OpenProject DSGVO Einhaltung und ein offenes Bekenntnis zu Datenschutz und Sicherheit

OpenProject Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetz (BDSG-neu)

Sichere Daten – sichere Prozesse: Der Schutz und die Sicherheit Ihrer persönlichen und personenbezogenen Daten ist für uns mehr als nur eine rechtliche Notwendigkeit. Wir sind ein europäisches Unternehmen mit Sitz in Berlin und haben ein starkes Bewusstsein und hohe Sensibilität für das Thema Datenschutz und Sicherheit. Es ist eines unserer wichtigsten Anliegen und tief in unserer Firmenphilosophie verankert.

Mit der europäischen Datenschutz-Grundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG-neu) werden europäisch einheitliche Regeln für die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen in Kraft treten. Für OpenProject ist die Erfüllung der DSGVO und BDSG-neu selbstverständlich.

Als entschiedene Befürworter von Open-Source garantiert OpenProject umfangreiche Freiheiten von Nutzern unserer Services.  Dies umfasst nicht nur die Software-Freiheiten, die unser offener Kern allen Nutzern durch Einsatz der GPLv3 gewährt, sondern auch die Rechte und Freiheiten, die im Rahmen der DSGVO in Kraft treten. Mit der gleichen Transparenz, mit der unsere Software entwickelt wird, treten wir für den Datenschutz der Nutzer unser Anwendungen und Services ein.

Dieses Dokument legt die Aspekte unser Datenschutzkonformität mit der DSGVO sowie allgemeinen Ansprüchen an Daten- und Nutzersicherheit dar, nach denen OpenProject sich richtet.

Unsere Sicherheits- und Datenschutz-Strategie beinhaltet alle Aspekte unseres Unternehmens

  • OpenProject’s Sicherheit und Datenschutz-Richtlinien
  • Freie und quelloffene (Open Source) Code-Basis, die öffentlich zugänglich ist
  • Physische und System-Sicherheit
  • Betriebssicherheit
  • Skalierbarkeit & Verfügbarkeit der System Architektur
  • OpenProject’s Datenmodell und Zugangsberechtigungen
  • Softwareentwicklung und Wartung
  • Bereitstellung von Services
  • Regelmäßige Datenschutz- und Sicherheit-Audits von externen Prüfern

OpenProject überwacht intensiv und kontinuierlich die Entwicklungen und Regularien für Datenschutz, Sicherheit, Compliance in der EU und auf der ganzen Welt. Wir nehmen unsere Verantwortung für Erhebung und Schutz Ihrer Daten, sichere Prozesse, sichere Infrastruktur sowie eine sichere Applikation sehr ernst.

Viele Augen sehen mehr! Als freie und Open Source Software ist unser kompletter Software-Code frei zugänglich und wird nicht nur von unserem Entwicklungs-Team, QA- und Security Experten gesichert, sondern von der kompletten Öffentlichkeit.

Datenzugriff und -Portabilität

Die DSGVO befähigt jeden betroffenen Nutzer, seine von uns erhobenen personenbezogenen Daten einzusehen und berichtigen oder löschen zu lassen. Wir heben in diesem Abschnitt diese Rechte in Bezug auf die OpenProject Cloud Edition hervor.

Recht auf Zugang und Korrektur personenbezogener Daten

Administratoren in Umgebungen der OpenProject Cloud Edition fungieren als sogenannte Data controller im Sinne der DSGVO. Sie sind befähigt, über die Administrationsoberfläche der Instanz Änderungs-  oder Löschanfragen ihrer eigenen Nutzer durchzuführen, für die sie verantwortlich sind. Sie erfahren in den nachfolgenden Abschnitten, wie Sie welche Ansprüche über die Instanz durchführen können.

Administratoren selbst können dieselben Ansprüche über ihre personenbezogenen Daten an OpenProject selbst richten. Bitte kontaktieren Sie uns hierfür schriftlich, per E-Mail, oder telefonisch über die Kommunikationswege auf dieser Seite.

Der folgende Artikel in der Benutzerdokumentation bietet weitere Informationen:

Recht auf Löschung („Recht auf Vergessenwerden”)

Der Kern von OpenProject bietet bereits seit langem die Möglichkeit, alle Daten und Verknüpfungen eines Benutzers in der Applikation zu entfernen. Wenn der Nutzer noch in der Instanz verwendet wurde (beispielsweise als Mitglied in Projekten oder als zugewiesener Nutzer in Arbeitspaketen), werden diese Verweise mit einem anonymen Nutzer ersetzt, um die Integrität der Daten in der Applikation sicherzustellen.

  • Administratoren können über die Administrationsoberfläche einzelne Nutzer löschen.
  • Abhängig von der Konfiguration Ihrer Instanz können Sie als individueller Nutzer auch eingeständig Ihren Account vollständig und eigenständig löschen.  Wenn die Funktion aktiviert wurde, besteht die Möglichkeit zur Löschung auf der Seite Mein Account. Ist sie deaktiviert, fordern Sie Ihren zuständigen Administrator zur Löschung auf.

Datenportabilität

OpenProject ermöglicht Administratoren in ihrer Rolle als Data  controller  nach der DSGVO den Abruf aller Daten, die mit ihrer OpenProject Instanz verknüpft sind. Diese Daten enthalten ein vollständiges SQL-Abbild des Systems und allen hochgeladenen Dateien.

