Kunden und die DSGVO / Informationen zum Datenschutz

Einleitung

Am 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in allen europäischen Mitgliedstaaten in Kraft getreten. Trotz des Austritts des Vereinigten Königreichs aus der EU lautet die aktuelle Leitlinie, dass die DSGVO nach wie vor für das Vereinigte Königreich auf der Grundlage vergleichbarer inländischer Gesetze oder der Teilnahme am Binnenmarkt anwendbar ist.

Die DSGVO wurde speziell erarbeitet, um die Datenverarbeitung des 21. Jahrhunderts zu regeln.

In diesem Dokument stellen wir Ihnen einige der zentralen Punkte der DSGVO vor und erklären, wie wir diese als Auftragsverarbeiter Ihrer Daten umsetzen. Bitte beachten Sie, dass in diesem Dokument nur ausgeführt wird, wie Esendex mit Ihren Daten in seiner Funktion als Auftragsverarbeiter Ihrer Daten umgeht. Um Missverständnisse zu vermeiden, soll hier klargestellt werden, dass es sich dabei um die Daten handelt, die Sie uns zu Kommunikationszwecken übermitteln. Wir beziehen uns in diesem Dokument auf diese Daten als „Endanwender-Daten”, wobei es sich um die Daten handelt, die Sie kontrollieren und uns übermitteln, um in Ihrem Auftrag zu handeln. Weitere Informationen, wie wir als Datenverantwortliche Ihre Daten verarbeiten, erhalten Sie in unserer Datenschutzrichtlinie, die auf unserer Website verfügbar ist.

Einwilligung

Im Rahmen der DSGVO wurden die Maßstäbe für die Nutzung Ihrer Einwilligung als gesetzliche Grundlage zur Verarbeitung Ihrer Daten höher gesetzt. Ihre Einwilligung muss vom Datenverantwortlichen eingeholt, aufgezeichnet und verwaltet werden. Leitlinien zu den Änderungen hinsichtlich der Anforderungen an die Einwilligung laut DSGVO sind vom BfDI erstellt worden, der diese auf seiner Website veröffentlicht hat.

Der von uns zur Verfügung gestellte Service bedeutet, dass Esendex der Auftragsverarbeiter der uns von Ihnen mitgeteilten Informationen zum Zwecke der Kommunikationsübermittlung ist, wobei Sie selbst der Datenverantwortliche sind.

Esendex handelt ausschließlich basierend auf Ihren Anweisungen und verarbeitet Ihre Daten, um Ihren Endanwendern Mitteilungen zu senden. Esendex holt keine Einwilligung von Datensubjekten in Ihrem Namen ein und speichert oder verwaltet diese auch nicht. Sie als Datenverantwortlicher tragen die Verantwortung für die Aufzeichnung der Einwilligung von Datensubjekten, die wir benötigen, um Mitteilungen basierend auf den von Ihnen zur Verfügung gestellten Informationen zu übertragen und müssen bei Bedarf in der Lage sein, dies nachzuweisen. Wir interagieren nicht direkt als Esendex mit Ihren Endanwendern. Alle Mitteilungen werden auf Ihr Gesuch hin versendet, so als ob sie direkt von Ihnen kämen, wobei wir selbst eine „transparente“ Rolle innerhalb des Kommunikationsprozesses spielen.

Aufbewahrung von Daten

Esendex geht davon aus, dass eine übermäßige Aufbewahrung von Daten nicht mit den Datenschutzvorschriften vereinbar ist. Deshalb speichert Esendex Ihre Messaging-Daten nicht länger als zwei Jahre ab dem Datum der Übermittlung der Kommunikation – es sei denn, es wird etwas anderes vereinbart – beispielsweise, wenn eine Zero-Day-Datenaufbewahrung für das Konto angewendet wird.

Alle Felder mit personenbezogenen Daten werden nach Ablauf der Aufbewahrungsfrist bearbeitet, um anschließend dauerhaft gelöscht zu werden. Die Messaging-Daten beschränken sich auf die Mobiltelefonnummer und den Inhalt der Nachricht.

Die Speicherung der personenbezogenen Daten erfolgt sicher, in einer Umgebung mit Zugriffskontrolle, getrennt von allen anderen Netzwerken von Esendex. Die in diesen sicheren Umfeldern verwendete Hardware ist im Besitz von Esendex.

„Download-Daten versendeter Elemente“, die in Microsoft Azure (UK) gespeichert sind, werden 12 Monate lang aufbewahrt und anschließend innerhalb der Azure-Instanz gelöscht.

Von Daten, die über unsere Messaging Studio-Anwendung übertragen werden, werden Kopien in Microsoft Azure im Vereinigten Königreich gespeichert. Die Aufbewahrungsfrist für Berichtsdaten/Analysedaten wird von Ihnen, dem Kunden, festgelegt. Auch Betriebsdaten werden in Azure gespeichert, was im Einklang steht mit der Standard-Aufbewahrungsfrist von Esendex für Messaging-Daten (2 Jahre).

Über unsere Outbound-Voice-Kanäle übertragene Daten werden zwei Jahre lang gespeichert.

Datenschutzmaßnahmen

Esendex ist nach der ISO27001 Norm für Informationssicherheit zertifiziert und agiert dementsprechend. Eine Kopie unseres Zertifikats findet sich hier.

Diese Norm gilt für alle Geschäftsbereiche. Sowohl unsere Büros als auch unsere Produktionsumgebungen werden jährlich von einem externen, akkreditierten Auditor zertifiziert.

Eine kundenseitige Version des Benutzerhandbuchs für unser Information Security Management System (ISMS), in dem diese Maßnahmen ausgeführt werden, steht den Kunden auf Anfrage zur Verfügung. In dem Benutzerhandbuch wird ausgeführt, wie wir Kontrollen im Zusammenhang mit ISO 27001 bei Esendex implementieren. Als allgemeines Beispiel zur Veranschaulichung hat Esendex unter anderem die folgenden Maßnahmen umgesetzt:

Zugangskontrolle
Firewalls
Antivirus
Sicheres Material, einschließlich Laptops und Mobiltelefone
Übertragung von Daten / Verschlüsselung
Backup, Disaster Recovery and Business Continuity

Wir planen regelmäßige Backups, die auch entsprechend ausgeführt werden, um sicherzustellen, dass alle Daten sicher und geschützt gespeichert werden und für eine Wiederherstellung im Fall einer Disaster Recovery-Situation verfügbar sind.

Kontrolle
Mitarbeiterschulungen und Ausbildungen

Alle Mitarbeitenden:

Richtlinien und Verfahren

Ergänzend zu den weiter oben aufgeführten Punkten pflegen, vollstrecken und unterstützen wir Richtlinien und Verfahren basierend auf der Norm ISO27001 für:

All diese Maßnahmen sowie das gesamte ISO-System werden einmal pro Jahr intern vom Compliance-Team und extern von unserer unparteiischen Akkreditierungsstelle geprüft, wobei das Compliance-Team auch auf einer Ad-hoc-Basis Security Sweeps ausführt, um sicherzustellen, dass bestimmte Richtlinien von allen Mitarbeitenden eingehalten werden.

Risiken

Esendex bewertet kontinuierlich alle Risiken. Es werden detaillierte Risikobewertungspläne und Maßnahmenpläne erstellt, die dem Unternehmen dabei helfen sollen, die Auswirkungen und/oder Potenzialität des identifizierten Risikos zu reduzieren. Die Risiken und Maßnahmenpläne werden regelmäßig überarbeitet und wir bewerten die Risiken im Zusammenhang mit unseren Systemen, unseren Mitarbeitenden, Vermögenswerten und Unternehmensabläufen. Esendex beurteilt diesen Bereich im Einklang mit Anforderungen wie der Norm ISO 27001, wobei wir zugleich auf kontinuierliche Verbesserungen Wert legen.

Wir setzen Enterprise Risk Management Software ein, um unseren Ansatz im Bereich Risikomanagement zu unterstützen und zu verbessern. Wir identifizieren Wechselbeziehungen als Risiken für unser Unternehmen und Sicherheitsziele über Risikoregister unter Umsetzung der entsprechenden Maßnahmen, um diese Risiken effizient zu beheben.

