Keeper Security: Zero-Knowledge-Plattform mit Einhaltung der DSGVO

Schlüsselpunkte rund um Keepers DSGVO-Konformität

Unser Engagement

Keeper entspricht der DSGVO und wir sehen uns dazu verpflichtet sicherzustellen, dass unsere Geschäftsabläufe und Produkte weiterhin den Richtlinien für unsere Kunden in der Europäischen Union entsprechen.

Der Webclient, die Android-App, die Windows-Phone-App, die iPhone/iPad-App und die Browsererweiterungen von Keeper erfüllen alle Grundsätze des Datenschutzrahmens EU-USA, der britischen Erweiterung des Datenschutzrahmens EU-USA und des Datenschutzrahmens Schweiz-USA (laut US-Handelsministerium). Keeper erfüllt den SOC-2-Standard (Typ 2) gemäß dem Regelwerk der AICPA für Dienstleistungsfirmen. Keeper ist außerdem nach ISO 27001 zertifiziert.

Mehr Rechte für Individuen

Die Datenschutz-Grundverordnung gewährt Individuen der Europäischen Union mehr Rechte, darunter das Recht, vergessen zu werden, und das Recht, eine Kopie aller gespeicherten persönlichen Daten der eigenen Person anzufordern. Die Daten müssen in einem allgemeingültigen, maschinenlesbaren Format vorliegen und der Verantwortliche darf die Übertragung der Daten nicht behindern.

Einhaltungsverpflichtungen

Die Datenschutz-Grundverordnung (GDPR) verpflichtet Organisationen zur Implementierung von angemessenen Verfahren und Sicherheitsprotokollen, Durchführung von Datenschutzbeeinträchtigungsbewertungen, Speicherung detaillierter Berichte zu Datenaktivitäten und dem Eingehen einer schriftlichen Vereinbarung mit den Datenbereitstellern.

Verschärfte Durchsetzung

Gemäß den Bestimmungen der Datenschutz-Grundverordnung (GDPR) können Behörden gegen Organisationen abhängig von der Schwere der Ordnungswidrigkeit und den verursachten Schäden ein Bußgeld von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (der höhere Betrag findet Anwendung) verhängen. Mit der GDPR entsteht auch eine zentrale Durchsetzungsrichtlinie, nach der sich Organisationen richten können, die in mehreren EU-Mitgliedsstaaten tätig sind, da Organisationen verpflichtet sind, bei internationalen Datenschutzangelegenheiten mit der übergeordneten Behörde zusammenzuarbeiten.

Neue Anforderungen an Profiling und Monitoring

Organisationen, die mit Profiling und Monitoring über das Verhalten von EU-Individuen betreiben, unterliegen nach Inkrafttreten der Datenschutz-Grundverordnung (GDPR) zusätzlichen Verpflichtungen. Die Bedingungen der GDPR gelten weltweit für jegliche Organisationen, die persönliche Daten von Personen in der EU verarbeiten. Dazu zählt auch die Nachverfolgung von Aktivitäten im Internet. Die Gültigkeit der Verordnung ist unabhängig davon, ob eine Organisation eine physische Niederlassung in der EU unterhält.

Sicherheitsvorkehrungen und Benachrichtigungen zu Datendiebstählen

Die Datenschutz-Grundverordnung (GDPR) verlangt von Organisationen, bestimmte Fremdzugriffs- und Datendiebstahlsvorkommnisse an Datenschutzbehörden und unter bestimmten Umständen auch an betroffene Personen zu melden. Die GDPR stellt an Organisationen auch zusätzliche Sicherheitsanforderungen.

Keeper-Datenverarbeitungsvereinbarung

Geschäftskunden müssen möglicherweise eine Datenverarbeitungsvereinbarung (DPA) mit Keeper Security unterzeichnen, um die Einhaltung der DSGVO zu unterstützen. Bitte fordern Sie die DPA-Vereinbarung von Ihrem Keeper Security-Vertreter an oder kontaktieren Sie uns unter https://keepersecurity.com/support.

Datenverarbeitungsvereinbarung herunterladen

Häufig gestellte fragen

Was unternimmt Keeper Security in Bezug auf die GDPR?

Gemeinsam mit TrustArc, einem globalen Marktführer für Datenschutzlösungen, haben wir unsere Geschäftstätigkeiten, Datenschutzverfahren und Produkte hinsichtlich notwendiger Veränderungen untersucht, um die Einhaltung der GDPR zu gewährleisten.

Für uns als Anbieter von Zero-Knowledge-Sicherheitslösungen ergänzen sich die GDPR und unsere Hauptprodukte und Dienstleistungen perfekt. Die Einhaltung von internationalen Gesetzen und der Schutz der Daten unserer geschätzten Kunden sind uns sehr wichtig.

Was bedeutet Zero-Knowledge?

