Datenschutz und Privatsphäre bei Flexopus
.svg)
.svg)
Auftragsverarbeitungsvertrag (AVV)
Wir schließen mit allen unseren KundInnen einen Auftragsverarbeitungsvertrag laut Richtlinien der DSGVO ab, um die Verarbeitung der personenbezogenen Daten vertraglich festzuhalten. Zweck der Datenverarbeitung, Art der Daten, betroffene Personengruppen, SublieferantInnen von Flexopus sowie die Rechte der betroffenen Personen werden in diesem Vertrag festgehalten.
ISO 27001
Flexopus wurde von TÜV Rheinland nach ISO27001:2022 zertifiziert. Mit der Zertifizierung wird ein standardisiertes und gepflegtes Informationssicherheitsmanagementsystem (ISMS) sichergestellt.
Hosted in Germany (EU)
Ihre Daten sind bei uns sicher. Flexopus wird ausschließlich auf Servern des Unternehmens Hetzner in der Bundesrepublik Deutschland betrieben, ihre Daten verlassen das Land also unter keinen Umständen. Hetzner ist ISO 27001 zertifiziert, was höchsten Anforderungen an IT-Sicherheitsverfahren sowie Informationssicherheits- Managementsystemen entspricht.
DSGVO-konform
Flexopus erfüllt die Richtlinien der DSGVO zu 100 % und setzt insbesondere folgende Richtlinien konsequent um:
- Abschluss von AV-Verträgen (Auftragsverarbeitung) gem. Art. 28 Abs. 3 DSGVO
- Anonymisierung und keine zweckfreie Speicherung personenbezogener und persönlicher Daten
- Keinerlei Datenaustausch mit Dritten oder Datenübertragungen über Ländergrenzen hinweg
- Regelmäßige Schulung sämtlicher MitarbeiterInnen in Sachen Datenschutz, Datensicherheit und Privatsphäre
- Kontinuierliche Weiterentwicklung der Sicherheitsstandards in Form von Audits sowie der Anpassung unserer Dokumentationen, Prozesse, Strukturen oder Funktionalitäten sowie technischen und organisatorische Maßnahmen
Flexopus wird nach den Konzepten von "Privacy by default" und "Privacy by desgin" entwickelt und denkt Datenschutz somit von Anfang bis Ende mit.
Zweckgebundene Datenspeicherung
Die gespeicherten personenbezogenen Daten werden ausschließlich zweckgebunden verwendet.
Datenanonymisierung
Mit Flexopus bestimmen Sie, nach welchem Zeitraum personenbezogene Daten anonymisiert bzw. aus dem System entfernt werden. Für Auslastungsanalysen bleiben Ihnen dabei jedoch trotzdem Buchungsdetails wie Start- und Endzeit einer Buchung erhalten.
Diese können aber nicht mehr auf eine bestimmte Person zurückgeführt werden. So behalten Sie den Überblick über die Auslastung der verfügbaren Ressourcen, um Ihr Büro zu optimieren und schützen gleichzeitig sensible Daten Ihrer MitarbeiterInnen.
Verschlüsselte Datenübertragung
Die Daten werden bei der Übertragung mit dem TLS-Verfahren verschlüsselt, das auch beim Online-Shopping oder Online-Banking verwendet wird. Die Integrität der Verschlüsselung kann hier (https://www.ssllabs.com/ssltest/analyze.html?d=demo.flexopus.com) verifiziert werden.
Privatsphäre der MitarbeiterInnen
Mit Flexopus entscheiden Sie, ob Buchungen von Arbeitsplätzen oder anderen Objekten für alle MitarbeiterInnen Ihres Unternehmens einsehbar sein sollen oder nicht. Im kollaborativen Umfeld eines Unternehmens empfehlen wir dies zwar, in speziellen Fällen kann es jedoch durchaus Sinn ergeben, die NutzerInnen selbst entscheiden zu lassen, ob der gebuchte Sitzplatz für andere ersichtlich ist.
Backups mit Data-at-Rest-Verschlüsselung
Flexopus ist eine Cloud Lösung, die auf einem dedizierten Server gehostet wird. Die Datenbanken von unseren KundInnen werden täglich gesichert. Backups werden für 30 Tage mit einer Data-at-Rest-Verschlüsselung auf einem standortunabhängigen Server in Deutschland aufbewahrt. Im Anschluss werden die Daten gelöscht.
Audits & Penetration Tests
Unser Entwicklungsteam sorgt dafür, dass die Anwendung Release für Release durch die Einhaltung interner Sicherheitsrichtlinien entwickelt wird:
- Interne manuelle Audits
Vieraugenprinzip bei der Entwicklung, Code-Reviews, funktionales Testen, Sicherheitsaudits von unseren ExpertInnen - Interne automatisierte Audits
Code-Analysen, System-Logs, Anwendung-Logs, Protokollierungen, Code-Qualität-Checks - Externe Audits / Penetration-Tests
Dank unserer KundInnen wird die Software in unregelmäßigen Umständen, aber mindestens zweimal pro Jahr durch eine unabhängige dritte Stelle auditiert. Penetration-Tests werden von unseren KundInnen im Rahmen der üblichen Assessment und Freigabeprozesses durchgeführt.
Sorgfältige Auswahl von Lieferanten
Flexopus achtet besonders auf Datenschutz und Zuverlässigkeit bei der Auswahl von SublieferantInnen. Wir wählen ausschließlich SublieferantInnen aus der EU aus:
- Server Provider: Hetzner Online GmbH
Die Anwendung ist auf einem dedizierten Server Cluster in Falkenstein gehostet. Unsere Backup-Infrastruktur ist in Nürnberg aufgesetzt. - SMTP Provider
Als primären SMTP Provider nutzen wir RapidMail mit Sitz in Deutschland. Als sekundäres SMTP Provider nutzen wir MailJet mit Sitz in Frankreich. - Entwicklungsteam
Die EntwicklerInnen und Software-SublieferantInnen sitzen ausschließlich in der EU.
Weiterentwicklung der Sicherheit
Durch interne und externe Audits wird die Anwendung stetig auf Sicherheit geprüft. Als Teil unserer Weiterentwicklung werden mögliche Sicherheitslücken und Funktionen für die Verbesserung des Datenschutzes auf Ebene der Infrastruktur und der Anwendung selbst Release für Release verbessert. Release Notes werden für mehr Transparenz gegenüber unserer KundInnen kontinuierlich veröffentlicht.
Die verwendeten Open Source Komponenten werden regelmäßig aktualisiert. Eine Liste der verwendeten Open Source Komponenten wird in der Anwendung für AdministratorInnen bereitgestellt.
Datenschutzerklärungen
Nutzen Sie unsere Datenschutzerklärung, welche automatisch generiert wird oder Sie laden Ihr eigenes Dokument hoch. Entscheiden Sie zudem, ob Sie von allen MitarbeiterInnen eine Einwilligungsbestätigung einfordern wollen.
Verträge nach deutschem Recht
Die Firma Flexopus GmbH hat den Hauptsitz in Stuttgart, Deutschland. Verträge werden ausschließlich nach deutschem Recht geschlossen. Made in Germany. Hosted in Germany.
