Erfahrungen & Bewertungen zu APPRENTIO®

APPRENTIO

Datenschutz und Datensicherheit bei APPRENTIO
Mit Sicherheit eine gute Entscheidung.

Datenschutz und IT-Sicherheit

Datenschutz und Informationssicherheit sind zentraler Bestandteil von APPRENTIO. Das ist kein Marketing Bla-Bla, sondern gelebte Realität.

Der Schutz deiner Daten und dein Vertrauen sind uns sehr wichtig. Schließlich haben wir selbst im Team auch keine Lust auf Anbieter, die sorglos mit unseren Daten umgehen. Und wir möchten, dass du dich mit APPRENTIO wohlfühlst.

Darum haben wir technische und organisatorische Maßnahmen implementiert, die die Sicherheit der Verarbeitung deiner Daten gewährleisten. Das wird im Rahmen unserer eigenen Zertifizierung gemäß der Norm ISO/IEC 27001:2013 und und in Zusammenarbeit mit unserer externen Datenschutzbeauftragten regelmäßig überprüft.

APPRENTIO erfüllt alle Anforderungen der EU-Datenschutz-Grundverordnung und ist als Organisation sowie als Software datenschutzkonform gemäß EU-DSGVO. Das gilt grundsätzliche für alle Versionen!

Sichere Anmeldung

user-shield
Datenschutz- Einstellungen
user-lock
Privatsphäre- Einstellungen
users-gear
Rollen- und Berechtigungen
brackets-curly
Privacy-by-Default Privacy-by-Design
shield
Server in Deutschland

Deine Privatsphäre

Komplett DSGVO-konform

badge-check
ISAE 3402 Certified Data Center
badge-check
ISO 50001 Certified Data Center
badge-check
ISAE 27001 Certified Data Center
badge-check
ISO 9001 Certified Data Center
badge-check
ISO 27001 zertifiziert

Sichere Infrastruktur

Antworten auf häufig gestellte Fragen

Hier findet ihr eine Übersicht der Antworten von häufig gestellten Fragen zum Thema Datenschutz

Ja, bei der Beratung in Datenschutzfragen sowie für die Unterstützung als betriebliche Datenschutzbeauftragte setzen wir auf die ausgewiesene Expertise der Rechtsanwältin und IT-Expertin Carola Sieling (Technologiewerft GmbH).

Mehr Informationen zum Theme Datenschutz kannst du auch unserem Trust-Center entnehmen.

Zunächst einmal werden alle Teammitglieder von APPRENTIO auf Vertraulichkeit bzw. den Datenschutz im Allgemeinen verpflichtet und mit den entsprechenden Konsequenzen im Falle eines Verstoßes vertraut gemacht. Das ist Standard.

Darüber hinaus werden regelmäßige Schulungen und Sensibilisierungsmaßnahmen zum Umgang mit personenbezogenen Daten und Datenschutz durchgeführt und dabei auch auf gesetzliche Neuerungen wie die EU Datenschutz-Grundverordnung (EU-DSGVO) eingegangen. Dafür sorgt unsere Datenschutzbeauftragte.

Datenschutz und IT-Sicherheit sind auch integrativer Bestandteiel aller Team Jour-Fixes, regelmäßiger Besprechungen und Sprints. Dafür sorgt das gesamte Team. Sämtliche Aktivitäten und Maßnahmen werden geplant, im DSMS protokolliert und überprüft.

Da wir als WABSOLUTE GmbH selbst über eine gültige ISO/IEC 27001 Zertifizierung verfügen, haben wir nachweislich ein gesteuertes Datenschutzmanagementsystem (DSMS) mit integriertem Informationssicherheitsmanagementsystem (ISMS) implementiert.

Durch Workflows und Regelprozesse stellen wir sicher, dass wir APPRENTIO sicher und nach aktuellstem Stand der Technik entwickeln, betreiben und supporten. Dabei streben wir eine kontinuierliche Verbesserung der Prozesse und Strukturen im Datenschutz und der Informationssicherheit an.

Neben der Bestellung unserer externen Datenschutzbeauftragten und der regelmäßigen Schulung der Teammitglieder haben wir zudem ein Datenschutz- und Informationssicherheits-Team eingerichtet, um der Sicherheit bei allen Verarbeitungsprozessen und internen Vorgängen höchste Priorität beizumessen.

Des Weiteren arbeiten wir eng mit wesentlichen Entscheidungsträgern und Gremien im Datenschutz und der IT-Sicherheit zusammen und engagieren uns in bundesweiten Vereinigungen (z.B. bei der Allianz für Cybersicherheit).

Na klar doch! Sowohl unsere Kunden als verantwortliche Stelle als auch wir als Auftragsverarbeiter sind nach Art. 28 EU-DSGVO sogar dazu verpflichtet, einen entsprechenden Vertrag zu schließen.

