regrooter

Sicherheit

Auftragsverarbeitung

Je nach Art der Zusammenarbeit kann die regrooter GmbH sowohl Verantwortlicher als auch Auftragsverarbeiter im Sinne von Art. 4 Nr. 7 und Nr. 8 DSGVO sein.

Ist regrooter selbst Vertragspartner des Kunden und erfolgt die Verarbeitung personenbezogener Daten unmittelbar im Rahmen dieses Vertragsverhältnisses, so handelt regrooter als Verantwortlicher im Sinne der DSGVO.

In der Regel besteht jedoch aufgrund der Art unserer Dienstleistungen keine unmittelbare Beziehung zwischen regrooter und den betroffenen Personen. In diesen Fällen verarbeitet regrooter personenbezogene Daten ausschließlich im Auftrag und nach den dokumentierten Weisungen des jeweiligen Kunden, der als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO gilt.

Wenn Sie also Arbeitnehmer eines Kunden sind und unsere Plattform nutzen, verarbeitet regrooter Ihre personenbezogenen Daten ausschließlich als Auftragsverarbeiter. Die Zwecke und Mittel der Datenverarbeitung werden allein durch den jeweiligen Kunden festgelegt, der die Plattform nutzt und die entsprechenden Funktionen konfiguriert.

Hinsichtlich der Datenverarbeitung im Zusammenhang mit der Nutzung unserer Website (z. B. Einsatz von Cookies oder anderen Technologien zur Analyse und Verbesserung unserer Inhalte) handelt regrooter als Verantwortlicher im Sinne der DSGVO.

Datenschutzbeauftragter

Die regrooter GmbH hat einen Datenschutzbeauftragten gemäß Art. 37 DSGVO bestellt. Seine Kontaktdaten lauten:

Frank Wienecke
regrooter GmbH
Dr.-Hermann-Neubauer-Ring 42
63500 Seligenstadt
📧 [email protected]

Richtlinie zum Umgang mit Datenschutzverletzungen

Stellt die regrooter GmbH eine Verletzung des Schutzes personenbezogener Daten („Sicherheitsvorfall") fest, wird unverzüglich ein internes Verfahren zur Untersuchung und Bewertung des Vorfalls eingeleitet. Dieses Verfahren umfasst insbesondere die Feststellung und Dokumentation folgender Punkte:

  • Art und Umfang der Datenschutzverletzung,
  • betroffene Kategorien personenbezogener Daten,
  • voraussichtliche Anzahl der betroffenen Personen,
  • voraussichtliche Anzahl der betroffenen Datensätze sowie
  • mögliche Folgen und Auswirkungen der Datenschutzverletzung.

Parallel zur Analyse werden durch regrooter alle erforderlichen Sofortmaßnahmen getroffen, um die Auswirkungen der Verletzung einzudämmen, den Schaden zu begrenzen und eine Wiederholung zu verhindern. Der Vorfall wird vollständig dokumentiert, um eine lückenlose Nachverfolgbarkeit und Nachweisführung innerhalb des Unternehmens zu gewährleisten.

Nach Abschluss der ersten Bewertung prüft regrooter, ob gemäß Art. 33 DSGVO eine Meldepflicht gegenüber der zuständigen Datenschutzaufsichtsbehörde besteht. Dabei wird insbesondere bewertet, ob die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen begründet.

Ferner wird regrooter im Einklang mit Art. 34 DSGVO prüfen, ob die betroffenen Personen über den Vorfall zu informieren sind, sofern ein hohes Risiko für deren Rechte und Freiheiten besteht.

In jedem Fall informiert regrooter seine Kunden innerhalb von 48 Stunden nach Bekanntwerden des Sicherheitsvorfalls über die Datenschutzverletzung. Diese Mitteilung enthält insbesondere folgende Informationen:

  • bereits ergriffene oder geplante Maßnahmen zur Eindämmung und Risikominderung,
  • technische und organisatorische Verbesserungen zur Vermeidung künftiger Vorfälle,
  • Anpassungen des internen Vorfallmanagements sowie
  • Aktualisierungen bestehender Prozesse und Verfahren.

