Notice.d verarbeitet sensible Hinweise und vertrauliche Fallinformationen. Sicherheit, Zugriffskontrolle und ein datenschutzorientierter Umgang mit Informationen sind deshalb zentrale Bestandteile des Produkts.
Dieses Dokument beschreibt die wichtigsten technischen und organisatorischen Grundlagen, die Notice.d für den sicheren Betrieb bereitstellt. Es ersetzt keine rechtliche Prüfung und keine kundenspezifische Datenschutzfolgeabschätzung.
Notice.d folgt mehreren grundlegenden Prinzipien:
Die Anwendung unterscheidet zwischen öffentlichen Funktionen und geschützten Funktionen.
Öffentliche Funktionen sind für Hinweisgeber gedacht. Dazu gehören insbesondere:
Geschützte Funktionen sind nur für berechtigte Benutzer verfügbar. Dazu gehören insbesondere:
Der Zugriff auf geschützte Funktionen erfolgt über Benutzerkonten und Berechtigungen.
Notice.d unterscheidet grundsätzlich zwischen zwei Rollentypen:
| Rolle | Beschreibung |
|---|---|
| User | Zugriff auf fachliche Funktionen der Meldestelle, zum Beispiel Fälle lesen und bearbeiten. |
| Admin | Erweiterter Zugriff auf administrative Funktionen, zum Beispiel Benutzer und Einstellungen verwalten. |
Die Berechtigungen sind feiner aufgeteilt. Dazu gehören:
USER_READUSER_WRITEADMIN_READADMIN_WRITEDadurch können fachliche Bearbeitung und administrative Verwaltung getrennt abgesichert werden.
Geschützte Bereiche verwenden eine tokenbasierte Authentifizierung. Nach erfolgreichem Login erhält der Benutzer Zugriffstokens für die weitere Kommunikation mit der Anwendung.
Die Anwendung unterstützt außerdem Refresh Tokens, damit Sitzungen kontrolliert erneuert werden können. Im Frontend gibt es eine Inaktivitätslogik: Benutzer werden nach längerer Inaktivität gewarnt und automatisch abgemeldet, wenn die Sitzung nicht verlängert wird.
Bei mehreren fehlgeschlagenen Login-Versuchen kann ein Benutzerkonto gesperrt werden.
Notice.d unterstützt Prozesse zum Ändern und Zurücksetzen von Passwörtern.
Dazu gehören:
Die konkrete E-Mail-Zustellung hängt von der jeweiligen Betriebsumgebung und Mail-Konfiguration ab.
Hinweisgeber benötigen kein reguläres Benutzerkonto. Nach der Erstellung eines Hinweises erhalten sie eine Tracking-ID und einen Code, mit denen sie den Fall später erneut aufrufen können.
Dieser Ansatz reduziert die Menge dauerhaft benötigter Identitätsdaten. Gleichzeitig bleibt eine spätere Nachverfolgung des Falls möglich.
Hinweisgeber sollten Tracking-ID und Code sicher aufbewahren. Wer beide Informationen besitzt, kann den zugehörigen Hinweis aufrufen.
Notice.d ist für den Betrieb mehrerer Mandanten vorbereitet. Ein Mandant wird anhand der aufgerufenen Domain ermittelt.
Die Anwendung kann dadurch mehrere Kunden oder Organisationen in einem zentralen Deployment bedienen. Fachliche Daten werden mandantenbezogen verarbeitet. Jeder Request wird dem passenden Mandanten zugeordnet, bevor auf fachliche Daten zugegriffen wird.
Für produktive Umgebungen ist wichtig, dass DNS, Reverse Proxy, Tenant-Registry und Datenbankzugriffe korrekt eingerichtet sind. Diese technischen Details werden in der Deployment- und Betriebsdokumentation beschrieben.
Je nach Nutzung können in Notice.d unterschiedliche Datenarten verarbeitet werden:
Welche konkreten Daten ein Kunde erhebt, hängt von der Konfiguration, den Formularfeldern und den organisatorischen Prozessen des Kunden ab.
Notice.d verschlüsselt sensible strukturierte Meldungsfelder und Kommentare vor der Speicherung in der Tenant-Datenbank. Dazu wird eine AES-basierte Textverschlüsselung verwendet.
