Infos zum Start & Grundlagen
EinleitungOrganisation, Kanäle und MixesPosts, Karten & Content TypenRollen für NutzendeCommunity FunktionenMobile Apps & Web AppFunktions-& LeistungsbeschreibungTech StackSupportDatenschutz
Grundlage Datenschutzkonzept(e)NutzungsauswertungVerwaltung Zugangsdaten der NutzendenPersonenbezogene Daten und DatenkategorienInhalte in App und WebAuftragsdatenverarbeiterTOMsInformationssicherheit
Informationssicherheit bei tchopSicherheitsrichtlinie ISO27001 ZertifikatSicherer ZugangSchwachstellenanalyseRisikoanalyseKommunikationsmatrixApp Customization & Deployment
Bereitstellung AppsMobile App Deployment & Vertrieb
App CustomizationApp UpdatesSSO via SAMLSSO via Open ID ConnectAnalytics & Reporting
Grundlagen KPIsAnalytics DashboardProjektsteuerung
Arbeitspakete & TimelineEnablementLaunch & OnboardingBetriebsratBeispiele & VorlagenSonstiges
Feature RoadmapLanguages
EnglishUnsere Auftragsdatenverarbeiter
Als Software-Start-up mit starkem Fokus auf Datenschutz und Sicherheit legen wir großen Wert auf die Auswahl und das Management unserer Auftragsdatenverarbeiter. Wir bevorzugen etablierte europäische Dienstleister, um die Einhaltung der strengen Datenschutzstandards zu gewährleisten, die in der Europäischen Union gelten. Allgemein versuchen wir zudem die Anzahl der Auftragsdatenverarbeiter möglichst überschaubar zu halten und Daten nur mit Dritten zu teilen wo dies unumgänglich ist.
Für Kunden, die besonderen Wert auf Datensicherheit legen und Probleme mit dem amerikanischen “Cloud Act” haben (wofür wir großes Verständnis haben), bieten wir die Möglichkeit, ihre Daten auf deutschen Servern von Hetzner zu hosten. Diese Option unterstreicht unser Engagement für höchste Sicherheitsstandards und Datenhoheit.
Wir überwachen unsere Dienstleister streng und arbeiten ausschließlich mit zertifizierten Anbietern zusammen. Dieser Ansatz ist in unserem eigenen Managementsystem für Informationssicherheit hinterlegt und zertifiziert. Er garantiert, dass alle unsere Subprozessoren unsere hohen Anforderungen an Datenschutz, Sicherheit und Zuverlässigkeit erfüllen.
Indem wir sicherstellen, dass unsere Partner dieselben hohen Standards einhalten, die wir uns selbst auferlegen, können wir unseren Kunden eine sichere und vertrauenswürdige Umgebung für ihre Daten bieten.
Im folgenden finden Sie die aktuelle Übersicht über die für die tchop GmbH im Rahmen der Aufgaben nach § 1 Abs. 1 der Datenschutzbestimmungen tätigen Unterauftragnehmer jeglichen Grades (Stand Februar 2024).
Hosting Provider
Kunden haben bei uns die Wahl zwischen zwei Hosting-Anbietern: AWS (mit Server Standort Frankfurt) oder Hetzner (mit Server Standort Nürnberg oder Falkenstein)
Hetzner
Unterauftragnehmer: | Hetzner Online GmbH |
Anschrift:
| Industriestr. 25
91710 Gunzenhausen
Deutschland |
Aufgabenfeld:
| Hetzner Cloud ist eine sichere Plattform, die cloud-basierte Rechenleistung, Datenbank-Speicherung, Bereitstellung von Inhalten und weitere Funktionen bietet und den höchsten Sicherheitsstandards entspricht.
Der Auftragnehmer speichert seine gesamten Inhalte sowie personenbezogene Daten auf der Cloud-Infrastruktur von Hetzner. tchop verfügt selbst über keine lokalen Server zum Speichern von Daten.
Die Dienste von Hetzner sind so konzipiert, dass der Auftragnehmer jederzeit und vollumfänglich die Kontrolle über die gespeicherten Inhalte hat, einschließlich wo und wie sie gespeichert werden, sowie wer Zugriff darauf hat.
Der Zugang zu dem Hetzner-Account des Auftragnehmers ist durch ein entsprechendes Berechtigungskonzept (siehe TOMs) gesichert. Auch weitere Details zu Datenhaltung, -sicherung, -zutritt, -zugang und -kontrolle im Bezug auf den Dienst von Hetzner finden sich in unseren TOMs.
Hetzner unterliegt als deutsches Unternehmen dem europäischen Datenschutz und erfüllt die strengen europäischen Datenschutzbestimmungen.