Meldung von Verstößen

Esendex wendet alle weiter oben aufgeführten Maßnahmen an, um sicherzustellen, dass Ihre Daten als Teil unserer Datenverarbeitungsaktivitäten abgesichert sind. Wenn eine Datenverletzung auftritt, werden wir Sie unverzüglich über das Sicherheitsproblem informieren, das zu einer Datenverletzung mit Ihren Kundendaten geführt hat.

Wir haben auch:

Datenschutzbeauftragte

Esendex hat ein spezifisches Compliance-Team, das für alle Fragen, Anträge, Probleme und Anfragen zum Thema Datenschutz innerhalb des Unternehmens zuständig ist. Esendex hat auch einen externen Datenschutzbeauftragten benannt, Janz Consulting, um auf Beratungsbasis fachliche Beratung zu leisten.

Fragen zum Thema Datenschutz können Sie mit Ihrem Account Manager besprechen. Zugriffsanfragen von Datensubjekten werden im folgenden Abschnitt ausgeführt.

Rechte von Datensubjekten

In seiner Funktion als Datenauftragsverarbeiter antwortet Esendex nicht direkt auf Fragen eines Ihrer Kunden, dessen Daten wir verarbeitet haben. Wir kontaktieren Sie, um Sie auf die Anfrage hinzuweisen und leisten Ihnen Hilfestellung, um die im Rahmen der DSGVO aufgeführten Vorgaben zu erfüllen. Hier ein paar Beispielfälle, in welchen wir Sie gegebenenfalls unterstützen müssen, um den Rechten eines Datensubjekts gerecht zu werden:

Zugriffsanfragen von Datensubjekten

Datenverantwortliche sind für die Sicherung der Einhaltung der Zugriffsanfragen von Datensubjekten entsprechend den Anforderungen der DSGVO verantwortlich. Der BfDI bietet Datenverantwortlichen Leitlinien als Hilfestellung bei der Erfüllung ihrer Verpflichtungen.

Daten, die Sie an Esendex übermittelt haben, können zu diesem Zweck zur Verfügung gestellt werden, sofern sie noch von uns gespeichert sind. Zugriffsanfragen von Datensubjekten können über unser Formular für Zugriffsanfragen von Datensubjekten gestellt werden. Für Anfragen dieser Art kann eine Gebühr berechnet werden – bitte wenden Sie sich für Einzelheiten an Ihren Account Manager. Zugriffsanfragen von Datensubjekten werden binnen 30 Tagen nach Eingang Ihrer Anfrage erledigt. 

Recht auf Vergessenwerden und Löschen

Datensubjekte haben das Recht, um Löschung ihrer Informationen zu bitten, wenn sie sich gegen eine Verarbeitung entscheiden oder ihre Zustimmung zurückziehen möchten. Im Vereinigten Königreich wurde dieses Recht verwendet, um fehlerhafte Informationen über Datensubjekte anzupassen, wie beispielsweise in Suchergebnissen über Google. Trotz der Verbesserungen gibt es kein absolutes Recht auf Vergessenwerden, aber möglicherweise werden Datenverantwortliche mehr Anträge zum Löschen der Daten erhalten.

Anträge zum Löschen spezifischer Daten können bei Ihrem Account Manager eingereicht werden.

Aufzeichnung von Verarbeitungsaktivitäten

Esendex ist der Datenauftragsverarbeiter aller Kundeninformationen. In dieser Funktion verarbeiten wir Ihre Daten nur basierend auf Ihren Anweisungen und um Ihnen die Kommunikationsdienste zur Verfügung zu stellen, die Teil des zwischen Ihnen und uns abgeschlossenen Vertrags sind. Der einzige Zweck unserer Verarbeitungstätigkeiten ist die Übertragung und Zurverfügungstellung von Kommunikationsdiensten für Ihre Endanwender.

