Dies ist die aktuell gültige Fassung. Frühere Fassungen findest du im Archiv unten.
Technische und organisatorische Maßnahmen gem. Art. 32 DS-GVO
cubic solutions gewährleistet für die Auftragsverarbeitung ein angemessenes Schutzniveau. Grundlage ist unser nach ISO/IEC 27001:2022 zertifiziertes Informationssicherheits-Managementsystem, das Richtlinien, Risiken und Maßnahmen laufend steuert und jährlich extern geprüft wird. cubic solutions unterhält keine eigenen Geschäfts- oder Serverräume und keine eigene Rechenzentrumsinfrastruktur; gearbeitet wird mobil in zertifizierten Cloud- und SaaS-Diensten. Die folgenden Maßnahmen fassen den Schutz nach Art. 32 DS-GVO je Kategorie zusammen.
Zutrittskontrolle
Da cubic solutions keine eigenen Geschäfts- oder Serverräume unterhält, wird die physische Sicherheit, also Gebäude- und Raumsicherung, Zutrittsschutz und Brandschutz, durch die eingesetzten, nach anerkannten Standards zertifizierten Cloud- und Rechenzentrumsbetreiber gewährleistet.
Zugangskontrolle
Der Zugang zu Systemen ist über individuelle Benutzerkonten je Mitarbeitenden und eine zentrale Identitäts- und Zugriffsverwaltung geschützt. Es gelten eine Passwortrichtlinie mit Mindestanforderungen und die verschlüsselte Speicherung von Zugangsdaten. Endgeräte sind verschlüsselt und sperren automatisch bei Inaktivität. Eine zentral verwaltete Endpoint-Security (Virenschutz, Firewall, Angriffserkennung) und ein automatisiertes Patch-Management schützen vor Schadsoftware und bekannten Schwachstellen. Der Zugang zum Firmennetzwerk erfolgt nur über gesicherte Verbindungen, und die Systemzugangsberechtigungen werden regelmäßig überprüft. Daten werden verschlüsselt gespeichert, administrative Zugriffe werden protokolliert.
Zugriffskontrolle
Zugriffe auf personenbezogene Daten erfolgen rollenbasiert nach dem Need-to-know-Prinzip. Alle Mitarbeitenden sind vertraglich auf das Datengeheimnis verpflichtet. Ergänzend gelten eine Clean-Desk-Richtlinie und das zentral durchgesetzte Verbot nicht autorisierter Software-Installationen.
Weitergabekontrolle
Bei der Übertragung werden personenbezogene Daten geschützt: E-Mails können verschlüsselt versendet werden, Endgeräte und Datenträger sind verschlüsselt, und die Übertragung läuft über die gesicherten, verschlüsselten Verbindungen (TLS) der eingesetzten Cloud-Dienste. Übertragungsvorgänge werden protokolliert, und der Einsatz privater Datenträger für Datentransporte ist untersagt.
Eingabekontrolle
Über individuelle Benutzerkonten und rollenabhängige Zugriffsbeschränkungen ist nachvollziehbar, wer auf Daten zugreift. Administrative Änderungen werden protokolliert.
Auftragskontrolle
Externe Dienstleister werden sorgfältig nach Datenschutzgesichtspunkten ausgewählt, vertraglich verpflichtet und regelmäßig kontrolliert. Personenbezogene Daten werden ausschließlich nach Weisung des Auftraggebers verarbeitet, und wir führen eine Übersicht der eingesetzten Dienstleister. Mitarbeitende werden regelmäßig im Datenschutz geschult. Der Datenschutzbeauftragte wird bei neuen oder geänderten Verarbeitungsverfahren eingebunden.
Verfügbarkeitskontrolle
Daten werden regelmäßig und automatisiert auf getrennten Systemen gesichert; für die Wiederherstellung bestehen ein Backup-Konzept und Disaster-Recovery-Verfahren. Ein Notfallplan sowie externe Audits und Sicherheitstests ergänzen die Sicherung. Redundanz, geografisch getrennte Rechenzentren, unterbrechungsfreie Stromversorgung, Klimatisierung und Brandschutz werden über die eingesetzten zertifizierten Cloud-Anbieter sichergestellt.
Trennungskontrolle
Kunden- und Projektdaten werden logisch getrennt verarbeitet: je Kunde bzw. Kontext bestehen eigene Arbeitsbereiche, auf die nur die jeweils berechtigten Personen Zugriff haben.
Prüf- und Kontrollverfahren
Wir überprüfen unsere Maßnahmen regelmäßig. Es bestehen Prozesse für den Umgang mit Datenschutzvorfällen und für die Wahrung von Betroffenenrechten. Das Verzeichnis von Verarbeitungstätigkeiten wird aktuell gehalten, die technischen und organisatorischen Maßnahmen sowie die Datenverarbeitungsprozesse werden regelmäßig überprüft und dokumentiert, und der Datenschutzbeauftragte wird bei neuen oder geänderten Verfahren einbezogen.
