Am 4. Mai 2016 wurde
die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.
April 2016 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der
Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ kundgemacht.
Die
Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Geltung. Bis dahin müssen
alle Datenanwendungen an die neue Rechtslage angepasst werden.
Um diesen
Anforderungen gerecht zu werden raten wir, aus Sicht von HELIUM V, folgende
Punkte zu beachten, bzw. dürfen wir Ihnen nachfolgende Informationen dazu geben.
Wir weisen ausdrücklich darauf hin, dass wir weder Rechtsanwälte noch
sonstige Unternehmens-Berater sind. Wir übernehmen keine wie immer geartete
Verantwortung / Haftung für diese Informationen. Weder auf Vollständigkeit noch
auf Richtigkeit oder ähnliches.
Im englischsprachigen Raum wird die
DSGVO GDPR genannt.
Für die Beschreibung der Verwendung des
DSGVO Moduls siehe bitte dort.
Bitte denken Sie
daran, dass die DSGVO für alle Daten Ihres Einflußbereiches / Ihres
Verantwortungsbereiches gilt. Egal ob diese in Ihrer IT gespeichert sind, oder
ob diese nur ein zeitlich sortierter Papierordner sind. Egal ob diese in Ihren
Firmenräumlichkeiten gelagert / gespeichert werden oder ob diese irgendwo in
einer externen Cloud abgelegt sind. Sie sind für diese Daten und auch für die
Verfügbarkeit der Daten verantwortlich.
Bitte verwenden Sie gute
Benutzernamen und qualitativ hochwertige Kennwörter.
Denken Sie daran, dass
andere Menschen ev. böswilligen Nutzen aus Ihren Daten ziehen wollen. D.h.
jegliche Kommunikation bei der jemand mitlesen könnte, wie z.B. EMail und die
kritische Daten enthält / enthalten könnte muss verschlüsselt sein. Sie haften
dafür, wenn Ihre Daten von jemanden unerlaubter Weise mitgelesen werden. Es gibt
hier mehr Möglichkeiten als uns allen lieb ist.
Parametrierungen in HELIUM V
Um die DSGVO in Ihrem
HELIUM V umzusetzen sollten Sie den Parameter
ANWESENHEITSLISTE_TELEFON_PRIVAT_ANZEIGEN auf 0 stellen.
Ab der Version 12500
(voraussichtlich) ist diese Parametrierung nicht mehr erforderlich.
Einstellungen der Rechte / Benutzerrollen
Bitte achten Sie
darauf, dass möglichst nur eine Person / ein Benutzer das Administratorenrecht
Ihres HELIUM V besitzt. Schränken Sie vor allem die Rechte bezüglich
Finanzbuchhaltung und Personalverwaltung soweit wie möglich ein. Insbesondere
das Recht PERS_DARF_PERSONALDETAILDATEN_SEHEN bewirkt dass auch Geburtsdaten,
Stundenabrechnungen, Gehälter und ähnliches angezeigt werden. Gerade in kleinen
Unternehmen herrscht die Unsitte vor, dass "wir sind eh alle gleich" alle
Administratoren sind.
Unser Tipp: Einigen Sie sich darauf
wer für die Personalagenden zuständig ist und nur dieser Benutzer erhält
tatsächlich das Recht auf die Personaldetaildaten. Gehen Sie in den Belangen der
Finanzbuchhaltung ähnlich vor.
Denken Sie auch daran, dass in den Ausdrucken
der Zeiterfassung durchaus DSGVO relevante Daten enthalten sein können. D.h.
vergeben Sie nur Rechte für Mitarbeiter die diese Daten auch tatsächlich
benötigen und die Sie auf die DSGVO / Geheimhaltung usw. verpflichtet haben.
D.h. die Rechte: PERS_ZEITERFASSUNG_MONATSABRECHNUNG_DRUCKEN,
PERS_ZEITERFASSUNG_REPORTS_SEHEN, PERS_ZEITERFASSUNG_REPORTS_DRUCKEN bitte neben
den anderen Personalrechten mit bedacht vergeben.
