Technische und organisatorische Maßnahmen zur Datensicherheit und Datenschutz

Stand: 2025-07-06

ANHANG III – Technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus für die Datenverarbeitung im Auftrag (https://www.openproject.org/de/rechtliches/vertrag-zur-auftragsverarbeitung/) nach den Artikeln 28 und 32 DS-GVO.

Dieses Dokument betrachtet die Verwendung von OpenProject in der durch die OpenProject GmbH bereitgestellten SaaS-Plattform (OpenProject Enterprise Cloud). Für Kunden der OpenProject Enterprise Cloud ist die OpenProject GmbH datenschutzrechtlich ein Auftragsverarbeiter nach Artikel 28 DS-GVO und muss die Sicherheit der Verarbeitung nach Artikel 32 DS-GVO gewährleisten.

Für den Betrieb der SaaS-Plattform kommen weitere Dienstleister zum Einsatz, die in der Übersicht Unterauftragnehmer (https://www.openproject.org/de/rechtliches/vertrag-zur-auftragsverarbeitung/unterauftragnehmer/) aufgeführt sind.

Besonders wichtig für die Datensicherheit ist der Dienstleister, der die technische Basis für den Betrieb der SaaS-Plattform zur Verfügung stellt (Infrastructure-as-a-Service-(IaaS)-Provider). Die Datenverarbeitung durch den Auftragsverarbeiter findet in gesicherten Rechenzentren statt. OpenProject verwendet ausschließlich IaaS-Provider, die nach dem ISO 27001-Standard zertifiziert sind. Im Folgenden heben wir hervor, welche technischen und organisatorischen Maßnahmen primär in der Verantwortung des IaaS-Dienstleisters bzw. bei OpenProject liegen.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

1.1. Zutrittskontrolle

Die Maßnahmen zur Zutrittskontrolle zu den Rechenzentren liegen in der Verantwortung des IaaS-Providers. Sie stellen sicher, dass der physische Zugang zu Gebäuden, Serverräumen usw. gesichert ist. Hierzu gehören folgende Sicherheitsmaßnahmen und -infrastrukturen:

  • physikalischer Zutrittsschutz zu den Rechenzentren
  • Überwachung der Rechenzentren und deren Zutritte durch Mitarbeitende
  • Identifikation und Authentifikation aller Mitarbeitenden und Besuchenden mittels geeigneter Verfahren

Im Anhang Unterauftragnehmer (https://www.openproject.org/de/rechtliches/vertrag-zur-auftragsverarbeitung/unterauftragnehmer/) des Vertrages zur Auftragsverarbeitung verweisen wir auf die + des IaaS-Providers in der jeweilig eingesetzten Variante der Hosted Enterprise Cloud von OpenProject.

1.2. Zugangskontrolle

Unbefugter Zugang zur IaaS-Plattform sowie der darauf betriebenen SaaS-Anwendung muss verhindert werden. Diese Verantwortung liegt beim IaaS-Provider für die zugrundeliegende Plattform sowie bei OpenProject für die darauf betrieben SaaS-Anwendung.

OpenProject verwendet Web-Anwendungen und Schnittstellen des IaaS-Providers, um die SaaS-Anwendung OpenProject Enterprise Cloud bereitstellen zu können. OpenProject nutzt dabei Sicherheitsfunktionen, die durch den IaaS-Provider bereitgestellt werden (z.B. Virtual Private Clouds). OpenProject setzt folgende Sicherheitsmechanismen ein:

  • Implementierung von Firewalls und anderen Sicherheitsmechanismen zum Schutz der Systeme innerhalb des IaaS-Netzwerks.
  • Zugang zu Computersystemen nur über verschlüsstelte Verbindungen und für autorisierte und geschulte Administrator:innen
  • Administrative Zugriffe werden gesondert abgesichert, bspw. über ein authentifiziertes Netzwerk (VPN-Verbindungen)
  • Absicherung der Authentifizierung auf Weboberflächen und Schnittstellen über Mehr-Faktor-Authentifizierung
  • Isolation der Anwendung durch hardwarebasierte Firewalls und Virtual Private Clouds
  • Überwachung und Protokolliererung der administrativen Zugriffe auf ihre Anwendungen und regelmäßige Überprüfung der Zugriffsprotokolle.
  • Regelmäßige automatisierte und manuelle Überprüfung und Auditierung der eingesetzten Systeme, um Sicherheitslücken zu identifizieren und zu schließen. (s. Dokumentation von Security Tests sowie Secure Coding Guidelines, Abschnitt Virus and Malware Protection)
  • Dokumentierter Prozess zur sicheren Entwicklung von Software (s. Secure Coding Guidelines) und zur zeitnahen Behandlung und Behebung von Sicherheitslücken (s. Statement on Security)
  • Regelmäßige Schulungen der Mitarbeitenden zu Datenschutz und Datensicherheit.