Die Verschlüsselung schützt insbesondere fachliche Fallinhalte wie Angaben zu betroffenen Personen, Vorfall, Organisation, Abteilung, Standort und Kommentarinhalte. Beim Lesen durch berechtigte Benutzer werden diese Inhalte in der Anwendung wieder entschlüsselt.
Die dafür verwendeten Schlüsselmaterialien werden über die Betriebsumgebung bereitgestellt und gehören nicht in den Quellcode oder in die Dokumentation.
Die Datenschutz-Grundverordnung (DSGVO) enthält in Artikel 5 zentrale Grundsätze für die Verarbeitung personenbezogener Daten. Für ein Hinweisgebersystem sind insbesondere Zweckbindung, Datenminimierung, Integrität und Vertraulichkeit sowie Speicherbegrenzung relevant.
Notice.d unterstützt diese Prinzipien technisch, indem sensible Fallinformationen nicht unbegrenzt im System verbleiben müssen und der Zugriff auf Fallinformationen rollenbasiert eingeschränkt wird.
Besonders wichtig ist der Grundsatz der Speicherbegrenzung. Personenbezogene Daten sollen nur so lange in identifizierbarer Form gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist. Die konkrete Bewertung der erforderlichen Aufbewahrungsdauer muss der Kunde anhand seiner rechtlichen, organisatorischen und fachlichen Anforderungen festlegen.
Notice.d stellt dafür eine automatische Löschroutine bereit. Diese Routine entfernt geschlossene Fälle nach Ablauf der vorgesehenen Aufbewahrungsdauer. In der aktuellen Produktlogik werden geschlossene Fälle, die älter als drei Jahre sind, automatisch gelöscht.
Bei der Löschung werden nicht nur die Falldaten selbst entfernt, sondern auch die zugehörigen Kommentare und Anhänge. Dadurch wird verhindert, dass sensible Informationen aus abgeschlossenen Fällen dauerhaft in Nebenobjekten verbleiben.
Die Löschroutine ist damit ein wichtiger technischer Baustein für eine datenschutzorientierte Verarbeitung. Sie ersetzt jedoch nicht die Pflicht des Kunden, passende Aufbewahrungsfristen, Informationspflichten und interne Verantwortlichkeiten festzulegen.
Kommentare und Anhänge können sensible Informationen enthalten. Sie sind Teil der Fallakte und sollten nur von berechtigten Personen eingesehen und bearbeitet werden.
Notice.d speichert Anhänge fallbezogen. Beim Löschen alter Fälle werden zugehörige Kommentare und Anhänge ebenfalls entfernt.
Notice.d unterstützt die Bearbeitung von Fällen über Statusinformationen.
Ein Fall kann sich unter anderem in folgenden fachlichen Zuständen befinden:
Zusätzlich kann ein Ticketstatus verwendet werden, um länger offene Fälle hervorzuheben. Die Anwendung kann offene Fälle nach definierten Zeiträumen als Warning oder Critical markieren.
Geschlossene Fälle werden durch die automatische Löschroutine nach Ablauf der vorgesehenen Aufbewahrungsdauer entfernt. Dabei werden auch zugehörige Kommentare und Anhänge gelöscht.
Autorisierte Benutzer können Fallinformationen als CSV- oder Excel-Bericht exportieren.
Solche Exporte enthalten potentiell sensible Informationen. Kunden sollten organisatorisch festlegen, wer Exporte erstellen darf, wo diese gespeichert werden und wann sie wieder gelöscht werden.
Administratoren können bestimmte Stammdaten und Einstellungen pflegen. Dazu gehören zum Beispiel:
Diese Konfigurationen beeinflussen, welche Informationen Hinweisgeber erfassen können und wie die Meldestelle Fälle strukturiert.
Notice.d stellt technische Funktionen für eine sichere und strukturierte Verarbeitung bereit. Ein sicherer Gesamtbetrieb hängt jedoch auch von organisatorischen Maßnahmen ab.
Kunden sollten insbesondere klären:
Dieses Dokument beschreibt die produktseitigen Grundlagen zu Sicherheit und Datenschutz. Es beschreibt keine vollständige Rechtsbewertung, keine individuelle Datenschutzfolgeabschätzung und keine kundenspezifische TOM-Dokumentation.
Details zu Installation, Serverbetrieb, Umgebungsvariablen, Reverse Proxy, Datenbankverbindungen und Deployment werden in separaten technischen Dokumenten beschrieben.