Informationen für Datenschutzbeauftragte und Rechtsteams
Als auf visuelle Inhalte spezialisierter DAM-Anbieter verarbeitet Skyfish Kund:innendaten in Form von Bildern, Videos und anderen Mediendateien. Ein Teil dieses Materials kann personenbezogene Daten enthalten und unterliegt daher der DSGVO.
Als Auftragsverarbeiter stellt Skyfish sicher, dass jeder Umgang mit personenbezogenen Daten den EU-Datenschutzstandards entspricht und dass alle Kund:innen diese Compliance über unsere Prüfberichte und Vereinbarungen dokumentieren können.
Als auf visuelle Inhalte spezialisierter DAM-Anbieter verarbeitet Skyfish Kund:innendaten in Form von Bildern, Videos und anderen Mediendateien. Ein Teil dieses Materials kann personenbezogene Daten enthalten und unterliegt daher der DSGVO.
Als Auftragsverarbeiter stellt Skyfish sicher, dass jeder Umgang mit personenbezogenen Daten den EU-Datenschutzstandards entspricht und dass alle Kund:innen diese Compliance über unsere Prüfberichte und Vereinbarungen dokumentieren können.
Als DSB oder Teil des Rechtsteams bestätigst du, dass Drittanbieter die erforderlichen Standards für Datenschutz und Sicherheit erfüllen.
Wir unterstützen deine Prüfung proaktiv mit überprüfbaren Zertifizierungen und transparenter Dokumentation.
Die Lizenzvereinbarung bildet die vertragliche Grundlage zwischen Lizenznehmer:in und Skyfish. Sie regelt, wie der Service genutzt wird und wie personenbezogene Daten in diesem Verhältnis verarbeitet werden. Die Vereinbarung enthält Bestimmungen zu Vertraulichkeit, Gewährleistung, Haftung und Kündigung und stellt sicher, dass alle personenbezogenen Daten rechtmäßig, zweckgebunden und transparent gemäß den Datenschutzvorschriften verarbeitet werden.
Der Auftragsverarbeitungsvereinbarung definiert die Pflichten von Skyfish als Auftragsverarbeiter nach Art. 28 DSGVO. Er ist der Lizenzvereinbarung als Anhang beigefügt und beschreibt die Bedingungen zu Datenschutz, Vertraulichkeit und Sicherheit. Der AVV regelt außerdem Datenübermittlungen in Drittländer und legt Verfahren für Meldungen von Datenschutzverletzungen sowie für Löschung oder Rückgabe von Daten bei Vertragsende fest. Eine unterzeichnete Fassung steht zum Download bereit.
Skyfish unterzieht sich jährlich einem unabhängigen ISAE 3000-Audit, durchgeführt von PricewaterhouseCoopers (PwC). Das Audit bestätigt, dass die Datenverarbeitungsaktivitäten von Skyfish der DSGVO und anerkannten Best Practices für Informationssicherheit und Datenschutzmanagement entsprechen. Die Prüfung belegt, dass Skyfish wirksame Kontrollen zum Schutz der Vertraulichkeit und Integrität von Kund:innendaten aufrechterhält.
Skyfish führt regelmäßig Transfer Impact Assessments (TIA) durch, um die Rechtmäßigkeit und Sicherheit etwaiger Datenübermittlungen in Drittländer zu bewerten. Obwohl die Europäische Kommission festgestellt hat, dass zertifizierte US-Anbieter wie AWS ein angemessenes Schutzniveau bieten, überwacht Skyfish die Compliance weiterhin unabhängig. Jedes TIA bewertet Datenschutzgesetze, technische Schutzmaßnahmen und mögliche Risiken für die Rechte betroffener Personen. Der aktuelle TIA-Bericht ist auf Anfrage erhältlich.
Sende eine E-Mail an info@skyfish.com, um unsere aktuellen ISAE 3000-Auditunterlagen und Transfer Impact Assessment-Berichte zu erhalten.