1.3. Zugriffskontrolle

Der Auftragsverarbeiter hat unerlaubte Tätigkeiten in den datenverarbeitenden Systemen zu verhindern. Da die OpenProject Enterprise Cloud auf der Hardware des IaaS-Provider betrieben wird, sind die folgenden Maßnahmen für beide Parteien relevant:

  • Einsatz starker Authentifizierungsmethoden sowie Mehrfaktor-Authentifizierung
  • Verwendung von TLS zur Transportverschlüsselung unter der Verwendung von aktuellen und sicheren Chiffren
  • Logische oder physische Trennung der Daten unterschiedlicher Mandanten (Kunden/Verantwortlichen)
  • Zugriff durch den Kundendienst des Auftragsverarbeiters beschränkt auf Stammdaten und Abrechnungsdaten von Kunden (Verantwortlichen)
  • Nur ausgewählte Administrator:innen beim Auftragsverarbeiter und Unterauftragsverarbeiter sind berechtigt auf Daten in einer Kundeninstanz zugreifen und tun dies nur in vertraglich festgesetzten Fällen wie z.B. Störungen, die nicht durch die Kunden selbst oder durch den Kundendienst gelöst werden können
  • Fachliche Administrator:innen werden durch die Verantwortlichen selbst in ihrer Instanz der OpenProject Enterprise Cloud angelegt und verwaltet. Die Zugriffskontrolle innerhalb der SaaS-Anwendung liegt damit in der Kontrolle des Verantwortlichen.
  • Zugriffe auf Daten der OpenProject Enterprise Cloud Instanz eines Verantwortlichen erfolgen entsprechend der Rollen und Berechtigungen der Instanz. Die Berechtigungen können mittels eines flexiblen Rollen- und Berechtigungskonzepts durch Administrator:innen des Verantwortlichen festgelegt werden.

1.4. Trennungskontrolle

OpenProject hat die Trennung von Daten und Informationen von Kunden in der OpenProject Enterprise Cloud zu gewährleisten. Hierfür wendet OpenProject folgende Maßnahmen an:

  • Daten für unterschiedliche Verantwortliche werden durch eine mandantenfähige logische Trennung der Datenbankschemas voneinander getrennt gehalten.
  • Daten aus Test- oder integrativen Systemen werden auf Systemen und Virtual Clouds verarbeitet, die von den Produktionsumgebungen getrennten laufen. Eine Vermischung der Datensätze oder das versehentliche Zugreifen auf Produktionsdaten ist durch Zugangstrennung ausgeschlossen.

1.5. Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Pseudonymisierung soll die von der Datenverarbeitung betroffenen Personen vor Identifizierung schützen.

Die OpenProject Enterprise Cloud weist den einzelnen Benutzenden eine User-ID zu, die auf ihr Benutzendenkonto verweist. Diese Benutzenden-ID ist eine Pseudonymisierung. Sobald ein Benutzendenkonto in einer OpenProject-Instanz gelöscht wird, wird die Benutzenden-ID durch einen Nicht-Nutzenden (“unbekannter User”) ersetzt, was einer Löschung der User-ID und damit einer Anonymisierung des Datenbestands mit Blick auf den gelöschten Benutzenden entspricht.

Siehe hierzu auch den Abschnitt zur OpenProject Enterprise Cloud der Datenschutzerklärung, sowie den Abschnitt zur Dauer der Speicherung Ihrer personenbezogenen Daten der Datenschutzerklärung und die ergänzenden Informationen im Dokument Processing of Personal Data - Abschnitt Deletion of Personal Data.

