Datenschutz in SoSafe’s Awareness Building Services

1. Präambel

Für uns ist eine vertrauensvolle Zusammenarbeit der Kern einer erfolgreichen Vertragsbeziehung. Und Vertrauen beginnt mit Transparenz. Vertrauen und Transparenz ist für uns die wesentliche für alle Interaktionen mit Ihnen, einschließlich dieses Dokuments. Im Folgenden erläutern wir die Maßnahmen, die wir in den Bereichen Datenschutz und Datensicherheit ergriffen haben, um die personenbezogenen Daten Ihrer Mitarbeiter*innen zu schützen.

2. Datenschutz und Datensicherheit auf einen Blick

  • Made in Germany:
    • SoSafe ist ein deutsches Unternehmen mit Sitz in Köln.
    • Alle Kundendaten werden auf deutschen oder europäischen Servern gespeichert.
  • Datenschutzgrundsätze:
    • Unsere Dienste zur Bewusstseinsbildung werden nach dem Prinzip „Privacy by Design“ entwickelt.
    • Wir sammeln nur so viele personenbezogene Daten, wie wir für die Erbringung unserer Dienstleistungen benötigen.
    • Wir verarbeiten personenbezogene Daten ausschließlich zu den beschriebenen Zwecken.
    • Im Umgang mit Kundendaten haben wir zahlreiche technische und organisatorische Maßnahmen ergriffen, um die Daten der Mitarbeiter*innen unserer Kunden bestmöglich zu schützen.
    • Wir arbeiten nur mit Unterauftragnehmern zusammen, die von unseren internen IT-Sicherheits- und Rechtsteams erfolgreich geprüft wurden, und auch nur dann, wenn festgestellt wurde, dass der Unterauftragnehmer die Dienstleistungen besser und sichererer als wir selbst erbringen kann.
    • Je nach Verwendungszweck werden personenbezogene Daten auf Wunsch des Kunden oder automatisch nach Ablauf des Verwendungszwecks oder der Aufbewahrungsfrist gemäß der Norm DIN 66399 gelöscht.
  • Vertraulichkeit:
    • Alle unsere Mitarbeiter*innen und externen Berater sind gemäß den Datenschutzgesetzen zur Vertraulichkeit verpflichtet.
  • Ausbildung und Schulung:
    • Unsere Mitarbeiter*innen werden regelmäßig zu den Themen Datenschutz und Datensicherheit geschult.
  • Abläufe:
    • Bevor ein Dienstleister mit der Erbringung von Leistungen im Zusammenhang mit unseren Awareness Building Leistungen beauftragt wird, erfolgt eine umfassende rechtliche und informationssicherheitstechnische Prüfung des Dienstleisters.
  • Datensicherheit:
    • Wir haben ein Informationssicherheitsmanagementsystem eingeführt und sind seit dem 20. Dezember 2022 ISO 27001:2013 zertifiziert.
    • Die Kundendaten werden bei unserem Hosting-Provider während der Übertragung und im Ruhezustand mit von SoSafe verwalteten Schlüsseln verschlüsselt.

3. Datenschutz bei SoSafe

Als Anbieter von Cybersecurity Awareness Building Leistungen ist uns der sichere und vertrauenswürdige Umgang mit den Daten unserer Kunden sehr wichtig und ein fester Bestandteil unseres Produktethos.

3.1 Serverstandorte für die Verarbeitung von personenbezogenen Daten

Als deutsches Unternehmen mit Sitz in Köln wählen wir Dienstleister aus, die idealerweise aus der EU oder dem EWR stammen. Die Kundendaten werden auf deutschen Servern und/oder Servern innerhalb der EU / des EWR gespeichert.

3.2 Datenschutz bei unseren Awareness Building Leistungen

Im Folgenden informieren wir Sie darüber, wie wir den Datenschutz in unseren Produkten umgesetzt haben.

3.2.1 Welche Arten von personenbezogenen Daten werden von uns verarbeitet?

Dies hängt davon ab, welche und in wie Sie unsere Produkte nutzen. Nachfolgend finden Sie einen Überblick über die Kategorien personenbezogener Daten, die wir verarbeiten. Eine detaillierte Auflistung aller personenbezogenen Daten, die wir verarbeiten, finden Sie in unserer Auftragsverarbeitungsvereinbarung:

Phishing-Kampagne

Im Rahmen von Phishing-Simulations-E-Mail-Kampagnen benötigen wir für die Dauer des Vertragsverhältnisses mit Ihnen die folgenden personenbezogenen Datenkategorien, um eine authentische und individualisierte Kampagne durchführen zu können:

  • Kontaktdaten des/r Mitarbeiter*in des Kunden und Standardsprache
  • Berufliche E-Mail Adresse des/r Mitarbeiter*in des Kunden
  • Kundenspezifische Informationen über die Organisationsstruktur, z. B. Abteilungen oder Teams.
  • Mailprotokolldaten aus technischen und Sicherheitsgründen. Diese werden nach 12 Wochen gelöscht.