Keeper ist ein Anbieter von Zero-Knowledge-Sicherheitslösungen. Der Keeper-Benutzer ist die einzige Person, die die volle Kontrolle über die Ver- und Entschlüsselung ihrer Daten hat. Mit Keeper findet der Ver- und Entschlüsselungsprozess ausschließlich nach dem Anmelden am Tresor auf dem Gerät des Benutzers statt. Jede im Tresor gespeicherte Datei wird mit einer 256-Bit-AES-Verschlüsselung gesichert, die zufällig auf dem Gerät des Benutzers erstellt wird. Die Kodierungsschlüssel der Dateien werden zusätzlich mit einem Datenschlüssel geschützt. Der Datenschüssel wird auf dem Gerät erstellt und ergibt sich aus dem Master-Passwort des Benutzers und wird mittels PBKDF2 mit 1.000.000 Iterationen erstellt. Für Benutzer, die sich mittels SSO anmelden, wird der Datenschlüssel mittels eines privaten Elliptic-Curve-Schlüssels verschlüsselt. Derzeit nicht verwendete Daten auf dem Benutzergerät werden mit einem weiteren 256-Bit-Schlüssel verschlüsselt, dem Benutzerschlüssel. Die Datensynchronisation zwischen mehreren Benutzergeräten wird ebenfalls auf Netzwerkebene verschlüsselt und durch den Keeper Cloud Security Vault übertragen. Die mehrfache Verschlüsselung bietet für die Daten unserer Kunden den in der Branche fortschrittlichsten Schutz.

Welche Änderungen hat Keeper Security vorgenommen, um die DSGVO einzuhalten?

Aufgrund der Zero-Knowledge-Architektur unserer Plattform sind alle in unserem Produkt gespeicherten Daten vollständig verschlüsselt und stehen nur dem Benutzer zur Verfügung. Wir haben Änderungen an unserem Analysesystem vorgenommen, um die Anonymität unserer Kunden zu gewährleisten. Unsere Kunden haben nun zudem die Möglichkeit, die Zustimmung zur Verwendung und Speicherung von möglicherweise gesammelten persönlichen Daten detailliert zu regeln.

Ist Keeper ein Verantwortlicher oder Auftragsverarbeiter im Sinne der GDPR?

In der Datenschutz-Grundverordnung (GDPR) werden zwei Organisationsformen genannt, die Daten besitzen können: Der Verantwortliche entscheidet, welche Daten gesammelt werden und wie diese verarbeitet werden. Auftragsverarbeiter sind Organisationen, die im Auftrag des Verantwortlichen persönliche Daten sammeln, speichern, abrufen und/oder löschen. Keeper Security ist durch den direkten Verkauf unserer Passwortverwaltungssoftware an Kunden ein Verantwortlicher. Ein Auftragsverarbeiter sind wir durch den Verkauf direkt an Unternehmen, die dadurch wiederum zu Verantwortlichen werden.

Wie kann ich meine persönlichen Daten exportieren?

Um Ihre persönlichen Daten zu exportieren, melden Sie sich einfach unter https://keepersecurity.com/vault bei Ihrem Keeper Web-Tresor an. Klicken Sie dann auf "Mehr >> Datensicherung >> Export". Sie können nun Ihre gespeicherten Daten entweder als CSV- oder als PDF-Datei herunterladen. Ist Ihr Konto nicht mehr aktiv, setzen Sie sich bitte mit unserem Kundendienst unter exportme@keepersecurity.com in Verbindung und wir werden Ihnen dabei helfen, wieder Zugriff auf Ihren Tresor zu erlangen.

Wie beantrage ich die Löschung meiner Daten?

Bitte senden Sie eine E-Mail an deleteme@keepersecurity.com und geben Sie die für Ihr Keeper-Konto verwendete E-Mail-Adresse an.

Wo werden meine Daten gespeichert?

Keeper operates data centers in multiple regions throughout the world with Amazon AWS. Enterprise customers may elect to establish their Keeper tenant in any supported primary region including: United States (US), United States GovCloud (US_GOV), Europe (EU), Australia (AU), Canada (CA) and Japan (JP). Customer data and access to the platform are isolated to that specific region. From each primary region, Keeper utilizes multi-zone and multi-region replication to ensure high availability. In the United States commercial region, Keeper utilizes East and West locations. In the US GovCloud data center, Keeper utilizes East and West locations. In Europe, Keeper utilizes Ireland and Frankfurt locations. In Australia, Keeper utilizes Canada as a DR region. In Canada, data is replicated within the country. In Japan, the primary region is Tokyo and replicated to Osaka. Individual consumer users who sign up through the Keeper Web Vault, desktop app or mobile apps may select the desired data center location on the account creation screen.

Wie übertrage ich meine Daten von einem Datenzentrum in den USA in eines in der EU?

Bitte setzen Sie sich über exportme@keepersecurity.com mit uns In Verbindung und wir leiten Sie bei der Übertragung Ihrer Daten an.

Wie unterstützt Keeper Security uns bei der Einhaltung der GDPR?

