Datenschutz & Sicherheit · Art. 32 DSGVO
Wie wir Ihre Daten schützen
Nach Artikel 32 DSGVO treffen wir geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Diese Übersicht beschreibt die Maßnahmen, mit denen die BW-Tech GmbH den Betrieb von ownCloud.online absichert.
Die nachstehenden Maßnahmen berücksichtigen den Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung und die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten betroffener Personen.
Sie sind verbindlicher Bestandteil (Anlage) des Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO und werden bei technischer Weiterentwicklung fortlaufend angepasst.
Auf einen Blick
- Rechtsgrundlage: Art. 32 DSGVO
- Verarbeitungsort: ausschließlich Deutschland
- Zertifiziertes Rechenzentrum (ISO 27001)
- Verschlüsselung in Übertragung & optional Ende-zu-Ende
- Single-Tenancy – dedizierte Instanz je Kunde
Rechtlicher Rahmen
Anforderungen nach Art. 32 Abs. 1 DSGVO
Die DSGVO nennt insbesondere die folgenden Schutzziele, an denen sich unsere Maßnahmen orientieren:
Pseudonymisierung & Verschlüsselung
Verschlüsselung personenbezogener Daten und – wo möglich – Pseudonymisierung.
Vertraulichkeit, Integrität, Verfügbarkeit & Belastbarkeit
Dauerhafte Sicherstellung dieser Eigenschaften der Systeme und Dienste.
Rasche Wiederherstellbarkeit
Wiederherstellung der Verfügbarkeit und des Zugangs nach einem Zwischenfall.
Regelmäßige Überprüfung
Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.
Unsere Maßnahmen im Detail
Konkrete technische & organisatorische Maßnahmen
Gegliedert nach den Schutzzielen des Art. 32 DSGVO und der etablierten Kontrollkategorien:
Pseudonymisierung & Verschlüsselung
- Transportverschlüsselung: TLS mit AES 256 für sämtliche Datenübertragungen.
- Ende-zu-Ende-Verschlüsselung: optional clientseitig per SmartCard oder Passwort aktivierbar.
- Verschlüsselung gespeicherter Daten (at rest): zu bestätigen / zu präzisieren
- Pseudonymisierung: Verfahren zu beschreiben
Vertraulichkeit
- Zutrittskontrolle: physische Sicherung des zertifizierten deutschen Rechenzentrums. Maßnahmen zu ergänzen
- Zugangskontrolle: Authentifizierung mit verfügbarer Zwei-Faktor-Authentifizierung; Passwortrichtlinien.
- Zugriffskontrolle: rollen- und rechtebasiertes Berechtigungskonzept. zu ergänzen
- Trennungskontrolle: Single-Tenancy – jede Kundeninstanz ist getrennt, kein Daten-Pooling.
Integrität
- Weitergabe- / Transportkontrolle: verschlüsselte Übertragung (TLS) und kontrollierte Schnittstellen.
- Eingabekontrolle: Protokollierung von Zugriffen und Änderungen zur Nachvollziehbarkeit. Umfang zu ergänzen
Verfügbarkeit & Belastbarkeit
- Hochverfügbarkeit: redundante Rechenzentrums-Infrastruktur in Deutschland.
- Datensicherung: automatisierte Backups mit Wiederherstellung bis zu 30 Tage.
- Schadsoftware-Schutz: Echtzeit-Virenprüfung bei jedem Upload.
- Notfallkonzept (Disaster Recovery): definierte Wiederanlaufziele (RPO/RTO). zu ergänzen
Verfahren zur regelmäßigen Überprüfung
- ISMS: Informationssicherheits-Managementsystem nach ISO 27001.
- Audits: regelmäßige interne und externe Prüfungen / Zertifizierungs-Audits.
- Incident-Management: Prozess zur Behandlung von Sicherheitsvorfällen und zur Meldung von Datenschutzverletzungen (Art. 33/34 DSGVO).
- Schwachstellenmanagement / Penetrationstests: Turnus zu ergänzen
Auftrags- & Weisungskontrolle
- Weisungsbindung: Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen.
- Sub-Auftragsverarbeiter: sorgfältige Auswahl und vertragliche Verpflichtung nach Art. 28 DSGVO.
- Verpflichtung der Beschäftigten: auf Vertraulichkeit und das Datengeheimnis.
Zertifizierungen & Nachweise
Geprüfte Sicherheit
Der Betrieb stützt sich auf ein zertifiziertes Rechenzentrum und etablierte Management-Standards:
Geltungsbereich und Aussteller der Zertifikate werden auf Wunsch nachgewiesen. Zertifikate / Geltungsbereich verlinken
Zusammenhang
Anlage zum AVV
Diese technischen und organisatorischen Maßnahmen sind verbindlicher Bestandteil des Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.
Kontakt
Fragen zur Datensicherheit?
Wir geben Ihnen gerne weitere Auskunft zu unseren Schutzmaßnahmen.
info@bw.tech · +49 6202 95323 00
Stand: 2. Juli 2026 · Version 1.0. Verantwortlich: BW-Tech GmbH, Albert-Bassermann-Straße 31, 68782 Brühl. Diese Darstellung ersetzt keine Rechtsberatung.