Speexx und die EU-DSGVO 

Bei uns sind Ihre Daten sicher!

Als Anbieter einer Plattform für Personalentwicklung mit cloud-basierten Systemen steht der Schutz sensibler Daten für Speexx an oberster Stelle. Speexx erfüllt nicht nur in der Software, sondern auch als Unternehmen sämtliche Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) und garantiert somit Datenschutzkonformität auf allen Ebenen.

general-information-data-processing-black

Allgemeines zur Datenverarbeitung

Speexx verarbeitet personenbezogene Daten unter Einhaltung und gemäß der einschlägigen Datenschutzvorschriften, insbesondere der DSGVO und des BDSG.

Sicherheit & Verschlüsselung

Datensicherheit hat bei Speexx höchste Priorität. Sensible Daten werden verschlüsselt gespeichert und können nur nach einer entsprechenden Authentifizierung entschlüsselt werden. Dieser Prozess wird von der Deutschen Cybersecurity Organisation (DCSO) überwacht.

Wir sind TISAX®
zertifiziert

Speexx ist die erste Personalentwicklungsplattform, die von der unabhängigen, akkreditierten Prüfgesellschaft TÜV Rheinland die TISAX®-Zertifizierung für Informationssicherheit in der Automobilindustrie erhalten hat.

Wo werden meine Daten gespeichert?

Alle personenbezogenen Daten werden in München, Deutschland, gespeichert. So wird die physische Sicherheit unserer Kundendaten zuverlässig gewährleistet.

Was wird gespeichert?

Speexx speichert private und berufliche Kontaktdaten sowie Identifikationsmerkmale, die von der betroffenen Person oder dem Auftraggeber bereitgestellt werden (Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Nickname, Zeitzone).

Verantwortliche Stelle und Datenschutzbeauftragter

Bei Fragen zum Datenschutz steht Ihnen unser Datenschutzbeauftragter per E-Mail unter privacy@speexx.com zur Verfügung.

Allgemeines zum Datenschutz bei Speexx

Rechtsgrundlagen

Der datenschutzrechtliche Begriff „personenbezogene Daten“ bezeichnet alle Informationen, die sich auf einen bestimmten oder bestimmbaren Menschen beziehen. Wir verarbeiten personenbezogene Daten unter Beachtung der einschlägigen Datenschutzvorschriften, insbesondere der DSGVO und des BDSG. Eine Datenverarbeitung durch uns findet nur auf der Grundlage einer gesetzlichen Erlaubnis statt. Wir verarbeiten personenbezogene Daten nur mit Ihrer Einwilligung (gemäß Art. 15 Abs. 3 TMG) oder (Art. 6 Abs. 1 lit. a) DSGVO), zur Erfüllung eines Vertrags, dessen Vertragspartei Sie sind, oder auf Ihre Anfrage zur Durchführung vorvertraglicher Maßnahmen (gemäß Art. 6 Abs. 1 lit. b) DSGVO), zur Erfüllung einer rechtlichen Verpflichtung (gemäß Art. 6 Abs. 1 lit. c) DSGVO) oder gemäß Art. 6 Abs. 1 lit. f) DSGVO, wenn die Verarbeitung zur Wahrung unserer berechtigten Interessen oder der berechtigten Interessen eines Dritten erforderlich ist, sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen.

Hat  Speexx einen Datenschutzbeauftragten?

Ja und Sie können ihn jederzeit kontaktieren. Schicken Sie einfach eine E-Mail an privacy@speexx.com.

Wie stellt Speexx sicher, dass Mitarbeitende, die mit der Auftragsverarbeitung beauftragt sind, umfassend mit den gesetzlichen Bestimmungen zum Datenschutz vertraut sind? 

Alle Mitarbeitenden von Speexx sind zur Wahrung der Vertraulichkeit und zum Datenschutz verpflichtet. Sie sind sich der Konsequenzen bewusst, die ein Verstoß gegen diese Verpflichtungen nach sich ziehen kann. Zusätzlich führt Speexx regelmäßig Trainings und Sensibilisierungsmaßnahmen durch, um den verantwortungsvollen Umgang mit personenbezogenen Daten und die Einhaltung der Datenschutzvorgaben sicherzustellen.

Was unternimmt Speexx zusätzlich auf organisatorischer Ebene, um Datenschutz und Sicherheit der IT-Systeme zu gewährleisten?

Speexx ist nach ISO/IEC 27001 zertifiziert und optimiert fortlaufend Prozesse und Strukturen im Bereich Datenschutz und Informationssicherheit. Neben der Bestellung eines Datenschutzbeauftragten und regelmäßigen Trainings für alle Mitarbeitenden hat Speexx zudem ein dediziertes Team für Datenschutz und Informationssicherheit etabliert. Speexx setzt die Empfehlungen und Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) konsequent um. Als Mitglied von Industrieverbänden wie dem Cyber Security Cluster Bonn e.V. bleibt Speexx stets auf dem neuesten Stand, was Technologien und Sicherheitsupdates betrifft.