Zero-Knowledge-Architektur und Sicherheit: Die Passwortverwaltungssoftware von Keeper wurde von Grund auf mit dem Fokus darauf entwickelt, dass der individuelle Benutzer die einzige Person sein sollte, der Zugriff auf die Daten hat. Mit diesem Grundsatz befolgen wir bereits viele wichtige Prinzipien der Datenschutz-Grundverordnung und anderer Datenschutzrichtlinien. Die Verschlüsselung findet ausschließlich auf den Geräten der Benutzer statt. Bei der Übertragung werden die Daten durch TLS-Verschlüsselung (Transport Layer Security) gesichert und die gespeicherten Daten mit AES-256-Bit-Kodierung verschlüsselt. Indem Datenschlüssel und Kodierungsschlüssel voneinander getrennt sind, ist es einem Keeper-Mitarbeiter nicht möglich, auf die Kundendaten im Tresor zuzugreifen. Sollten Unbefugte trotz aller Vorsichtsmaßnahmen doch Zugriff auf den Keeper-Tresor erlangen, könnten sie nur unbrauchbaren, kodieren Text erbeuten und gemäß Artikel 34 der GDPR wäre Keeper nicht verpflichtet, darüber Bericht zu erstatten.

Zusätzlich zu regelmäßigen Sicherheitsüberprüfungen und -tests wird Keeper jährlich nach SOC 2 Typ 2 und ISO 27001 zertifiziert.

Keeper setzt auf extra gesicherte Cloud-Infrastruktur von Amazon AWS in mehreren geografischen Regionen, um den Keeper-Tresor zu betreiben. Gespeicherte und in der Übertragung befindliche Daten werden vollständig in global verfügbaren Datenzentren isoliert, die vom Kunden festgelegt werden können. Einfacher ausgedrückt: Daten aus der EU verbleiben in der EU. Damit steht unseren Kunden eine schnelle und sichere Cloud-Speicherlösung zur Verfügung.

Keine Weiterverarbeitung: Keeper wird niemals Kundendaten aus dem Tresor für irgendwelche Zwecke auswerten. Keeper ist aus Prinzip zuallererst dem Schutz der Privatsphäre unserer Kunden verpflichtet. Zudem macht es die Zero-Knowledge-Sicherheitsarchitektur unmöglich, Daten irgendwie auszuwerten. Damit erfüllen wir die GDPR-Anforderungen für Organisationen und technische Verfahren zum Schutz persönlicher Daten.

Kontrolle über Daten: Kunden können jederzeit Ihre Daten im CSV- und PDF-Format exportieren und Tresor-Daten modifizieren und löschen. Damit erfüllt Keeper die GDPR-Anforderungen, dass persönliche Daten übertragen oder gelöscht werden können sobald deren Verwendungszweck erfüllt oder Verwendungszeitraum abgelaufen ist, die Zustimmung zur Verarbeitung entzogen oder sich die Geschäftstätigkeit geändert hat. Da alle betroffenen Personen ihre Daten im Keeper-Tresor selbst verwalten können, verringert sich der Aufwand zur Einhaltung der GDPR-Richtlinien für den Verantwortlichen erheblich. Die Daten sind so verschlüsselt, dass nur die betroffenen Personen (Data Subjects) auf sie zugreifen können. Kein Mitarbeiter kann die Daten betrachten oder auf sie zugreifen.

Rollenbasierte Zugriffssteuerung: Das Konzept der Mindestzugriffsrechte (Least-Privilege-Prinzip) basiert darauf, dass Mitarbeiter nur die Zugriffsrechte auf die Daten haben, die sie unbedingt für ihre Arbeit benötigen. Das Konzept wird üblicherweise mit einer rollenbasierten Zugriffssteuerung (role-based Access Control, RBAC) ergänzt.

Keeper kann mit Microsoft Active Directory (AD) integriert werden, um Organisationseinheiten, Teams und Benutzer zu synchronisieren. Nach erfolgreicher Integration ermöglicht Keeper die rollenbasierte Zugriffssteuerung für beliebige Organisationseinheiten. Die Steuerung können Sie nach Bedarf auch auf niedrigere Organisationsebenen ausweiten. Steuerungsfunktionen für Keeper-Tresore umfassen unter anderem die Masterpasswortstärke, Passwortrotationszeitfenster, Zwei-Faktor-Authentifizierungsanforderungen und Positivlisten für IP-Adressen. Keeper sperrt Konten, die in AD geschlossen wurden und sie können auf Administratorkonten mit entsprechenden Vertrauenseinstellungen übertragen werden. Damit haben IT-Administratoren die volle Kontrolle über Datenkonten und digitale Werte in der ganzen Organisation.

Berichte und Überprüfungen durch Admins: Mit Keeper Enterprise erlangen Sie Einblicke in die Stärke der Passwörter Ihrer Mitarbeiter, Wiederverwendung von Passwörtern und Einsatz von Zwei-Faktor-Authentifizierung. Keeper ermöglicht Ihnen die vollständige Verlaufsaufzeichnung mit Zeitstempeln und Filtern, wodurch Sie schnell nach Anomalien, fehlerhaften Verhalten, Untersuchungshinweisen oder Regelkonformitätsberichten suchen können.