Richtlinie zum Management von Sicherheitsvorfaellen

Eine Sicherheitsverletzung ist jeder Vorfall, der zur Vernichtung, zum Verlust, zur versehentlichen oder unrechtmaessigen Veraenderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf von cepaos verarbeitete personenbezogene Daten fuehrt.

Dies umfasst unter anderem:

• Unbefugten Zugriff auf in unseren Systemen gespeicherte personenbezogene Daten.
• Exfiltration oder Kopieren personenbezogener Daten durch unbefugte Dritte.
• Versehentlichen Verlust oder Zerstoerung von Daten ohne Wiederherstellungsmoeglichkeit.
• Versehentliche Offenlegung von Daten gegenueber unbefugten Empfaengern.
• Kompromittierung von Zugangsdaten, die den Zugriff auf personenbezogene Daten ermoeglicht haben.

cepaos verpflichtet sich, jede Sicherheitsverletzung mit Transparenz, Sorgfalt und unter Einhaltung der geltenden Datenschutzvorschriften zu behandeln.

Im Falle einer bestaetigten Verletzung, die personenbezogene Daten betrifft:

• Wir werden die betroffenen Nutzer innerhalb von 5 Werktagen nach Feststellung des Umfangs der Verletzung und Eindaemmung des Vorfalls benachrichtigen.
• Wir werden die zustaendige Datenschutzbehoerde innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung gemaess DSGVO benachrichtigen.
• Wir werden sofortige technische und organisatorische Massnahmen ergreifen, um den Vorfall einzudaemmen und ein Wiederauftreten zu verhindern.

Wenn cepaos Nutzer ueber eine sie betreffende Sicherheitsverletzung benachrichtigt, umfasst die Mitteilung:

• Art des Vorfalls: klare Beschreibung des Geschehens in verstaendlichen Begriffen.
• Betroffene Daten: Kategorien personenbezogener Daten, die moeglicherweise eingesehen, veraendert oder offengelegt wurden.
• Zeitraum des Vorfalls: der Zeitraum, in dem die Daten exponiert waren, soweit bestimmbar.
• Ergriffene Massnahmen: von cepaos unternommene Schritte zur Eindaemmung des Vorfalls und zum Schutz der Daten.
• Empfehlungen fuer den Nutzer: konkrete Schritte zur Reduzierung der Exposition (z.B. Passwortaenderung).
• Kontakt: direkter Kanal fuer Rueckfragen und Nachverfolgung.

Benachrichtigungen an betroffene Nutzer erfolgen ueber folgende Kanaele:

• Registrierte E-Mail: an die im cepaos-Konto des Nutzers hinterlegte E-Mail-Adresse.
• Dashboard-Hinweis: sichtbare Benachrichtigung beim Einloggen in die Plattform, verfuegbar fuer alle Mitglieder betroffener Organisationen.

In Faellen hoher Schwere mit weitreichenden Auswirkungen kann cepaos zusaetzlich eine Mitteilung auf seiner Website veroeffentlichen.

Wenn Sie ungewoehnliche Aktivitaeten in Ihrem cepaos-Konto feststellen oder vermuten, oder eine Sicherheitsluecke in der Plattform identifiziert zu haben glauben, informieren Sie uns bitte umgehend:

• Sicherheits-E-Mail: security@cepaos.com

Wir verpflichten uns, innerhalb von 24 Geschaeftsstunden nach Erhalt Ihrer Meldung zu antworten.

Wenn Sie eine Sicherheitsluecke in gutem Glauben melden, verpflichtet sich cepaos, keine rechtlichen Schritte gegen Sie einzuleiten, sofern Sie nicht auf Daten Dritter zugegriffen, diese kopiert oder offengelegt haben.

cepaos fuehrt ein internes Verzeichnis aller gemeldeten Sicherheitsvorfaelle.

Zum Aktualisierungsdatum dieser Richtlinie (27. Maerz 2026) wurden keine Sicherheitsverletzungen verzeichnet, die personenbezogene Daten von Nutzern betroffen haetten.

Diese Historie wird bei jedem kuenftigen Vorfall aktualisiert, der den betroffenen Nutzern mitgeteilt werden muss.

Diese Richtlinie steht im Einklang mit den geltenden Datenschutzvorschriften, insbesondere:

• DSGVO (Datenschutz-Grundverordnung, EU 2016/679).
• Anwendbares nationales Datenschutzrecht in der Rechtsordnung des Nutzers.

Weitere Informationen zur Verarbeitung Ihrer personenbezogenen Daten durch cepaos finden Sie in unserer Datenschutzerklaerung.

Fuer Fragen zu dieser Richtlinie oder zur Meldung eines Vorfalls:

• Sicherheit: security@cepaos.com
• Datenschutz und personenbezogene Daten: privacy@cepaos.com
• cepaos LLC — Wyoming, Vereinigte Staaten