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

2.1. Weitergabekontrolle

Die Kontrolle der Weitergabe von Daten des Verantwortlichen wird durch OpenProject sowie den IaaS-Provider durch folgende Maßnahmen gewährleistet:

  • Verschlüsselung sämtlicher Datenübertragung in Webanwendungen über TLS
  • Verarbeitungsverträge mit Unterauftragsnehmer zur Einhaltung der Datensicherheit sowie Kontrolle der eingesetzten Maßnahmen
  • Speicherung sämtlicher Daten einer OpenProject-Enterprise-Cloud-Instanz ausschließlich in den Rechenzentren des IaaS-Providers, mit Ausnahme der ergänzenden Datenverarbeitung durch weitere Unterauftragnehmer (Beispiel: E-Mail Versand einer OpenProject-Benachrichtigung durch den E-Mail-Dienstleister). Ausnahme hierbei bilden Arbeiten an Kundendaten zur Vorbereitung eines Datenimports in die Openproject Enterprise Cloud. Hierbei hat der Kunde die Verantwortung, die Daten auf einer eigens gesicherten Umgebung oder über sichere Wege zu OpenProject zu übertragen.
  • At-Rest Verschlüsselung aller Backups, die Daten einer OpenProject-Enterprise-Cloud-Instanz beinhalten

2.2. Eingabekontrolle

Der Auftragsverarbeiter hat die Nachvollziehbarkeit bzw. Dokumentation der Datenverarbeitung zu gewährleisten. Hierbei kommen folgende Maßnahmen zur Anwendung durch OpenProject:

  • Monitoring und Auditing von Änderungen in der Applikation selbst (z.B. Änderungsverfolgung, Aktivitätenliste in OpenProject)
  • Protokollierung der Eingabeaktivitäten in der Anwendung (s. Secure Coding Guidelines, Logging and Error Handling)
  • Validierung sämtlicher Benutzereingaben, um manipulierte Daten zu erkennen und abzulehnen (s. Secure Coding Guidelines, User Input Validation)
  • Ermöglichen der strukturierten Eingabe von Daten über dafür vorgesehen Nutzeroberflächen und Schnittstellen, mit Berücksichtigung der Berechtigungsstruktur der Nutzenden.

3. Verfügbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Der Auftragsverarbeiter hat personenbezogene Daten gegen zufällige Zerstörung oder Verlust zu schützen (Verfügbarkeitskontrolle, Teilbereich 3.1 lit. b DS-GVO). Nach einem eingetretenen Datenverlust muss eine rasche Wiederherstellbarkeit der Daten gewährleistet werden (Rasche Wiederherstellbarkeit, Teilbereich 3.2 lit. b DS-GVO). Da die OpenProject Enterprise Cloud auf der Hardware des IaaS-Provider betrieben wird, sind beide Parteien gleichermaßen für die Umsetzung folgender Mechanismen verantwortlich:

  • Kontinuerliche Datensicherungen und Vorhandensein von Redundanzsystemen zum Schutz personenbezogener Daten gegen zufällige Zerstörung, Ausfälle oder Verlust (s. Leistungsbeschreibung - Abschnitt Backups)
  • Redundante Auslegung der Systemarchitektur, Netzwerkinfrastruktur, Stromversorgung und Internetanbindung
  • Einrichten eines schriftlichen Notfallplans (Disaster Recovery Plan, Business Continuity Plan) für die Wiederherstellung von Daten bei Verlust oder Zerstörung.

4. Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Belastbarkeit meint die Fähigkeit, Angriffen zu widerstehen bzw. Systeme nach einer Attacke zügig wieder in funktionsfähigen Zustand zu bringen.

Da die OpenProject Enterprise Cloud auf der Hardware des IaaS-Provider betrieben wird, sind die folgenden Maßnahmen für beide Parteien relevant:

  • Fähigkeit der Architektur, Störereignisse wie Stromausfälle ohne wesentliche Beeinträchtigung der Funktionsfähigkeit zu bewältigen

  • Kontinuierliche Härtung der IT-Systeme zum Schutz gegen bekannte Angriffe, einschließlich Denial-of-Service-Attacken

  • Redundante Auslegung auf mehreren Verfügbarkeitszonen wesentlicher Komponenten zur Gewährleistung des automatischen Wechsels bei Störungen

  • Flexible Skalierungsmöglichkeiten für kurzfrstig gestiegene Anforderungen an Kapazität

