Bei Evalanche
auf der sicheren Seite

Marketing Automation made in Germany

Sicherheit & Datenschutz
Mehrfach zertifiziert!

Wie steht es um den Schutz und die Sicherheit Ihrer Daten in Evalanche?

Für uns ist klar: Wer "Marketing Automation" sagt, muss auch "Datenschutz" sagen! Personenbezogene Daten – ob Namen, berufliche Positionen, Interessen, Kontakthistorien oder Klickverhalten – gehören zu den wertvollsten Assets in Ihrem Unternehmen. Doch diese Informationen haben nur dann einen wirtschaftlichen Wert, wenn sie rechtmäßig erhoben, sicher verarbeitet und gespeichert werden.

Der Umgang mit den Daten der Betroffenen muss zu jeder Zeit respektvoll sein und den geltenden Rechtsvorschriften entsprechen. Dabei fangen Sicherheit und Datenschutz weit vor dem Einsatz unserer Software an.

Unsere Vision

Wir verstehen Datenschutz als modernes Menschenrecht in einer digitalen Welt. Wir sorgen mit dafür, dass jedes Unternehmen das Recht der Menschen auf informationelle Selbstbestimmung respektiert, indem es Datenschutz, Datensicherheit und digitale Souveränität zuverlässig umsetzen kann. Digitale Souveränität umfasst für uns die genannte Selbstbestimmung sowie die Kompetenz von Menschen und Unternehmen, die Digitalisierung zielgerichtet für sich zu nutzen.

Unsere Mission

Dafür schaffen wir nicht nur die entsprechenden technologischen Voraussetzungen, sondern fördern durch gezielte Informationen ein adäquates Verständnis für die Themen Datenschutz und Datensicherheit. Wir wahren zudem das Recht jedes Einzelnen, selbst über die eigenen Daten, deren Preisgabe und Verwendung zu bestimmen. Überwachung, Ausbeutung, Manipulation, Intransparenz sowie eine erzwungene Abhängigkeit von Anbietern lehnen wir entschieden ab.


Unser Sicherheitskonzept für Ihre Daten

Evalanche schützt Ihre Daten zuverlässig auf allen Ebenen und nach höchsten Sicherheitsstandards gegen Verlust, Diebstahl und Missbrauch – dank einer durchgängigen Sicherheitsarchitektur.

TÜV-zertifiziert

Intern geschützt

Sicher gehostet

Datenschutz-
konform

Zuverlässig getestet

In unserem Datenschutz-Paket finden Sie alle relevanten Informationen für Datenschützer und Sicherheitsbeauftragte! Dieses können Sie bei uns unter sales@sc-networks.com anfragen.


27001 Zertifikat für höchste Sicherheitsstandards

SC-Networks ist nach ISO/IEC 27001 TÜV-zertifiziert. Die Zertifizierung nach der international führenden Norm für Informationssicherheits-Managementsysteme belegt die Einhaltung höchster IT-Sicherheitsstandards im gesamten Unternehmen. Damit können wir gegenüber unseren Kunden und Partnern die Sicherheit und Qualität unserer IT-Systeme und Geschäftsprozesse nachweisen. Weitere Zertifizierungen und Mitgliedschaften:

  • Die Zertifizierung „IT Security made in Germany” bestätigt, dass unsere IT-Sicherheitslösungen vertrauenswürdig sind und ausschließlich in Deutschland weiterentwickelt werden sowie dass unser Unternehmen deutsches Datenschutzrecht einhält.
  • Durch unsere DDV-Mitgliedschaft sind wir mit Evalanche an den Ehrenkodex für rechtskonformes Permission Marketing gebunden.  Wir distanzieren uns damit ausdrücklich vom Versand unerwünschter Werbung per Email.
  • Evalanche ist durch die Certified Senders Alliance (CSA) zertifiziert und dadurch Mitglied in der CSA-Whitelist. Das sichert hohe Zustellungsraten beim Versand.
  • Durch Kooperation mit den Internet Service Providern (ISPs) und durch kontinuierliches Blacklist Monitoring schützen wir uns gegen Versandblockaden.
  • Durch einen fortlaufenden Robinson-Listenabgleich verhindern wir den Empfang unerwünschter Werbung über Evalanche.

