Datenschutz-Grundverordnung (DSGVO) & Auftragsdatenvereinbarung

Bökey
Bökey
  • Aktualisiert

 

Alle absence.io Server befinden sich in Deutschland. Das bedeutet, dass wir uns an die Datenschutzbestimmungen der Europäischen Union (EU) halten müssen.

Die Datenschutzbestimmungen in der Europäischen Union gehören zu den strengsten weltweit. Darüber hinaus hat Deutschland selbst eine der striktesten Rechtsnormen in diesem Bereich: Das Bundesdatenschutzgesetz (BDSG). Dieses Gesetz schützt Nutzer von Internetdiensten. Der Endnutzer entscheidet eigenverantwortlich darüber, wie seine persönlichen Daten genutzt werden: Unternehmen dürfen ohne die ausdrückliche Genehmigung (Die sogennante Auftragsdatenverarbeitung) des Endnutzers keine personenbezogenen Daten (z.B. Name, Geburtstag, IP-Adresse) sammeln. Es gibt kein Gesetz in Deutschland, das uns dazu zwingen könnte, uns einer einstweiligen Verfügung zu unterwerfen oder eine Hintertür zu implementieren.

 

Wir bei absence.io arbeiten hart daran, sicherzustellen, dass unsere Produkte und Prozesse die DSGVO Richtlinien erfüllen. Wir sind davon überzeugt, dass wir trotz des ernsten Themas auch ein bisschen Spaß dabei haben können - schließlich ist Datensicherheit im besten Interesse aller.

 

Wichtige Dokumente für Kunden

Kunden finden hier die wichtigsten Dokumente, die Sie zu Beginn der Zusammenarbeit mit absence.io beachten sollten:

  • Datenschutz auf der Website
  • AGBs auf der Website
  • Vereinbarung zur Auftragsdatenverarbeitung, "AV" (English Data Processing Agreement "DPA")
    • Die digital signierte Form mit Timestamp in den absence.io Einstellungen (siehe unten)
    • oder hier im Anhang zum Download
  • Unterauftragnehmerliste verlinkt in AV und hier
  • Technische und organisatorische Maßnahmen in AV verlinkt und hier
Der Datenschutzbeauftragte des für die Verarbeitung Verantwortlichen ist:
DataCo GmbH
Nymphenburger Str. 86
80636 München
+49 (0)89 7400 4584
www.dataguard.de
datenschutz@dataguard.de

 

Screenshot_2021-04-21_at_16.44.21.png

Also, worum geht es bei der DSGVO überhaupt?

Erstens steht DSGVO für die Datenschutz-Grundverordnung - und diese wird die Datenschutzrichtlinie (DPD) von 1995 ersetzen und darauf aufbauen. Zuvor war DPD von regulatorischen Änderungen auf staatlicher Ebene abhängig; mit der DSGVO werden die Gesetze jedoch EU-weit in Kraft treten ohne dass die Mitgliedstaaten selbst Gesetze einführen müssen.

 

Zweitens gilt die DSGVO nicht nur für EU-Unternehmen, sondern für alle Unternehmen, die Daten von EU-Bürgern sammeln und verarbeiten. Egal, ob Du Dich am Nordpol oder Down Under befindest - solange Du mit den Daten von EU-Bürgern umgehst, musst du die DSGVO-Richtlinien einhalten.

 

Mit der Einführung der DSGVO am 25. Mai 2018 muss absence.io als "Datenverarbeiter" nicht nur bestimmte Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten von EU-Bürgern einführen, sondern auch transparente und sichere Prozesse für den Umgang mit personenbezogenen Daten einhalten.

 

Daher ist unser Team entschlossen, alle DSGVO-Mandate zu erfüllen, um sicherzustellen, dass absence.io nicht nur mit der DSGVO konform ist, sondern auch um unseren Nutzern, die uns ihre persönlichen Daten anvertrauen, eine bessere User Experience zu bieten.

Datenschutz erklärt an einem Beispiel

Wir stellen dir kurz Alan vor: er ist der CEO von Deer Ltd., einem Unternehmen in Spanien - einem EU-Mitgliedsstaat. Deer Ltd. und seine Mitarbeiter sind Nutzer von absence.io. Wir von absence.io sind Datenverarbeiter, da wir die personenbezogenen Daten von betroffenen Personen (z. B. Mitarbeiter von Deer Ltd.) im Auftrag von Datenverantwortlichen (z. B. Deer Ltd.) behandeln. In diesem Fall ist Deer Ltd. für die persönlichen Daten ihrer betroffenen Nutzer (d. h. ihrer Mitarbeiter) verantwortlich. Da wir für die Verarbeitung einiger Benutzerdaten Dienste von Drittanbietern verwenden, werden wir auch die Verfahren dieser "Datenverarbeiter" kontrollieren.

Alan wurde kürzlich auf die DSGVO-Mandate aufmerksam gemacht und möchte wissen, was wir bei absence.io getan haben, um fristgerecht zum 25. Mai die Richtlinien einzuhalten.

Nachfolgend findest du eine detaillierte Liste dessen, was wir geändert oder hinzugefügt haben, um DSGVO-konform zu sein.

 

Mandat

Was bedeutet das?

Was wir machen

Rechtliche Grundlage der Verarbeitung

Damit wir die Daten der Mitarbeiter von Deer Ltd. verwenden können, benötigen wir ihre ausdrückliche Zustimmung. Außerdem müssen wir die Nutzer darüber informieren, wofür sie ihre Zustimmung erteilen; vertragliche Verpflichtungen (Rechnungsversand, Verhandlungen); oder das Vorhandensein von "legitimem Interesse".

