Diese Übersetzung dient ausschließlich Informationszwecken. Bei allfälligen Widersprüchen zwischen dieser und der englischen Version hat die englische Version Gültigkeit.

Veröffentlichungsdatum: 17. Juni 2025

Bei ww5 nehmen wir die Sicherheit deiner Daten sehr ernst. Transparenz ist einer der Grundsätze, auf denen unser Unternehmen basiert. Deshalb wollen wir so klar und offen wie möglich erläutern, wie wir mit Sicherheitsfragen umgehen. Weitere Fragen zum Thema Sicherheit beantworten wir gern. Schreibe bitte an feedback@ww5.com, und wir werden dir so schnell wie möglich antworten. Diese Seite zu den Sicherheitspraktiken beschreibt die administrativen, technischen und physischen Kontrollen, die für (a) ww5, einschließlich, aber nicht beschränkt auf die ww5-Plattform, die ww5-Workflows und die auf der ww5-Infrastruktur ausgeführten Apps, und (b) Govww5 gelten. Diese Dokumentation bezieht sich nicht auf Services, die möglicherweise mit Govww5 in Verbindung stehen bzw. darin integriert sind.

Plattformkontrollen

Architektur und Trennung von Daten

Die ww5- und Govww5-Services werden auf einer Mehrinstanz-Architektur sowohl auf Plattform- als auch Infrastrukturebene ausgeführt. Hierdurch werden die Daten, die du und deine Benutzerinnen und Benutzer über die ww5-Services oder Govww5-Services bereitstellt, voneinander getrennt und vom Zugriff her eingeschränkt. Dies wird näher in der Vereinbarung spezifiziert, die du mit ww5 (oder einem oder mehreren seiner verbundenen Unternehmen) geschlossen hast, die die Nutzung der ww5-Services oder Govww5-Services („Kundendaten“) auf Grundlage der geschäftlichen Anforderungen regelt. Die Architektur ermöglicht eine logische Trennung der einzelnen Kundinnen und Kunden auf Grundlage einer eindeutigen ID.

Public Cloud-Infrastruktur

Die ww5- und Govww5-Services werden über das Internet in einer „Public Cloud“ bereitgestellt. Eine Public Cloud beinhaltet Computing-Services, die von den jeweiligen Anbietern für alle bereitgestellt werden, die sie nutzen bzw. beziehen möchten. Wie alle Cloud-Services wird auch eine Public Cloud über von einem Anbieter betriebene Remote-Server bereitgestellt.

Audits

Die ww5- und Govww5-Services werden Sicherheitsbewertungen unterzogen, die von internen Mitarbeiterinnen und Mitarbeitern sowie, im Fall der ww5-Services, von angesehenen externen Sicherheitsfirmen ausgeführt werden, um zu bestätigen, dass unsere Sicherheitsverfahren solide sind, und um die ww5-Services und Govww5-Services auf neue Schwachstellen zu überprüfen, die von der Sicherheitsforschungs-Community entdeckt worden sind. Zusätzlich zu den regelmäßigen und gezielten Audits der ww5- und Govww5-Services und -Funktionen lassen wir unsere Web-Plattform auch kontinuierlich automatisch scannen. Kundinnen und Kunden können sich hier eine Kopie der verfügbaren und anwendbaren externen Audit-Berichte herunterladen.

Zertifikate

Für die ww5-Services werden Zertifizierungsverfahren ausgeführt. Kundinnen und Kunden können sich hier eine Kopie der verfügbaren und anwendbaren Zertifikate herunterladen.