Erfahren Sie mehr über unsere Zertifizierungen und Mitgliedschaften – von ISO 27001 über CSA bis hin zu Cloud-Services "made in Germany".


Sicherheit – das Herzstück von Evalanche | SC-Networks

Die Einhaltung bestimmter technischer und organisatorischer Maßnahmen dient der Gewährleistung von Datenschutz und Datensicherheit sowie von Vertraulichkeit, Integrität und Verfügbarkeit der im Unternehmen verarbeiteten Informationen.

Partner- und Personalsicherheit

Im Kern der Sicherheitsarchitektur von Evalanche stehen zuverlässige und vertrauenswürdige Mitarbeiter, die zur Einhaltung der Datenschutz- und Datensicherheitsrichtlinien vertraglich verpflichtet sind und regelmäßige Schulungen erhalten. Ein unabhängiger Datenschutz- und Informationssicherheitsbeauftragter veranlasst die Dokumentation der Nutzungsregeln, überwacht deren Anwendung und Einhaltung sowie alle technischen und organisatorischen Maßnahmen zum Datenschutz und zur Informationssicherheit.

Wir wählen auch unsere Lieferanten sorgsam aus und überprüfen ihre Eignung hinsichtlich Datenschutz- und Informationssicherheit. Dokumentierte Vereinbarungen garantieren den Schutz und die Geheimhaltung unserer Werte und Daten. Die Lieferanten sind demnach verpflichtet, entsprechende technisch-organisatorische Maßnahmen zu treffen. Nach Beendigung des Lieferantenverhältnisses sind sie verpflichtet, die von uns erhaltenen Daten und Werte zu vernichten. Zudem gilt die Wahrung der Geheimhaltungspflicht unbegrenzt.

Krisensicherheit (Business Continuity Management)

Im Rahmen der Informationssicherheit bewerten und dokumentieren wir die Verfügbarkeit von Systemen. Ein übergreifender Notfallplan bildet den Rahmen für entsprechende Handlungsanweisungen, die in ausgewählten, dokumentierten Notfallszenarien umzusetzen sind. Laufend aktualisierte Übungspläne für die Erprobung der eingesetzten Maßnahmen und die Dokumentation der Durchführung entsprechender Tests runden das Notfallmanagement ab. Für alle kritischen Server und Storage-Systeme sind mehrjährige Serviceverträge mit kurzen Reaktionszeiten (Mission Critical) vereinbart.

Sämtliche IT-Systeme von SC-Networks sind zudem gegen Angriffe von außen gesichert. Diese Sicherheitsmaßnahmen sind dank regelmäßiger Überprüfung stets auf dem neuesten Stand. Interne Unternehmensserver sind in getrennten und gesicherten Serverräumen installiert. Zugang zu diesen Räumen haben nur die IT-Administratoren. Daten auf Backup-Medien werden verschlüsselt und die Medien gesichert in einem Tresor verwahrt. Zugang zum Tresor haben nur die Geschäftsleitung und die IT-Administratoren.

Systemsicherheit

Daten- und Informationssicherheit ist ein fester Bestandteil über den gesamten Lebenszyklus unserer Systeme. Dies beinhaltet auch die Anforderungen an und die Sicherung von Informationssystemen, die Dienste über öffentliche Netze bereitstellen. Zudem haben wir ein Verfahren zur Verwaltung von Systemänderungen eingerichtet, um die Integrität des Systems, der Anwendungen und der Produkte von den frühen Entwurfsphasen bis zu allen später anfallenden Wartungsarbeiten sicherzustellen.

Bei Änderungen an Betriebsplattformen überprüfen und testen wir geschäftskritische Anwendungen, um sicherzustellen, dass es keine negativen Auswirkungen auf die Geschäftsabläufe oder die Organisationssicherheit gibt. Wir verfügen über einen gesteuerten Prozess zur Analyse, Entwicklung und Pflege sicherer IT-Systeme. Updates werden regelmäßig zentral eingespielt und freigegeben. Für neue Informationssysteme, Aktualisierungen und neue Versionen sind Abnahmeprozesse und dazugehörige Kriterien festgelegt.

Betriebssicherheit

Wir haben umfassende Leitlinien und Handlungsanweisungen definiert, um einen ordnungsgemäßen und sicheren Betrieb von informations- und datenverarbeitenden Einrichtungen sicherzustellen. Täglich automatisch erzeugte Datensicherungen werden AES-256-verschlüsselt im Rechenzentrum auf Servern sowie zusätzlich in einem Tresor in einem anderen Gebäude verwahrt. In unserem Unternehmen ist es essenziell, Entwicklungs-, Test- und Betriebsumgebungen voneinander zu trennen: Daten von Kunden und eigene Daten der SC-Networks GmbH werden durch Zugriffsregelung und zusätzlich durch unterschiedliche Server-Hardware voneinander getrennt. Maßnahmen zur Erkennung, Vorbeugung und Wiederherstellung zum Schutz vor Schadsoftware werden regelmäßig aktualisiert. Für den Fall einer Auditprüfung unserer Informationssysteme haben wir Schritte festgelegt, die Störungen der Geschäftsprozesse so weit wie möglich minimieren.

Kommunikationssicherheit

Für uns als Technologieunternehmen ist die Sicherheit unserer in Netzwerken und Netzwerkdiensten gespeicherten personenbezogenen Daten und Informationen unumgänglich. Daher haben wir Vorgehensweisen dokumentiert, die unsere Netzwerke verwalten, steuern und sichern. Der Transport von Daten findet grundsätzlich per Netzwerk über verschlüsselte Verbindungen statt. Der Aufbau von Datenverbindungen aus nicht zugelassenen Netzwerken wird unterbunden. Informationsdienste, Benutzer und Informationssysteme werden bedarfsgerecht voneinander getrennt gehalten. Wir haben Richtlinien und Verfahren für die Informations- und Datenübertragung sowie Vereinbarungen zur Informationsübertragung an externe Stellen erarbeitet und wenden diese strikt an.

Geräte- und Wertesicherheit

Sämtliche Werte (wie z. B. Betriebsmittel, Wechseldatenträger, Laptops) und Informationen, die mit personenbezogenen Daten in Zusammenhang stehen, werden von uns inventarisiert und gepflegt. Es existieren Regeln für den zulässigen Gebrauch unserer Werte, die von allen Mitarbeitern einzuhalten sind. Wir verfügen zudem über einen dokumentierten und geregelten Prozess zum Transport von Datenträgern, um diese vor unbefugtem Zugriff, Missbrauch oder Verfälschung zu schützen. Unsere eingesetzten Datenträger und Datensicherungsmedien sind verschlüsselt und werden sicher verwahrt. Dies gilt auch für Datenträger in Produktivsystemen. Nicht mehr benötigte Datenträger entsorgen wir sicher und unter Anwendung formaler Verfahren.

Über 5.000

Unternehmen, die Evalanche einsetzen

20 Jahre

als Unternehmen auf dem Markt

Über 250

Agenturen, die auf Evalanche setzen

Unsere zufriedenen Kunden


Bestens geschützt im Rechenzentrum

Evalanche läuft als ausfallsichere Software-as-a-Service (SaaS) auf Servern in zwei räumlich getrennten und TÜV-zertifizierten Hochleistungs-Rechenzentren in Deutschland.

  • Administrationszugriff ist beschränkt auf IT-Administratoren der SC-Networks GmbH und autorisierte Mitarbeiter in den Rechenzentren.
  • Es gelten höchste Sicherheitsstandards in den Rechenzentren – mehrstufige Zugangskontrollen über Sicherheitsschleusen mit Videoüberwachung verhindern das Eindringen unbefugter Personen.
  • Lückenlose Videoüberwachung im Rechenzentrum und Protokollierung von Systemzugriffen – um zugangsberechtigte Personen am unbefugten Zugriff auf Systeme von Dritten zu hindern.
  • Neueste Technologien zur Brandvermeidung mit Brandmelde- und Brandschutzanlage – inklusive Schutzgas-Löschverfahren, um im Brandfall Schäden durch Löschwasser zu vermeiden.
  • Evalanche läuft auf mehrfach redundanten Systemen – und bleibt auch beim Ausfall einzelner Systeme online erreichbar.
  • Daten sind auf mehrfach redundanten Datenträgern gespeichert – mit Unversehrtheit der Daten auch bei Ausfall einzelner Festplatten.
  • Kommunikation erfolgt über mehrfach redundante Internetzugänge im Hochgeschwindigkeitsbereich – Evalanche bleibt auch bei einem Ausfall einzelner Internetzugänge erreichbar.
  • Sichere Kommunikation mit Verschlüsselung über Transport Layer Security (TLS) und HyperText Transfer Protocol Secure (https) – so wird das Ausspähen Ihrer Session durch Lauschangriffe verhindert.
  • Redundante, unterbrechungsfreie Stromversorgung (USV) – auch bei längeren Stromausfällen am Serverstandort bleibt Evalanche erreichbar über Notstromversorgung per Dieselaggregat.