Dazu haben wir dir eine entsprechende AV-Vorlage inkl. TOM entwickelt, die wir dir zum Vertragsschluss im elektronischen Format anbieten. Die Vorlage findest du im Info-Center. Hier findest du auch weitere Informationen zu Datenschutz & IT-Sicherheit bei APPRENTIO.

Wenn du deine eigene Vertragsvorlage zur Auftragsdatenverarbeitung nutzen möchtest, ist das natürlich kein Problem. Aber bitte habe Verständnis dafür, dass für die rechtliche Prüfung und das individuelle Ausfüllen zusätzlicher Aufwand bei uns entsteht, den wir dir in Rechnung stellen müssen. Die Konditionen hierfür findest du in der Preisliste (auch im Info-Center verfügbar).

Ja. Darauf achten wir besonders. Datenschutz und Datensicherheit sind integraler Bestandteil unserer Produktstrategie und damit achten wir bei der Entwicklung unserer Funktionen bereits auf Prinzipien wie Datensparsamkeit sowie den Einsatz von Maßnahmen nach dem Stand der Technik zur Sicherstellung eines angemessenen Schutzniveaus. Das haben wir in internen Richtlinien manifestiert und “leben” es innerhalb der agilen Softwareentwicklung.

Wir achten darauf, dass die Anwendung ein höchstmögliches Niveau an Datenschutzfreundlichkeit bei gleichzeitiger Nutzerfreundlichkeit erreicht. Das dauert zwar etwas länger, lohnt sich allerdings für alle Beteiligten.

Zudem sind die Einstellungen grundsätzlich so konzipiert, dass der Kunde sie nach seinen Bedürfnissen selbst anpassen kann. Um dies auch fortlaufend zu gewährleisten, haben wir zudem einen Prozess definiert, um gesetzliche Anforderungen kontinuierlich in den Produktentwicklungsprozess einzuspeisen und die Anwendung daraufhin in regelmäßigen Abständen zu überprüfen.

Ja, APPRENTIO erfüllt alle Anforderungen der EU-Datenschutz-Grundverordnung. Unsere Organisation und die Software sind vollständig datenschutzkonform gemäß EU-DSGVO.

Du kannst sicher sein, dass wir die aktuellen gesetzlichen Anforderungen wie Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 EU-DSGVO) oder auch die Unterstützung des Kunden bei der Wahrung der Betroffenenrechte wie Recht auf Löschung, Auskunftsrecht oder Recht auf Datenübertragbarkeit (Kapitel 3 EU-DSGVO) erfüllen und auch fortlaufend erfüllen werden.

Du kannst z.B. die Daten der Nachwuchskräfte sowohl automatisch wie manuell löschen und Mitarbeiterdaten entweder anonymisieren oder komplett und sicher löschen. Aufgrund des Self-Service Ansatzes von APPRENTIO können Nutzende zudem selbst direkt jederzeit Einsicht in ihre personenbezogenen Daten nehmen. Zudem können Mitarbeiter:innen ihre Daten / Dateien komplett im maschinenlesbaren Format exportieren. Nutzer haben in ihrem Profil eigene Privatsphäre-Einstellungen und können Sicherheitseinstellungen (2FA, …) vornehmen.

Weitere Informationen dazu findest du in der Funktionsübersicht.

Ja, alle personenbezogenen oder personenbeziehbaren Daten, die von der APPRENTIO-Anwendung an einen Client oder zu anderen Plattformen übertragen werden, müssen mittels Transport Layer Security (TLS) verschlüsselt werden, insbesondere auch HTTPS. Damit muss zunächst eine gesicherte Verbindung zwischen den beiden Verbindungspartnern (Client und Server) aufgebaut werden, bevor eine Datenübertragung erfolgen kann.

APPRENTIO® wird als Software-as-a-Service-Anwendung nicht bei dir in der eigenen IT-Infrastruktur installiert. Das Hosting erfolgt in sicheren Web-Clustern im Telehouse Rechenzentrum in Frankfurt am Main. Die genutzten Rechenzentren sind ISO-/IEC 27001 zertifiziert und erfüllen unsere hohen Anforderungen an die physische Sicherheit der Daten unserer Kunden.

Die IT-Infrastruktur managed unser langjähriger Hostingpartner maxcluster GmbH, einer der erfolgreichsten eCommerce-Hoster in Deutschland.

Weitere Informationen zu Datenschutz & IT-Sicherheit findest du im Info-Center.