Meldung von Sicherheitsvorfällen

Sollten Sie eine tatsächliche oder potenzielle Sicherheits- bzw. Datenschutzverletzung im Zusammenhang mit den Diensten der regrooter GmbH feststellen, bitten wir Sie, uns unverzüglich zu informieren.

Bitte richten Sie Ihre Mitteilung an folgende E-Mail-Adresse:
📧 [email protected]

Um eine schnelle und effektive Bearbeitung zu ermöglichen, empfehlen wir, soweit möglich, die folgenden Angaben zu übermitteln:

  • Beschreibung des Vorfalls
  • Namen der betroffenen Unternehmen oder Nutzer
  • Art der betroffenen personenbezogenen Daten
  • Umfang des festgestellten Vorfalls
  • Einschätzung der möglichen Beeinträchtigung der Rechte und Freiheiten betroffener Personen

Alle eingehenden Meldungen werden vertraulich behandelt und im Einklang mit den Anforderungen der DSGVO sowie den internen Sicherheitsrichtlinien der regrooter GmbH geprüft und bearbeitet.

Produktsicherheit

Die regrooter GmbH gewährleistet, dass ihre Plattform den allgemein anerkannten internationalen Standards der Informationssicherheit entspricht.

Cloud-Infrastruktur

Unsere Dienste werden vollständig in einer Cloud-Umgebung betrieben. Wir betreiben keine eigenen physischen Server, Router, Load-Balancer oder DNS-Systeme.

Sämtliche Kundendaten werden ausschließlich auf Servern unseres Hosting-Dienstleisters DigitalOcean LLC in Deutschland oder innerhalb Azures bevorzugt in Deutschland, wenn aber nicht anders möglich ausschließlich im EU-Raum gespeichert. Das zugrunde liegende Rechenzentrum unterliegt mehrstufigen physischen und technischen Sicherheitsmaßnahmen, die den Schutz der gespeicherten Daten gewährleisten.

Weitere Informationen zu den Datenschutz- und Sicherheitsstandards unseres Hosting-Anbieters finden Sie unter https://www.digitalocean.com/legal/gdpr sowie

Sicherheitsüberwachung und Schutz auf Netzwerkebene

Die Netzwerksicherheitsarchitektur der regrooter GmbH basiert auf einem mehrstufigen Sicherheitskonzept. Zur Gewährleistung eines hohen Schutzniveaus und zur Verhinderung unbefugter Zugriffe werden unter anderem folgende Maßnahmen eingesetzt:

  • Nutzung der Sicherheitsinfrastruktur von Cloudflare
  • Hosting und Netzwerkschutz über DigitalOcean
  • Einsatz von Firewalls zur Überwachung und Steuerung des ein- und ausgehenden Netzwerkverkehrs

Datenverschlüsselung

Verschlüsselung während der Übertragung

Sämtliche Daten, die zwischen unserer Infrastruktur und externen Systemen übertragen werden, sind mittels Transport Layer Security (TLS) nach aktuellen Branchenstandards verschlüsselt.

Verschlüsselung im Ruhezustand

  • Alle Datenbanken und S3-Buckets werden standardmäßig verschlüsselt.
  • Personenbezogene Daten werden ausschließlich verschlüsselt in der Datenbank gespeichert.

Aufbewahrung und Löschung von Daten

Sofern keine anderslautende vertragliche Vereinbarung besteht, löscht regrooter sämtliche personenbezogenen Daten 30 Tage nach Beendigung der Erbringung der Verarbeitungsleistungen.
Nach Ablauf einer zusätzlichen Aufbewahrungsfrist von einem Jahr werden alle noch vorhandenen Kopien gelöscht, es sei denn, eine gesetzliche Aufbewahrungspflicht besteht oder der Kunde verlangt zuvor die endgültige Löschung der Daten.