Ist es möglich, einen Auftragsverarbeitungsvertrag mit Speexx zu schließen?

Nach Art. 28 EU-DSGVO sind wir als Auftragsverarbeiter sogar dazu verpflichtet, einen entsprechenden Vertrag zu schließen. Wir haben dafür eine Vorlage entwickelt, die Sie von uns beim Vertragsschluss erhalten werden.

Was passiert im Falle einer Datenpanne bei Speexx?

Im Fall einer Datenpanne ist Transparenz und schnelles Handeln besonders wichtig. Sollte es wider Erwarten zu einer Datenpanne bei Speexx kommen, dabei personenbezogene Daten eines Kunden in die falschen Hände geraten und dadurch ein Risiko für die Rechte und Freiheiten der Mitarbeitenden des Kunden entstehen, wird Speexx den gesetzlichen und vertraglichen Verpflichtungen entsprechend handeln. Speexx wird in diesem Fall den betroffenen Kunden unverzüglich informieren, damit dieser schnellstmöglich seinen gesetzlichen Mitteilungspflichten gegenüber der Aufsichtsbehörde und den Betroffenen nachkommen kann.

Sind die Produkte und Leistungen von Speexx datenschutzfreundlich voreingestellt und gemäß aller Datenschutzanforderungen entwickelt? 

Ja, bei Speexx hat Datenschutz höchste Priorität und ist ein essenzieller Bestandteil unserer Produktstrategie. Bereits in der Entwicklungsphase unserer Lösungen setzen wir konsequent auf Prinzipien wie Datensparsamkeit und implementieren Maßnahmen, die dem Stand der Technik entsprechen und ein hohes Schutzniveau gewährleisten. Im Rahmen der EU-DSGVO haben wir alle Produkteinstellungen sorgfältig überprüft und so angepasst, dass sie maximalen Datenschutz und eine optimale Nutzerfreundlichkeit bieten. Regelmäßige Überprüfungen stellen sicher, dass alle gesetzlichen Anforderungen fortlaufend in den Produktentwicklungsprozess integriert werden.

Verschlüsselung und Pseudonymisierung

Speichert Speexx Kundendaten verschlüsselt?

Ja, Speexx verschlüsselt sensible Nutzerdaten so, dass sie nur nach einer ordnungsgemäßen Authentifizierung entschlüsselt und gelesen werden können.

Werden Kundendaten verschlüsselt übertragen?

Ja, alle personenbezogenen oder personenbeziehbaren Daten, die durch Programme von Speexx an einen Client oder andere Plattformen übertragen werden, sind durch Transport Layer Security (TLS) verschlüsselt, insbesondere bei der Übertragung über HTTPS. Das bedeutet, dass immer zuerst eine sichere Verbindung zwischen den beiden Verbindungspartnern – also Client und Server – aufgebaut wird, bevor eine Datenübertragung erfolgen kann.

Vertraulichkeit und Integrität

Wo werden die Daten von Speexx gespeichert? 

Speexx nutzt die Hosting-Dienste von Ingate/Equinix. Die genutzten Rechenzentren sind ISO/IEC 27001-zertifiziert. Alle personenbezogenen Daten werden in München, Deutschland, gespeichert. Somit ist die physische Sicherheit der Daten unserer Kunden stets gewährleistet.

Wer hat bei Speexx Zugriff auf Kundendaten?

Bei Speexx haben nur ausgewählte Mitarbeitende Zugriff auf Kundendaten. Dazu zählen das Produktteam und das Customer Success Team, die ausschließlich in konkreten Fällen, wie der Einrichtung eines Accounts oder der Bearbeitung von Serviceanfragen, auf diese Daten zugreifen dürfen. Die Vergabe von Zugriffsrechten erfolgt streng nach den Prinzipien „Need-to-Know“ und „Least Privilege“ und wird lückenlos protokolliert.

Wie stellt Speexx sicher, dass keine Unbefugten Zugriff auf Kundendaten und -systeme haben?

Auf Serverseite setzt Speexx ein host-basiertes Angriffserkennungssystem ein, das spezifische Parameter überwacht und regelmäßig prüft, wie auffällige Log-Einträge, Signaturen bekannter Rootkits und Trojaner, Auffälligkeiten im Device File System oder klassische Bruteforce-Angriffe. Wird eine unerklärliche Auffälligkeit festgestellt, greifen die zuständigen Mitarbeitenden aus Betrieb und Entwicklung umgehend ein, um schnellstmöglich Gegenmaßnahmen einzuleiten. Für eine detaillierte Aufstellung unserer Technischen und Organisatorischen Maßnahmen (TOMs) kontaktieren Sie uns bitte unter privacy@speexx.com.