E-Book

Email Marketing und Lead Management rechtskonform gestalten

Webinar

Keine Angst vorm Datenschutz – Tipps zum Direkt-Umsetzen entlang der Customer Journey


Datenschutz und -sicherheit mit System

Evalanche folgt den Prinzipien von Privacy by Design und Privacy by Default – und entspricht damit den Anforderungen der DSGVO.

  • Personenbezogene Daten, die uns im Rahmen einer Registrierung oder Anfrage übermittelt werden, nutzen wir ausschließlich zum vorgesehenen Zweck, die Anfrage zu beantworten oder, um Nutzern einen Zugang zu geschützten Bereichen zum Evalanche Account einzurichten.
  • Sicherheitsrelevante Updates der Softwareprodukte werden an zentraler Stelle eingespielt und aktiviert. Alle Systembenutzer sind so gleichzeitig auf dem jeweils aktuellen Stand.
  • Die von Evalanche verarbeiteten Daten sind durch umfangreiche Sicherheitsvorkehrungen auf verschiedenen Ebenen vor unbefugten Zugriffen geschützt. Basis ist ein differenziertes Rollen- und Rechtekonzept mit präziser Zuweisung, welche Informationen jeder Benutzer sehen und was er damit tun darf.
  • Zugriff auf Daten der Evalanche Server erfolgt im Browser per gesichertem Zugangsprotokoll (https) über eine in der Software verankerte Sicherheitsarchitektur zur Abwehr nicht autorisierter Zugriffe.
  • Passwörter sind im System verschlüsselt gespeichert – mit Einweg-HASH-Code-Schlüssel. Beim Einrichten und Ändern von Passwörtern findet stets eine Überprüfung auf die Einhaltung sicherheitsrelevanter Merkmale von Passwörtern statt: Mindestlänge, Verwendung von Groß- und Kleinschreibung, Ziffern und Sonderzeichen.
  • Das System protokolliert sämtliche sicherheitsrelevanten Aktionen, z. B. Login-Versuche. Optional stellen wir unseren Kunden eine Zwei-Faktor-Authentifizierung zur Verfügung, um den Systemzugriff zusätzlich per USB Security Key zu schützen.
  • Wir verfügen über eine zentral überwachte und geschützte Ereignisprotokollierung und sorgen für den Fall der Speicherung sensibler personenbezogener Daten für den Schutz der Privatsphäre. Sämtliche Protokollierungseinrichtungen und Protokollinformationen, einschließlich Administratoren- und Bedienerprotokolle, sind vor Manipulation und unbefugtem Zugriff geschützt.
  • Zeitgesteuertes automatisches Beenden von Evalanche-Sessions bei Inaktivität. Die Session-Daten bleiben im System gesichert, so dass ein Wiederaufsetzen ohne Datenverlust möglich ist.
  • Wir fertigen fortlaufend Daten-Backups an durch automatische, zeitgesteuerte Datenbanksicherungen – und bewahren diese vor unbefugten Zugriffen geschützt an verschiedenen, sicheren Standorten auf. Auf Wunsch fertigen wir auch Komplett-Backups an mit kostenlosem Zusenden – für zusätzliche Sicherheit mit Aufbewahrung direkt beim Eigentümer.
  • Bedarfsgerecht konfigurierbare Sicherheitsrichtlinien erlauben eine differenzierte Einstellung des Sicherheitsniveaus hinsichtlich Passwortkomplexität, IP-Restriktionen, Security Keys und vielem mehr. Individuell definierbare Sicherheitseinstellungen ermöglichen zudem die Anpassung von Cookie-Konfigurationen, IP-Adresserhebung bei Webformularen und Trackingeinstellungen (pseudonymisiertes Tracking).

