Externe Sicherheitsrichtlinie

ART. 1 - Begriffsbestimmungen

In dieser Sicherheitsrichtlinie haben die folgenden Begriffe, im Singular oder Plural, die nachfolgend angegebene Bedeutung:

DSGVO
Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);

Application Programming Interface („API“)
Anwendung, auf deren Grundlage die Plattform Daten mit Software, einem Programm oder einer von einem Drittanbieter angebotenen Komponente austauschen kann;

Endbenutzer
Der Benutzer innerhalb der Organisation des Kunden, der auf Grundlage eines Nutzungsrechts ein eigenes Konto auf der Plattform besitzt;

Datenschutz-Folgenabschätzung (DSFA)
Der Prozess gemäß Artikel 35 Absatz 7 DSGVO, der vom Verantwortlichen durchgeführt wird, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, in dem die Verarbeitung personenbezogener Daten beschrieben, deren Notwendigkeit und Verhältnismäßigkeit bewertet und die damit verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bewältigt werden;

Daten
Kundendaten und personenbezogene Daten, die für das Funktionieren der Plattform erforderlich sind;

Data Breach
Jedes Sicherheitsereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten beeinträchtigt und dadurch zur Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete Daten führen kann;

Hash, Hashing, Gehasht
Kryptografische Technik, bei der eine beliebige Datenmenge über einen Algorithmus in eine eindeutige Zeichenfolge umgewandelt wird;

Kunde
Die Kanzlei, juristische Person oder das Einzelunternehmen, wie in den Besonderen Bedingungen benannt, mit der LawCloud einen Vertrag abschließt;

Kundendaten
Alle Inhalte, Materialien und Daten, die der Kunde und seine autorisierten Endbenutzer in die Plattform eingeben, verwalten und speichern sowie alle daraus abgeleiteten Inhalte, Materialien und Daten (Sekundärdaten);

Personenbezogene Daten
Alle Informationen über eine identifizierte oder identifizierbare natürliche Person („Betroffene/r“) im Sinne von Artikel 4 Absatz 1 DSGVO;

Profiling
Jede Form der automatisierten Verarbeitung personenbezogener Daten, bei der personenbezogene Aspekte einer natürlichen Person bewertet werden, insbesondere um deren berufliche Leistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Bewegungen zu analysieren oder vorherzusagen;

Pseudonymisierung
Jede Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt und technische sowie organisatorische Maßnahmen ergriffen werden, um eine Re-Identifizierung zu verhindern;

Salt, Salting, Gesalzen
Kryptografische Technik, bei der zufällige Daten als zusätzliche Eingabe in eine Einwegfunktion eingebracht werden, die Daten, ein Passwort oder eine Passphrase hasht, mit dem Ziel, gespeicherte Passwörter zu schützen;

Unterauftragsverarbeiter
Mögliche Subunternehmer von LawCloud, die im Auftrag von LawCloud bestimmte personenbezogene Daten verarbeiten;

Auftragsverarbeiter
Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

Verarbeitung
Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, das Einschränken, Löschen oder Vernichten von Daten;

Verantwortlicher
Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, kann der Verantwortliche beziehungsweise die konkreten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

ART. 2 - Ziele und Rollen

2.1. In dieser Sicherheitsrichtlinie (nachfolgend die „Richtlinie“) legen wir, LawCloud BV mit Sitz in der Amerikalei 122, 2000 Antwerpen, eingetragen in der Zentrale Datenbank der Unternehmen unter der Nummer 0680.741.644 (nachfolgend „wir“ oder „LawCloud“), gegenüber dem Kunden dar, welche geeigneten technischen und organisatorischen Maßnahmen wir ergreifen, um die Sicherheit des von uns bereitgestellten SaaS-Verwaltungspakets LawCloud (nachfolgend die „Plattform“) zu gewährleisten, und dies gemäß den unterzeichneten Allgemeinen und Besonderen Geschäftsbedingungen.

2.2. Der Kunde erkennt an und akzeptiert, dass Informationssicherheit eine gemeinsame Verantwortung zwischen uns als Anbieter der Plattform und dem Kunden sowie seinen autorisierten Endbenutzern ist. LawCloud agiert dabei ausschließlich als Auftragsverarbeiter der personenbezogenen Daten, die vom Kunden und seinen autorisierten Endbenutzern in die Plattform eingegeben, verwaltet und gespeichert werden. Der Kunde wird eigenverantwortlich die erforderlichen Sicherheitsmaßnahmen ergreifen, um Cybervorfälle jeglicher Art zu vermeiden, sowie um insbesondere jeglichen Datenverlust, die Zerstörung oder die Nichtverfügbarkeit von Daten zu verhindern.

2.3. LawCloud erteilt dem Kunden hiermit ausdrücklich die Erlaubnis, diese Richtlinie zu verwenden, falls es erforderlich sein sollte, eine Datenschutz-Folgenabschätzung (DSFA) für die über die Plattform durchgeführten Verarbeitungstätigkeiten vorzunehmen. LawCloud wird den Kunden in einem solchen Fall als Auftragsverarbeiter bei der Durchführung der DSFA unterstützen und dem Kunden die hierfür erforderlichen Informationen zur Verfügung stellen.

ART. 3 - Verarbeitungstätigkeiten

3.1. Algemene omschrijving
3.1. Allgemeine Beschreibung
Die Plattform ist eine „webbasierte“ Anwendung, die „in der Cloud“ gehostet wird. Dem Kunden wird die Möglichkeit geboten, über die bereitgestellten Accounts Zugang zur Plattform zu erhalten, von jedem Ort aus, an dem eine geeignete Internetverbindung vorhanden ist. Durch die Nutzung der Plattform soll die tägliche Tätigkeit des Kunden als Anwalt/Rechtsanwaltkanzlei erleichtert und digitalisiert werden. Verarbeitungstätigkeiten wie das Eingeben, Verwalten, Speichern und Aufbewahren von Daten stellen einen wesentlichen Bestandteil dieser Nutzung dar. Mithilfe der Plattform können der Kunde und seine Endbenutzer Akten vollständig online erstellen, verwalten und nachverfolgen.

Die personenbezogenen Daten, die über die Plattform verarbeitet werden können, werden in Artikel 4 dieser Richtlinie beschrieben. Die Aufzählung, die in diesem Artikel 4 gegeben wird, ist lediglich indikativ, wobei zu beachten ist, dass personenbezogene Daten, die durch den Kunden und/oder seine autorisierten Endbenutzer aus abgeleiteten Daten erhalten werden, hierin nicht enthalten sind. Jede Verarbeitung von Daten erfolgt auf Initiative und unter der Verantwortung des Kunden unter Berücksichtigung der Bestimmungen der Auftragsverarbeitungsvereinbarung, die zwischen dem Kunden und LawCloud abgeschlossen wurde.

3.2. Drittanbieter-Dienste
LawCloud nutzt die Dienste von vertrauenswürdigen Drittanbietern, die zusammen mit der Plattform angeboten werden, darunter:

Name des Drittanbieters — Art des angebotenen Dienstes

• Amazon Web Services (AWS) — Hosting der Anwendungsumgebung
• OVH — Hosting der Migrationsumgebung
• Microsoft Azure Hosting — PDF-Konvertierung
• MariaDB skySQL Hosting — Datenbankcluster
• skySQL Hosting
• Team.blue (Transip) — Domain-Hosting

Die Allgemeinen Geschäftsbedingungen dieser Dienstleister sind hier einsehbar:

• https://aws.amazon.com/
• https://www.ovhcloud.com/nl/terms-and-conditions/
• https://azure.microsoft.com/en-us/support/legal/
• https://mariadb.com/legal/
• https://skysql.com/tos/
• https://www.transip.nl/legal-and-security/algemene-voorwaarden/

3.3. APIs
LawCloud erteilt hiermit ausdrücklich seine Zustimmung, dass der Kunde Software und Dienste von Drittanbietern in die Plattform integriert, durch Verknüpfungen (mit oder ohne APIs), die von LawCloud bereitgestellt werden. LawCloud übernimmt jedoch keinerlei Garantie und kann weder haftbar gemacht werden noch für etwaige nachteilige Folgen, gleich welcher Art, die sich aus der Nutzung solcher Software und/oder APIs ergeben, insbesondere im Zusammenhang mit Verarbeitungen und/oder Cybervorfällen, die sich durch die Nutzung dieser Software und/oder APIs ergeben. Es ist zudem die alleinige Verantwortung des Kunden als Verantwortlicher für die Verarbeitung, sicherzustellen, dass alle Verarbeitungen (falls zutreffend) mit den geltenden Gesetzen in Übereinstimmung stehen.

ART. 4 - Kategorien von personenbezogenen Daten, die in der Plattform verarbeitet werden können

4.1. Der Kunde wird als Verantwortlicher für die Verarbeitung festlegen, welche Kategorien personenbezogener Daten in welcher Weise von der Plattform verarbeitet werden, wie lange die personenbezogenen Daten gespeichert werden und wann sie gelöscht werden.

4.2. In der Plattform können unter anderem folgende personenbezogene Daten vom Kunden verarbeitet werden:

Funktionelle Datenkategorie — Arten personenbezogener Daten

• Persönliche Identifikationsdaten — Name, Titel
• Kontaktdaten — Adresse, Telefon-/Mobilnummer
• Finanzielle Transaktionen — Beträge, die in einer Datei enthalten sind, noch zu bezahlende und bezahlte Beträge, Zahlungsübersicht, Kontonummern
• Berufliche Tätigkeiten — Berufliche Tätigkeiten einer Person, die in einer Datei erfasst ist
• Vereinbarungen und Regelungen — Juristische Vereinbarungen und Regelungen
• Persönliche Besonderheiten — Alter, Geschlecht, Geburtsdatum, Geburtsort, Familienstand, Nationalität
• Zusammensetzung der Familie — Familienstand, Identifikationsdaten von Familienmitgliedern
• Gerichtliche Daten — Gerichtliche Daten zu Verdachtsmomenten, Verurteilungen und Strafen, gerichtliche Maßnahmen, administrative Sanktionen, Gerichtsverfahren
• Nationale Identifikationsnummer — Nationale Identifikationsnummer
• Ergebnisse gesetzlich vorgeschriebener Untersuchungen — Ergebnisse von Kunden-Diligence-Untersuchungen, Ergebnisse von UBO-Prüfungen
• Bildaufnahmen — Kamerabilder, Fotofotos, Videoaufnahmen, digitale Fotos
• Tonaufnahmen — Bandaufnahmen, Telefonaufnahmen
• Besondere Kategorien personenbezogener Daten — Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft hervorgehen, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zu sexuellen Verhaltensweisen oder sexueller Orientierung einer Person
• Sonstiges — Vom Kunden oder einem Endbenutzer eingegebene Kundendaten

ART. 5 - Sicherheitsmaßnahmen auf der Plattform

5.1. Sicherheitsmaßnahmen, die von LawCloud getroffen wurden
LawCloud hat als Auftragsverarbeiter von personenbezogenen Daten auf der Plattform die geeigneten technischen und organisatorischen Sicherheitsmaßnahmen gemäß Artikel 32 der DSGVO getroffen.

LawCloud hat die folgenden organisatorischen Sicherheitsmaßnahmen getroffen:

• Jede Person, die für LawCloud personenbezogene Daten auf der Plattform verarbeitet, ist einer vertraglichen Geheimhaltungspflicht unterworfen, und Personen, die nicht einer solchen Geheimhaltungspflicht unterliegen, wird der Zugriff auf personenbezogene Daten verweigert.
• Zuweisung spezifischer Zugriffsrechte für LawCloud-Mitarbeiter auf der Plattform auf einer „Need-to-Know“-Basis.
• Verwaltung der verwendeten Software und Hardware für die Plattform in einem Register.
• Verwaltung von Änderungen an der verwendeten Software und Hardware für die Plattform.
• Abschluss der erforderlichen Vereinbarungen mit Subauftragsverarbeitern der Plattform.
• Regelmäßige Schulungen und Weiterbildungen der LawCloud-Mitarbeiter in Datenschutz- und Sicherheitsverfahren für die Plattform.
• Jährliche Sicherheits-Audits durch einen zertifizierten LawCloud-Partner.
• Ernennung eines Chief Technology Officers, der für die Implementierung der getroffenen Sicherheitsmaßnahmen verantwortlich ist.

LawCloud hat die folgenden technischen Sicherheitsmaßnahmen getroffen:

• Verwendung von Basisinfrastruktur und Softwarekomponenten zum Schutz der verwendeten Informationssysteme auf der Plattform, wie Firewalls, Anti-Malware-Schutz und Virenscans.
• Zugangskontrolle und Authentifizierung mit komplexen Passwörtern.
• Regelmäßige vollständige Backups der verwendeten Software für die Plattform.
• Verschlüsselung von Daten, die über das Internet übertragen werden.
• Passwörter werden immer gesalzen und gehasht gespeichert.
• Verhinderung des unbefugten Zugriffs auf Daten durch das LawCloud-Rechtssystem.
• Bereitstellung von Multi-Faktor-Authentifizierung für Endbenutzer und die Möglichkeit, dies auf der Seite des Kunden durchzusetzen.

5.2. Sicherheit der verwendeten Server
Die Sicherheit der Daten hat für LawCloud oberste Priorität. Alle Mitarbeiter von LawCloud sind mit den am häufigsten verwendeten Techniken zum Hacken von Webanwendungen vertraut, sodass sie die Plattform optimal gegen solche Angriffe absichern können. Neben den Sicherheitsmaßnahmen, die von den Dienstleistern der verwendeten Server für die Plattform getroffen werden, ergreift LawCloud zusätzlich die folgenden Sicherheitsmaßnahmen für die Server:

• Die Mitarbeiter von LawCloud folgen den „Best Security Practices“ von OWASP (https://www.owasp.org) und AWS.
• Alle Server werden kontinuierlich auf Anomalien überwacht, wobei ein automatisches Überwachungssystem Abweichungen erkennt und per SMS meldet, sodass das Team sofort eingreifen kann.
• Alle Server werden regelmäßig mit einer bevorzugten Behandlung von Sicherheitsupdates aktualisiert.
• Neuigkeiten über entdeckte Schwachstellen in der Software, die wir für die Plattform verwenden, werden systematisch verfolgt, sodass sofort angemessen reagiert werden kann.
• Alle Server sind vom Internet abgeschirmt und nur über eine VPN-Verbindung und private Schlüssel-Authentifizierung zugänglich.
• Die Plattform ist nur über den AWS Load Balancer zugänglich.
• HTTP-Verkehr wird stets mit SSL (HTTPS) verschlüsselt.
• Die SSL-Terminierung erfolgt auf den AWS Load Balancers.
• Alle Anwendungsdateispeicher sind verschlüsselt und nur über das abgeschirmte interne LawCloud-Netzwerk zugänglich.
• Die Kommunikation mit den Datenbankservern erfolgt nur über das interne Netzwerk.
• Der Datenfluss von und zu den verwendeten Datenbanken wird mit SSL verschlüsselt.
• Nur Anwendungsserver haben direkten, jedoch eingeschränkten Zugriff auf die Datenbankserver.
• Die Datenbank-Speicherung „at rest“ ist verschlüsselt.

5.3. Best Practices durch den Kunden
Der Kunde kann, zusätzlich zu den Sicherheitsmaßnahmen, die von LawCloud in den Punkten 5.1 und 5.2 getroffen wurden, weitere organisatorische und technische Sicherheitsmaßnahmen als Best Practice bei der Nutzung der Plattform ergreifen, einschließlich:

• Einführung einer Zugriffspolitik basierend auf dem „Need-to-Know“-Prinzip.
• Implementierung einer Passwortpolitik mit der Verwendung starker Passwörter durch Endbenutzer.
• Einführung der von LawCloud angebotenen Multi-Faktor-Authentifizierung für Endbenutzer.
• Schulung der Endbenutzer in den grundlegenden Prinzipien der Cybersicherheit.
• Implementierung von Anti-Malware-Software, Firewalls und Virenscannern.
• Nutzung eines Cloud Access Security Brokers.

