Speexx und die EU-DSGVO 

Bei Speexx sind wir uns der großen Bedeutung des Datenschutzes bewusst.

Als Anbieter einer digitalen Sprachlernplattform mit cloud-basierten Systemen ist optimaler Datenschutz für Speexx besonders wichtig.

Nicht nur als Software, sondern auch als Unternehmen erfüllt Speexx alle Anforderungen der EU-Datenschutz-Grundverordnung und ist dementsprechend in allen Bereichen datenschutzkonform gemäß EU-DSGVO.

Allgemeines zur Datenverarbeitung

Speexx verarbeitet personenbezogene Daten unter Berücksichtigung und gemäß der einschlägigen Datenschutzvorschriften, insbesondere der DSGVO und des BDSG.

Sicherheit & Verschlüsselung

Sicherheit hat bei Speexx oberste Priorität. Daher verschlüsseln wir sensible Benutzerdaten so, dass sie nur nach der entsprechenden Authentifizierung „entschlüsselt“ und gelesen werden können, ein Vorgang, den die Deutsche Cybersecurity Organisation – DCSO überwacht.

Wir sind TISAX®
zertifiziert

Speexx ist die erste digitale Sprachlernplattform, die nach Abnahme durch die unabhängige, akkreditierte Prüfungsgesellschaft TÜV Rheinland, die TISAX® Zertifizierung für Informationssicherheit in der Automobilindustrie erhalten hat.

DCSO Deutsche Cyber- Sicherheitsorganisation GmbH logo
CSA Cloud Security Alliance
tisax logo

Wo werden meine Daten gespeichert?

Alle personenbezogenen Daten werden in München, Deutschland gespeichert. Somit ist die physische Sicherheit der Daten unserer Kunden stets gewährleistet.

Was wird gespeichert?

Private/berufliche Kontaktdaten oder Identifikationsdetails, die vom Auftraggeber oder der betroffenen Person zur Verfügung gestellt werden (Vorname, Nachname, Email-Adresse, Telefonnummer, Nickname, Zeitzone)

Verantwortliche Stelle und Datenschutzbeauftragter

Sie haben Fragen? Den Datenschutzbeauftragten von Speexx erreichen sie am besten per E-Mail unter privacy@speexx.com.

FAQ

Allgemeines zum Datenschutz bei Speexx

Rechtsgrundlagen

Der datenschutzrechtliche Begriff „personenbezogene Daten“ bezeichnet alle Informationen, die sich auf einen bestimmten oder bestimmbaren Menschen beziehen. Wir verarbeiten personenbezogene Daten unter Beachtung der einschlägigen Datenschutzvorschriften, insbesondere der DSGVO und des BDSG.

Eine Datenverarbeitung durch uns findet nur auf der Grundlage einer gesetzlichen Erlaubnis statt. Wir verarbeiten personenbezogene Daten nur

  • mit Ihrer Einwilligung (gemäß Art. 15 Abs. 3 TMG) oder (Art. 6 Abs. 1 lita) DSGVO).
  • zur Erfüllung eines Vertrags, dessen Vertragspartei Sie sind, oder auf Ihre Anfrage zur Durchführung vorvertraglicher Maßnahmen (gemäß Art. 6 Abs. 1 litb) DSGVO). 
  • zur Erfüllung einer rechtlichen Verpflichtung (gemäß Art. 6 Abs. 1 litc) DSGVO).
  • oder gemäß Art. 6 Abs. 1 litf) DSGVO, wenn die Verarbeitung zur Wahrung unserer berechtigten Interessen oder der berechtigten Interessen eines Dritten erforderlich ist, sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen.

Ja und Sie können ihn jederzeit kontaktieren. Schicken Sie einfach eine E-Mail an privacy@speexx.com.

Generell sind alle Mitarbeiter*Innen von Speexx zur Vertraulichkeit bzw. zum Datenschutz im Allgemeinen verpflichtet und wissen um entsprechende Konsequenzen im Falle eines Verstoßes.

Außerdem werden regelmäßige Schulungen und Sensibilisierungsmaßnahmen zum Umgang mit personenbezogenen Daten und Datenschutz durchgeführt.

