Kein Unternehmen möchte sich dem Risiko der Nichteinhaltung von Informationssicherheitsstandards aussetzen. Bei Dropbox Sign sind uns die ernsten Konsequenzen von Verstößen gegen Vorschriften bewusst, und so haben wir auf sorgfältige Art und Weise Verfahren geschaffen, die unseren Dienst in Einklang mit vielen Ihrer Geschäftsstandards bringen.
Wenden Sie sich gerne unter compliance-reports@hellosign.com an uns, wenn Sie Zugang zu unseren Prüfungen und Beurteilungen benötigen. Weiterführende Informationen enthält außerdem unser Whitepaper zum Thema Informationssicherheit.
Dropbox Sign hält die folgenden Systeme, Standards und Vorschriften ein:
SOC 2 Typ II
, vom amerikanischen Wirtschaftsprüferverband AICPA (American Institute of Certified Public Accountants) entwickelte Service Organization Controls (SOC)-Berichte, die Vorgaben für die Dokumentation von internen Kontrollmechanismen eines Unternehmens liefern. Dropbox Sign hat seine Systeme, Apps, Mitarbeiter und Prozesse durch eine unabhängige Prüfung von Schellman Compliance LLC validiert.
Der SOC 2-Bericht bietet unseren Kunden einen detaillierten Sicherheitsnachweis unserer Kontrollmechanismen und umfasst die Trust Service Criteria Sicherheit, Verfügbarkeit und Vertraulichkeit (TSP-Abschnitt 100). Der SOC 2-Bericht enthält eine detaillierte Beschreibung der Prozesse von Dropbox Sign und der mehr als 100 Kontrollmechanismen, die wir zum Schutz Ihrer Daten einsetzen. Neben der unabhängigen Bewertung durch unseren externen Auditor hinsichtlich der effektiven Entwicklung und Umsetzung unserer Kontrollmechanismen befasst sich dieser Bericht auch mit den Prüfvorgängen und Ergebnissen des Auditors hinsichtlich der einzelnen Kontrollmechanismen. Der SOC 2-Bericht kann per E-Mail an compliance-reports@hellosign.com bei unserem Vertriebsteam angefordert werden.
ISO 27001 (Informationssicherheitsmanagement)
ISO 27001 ist weltweit als wichtigste Norm für Managementsysteme für Informationssicherheit (ISMS) anerkannt. Darüber hinaus umfasst diese Norm die Best Practices für Sicherheit, die bereits in der Norm ISO 27002 aufgeführt sind. Wir halten unsere umfassenden physischen, technischen und rechtlichen Bestimmungen und Maßnahmen bei Dropbox Sign immer auf dem neuesten Stand und verbessern sie immer weiter, damit wir uns des Vertrauens, das Sie uns entgegenbringen, auch wirklich würdig erweisen. Unser Auditor Schellman Compliance LLC ist durch das ANSI-ASQ National Accreditation Board (ANAB) nach ISO 27001 zertifiziert.
Hier finden Sie das ISO 27001-Zertifikat für Dropbox Sign, Dropbox Fax und Dropbox Forms.
ISO 27018 (Datenschutz und Datensicherheit in der Cloud).
ISO 27018 ist ein internationaler Standard für Datenschutz und Datensicherheit, der sich speziell an Dienstanbieter wie Dropbox Sign richtet, die in der Cloud arbeiten und im Auftrag ihrer Kunden vertrauliche Daten verarbeiten. Dieser Standard bietet Kunden eine Grundlage hinsichtlich grundsätzlicher Richtlinien- und Vertragsanforderungen oder Fragen zu diesem Thema. Unsere Konformität mit ISO 27018 wird im Rahmen unserer ISO 27001-Zertifizierung validiert.
Hier finden Sie das ISO 27018-Zertifikat für Dropbox Sign, Dropbox Fax und Dropbox Forms.
Health Insurance Portability and Accountability Act von 1996 (HIPAA)
Dropbox Sign unterstützt die Konformität mit dem Health Insurance Portability and Accountability Act (HIPAA) und dem Health Information Technology for Economic and Clinical Health Act (HITECH).
Diese Vorschriften sollen den Einsatz von Technologien im Gesundheitswesen fördern und zugleich Maßnahmen für Schutz und Vertraulichkeit von Gesundheitsdaten verbessern. Organisationen wie Krankenhäuser, Arzt- und Zahnarztpraxen sowie Personen, die mit geschützten Gesundheitsinformationen (Protected Health Information, PHI) arbeiten, unterliegen möglicherweise den HIPAA-/HITECH-Vorschriften. Dies kann auch für Unternehmen gelten, die mit diesen Betrieben zusammenarbeiten und in ihrem Namen Zugang zu PHI erhalten.