Optional können Kunden zusätzliche Stammdaten der Mitarbeiter*innen des Kunden (Geschlecht und akademischer Rang) zur Verfügung stellen, um eine Kampagne noch authentischer zu gestalten. Auf Wunsch des Kunden kann auch eine differenzierte Ausspielung, basierend auf Mitarbeiter*innen-Gruppen, nach weiteren organisatorischen Ordnungskriterien erfolgen. Dies erfordert die Übermittlung der durch den Kunden gewünschten Ordnungskriterien.

  • Wenn Mitarbeiter*innen des Kunden mit der Phishing-E-Mail interagieren, erfassen wir auch einige technische Daten und optionale Feedback-Daten, sofern diese angegeben werden.

Phishing Report Button und PhishAssist

Wenn Ihre Organisation den Phishing-Report-Button und/oder den PhishAssist nutzt, werden keine personenbezogenen Daten verarbeitet. Stammt die entsprechende E-Mail aus der Simulation, wird der Klick in der sogenannten Melderate in die Auswertung einbezogen. Stammt die E-Mail nicht aus der Simulation, wird sie direkt aus dem verwendeten E-Mail-Client an eine vom Kunden definierte E-Mail-Adresse weitergeleitet. Es werden keine E-Mails an SoSafe gesendet oder von SoSafe verarbeitet.

Optional: Empfehlungen und Verbesserungsvorschläge

Um die Phishing-Kampagne effektiver und auf die Mitarbeiter*innen des Kunden bezogener zu gestalten sowie bessere Lernempfehlungen zu geben, erfassen wir auf Wunsch des Kunden (Opt-in) zusätzlich zu den Berichtsdaten eine eindeutige Kundenmitarbeiter-ID („UUID“). Diese wird von uns nur intern für die oben genannten Zwecke verwendet, aber nicht an Kunden weitergegeben.

E-Learning Plattform

Im Zusammenhang mit der Nutzung unserer E-Learning-Plattform verarbeiten wir die folgenden personenbezogenen Datenkategorien:

  • Daten zur Registrierung
  • Einstellungen
  • Nutzungsdaten
  • Technische Daten

Wir verarbeiten auch einige dieser personenbezogenen Daten für die Berichterstattung an die Kunden, teilweise gruppiert und/oder aggregiert.

Server-Protokolle, einschließlich SCORM:

Wenn Mitarbeiter*innen eines Kunden mit unseren Lernseiten und dem E-Learning interagiert oder SCORM-Streaming verwendet, sammeln wir auch serverseitige Protokolle und speichern diese aus technischen und sicherheitstechnischen Gründen für zwölf (12) Wochen bis maximal 6 Monate.

Single Sign-On

Die angebotenen Single Sign-On („SSO“)-Verfahren sind – soweit technisch möglich – als Hyperlinks eingebunden, so dass Daten nur bei Nutzung durch den jeweiligen Anbieter erhoben werden. Sollte dies nicht möglich sein, arbeiten wir mit einer individuellen Einwilligungslösung. Nur wenn der jeweilige Kundenmitarbeiter in die Datenverarbeitung einwilligt, werden Daten durch die SSO-Lösung erhoben.

3.2.2 Privacy by Design und Privacy by Default

Unsere Produkte werden nach den Grundsätzen Privacy by Design und Privacy by Default entwickelt (Art. 25 DSGVO). Im Softwareentwicklungszyklus sind unsere Datenschutzexperten bereits in der Designphase neuer Produkte beteiligt. Unsere Produkte sind außerdem konfigurierbar und werden bereits standardmäßig mit starken Datenschutzeinstellungen an unsere Kunden ausgeliefert.

3.2.3 Unsere Mitarbeiter*innen

Alle unsere Mitarbeiter*innen und auch externe Berater sind auf das Datenschutzgeheimnis verpflichtet. Darüber hinaus werden unsere Mitarbeiter*innen regelmäßig zu den Themen Datenschutz und Datensicherheit geschult.