Zusätzliche Informationen erhalten Sie hier: https://www.hetzner.com/de/legal/privacy-policy/ |
Betriebsstätten/Standorte: | Nürnberg und Falkenstein (Deutschland) |
Datum Vertragsabschluss: | 15.1.2023 |
Datum der letzten Prüfung gemäß § 7 Abs. 9 der Datenschutzbestimmungen: | 23.09.2022 |
Prüfung wurde durchgeführt durch: | FOX Certification GmbH |
Prüfbericht vorhanden ja/nein: | ja |
Amazon Web Services
Unterauftragnehmer: | Amazon Web Services Germany GmbH (AWS) |
Anschrift:
| Domagkstr. 28
80807 München
Deutschland |
Aufgabenfeld:
| Amazon Web Services ist eine sichere Plattform, die cloud-basierte Rechenleistung, Datenbank-Speicherung, Bereitstellung von Inhalten und weitere Funktionen bietet und den höchsten Sicherheitsstandards entspricht.
Der Auftragnehmer speichert seine gesamten Inhalte sowie personenbezogene Daten auf der Cloud-Infrastruktur von AWS. tchop verfügt selbst über keine lokalen Server zum Speichern von Daten.
Die Datenbank von tchop befindet sich auf den Servern von AWS in Frankfurt. Die Dienste von AWS sind so konzipiert, dass der Auftragnehmer jederzeit und vollumfänglich die Kontrolle über die gespeicherten Inhalte hat, einschließlich wo und wie sie gespeichert werden, sowie wer Zugriff darauf hat.
Der Zugang zu dem AWS-Account des Auftragnehmers ist durch ein entsprechendes Berechtigungskonzept (siehe TOMs) gesichert. Auch weitere Details zu Datenhaltung, -sicherung, -zutritt, -zugang und -kontrolle im Bezug auf den Dienst von AWS finden sich in unseren TOMs.
AWS unterliegt als deutsches Unternehmen dem europäischen Datenschutz und erfüllt die strengen europäischen Datenschutzbestimmungen.
Zusätzliche Informationen erhalten Sie hier: https://aws.amazon.com/de/compliance/gdpr-center und hier https://aws.amazon.com/de/security/?nc=sn&loc=0 |
Betriebsstätten/Standorte: | Frankfurt (Deutschland) |
Datum Vertragsabschluss: | 15.9.2016 |
Datum der letzten Prüfung gemäß § 7 Abs. 9 der Datenschutzbestimmungen: | 18.11.2022 |
Prüfung wurde durchgeführt durch: | EY CertifyPoint (ISO/IEC 27001:2022) |
Prüfbericht vorhanden ja/nein: | ja |
Sonstige Auftragsdatenverarbeiter
Crisp Chat
Unterauftragnehmer: | Crisp Chat |
Anschrift:
| 2 Boulevard de Launay 44100 Nantes Frankreich |
Aufgabenfeld:
| Um Administratoren*innen und Redakteur*innen bei der Nutzung des tchop CMS im Browser zu unterstützen, nutzt tchop das Support Chat Tool von Crisp. Im Rahmen der Nutzung werden personenbezogene Daten dieser Nutzenden erhoben (Achtung: normale App Nutzende sind davon nicht betroffen).
Die Erfassung dieser Daten dient ausschließlich Support und Hilfestellung der Nutzenden bei der möglichst effizienten Verwendung der tchop Plattform.
Erhoben werden dabei folgende Daten:
- Name des Nutzenden
- E-Mail-Adresse des Nutzenden
- Login-Status des Nutzenden (angemeldet ja/nein)
- Rolle des Nutzenden (Org. Admin, Channel Admin, Editor, Editor-Limited, Leser)
- Erstmalige/Letztmalige Nutzung der Plattform
- Datum der Anmeldung auf der Plattform
- Technische Daten: Betriebssystem, Browser-Version und -Sprache
- tchop User ID
- Name und ID der zuletzt genutzten Organisation des Auftraggebers auf der Plattform
- Name und ID des zuletzt genutzten Channels des Auftraggebers auf der Plattform
- Konversationen mit dem Nutzer über Chat oder E-Mail
- IP Adresse
- E-Mail-Konversation erfolgreich (für den Fall das eine Feedback-Mail an den Nutzer fehlgeschlagen ist)
- Zuletzt gemeldeter Standort des Nutzenden
- Zeit der letzten Nutzung durch den Nutzenden
Technisch erfolgt das Tracking durch einen sogenannten Browser-Cookie. Dieser ist auf der Website von tchop.io integriert. tchop leitet User-ID, Namen und E-Mail-Adressen der Administratoren und Editoren an Crisp weiter, damit der Personenbezug hergestellt werden kann. Erhoben werden nur Daten, die für den Support der Nutzer eine Rolle spielen.