Welche Standardanwendungen werden durch HELIUM V abgedeckt
Im Sinne der DSGVO
sind nachfolgende Standardanwendungen aufgeführt.
Siehe dazu bitte auch.
Von den in der Datenschutz durch Standard- und
Musteranwendungen in der Wirtschaft genannten 32 Standardanwendungsfällen sind
für die Wirtschaft vor allem folgende von Bedeutung:
SA001
"Rechnungswesen und Logistik" behandelt die Verarbeitung und
Übermittlung von Daten im Rahmen einer Geschäftsbeziehung mit Kunden und
Lieferanten einschließlich automationsunterstützt erstellter und
archivierter Textdokumente (z.B. Korrespondenzen) in diesen Angelegenheiten
und erfasst folgende Personengruppen:
Kunden, Lieferanten bzw. Empfänger
und Erbringer von Lieferungen oder Leistungen
Sachbearbeiter/Kontaktpersonen beim Auftraggeber
an der
Geschäftsabwicklung mitwirkende Dritte
Kontaktpersonen beim
Kunden/Lieferanten oder an der Geschäftsabwicklung mitwirkenden Dritten
bloße Zustell-, Lieferungs-, Rechnungsadressaten und dergleichen
Fremdkapitalgeber
Gesellschafter
SA002
"Personalverwaltung für privatrechtliche Dienstverhältnisse"
befasst sich mit der Verarbeitung und Übermittlung von Daten für Lohn-,
Gehalts-,Entgeltsverrechnung, Aufzeichnungs-, Auskunfts- und Meldepflichten
aufgrund von Gesetzen oder Kollektivverträgen oder Arbeitsverträgen
einschließlich automationsunterstützt erstellter und archivierter
Textdokumente (z.B. Korrespondenzen) in diesen Angelegenheiten, wobei als
davon betroffene Personengruppe erfasst werden:
Arbeitnehmer;
arbeitnehmerähnliche Personen; Leiharbeiter; freie Dienstnehmer; Volontäre;
Lehrlinge; Ferialpraktikanten und ehemalige Beschäftigte
(aktuelle und
ehemalige) Organe (und deren Mitglieder) und
sonstige Funktionsträger
juristischer Personen und Personengemeinschaften.
Seit der Novelle BGBl
II Nr. 105/2011 fallen auch (bestimmte) personenbezogene Daten von Bewerbern
unter die SA002, wenn diese vom Betroffenen angegeben wurden.
Tipp: Erfassen Sie die Religionsbekenntnis des Mitarbeiters nur,
wenn er dieses zur Erlangung seines Feiertages (gilt nur für Österreich)
tatsächlich angibt.
SA003
"Mitgliederverwaltung"
SA007
"Verwaltung von Benutzerkennzeichen" wird die
Systemzugriffskontrolle und Verwaltung von Benutzerkennzeichen für die
Auftraggeber – Datenanwendungen und Verwaltung der Zuteilung von Hard- und
Software an die Systembenutzer einschließlich automationsunterstützt
erstellter und archivierter Textdokumente (z.B. Korrespondenzen) in diesen
Angelegenheiten als Standardfall in der Datenverwendung erklärt. Davon
erfasster Personenkreis ist nur die Kategorie der Systembenutzer.
SA022
"Kundenbetreuung und Marketing für eigene Zwecke" scheint in der
Verordnung als Standardanwendungszweck die Verwendung eigener oder
zugekaufter Kunden- und Interessentendaten für die Geschäftsanbahnung
betreffend das eigene Lieferungs-oder Leistungsangebot einschließlich
automationsunterstützt erstellter und archivierter Textdokumente (z.B.