Grundsätzlich haben weder Mitarbeiter*innen in den Rechenzentren noch bei unserem Hostingpartner Zugriff auf die Daten unserer Kunden. Auf Seiten von APPRENTIO® nehmen nur unser Development-Team (serverseitig) sowie unsere Produktverantwortlichen und die Teammitglieder des Service-Teams (kundensystemseitig) anlassbezogen und nach vorheriger Zustimmung des Kunden Zugriff. Der ist notwendig, um bei der initialen Einrichtung des Accounts sowie bei der Bearbeitung von Serviceanfragen zu unterstützen. Die Vergabe von Zugriffsrechten erfolgt protokolliert und nach dem “Need-to-Know”-Prinzip. Zusätzlich ist der Zugriff auf Kundensysteme protokolliert.

Wir setzen serverseitig ein host-basiertes Angriffserkennungssystem zur Überwachung von Parametern wie auffälligen Log-Einträgen, Signaturen bekannter Rootkits und Trojaner, Auffälligkeiten im Device File System, oder klassischen Bruteforce-Angriffen ein.

Diese Parameter werden regelmäßig auf Auffälligkeiten untersucht. Im Falle einer Auffälligkeit werden die zuständigen Teammitglieder im Betrieb und Entwicklung sofort informiert, um Gegenmaßnahmen zu ergreifen (Security Monitoring).

Zudem werden anwendungsseitig alle wesentlichen Aktivitäten (dabei insbesondere Change-, Delete-, Update-Operationen) protokolliert, um unautorisierte Zugriffe und Veränderungen an Daten auf Anfrage nachweisen zu können.

Zugänge erfolgen ausschließlich über personalisierte Benutzeraccounts, die eindeutig einer Person zugeordnet sind. Die Anmeldung erfolgt mit Benutzernamen und einem Passwort, welches bei initialem Login entsprechend der in der Anwendung implementierten sicheren Passwort-Richtlinie geändert werden muss. Zusätzlich empfehlen wir unseren Kunden die Verwendung der 2-Faktor-Authentifizierung (2FA), um ein höheres Schutzniveau zu erreichen. Diese Einstellung kann für alle Personen global verpflichtend oder optimal vorgenommen werden.

Für alle Kunden, die die Funktion Single Sign-On (SSO) verwenden, erfolgt die Authentifizierung über den Authentifizierungsserver gem. SAML 2.0. Siehe hierzu auch die Beschreibungen in der Funktionsübersicht.

APPRENTIO verfügt über ein Rollen- und kontextbezogenes Berechtigungssystem. Grundsätzlich sind die Zugriffsrechte so konzipiert, dass die Anforderungen des Art. 24 EU-DSGVO nach datenschutzfreundlichen Voreinstellungen gewahrt sind. Personen können immer nur die eigenen Daten einsehen.

Über den Kontext und/oder dezidierte Berechtigungen erhalten z.B. Nutzer in der Rolle “Ausbildungsteam” Zugriff auf ausgewählte Daten der Nachwuchskräfte, die in “ihren” Ausbildungsstationen eingesetzt sind. Die Berechtigung auf die Daten wird wieder entzogen, wenn die Nachwuchskräfte die Station wieder verlassen.

Wir setzen insbesondere auf die geo-redundante Auslegung der Server-Infrastruktur (skalierbare Cluster-Strukturen) in Bezug auf Produktiv-Daten und Backups sowie die physische Sicherheit der Rechenzentren (bspw. unterbrechungsfreie Stromversorgung, Alarmanlage, Brandmeldeanlage etc.).

Darüber hinaus betreiben wir mit unserem Hosting-Partner ein kontinuierliches Kapazitätsmanagement zur Überwachung der genutzten und Verteilung notwendiger Ressourcen. Alle Dienste und Anwendungen stehen in einem Cluster auf mehreren Servern redundant bereit. Unser System erkennt jeden Ausfall automatisch und behebt diesen innerhalb einer Minute.

Wir setzen zur Gewährleistung einer angemessenen Verfügbarkeit ein Backup-Konzept für die Datenbank mit den darauf gespeicherten Daten des Auftraggebers sowie das Speichermedium mit entsprechenden gespeicherten Dokumenten nach dem Stand der Technik um. Wir erstellen tägliche Backups vom Dateisystem und allen Datenbanken, die für eine Dauer von vierzehn Tagen vorgehalten werden. Alle Backups werden über ein gesichertes Netzwerk auf einen externen Backupserver sicher übertragen und aufbewahrt.

Die Backups der Datenbank-Systeme werden ausschließlich verschlüsselt gespeichert. Damit ist keine Durchführung eigener Backups durch den Kunden notwendig. Es werden regelmäßige Restore-Tests durchgeführt, um sicherzustellen, dass die Backups ordnungsgemäß gespeichert wurden und im Falle eines Falles wiederherstellbar sind.