Wir speichern alle Nachrichten, die wir in Ihrem Auftrag und im Einklang mit unserer Datenaufbewahrungsrichtlinie versenden. Wie im Abschnitt „Aufbewahrung von Daten“ ausgeführt, erfolgt die Aufbewahrung maximal über einen Zeitraum von zwei Jahren ab dem Datum der Zusendung einer Mitteilung.

Transfer an Dritte

Esendex leitet Ihre Informationen an Netzwerkbetreiber weiter, um Ihre Mitteilungen auf die Mobilgeräte der Endanwender weiterzuleiten oder auf Netzabschlusspunkten zur Verfügung zu stellen. Diese Art von Transfer ist untrennbar mit der Bereitstellung unserer Produkte und Dienstleistungen verbunden.

Über unsere Voice-Produkte übermittelte Daten werden über einen Session Initiation Protocol (SIP) Stack weitergeleitet, der in unserem Derby Rechenzentrum, Node 4, gehostet wird. Der Rechenzentrum SIP Stack ermöglicht die Verbindung zu Netzwerkanbietern zwecks Bereitstellung von Mitteilungen.

Eine Funktion unseres Services – Download von versendeten Elementen – wird auf Microsoft Azure (UK) gehostet.

Messaging Studio und Rich Content/Communications Service (RCS) Daten werden für einen direkten Einsatz über Microsoft Azure (UK) gehostet.

Für alle von uns genutzten Drittpartei-Netzwerke haben wir eine Due Diligence-Prüfung ausgeführt, um sicherzustellen, dass alle Anbieter angemessene technische und organisatorische Maßnahmen umgesetzt haben, um die Sicherheitsstandards zu gewährleisten, die im Wesentlichen dieselben sind wie jene, die in diesem Dokument für unsere eigene Infrastruktur beschrieben werden.

Wir haben auch Verträge mit allen Dritten abgeschlossen, um die Datenschutzpflichten aller Parteien zu stärken und um die in den zwischen Ihnen und uns in Datenverarbeitungsvereinbarungen ausgeführten Mindestanforderungen zu erweitern.

Datenverarbeitungsvereinbarungen

Esendex hat eine Datenverarbeitungsvereinbarung erarbeitet, die unseren Kunden zur Verfügung steht, um sicherzustellen, dass Sie Ihren Pflichten als Datenverantwortlicher im Rahmen der DSGVO nachkommen. Unsere Datenverarbeitungsvereinbarung wird auf Anfrage über Ihren Account Manager zur Verfügung gestellt.

Datenkarten

Als Teil unseres Datenschutz-Systems hat Esendex ein umfassendes Datenmapping unserer Systeme erstellt, um „Data Lifecycle“ für alle von uns erfassten und kontrollierten personenbezogenen Daten zur Verfügung zu stellen. Kundenseitige Versionen unserer Datenkarten stehen auf Anfrage zur Verfügung, um Ihnen bei der Erfüllung Ihrer Pflichten im Rahmen der Rechenschaftspflicht der DSGVO zu helfen. Derartige Anträge können über ihren Account Manager eingereicht werden, der Ihnen spezielle Datenkarten zu den von uns angebotenen und von Ihnen genutzten Produkten und Dienstleistungen weiterleiten kann.

Datenschutzfolgenabschätzungen

Im Zusammenhang mit bestimmten Datenverarbeitungsvorgängen ist gegebenenfalls die Durchführung einer Datenschutzfolgeabschätzung seitens unserer Kunden notwendig, um sicherzustellen, dass die Rechte und Freiheiten der Datensubjekte berücksichtigt wurden, bevor die angebotenen Datenverarbeitungsaktivitäten durchgeführt werden. Esendex ist ein Anbieter für Business-Kommunikation und hat keine Einblicke in die von Ihnen über unsere Plattform gesendeten Inhalte. Wenn Ihre Datenverarbeitungsaktivitäten mit hohen Risiken verbunden sind oder Sie spezielle Datenkategorien verarbeiten, benötigen Sie gegebenenfalls unseren Input für Ihre Datenschutzfolgeabschätzungen. Bitte besprechen Sie alles zu diesem Thema mit Ihrem Account Manager.