Überwachung der Anwendungssicherheit

Zur Sicherstellung der Anwendungssicherheit setzt regrooter Technologien ein, die Ausnahmen, Protokolle und Anomalien in unseren Anwendungen erkennen und überwachen.

Sichere Softwareentwicklung

Bei der Softwareentwicklung befolgt regrooter bewährte Sicherheitsrichtlinien und -frameworks (z. B. OWASP Top 10, SANS Top 25). Zu den implementierten Maßnahmen gehören:

  • Regelmäßige Überprüfung des Quellcodes auf Sicherheitslücken
  • Laufende Aktualisierung von Abhängigkeiten zur Vermeidung bekannter Schwachstellen
  • Strikte Trennung sensibler Zugangsdaten vom Anwendungscode
  • Regelmäßige Aktualisierung von Betriebssystemen und Docker-Images; Ausführung von Diensten mit nicht privilegierten Benutzerrollen
  • Klare Trennung von Entwicklungs-, Test- und Produktionsumgebungen; Entwickler können keine Änderungen direkt in Produktionssysteme übernehmen

Schutz der Anwender

  • Überwachung und Abwehr von Brute-Force-Angriffen
  • Implementierung einer rollenbasierten Zugriffskontrolle (RBAC), mit der Nutzer differenzierte Berechtigungen zuweisen können

Zahlungsinformationen

Die Verarbeitung sämtlicher Zahlungsvorgänge erfolgt ausschließlich über den Dienstleister Stripe, der als PCI DSS Level 1 Service Provider zertifiziert ist.
regrooter selbst erhebt, speichert oder verarbeitet keine Zahlungsinformationen und unterliegt daher nicht den PCI-Compliance-Pflichten.

Innere Sicherheit

Die regrooter GmbH stellt durch interne Richtlinien und Kontrollmechanismen sicher, dass international anerkannte Informationssicherheitsstandards eingehalten werden.

Kontosicherheit

  • Zentrale Verwaltung aller Konten
  • Nutzung eines Passwortverwaltungssystems
  • Verpflichtende Zwei-Faktor-Authentifizierung (2FA)
  • Standardisiertes Onboarding-/Offboarding-Verfahren für Mitarbeitende unter Beachtung bewährter Sicherheitspraktiken
  • Vergabe von Zugriffsrechten nach dem Prinzip der geringsten Privilegien (Least Privilege)

Physische Sicherheit

  • Zugang zu Büro- und Arbeitsbereichen ausschließlich für autorisierte Mitarbeitende
  • Regelmäßige Sensibilisierung der Mitarbeitenden zur Sicherung ihrer Arbeitsgeräte (z. B. Sperrung von Computern bei Verlassen des Arbeitsplatzes)

Schulungen

Alle Mitarbeitenden erhalten regelmäßige Schulungen zu Datenschutz, Datensicherheit und sicherer Softwareentwicklung. Ergänzend werden Sicherheits-Workshops zur Vertiefung praxisrelevanter Themen durchgeführt.

Hintergrundprüfungen

Vor der Einstellung neuer Mitarbeitender führt regrooter Hintergrundprüfungen durch, soweit dies rechtlich zulässig ist.

Service Level Agreement (SLA)

Dieses Service Level Agreement („SLA") ergänzt die Nutzungsbedingungen der regrooter GmbH und regelt die Verfügbarkeit und Leistungsqualität der angebotenen Dienste.

Betriebszeit

regrooter verpflichtet sich, eine monatliche Betriebszeit von mindestens 95,0 % sicherzustellen.
Sofern diese Verfügbarkeit - vorbehaltlich der unten genannten Ausschlüsse - unterschritten wird, hat der Kunde Anspruch auf eine Servicegutschrift.
Eine Betriebszeit von 95,0 % entspricht einer maximalen Nichtverfügbarkeit von 36 Std pro Monat.

