Zum Inhalt

GDPR/DSGVO (Regulation (EU) 2016/679)

Die Datenschutz-Grundverordnung (DSGVO) bzw. General Data Protection Regulation (GDPR) ist die zentrale europäische Verordnung zum Schutz personenbezogener Daten. Wenn Sie personenbezogene Daten in der EU/EEA verarbeiten, müssen Sie die GDPR einhalten.

Umfang der GDPR-Compliance

Die vollständige Umsetzung der GDPR erfordert umfangreiche organisatorische Maßnahmen, wie:

  • Benennung eines Datenschutzbeauftragten (DPO)
  • Dokumentation des Verzeichnisses von Verarbeitungstätigkeiten
  • Erstellung von Datenschutzerklärungen
  • Abschluss von Auftragsverarbeitungsverträgen (AVV) mit Dienstleistern

Diese Seite fokussiert sich auf die GDPR-relevanten Aspekte der ayedo Kubernetes Distribution und wie die Plattform Sie bei der Einhaltung der technischen und organisatorischen Maßnahmen unterstützt.

GDPR Art. 32 - Sicherheit der Verarbeitung

Art. 32 GDPR fordert "ein dem Risiko angemessenes Schutzniveau" durch technische und organisatorische Maßnahmen. Die GDPR ist hier bewusst nicht-präskriptiv und überlässt die Wahl der Maßnahmen dem Verantwortlichen.

Die ayedo Kubernetes Distribution implementiert eine Vielzahl von Sicherheitsmaßnahmen, die zur Erfüllung von Art. 32 beitragen:

Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1a)

Verschlüsselung personenbezogener Daten:

  • Data in Transit: TLS 1.3 für alle Netzwerkverbindungen
  • Data at Rest: Verschlüsselung von Persistent Volumes
  • Secrets: Verschlüsselte Speicherung in HashiCorp Vault
  • Backup: Verschlüsselte Backup-Speicherung

Dokumentation:

Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1b)

Vertraulichkeit:

  • RBAC: Rollenbasierte Zugriffskontrolle auf alle Ressourcen
  • Network Policies: Mikrosegmentierung zur Datenisolation
  • Audit Logs: Vollständige Protokollierung aller Zugriffe
  • Secrets Management: Sichere Verwaltung von Credentials

Integrität:

  • Image Signing: Verifizierung der Container-Integrität
  • Admission Control: Validierung aller Änderungen
  • Audit Logs: Tamper-proof Log-Speicherung
  • Backup: Integritätsprüfung bei Backups

Verfügbarkeit:

  • Hochverfügbarkeit: Multi-Node Control Plane
  • Backup & Recovery: Automatisierte Backups und getestete Recovery
  • Monitoring: 24/7 Überwachung und Alerting
  • Auto-Scaling: Automatische Ressourcen-Skalierung

Belastbarkeit:

  • Self-Healing: Automatische Wiederherstellung ausgefallener Komponenten
  • Rolling Updates: Zero-Downtime Updates
  • Disaster Recovery: Wiederherstellungsplan und -prozesse

Dokumentation:

Wiederherstellung der Verfügbarkeit (Art. 32 Abs. 1c)

Backup und Disaster Recovery:

  • Automated Backups: Täglich via Velero
  • Offsite Storage: Geografisch getrennte Backup-Speicherung
  • Tested Recovery: Regelmäßige Recovery-Tests
  • RTO/RPO: Definierte Recovery Time/Point Objectives

Dokumentation:

Regelmäßige Überprüfung und Bewertung (Art. 32 Abs. 1d)

Kontinuierliche Sicherheitsüberprüfung:

  • Vulnerability Scanning: Automatisches Scannen auf Schwachstellen
  • Penetration Tests: Regelmäßige externe Security Audits
  • Compliance Audits: Überprüfung der Sicherheitsmaßnahmen
  • Incident Response Drills: Tests der Incident-Response-Prozesse

Monitoring und Alerting:

  • 24/7 Monitoring: Proaktive Überwachung aller Systeme
  • Security Alerts: Automatische Benachrichtigung bei Anomalien
  • Log Review: Regelmäßige Analyse der Audit Logs

Dokumentation:

GDPR Art. 28 - Auftragsverarbeiter

ayedo tritt bei der Bereitstellung der Kubernetes Distribution als Auftragsverarbeiter (Processor) im Sinne von Art. 28 GDPR auf.

Anforderungen an Auftragsverarbeiter:

Art. 28 Abs. 3a - Weisungen des Verantwortlichen

ayedo verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Sie als Kunde).

Art. 28 Abs. 3b - Vertraulichkeitsverpflichtung

Alle ayedo-Mitarbeiter mit Zugriff auf Kundendaten sind zur Vertraulichkeit verpflichtet.

Art. 28 Abs. 3c - Sicherheit der Verarbeitung

Siehe Art. 32 oben - ayedo implementiert umfassende technische und organisatorische Maßnahmen.