Wie werden unsere Nutzerinnen und Nutzer authentifiziert?

Zugang zu unserer Plattform erhalten ausschließlich Personen mit einem eindeutig zuordenbaren, personalisierten Benutzeraccount. Bei jeder Anmeldung werden Benutzername und Passwort abgefragt. Das Passwort muss dabei den Vorgaben unserer Passwort-Richtlinie entsprechen. Für zusätzliche Sicherheit empfehlen wir unseren Kunden die Verwendung einer SAML-basierten Authentifizierung, die optional durch eine 2-Faktor-Authentifizierung ergänzt werden kann.

Zweckbindung

Wem gehören die Daten?

Bei Speexx bleibt der Kunde gemäß Art. 24 EU-DSGVO stets verantwortlicher Eigentümer der eigenen Daten. Der Kunde trägt entsprechend auch die Verantwortung für die Wahrung der Betroffenenrechte (Kapitel 3 EU-DSGVO). Als Auftragsverarbeiter nutzt Speexx Ihre Daten ausschließlich auf Ihre Anweisung und nur für die im Vertrag zur Auftragsverarbeitung festgelegten Zwecke. Konkret bedeutet dies, dass Speexx Ihre Daten unter keinen Umständen an Dritte verkauft noch weitergibt – mit Ausnahme der Weitergabe an etwaige Subunternehmer, wie im Vertrag zur Auftragsverarbeitung zwischen Speexx und dem Kunden geregelt. Für die Weiterentwicklung des Produkts oder zu Testzwecken behält sich Speexx das Recht vor, vollständig anonymisierte Daten zu verwenden. Dabei werden die gesetzlichen Regelungen sowie die Empfehlungen der Artikel-29-Datenschutzgruppe und des Europäischen Datenschutzausschusses eingehalten. Durch die Anonymisierung ist sichergestellt, dass keine Rückschlüsse auf Einzelpersonen oder Unternehmen möglich sind. Somit entsteht für den Kunden keinerlei Risiko.

Was passiert mit Kundendaten nach Vertragsende oder im Falle einer Geschäftsaufgabe von Speexx?

Im Falle einer Beendigung der Geschäftsbeziehung kann der Kunde über weisungsberechtigte Personen die Herausgabe seiner Daten in einem maschinenlesbaren Format beantragen. Nach Ablauf der vertraglich definierten Frist werden sämtliche Daten unwiderruflich gelöscht. In der Regel erfolgt dies innerhalb von 30 Tagen nach Beendigung des Geschäftsverhältnisses. Selbst im unwahrscheinlichen Fall der Einstellung des Geschäftsbetriebs von Speexx wird dieses Verfahren eingehalten. Da Speexx ausschließlich als Auftragsverarbeiter agiert, ist eine anderweitige Verfügung über personenbezogene Daten ausgeschlossen.

Verfahren zur Überprüfung der Sicherheit

Wie oft und wie wird die Sicherheit der Datenverarbeitung bei Speexx überprüft? 

Mithilfe von jährlich durchgeführten Audits unseres Unternehmens und der Produkte von Speexx überprüfen wir die Einhaltung der gesetzlichen Datenschutzanforderungen. Auf Basis der Erkenntnisse aus diesen Audits überarbeiten und optimieren wir unsere Dokumentationen, Prozesse, Strukturen und Funktionalitäten und entwickeln technische sowie organisatorische Maßnahmen zur weiteren Verbesserung.

Werden bei Speexx auch Schwachstellenscans oder Penetrationstests durchgeführt? 

Speexx führt regelmäßig interne Schwachstellenscans durch, um die Sicherheit unserer Anwendungen und Infrastruktur zu überprüfen. Zusätzlich wird einmal im Jahr ein externer Dienstleister mit der Durchführung von Penetrationstests beauftragt, um sämtliche Systeme und Produkte von Speexx auf Fehler und Schwachstellen zu analysieren. Die Sicherheit unseres Angebots und die effektive Angriffserkennung haben für uns oberste Priorität.

Speexx und die EU-DSGVO

Bei uns sind Ihre Daten sicher!

Allgemeines zur Datenverarbeitung

Sicherheit & Verschlüsselung

Wir sind TISAX® zertifiziert

Wo werden meine Daten gespeichert?

Was wird gespeichert?

Verantwortliche Stelle und Datenschutzbeauftragter

FAQ

Allgemeines zum Datenschutz bei Speexx

Verschlüsselung und Pseudonymisierung

Vertraulichkeit und Integrität

Zweckbindung

Verfahren zur Überprüfung der Sicherheit

Speexx und die EU-DSGVO 

Wir sind TISAX®
zertifiziert

Allgemeines zum Datenschutz bei Speexx