Bei absence.io werden alle gesammelten persönlichen Daten nur in Bezug auf den absence.io Account des Benutzers verwendet. Telefonanrufe, Emails und andere Kommunikationsformen, die personenbezogene Daten verwenden können, stehen in direktem Zusammenhang mit unserer Software und / oder Aktivitäten, die innerhalb unserer Software ausgeführt werden (Benachrichtigungs-Emails).

Zustimmung

Damit Alan und seine Mitarbeiter bei Deer Ltd. uns Zustimmung geben, müssen wir sicherstellen, dass:

a) sie wissen, worauf sie sich einlassen;

b) sie sich positiv entscheiden müssen, und nur weil sie sich einmal anmelden, bedeutet das nicht, dass wir annehmen können, dass sie allem zustimmen;

c) die Zustimmungsvereinbarung detailliert und informativ sein muss, was bedeutet, dass sie genau wissen müssen, wie wir ihre Daten verarbeiten und wofür wir sie verwenden.

Wir führen während der Registrierung einen zusätzlichen Schritt ein, bei dem alle Nutzer der Verarbeitung und Nutzung ihrer Daten für Marketing-, Support- und Vertragliche Zwecke zustimmen müssen. Darüber hinaus können Benutzer ihre Zustimmung erneut bestätigen.

Die Präferenz wird in unseren Systemen gespeichert, damit unsere Nutzer zukünftig keine Emails von uns erhalten, wenn sie nicht ausdrücklich zugestimmt haben.

Entzug der Zustimmung (oder Opt-out)

Genauso einfach wie Alan und seine Mitarbeiter sich anmelden können, müssen sie sich auch jederzeit abmelden können.

Nutzer, die Emails von absence.io erhalten, können Emails innerhalb der Email selbst abbestellen. Ansonsten können sich Nutzer auch jederzeit in ihren Kontoeinstellungen abmelden.

Cookies

Alan und seine Mitarbeiter müssen darauf aufmerksam gemacht werden, dass wir Cookies verwenden.

absence.io informiert nicht nur darüber, dass wir Cookies verwenden, sondern auch, welche Arten von Cookies wir verwenden und ob Du diese akzeptiert hast.

Mehr über Cookies hier.

Löschung (oder "das Recht auf Vergessenwerden")

Alan und seine Mitarbeiter haben das Recht, absence.io aufzufordern, alle persönlichen Daten, die sie betreffen, dauerhaft zu löschen. Dazu gehören Emails und Telefonanrufe sowie andere Einträge.

Bei absence.io erleichtern wir dir das Löschen deiner Daten auf Anfrage. Wir haben einen datenbasierten Löschworkflow eingerichtet, der sicherstellt, dass nur die Daten gespeichert werden, die wir für die Bereitstellung von absence.io auch brauchen. Wir sorgen dafür, dass nicht mehr benötigte Daten automatisch und dauerhaft gelöscht werden.

Da wir selbst Datenverarbeiter verwenden, sorgen wir auch dafür, dass deine Daten auch von ihren Servern gelöscht werden.

Zugang / Portabilität

 

Alan und seine Mitarbeiter können nicht nur verlangen, dass ihre Daten gelöscht werden, sie können auch verlangen, dass wir ihnen Zugriff auf die persönlichen Daten gewähren, die wir gespeichert haben. Auf Anfrage müssen wir die persönlichen Daten in einem zugänglichen Format zur Verfügung stellen.

absence.io wird dir auf Anfrage deine Daten auf lesbare Weise zur Verfügung stellen. Darüber hinaus stellen wir dir bei Bedarf auch einen Export Deiner Daten von unseren Sub-Datenverarbeiter zur Verfügung.

Änderungen

 

 

Wenn sich irgendwelche persönliche Daten, die sich auf Alan oder seine Mitarbeiter beziehen, zu irgendeinem Zeitpunkt ändern, können sie jederzeit falsche oder unvollständige Informationen bearbeiten.

absence.io erlaubt dir, deine persönlichen Daten nach eigenem Ermessen zu bearbeiten. Wir begrenzen dies in der App mit Rollen und Rechten, um sicher-zustellen, dass nicht jeder mit Zugriff auf den absence.io Account des Unternehmens Informationen bearbeiten kann.

Administratoren, HR und Inhaber haben das Recht, ihre Benutzer- und Kontoinformationen zu ändern.

Benutzer müssen sich an das Personalwesen oder den Administrator ihres Unternehmens wenden, die auf ihr Profil zugreifen können, um Änderungen vorzunehmen.

Sicherheitsmaßnahmen

Im Rahmen der Datenschutzgrundverordnung müssen Datenverantwortliche (z. B. absence.io) und Datenverarbeiter (d.h. Dritte, die personenbezogene Daten im Auftrag von absence.io verarbeiten) verschiedene Sicherheitsvorkehrungen und Protokolle für den Datenschutz bereitstellen. Dies umfasst die Verschlüsselung, Pseudonymisierung und Anonymisierung personenbezogener Daten zur Begrenzung und Kontrolle des Zugriffs.

Bei absence.io verpflichten wir uns, unsere Sicherheitsmaßnahmen noch weiter zu verbessern, um deine Daten zu schützen. Neben branchenüblichen Praktiken wie End-to-End-Verschlüsselung, Penetrationstests und Verschlüsselung von Daten im Speicher (data at rest) fügen wir strengere Sicherheitsprotokolle hinzu, die mit der DSGVO konform sind.

 

 

War dieser Beitrag hilfreich?

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.