Zum Inhalt springen

Datenschutzrichtlinie

Datenschutzrichtlinie

Datenschutzrichtlinie


Diese Datenschutzrichtlinie beschreibt, wie ACP persönliche und berufliche Daten im Rahmen der Erbringung von Dienstleistungen für unsere Kunden und dem Betrieb als Organisation erhebt, verwendet, speichert und schützt.

1. Geltungsbereich

Diese Richtlinie gilt für alle von ACP verarbeiteten personenbezogenen Daten und vertraulichen Informationen, einschließlich:
- Daten, die unseren Kunden und deren Endbenutzern gehören
- Daten, die sich auf ACP-Mitarbeiter, Auftragnehmer und Praktikanten beziehen
- Daten, die über interne Tools, Cloud-Infrastruktur und Kommunikationsplattformen verarbeitet werden

2. Daten, die wir erheben

ACP kann im Rahmen des normalen Geschäftsbetriebs die folgenden Datenkategorien erheben und verarbeiten:
- Kundendaten: Architekturdesigns, Infrastrukturkonfigurationen, Geschäftslogik und alle Daten, die von Kunden im Rahmen eines Projektengagements geteilt werden.
- Mitarbeiter- und Auftragnehmerdaten: Kontaktdaten, Beschäftigungsunterlagen, Zugangsberechtigungen und Systemaktivitätsprotokolle zu Betriebs- und Sicherheitszwecken.
- Betriebsdaten: Protokolle, Metriken und Telemetrie, die von Cloud-Infrastruktur und internen Tools generiert werden.
- Kommunikationsdaten: Nachrichten und Dateien, die im Rahmen der Arbeit über genehmigte Kommunikationsplattformen geteilt werden.

ACP erhebt keine Daten, die über das hinausgehen, was für den angegebenen Zweck eines bestimmten Engagements oder Betriebsbedarfs erforderlich ist.

3. Wie wir Daten verwenden

Die von ACP gesammelten Daten werden ausschließlich für die folgenden Zwecke verwendet:

- Erbringung vertraglich vereinbarter Dienstleistungen für Kunden
- Gewährleistung der Sicherheit und Integrität unserer Systeme und Kundenumgebungen
- Erfüllung von gesetzlichen, regulatorischen und vertraglichen Verpflichtungen
- Interne Abläufe einschließlich HR, Finanzen und Compliance
- Sicherheitsüberwachung, Vorfallreaktion und Pflege von Prüfprotokollen

Daten werden ohne ausdrückliche Zustimmung nicht für Marketing, Profiling oder andere Zwecke verwendet, die nicht direkt mit den oben genannten in Verbindung stehen.

4. Datenklassifizierung

Alle von ACP verarbeiteten Daten werden gemäß unserem 4-stufigen Datenklassifizierungsmodell klassifiziert. Zusammenfassend:

- Öffentlich: Frei teilbar ohne Einschränkungen.
- Intern: Nur für die Nutzung durch ACP; nicht für die externe Verteilung.
- Vertraulich: Beschränkt auf autorisierte Personen auf einer Need-to-know-Basis.
- Hochvertraulich: Unterliegt den strengsten Zugangskontrollen; umfasst PII, Anmeldeinformationen und regulierte Daten.

Alle Teammitglieder sind verantwortlich für die Anwendung der richtigen Klassifizierung auf Daten, die sie erstellen oder verarbeiten.

5. Datenspeicherung & Aufbewahrung

- Kundendaten dürfen nur in vom Kunden genehmigten Umgebungen oder von ACP genehmigten Plattformen gespeichert werden. Sie dürfen niemals auf persönlichen Geräten, nicht genehmigten Cloud-Speichern oder lokalen Maschinen über das hinaus gespeichert werden, was für die aktive Arbeit unbedingt erforderlich ist.
- Daten von ACP-Mitarbeitern und Betriebsdaten werden in sicheren, zugangskontrollierten Systemen gespeichert.
- Daten werden nur so lange aufbewahrt, wie es notwendig ist, um den Zweck zu erfüllen, für den sie gesammelt wurden, oder wie es gesetzlich oder vertraglich vorgeschrieben ist.
- Wenn ein Projekt abgeschlossen ist, müssen alle Kundendaten, die in von ACP kontrollierten Umgebungen gespeichert sind, sicher gelöscht oder wie vereinbart an den Kunden zurückgegeben werden.

6. Datenweitergabe & Dritte

ACP verkauft oder handelt nicht mit persönlichen oder Kundendaten. Daten dürfen in den folgenden begrenzten Umständen geteilt werden:

- Mit Personal des Kunden, das im Rahmen eines Projekts einen legitimen Bedarf hat
- Mit genehmigten Drittanbieter-Tools und -Plattformen
- Mit rechtlichen oder regulatorischen Behörden, wenn dies gesetzlich erforderlich ist
- Mit Subunternehmern oder Partnern nur im Rahmen einer formellen Vertraulichkeitsvereinbarung und mit Zustimmung des Kunden, wo zutreffend

Jede Datenweitergabe über diese Fälle hinaus erfordert die vorherige schriftliche Genehmigung des CTO oder COO.

7. KI-Tools & Datenschutz

Die Nutzung von KI-Tools bringt spezifische Datenschutzrisiken mit sich. Die folgenden Regeln gelten:

- Personenbezogene Daten (PII) dürfen niemals in ein KI-Tool eingegeben werden, egal ob genehmigt oder nicht.
- Kundenspezifische Logik, vertrauliche Daten oder proprietäre Informationen dürfen nicht als Eingabe für KI-Tools verwendet werden.
- Alle Daten, die über ein genehmigtes KI-Tool verarbeitet werden, werden automatisch als **Hochvertraulich** behandelt.

8. Individuelle Rechte

Wo anwendbar gemäß den relevanten Datenschutzgesetzen (z. B. DSGVO) haben Einzelpersonen das Recht auf:

- Zugang zu den über sie gespeicherten personenbezogenen Daten
- Berichtigung ungenauer oder unvollständiger Daten
- Antrag auf Löschung personenbezogener Daten, vorbehaltlich rechtlicher oder vertraglicher Verpflichtungen
- Widerspruch gegen die Verarbeitung ihrer Daten unter bestimmten Umständen
- Datenübertragbarkeit, wo technisch machbar

Anfragen zu individuellen Rechten sollten an den Sicherheitsverantwortlichen oder COO gerichtet werden.

Version 1.0 — Gültigkeitsdatum: März 2026