Datenschutz bei desk.ly für das sichere Desksharing

Der Schutz deiner Daten und der Daten deiner Mitarbeiter*innen ist uns wichtig. Datenschutz und Informationssicherheit sind deshalb zentrale Bestandteile unseres Services. desk.ly wird in Europa gehostet und erfüllt alle Anforderungen der Datenschutz-Grundverordnung EU-DSGVO. Jetzt mehr über das sichere Desksharing erfahren!

Unseren AVV anfragen

Du kannst über das Formular unseren aktuelle Auftragsverarbeitungsvertrag (AVV) anfordern. Wir nehmen gerne Kontakt zu dir auf. Nachstehend findest du in unseren wesentlichen Informationen bereits erste Anhaltspunkte für deine Fragen.

EU-DSGVO desk.ly

Allgemeines zum Datenschutz

Hat desk.ly einen Datenschutzbeauftragten bestellt?

Bei der Beratung in Datenschutzfragen sowie Unterstützung als betrieblicher Datenschutzbeauftragter setzen wir auf die Dienste von der PROLIANCE GmbH. 

PROLIANCE GmbH
www.datenschutzexperte.de
Leopoldstr. 21
80802 München

Sofern du Fragen zum Thema Datenschutz bei desk.ly hast, wende dich bitte an datenschutz@desk.ly.

Wie sind die mit der AV betrauten Mitarbeiter*innen mit den gesetzlichen Bestimmungen zum Datenschutz vertraut?

Alle Mitarbeiter*innen von desk.ly werden auf Vertraulichkeit, den Datenschutzbestimmungen sowie dem Umgang mit Daten im Allgemeinen verpflichtet und mit den entsprechenden Konsequenzen im Falle eines Verstoßes vertraut gemacht.
In regelmäßigen Schulungen und Sensibilisierungsmaßnahmen zum Umgang mit personenbezogenen Daten und dem generellen Datenschutz werden auf gesetzliche Neuerungen wie die europäische Datenschutz-Grundverordnung eingegangen.

Was unternimmt desk.ly bezogen auf die Sicherheit der IT-Systeme?

desk.ly orientiert sich organisatorisch an den Vorgaben der ISO/IEC 27001 und strebt die kontinuierliche Verbesserung der Prozesse und Strukturen im Datenschutz und der Informationssicherheit an. Neben der Bestellung eines Datenschutzbeauftragten und der regelmäßigen Schulung der Mitarbeiter*innen hat desk.ly zudem eine enge Partnerschaft mit der Digitalagentur basecom aus Osnabrück, um der Sicherheit bei allen Verarbeitungsprozessen und internen Vorgängen höchste Priorität beizumessen.

Kann ich einen Auftragsverarbeitungsvertrag mit desk.ly schließen?

Im Rahmen der Nutzung unserer Desksharing-Anwendung ist es notwendig sowie verpflichtend, dass sowohl unsere Kund*innen als verantwortliche Stelle als auch wir als Auftragsverarbeiter nach Art. 28 EU-DSGVO  einen entsprechenden Vertrag schließen müssen. Wir haben dazu eine entsprechende Vorlage entwickelt, welche wir euch in unserer Software zum Vertragsschluss im elektronischen Format anbieten. Den AVV kannst du bequem auf dieser Seite über das Formular anfordern.

Was passiert, wenn es zu einer Datenpanne bei desk.ly kommt?

Sollte es wider Erwarten zu einer Datenpanne bei desk.ly kommen, bei der personenbezogene Daten eines/einer Kund*in betroffen sind und die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten der Mitarbeiter*innen des/der Kund*in führt, wird dies desk.ly entsprechend der gesetzlichen und vertraglichen Verpflichtungen unverzüglich dem/der betroffenen Kund*in mitteilen, sodass dieser/diese seinen/ihren gesetzlichen Mitteilungspflichten an die Aufsichtsbehörde und die Betroffenen nachkommen kann.

Ist die Anwendung durch die Technikgestaltung datenschutzfreundlich voreingestellt?

