Wie ONLYOFFICE die DSGVO-Vorgaben erfüllt

ONLYOFFICE begrüßt, dass die neue Datenschutz-Grundverordnung am 25. Mai in Kraft tritt. Datensicherheit unserer Benutzer war für uns immer eine der wichtigsten Prioritäten. Jetzt haben wir unsere Datenschutzpolitik völlig an die DSGVO-Standards angepasst.

Erfahren Sie, welche Maßnahmen ONLYOFFICE getroffen hat, um neue Anforderungen zu erfüllen.

Die Datenschutz-Grundverordnung (EU-DSGVO), die im April 2016 vom EU-Parlament verabschiedet wurde, zielt darauf ab, Einzelpersonen vor Verletzungen ihrer Datensicherheit zu schützen. Die DSGVO legt fest, auf welche Weise Unternehmen, die mit den EU-Bürgern arbeiten, personenbezogene Daten verarbeiten müssen.

Die wichtigsten Prinzipien sind:

• Unternehmen üben den sogenannten Daten-Minimalismus aus und sammeln nur die Daten, welche für die Erfüllung ihrer Aufgaben absolut notwendig sind.
• Daten werden nur auf legale und transparente Weise verwendet, wobei die betroffenen Personen darüber informiert werden, welche personenbezogenen Daten verarbeitet werden, auf welche Weise und zu welchen Zwecken.
• Einzelpersonen haben das Recht, auf ihre eigenen persönlichen Daten zuzugreifen, eine Kopie anzufordern, sowie ihre Daten zu aktualisieren, zu löschen, einzuschränken oder in eine andere Organisation zu verschieben.
• Unternehmen müssen technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.

Lesen Sie den Volltext der EU-DSGVO hier.

Das Gesetz beschreibt zwei Typen von Unternehmen, die mit personenbezogenen Daten umgehen:

• Die für die Datenverarbeitung Verantwortlichen (Data controllers) legen fest, für welchen Zweck personenbezogene Daten verarbeitet werden und wie dies geschieht.
• Die Auftragsverarbeiter (Data processors) verarbeiten personenbezogene Daten im Auftrag eines Verantwortlichen, beispielsweise speichern oder analysieren sie.

ONLYOFFICE gehört zu beiden genannten Typen. Wenn Sie zum Beispiel Informationen über Ihre Kunden in unser CRM-System eingeben, fungieren Sie als für die Datenverarbeitung Verantwortliche, und wir sind ein Auftragsverarbeiter für Sie. Aber wir werden auch Verantwortliche, wenn wir Ihnen Dienstleistungen anbieten und Ihre personenbezogenen Daten verwenden. Daher ist es für uns wichtig, unsere eigene Übereinstimmung sicherzustellen, sowie Ihnen die Rolle eines Verantwortlichen zu erleichtern.

Wir verpflichten uns, die neuen Rechtsvorschriften einzuhalten. Hier ist die Liste der Maßnahmen, die wir getroffen haben, um dies zu erreichen:

Aktualisierte rechtliche Vereinbarungen

Wir haben unsere rechtlichen Vereinbarungen – Allgemeine Geschäftsbedingungen, Datenschutzerklärung und alle Lizenzvereinbarungen – überprüft und alle erforderlichen Änderungen vorgenommen, um die gesetzlichen Bestimmungen einzuhalten. Verbesserungen betreffen die Einwilligung der Benutzer zur Verarbeitung personenbezogener Daten. Auch die Verwendung solcher Daten für Marketingzwecke ist optimiert – wir sammeln jetzt eine eindeutige Zustimmung für Versendung unserer Mitteilungen.

Alle Vereinbarungen finden Sie im Abschnitt ‘Impressum‘ auf der offiziellen Webseite.

Bestellung eines Datenschutzbeauftragten

Timur Shugaev, unser Manager in Lettland, verfügt über Fachkenntnisse im Bereich Datenschutz und Recht. Er ist als Datenschutzbeauftragter für die Einhaltung der Datenschutzvorschriften in unserem Unternehmen und für die Kommunikation mit den DSGVO-Aufsichtsbehörden verantwortlich. Sie können Timur unter diese E-Mail erreichen.

Anpassungen im Datenmanagement

Wir haben unsere Systeme, die mit der Speicherung und Verarbeitung personenbezogener Daten verbunden sind, zugeordnet und analysiert. Wir haben bereits erweiterte Sicherheitsmaßnahmen getroffen. Für uns war es auch wichtig, alle Verfahren einzurichten, damit unsere Benutzer ihre durch die DSGVO garantierten Rechte wahrnehmen können. Darunter sind:

• Auskunftsrecht der betroffenen Person. Sie können den Zugang zu den von ONLYOFFICE gespeicherten personenbezogenen Daten, sowie zu Informationen bezüglich der Datenverarbeitung anfordern, und wir werden dies in elektronischer Form zur Verfügung stellen.
• Das Recht, informiert zu werden. Wir informieren Sie, welche Daten wir verarbeiten, und ob es irgendwelche Subverarbeiter gibt.
• Das Recht auf Vergessenwerden. Wir werden alle Ihre Daten löschen, wenn Sie die weitere Verarbeitung nicht wollen. Wenn Sie beispielsweise die Cloud-Version von ONLYOFFICE benutzen, gehen Sie zur Seite ‘Backup/Deaktivierung’ in Einstellungen und klicken Sie auf den Button ‘Löschen’, um Ihr Portal unwiderruflich zu löschen. Um Ihr Portal ONLYOFFICE Personal zu löschen, gehen Sie zum Profil.
• Das Widerspruchsrecht. Sie können die Verarbeitung Ihrer Daten jederzeit einstellen.
• Das Recht auf Benachrichtigung über alle Datenverluste, welche die personenbezogenen Daten eines Benutzers beeinträchtigen. Wir haben Verfahren so organisiert, dass im unwahrscheinlichen Fall einer Datenverletzung unsere Kunden und die DSGVO-Aufsichtsbehörden innerhalb von 72 Stunden ordnungsgemäß benachrichtigt werden.

Um Zugang, Berichtigung oder Löschung ihrer Daten anfordern, verwenden Sie unser Support-System oder erreichen Sie uns unter support@onlyoffice.com. Bitte beachten Sie, dass Sie ein einfaches Identifikationsverfahren durchlaufen müssen.

Gemäß der DSGVO muss jedes Unternehmen ein starkes Sicherheitsprogramm aufbauen, das bereits bei ONLYOFFICE im Einsatz ist. Sie können ONLYOFFICE aus einer Reihe von Gründen vertrauen:

Zuverlässiges Hosting für Cloud-Lösungen

Amazon hat bereits bestätigt, dass alle seine Dienste entsprechend der DSGVO funktionieren und als wesentlicher Bestandteil der Anpassungsmaßnahmen anderer Unternehmen verwendet werden können. Unter den von Amazon angebotenen Tools, haben wir die folgenden ausgewählt:

• Verschlüsselung der personenbezogenen Daten. Die Dateien werden mit 256-Bit-AES-Verschlüsselung gespeichert, und der Zugriff aufs Portal ist über HTTP mit SSL (Secure Sockets Layer) möglich.
• Regelmäßige Backups, mit denen man Zugriff auf persönliche Daten bei einem physischen oder technischen Vorfall wiederherstellen kann. Sie können auch manuelle Backups durchführen, wobei Daten in einem Speicher von Drittanbietern oder auf Ihrem lokalen Laufwerk gespeichert sind.
• Regelmäßige Tests und Bewertungen der Wirksamkeit von technischen und organisatorischen Maßnahmen zum Schutz der Privatsphäre und Sicherheit.

Authentifizierungsfilter und Monitoring

ONLYOFFICE bietet eine Reihe von Funktionen zum Schutz Ihres Web-Offices in der Cloud oder auf dem Server:

• Zwei-Faktor-Authentifizierung;
• die Single-Sign-On Funktion über Shibboleth, OneLogin und AD FS;
• Einschränkungen für IP- und Mail-Domains;
• Anmeldeverlauf;
• Audit-Trail-Berichte.

Zugriffsverwaltung und Verhinderung von Datenlecks

Sie können sicher sein, dass niemand Zugriff auf die personenbezogenen Daten Ihrer Kunden erhält:

• Daten lokal speichern. ONLYOFFICE kann in einem privaten Netzwerk laufen. Weitere Tipps, wie Sie Ihr serverbasiertes Office schützten können, finden Sie hier.
• JWT-basierter Schutz vor unbefugtem Zugriff. Diese Technologie sichert den Portalverkehr und garantiert, dass Benutzer nicht auf mehr Daten zugreifen können, als ihnen erlaubt ist, was im Falle einer externen Benutzereinladung von entscheidender Bedeutung ist.
• HTTPS für privaten Server. ONLYOFFICE ermöglicht die Verschlüsselung Ihres Datenverkehrs durch das Verschieben von eigenen Serverportalen in das HTTPS-Protokoll, unabhängig davon, ob Sie bereits ein SSL-Zertifikat besitzen oder nicht.
• Verwaltung der Zugriffsrechte. Ordnen Sie Zugriffsrechte für Portalmodule und Daten für jeden Benutzer oder jede Gruppe an, um die personenbezogenen Daten vor unerwünschten Blicken und Insideraktionen zu schützen.

Erfahren Sie mehr über das ONLYOFFICE Sicherheitsprogramm hier.

Zum Schluss möchten wir betonen, dass wir das Gesetz völlig unterstützen. Wir haben die Daten unserer Benutzer stets mit Respekt behandelt und werden so immer tun.

Bei allen Fragen bezüglich der DSGVO und ONLYOFFICE erreichen Sie uns bitte unter support.onlyoffice.com.