Datenschutz

Technische und organisatorische Maßnahmen

Diese Maßnahmen nach Art. 32 DSGVO sind Anlage zum Auftragsverarbeitungsvertrag (AVV) und werden bei wesentlichen Änderungen aktualisiert. Stand: 28.04.2026 (Version v1.0).

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b)

  • Hosting ausschließlich in deutschen Rechenzentren der Hetzner Online GmbH (zertifiziert nach ISO 27001).
  • Zugang zu Servern nur über persönlich zugeordnete administrative Konten mit Mehr-Faktor-Authentifizierung.
  • Mandantentrennung der Suchindexe — pro Kunde ein eigener, abgegrenzter Bereich.
  • Verpflichtung der zur Verarbeitung befugten Personen auf das Datengeheimnis und Art. 5 Abs. 1 lit. f DSGVO.

2. Integrität (Art. 32 Abs. 1 lit. b)

  • Verschlüsselung in transit (TLS) für sämtliche Datenübertragungen zwischen Bundle, Plattform und Suchserver.
  • Schutz vor Cross-Site-Request-Forgery für alle zustandsändernden Vorgänge im Dashboard.
  • Speicherung von Authentifizierungsdaten (Passwörter, API-Schlüssel) ausschließlich in nicht-rückführbarer Form.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b)

  • Tägliche, automatisierte Backups der Plattform-Datenbank.
  • Backups verschlüsselt, getrennt vom Produktionssystem aufbewahrt; Aufbewahrungsdauer 30 Tage.
  • Monitoring der Verfügbarkeit der für den Betrieb erforderlichen Dienste.

4. Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c)

  • Dokumentiertes und regelmäßig überprüftes Verfahren zur Wiederherstellung der Daten aus den Backups.

5. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d)

  • Sicherheitsrelevante Aktualisierungen werden zeitnah eingespielt.
  • Überprüfung sicherheitsrelevanter Ereignisse (Anmelde- und Zugriffsereignisse).
  • Anpassung dieser Maßnahmen bei wesentlichen Änderungen der Verarbeitung oder der Bedrohungslage.

6. Verfahren bei Datenpannen (Art. 33–34 DSGVO)

  • Meldung jeder Verletzung des Schutzes personenbezogener Daten an den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden.
  • Notfall-Kontakt: datenschutz@venne-media.de.

7. Beendigung und Löschung

  • Bei Beendigung des Vertrags werden die Suchindex-Daten innerhalb von 30 Tagen vollständig gelöscht.
  • API-Schlüssel werden bei Widerruf unverzüglich invalidiert.
  • Gesetzliche Aufbewahrungspflichten (insbesondere §§ 147 AO, 257 HGB) bleiben unberührt.

8. Sub-Auftragsverarbeiter

Liste der eingesetzten Sub-Auftragsverarbeiter siehe /datenschutz/sub-auftragsverarbeiter.