🎉Einfuehrung EcoFormular fuellen Sie jedes Formular schneller, genau und sicher mit ressourcenschonender KI aus.
EcoReady Logo
Back to AVV

Sicherheitsrichtlinie

Stand: April 2026

Diese Sicherheitsrichtlinie beschreibt die Technischen und Organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO, die von der Campus Technologies Freiburg GmbH (Projekt EcoReady) ergriffen werden, um die Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu gewährleisten.

Wir setzen diese Maßnahmen in Zusammenarbeit mit unseren zertifizierten Infrastruktur-Partnern (z. B. AWS, Azure, Google Cloud, Netlify, Supabase) um.

1. Zutrittskontrolle (Physical Access Control)

Rechenzentren: Wir betreiben keine eigenen Serverräume. Das Hosting erfolgt ausschließlich bei ISO 27001 / SOC 2 zertifizierten Cloud-Providern. Diese gewährleisten durch 24/7-Sicherheitsdienste, biometrische Zugangskontrollen und Videoüberwachung strengste physische Zutrittskontrollen.

Büroräume: Sensible Dokumente werden weggeschlossen (Clean-Desk-Policy). Der Zugang zu unseren Geschäftsräumen ist durch entsprechende Schließanlagen gesichert.

2. Zugangskontrolle (System Access Control)

Authentifizierung: Der Zugang zu administrativen Systemen erfordert zwingend eine Zwei-Faktor-Authentifizierung (2FA/MFA).

Netzwerksicherheit: Administrative Zugriffe auf die Kerninfrastruktur erfolgen über verschlüsselte Verbindungen (z.B. VPN) und IP-Whitelisting.

Geräte-Sicherheit: Endgeräte der Mitarbeiter sind durch automatische Bildschirmsperren und lokale Festplattenverschlüsselung (z.B. FileVault) geschützt.

3. Zugriffskontrolle (Data Access Control)

Berechtigungskonzept: Wir arbeiten nach dem "Need-to-Know"- und "Least-Privilege"-Prinzip. Mitarbeiter erhalten nur die Rechte, die sie zwingend für ihre Arbeit benötigen.

Mandantenfähigkeit: Die SaaS-Architektur ist logisch so aufgebaut, dass Kundendaten strikt voneinander getrennt verarbeitet werden. Cross-Tenant-Zugriffe sind systemseitig blockiert.

4. Weitergabekontrolle (Transmission Control)

Verschlüsselung (In-Transit): Sämtliche Datenübertragungen erfolgen verschlüsselt über aktuelle Protokolle (TLS 1.2+).

Verschlüsselung (At-Rest): Alle in unseren Datenbanken (z. B. Supabase) abgelegten Kundendaten werden nach aktuellem Stand der Technik (AES-256) verschlüsselt gespeichert.

5. Eingabekontrolle (Input Control)

Unsere Applikationen und Datenbanken zeichnen relevante systemseitige Änderungen auf. Änderungen an Nutzerprofilen und wichtigen Konfigurationen werden dem jeweiligen ausführenden Account zugeordnet.

6. Verfügbarkeitskontrolle (Availability Control)

Backups: Es werden automatisierte, geo-redundante und verschlüsselte Backups der Datenbanken erstellt.

Redundanz: Multi-Availability-Zone Deployments minimieren das Risiko von Hardware-Ausfällen.

7. Trennungskontrolle (Separation Rule)

Produktiv-, Test- und Entwicklungsumgebungen sind logisch und netzwerktechnisch strikt voneinander getrennt. Für Tests werden nach Möglichkeit anonymisierte oder synthetische Daten verwendet.

Analyse-Schutz: Bei Analyse-Tools werden IP-Adressen anonymisiert. Wir setzen Microsoft Clarity im "Strict Masking"-Modus ein. Das bedeutet, dass sämtliche sensiblen Benutzereingaben bereits clientseitig im Browser maskiert werden, bevor eine Übertragung an die Server von Microsoft erfolgt. Dies stellt sicher, dass keine personenbezogenen Klarschriftdaten im Payload der Netzwerkaufrufe enthalten sind.

8. Spezifische Maßnahmen für KI-Nutzung

Zero-Retention-Garantie: Externe KI-APIs werden ausschließlich in Business/Enterprise-Konfigurationen genutzt, bei denen die Anbieter versichern, dass Kundendaten nicht für das Training der zugrundeliegenden Modelle verwendet werden.

Datenminimierung: Es werden nur die für die jeweilige Aufgabe notwendigen Daten (Context) an die Schnittstellen gesendet.