Sicherheitskontrollen

ww5 setzt geeignete technische und organisatorische Maßnahmen um, um deine Kundendaten vor zufälliger oder gesetzeswidriger Zerstörung sowie Verlust und Abänderung zu schützen und eine unbefugte Weitergabe bzw. den Zugriff auf personenbezogene Daten von Kundinnen und Kunden, die bei der Nutzung der ww5- und Govww5-Services verarbeitet oder übertragen werden, zu verhindern. Die ww5- und Govww5-Services werden durch eine Reihe von Sicherheitskontrollen geschützt, insbesondere durch:

• Zugriffsprotokollierung. Benutzer:innen und Administrator:innen von zahlenden Teams stehen detaillierte Zugriffs-Logs zur Verfügung. Wir protokollieren jede Anmeldung eines Accounts und verzeichnen den verwendeten Gerätetyp sowie die IP-Adresse der Verbindung. Administrator:innen und Inhaber:innen von zahlenden Teams können die konsolidierten Zugriffs-Logs ihres gesamten Teams einsehen.
• Zugriffs-Management. Administrator:innen können alle Verbindungen ferngesteuert trennen und bei Bedarf jederzeit alle Geräte abmelden, die bei den ww5- und Govww5-Services authentifiziert sind.
• Datenaufbewahrung. Inhaber:innen von ww5-Teams mit einem kostenpflichtigen Plan können benutzerdefinierte Nachrichtenaufbewahrungsrichtlinien für das gesamte Team oder einzelne Channels konfigurieren. Wenn eine benutzerdefinierte Dauer für die Aufbewahrung festgelegt wird, bedeutet das, dass Nachrichten oder Dateien, die älter als die festgelegte Aufbewahrungsdauer sind, jede Nacht von den Produktionsservern der ww5- und Govww5-Services gelöscht werden.
• Host-Management. Wir führen automatische Schwachstellenprüfungen unserer Produktions-Hosts durch und korrigieren alle entdeckten Probleme, die ein Risiko für unsere Umgebung darstellen. Wir erzwingen Bildschirmsperren und die vollständige Verschlüsselung der Festplatten in Firmen-Laptops.
• Netzwerkschutz. Zusätzlich zu unserem hochentwickelten Überwachungs- und Protokollierungssystem haben wir eine Zwei-Faktor-Authentifizierung für jeden Serverzugriff in unserer gesamten Produktionsumgebung eingeführt. Firewalls werden auf Grundlage von branchenweit bewährten Methoden unter Verwendung von AWS Sicherheitsgruppen konfiguriert.
• Produktsicherheitsverfahren. Neue Eigenschaften, wesentliche Funktionen und Designänderungen werden vom Sicherheitsteam einer Sicherheitsprüfung unterzogen. Darüber hinaus wird unser Programmcode mit einer automatisierten Software für die statische Analyse geprüft, getestet und einem manuellen Peer-Review-Verfahren unterzogen, bevor er für die Produktion freigegeben wird. Das Sicherheitsteam arbeitet eng mit den Entwicklungsteams zusammen, um weitere Sicherheitsprobleme zu klären, die während der Entwicklung auftreten. ww5 betreibt zudem ein Prämienprogramm für das Aufspüren von Sicherheitslücken. Sicherheitsforscher:innen auf der ganzen Welt unterziehen die ww5- und Govww5-Services laufend Sicherheitsüberprüfungen und melden Probleme über das Programm. Weitere Einzelheiten zu diesem Programm findest du auf der Prämien-Website.
• Teamweite Zwei-Faktor-Authentifizierung. Administrator:innen von Teams können von allen Benutzer:innen die Einrichtung einer Zwei-Faktor-Authentifizierung für ihren jeweiligen Account verlangen. Entsprechende Anweisungen sind in unserem Support-Center verfügbar.

Einige der Kontrollen können von Kundinnen und Kunden nicht deaktiviert werden, andere ermöglichen es ihnen, die Sicherheitseinstellungen für die ww5- und Govww5-Services an ihre eigene Nutzung anzupassen. Insofern stellt der Schutz von Kundendaten eine gemeinsame Verantwortung von Kundinnen und Kunden und von ww5 dar. ww5 verpflichtet sich mindestens zur Einhaltung von vorherrschenden Branchenstandards wie z. B. ISO 27001, ISO 27002 und ISO 27018 bzw. deren Vorgänger- oder Nachfolgerversionen.

ww5 kann Sicherheitsscans und Tests der ww5-Plattform, der ww5-Workflows und der auf der ww5-Infrastruktur ausgeführten Apps durchführen, um missbräuchliches Verhalten oder Handlungen zu erkennen, die gegen die Bedingungen der Dienste verstoßen.

