Datenschutz & Sicherheit

Datenschutz ist bei uns keine Checkbox – sondern Grundlage unserer Architektur. Wir verarbeiten sensible Daten und nehmen diese Verantwortung ernst.

DSGVO-konform

Volle Konformität mit EU-Datenschutz-Grundverordnung

ISO 27001-ready

Technische und organisatorische Maßnahmen in Anlehnung an ISO 27001

BSI IT-Grundschutz

Orientierung an BSI-Standards für Informationssicherheit

AVV Art. 28 DSGVO

Auftragsverarbeitungsvertrag mit allen Kunden

Datenschutz-Grundsätze

Datensparsamkeit

Wir erheben und verarbeiten nur Daten, die für die Erbringung unserer Dienste zwingend erforderlich sind. Keine unnötige Datensammlung.

Zweckbindung

Personenbezogene Daten werden ausschließlich für den angegebenen Zweck verarbeitet. Eine Nutzung für andere Zwecke erfolgt nicht ohne ausdrückliche Einwilligung.

Transparenz

Sie erhalten jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten und deren Verwendung.

Hosting & Infrastruktur

Rechenzentren in Deutschland

Alle unsere Dienste werden in ISO 27001-zertifizierten Rechenzentren in Deutschland betrieben. Keine Datenübermittlung in Drittstaaten.

Verschlüsselung

Sämtliche Daten werden sowohl bei der Übertragung (TLS 1.3) als auch im Ruhezustand (AES-256) verschlüsselt.

Redundanz

Mehrstufige Backup-Strategie mit geografisch verteilten Standorten innerhalb Deutschlands.

KI & Datenverarbeitung

Keine Trainingsdaten aus Kundendaten

Texte und Daten, die Sie in unsere Systeme eingeben, werden niemals zum Training von KI-Modellen verwendet. Dies gilt auch für Drittanbieter-Modelle.

Anonymisierung

Bei der Nutzung von KI-Funktionen (z.B. Bescheid-Klartext) werden personenbezogene Daten vor der Verarbeitung automatisch anonymisiert.

EU-Inferenz

Alle KI-Berechnungen erfolgen ausschließlich auf Servern innerhalb der EU. Keine Nutzung von US-Cloud-Diensten für sensible Daten.

Rollen & Rechte

Rollenbasierte Zugriffskontrolle

Fein granulares Berechtigungssystem. Jeder Nutzer sieht nur die Daten, die für seine Aufgabe relevant sind.

Mandantentrennung

Strikte technische und organisatorische Trennung zwischen verschiedenen Mandanten (Kommunen). Keine Einsicht in fremde Daten.

Audit-Logs

Lückenlose Protokollierung aller Zugriffe und Änderungen. Logs werden unveränderlich gespeichert und sind bei Bedarf exportierbar.

Aufbewahrung & Löschung

Konfigurierbare Fristen

Aufbewahrungsfristen können pro Mandant konfiguriert werden, um gesetzliche Anforderungen zu erfüllen.

Automatische Löschung

Nach Ablauf der Aufbewahrungsfrist werden Daten automatisch und unwiderruflich gelöscht.

Recht auf Löschung

Betroffene können jederzeit die Löschung ihrer Daten beantragen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Technische und organisatorische Maßnahmen (TOM)

Technische Maßnahmen

  • • Ende-zu-Ende Verschlüsselung (TLS 1.3)
  • • Verschlüsselung at-rest (AES-256)
  • • Multi-Faktor-Authentifizierung
  • • Intrusion Detection System (IDS)
  • • Web Application Firewall (WAF)
  • • Regelmäßige Penetrationstests
  • • Automatische Sicherheitsupdates
  • • DDoS-Schutz

Organisatorische Maßnahmen

  • • Datenschutzbeauftragter bestellt
  • • Regelmäßige Mitarbeiterschulungen
  • • Need-to-know-Prinzip
  • • Dokumentierte Prozesse
  • • Incident Response Plan
  • • Regelmäßige interne Audits
  • • Vertraulichkeitsverpflichtungen
  • • Lieferantenmanagement

Datenschutz-Kontakt

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte an unseren Datenschutzbeauftragten.

Datenschutzbeauftragter

E-Mail: datenschutz@kommunale2030.de

Kommunale 2030 GmbH, Musterstraße 42, 10115 Berlin