Datenschutz und Informationssicherheit haben für uns höchste Priorität. Wir arbeiten kontinuierlich daran, unsere Sicherheitsstandards zu verbessern und Ihnen einen angemessenen Schutz zu bieten.
Es ist uns ein besonderes Anliegen, Sie dabei zu unterstützen, datenschutzkonform arbeiten zu können. Wenn Sie Fragen, Anregungen, Wünsche oder Empfehlungen haben, schreiben Sie uns gerne an info@onboard.org.
Bietet onboard spezielle Funktionen zur Einhaltung der DSGVO an?
Ja, wir bieten besondere Funktionen, die es Ihnen ermöglichen, im Einklang mit der DSGVO zu arbeiten. Dazu gehören z.B. die Einholung von Einwilligungen im Bewerbungsprozess zur längeren Speicherung von Bewerberdaten, die Verwaltung von Aufbewahrungsfristen sowie die Unterstützung bei der Wahrnehmung der Rechte betroffener Personen, wie Auskunft oder Löschung ihrer personenbezogenen Daten etc.
Bieten Sie einen Auftragsverarbeitungsvertrag (AVV) an?
Ja, wir stellen Ihnen einen umfassenden Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zur Verfügung. Dieser Vertrag regelt die Verarbeitung personenbezogener Daten in Ihrem Auftrag und stellt sicher, dass alle gesetzlichen Anforderungen erfüllt sind. Der Abschluss dieses Vertrags ist eine Voraussetzung für unsere Zusammenarbeit.
Verwendet onboard Sub-Auftragsverarbeiter?
Ja, wie praktisch jeder SaaS-Anbieter setzen auch wir Sub-Auftragsverarbeiter ein. Diese werden von uns vor der Implementierung sorgfältig geprüft. Im Auftragsverarbeitungsvertrag (AVV) stellen wir Ihnen eine detaillierte Übersicht zur Verfügung, welche Sub-Auftragsverarbeiter wir verwenden, welche Verarbeitungstätigkeiten diese durchführen, wo die Verarbeitung stattfindet und ob es sich um optionale oder obligatorische Sub-Auftragsverarbeiter handelt.
Welche Maßnahmen ergreift onboard für die Sicherheit der personenbezogenen Daten?
Wir setzen umfangreiche technische und organisatorische Maßnahmen um, die in unserem Auftragsverarbeitungsvertrag (AVV) aufgeführt sind. Dazu gehören unter anderem die Verschlüsselung der Daten während der Übertragung und im Ruhezustand, Mandantentrennung, regelmäßige Sicherheits-Tests wie Penetrations- und Schwachstellen-Tests sowie der Einsatz von Virenschutz und Firewalls etc. Zudem stellen wir sicher, dass bei physischen oder technischen Zwischenfällen die Verfügbarkeit der Daten und der Zugang zu ihnen rasch wiederhergestellt werden können (siehe unsere Informationen zum Backup-Management) Organisatorisch entwickeln und implementieren wir z.B. Sicherheitsrichtlinien, führen regelmäßige Schulungen unserer Mitarbeiter*innen im Bereich Datenschutz und Informationssicherheit durch und setzen Zugangskontrollen sowie ein Berechtigungsmanagement ein.
Werden Ihre Mitarbeiter*innen auf Datensicherheit geschult?
Ja, bereits beim Eintritt ins Unternehmen werden unsere Mitarbeiter*innen entsprechend geschult und sind zur Einhaltung bestimmter Richtlinien verpflichtet, wie z.B. Passwortrichtlinien, Richtlinien zur Telearbeit und Mobile Computing, Clean-Desk-Policy, Richtlinien zur Nutzung von E-Mail und Internet sowie Notfallpläne. Wir legen großen Wert darauf, dass diese Maßnahmen in der Praxis gelebt werden. Durch regelmäßige Gespräche und Weiterbildungen unterstreichen wir die Wichtigkeit von Datenschutz und Informationssicherheit, klären Fragen und unterstützen unsere Mitarbeiter*innen bei der Einhaltung. Zudem haben wir ein verpflichtendes Security-Awareness-Training implementiert, das monatliche Schulungen im Bereich Cybersecurity vorsieht und unsere Mitarbeiter*innen für aktuelle Bedrohungen sensibilisiert.
Wie können wir das Zugriffs-Risiko, das von den eigenen Mitarbeitern bzw. Nutzern ausgeht, einschränken?
Wir unterstützen Sie hierbei, indem wir etwa den Einstieg über Single-Sign-On (SSO) oder mit Zwei-Faktor-Authentifizierung (2FA) ermöglichen, oder Ihnen die Einstellung eines erhöhten Sicherheitsniveaus ermöglichen (z.B. durch Festlegung der Passwort-Stärke oder einer automatischen Nutzer-Abmeldung nach einer bestimmten Zeit).
Wo werden unsere Mitarbeiter- bzw. Bewerber-Daten gespeichert?
Die Bewerber- und Mitarbeiter-Daten werden innerhalb der EU in ISO27001 zertifizierten Servern bei AWS gehostet. Wir ergreifen zusätzliche Sicherheits-Maßnahmen, indem die Daten im Ruhezustand (at-rest) mit einem Key Management System (KMS) verschlüsselt werden, und nur wir Zugriff auf diese Schlüssel haben. Dafür wird die AES-256-Bit Verschlüsselungsmethode verwendet. Die Verschlüsselung umfasst S3-Speicher, Produktionsdatenbank und die Datenbank-Backups. Alle Passwörter werden zum zusätzlichen Schutz vor Offline-Angriffen mit starken Hash-Algorithmen und weiteren Methoden (wie Salting) gehasht.
Wie lange werden unsere Daten gespeichert?
Wir verarbeiten Ihre Daten ausschließlich nach Ihren Weisungen und speichern sie nur so lange, wie Sie dies wünschen. Sie haben jederzeit die Möglichkeit, Ihre Daten zu löschen oder zu exportieren.
Wie unterstützt onboard Kunden mit erhöhten Sicherheitsanforderungen, insbesondere im Hinblick auf die NIS-2-Richtlinie und die DORA-Verordnung?
Wir sind uns der besonderen Anforderungen bewusst, die sich aus Rechtsakten wie NIS2 und DORA für einige unserer Kunden ergeben. Unsere Dienste sind darauf ausgerichtet, hohe Sicherheitsstandards zu erfüllen und Compliance-Anforderungen zu unterstützen. Bitte teilen Sie uns vor Vertragsabschluss mit, ob Ihr Unternehmen solchen Anforderungen unterliegt, damit wir Ihre besonderen Bedürfnisse angemessen berücksichtigen können.