Datenschutz & Sicherheit

Vertrauen ist nicht verhandelbar

Datenschutz ist bei KomCloud nicht nur ein rechtliches Muss, sondern ein zentraler Bestandteil unserer Plattform-Philosophie.

 

Wir verstehen, dass Kommunen mit hochsensiblen personenbezogenen Daten arbeiten – von Bürgeranträgen über Sozialdaten bis hin zu verwaltungsinternen Entscheidungen. Deshalb gehen wir weit über das gesetzlich Geforderte hinaus und bieten eine technische und organisatorische Datenschutzarchitektur, die Maßstäbe setzt.

Rechenzentrum in Deutschland –
100 % Hosting ohne Drittstaatentransfer

Alle Daten bleiben garantiert in Deutschland – in einem ISO-zertifizierten Hochsicherheitsrechenzentrum in Frankfurt am Main. Es erfolgt kein Zugriff durch Drittstaaten, kein Hosting auf US-Clouds, keine juristische Grauzone. Das bedeutet:

 

  • Keine Anwendbarkeit des CLOUD Act oder vergleichbarer Gesetze
  • Vermeidung internationaler Rechtshilfeverfahren
  • Vertragliche, technische und organisatorische Schutzmaßnahmen gemäß Art. 32 DSGVO

 

Keine Shared-Umgebungen – Physische und logische Trennung

Jede Kommune erhält eine eigene dedizierte Instanz innerhalb der KomCloud-Infrastruktur. Keine Datenbank wird geteilt. Keine Dienste laufen gemeinsam. Diese konsequente Trennung gewährleistet:

 

  • Technische Unabhängigkeit von anderen Mandanten
  • Schutz vor lateralem Zugriff (auch bei internen Fehlern oder Angriffen)

  • Maximale Individualisierbarkeit von Sicherheitsprofilen

Verschlüsselung auf allen Ebenen

 

  • TLS 1.3 durchgehend im Transit
  • AES-256-Verschlüsselung der Daten im Ruhezustand
  • Optional: kundenseitig verwaltete Schlüssel (Bring Your Own Key)
  • Zugriffsrechte rollenbasiert und pro Namespace/API/Benutzer definiert

Zero-Trust & Identity Management

KomCloud setzt ein vollständiges Zero-Trust-Modell um – kein Dienst, kein Nutzer, kein Prozess erhält standardmäßig Zugriff, ohne vorherige Authentifizierung und Autorisierung:

 

  • Single Sign-On über Keycloak

  • Zwei-Faktor-Authentifizierung (2FA)

  • Zugriff auf Dienste via OAuth2 / OIDC

  • Policy-as-Code für feingranulare Kontrolle von Benutzerrechten

Auditing, Logging & Compliance

 

  • Unveränderbare Audit-Logs zur vollständigen Nachvollziehbarkeit aller administrativen und sicherheitsrelevanten Aktionen
  • Revisionssichere Speicherung von Zugriffsdaten gemäß GoBD, BSI und EU-DSGVO
  • Echtzeitüberwachung verdächtiger Aktivitäten (z. B. Anomalien bei Login-Zeiten, IP-Räumen oder Zugriffsmustern)

  • Regelmäßige Security Audits durch unabhängige Dienstleister

Datenschutz für KI & Automatisierung


Auch unsere KI-Infrastruktur ist datenschutzkonform:

 

  • Training & Inferenz finden ausschließlich lokal auf deutscher Infrastruktur statt
  • Keine Daten fließen in Drittanbieter-Modelle
  • Jede Kommune kann selbst entscheiden, ob und wie KI eingesetzt wird

Auftragsverarbeitung & technische Dokumentation


Für jede Kommune schließen wir individuelle AV-Verträge gemäß Art. 28 DSGVO. Zusätzlich liefern wir:

 

  • Verarbeitungsverzeichnisse aller Dienste & Prozesse

  • Technisch-organisatorische Maßnahmen (TOMs)

  • DSFA-Unterstützung für besonders sensible Verarbeitungstätigkeiten

  • Dokumentation von Subunternehmern mit Nachweis der DSGVO-Konformität

 

Zukunftssicherheit & Rechtsentwicklung


Wir verfolgen die europäische Rechtsprechung und nationale Gesetzesnovellen engmaschig, um die KomCloud kontinuierlich an neue Anforderungen (z. B. Datenschutztransparenzverordnung, NIS2, eIDAS2) anzupassen.

Fazit: Datenschutz ist bei KomCloud kein Hindernis, sondern eine Stärke. Wir machen IT nicht nur sicher, sondern nachweislich vertrauenswürdig – für Bürger, Verwaltung und politische Entscheidungsträger gleichermaßen.