Auf die Erfassung weiterer Daten wird bewusst verzichtet. Crisp bietet jederzeit die Möglichkeit, Kundendaten einzusehen oder zu löschen. tchop nutzt diese Funktionalität bspw. um alle in Bezug zu einem Auftraggeber stehenden Daten nach Beendigung des Auftrags zu löschen. Crisp dient ausschließlich der Verbesserung des tchop Kunden-Supports und ist nicht maßgeblich für das Angebot an sich.
Sonstige, nicht autorisierte Nutzende des inhaltlichen Angebots bzw. der mobilen Apps (in der Regel Mitarbeiter*innen, Interessensgruppen, Kund*innen) nutzen zu keinem Zeitpunkt das CMS-Backend von tchop und sind von diesem Dienst nicht betroffen.
Die technische Infrastruktur von Crisp Chat ist in Frankreich lokalisiert; Crisp ist ein französisches Start Up, welches den strengen europäischen Datenschutzbestimmungen unterliegt (siehe https://crisp.chat/de/privacy/). |
Betriebsstätten/Standorte, an denen sich die Daten des Verantwortlichen befinden - inkl. der Standorte der ggf. beauftragten Unterunterauftragnehmer: | Amsterdam, Niederlande |
Datum Vertragsabschluss: | 1.8.2022 |
Datum der letzten Prüfung gemäß § 7 Abs. 9 der Datenschutzbestimmungen: | 3.7.2022 |
Prüfung wurde durchgeführt durch: | Rounak Maheshwari (ISO tchop) |
Prüfbericht vorhanden ja/nein: | ja |
Google Firebase
Unterauftragnehmer: | Google |
Anschrift:
| Google LLC, 1600 Amphitheatre Parkway Mountain View, CA 94043 USA |
Aufgabenfeld:
| Wir verwenden Google Firebase Cloud Messaging, um Push Benachrichtigungen an die von autorisierten Nutzenden verwendete mobile Anwendung zu senden.
Google Firebase verarbeitet nur zufällige Instanz-IDs, um zu bestimmen, an welche Geräte die Benachrichtigung zugestellt werden soll. Jede Instanz-ID ist für eine bestimmte App und ein bestimmtes Gerät eindeutig und ist erforderlich für das Versenden von Push-Benachrichtigungen. Google Firebase kann diese Instanz-ID Autorisierten Nutzern nicht zuordnen. Autorisierte Nutzer können Push-Benachrichtigungen über die Einstellungen in der App steuern. Diese IDs sind in keinster Weise mit den User-IDs (und damit mit den IDs echter Nutzer) verbunden, es lässt sich kein Zusammenhang herstellen.
Ausserdem nutzt tchop für die eigene Business E-Mail-Kommunikation die Cloud-Infrastruktur des Unternehmens Google Inc. (sog. „G Suite“). Dies betrifft nur die Business-Kommunikation mit dem Team, die Emails des tchop CMS (bspw. Einladungen zur App) gehen über einen eigenen Server auf Basis der oben erwähnten Cloud-Infrastruktur.
Nutzer bzw. Mitarbeiter des Auftraggeber können sich bei Fragen oder Anmerkungen via E-Mail an support@tchop.io wenden. Über diese E-Mail antworten MitarbeiterInnen des Auftragnehmers über die technische E-Mail-Infrastruktur von Google bzw. des Produktes „Google Workplace“.
Die Artikel-29-Datenschutzgruppe hat befunden, dass die „Google Suite“ die Anforderungen der Richtlinie bezüglich der strengen EU Modellklauseln erfüllt. Weiterführende Informationen zum Schutz der Daten in der Google Suite finden sich hier: https://gsuite.google.com/intl/de/security/?securebydesign_activeEl=data-centers |
Betriebsstätten/Standorte: | Fredericia, Dänemark |
Datum Vertragsabschluss: | 1.9.2016 |
Datum der letzten Prüfung gemäß § 7 Abs. 9 der Datenschutzbestimmungen: | 7.6.2022 |
Prüfung wurde durchgeführt durch: | EY CertifyPoint |
Prüfbericht vorhanden ja/nein: | Ja |
Hintergrund Firebase SDK (Google)
Wir verwenden das Firebase SDKs von Google, um Nutzenden Push Benachrichtigungen senden zu können. Aus technischer Perspektive gibt es keine Alternative dazu in dem Sinne, dass alle Push Benachrichtigungen an iOS und Android-Geräte über die Push Infrastruktur von Apple und Google abgewickelt werden müssen. Jede App, die Push Benachrichtigungen an Android Geräte versendet nutzt zwangsläufig Firebase, um dies zu implementieren.
Das Firebase SDK vergibt beim erstmaligen Start der App einen sogenannten Push Token sowie eine ID, die zufällig generiert wird und nicht mit irgendeiner User-ID bei tchop verbunden ist. Diese ID verwenden wir zudem, um appseitig anonymisierte Nutzungswerte zu erfassen. Diese lassen sich nicht mit Nutzenden bei tchop in Verbindung bringen. Details finden sich hier: Nutzungsauswertung.