Dropbox Sign stellt einen Bericht zu den Anforderungen für die HIPAA-Sicherheitsvorschrift und die HITECH-Anzeigepflicht bei Datenschutzverstößen bereit. Diese Dokumente können per E-Mail an compliance-reports@hellosign.com bei unserem Vertriebsteam angefordert werden.
ESIGN Act der USA von 2000
Der Electronic Signatures in Global and National Commerce Act ist ein Bundesgesetz, das allgemeine Vorschriften zur Gültigkeit elektronischer Aufzeichnungen und Signaturen für Transaktionen festlegt. Nach dem The US ESIGN Act sind unter anderem der Nachweis der Absicht zur Unterzeichnung, bestimmte Verbrauchererklärungen und die Aufbewahrung von Aufzeichnungen erforderlich.
Uniform Electronic Transactions Act (UETA) von 1999
Der Uniform Electronic Transaction Act wurde 1999 von der National Conference of Commissions on Uniform State Laws verabschiedet und erlaubt den Einsatz elektronischer Kommunikation für Transaktionen, indem er elektronischen Signaturen dieselbe Rechtsgültigkeit wie handschriftlichen Unterschriften mit Stift auf Papier zugesteht. Mit Ausnahme von New York wurde der UETA von allen Bundesstaaten angenommen.
Datenschutzrahmen EU-USA, Erweiterung des Datenschutzrahmens EU-USA für das Vereinigte Königreich und Datenschutzrahmen Schweiz-USA
In Bezug auf die Erfassung, Verwendung und Speicherung personenbezogener Daten, die aus der Europäischen Union, dem Europäischen Wirtschaftsraum und der Schweiz in die USA übertragen werden, folgt Dropbox Sign den Bestimmungen des Datenschutzrahmens EU-USA, der Erweiterung des Datenschutzrahmens EU-USA für das Vereinigte Königreich und dem Datenschutzrahmen Schweiz-USA des U.S.-Handelsministeriums.
Weitere Informationen zu den Datenschutzrahmen finden Sie hier.
eIDAS und Dropbox Sign
Dropbox Sign ist eine eIDAS-konforme Lösung für elektronische Signaturen und damit für Unternehmen in allen EU-Mitgliedsstaaten eine praktikable Option für die elektronische Unterzeichnung von Online-Dokumenten.
Die eIDAS-Verordnung (910/2014) erlaubt die Verwendung von elektronischen Identifizierungsmitteln und Vertrauensdiensten durch Personen, Unternehmen und die öffentliche Verwaltung, um den sicheren Zugriff auf Online-Dienste und die Abwicklung elektronischer Transaktionen in der Europäischen Union (EU) zu ermöglichen. Die Verordnung ist am 1. Juli 2016 in Kraft getreten und hebt die Richtlinie 1999/93/EG zu elektronischen Signaturen, eine EU-Richtlinie über die Nutzung von E-Signaturen in elektronischen Verträgen innerhalb der EU, auf und ersetzt sie zugleich.
Die eIDAS-Verordnung legt den Rechtsrahmen für elektronische Signaturen in der EU fest. Sie legt ein rechtliches Rahmenwerk für Menschen, Unternehmen (insbesondere kleine bis mittelgroße Unternehmen) und Behörden für den sicheren Zugriff auf Dienste und die digitale Durchführung von Transaktionen in allen EU-Mitgliedsstaaten fest. Sie definiert insbesondere drei Typen elektronischer Signaturen: einfache elektronische Signaturen (Simple Electronic Signature, SES), erweiterte elektronische Signaturen (Advanced Electronic Signature, AES) und qualifizierte elektronische Signaturen (Qualified Electronic Signature, QES). Dropbox Sign unterstützt elektronische Signaturen vom Typ SES und QES.
Einfache elektronische Signatur
Eine einfache elektronische Signatur (SES) ist definiert als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet“. Damit können verschiedenste elektronische Hilfsmittel, darunter Passwörter, PIN-Codes und gescannte Unterschriften, als SES gelten.
Erweiterte elektronische Signatur
Eine erweiterte elektronische Signatur (AES) ist eine elektronische Signatur, die:
- eindeutig mit dem Unterzeichner verknüpft ist und dessen Identifizierung erlaubt.
- mithilfe von Daten zur Erstellung elektronischer Signaturen erstellt wird, die der Unterzeichner mit einem hohen Maß an Sicherheit unter seiner alleinigen Kontrolle verwenden kann.
- in so einer Weise mit dem Dokument verknüpft ist, dass spätere Änderungen der Daten erkennbar sind.
Qualifizierte elektronische Signatur
Eine qualifizierte elektronische Signatur (Qualified Electronic Signature, QES) ist eine strengere Form der AES und der einzige Typ einer elektronischen Signatur, deren Rechtsgültigkeit der einer handschriftlichen Unterschrift entspricht. Einer QES ist ein qualifiziertes digitales Zertifikat zugeordnet, das von einem qualifizierten Gerät zur Erstellung einer elektronischen Signatur (QSCD) erstellt wird. Das QSCD muss von einem qualifizierten EU Trust Service Provider (Vertrauensdiensteanbieter, TSP) ausgestellt werden, der auf der EU-Vertrauensliste (EU Trusted List, ETL) steht.
Haftungsausschluss: Diese Mitteilung dient ausschließlich allgemeinen Informationszwecken. Sie soll Unternehmen dabei helfen, das rechtliche Rahmenwerk zu verstehen, auf dem die Rechtsgültigkeit elektronischer Signaturen beruht. Hierbei handelt es sich um keine Rechtsberatung und diese Information sollte nicht als Ersatz für eine professionelle Rechtsberatung herangezogen werden. Wenden Sie sich an einen zugelassenen Rechtsanwalt, um eine rechtliche Beratung oder juristische Vertretung in Anspruch zu nehmen.
EU-Datenschutz-Grundverordnung (EU-DSGVO) und Dropbox Sign
Die EU-Datenschutz-Grundverordnung 2016/679 oder EU-DSGVO ist eine Verordnung der Europäischen Union, mit der wichtige Änderungen an der bislang geltenden EU-Richtlinie für die Verarbeitung personenbezogener Daten von EU-Bürgern umgesetzt wurden. Die EU-DSGVO hat eine Reihe neuer oder nachgebesserter Bestimmungen für Unternehmen eingeführt, die wie Dropbox Sign personenbezogene Daten ihrer Kunden handhaben. Dropbox Sign ist DSGVO-konform und erleichtert Kunden somit die Einhaltung der DSGVO. Weitere Informationen dazu finden Sie in diesem Artikel zur DSGVO und der Konformität von Dropbox Sign.
Unser Einsatz für Sie und den Schutz Ihrer Daten
Wir setzen uns für den Schutz Ihrer personenbezogenen Daten ein. Als Dropbox Sign-Kunde ist Ihre Organisation der Datenverantwortliche für alle im Zusammenhang mit der Nutzung von Dropbox Sign an Dropbox weitergegebenen personenbezogenen Daten. Dropbox ist der Auftragsverarbeiter, der Daten im Namen Ihrer Organisation verarbeitet, wenn Sie die Dropbox Sign-Dienste nutzen. Unsere Datenschutzrichtlinie beschreibt unsere Verpflichtungen zum Datenschutz gegenüber Nutzern und erläutert, wie wir Ihre personenbezogenen Daten erfassen, verwenden und behandeln, wenn Sie unsere Dienste nutzen. Unsere allgemeinen Geschäftsbedingungen enthalten Verpflichtungen im Zusammenhang mit der Datenverarbeitung und der internationalen Datenübermittlung.
Schulung und Sensibilisierung zum Thema Datenschutz
Alle Dropbox-Mitarbeiter müssen bei Einstellung und danach jährlich Sicherheits- und Datenschutzschulungen absolvieren. Zusätzlich erhalten Mitarbeiter per E-Mail, über Vorträge und Präsentationen sowie in Form von Ressourcen in unserem Intranet Informationen, die sie zum Thema Datenschutz sensibilisieren.
Datenzuordnung und Datenschutz-Folgenabschätzung
Zur Überprüfung der Eignung unserer Datenschutzpraktiken führt Dropbox Aufzeichnungen über die Verarbeitungsvorgänge für die Sign-Dienste. Darüber hinaus haben wir eine Datenschutz-Folgenabschätzung (DPIA) durchgeführt, um festzustellen, wie wir personenbezogene Daten erheben, verarbeiten und speichern und um mögliche Auswirkungen auf den Datenschutz zu ermitteln.
Informationssicherheitsrichtlinien
Bei Dropbox regeln Richtlinien zur Informationssicherheit und zum Datenschutz, wie und in welchen Fällen Mitarbeiter und Vertragspartner auf Ihre Daten zugreifen können. Diese Richtlinien basieren auf internationalen Standards und Best Practices und werden jährlich überprüft, damit sie stets den aktuellen Geschäftspraktiken entsprechen und Änderungen von Gesetzen/Vorschriften berücksichtigen. Bei Bedarf können diese Richtlinien auch situationsabhängig geändert werden. Die Richtlinien werden neuen Mitarbeitern bereitgestellt. Änderungen werden den Mitarbeitern über das Intranet des Unternehmens mitgeteilt.
Datenübermittlung
Bei der Übermittlung von Daten aus der EU, dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich und der Schweiz nutzt Dropbox eine Reihe von Rechtsmechanismen, unter anderem Verträge mit unseren Kunden und Partnern, Standardvertragsklauseln und Angemessenheitsbeschlüsse der Europäischen Kommission in Bezug auf bestimmte Länder, falls anwendbar.
