner des Nutzers erfolgt ausschließlich über eine Transportverschlüsselung. 

ISO 27001 und ISO 9001 zertifiziertes Entwicklungsteam

Unser Entwicklungsteam ist nach ISO 9001 und ISO 27001 zertifiziert. Dies bescheinigt neben einer Zertifizierten Qualitätssicherung ebenfalls einen sorgsamen und sicheren Umgang mit den Daten unserer Kunden.

Erfassung von Nutzungsdaten 

Von CaseWorx Baurecht werden im Rahmen der Nutzung folgende anonymisierte Daten erhoben:

 

  • Nutzung von Funktionen in der Software (z.B. wie oft wurde der Filter für Dokumenttypen genutzt, welcher Filter wurde anschließend genutzt) 
  • Dauer der Nutzung der Software 
  • Dauer der Nutzung einzelner Seiten in der Software 
  • Fehlerereignisse (dabei werden keine Informationen über einzelne Dokumente oder Zusatzinformationen dieser Dokumente geloggt)
  • Hochgeladene Dateitypen und Dateigrößen
  • Verwendeter Browser

 

Bei der Erfassung dieser Informationen werden keine Daten über hochgeladene Dokumente oder Zusatzinformationen dieser Dokumente erhoben. Weiterhin ist Wolters Kluwer zu keinem Zeitpunkt in der Lage die Inhalte der Dokumente einzusehen.

 

Privacy by Design & Privacy by Default

Um entsprechenden Vorgaben laut Art. 25 ABS.1 der EU-DSGVO nachzukommen setzen wir bereits bei der Entwicklung von CaseWorx Baurecht auf die Grundsätze Privacy By Design & Privacy by Default.


Das bedeutet im konkreten Fall, dass folgende Maßnahmen getroffen werden um die Grundsätze nach Privacy by Design zu erfüllen:

 

  • Durchführung regelmäßiger Code Analysen
  • Betrieb und Entwicklung unserer Applikation erfolgen von getrennten Teams
  • Datenschutzrelevante Daten werden 256 Bit AES verschlüsselt

Wir nehmen die datenschutzfreundliche Entwicklung unserer Software sehr ernst und verarbeiten nur die Daten die wir zwingend für den Betrieb der Software benötigen. Dazu achten wir auf:

 

  • Sehr enge Einstellung der Löschfristen
  • Eng konfiguriertes Rollenkonzept
  • Keine Massenexportfunktionen

Auftragsverarbeitungsvereinbarung

Die Verarbeitung personenbezogener Daten erfolgt auf der Grundlage einer Auftragsverarbeitungsvereinbarung, die den Anforderungen des Art 28 DSGVO entspricht und von Wolters Kluwer zur Verfügung gestellt wird.