Privacy

Datenschutz & Informationssicherheit

Unsere Kunden vertrauen uns im Rahmen der Software-Nutzung und bei Projekten zahlreiche sensible Daten an. Diese zu schützen ist für uns existenziell notwendig – ein Datenverlust kann Schäden zur Folge haben, die für unser Unternehmen (lebens-)bedrohlich wären.

Es unsere Aufgabe und unser Ziel, sensible und personenbezogene Daten vertraulich zu behandeln und in hohem Maße zu schützen sowie die d.vinci Software-Produkte in ihrer Verfügbarkeit so zu sichern, dass Ausfallzeiten und Datenverlust auf ein Minimum begrenzt werden.

 

Nina Rahn
Nina
Geschäftsführung
Alex d.vinci Datenschutz
Alexander
Team IT Administration
Alex d.vinci Datenschutz
Alex
Team IT Administration
Frank
Externer Datenschutzbeauftragter
Holger d.vinci Datenschutz
Holger
Team IT Administration
Matthias d.vinci Datenschutz
Matthias
Datenschutz
Ralf d.vinci Datenschutz
Ralf
Informationssicherheit
Uwe d.vinci Datenschutz
Uwe
Team IT Administration
d.vinci Security Board

Die DSGVO – Grundlage für den Schutz der Daten

Bei d.vinci werden personenbezogene Daten nach den jeweils geltenden datenschutzrechtlichen Vorschriften verarbeitet. Einschlägige Rechtsvorschriften sind dabei die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG), die ISO 27001 sowie ggf. bereichsspezifische Rechtsvorschriften.

Dies gilt nicht nur für uns als Unternehmen, sondern auch in der Zusammenarbeit mit Dienstleistern, Lieferanten und Partnern. Jeder weitere Geschäftsprozess, der mit einer Verarbeitung personenbezogener Daten einhergeht, wird von uns auf die Einhaltung der rechtlichen Vorgaben überprüft.

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

Prinzipien des Datenschutzes bei d.vinci

Das höchste Gut ist das Vertrauen unserer Kunden. Somit ist es für uns essenziell wichtig in allen Projekten, Prozessen und Entscheidungen die Anforderungen an den Datenschutz zu berücksichtigen und potenzielle Risiken zu betrachten.

Auch wenn Datenschutzvorfälle und Informationssicherheitsvorfälle auftreten können: es ist unser Ziel, auf erkannte Risiken so zu reagieren, dass wir die Vorfälle zügig erkennen, geeignete Gegenmaßnahmen einleiten können und kein Schaden für unsere Kunden und Mitarbeiter:innen entsteht.

Hohe Professionalität und Qualität

in unserer Beratung, Software und unseren Dienstleistungen sicherstellen.

Integrität und Vertraulichkeit wahren

von personenbezogenen und schützenswerten Daten.

Ausfälle und Datenverlust begrenzen

und auf ein tolerierbares Minimum reduzieren.

Betriebsgeheimnisse schützen

durch die Vereinbarung & Einhaltung unserer technisch-organisatorischer Maßnahmen (TOM).

Gesetzliche Rahmen-bedingungen einhalten

Datenschutzgesetze sowie Informationssicherheitsnormen beachten und berücksichtigen.

Softwarelösungen sicher gestalten

Innovativ sein, aber gleichzeitig robust und datenschutzsicher entwickeln.

Schützenswerte Rechte & Daten

Personenbezogenen Daten, die Privatsphäre der Betroffenen und das Recht auf informationelle Selbstbestimmung schützen.

Hereinspaziert: Transparenz & Dialog

Kaum ein Thema beschäftigt unsere Kunden so sehr wie der Schutz ihrer Daten – verständlich, immerhin vertrauen sie uns sensible Daten an. Umso wichtiger ist es uns, jedem die Möglichkeit zu geben, sich selbst einen Eindruck zu machen, wie Datenschutz bei uns gelebt, berücksichtigt und überprüft wird. Gerne öffnen wir für Kunden und Interessenten unsere Türen – vor Ort im Hamburger Büro oder auch virtuell!