Dropbox hält die Privacy Shield-Bestimmungen wie vom US-Handelsministerium dargelegt zwischen der EU bzw. der Schweiz und den USA ein. Diese befassen sich mit der Erfassung, Verwendung und Aufbewahrung personenbezogener Daten, die aus der EU, dem Europäischen Wirtschaftsraum, Großbritannien oder der Schweiz in die USA übertragen werden. Dropbox nutzt die Privacy Shield-Frameworks zwischen der EU/Schweiz und den USA jedoch nicht als rechtliche Basis für Transfers personenbezogener Daten. Dropbox hat dem US-Handelsministerium gegenüber bestätigt, in Bezug auf diese Daten die Bestimmungen des Privacy Shield-Abkommens einzuhalten. Weitere Informationen zum Privacy Shield finden Sie unter www.privacyshield.gov.
Umgang mit Sicherheitsvorfällen
Unsere Verfahren für den Umgang mit Sicherheitsvorfällen wurden so entwickelt und getestet, dass potenzielle Sicherheitsvorfälle identifiziert und zur Bearbeitung an das entsprechende Team gemeldet werden, die Mitarbeiter vorgeschriebene Abläufe zur Behebung von Sicherheitsvorfällen befolgen und die Schritte zur Problembehebung regelmäßig vom Sicherheitsteam dokumentiert und überprüft werden. Zusätzlich sehen unsere Richtlinien und Verfahren Benachrichtigungen bei Sicherheitsverletzungen vor, wenn und falls ein Sicherheitsvorfall den Verlust oder die unbefugte Nutzung personenbezogener Daten nach sich zieht.
Produktbewertungen
Unser Softwareentwicklungslebenszyklus (SDLC) stellt sicher, dass Änderungen am System in Einklang mit den Anforderungen der DSGVO durchgeführt werden, darunter auch Datenschutzerwägungen in den folgenden Bereichen:
- Planung
- Änderungsdokumentation
- Entwicklung von Testplänen
- Änderungstests und Dokumentation der Ergebnisse
- Überprüfung und Bewertung durch die Qualitätssicherung (QS)
- Überprüfung und Bestätigung durch Dritte
- Regelmäßige Überprüfung und Aktualisierung
Anbieterbewertungen
Anbieter, die personenbezogene Daten verarbeiten oder speichern, werden in den Risikobewertungsprozess für Drittparteien von Dropbox einbezogen, um sicherzustellen, dass sie über ausreichende Sicherheits- und Datenschutzkontrollen zum Schutz der Daten verfügen. Unsere derzeitigen Unterauftragsverarbeiter werden jährlich überprüft, um sicherzustellen, dass sie die Anforderungen an Sicherheit und Datenschutz erfüllen.
Vertragssicherheiten
Dropbox hat neue Auftragsverarbeiter-an-Auftragsverarbeiter-SCCs zwischen Dropbox International Unlimited Company und Dropbox, Inc. eingeführt, um die Übermittlung der personenbezogenen Daten unserer Kunden in die USA abzudecken. Wir haben unsere Datenverarbeitungsvereinbarung entsprechend überarbeitet. https://assets.dropbox.com/documents/en/legal/hs-data-processing-agreement.pdf
Die Datenverarbeitungsvereinbarung ist bereits Teil der allgemeinen Geschäftsbedingungen von Dropbox Sign.
Zertifizierungen
Bei Dropbox Sign ist uns die enorme Bedeutung von Compliance bewusst, und so haben wir auf sorgfältige Art und Weise Verfahren geschaffen, die unseren Dienst in Einklang mit Ihren Geschäftsstandards bringen.
Weitere Informationen zu den Standards und Zertifizierungen, die Dropbox Sign erfüllt, erhalten Sie auf unserer Compliance-Seite.
Produktsicherheit
Verschlüsselung
Wir nutzen für die Kommunikation unserer Dienste standardmäßig Transport Layer Security (TLS), die regelmäßig um die neusten Cypher Suites und TSL-Konfigurationen erweitert wird. Zusätzlich verschlüsseln wir alle Kundendaten im Ruhezustand mit AES 256-T.
Datenlöschung und -zugriff
Wenn Sie Auskunft zu Ihren Daten wünschen oder die Löschung Ihrer personenbezogenen Daten beantragen möchten, senden Sie eine E-Mail an privacy@dropbox.com. Die Dropbox Sign-Datenschutzrichtlinie enthält weitere Informationen zu diesem Thema.
Cookie-Compliance
Sie können bei der Nutzung der Dropbox Sign-Dienste selbst entscheiden, welche Cookies Dropbox verwenden kann. Klicken Sie dazu in der Fußzeile dieser Seite unter „Support“ auf „Cookie- und CCPA-Einstellungen“.