  • Netztrennung zwischen produktiven und testbezogenen Anwendungen

  • Einrichten eines schriftlichen Notfallplans (Disaster Recovery Plan, Business Continuity Plan) für die Dokumention der Wiederherstellung bei Angriffen

  • Regelmäßige Schulungen der Mitarbeitenden auf aktualisierte Sicherheitskonzepte sowie Best-Practices der Industrie

  • Regelmäßige Überprüfung und Training der Schutzkonzepte und Notfallpläne durch verantwortliche Mitarbeitende

5. Datenschutz-Management

5.1. Verantwortliche Ansprechpartner des Auftragsverarbeiters

Herr Rechtsanwalt David Heimburger (Datenschutzbeauftragter)

Friedensallee 114

22763 Hamburg

E-Mail: dh@davidheimburger.de

GPG Schlüssel: BC5D D292 8DD3 3B95 B6F7 0272 FE3F 95A3 135C 46A1

5.2. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Verarbeitung von Daten strikt gemäß dem festgelegten Zweck. Die verarbeiteten Daten und deren Aufbewahrungsfristen sind im Abschnitt zur OpenProject Enterprise Cloud der Datenschutzerklärung sowie separat im Dokument Processing of Personal Data aufgeführt.

Zur Gewährleistung der Sicherheit der Datenverarbeitung muss ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der ergriffenen technischen und organisatorischen Maßnahmen implementiert sein.

Die Umsetzung dieser Maßnahme erfolgt mit Hilfe eines Datenschutz-Management-Systems. Im Rahmen eines kontinuierlichen Verbesserungsprozesses werden die getroffenen technischen und organisatorischen Maßnahmen auf deren Wirksamkeit geprüft und optimiert. Als Teil dieser Maßnahmen werden regelmäßige Audits durch einen externen akkreditierten Fachgutachter durchgeführt.

5.3. Incident-Response-Management; Meldeweg

Es muss gewährleistet sein, dass bei Datenschutzverstößen bzw. des Verdachts von Datenschutzverstößen der Auftragsverarbeiter unverzüglich den Verantwortlichen informiert.

Alle Vertragspartner sind vertraglich verpflichtet Datenschutzvorfälle innerhalb der gesetzlichen Fristen zu melden. Interne Prozesse stellen sicher, dass im Falle eines Datenschutzvorfalls die Einbindung des Datenschutzbeauftragten gewährleistet ist.

5.4. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

Durch datenschutzfreundliche Voreinstellungen ist zu gewährleisten, dass nur personenbezogenen Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden.

Nach Ablauf der Testphase sowie nach Beendigung des Vertragsverhältnisses werden die erfassten Kundendaten automatisch innerhalb von drei Monaten gelöscht. Zusätzlich dazu kann der Kunde selbständig einzelne Nutzer innerhalb seiner OpenProject-Installation löschen. Hierbei werden folgende personenbezogenen Daten gelöscht:

  • Name,
  • E-Mail-Adresse,
  • Telefonnummer,
  • Nutzername,
  • Nutzer-Profilbild (Avatar-Bild).

Die erstellten Daten, wie beispielsweise Kommentare zu Arbeitspaketen werden nach dem Löschen einem anonymisierten Nutzer zugeordnet.

Datenschutzfreundliche Technikgestaltung und datenschutzfreundliche Einstellungen (Privacy-by-Design/Default) werden bei Entwicklung und Betrieb der Software berücksichtigt.

5.5. Auftragskontrolle

Der Auftragsverarbeiter verarbeitet die eingereichten Daten gemäß dem geschlossenen Vertrag und gewährleistet hierbei die gesetzlichen Vorschriften und per Vertrag definierten Anforderungen im Rahmen der Weisungen des Verantwortlichen. Die OpenProject-Plattform verfügt über eine Administrationsoberfläche, über die der Verantwortliche sein Kundenkonto verwalten kann. Der Verantwortliche legt seine Zugangsdaten bei der initialen Erstellung in seinem Nutzerkonto selbst fest. Nur wer über diese Zugangsdaten verfügt, kann im Rahmen der zugeordneten Berechtigung Kundendaten eingeben, verändern oder löschen. Für sonstige Aufträge, welche der Verantwortliche nicht selbständig über die Administrationsoberfläche durchführen kann, gilt die Schriftform.