Im unwahrscheinlichen Fall eines Totalausfalls des Systems ist durch die redundante Auslegung der Rechenzentren (Produktiv- und Backup-Daten) sichergestellt, dass deine Daten nicht verloren gehen. In diesem Falle werden wir entsprechend unseres Notfallplans/ Disaster Recovery Konzepts die schnellstmögliche Wiederherstellung sicherstellen.

Na dir bzw. deinem Unternehmen natürlich. Der Kunde ist und bleibt “Herr der Daten” und verantwortliche Stelle im Sinne des Art. 24 EU-DSGVO. Dies bedeutet insbesondere auch, dass der Kunde für die Wahrung der Betroffenenrechte (Kapitel 3 EU-DSGVO) verantwortlich ist. APPRENTIO® ist Auftragsverarbeiter und verarbeitet deine Daten damit ausschließlich auf deine Weisung und zu den im Rahmen des Vertrags zur Auftragsverarbeitung geregelten Zwecke.

Das bedeutet konkret, dass APPRENTIO® Daten unter keinen Umständen an Dritte verkauft oder weitergibt. Davon ausgenommen ist eine Weitergabe an etwaig beauftragte Unterauftragnehmer, die im Rahmen des Vertrags zur Auftragsverarbeitung mit unseren Kunden geregelt ist.

Darüber hinaus behalten wir uns vor, ausschließlich vollständig anonymisierte Daten, beispielsweise zu Zwecken des Testens oder der Weiterentwicklung des Produkts, zu verwenden. Eine solche Anonymisierung erfolgt ausschließlich im Rahmen der gesetzlichen Regelungen und berücksichtigt dabei den Stand der Technik sowie die Empfehlungen der Artikel-29-Datenschutzgruppe bzw. des Europäischen Datenschutzausschusses. Anonymisierte Daten bedeuten dabei, dass keinerlei Rückschluss auf Einzelpersonen oder Unternehmen gezogen werden kann. Damit besteht für unsere Kunden hierbei keinerlei Risiko.

Wir legen besonderen Wert darauf, den Datenschutz des Kunden zu wahren. Zusammen mit unserer Datenschutzbeauftragten Carola Sieling haben wir deshalb technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung implementiert, welche wir kontinuierlich weiterentwickeln. APPRENTIO® erfüllt alle Anforderungen der EU-Datenschutz-Grundverordnung und ist als Organisation sowie als Software datenschutzkonform gemäß EU-DSGVO.

Bei Beendigung der Geschäftsbeziehung können weisungsberechtigte Personen des Kunden die Herausgabe der Daten in einem maschinenlesbaren Format beantragen. Für einzelne Personen kann ein vollständiger Datenexport auch manuell angestoßen werden.

Anschließend werden die Daten nach Ablauf der vertraglich definierten Frist unwiederbringlich gelöscht. Grundsätzlich ergibt sich im unwahrscheinlichen Fall der Einstellung des Geschäftsbetriebs durch APPRENTIO keine Abweichung hiervon, da der Kunde “Herr der Daten” und APPRENTIO lediglich Auftragsverarbeiter ist und damit über die personenbezogenen Daten nicht anderweitig verfügen kann/ wird.

Wir führen regelmäßige (mindestens jährliche) Audits unserer Organisation, von Lieferanten/Dienstleistern und der Softwareentwicklung auf Basis der gesetzlichen Anforderungen zum Datenschutz sowie der internen ISMS-Richtlinien durch. Darauf aufbauend findet eine jährliche Managementbewertung der Maßnahmen/Ergebnisse statt.

Die Ergebnisse dieser Audits nehmen wir zum Anlass, um Maßnahmen zu ergreifen, unsere Dokumentationen, Prozesse, Strukturen oder Funktionalitäten sowie technischen und organisatorischen Maßnahmen gemäß PDCA-Zyklus (Demingkreis) weiterzuentwickeln.

Ja. Wir führen regelmäßig Schwachstellenscans zur Überprüfung unserer Anwendung und Infrastruktur durch. Da uns die Sicherheit unserer Systeme und Anwendung und die Angriffserkennung äußerst wichtig ist, führen externe Dienstleister sowie ein internes Dev-Team regelmäßige Penetrationstests durch, um unsere Systeme und Anwendungen auf Fehler und Schwachstellen zu untersuchen. Die Ergebnisse fließen in die jährliche Risikoanalyse mit ein.

Downloads und Links

Sonstige Datenschutzhinweise

Ansprechpartner:innen

Datenschutz-Team

Du erreichst unser Datenschutz-Team von Mo. bis Fr. von 09:00 – 17:00 Uhr.
+49 609 444 32

Security-Team

Du erreichst unser Security-Team von Mo. bis Fr. von 09:00 – 17:00 Uhr.
+49 609 444 32

Sie sehen gerade einen Platzhalterinhalt von pipedrive. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Weitere Informationen

© 2024 WABSOLUTE GmbH • Alle Rechte vorbehalten.