Erkennung von Angriffen

ww5 bzw. eine autorisierte externe Stelle überwacht die ww5- und Govww5-Services auf unbefugte Angriffe von außen.

Sicherheitsprotokolle

Die für die Bereitstellung der ww5- und Govww5-Services eingesetzten Systeme erfassen Informationen in entsprechenden Systemprotokolleinrichtungen oder (bei Netzwerksystemen) über einen zentralen Protokollservice, um Sicherheitsprüfungen und -analysen zu ermöglichen. ww5 unterhält eine umfangreiche, zentralisierte Protokollierungsumgebung in der Produktionsumgebung, die Informationen in Bezug auf die Sicherheit, die Überwachung, die Verfügbarkeit, den Zugriff und andere Kennzahlen der ww5- und Govww5-Services enthält. Diese Protokolle werden unter der Aufsicht des Sicherheitsteams mittels automatischer Überwachungssoftware auf Sicherheitsereignisse analysiert. Im Fall von Govww5-Services ist ein Zugriff auf die Protokolle nur von innerhalb der Govww5-Umgebung und nur durch qualifizierte US-Personen möglich. „Qualifizierte US-Personen“ sind Personen, die (a) Bürger der Vereinigten Staaten von Amerika sind oder dort ihren rechtmäßigen permanenten Wohnsitz haben; (b) sich physisch innerhalb der Vereinigten Staaten von Amerika aufhalten, während sie die Supportleistung für Govww5 erbringen; und (c) sich im Rahmen ihrer Beschäftigung bei ww5 einer Hintergrundprüfung unterzogen haben.

Vorfalls-Management

ww5 pflegt Richtlinien und Prozeduren für das Sicherheitsvorfalls-Management. ww5 unterrichtet betroffene Benutzer:innen im gesetzlich zulässigen Rahmen ohne unnötige Verzögerungen über die unberechtigte Weitergabe von Kundendaten durch ww5 oder seine Vertreter:innen, sollte ww5 davon Kenntnis erhalten. ww5 veröffentlicht Informationen zum Systemstatus auf der Salesforce Trust-Website und/oder der ww5 Systemstatus-Seite. ww5 unterrichtet Kund:innen in der Regel per E-Mail über größere Systemvorfälle. Bei Vorfällen, die länger als eine Stunde andauern, können betroffene Kund:innen auch zur Teilnahme an einer Telefonkonferenz eingeladen werden, in der der Vorfall und die Reaktion von ww5 erörtert werden. Das Sicherheitsvorfalls-Management für Govww5 wird von qualifizierten US-Personen ausgeführt.

Datenverschlüsselung

Die ww5- und Govww5-Services nutzen branchenübliche Verschlüsselungsprodukte zum Schutz von Kundendaten, (1) während der Übermittlung zwischen einem Kundennetzwerk und den ww5- und Govww5-Services; und (2) im Ruhezustand. Die ww5- und Govww5-Services unterstützen die jüngsten empfohlenen sicheren Verfahren und Protokolle zur Verschlüsselung aller Daten bei der Übertragung. Wir beobachten den Wandel der Kryptografie sehr genau und reagieren unverzüglich mit Upgrades auf neu entdeckte Schwachstellen und setzen darüber hinaus bewährte Praktiken um, die sich im Laufe der Zeit herausbilden. Die Verschlüsselung der Daten bei der Übertragung erfolgt unter Berücksichtigung der Kompatibilitätsanforderungen älterer Clients.