Korrespondenzen) in dieser Angelegenheit auf und erfasst dabei folgende
Personengruppen:
Eigene Kunden;
Interessenten, die an den
Auftraggeber selbst herangetreten sind;
Kontaktpersonen beim
Kunden/Interessenten;
potenzielle Interessenten, deren Adressen von
Adressverlagen zugekauft (gemietet) oder selbst ermittelt wurden
SA032 "Videoüberwachung"
SA033 "Datenübermittlung im Konzern"
SA037 „Melde- und Kontrollsysteme zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung“
Das bedeutet dass die
Verwendung von HELIUM V in die vier markierten Standardanwendungen einzustufen
ist.
Details dazu siehe bitte auch Modul DSGVO, Info, Personen spezifische
Merkmale.
Q: Werden sensible Daten verarbeitet?
A: Laut DSGVO ist die Verarbeitung von „sensiblen Daten“ untersagt.
Dieses
Verbot gilt ausschließlich in folgenden Fällen nicht (d.h. die Verarbeitung
sensibler Daten ist in folgenden Fällen zulässig):
Vorliegen einer ausdrücklichen Einwilligung
Vorliegen einer gesetzlichen Grundlage
einschließlich
Kollektivverträge und Betriebsvereinbarungen, zur Ausübung von Rechten aus
dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes
Gesundheitsvorsorge, Arbeitsmedizin
Da könnte auch ein
Hinweis zur Gesundenuntersuchung o.ä. enthalten sein. Denken Sie hier immer
positiv und Sie werden einen Grund finden, warum das für Ihre Mitarbeiter
wichtig ist.
Im Sinne der DSGVO werden derzeit an sensiblen Daten verarbeitet:
Das Religionsbekenntnis für die Bestimmung des gesetzlichen Feiertages. D.h.
wenn der Mitarbeiter sein evangelisches Religionsbekenntnis zum Erhalt der /
des evangelischen Feiertages freiwillig bekannt gibt, so kann dies unter
Religion hinterlegt werden.
Unser Tipp: Hinterlegen Sie
nur wenn der Mitarbeiter darauf besteht sein Religionsbekenntnis und
hinterlegen Sie diese Einwilligung in der Dokumentenablage.
Das Geburtsdatum des Mitarbeiters für die Lohnabrechnung usw. (gesetzlicher Auftrag)
Seine Krank und Pflege-Tage/Stunden (gesetzlicher Auftrag)
das Geburtsdatum eines Ansprechpartners / Partners (kein Pflichtfeld)
Deaktivieren Sie diese Erfassung
Q: Kann Teamviewer im Sinne der DSGVO eingesetzt werden?
A: Auch wenn die Firma Teamviewer natürlich ihr Produkt verteidigt, sehen wir
folgende Punkte als problematisch an:
Teamviewer erlaubt jederzeit eine
Rückverfolgung zu den handelnden Personen(merkmalen). Die Kette stellt sich wie
folgt dar:
Teamviewer Lizenz mit Namen usw.
Zuordnung der Lizenz zu den Teamviewer-IDs, welche aus den MAC-Adressen der
Rechner errechnet werden
Alleine schon damit sind entsprechende Profile
möglich
Verwaltung der Kennwörter für einen Fernwartungszugriff ohne vorherige Freigabe
Leider haben wir auf eine Anfrage bei Teamviewer zu deren Ansicht bzgl. DSGVO
nur die Info bekommen, dass wir rechtzeitig über deren Status dazu informiert
werden. Dies ist bis heute (2018-03-09) nicht geschehen. Bitte beachten Sie auch
die Arbeitsschutzrechtliche Situation beim Einsatz dieses Werkzeugs.
Bedenken
Sie bitte auch, wie leicht ein Mitarbeiter hiermit alle ihre
Geheimhaltungsbestimmungen umgehen kann.