Erklärung zur Sicherheit bei OpenProject

Entwicklung OpenProject Software

In seinem Kern ist OpenProject eine quelloffene GPLv3-lizensierte Software, welche auf GitHub entwickelt und veröffentlicht wird. Jede Änderung an OpenProject selbst ist als Git-commit erfasst und der Öffentlichkeit zugänglich. Dies garantiert Transparenz in der Softwareentwicklung, da jede einzelne Änderung auf einen der Mitwirkenden zurück verfolgt werden kann.

Umfassende automatisierte Tests und manuelle Code-Reviews erhöhen das Vertrauen in die Beiträge von allen Mitwirkenden inner- und außerhalb der OpenProject GmbH. Diese Tests prüfen unter anderem auch die Korrektheit und Funktionalität von sicherheitsrelevanten Funktionen wie rollenbasierten Zugangsberechtigungen.  Wir setzen auf fortlaufende Kollaborationen mit Sicherheitsexperten von Kunden und aus der Community, um OpenProject auf Sicherheitslücken zu prüfen.

Bei OpenProject nehmen wir alle Sicherheitsaspekte ernst. Wenn Sie Rückmeldungen oder Beiträge zur Sicherheit leisten wollen oder eine Sicherheitslücke vermuten, bitte melden Sie sich gerne vertraulich per E-Mail an security@openproject.com oder direkt über andere Kontaktmöglichkeiten an uns.

 

Sicherheitsrelevante Funktionen

Authentifizierung.

Administratoren in OpenProject können ihren Nutzern sichere Authentifizierungsmechanismen oder Passwortrichtlinien vorschreiben, um Nutzer in der Wahl sicherer und industrienormgerechter Passwörter zu befähigen. OpenProject-interne Passwörter werden auf allen Umgebungen über salted bcrypt gespeichert. Externe Authentifizierungsmöglichkeiten (LDAP/SAML) können verwendet werden, um die Verwendung von Passwörtern in OpenProject selbst zu vermeiden.

Zwei-Personen Registrierung.

In Erfüllung der häufigen Anforderung von Konzernbetriebsräten kann das Hinzufügen neuer Nutzer in OpenProject von einem Projektverantwortlichen bestätigt werden, bevor diese in das System eintreten dürfen.

Nutzerverwaltung und Zugangsberechtigungen.

Administratoren und Projektverantwortliche erhalten mit OpenProject detaillierte rollen-basierte Mechanismen fürZugangsberechtigungen, um sicherzustellen, dass Nutzer nur die Daten sehen und verändern dürfen, zu denen sie auf ihrer indivuellen Projektebene befugt sind. Diese Mechanismen erlauben eine konzernweite feine Einteilung in befugte Personen auf Basis einzelner Datenarten und Module in der Applikation.

Zwei-Faktor-Authentifizierung (Cloud / Enterprise Edition).

Sichern Sie Ihre Authentifizierungsmechanismen zusätzlich mit einem zweiten Faktor, der über den TOTP-Standard (oder optional über SMS, abhängig von Ihrer Instanz) vom Nutzer bestätigt werden muss. Weitere Informationen.

Information über Sicherheit und Compliance

OpenProject Cloud Umgebungen werden in einer logisch isolierten, virtuellen Cloud auf Basis der Amazon Web Services (AWS) mit Betrieb aller Services auf europäischem Boden betrieben.  AWS ist ein DSGVO-konformer Anbieter von Cloud-Infrastruktur mit umfangreichen Maßnahmen zur Daten- und Betriebssicherheit und umfassenden Mechanismen zu Zugangsberechtigungen und Datenschutz. Alle verwendeten Einrichtungen sind nach ISO 27001 und 27018 zertifiziert.

OpenProject Cloud Umgebungen werden in kurzen Abständen gesichert und im ruhenden Zustand mit AES-256 verschlüsselt. Jede OpenProject-Instanz ist logisch separiert und deren Datenzugriffe werden über eindeutige Datenbankschematas gekapselt, um Überschneidung von Zugriffen oder Datenlecks zwischen Instanzen zu vermeiden.

Die Produktionsumgebungen sind nur einem kleinen Kreis an befugten Administratoren  und von einem internen Verwaltungs-VPN zugänglich. Alle verwendeten Dienste werden wenn möglich über Zwei-Faktor-Authentifzierung gesichert. Zugriff auf Kundendaten erfolgt nur auf Anfrage von betroffenen Kunden (z. B., im Rahmen von Support oder Wartung, oder für den Import bzw. Export von Instanzen).

Alle Angestellten der OpenProject GmbH verwenden aktuelle Industriestandards zum Schutz ihrer Arbeitsgeräte im Umgang von OpenProject Cloud oder On-Premise Umgebungen. Alle sensiblen Daten auf Laptops und Arbeitsgeräten werden verschlüsselt und die Sicherheit und Aktualität derselben Geräte werden regelmäßig überwacht.

OpenProject Vertrag zur Auftragsverarbeitung (AV)

OpenProject erfüllt die Vorgaben der DSGVO und wir erheben und sichern die Daten unserer Kunden mit allergrößter Vorsicht. Als Teil der DSGVO bieten wir für unsere Kunden einen Vertrag zur Auftragsverarbeitung (AV), der unsere Datenschutz- und Sicherheitsbestimmungen mit unseren Kunden regelt.

Laden Sie den OpenProject Vertrag zur Auftragsverarbeitung (AV) herunter und senden Sie uns eine unterzeichnete Version an:
security@openproject.com

OpenProject GmbH
Security and Data Privacy
Karl-Liebknecht-Str. 5
10178 Berlin

Kontaktieren Sie das OpenProject Security Team

Wenn Sie Fragen haben, kontaktieren Sie unser Sicherheits- und Datenschutz-Team: security@openproject.com.