ART. 6 - Standort der personenbezogenen Daten, die auf der Plattform verarbeitet werden

Alle personenbezogenen Daten, die auf der Plattform gespeichert werden, werden auf Servern innerhalb der Europäischen Union gespeichert.

ART. 7 - Verantwortungsbewusste Offenlegung

LawCloud legt großen Wert auf die Sicherheit ihrer Plattform. Trotz der Sicherheitsmaßnahmen, die LawCloud auf ihrer Plattform getroffen hat, kann es vorkommen, dass eine Schwachstelle vorhanden ist. Sollte der Kunde eine Schwachstelle auf der Plattform finden, bittet LawCloud ihn, diese zu melden, damit die getroffenen Sicherheitsmaßnahmen angepasst oder zusätzliche Maßnahmen ergriffen werden können.

7.1. Meldung der Schwachstelle
Falls der Kunde eine Schwachstelle entdeckt, bittet LawCloud den Kunden, diese so schnell wie möglich nach der Entdeckung zu melden.
Der Kunde kann seine Entdeckung melden, indem er ein Ticket im Helpdesk erstellt und das Thema „Fehler oder Problem“ auswählt. LawCloud bittet darum, ausreichende Informationen bereitzustellen, um die Schwachstelle zu reproduzieren und schnellstmöglich zu beheben. Der Kunde kann bei der Meldung gegebenenfalls Anhänge und/oder Bilder hinzufügen, die die Beschreibung der Schwachstelle untermauern.

7.2. Pflichten des Kunden
Bei Entdeckung einer Schwachstelle wird der Kunde folgende Handlungen unterlassen:

• Die Schwachstelle öffentlich zu machen, bevor LawCloud diese beheben konnte;
• Die Schwachstelle zu missbrauchen, um unnötig Daten zu kopieren, zu löschen, zu verändern oder einzusehen oder mehr Daten herunterzuladen, als nötig sind, um die Schwachstelle nachzuweisen;
• Schadsoftware in die Plattform einzuführen;
• Änderungen an der Plattform vorzunehmen;
• Wiederholt Zugriff auf die Plattform zu erlangen oder den Zugriff mit Dritten zu teilen;
• Automatisierte Scanning-Tools zu verwenden;
• „Brute-Force“-Angriffe auf den Zugriff zur Plattform zu starten;
• Angriffe auf die physische Sicherheit, Denial-of-Service-Angriffe, Social Engineering, Spam oder Anwendungen von Dritten zu verwenden;
• Irgendwelche Handlungen vorzunehmen, die eine mögliche Auswirkung auf das ordnungsgemäße Funktionieren der Plattform haben, einschließlich, aber nicht beschränkt auf die Verfügbarkeit und Leistung der Plattform sowie die Vertraulichkeit und Integrität der Daten auf der Plattform.
  Der Kunde wird alle Daten, die durch die Schwachstelle erlangt wurden, unverzüglich nach der Meldung an LawCloud löschen.
   

7.3. Pflichten von LawCloud
LawCloud wird den Kunden, mit Ausnahme einer gesetzlichen Ausnahme und unter denselben Bedingungen, die in Artikel 15 der Allgemeinen Geschäftsbedingungen der Vereinbarung festgelegt sind, von jeder Haftung im Zusammenhang mit der Entdeckung der Schwachstelle auf der Plattform freistellen.
LawCloud wird die Meldung der Schwachstelle durch den Kunden vertraulich behandeln und keine personenbezogenen Daten des Kunden und/oder Endnutzers ohne dessen Zustimmung weitergeben, es sei denn, dies ist erforderlich, um einer gesetzlichen Verpflichtung nachzukommen, die LawCloud obliegt.

ART. 8 - Versiebeheer en wijzigingen

LawCloud kan deze Policy op elk moment wijzigen en zal de nieuwe versie op eigen initiatief communiceren aan de Klant, voor zover er die te allen tijde het vertrouwelijke karakter ervan zal garanderen.  LawCloud mag de opgenomen beveiligingsmaatregelen wijzigen, verwijderen en nieuwe beveiligingsmaatregelen toevoegen in de Policy.