Hinweis: Auch wir setzen
Teamviewer ein. Insbesondere sind unsere Zeiterfassungsterminals auf
Windows-Basis für die Betreuung mit Teamviewer mit einem konfigurierten
Fernwartungszugriff ausgestattet. Von uns werden die Terminals in der Regel so
ausgeliefert, dass diese mit Ihrem HELIUM V Server kommunizieren und dass der
verwendete Benutzer KEINEN Zugriff in Ihr Firmennetzwerk hat.
Q: Welche Personenspezifische Merkmale werden von HELIUM V gespeichert
A: Für diese Detailinfos, verweisen wir auf den Ausdruck der Personen spezifischen Merkmale aus dem Modul DSGVO
Q: Privacy by Design
A: Die Grundeinstellungen von HELIUM V entsprechen dieser Forderung. Leider
verwenden viele, vor allem kleine Unternehmen die Rolle Administrator für alle
Benutzer (wir sind alle gleich, jeder darf von den anderen alles wissen). Bitte
bedenken Sie, dass es besser ist, wenn jedeR die Rechte bekommt die er/sie für
seine/ihre Arbeit benötigt. Das schützt Sie und Ihre Daten und weckt keine
zusätzlichen Begehrlichkeiten. Denken Sie auch daran Ihre Arbeitsplatzrechner so
einzustellen, dass diese einen automatischen Anmeldeschutz haben.
Von den
Datenstrukturen her ist HELIUM V so programmiert, dass für die Erfassung von
Personen / Ansprechpartnern, der Name als einziges Merkmal ausreicht.
Q: Detailübersicht der verarbeiteten Personenspezifischen Daten
A: Sie finden im Modul Personal, unterer Reiter DSGVO, im Menüpunkt Journal, Module und personenspezifische Merkmale, eine Aufstellung der von den jeweiligen Modulen verarbeiteten Personenspezifischen Merkmale. Sollten Sie dieses Zusatzmodul nicht besitzen, wenden Sie sich bitte an Ihren HELIUM V Betreuer.
Q: Beauskunftung
A: Sie finden im Modul Personal, unterer Reiter DSGVO, eine Liste aller Partner
welche in Ihrem HELIUM V angelegt sind.
Info: Die Partner-Adressen haben
keine spezifische Mandantenzuordnung, d.h. Sie finden hier alle in Ihrer Datenbank
angelegten Adressen.
Für eine Beauskunftung wählen Sie den gewünschten
Partner aus und gehen im Menü auf Info, Beauskunftung.
Hier stehen zwei
Auswertungen zur Verfügung:
- Kompakte Info, mit der Liste in welchen Modulen
Daten dieses Partners gespeichert sind
- umfassende Auswertung, mit einer
Detailaufstellung in welchen Modul-Datensätzen Daten gespeichert sind. Also z.B.
bei welchem Angebot der Partner als Ansprechpartner hinterlegt ist.
Q: Brauche ich neben der Beauskunftung aus HELIUM V auch noch ein Verarbeitungsverzeichnis?
A: Selbstverständlich. Auch wenn eine großen Anzahl an Daten und Prozessen in HELIUM V abgebildet sind. Wir haben bisher keinen Anwender kennengelernt, der nicht in irgend einer Form noch zusätzliche strukturierte Daten aufbewahrt hat. Egal ob dies nun Kundenordner, Personalakten, XLS oder odt Dateien sind. All diese Dateien sind zu beurteilen, im Verarbeitungsverzeichnis aufzulisten und in ihrer Datenrelevanz einzuschätzen.
Q: Massendaten / personenspezifische Daten
A: Diese Unterscheidung ist für das Zutreffen der DSGVO relevant.
Z.B. Wenn
Sie nur Ihre Saldenliste an Ihren Unternehmensberater senden, so sind das
anonymisierte Massendaten. Im Sinne der DSGVO sind diese nicht schützenswert.
Natürlich sollten Sie dies aber trotzdem nur verschlüsselt übertragen, man kann
da ja einiges herauslesen.