Speexx hält sich an die Vorgaben der ISO/IEC 27001 und arbeitet kontinuierlich an der Verbesserung aller Prozesse und Strukturen im Datenschutz und der Informationssicherheit. Neben der Bestellung eines Datenschutzbeauftragten und der regelmäßigen Schulung von Mitarbeitenden hat Speexx außerdem ein Team für Datenschutz und Informationssicherheit berufen.

Speexx setzt die Empfehlungen und Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik) um. Speexx ist Mitglied in Industrieverbänden wie dem Cyber Security Cluster Bonn e.V., um sich über die neuesten Technologien und Sicherheitsupdates auf dem Laufenden zu halten.

Nach Art. 28 EU-DSGVO sind wir als Auftragsverarbeiter sogar dazu verpflichtet, einen entsprechenden Vertrag zu schließen. Wir haben dafür eine entsprechende Vorlage entwickelt, die Sie von uns beim Vertragsschluss erhalten werden.

Im Fall einer Datenpanne ist Transparenz und schnelles Handeln besonders wichtig. Sollte es wider Erwarten zu einer Datenpanne bei Speexx kommen, dabei personenbezogene Daten eines Kunden in die falschen Hände geraten und dadurch ein Risiko für die Rechte und Freiheiten der Mitarbeitenden des Kunden entstehen, wird Speexx den gesetzlichen und vertraglichen Verpflichtungen entsprechend handeln. Speexx wird in diesem Fall den betroffenen Kunden unverzüglich informieren, damit dieser schnellstmöglich seinen gesetzlichen Mitteilungspflichten gegenüber der Aufsichtsbehörde und den Betroffenen nachkommen kann.

Ja, bei Speexx legen wir großen Wert auf Datenschutz und sehen ihn als essenziellen Bestandteil unserer Produktstrategie. Bereits bei der Entwicklung unserer Lösungen achten wir genauestens auf Prinzipien wie Datensparsamkeit und an den Stand der Technik zur Sicherstellung eines angemessenen Schutzniveaus angepasste Maßnahmen. Im Zuge der EU-DSGVO haben wir das gesamte Produkt hinsichtlich der Voreinstellungen überprüft und so angepasst, dass maximaler Datenschutz und maximale Nutzerfreundlichkeit gewährleistet sind. Bei Speexx überprüfen wir in regelmäßigen Abständen, dass alle gesetzlichen Anforderungen kontinuierlich in den Produktentwicklungsprozess eingespeist werden.

Verschlüsselung und Pseudonymisierung

Ja, Speexx verschlüsselt sensible Nutzerdaten so, dass sie nur nach ordnungsgemäßer Authentifizierung „entschlüsselt“ und gelesen werden können.

Ja, alle personenbezogenen oder personenbeziehbaren Daten, die durch Programme von Speexx an einen Client oder zu anderen Plattformen übertragen werden, insbesondere auch HTTPS, sind durch Transport Layer Security (TLS) verschlüsselt. Das bedeutet, dass immer zuerst eine sichere Verbindung zwischen den beiden Verbindungspartnern, also zwischen Client und Server aufgebaut werden muss, bevor eine Datenübertragung erfolgen kann.

Vertraulichkeit und Integrität

Speexx nutzt die Hosting-Dienste von Ingate/Equinix. Die genutzten Rechenzentren sind ISO/IEC 27001 zertifiziert. Alle personenbezogenen Daten werden in München, Deutschland gespeichert. Somit ist die physische Sicherheit der Daten unserer Kunden stets gewährleistet.

Generell haben bei Speexx nur wenige Mitarbeitende Zugriff auf Kundendaten. Zum einen das Produktteam und zum anderen das Customer Success Team, die nur anlassbezogen (zum Beispiel beim Einrichten des Accounts oder bei der Bearbeitung von Serviceanfragen) dazu bemächtigt sind, auf Kundendaten zuzugreifen. Zugriffsrechten werden protokolliert und nach den “Need-to-Know” und „Least Privilege“ -Prinzipien vergeben.