Pentests durchführen

Gerne geben wir unseren Kunden die Möglichkeit selbst Penetrationstests (Pentests) durchzuführen, um die Sicherheit aller Systembestandteile auf ein unautorisiertes Eindringen zu prüfen. Im Anschluss wir besprechen wir die Ergebnisse dann mit euch.

Audits bei d.vinci machen

Um zu prüfen ob Prozesse, Anforderungen und Richtlinien die geforderten Standards erfüllen, laden wir unsere Kunden gerne ein selbst Audits bei d.vinci zu machen. Wir vereinbaren dafür einen Termin mit euch und nehmen uns dann – virtuell oder vor Ort in unserem Hamburger Büro – Zeit für eure Fragen.

Mit dem Datensicherheitsteam austauschen

Unser Datensicherheitsteam ist immer persönlich für euch da. Vor allem Ralf (zum Interview) & Matthias (zum Interview) pflegen einen tollen Kontakt zu unseren Kunden und beantworten, neben allen Fragen rund um die Sicherheit bei d.vinci, auch mal die eine oder andere allgemeine Frage zu Datenschutz und Informationssicherheit.

Datenschutz im d.vinci Arbeitsalltag

Das Datenschutzmanagementsystem (DSMS) und das Informationssicherheitsmanagementsystem (ISMS) führen bei d.vinci kein Schattendasein, sondern sind in der tagtäglichen Arbeit aller Mitarbeiter:innen verankert, ohne als “Ballast” wahrgenommen zu werden.

Um das zu erreichen, legen wir sowohl großen Wert auf rechtskonforme, aber auch eine pragmatische Anwendung der Datenschutzgesetze und der ISO 27001 Norm. Nur so können wir sicherstellen, dass unsere Mitarbeiter:innnen Datenschutz gerne in ihren Entscheidungen berücksichtigen und regelmäßig hinterfragen.

Dafür ist es wichtig, dass

  • Dokumente leicht verständlich sind und gerne gelesen werden.
  • es eine praktikable Methode zur Risikobewertung gibt, die sich am alltäglichen Bedarf orientiert.
  • jederzeit Feedback von Mitarbeiter:innen über die Wahrnehmung und Wirksamkeit des DSMS und des ISMS in Verbesserungen einfließt.
  • wir schnell aus Erfahrungen und Rückmeldungen unserer Kunden lernen und wir unsere Systeme regelmäßig auditieren lassen, um Verbesserungspotenziale zu erkennen und umzusetzen.
  • wir durch interne Botschafter:innen den Nutzen der Informationssicherheit und des Datenschutzes für alle Teammitglieder transparent machen.
  • wir lernfähig sind und uns, sowie unsere Regelungen, regelmäßig überprüfen und verbessern.

Qualität aus dem Norden

Rechenzentrum, Softwareentwicklung & Service/Support in Hamburg

Direkter Kontakt zu uns

Unser Datensicherheitsteam ist immer persönlich für euch da

ISO 27001 Zertifizierung

Wir setzen ein starkes Zeichen für die Sicherheit von Informationen, Daten und Systemen.

Zertifikate & Berichte zum Download

ISO 27001 Zertifikat

Hier findest du das aktuelle ISO 27001 Zertifikat zum Download.

Anwendungsbereich der ISO 27001

In diesem Dokument ist definiert, in welchen Bereichen des Unternehmens unsere ISO 27001 Zertifizierung Anwendung findet.

Leitlinie Informationssicherheit

Scope, Ziele & Anforderungen, damit die Informationssicherheit gewährleistet werden kann.

Leitlinie Datenschutz

Scope, Ziele & Anforderungen, damit die Rechtsvorschriften zur Verarbeitung personenbezogener Daten eingehalten werden.

Jahresbericht des Datenschutzbeauftragten 2021

Prüfergebnis des Datenschutzbeauftragten sowie Stellungnahme zu den technischen & organisatorischen Maßnahmen gem.
Art. 32 DS-GVO.