Andererseits, wenn Sie Ihre Buchhaltung, auch in
Papierform, Ihrem Steuerberater übergeben, so sind darin auch die
Debitorenkonten enthalten. Das sind strukturierte Daten. Also vom Grundgedanken
her personifizerte Daten, weil Sie ja auch an Privatpersonen bzw. Einzelfirmen
liefern könnten. Dies geht soweit, wenn Namen auch in GmbH Firmenwortlauten
enthalten sind und daraus eindeutig auf eine Person rückgeschlossen werden kann,
sind das personifizierte Daten.
ABER:
Es gibt die
gesetzliche Buchführungs- und Aufbewahrungspflicht. Diese ist höherwertig als
die DSGVO. D.h. ja Sie müssen das verarbeiten. Jedoch können Sie aus dem Titel
der Buchhaltung keine Begrüundung ableiten, warum Sie das Geburtsdatum
benötigen. Einzig wenn Sie Geschäfte mit Minderjährigen machen, könnte dies ein
Thema sein. Sollte dies für Sie zutreffen, so setzen Sie sich bitte sehr
intensiv mit den Rechten dieser sehr schützenswerten Personengruppe auseinander.
Zu beachten:
Natürlich ist es selbstverständlich, dass die
Lohnverrechnung personenspezifische Daten verarbeitet. Daraus ergibt sich auch,
dass jegliche Kommunikation mit Ihrem Auftragsverarbeiter (Steuerberater der die
Lohnverrechnung macht), über geschützte Kanäle erfolgt. Also Personendaten nur
per verschlüsseltem EMail usw.
Gilt das auch für Bilanzen?
Im ersten Blick würde man sagen, nein, das sind ja Massendaten, aber:
da werden natürlich auch die Organe der Geschäftsführung angeführt. Also
verschlüsselt sowieso und bei der Beauskunftung berücksichtigen.
Q: Darf ich meinen Partnern / Kunden EMails senden?
A: Wenn Sie in laufenden Geschäftsbeziehungen sind, so ist die normale EMail
Kommunikation Teil Ihres Geschäftes / Business-Use-cases. Das bedeutet, solange
Sie hier "normale" Daten wie Angebote, technische Details oder ähnliches
austauschen, ist das legal. Kritisch wird es, wenn es um persönliche Daten wie
Geburtsdatum, das letzte Strafmandat, ist schon seit xx Wochen Krank, geht.
Diese sensiblen Daten sollten Sie weder mit anderen austauschen und schon gar
nicht speichern.
So ist auch die Information über das Leistungsangebot Ihres
Unternehmens unter vorvertragliche Phase einzustufen (Geschäftsanbahnung) das
dürfen Sie jederzeit machen, wenn der Partner Sie um Information gebeten hat.
Dass er Sie um Information gebeten hat, sollten Sie nachweisen können.
Q: Wie geht man mit Daten die von den Mitarbeitern erzeugt / abgelegt werden um?
A: In Zusammenhang mit den Daten, die von Mitarbeitern in Ihrem Unternehmen an-
und abgelegt bzw. erzeugt werden gibt es einige Dinge zu beachten.
Nachfolgend eine, sicherlich nicht vollständige Sammlung, unserer Empfehlungen /
Erfahrungen.
Bitte beachten Sie, dass hier sowohl Datenschutzrechtliche
als auch Arbeitsrechtliche Gesetze und Regeln zur Anwendung kommen. Wir
verweisen auch hier darauf, dass wir weder Steuerberater, noch Jurist, noch ein
Unternehmensberater sind. Rechtsverbindliche Auskünfte holen Sie sich bitte bei
den entsprechenden Stellen.
Oberste
Regel:
Alle Daten die Ihre Mitarbeiter auf Geräten in Ihrer
Einflußsphäre speichern sind Daten des Unternehmens. Das Speichern privater
Daten ist ausdrücklich verboten.