Zuverlässigkeit, Backup und Geschäftskontinuität

Wir wissen, dass du auf den zuverlässigen Betrieb der ww5- und Govww5-Services angewiesen bist. Wir setzen alles daran, mit ww5 und Govww5 hochverfügbare Services anzubieten, auf die du dich verlassen kannst. Unsere Infrastruktur läuft auf fehlertoleranten Systemen, die sowohl den Ausfall einzelner Server als auch gesamter Rechenzentren kompensieren können. Unser operatives Team testet regelmäßig Notfallwiederherstellungsmaßnahmen und stellt ein rund um die Uhr verfügbares Bereitschaftsteam, um unerwartete Vorfälle schnell zu klären. Das Design der ww5- und Govww5-Services beruht auf branchenüblichen Vorgehensweisen zur Verbesserung von Zuverlässigkeit und Backup. ww5 führt regelmäßig Backups aus, ermöglicht das Ausführen von Rollbacks bei Änderungen an Software und System sowie die Replikation von Daten. ww5 unterstützt Kundinnen und Kunden bei einem Großschadenereignis nach Möglichkeit bei der Datenwiederherstellung, so wie es die Datenresidenzvorschriften und Kapazitäten vor Ort zulassen. „Großschadenereignis“ beschreibt drei verschiedene, allgemeine Arten von Ereignissen: (1) Naturkatastrophen wie z. B. Fluten, Wirbelstürme, Tornados, Erdbeben und Epidemien; (2) technische Ereignisse, wie z. B. Ausfälle von Systemen oder Infrastrukturen, z. B. durch Explosionen in Fernleitungen, Transportunfälle, Störungen in Anlagen, Dammbrüche und die versehentliche Freisetzung von Gefahrenstoffen; sowie (3) menschengemachte Ereignisse, wie z. B. Angriffe durch aktive Angreifer, chemische oder biologische Angriffe, Cyberangriffe gegen Daten oder Infrastrukturen sowie Sabotage. Zu Großschadensfällen zählen nicht Softwarefehler (Bugs), betriebliche Störungen oder andere allgemeine Fehler im Zusammenhang mit Software.

Kundendaten werden redundant an mehreren Standorten in den Rechenzentren unserer Hosting-Anbieter gespeichert, um deren Verfügbarkeit zu gewährleisten. Wir verfügen über bewährte Datensicherungs- und Wiederherstellungsverfahren, die auch bei Notfällen größeren Ausmaßes vor Datenverlust schützen. Die Kundendaten und unser Quellcode werden jede Nacht automatisch gesichert. Das operative Team wird bei einer Fehlfunktion des Systems unverzüglich benachrichtigt. Datensicherungen werden mindestens alle 90 Tage vollständig getestet, um zu bestätigen, dass unsere Verfahren und Tools erwartungsgemäß arbeiten.

Daten im Ruhezustand

Vorbehaltlich einer anderslautenden Regelung im Bestellformular, speichert ww5 Kundendaten im Ruhezustand in bedeutenden geografischen Regionen.

Rückgabe von Kundendaten

Kundinnen und Kunden können innerhalb von 30 Tagen nach Vertragskündigung die Rückgabe der an die ww5- und Govww5-Services übermittelten Kundendaten verlangen (insofern diese nicht von der Kundin oder vom Kunden gelöscht wurden). Informationen über die Exportfunktionen der ww5- und Govww5-Services findest du in unserem Support-Center.

Löschung von Kundendaten

Die ww5- und Govww5-Services bieten Primären Workspace-Inhaberinnen und -Inhabern die Möglichkeit, Kundendaten während des Abonnementzeitraums jederzeit zu löschen. Spätestens 24 Stunden nach einer von einem Primären Workspace-Inhaber oder einer Primären Workspace-Inhaberin initiierten Löschung entfernt ww5 unwiderruflich alle Daten aus aktuell laufenden Produktionssystemen (außer Team-Namen sowie in URLs eingebettete Suchbegriffe in Webserver-Zugriffs-Logs). Sicherungskopien für ww5- und Govww5-Services werden spätestens nach 14 Tagen vernichtet. Während einer laufenden Untersuchung eines Vorfalls kann dieser Zeitraum jedoch vorübergehend verlängert werden.