3.2.4 Unsere Dienstanbieter

Wir nehmen grundsätzlich nur Dienstleister in Anspruch, bei denen wir nach eingehender Analyse zu dem Schluss gekommen sind, dass sie die Leistungen in einer qualitativ besseren und technisch sichereren Lösung erbringen können, als wir es mit unseren Ressourcen könnten.

Wenn wir zu dem Schluss kommen, dass wir für die Erbringung der Awareness Building Leistungen einen Dienstleister benötigen, wird dieser im Vorfeld umfassend in rechtlicher und informationssicherheitstechnischer Hinsicht geprüft. Dazu gehören auch der Abschluss der erforderlichen Verträge, die Durchführung von Sicherheits- und/oder Schutzmaßnahmen und sonstige Garantien.

4. Datensicherheit bei SoSafe

Gemäß Art. 32 DSGVO müssen Sie als Verantwortlicher und wir als Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOMs) für die Verarbeitung personenbezogener Daten umsetzen, die dem Stand der Technik, den Implementierungskosten und dem Risiko für die Rechte und Freiheiten der betroffenen Personen Rechnung tragen und gleichzeitig ein angemessenes Schutzniveau gewährleisten. Als ISO 27001-zertifizierter Anbieter richten wir auch unsere TOMs entsprechend aus. Im Rahmen unseres Informationssicherheitsmanagementsystems haben wir zahlreiche Sicherheitsrichtlinien und technische Schutzmaßnahmen verabschiedet, um sowohl die Daten unserer Kunden als auch unsere eigenen Daten bestmöglich zu schützen.

Die Löschung der Daten erfolgt nach vorgegebenen Löschroutinen, die sich an den gesetzlichen Aufbewahrungsfristen orientieren. Sofern keine gesetzlichen Aufbewahrungspflichten bestehen, löschen wir die Daten, sobald sie für den ursprünglichen Zweck nicht mehr erforderlich sind. Bei der Löschung von Daten orientieren wir uns an der Norm DIN 66399.

Weitere Informationen zur Datensicherheit bei SoSafe finden Sie in unserem Whitepaper zu Sicherheit und Vertrauen.

5. Benachrichtigung über Datenschutz-verletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten sind ggf. Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) zu erfüllen und die verantwortliche Stelle sowie die betroffenen Personen zu benachrichtigen (Art. 34 DSGVO). Zu diesem Zweck haben wir entsprechende Meldeprozesse eingerichtet und unsere Meldewege einschließlich der Fristen dokumentiert. Wenn unsere Kunden betroffen sind, werden sie innerhalb von 24 Stunden nach Bekanntwerden der Datenschutzverletzung informiert.

6. Umgang mit den Rechten der betroffenen Personen

Die Anträge der betroffenen Personen werden von unserem Datenschutzbeauftragten und seinem Team (im Folgenden „DSB“) innerhalb der Einmonatsfrist bearbeitet. Nach Eingang des Antrags prüft der DSB die Zuständigkeit von SoSafe. Fällt die Anfrage in den Bereich unserer Tätigkeit als Auftragsverarbeiter, wird sie unverzüglich an die Kontaktperson beim Kunden weitergeleitet, und wir werden den Kunden auf dessen Wunsch im Rahmen unserer Möglichkeiten unterstützen.

7. Kontakt

Datenschutz und Datensicherheit sollen sowohl in der Produktentwicklung als auch in unserer täglichen Arbeit stets präsent sein. Deshalb haben wir ein starkes internes Team:

Neben unserem Datenschutzbeauftragten und unserem Chief Information Security Officer unterstützt ein erfahrenes Rechts- und Informationssicherheitsteam in allen Fragen des Datenschutzes (privacy@sosafe.de) und der Datensicherheit (security@sosafe.de).

8. Dokumente, Richtlinien und Auftrags-daten-verarbeitung

Die zwischen SoSafe und allen unseren Kunden abgeschlossene Auftragsverarbeitungsvereinbarung entspricht den Anforderungen der DSGVO, enthält alle relevanten Informationen und einen Überblick über die getroffenen technischen und organisatorischen Maßnahmen. Darüber hinaus stellen wir Ihnen gerne unsere Zertifikate, Transfer Impact Assessment, und – sofern für Sie relevant – weitere Informationen zur Verfügung. Einige unserer Richtlinien und Dokumente sind als interne Dokumente eingestuft. Wir bestätigen Ihnen gerne die Umsetzung der getroffenen Maßnahmen, bitten aber um Verständnis, dass wir die Dokumente selbst nicht weitergeben können.

Status: Januar 2023