Wir haben uns für AWS entschieden, weil es technisch zuverlässig ist und hohe Sicherheits- sowie Compliance-Standards erfüllt. Die Betriebsprozesse von AWS sind DSGVO-zertifiziert und entsprechen den Anforderungen der Norm ISO/IEC 27001. Durch die Zusammenarbeit mit AWS stellen wir eine sichere, gesetzeskonforme und zukunftssichere Plattform für Ihr Unternehmen bereit.
AWS setzt Subunternehmer ein, um die Skyfish-Dienste bereitzustellen. Im Data Processing Addendum (AVV) gibt AWS folgende Zusicherung:
„AWS wird mit dem Subunternehmer eine schriftliche Vereinbarung schließen und, soweit der Subunternehmer dieselben Datenverarbeitungsdienste wie AWS im Rahmen dieses AVV erbringt, ihm dieselben vertraglichen Verpflichtungen auferlegen, die AWS selbst im Rahmen dieses AVV unterliegen.“
Wir erkennen an, dass AWS verpflichtet ist, gültige und rechtlich bindende Anordnungen zu befolgen und mit Strafverfolgungsbehörden bei der Aufklärung von Straftaten und Terrorismus zusammenzuarbeiten. Das Data Processing Addendum zwischen AWS und Colourbox sieht jedoch vor, dass AWS alle behördlichen Anfragen entweder direkt an Colourbox weiterleitet oder Colourbox über die Anfrage informiert. Seit Januar 2015 veröffentlicht AWS halbjährlich Berichte über Anfragen von Strafverfolgungsbehörden. Bis heute wurden keine außerhalb der USA gespeicherten Daten an US-Behörden weitergegeben. Colourbox prüft im Rahmen seines jährlichen DSGVO-Prozesses jeden veröffentlichten Bericht, um vollständige Datensicherheit zu gewährleisten.
Die Daten werden sicher über drei separate Hosting-Standorte verteilt gespeichert, um Redundanz zu gewährleisten und Datenverlust zu verhindern. Für Kundendaten und systemrelevante Datenbanken bestehen robuste Backup-Mechanismen. Zusätzlich optimieren wir diese Maßnahmen laufend durch erweiterte Redundanz, moderne Verschlüsselungstechnologien und regelmäßige Wiederherstellungstests.
AWS Key Management Service (KMS) nutzt Hardware-Sicherheitsmodule (HSMs) zur sicheren Speicherung und Verwaltung von Verschlüsselungsschlüsseln gemäß Standards wie FIPS 140-2 Level 3. Diese HSMs bieten zuverlässigen Schutz und stellen sicher, dass die Schlüssel sicher gespeichert und von AWS geschützt verwaltet werden. Die Architektur funktioniert wie ein sicherer Tresor, in dem kundeneigene Schlüssel mit fortschrittlichen Verschlüsselungsprotokollen geschützt sind.
Nicht exakt. Das System sperrt Benutzer nicht dauerhaft, es wird jedoch eine temporäre Zugangsbeschränkung nach mehreren fehlgeschlagenen Anmeldeversuchen aktiviert. Diese Maßnahme schützt die Konten, ohne legitime Nutzer unnötig einzuschränken.
Das System erstellt Zugriffsprotokolle für Benutzeraktivitäten. Fehlgeschlagene Anmeldeversuche sind derzeit jedoch nicht in diesen Protokollen enthalten.
Zugriffsprotokolle, einschließlich Anmeldeaktivitäten, werden so lange gespeichert, wie der Benutzer ein aktives Konto in Skyfish hat.
Solltest du weitere Fragen zum rechtlichen Rahmen haben, kannst du dich jederzeit an uns wenden. Bitte wende dich an unsere Datenschutzbeauftragte.
Shinta Darling
Partnerin und Datenschutzbeauftragte (DSB) von Colourbox und Skyfish