Der Datenschutz ist ein essentieller Bestandteil unserer Produktstrategie. Daher achten wir bei der Weiterentwicklung von desk.ly auf wichtige Prinzipien wie modernste Technikverwendung zur Sicherung eines adäquaten Schutzniveaus oder etwa auf die Datensparsamkeit. Bzgl. der DSGVO haben wir die Voreinstellung der Anwendung geprüft und überlassen dem Admin im Setup der Anwendung wichtige datenschutzrelevante Mechanismen einzustellen wie bspw. die Anonymisierungsfunktion, um das höchstmögliche Niveau bei Verwendung des Online-Desksharings über desk.ly bei gleichbleibender Nutzerfreundlichkeit anzubieten. Damit sind die Einstellungen so konzipiert, dass grundsätzlich der/die Kund*in sie nach seinen Bedürfnissen anpassen bzw. unternehmensabhängig gestalten kann.

Um das Verhalten dauerhaft gewährleisten zu können, haben wir einen internen Prozess definiert, um bspw. neue gesetzliche Anforderungen kontinuierlich in den Entwicklungsprozess zu berücksichtigen und darauf abgestimmt die Anwendung in regelmäßigen Abständen zu überprüfen.

Ist desk.ly nach der DSGVO konform?

desk.ly erfüllt alle Anforderungen der europäischen DSGVO und ist als Organisation und Software datenschutzkonform. Wir haben unser Produkt auf die essentiellen gesetzlichen Richtlinien wie Datenschutz durch die Technikgestaltung mit den passenden Voreinstellungen (Art. 25 EU-DSGVO) und unterstützen die Kund*innen bei der Wahrnehmung der Betroffenenrechte (Recht auf Löschung, Auskunft oder Datenübertragbarkeit; Kapitel 3 EU-DSGVO) und nehmen entsprechen Anpassungen vor.

Aufgrund des Self-Service Ansatzes von desk.ly können Mitarbeiter*innen zudem selbst jederzeit Einsicht in ihre digitale Buchungsübersicht nehmen und ihre Daten, genauer ihren Namen, anonymisieren. Nur der Admin zur Verwaltung und Organisation des Flex Office hat die Möglichkeit zur Einsicht der User-Daten.

Vertraulichkeit und Integrität

Wo werden die Daten gespeichert?

desk.ly setzt beim Hosting der Software auf die Dienste der Amazon Web Services (AWS) in Frankfurt (https://aws.amazon.com/de/compliance/gdpr-center/). Die genutzten Rechenzentren sind ISO/IEC 27001 zertifiziert und erfüllen somit unsere hohen Anforderungen an die physische Sicherheit der Daten unserer Kund*innen.

Stilllegung & Datenlöschung

Alle Kundendaten werden auf AWS-Diensten gespeichert, die einer strengen Stilllegungsrichtlinie folgen, die in ihrem Sicherheits-Whitepaper beschrieben wird:
"AWS uses the techniques detailed in DoD 5220.22-M (“National Industrial Security Program Operating Manual “) or NIST 800-88 (“Guidelines for Media Sanitization”) to destroy data as part of the decommissioning process."
Bei kundenspezifischen Daten werden wir auf Anfrage alle identifizierbaren Buchungsdaten, die mit dem Konto verbunden sind, manuell aus unserer Datenbank entfernen. Abgeleitete anonymisierte Daten (z. B. "Gesamtzahl der in diesem Monat auf der Plattform gebuchten Veranstaltungen") werden nicht entfernt, da sie nicht mit den Quelldaten verknüpft werden können. Benutzerkonten deines Unternehmens können auf Anfrage ebenfalls entfernt werden. Wir bewahren Backups 30 Tage lang auf, danach sind die Daten nicht mehr verfügbar.

Betriebszeit & Verlässlichkeit

Wir überwachen ständig unsere Serviceleistung und verfügen über automatische Benachrichtigungen, um eine schnelle Reaktion auf Serviceunterbrechungen zu gewährleisten. Der gesamte Code wird vor der Bereitstellung auf den Produktionsservern geprüft und begutachtet. Wir verfolgen auch die Updates der Sicherheits-Community und aktualisieren unsere Systeme sofort, wenn Schwachstellen entdeckt werden. Wenn uns Probleme gemeldet werden, halten wir den Systemstatus (hier: https://deskly.statuspage.io/#) auf dem Laufenden.