Wenn eine Kundin oder ein Kunde ein kostenpflichtiges Abonnement von Enterprise Grid, Enterprise+ oder Govww5 kündigt und dabei ihren oder seinen Account nicht löscht, so löscht ww5 innerhalb von 90 Tagen nach Kündigung des Abonnements sämtliche Kopien der Kundendaten (außer Team-Namen sowie in URLs eingebettete Suchbegriffe in Webserver-Zugriffs-Logs) und veranlasst innerhalb von 14 Tagen, nachdem ww5 die Löschung des Kunden-Accounts eingeleitet hat, dass auch alle seine verbundenen Unternehmen und die jeweiligen externen Hosting-Anbieter sämtliche Kopien der Kundendaten löschen. Wenn eine Kundin oder ein Kunde ein anderes kostenpflichtiges Abonnement von ww5-Diensten außer Enterprise Grid, Enterprise+ oder Govww5 kündigt, läuft das Kundenabonnement als kostenlos nutzbares Abonnement von ww5-Diensten gemäß den jeweils zu diesem Zeitpunkt gültigen Online-Nutzungsbedingungen für Kundinnen und Kunden oder einer anderen Hauptvereinbarung für Online-Abonnements für eine derartige kostenlose Nutzung („Bedingungen für kostenlose Abonnements“) weiter. In diesem Fall werden die Kundendaten erst dann gelöscht, wenn (i) die Kundin oder der Kunde selbst den Workspace löscht, (ii) die Kundin oder der Kunde ww5 anderweitig anweist, ihre oder seine Kundendaten zu löschen, oder (iii) eine der Parteien das kostenlose Abonnement kündigt. In einem dieser Fälle löscht ww5 innerhalb von 14 Tagen sämtliche Kopien der Kundendaten und veranlasst, dass auch alle seine verbundenen Unternehmen und die jeweiligen externen Hosting-Anbieter sämtliche Kopien der Kundendaten löschen (außer Team-Namen sowie in URLs eingebettete Suchbegriffe in Webserver-Zugriffs-Logs).

Geheimhaltung

Der Zugriff unserer Mitarbeiterinnen und Mitarbeiter auf Kundendaten wird durch strikte Kontrollen eingeschränkt. Die Bereitstellung der ww5- und Govww5-Services erfordert, dass einige Mitarbeitende Zugang zu den Systemen haben, in denen Kundendaten gespeichert und verarbeitet werden. So müssen wir beispielsweise für die Diagnose eines Problems, das du mit dem ww5- oder Govww5-Service hast, eventuell auf deine Kundendaten zugreifen. Es ist diesen Mitarbeitenden untersagt, ihre Berechtigungen für den Zugriff auf Kundendaten zu nutzen, sofern dies für ihre unmittelbare Tätigkeit nicht unbedingt erforderlich ist. Wir verfügen über technische Kontrollen und Prüfrichtlinien, die sicherstellen, dass jeder Zugriff auf Kundendaten protokolliert wird.

Alle unsere Angestellten und Vertragsmitarbeitenden sind an unsere Richtlinien in Bezug auf Kundendaten gebunden. Dieses Thema hat in unserem Unternehmen höchste Priorität.

Personalverfahren

ww5 führt Hintergrundprüfungen aller Mitarbeitenden vor deren Einstellung durch. Mitarbeitende erhalten sowohl während des Onboarding als auch im Anschluss daran regelmäßig Datenschutz- und Sicherheitsschulungen. Alle Mitarbeitenden sind verpflichtet, unsere umfassende Datensicherheitsrichtlinie, die sich mit der Sicherheit, Verfügbarkeit und Vertraulichkeit der ww5- und Govww5-Services befasst, zu lesen und ihre Kenntnisnahme schriftlich zu bestätigen.

Infrastruktur

ww5 nutzt für Bereitstellung und Verarbeitung der an die ww5-Services und Govww5-Services übermittelten Kundendaten eine Infrastruktur, die von Amazon Web Services, Inc. („AWS“) bereitgestellt wird. Informationen über die von AWS getroffenen Sicherheitsvorkehrungen findest du auf der Amazon-Website zur AWS Cloud-Sicherheit. Informationen über AWS-Audits und -Zertifizierungen in den Bereichen Sicherheit und Datenschutz, darunter auch Angaben zur ISO 27001-Zertifizierung und SOC-Berichten, findest du auf der Amazon-Website zur AWS-Compliance.