Lernen Sie jetzt alle Funktionen von Evalanche kennen, die es Ihnen ermöglichen, absolut DSGVO-konform zu agieren!


Zuverlässigkeit ist kein Zufall – sondern ein Versprechen

Um den Schutz unserer Informationen und Daten sicherzustellen, beauftragen wir regelmäßig eine unabhängige Überprüfung unseres Informationssicherheits- und Datenschutzniveaus, unserer Sicherheits- und Datenschutzrichtlinien sowie der Einhaltung technischer Vorgaben.

Penetrationstests

Um sich einen Überblick über potenzielle Schwachstellen in der von extern erreichbaren IT-Infrastruktur zu verschaffen, haben wir die activemind AG mit der Durchführung eines initialen Pentests, gefolgt von regelmäßigen Follow-up-Scans beauftragt. Der Penetrationstest erfolgte auf Basis des Open Source Security Testing Methodology Manuals (OSSTMM genannt). Dabei handelt es sich um einen verbreiteten Standard für die Durchführung von Security Audits und Penetrationstests.

Security Tests Webservices

Um die Integrität der EVALANCHE-API zu gewährleisten, hat SC-Networks ein vordefiniertes automatisiertes Testverfahren unter Verwendung einer anerkannten Testsuite etabliert. Es werden automatisiert vollständige Security Scans der API durchgeführt. Der definierte Kontrollprozess gewährleistet, dass der Bericht gesichtet, Meldungen umgehend analysiert und Fehler behoben werden.

Zuverlässig und sicher – probieren Sie es aus!

Wenn Sie datenschutzkonformes Marketing umsetzen wollen, sollten Sie Evalanche kennenlernen!

Ihre Fragen zum Thema Sicherheit und Datenschutz – unsere Antworten

Im Marketing sind heute personenbezogene Daten unverzichtbar. Um einerseits zu verstehen, wie (potenzielle) Kunden denken, entscheiden und handeln, und andererseits ihnen passgenaue, personalisierte Inhalte auszuspielen, bedarf es entsprechender Informationen. Doch die Ansprüche der Internetnutzer sowie die gesetzlichen Vorschriften hierzulande – darunter die EU-Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) und das Gesetz gegen den unlauteren Wettbewerb (UWG) – verlangen, dass bei der Erhebung, Speicherung, Verarbeitung und Verwendung von personenbezogenen Daten zu werblichen Zwecken bestimmte Vorgaben eingehalten werden. Ansonsten drohen empfindliche Strafen, Bußgelder und Imageschäden – sowohl bei den datenverarbeitenden Unternehmen wie Software-Anbietern als auch bei den beauftragenden Unternehmen.

Wer trägt die Verantwortung bei der Datenverarbeitung?

Dem Auftraggeber, also dem Unternehmen, das eine Software einsetzt, obliegen dieselben Verantwortlichkeiten wie dem datenverarbeitenden Unternehmen beziehungsweise Software-Anbieter. Unternehmen sind nach Art. 28 DSGVO dazu verpflichtet, nur Anbieter zu beauftragen, die hinreichende Garantien für eine rechtskonforme Verarbeitung und die Wahrung von Betroffenenrechten bieten. Ein Auftragsverarbeitungsvertrag ist daher Pflicht, wenn auch keine Garantie. Letztlich muss das Unternehmen als Verantwortlicher auch dafür sorgen, dass der Anbieter die Anforderungen tatsächlich umsetzt.

Wie lässt sich Datenschutz in der Realität umsetzen?

Der Umgang mit personenbezogenen Daten muss stets mit höchstem Respekt vor der Privatsphäre der Personen erfolgen. Nur mit deren Einverständnis (etwa einem Double-Opt-in-Verfahren) ist es gestattet, diese Daten zu erheben, zu verarbeiten und in Maßnahmen zu übersetzen. Ohne technologische Unterstützung ist weder diese Transformation effizient möglich noch die Einhaltung und Kontrolle von datenschutzrechtlichen Anforderungen. Wenn es darum geht, personenbezogene Daten zu verarbeiten, gilt nach DSGVO die Umsetzung von Datenschutz durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default). Unternehmen benötigen daher ein Tool, das ihnen die Umsetzung von Datenschutz erleichtert und nicht erschwert.

