Watchdog Manifest

Wir glauben, dass verantwortungsvolle Datenerhebung und -verarbeitung Wahrheit sichtbar machen, bessere Entscheidungen fördern und positiven Wandel beschleunigen kann — aber nur, wenn sie mit Transparenz, Verhältnismäßigkeit und Respekt vor den Rechten des Einzelnen verbunden ist. Dieses Dokument legt die Grundsätze dar, die jedes Projekt, jede Partnerschaft und jede Codezeile leiten, die wir verantworten.

Dieses Manifest gilt für alle Teammitglieder, Auftragnehmer und Partner, die unter dem Watchdog-Dach Daten verarbeiten — in allen Geographien und Rechtsordnungen, in denen wir tätig sind.

Wir nutzen branchenübliche, sicherheitsgehärtete Plattformen, die ISO 27001 und ISO 42001 erfüllen oder übertreffen. Die Tool-Auswahl wird quartalsweise anhand der folgenden Checkliste überprüft:

• Verschlüsselung in Transit & at Rest (AES-256 oder höher)
• Rollenbasierte Zugriffskontrolle (RBAC) mit MFA

Wir setzen keine Shadow-IT, Freeware ohne Sicherheitszertifizierung oder geschlossene Black-Box-Modelle ein, deren Risiko nicht quantifizierbar ist.

Alle Mitarbeitenden stimmen folgendem Verhaltenskodex zu:

• Integrität zuerst — Keine Datenmanipulation, die Stakeholder in die Irre führt.
• Meldepflicht — Anomalien, Verzerrungen oder Sicherheitslücken sofort melden.
• Interessenkonflikt-Offenlegung — Finanzielle, persönliche oder ideologische Verbindungen müssen deklariert werden.
• Null Vergeltung — Hinweisgeber werden geschützt und wertgeschätzt.
• Kontinuierliches Lernen — Mindestens 8 Stunden Ethik- & Sicherheitsschulung pro Jahr.

Verstöße lösen eine abgestufte Reaktion aus: von verpflichtendem Nachschulungstraining bis zur Vertragskündigung und regulatorischen Meldung.

Zugriff auf Datensätze und Rechenressourcen wird ausschließlich auf Basis operationeller Notwendigkeit gewährt:

• Least Privilege — Standard: verweigert; zeitlich begrenzte Berechtigungen.
• Segmentierung — Produktions-, Staging- und Entwicklungsumgebungen sind isoliert.
• Differential Privacy & Anonymisierung — Wo voller Datenzugriff nicht erforderlich ist, stellen wir redigierte oder synthetische Teilmengen bereit.
• Periodische Überprüfung — Zugriffsrechte laufen automatisch alle 90 Tage ab, sofern keine erneute Begründung erfolgt.

Vor dem Onboarding eines Projekts muss der verantwortliche Lead eine Selbsterklärung zur Einhaltung der Datenethik einreichen, die folgendes abdeckt:

• Zweck & erwarteter Nutzen
• Datenkategorien & Quellen (einschl. Kennzeichnung sensibler Daten)
• Rechtsgrundlage & Jurisdiktions-Mapping
• Risikobeurteilungs-Zusammenfassung (Datenschutz, Sicherheit, gesellschaftliche Auswirkungen)
• Lösch- & Aufbewahrungszeitplan
• Stakeholder-Kommunikationsplan

Erklärungen werden in unserem Compliance-Repository gespeichert und sind für Regulatoren und Kunden auf Anfrage auditierbar.

Wir praktizieren Data Sunset by Design. Nach Projektabschluss oder Vertragsende wird eine Archivierungsentscheidung getroffen, ob anonymisierte Aggregate langfristigen Wert haben.

Eine Datenhaltung über diesen Zeitraum hinaus erfordert Genehmigung der Geschäftsleitung und eine dokumentierte rechtliche Begründung.

• Incident-Response-Übungen werden halbjährlich durchgeführt

Dieses Manifest wird alle sechs Monate überprüft und aktualisiert, um operative Erfahrungen, regulatorische Änderungen und sich entwickelnde ethische Standards widerzuspiegeln.