Anwendungsentwicklung

Neue Funktionen, Leistungsverbesserungen und Fehlerbehebungen werden mehrmals pro Woche bereitgestellt. Unser Entwicklungszyklus ist zwar agil, stützt sich jedoch auf ein strenges System für Codequalität und Sicherheit. Der gesamte Code wird von Fachkollegen geprüft und muss vor dem Einsatz in der Produktion auf mehreren Ebenen in Test-/Staging-Umgebungen akzeptiert werden. Die wichtigsten Punkte für häufige Fragen:

  • Änderungen werden durch umfangreiche Unit-, Integrationstests auf Sicherheit und Fehler überprüft.
  • Die Produktionsdaten werden von den Entwicklungsumgebungen getrennt.
  • Wir haben strenge Prüfungen durch interne Sicherheitsteams für mehrere aktiennotierte Unternehmen und öffentliche Einrichtungen durchgeführt.
Zugriffsprotokolle

Wir führen automatische Zugangs- und Sicherheitsprotokolle an mehreren Standorten. Alle Mitarbeiter sind verpflichtet, eine Zwei-Faktor-Authentifizierung und sichere Passwörter zu verwenden, die sich von denen anderer Dienste unterscheiden. Der Zugriff auf Kundendaten ist begrenzt und wird nur einer kleinen Gruppe von Mitarbeitern gestattet, die für Support und Wartung benötigt werden. Der Zugang ist außerdem auf eine kleine Whitelist von IP-Adressen über VPN beschränkt und erfordert eine Authentifizierung mit öffentlichem Schlüssel.

Der Zugriff einzelner Mitarbeiter erfolgt nach dem „need to know“ Prinzip, und die Zugriffsrechte werden vierteljährlich überprüft.

Authentifizierung

Die Passwortauthentifizierung ist standardmäßig für Endbenutzer verfügbar und wird durch Entropie validiert, um schwache Passwörter einzuschränken. desk.ly unterstützt außerdem Single Sign-On über Open ID, Google SSO und Azure AD SSO.

Verschlüsselung

Kundendaten werden während der Übertragung und „at rest“ verschlüsselt. Alle Verbindungen mit desk.ly Diensten sind verschlüsselt und werden über SSL/TLS 1.2+ bereitgestellt. Du kannst nicht auf den Dienst zugreifen, ohne HTTPS zu verwenden. Alle Zertifikate werden auf beiden Seiten von Drittanbietern überprüft. Die Daten werden auf jedem Schritt des Weges verschlüsselt:

  • Anwendungen → Amazon Web Services
  • REST-Anfrage → desk.ly-Anwendungsschicht
  • desk.ly-Anwendungsschicht → SQL-Session
  • API-Antwort → Anwendungen

Im Ruhezustand werden die Kundendaten mit einem Schlüsselverwaltungssystem verschlüsselt, das jeden Zugriff automatisch protokolliert. Darüber hinaus werden die Passwörter mit einer Einwegverschlüsselung sowohl gehasht als auch “salted”, wodurch sie auch im unwahrscheinlichen Fall eines unbefugten Datenbankzugriffs geschützt sind. Die Anmeldedaten der Anwendung werden getrennt von der Codebasis gespeichert. Clients authentifizieren sich bei desk.ly über ein Token-System.

Jedes Token hat einen bestimmten Zugriffsbereich, der individuell widerrufen werden kann, ohne dass dies Auswirkungen auf andere Benutzer der Plattform hat. Außerdem können wir im Falle eines Sicherheitsvorfalls Token für die gesamte Plattform sofort ungültig machen.

Patches für Schwachstellen

Die Server werden regelmäßig gepatcht, um eine hohe Sicherheit zu gewährleisten. Schwachstellen werden über eine Kombination aus automatisierten Mailinglisten verfolgt, und kritische Systeme werden in Echtzeit überwacht und Schwachstellen täglich überprüft. Jährlich werden Schwachstellen in Netzwerken und Webanwendungen von Dritten getestet.

Informationen zur Bezahlung

Wenn du dich für ein kostenpflichtiges Abonnement anmelden, speichern wir deine Kreditkarteninformationen nicht auf unseren Servern. Wir verwenden derzeit Stripe, das PCI-konform ist und sensible Zahlungsdaten sicher speichert.

Erfasste Daten

Eine ausführliche Zusammenfassung der von uns gesammelten Daten findest du in unserem AVV. Fülle dafür das obige Formular aus und wir werden ihn dir zukommen lassen.

Disaster Recovery

Anwendungs- und Kundendaten werden redundant in mehreren Verfügbarkeitszonen in den Rechenzentren von Amazon gespeichert, wobei Backups für eine Wiederherstellung zur Verfügung stehen.