Was bedeutet Privacy by Design beziehungsweise Privacy by Default im Klartext?

Privacy by Design beschreibt, dass eine Software wie Evalanche von Grund auf datenschutzkonform funktionieren sowie entwickelt und eingesetzt werden soll. Hier kommen Maßnahmen wie Pseudonymisierung zum Einsatz. Privacy by Default hingegen ergänzt diese allgemeine Technikgestaltung, indem alle Voreinstellungen sowohl datenschutzkonform als auch möglichst restriktiv sind: Hier gilt es beispielsweise, Datenformulare mit nur wenigen Pflichtfeldern auszustatten und keine vorab angeklickten Checkboxen zu verwenden. Als für die Datenverarbeitung Verantwortlicher müssen die Unternehmen prüfen, ob ihr Vertragspartner und seine Software-Lösung nach diesen Prinzipien arbeiten.

Was bedeutet digitale Souveränität für Internetnutzer und Unternehmen?

Digitale Souveränität beschreibt die Unabhängigkeit und Selbstbestimmtheit von Unternehmen. Sie allein fällen die Entscheidung, was mit den rechtskonform erhobenen Daten passiert und wer darauf Zugriff hat. Nur so lässt sich eine datenschutzwidrige Verwertung von Kundendaten, etwa durch unberechtigte Dritte oder zu Analyse- und Werbezwecken, verhindern. Neben dieser Datenhoheit ist auch entscheidend, dass ein Unternehmen unabhängig von etwaigen Regelungen wie unflexiblen Lizenzvereinbarungen sowie Rechten und Handlungen des Software-Anbieters oder Cloud-Providers ist. Aus Sicht der Unternehmen ist die digitale Souveränität ebenso wertvoll wie der Schutz der Daten für die Betroffenen.

Was ist das Problem mit US-Anbietern?

Insbesondere Anbieter aus den USA stehen bezüglich der Einhaltung europäischer Datenschutzvorgaben und Gewährung digitaler Souveränität in der Kritik. Fakt ist: Seit Kippen des Privacy-Shield-Abkommens im Jahr 2020 ist die Zusammenarbeit mit US-amerikanischen Softwareanbietern nicht ohne Weiteres zulässig. Das Datenschutzniveau in den USA ist nach DSGVO-Maßstab nicht ausreichend und es gibt kein Abkommen mehr, das diesen Umstand ausräumt. Grund dafür sind US-Gesetze, die es US-Behörden gestatten, Zugang zu jeglichen Daten zu erhalten, die sich in Besitz, in der Obhut oder unter der Kontrolle eines US-Unternehmens befinden. Der Serverstandort ist dabei nicht das einzige Kriterium, da auch US-Tochterfirmen diesen US-Gesetzen unterliegen. Auch zu den Abkommen alternative Maßnahmen, die den Einsatz von US-Lösungen legitimieren sollen – etwa Standardvertragsklauseln der Europäischen Kommission – sind mit Vorsicht zu betrachten und zwingend vorab rechtlich zu überprüfen.

Woran erkenne ich einen passenden Anbieter?

Einige zentrale Kriterien, mit denen sich überprüfen lässt, ob ein Cloud-Provider oder Software-Anbieter datenschutzrechtlich überhaupt in Erwägung gezogen werden kann, sind folgende:

  • Der Anbieter misst Datenschutz einen hohen Stellenwert bei.
  • Daten werden ausschließlich in einem europäischen, besser noch zertifizierten Rechenzentrum gehostet.
  • Es findet kein Daten- oder Metadaten-Austausch mit den USA oder anderen Drittstaaten ohne ausreichendes Datenschutz-Niveau statt.
  • Das Rechenzentrum läuft autark von US-Systemen. Wartung, Backups und Administration erfolgen ausschließlich in der EU.
  • Die Wirksamkeit von nicht-DSGVO-konformen Gesetzen wie dem US-CLOUD-Act ist ausgeschlossen.
  • Standardvertragsklauseln für den Datenschutz nach DSGVO sind rechtlich geprüft und durch weitere Maßnahmen hinreichend ergänzt.
  • Die Prinzipien Privacy by Design und Privacy by Default sind berücksichtigt.
nach oben