Warum? Private Daten dürfen Sie nicht
einsehen. Nun hat der Mitarbeiter in seinem EMail Postfach aber Kunden und
Private Daten gemischt. Sie haben keine Chance eine Beauskunftung nach DSGVO zu
machen, weil Sie die Daten nicht einsehen dürfen.
Tipp:
Stellen Sie diese Punkte, neben den vielen anderen, z.B. Geheimhaltung,
in einem Dokument zusammen und lassen Sie sich die Einhaltung dieser Punkte /
Regeln jedes Jahr von Ihren Mitarbeitern unterschreiben.
Will ein Mitarbeiter
Ihre Regeln nicht akzeptieren, so überlegen Sie sich, wer die arbeitsrechtlichen
Strafen bezahlt.
Info:
Es haftet am Schluss immer der
Geschäftsführer mit seinem Privatvermögen.
Q: Wann sind Daten zu löschen ?
A: Das kommt darauf an. D.h. wenn:
ein anderes Recht dies verlangt, z.B. Buchhaltungs Aufbewahrungsfristen, das gilt auch für die Dokumente der vorvertraglichen Phase
Wenn zu einem Vorgang Kosten entstanden sind.
So verursacht z.B. eine
Beauskunftung Kosten. Egal ob diese weiterverrechnet wurden oder nicht.
Aufgrund dieser Tatsache können Sie der Ansicht sein, dass auch hier die
Buchhaltärischen Aufbewahrungsfristen gelten.
so dürfen diese Daten nicht gelöscht werden. D.h. prüfen Sie vor dem Löschen /
Anonymisieren immer ob hier andere, höherwertige Rechte diesen Vorgang
verbieten. Erst nachdem Sie sicher sind, dass es keinerlei Recht gibt, welches
Ihnen die Aufbewahrung der Daten vorschreibt, müssen Sie löschen /
anonymisieren.
Aus diesem Grunde ist das anonymisieren in HELIUM V auch im
DSGVO Modul, für welches entsprechende Rechte erforderlich sind, angesiedelt.
Q: Können in HELIUM V Daten gelöscht werden ?
A: Theoretisch ja, aber wenn diese mit anderen Dokumenten verknüpft sind, ist
ein Löschen, also eine physikalische Entfernung aus der Datenbank nicht mehr
möglich. Verwenden Sie stattdessen anonymisieren.
Hinweis: Im Falle dass eine
Datensicherung eingespielt werden muss, müssen bereits gelöschte / anonymisierte
Daten nachgelöscht/nachanonymisiert werden.
Wir raten daher, die Daten nur zu
anonymisieren, da beim Löschen die Daten nicht nachgelöscht werden können.
Denken Sie daran, dass die Protokolldatei der Anonymisierung zusätzlich auf
einem völlig anderen Backupmedium gespeichert werden muss. Hier ist eine zweite
Datensicherungsstrategie anzuwenden.
Q: Was passiert mit den Daten des Testsystemes ?
A: Bitte beachten Sie, dass von der DSGVO natürlich auch die Daten in Ihren Testsystemen betroffen sind / betroffen sein können. D.h. löschen / anonymisieren / beauskunften Sie bitte auch diesen Datenbestand.
Q: Was ist den so grundsätzlich zu beachten ?
A: Es geht darum dass personenbezogene Daten nicht falsch verwendet werden /
nicht in falsche Hände gelangen. Denken Sie an den gerade (April 2018) aufgeflogenen
Facebook Daten Skandal.
D.h. im wesentlichen sollten Sie immer Herr/Frau
Ihrer Daten sein.
Nun ist das Verständnis vieler Menschen welche Daten denn
wo durch die Gegend gesandt werden oft nur sehr rudimentär oder überhaupt nicht
vorhanden.
Auch wird die kriminelle Energie mit der manche Zeitgenossen
versuchen Daten zu stehlen von uns allen unterschätzt.