Von Serverseite setzt Speexx auf ein host-basiertes Angriffserkennungssystem, das bestimmte Parameter überwacht und regelmäßig untersucht, wie beispielsweise auffällige Log-Einträge, Signaturen bekannter Rootkits und Trojaner, Auffälligkeiten im Device File System, oder klassische Bruteforce-Angriffe. Sollte eine unerklärliche Auffälligkeit festgestellt werden, greifen die zuständigen Mitarbeiter im Betrieb und Entwicklung umgehend ein, um schnellstmöglich Gegenmaßnahmen zu ergreifen.

Bitte kontaktieren Sie uns über privacy@speexx.com um eine detaillierte Aufstellung unserer Technischen und Organisatorischen Maßnahmen (TOM’s) zu erhalten.

Zugang zu unserer Plattform hat nur, wer über einen eindeutig zuzuordnenden, personalisierten Benutzeraccount verfügt. Bei jeder Anmeldung werden Benutzername und Passwort abgefragt. Das Passwort muss gemäß der Passwörter-Richtlinie erstellt werden.  Für zusätzliche Sicherheit empfehlen wir unseren Kunden die Verwendung einer SAML basierten Authentifizierung, die mit 2-Faktor-Authentifizierung ausgebaut werden kann.

Zweckbindung

Bei Speexx ist und bleibt der Kunde stets Besitzer der – und verantwortlich für die – eigenen Daten, gemäß Art. 24 EU-DSGVO. Dementsprechend ist der Kunde für die Wahrung der Betroffenenrechte (Kapitel 3 EU-DSGVO) verantwortlich. Als Auftragsverarbeiter nutzt Speexx Ihre Daten ausschließlich auf Ihre Anweisung und zu den im Rahmen des Vertrags zur Auftragsverarbeitung geregelten Zwecke. Konkret heißt das, dass Speexx Ihre Daten unter keinen Umständen an Dritte verkaufen oder weitergeben darf und wird mit der, im Vertrag zur Auftragsverarbeitung zwischen Speexx und dem Kunden geregelten, Ausnahme von einer Weitergabe an Unterauftragnehmer, sofern vorhanden.

Für die Weiterentwicklung des Produkts oder zu Testzwecken behält sich Speexx das Recht vor, vollkommen anonymisierte Daten zu verwenden, im Rahmen der gesetzlichen Regelung und unter Berücksichtigung der Empfehlungen der Artikel-29-Datenschutzgruppe bzw. des Europäischen Datenschutzausschusses. Die Anonymisierung der Daten garantiert daher, dass keinerlei Rückschlüsse auf Einzelpersonen oder Unternehmen gezogen werden können. Für den Kunden entsteht also absolut kein Risiko.

Im Falle einer Beendigung der Geschäftsbeziehung kann der Kunde über weisungsberechtigte Personen die Herausgabe seiner Daten in einem maschinenlesbaren Format beantragen. Nach Ablauf der vertraglich definierten Frist werden schließlich alle Daten unwiederbringlich gelöscht. Dies geschieht in der Regel innerhalb 30 Tage nach der Beendung des Geschäftsverhältnis. Im unwahrscheinlichen Fall der Einstellung des Geschäftsbetriebs von Speexx, würde genauso verfahren werden, da Speexx lediglich Auftragsverarbeiter der Daten des Kunden ist und deshalb auch nicht anderweitig über die personenbezogenen Daten verfügen darf.

Verfahren zur Überprüfung der Sicherheit

Mithilfe von jährlich durchgeführten Audits unseres Unternehmens und der Produkte von Speexx überprüfen wir die Einhaltung der gesetzlichen Anforderungen zum Datenschutz. Auf der Basis der Erkenntnisse aus diesen Audits überarbeiten und verbessern wir unsere Dokumentationen, Prozesse, Strukturen oder Funktionalitäten und entwickeln technischen und organisatorischen Maßnahmen zur Verbesserung.

Speexx führt in regelmäßigen Abständen interne Schwachstellenscans zur Überprüfung unserer Anwendung und Infrastruktur durch. Zudem führt ein externer Dienstleister einmal im Jahr Penetrationstests durch, um alle Systeme und Produkte von Speexx auf Fehler und Schwachstellen hin zu überprüfen. Die Sicherheit unseres Angebots liegt uns besonders am Herzen, ebenso wie die Angriffserkennung.