Auftragsverarbeitungsverträge (AVV)

Alle Rahmenverträge & Einzelvereinbarung zu den d.vinci Produkten zum Download.

Fragen & Antworten

FAQ rund um Datenschutz & Informationssicherheit bei d.vinci

Welche Grundsätze für den Umgang mit personenbezogenen Daten gelten bei d.vinci?

Das Thema Datenschutz soll bei d.vinci soll kein Schattendasein führen, sondern in der tagtäglichen Arbeit aller Mitarbeiter:innen verankert sein, ohne als “Ballast” wahrgenommen zu werden.

Wir glauben, dass das Wissen unserer Mitarbeiter:innen die beste Basis für stetige Verbesserung ist. Wir ergreifen Maßnahmen, um das Feedback und das Wissen der Mitarbeiter:innen transparent zu machen und in die Verbesserung des Datenschutzes einfließen zu lassen. Weiterhin lassen wir uns regelmäßig auditieren, um Verbesserungspotenziale zu erkennen und umzusetzen. Unsere Mitarbeiter:innen erhalten regelmäßig Schulungen zum Thema Datenschutz und Informationssicherheit. Teil der Schulungen ist beispielsweise der Umgang mit Datenschutzverletzungen. Sofern spezielle Datenschutzregeln für eine Abteilung erforderlich sind, erhalten die betreffenden Mitarbeiter:innen hierzu eine separate Schulung. In den Schulungen der Mitarbeiter:innen gehen wir insbesondere auf die Grundsätze für den Umgang mit personenbezogenen Daten bei d.vinci ein:

  • Rechtmäßigkeit der Verarbeitung: Es muss eine Rechtsgrundlage für die Verarbeitung vorliegen.
  • Verarbeitung nach Treu und Glauben: Die Verarbeitung der Daten muss redlich und anständig sein (fair).
  • Transparenz: Wir müssen die Betroffenen über die Datenverarbeitung informieren und die Betroffenen haben Auskunftsrechte darüber, welche personenbezogenen Daten wir verarbeiten.
  • Zweckbindung: Die Zwecke der Datenverarbeitung müssen dabei bereits bei der Erhebung personenbezogener Daten festgelegt, eindeutig und legitim sein.
  • Datenminimierung: Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden.
  • Richtigkeit der Datenverarbeitung: Personenbezogenen Daten müssen sachlich richtig sein. Unrichtige Daten sind unverzüglich zu löschen.
  • Speicherbegrenzung: Mit der normierten Speicherbegrenzung dürfen personenbezogene Daten nur in einer Form gespeichert werden, die die Identifizierung der Person nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist.
  • Integrität und Vertraulichkeit: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.

Was passiert wenn es zu einem Datenschutzvorfall bei d.vinci kommt

Zunächst müssen Datenschutzvorfälle von unseren geschulten Mitarbeiter:innen bei d.vinci unverzüglich der Geschäftsführung, dem externen Datenschutzbeauftragten, dem internen Datenschutzberater und dem Informationssicherheitsbeauftragten gemeldet werden. Anschließend müssen unverzüglich die Betroffenen und die Datenschutzbehörde informiert werden. Die Prozesse und das Verfahren werden regelmäßig bei d.vinci geschult und getestet.

Wo werden die Daten gespeichert?

Unsere Server stehen im Rechenzentrum pop-interactive in Hamburg. Es handelt sich um eine SAAS-Lösung, und nur wir (d.vinci) haben Zugang zu den Servern und administrieren diese, niemand sonst. Vom Rechenzentrum nehmen wir nur die umliegende Infrastruktur in Anspruch (Brandschutz, etc.).

Existiert ein Disaster Recovery Plan?

Ja. Die Daten werden nach einem etablierten Verfahren täglich gesichert und verschlüsselt außerhalb des Rechenzentrums in einer Cloud gespeichert. So können die Systeme mit den gesicherten Daten im Falle eines “Disasters” wiederhergestellt werden. Die einzelnen Schritte hierfür sind dokumentiert und werden regelmäßig getestet.