D.h. Sie müssen
Maßnahmen ergreifen dass die Daten grundsätzlich nicht wegkommen, bzw. dass Sie
merken wenn Daten weggekommen sind.
Dazu werden folgende Maßnahmen
eingesetzt:
- Alles was an Daten Mobil unterwegs ist sollte durch ein
Kennwort geschützt sein. Also alles was Sie auf Notebooks, Handys, Tablets,
USB-Sticks, Datensicherungen, usw. gespeichert haben.
- Alles was
elektronisch über ungeschützte Kanäle unterwegs ist muss geschützt sein.
Bedenken Sie bitte dass ein EMail wie eine Postkarte ist. JedeR kann mitlesen.
- Es sollte niemand unerlaubt Zutritt zu Ihren Standgeräten bekommen. D.h. die
Serverräume sind verschlossen und die Client/Arbeitsplatzrechner gehen nach sehr
kurzer Zeit in einen Modus über, sodass man nur mit Passwörtern weiter kommt.
Oder in anderen Worten:
In der DSGVO sind unter anderem sechs Grundsätze
für die Verarbeitung personenbezogener Daten geregelt:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)
Laut der DSGVO darf nur gespeichert werden, was für die aktuelle Datenverarbeitungstätigkeit tatsächlich notwendig ist. Zusätzlich muss ein Verarbeitungsverzeichnis geführt werden, es sei denn:
die Datenverarbeitung birgt kein Risiko für die Rechte und Freiheiten der betroffenen Personen
die Verarbeitung erfolgt nur gelegentlich
es werden keine sensiblen Daten verarbeitet
Bitte beachten Sie, dass Ihre Webseiten bzw. elektronische Kommunikation /
EMail, Newsletter besonders im Augenmerk liegen.
Siehe dazu auch.
Q: Verarbeiten wir Ihre Daten im Sinne eines Auftragsverarbeiters, wie im Artikel 28 ausgeführt ?
A: Nein. Es wird von Seiten HELIUM V im Sinne des Artikels 28 keine
Auftragsdatenverarbeitung vorgenommen. Wir benötigen Ihre Daten im Anlassfalle
zwar um verschiedene Problemlösungen zu erarbeiten, z.B. zur Fehlerbehebung oder
zur Entwicklung neuer Module bzw. Funktionalitäten. Die eigentliche
Datenverarbeitung erfolgt aber immer auf den von Ihnen verwendeten Servern. D.h.
liegt Ihre HELIUM V Installation auf einem Server dessen Hardware bei Ihnen im
Hause steht, so erfolgt die Verarbeitung auf diesem Rechner und Sie müssen bei
einer Beauskunftung / Löschung diesen Rechner und seine Daten mit
berücksichtigen (siehe dazu gerne auch das zusätzliche
DSGVO Modul, welches Sie bei der Beauskunftung dramatisch unterstützt).
Liegt Ihre HELIUM V Installation in einer Cloud oder ähnlichen Struktur, so muss
sichergestellt sein, dass die Behandlung Ihres Servers ebenfalls der DSGVO
entspricht. In diesem Falle müssen Sie mit Ihrem Provider entsprechende
Verträge abschließen.
Selbstverständlich unterliegen wir schon immer der
Geheimhaltung und unser gesamtes Team ist angewiesen nur die Daten welche zur
Erfüllung der Aufgaben erforderlich sind zu verwenden. Sie können beruhigt davon
ausgehen, dass wir auch unsere Hausaufgaben bezüglich der technischen und
organisatorischen Maßnahmen zur Sicherheit der uns anvertrauten Daten
unternommen haben. Wir bittem um Verständnis, dass diese nicht offengelegt
werden. Sollten Sie dazu ausführlichen Bedarf haben, können wir Ihnen diese
gerne, nach Unterzeichnung einer entsprechenden Vertraulichkeitsvereinbarung,
zusenden.
Autor: |