Art. 28 Abs. 3d - Weitere Auftragsverarbeiter

Etwaige Unterauftragnehmer (z.B. Hosting-Provider) werden im Auftragsverarbeitungsvertrag (AVV) aufgeführt.

Art. 28 Abs. 3e - Unterstützung des Verantwortlichen

ayedo unterstützt Sie bei:

  • Beantwortung von Betroffenenanfragen (Art. 15-22 GDPR)
  • Meldung von Datenschutzverletzungen (Art. 33-34 GDPR)
  • Datenschutz-Folgenabschätzungen (Art. 35 GDPR)

Art. 28 Abs. 3f - Löschung oder Rückgabe

Nach Vertragsende werden alle personenbezogenen Daten gelöscht oder auf Wunsch zurückgegeben.

Art. 28 Abs. 3g - Informationspflicht

ayedo stellt alle notwendigen Informationen zur Verfügung, um die Einhaltung der Pflichten nachzuweisen.

Art. 28 Abs. 3h - Audits

ayedo ermöglicht Überprüfungen durch den Verantwortlichen oder beauftragte Prüfer.

GDPR Art. 17 - Recht auf Löschung ("Recht auf Vergessenwerden")

Betroffene Personen haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen.

Wie die Plattform Sie unterstützt:

Vollständige Datenlöschung

  • Persistent Volumes: Sichere Löschung via Kubernetes PVC Deletion
  • Backups: Prozesse zur Identifizierung und Löschung in Backups
  • Logs: Konfigurierbare Log-Retention und Löschung
  • Snapshots: Verwaltung und Löschung von Storage-Snapshots

Audit-Trail

  • Lösch-Operationen werden protokolliert: Nachweis der Löschung via Audit Logs
  • Dokumentation: Nachvollziehbarkeit für Auditoren

Dokumentation:

GDPR Art. 33-34 - Meldung von Datenschutzverletzungen

Bei Datenschutzverletzungen (Data Breaches) gelten strenge Meldepflichten.

Wie die Plattform Sie unterstützt:

Incident Detection

  • Intrusion Detection: Falco, Cilium Network Monitoring
  • Anomaly Detection: Automatische Erkennung verdächtiger Aktivitäten
  • Alerting: Sofortige Benachrichtigung bei Security Incidents

Incident Response

  • 24/7 On-Call: Sofortige Reaktion auf Sicherheitsvorfälle
  • Incident Response Plan: Dokumentierte Prozesse
  • Communication: Transparente Kommunikation mit Kunden

Forensics

  • Audit Logs: Vollständige Protokollierung für forensische Analysen
  • Tamper-Proof: Logs können nicht nachträglich verändert werden
  • Log Retention: Aufbewahrung für Untersuchungen

Dokumentation:

GDPR Art. 35 - Datenschutz-Folgenabschätzung (DPIA)

Bei "hohem Risiko" für die Rechte und Freiheiten von Personen ist eine Datenschutz-Folgenabschätzung erforderlich.

Wie die Plattform Sie unterstützt:

Diese Dokumentation liefert Informationen über die technischen und organisatorischen Maßnahmen der Plattform, die Sie für Ihre DPIA verwenden können.

Relevante Informationen:

  • Art der verarbeiteten Daten: Hängt von Ihrer Anwendung ab
  • Zweck der Verarbeitung: Hängt von Ihrer Anwendung ab
  • Technische und organisatorische Maßnahmen: Siehe diese Compliance-Dokumentation
  • Risikobewertung: Unterstützt durch Security Features der Plattform

Europäische Rechenzentren

Ein zentraler Aspekt der GDPR-Compliance ist der Standort der Datenverarbeitung.

ayedo garantiert:

  • Ausschließlich europäische Rechenzentren: Deutschland, Finnland, weitere EU-Standorte
  • Keine Drittstaatentransfers: Keine Datenübertragung außerhalb EU/EEA
  • Europäische Rechtsgrundlage: Deutsches/EU-Recht anwendbar
  • Transparenz: Klare Dokumentation der Standorte

Weitere Compliance-Standards

Für eine umfassendere Betrachtung technischer und organisatorischer Maßnahmen siehe:

Diese Standards bieten konkretere Maßnahmenkataloge, die Art. 32 GDPR unterstützen.

Auftragsverarbeitungsvertrag (AVV)

Für die Nutzung der ayedo Kubernetes Distribution schließen wir einen Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA) gemäß Art. 28 GDPR ab.

Der AVV regelt:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Technische und organisatorische Maßnahmen (TOMs)
  • Unterauftragnehmer
  • Unterstützungspflichten

Kontakt:

Für Fragen zum AVV oder zur GDPR-Compliance kontaktieren Sie:

Weiterführende Ressourcen

Offizielle Quellen

ayedo-Dokumentation

Support

Für Fragen zur GDPR-Compliance oder zum Auftragsverarbeitungsvertrag: