Version 1 · Stand 14. Juli 2026
Maschinelle Übersetzung – nicht rechtsverbindlich. Maßgeblich sind die Fassungen EN/FR. In Vorbereitung, juristische Prüfung ausstehend.
Technische und organisatorische Maßnahmen
Von der Fotosoft SA (fotostudio.io) gemäß Art. 32 DSGVO umgesetzte Maßnahmen.
1. Vertraulichkeit
- Verschlüsselung bei der Übertragung mittels HTTPS/TLS für alle Verbindungen.
- Passwörter werden gehasht und gesalzen gespeichert, niemals im Klartext.
- Zugriffskontrolle: der Serverzugriff erfordert eine Zwei-Faktor-Authentifizierung; der Zugriff ist auf befugtes Personal nach dem Need-to-know-Prinzip beschränkt.
- Hochgeladene Dateien werden über sichere, nicht öffentliche Links bereitgestellt.
2. Integrität
- Änderungen an Datensätzen sind einzelnen Benutzerkonten zuordenbar.
- Hosting auf einer Infrastruktur, die nach den Standards ISO 27001 und SOC 1/2/3 zertifiziert ist (Zertifizierungen der Hosting-Anbieter Heroku/Salesforce und AWS, nicht von Fotosoft).
3. Verfügbarkeit und Belastbarkeit
- Tägliche Backups mit geografischer Redundanz.
- Angestrebte Dienstverfügbarkeit von 99,9 % pro Jahr.
- Automatisierte Überwachung rund um die Uhr.
4. Umgang mit Sicherheitsvorfällen
- Dokumentierter Prozess zur Reaktion auf Vorfälle.
- Benachrichtigung der betroffenen Verantwortlichen innerhalb von 72 Stunden bei Verletzungen des Schutzes personenbezogener Daten.
5. Datenminimierung und Löschung
- Daten werden innerhalb von 30 Tagen nach Beendigung des Kontos gelöscht; Backups laufen danach ab.
- Fotosoft verkauft keine Nutzerdaten weiter und nutzt sie nicht für eigene kommerzielle Zwecke.
Review note (EN): ISO 27001 / SOC 2 are certifications of the infrastructure providers (Heroku, AWS), not of Fotosoft itself — keep this attribution accurate.