Backups, Notfallwiederherstellung und Geschäftskontinuität**

regrooter erstellt regelmäßige Datensicherungen und bewahrt diese für einen Zeitraum von 7 Tagen auf, um eine Wiederherstellung im Notfall zu gewährleisten.

Servicegutschriften

Bei einer monatlichen Betriebszeit von weniger als 95,0 % erhält der Kunde eine Gutschrift in Höhe von 5 % der monatlichen Gebühren für den betroffenen Abrechnungszeitraum.
Servicegutschriften werden ausschließlich auf zukünftige Rechnungen angerechnet.

Antrag auf Servicegutschrift

Der Antrag auf Gutschrift ist über das Kundenportal einzureichen und muss das Datum und die Uhrzeit jedes geltend gemachten Ausfalls enthalten.
Nach Prüfung und Bestätigung der Daten stellt regrooter die Gutschrift im darauffolgenden Abrechnungszeitraum aus.
Unterbleibt die fristgerechte und vollständige Einreichung, entfällt der Anspruch auf die Gutschrift.

SLA-Ausschlüsse

Die Serviceverpflichtung gilt nicht für Ausfälle, die verursacht werden durch:

  • Ereignisse höherer Gewalt oder Umstände außerhalb unseres Einflussbereichs,
  • Handlungen oder Unterlassungen des Kunden oder Dritter,
  • Fehler oder Ausfälle in der vom Kunden oder Dritten betriebenen Infrastruktur oder Software,
  • geplante Wartungsmaßnahmen.

In Fällen, in denen die Verfügbarkeit durch externe Faktoren beeinflusst wird, die nicht in die SLA-Berechnung einfließen, kann regrooter nach eigenem Ermessen eine freiwillige Gutschrift gewähren.

Vereinbarungen und Bedingungen

Die nachfolgenden Vereinbarungen und Bedingungen regeln die vertragliche Beziehung zwischen der regrooter GmbH und ihren Kunden.

Hier werden die Datenschutzbestimmungen eingefügt.
Hier werden die Allgemeinen Geschäftsbedingungen (AGB) eingefügt.

Vertraulichkeit

Die regrooter GmbH und ihre Kunden verpflichten sich, sämtliche im Rahmen der Zusammenarbeit offengelegten oder erhaltenen Informationen vertraulich zu behandeln. Eine Offenlegung gegenüber Dritten darf nur mit vorheriger schriftlicher Zustimmung der jeweils anderen Partei erfolgen.

Begriff der vertraulichen Informationen**

Als vertrauliche Informationen gelten - ohne hierauf beschränkt zu sein - insbesondere:

  • Kundendaten und interne Strukturen,
  • Geschäfts-, Vertriebs- und Marketingstrategien,
  • Quellcodes, Systemarchitekturen, technische Verfahren, Erfindungen und Know-how,
  • Finanzdaten, Produktpläne, Kunden- und Interessentendaten,
  • sämtliche weiteren Informationen, die im Rahmen der Geschäftsbeziehung zugänglich gemacht werden.

Dauer der Vertraulichkeit

Die Pflicht zur Geheimhaltung gilt über die Beendigung des Vertragsverhältnisses hinaus und bleibt zeitlich unbegrenzt bestehen, soweit keine anderslautenden gesetzlichen Regelungen bestehen.

Folgen einer Pflichtverletzung

Verletzt eine Partei ihre Vertraulichkeitsverpflichtung, ist die jeweils andere Partei berechtigt, Ersatz sämtlicher daraus entstandener Schäden zu verlangen.

Datenschutz

Die regrooter GmbH misst dem Schutz personenbezogener Daten höchste Bedeutung bei und verarbeitet diese in Übereinstimmung mit den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) sowie den einschlägigen nationalen Datenschutzvorschriften..