Kunden und die DSGVO / Informationen zum Datenschutz

Einleitung

Am 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in allen europäischen Mitgliedstaaten in Kraft getreten. Trotz des Austritts des Vereinigten Königreichs aus der EU ist die DSGVO auch hier anwendbar, basierend auf vergleichbaren inländischen Gesetzen oder der Teilnahme am Binnenmarkt.

Die neue Verordnung tritt an die Stelle des Datenschutzgesetzes von 1998 (DPA), das zu einer Zeit entwickelt wurde, in welcher der Großteil der Datenverarbeitung noch im Papierformat erfolgte. Damals kannte man auch noch nicht den Einfluss, den die Technologie auf die Art und Weise der Datenverarbeitung haben würde.

Die DSGVO wurde speziell erarbeitet, um die Datenverarbeitung des 21. Jahrhunderts zu regeln, wobei die Grundlagen weitestgehend auf dem bestehenden Datenschutzgesetz basieren. Dennoch wurden verschiedene zentrale Änderungen und Verbesserungen umgesetzt, die Sie in ihrem vollen Umfang verstehen sollten, um auch mit dem neuen Gesetz weiterhin im Einklang zu bleiben.

In diesem Dokument stellen wir Ihnen einige der zentralen Punkte der DSGVO vor und erklären, wie wir diese als Auftragsverarbeiter Ihrer Daten umsetzen. Bitte beachten Sie, dass in diesem Dokument nur ausgeführt wird, wie Esendex mit Ihren Daten in seiner Funktion als Auftragsverarbeiter Ihrer Daten umgeht. Um Missverständnisse zu vermeiden, soll hier klargestellt werden, dass es sich dabei um die Daten handelt, die Sie uns zu Kommunikationszwecken übermitteln. Wir beziehen uns in diesem Dokument auf diese Daten als „Endanwender-Daten”, wobei es sich um die Daten handelt, die Sie kontrollieren und uns übermitteln, um in Ihrem Auftrag zu handeln. Weitere Informationen zu unserem Umgang mit Ihren Daten in unserer Funktion als Datenverantwortlicher erhalten Sie in unserer Datenschutzrichtlinie, die auf unserer Website verfügbar ist.

Einwilligung

Eine der gesetzlichen Grundlagen für die Verarbeitung von Daten im Rahmen des Datenschutzgesetzes und wahrscheinlich die Grundlage per se für die Verarbeitung von Daten ist die Einwilligung. Im Rahmen der DSGVO wurden die Maßstäbe für die Nutzung Ihrer Einwilligung als gesetzliche Grundlage zur Verarbeitung Ihrer Daten höher gesetzt. Ihre Einwilligung muss jetzt auf eine umfassendere Art und Weise eingeholt, aufgezeichnet und gespeichert werden als basierend auf dem Datenschutzgesetz. Ein Entwurf für ein Hilfsdokument in Bezug auf die Änderungen zu den Einwilligungsvoraussetzungen unter der DSGVO wurde durch das BFDI erarbeitet und soll voraussichtlich Mitte April 2018 fertiggestellt werden.

Der von uns zur Verfügung gestellte Service bedeutet, dass Esendex der Auftragsverarbeiter der von Ihnen an uns übermittelten Daten ist, um mit Ihnen zu kommunizieren, wobei Sie selbst der Datenverantwortliche sind.

Esendex handelt ausschließlich basierend auf Ihren Anweisungen und verarbeitet Ihre Daten, um Ihren Endanwendern Mitteilungen zu senden. Esendex holt keine Einwilligung von Datensubjekten in Ihrem Namen ein und speichert oder verwaltet diese auch nicht. Sie als Datenverantwortlicher tragen die Verantwortung für die Aufzeichnung der Einwilligung von Datensubjekten, die wir benötigen, um Mitteilungen basierend auf den von Ihnen zur Verfügung gestellten Informationen zu übertragen und müssen bei Bedarf in der Lage sein, dies nachzuweisen. Wir interagieren nicht direkt als Esendex mit Ihren Endanwendern. Alle Mitteilungen werden auf Ihr Gesuch hin versendet, so als ob sie direkt von Ihnen kämen, wobei wir selbst eine „transparente“ Rolle innerhalb des Kommunikationsprozesses spielen.

Aufbewahrung von Daten

Esendex geht davon aus, dass eine übermäßige Aufbewahrung von Daten weder mit den alten noch den neuen Datenschutzvorschriften vereinbar ist. Deshalb speichert Esendex Ihre Messaging-Daten nicht länger als zwei Jahre ab dem Datum der Übermittlung der Kommunikation – es sei denn es wird etwas anderes vereinbart – beispielsweise, wenn eine Zero-Day-Datenaufbewahrung für das Konto angewendet wird.

Alle Felder mit personenbezogenen Daten werden nach Ablauf der Aufbewahrungsfrist bearbeitet, um anschließend dauerhaft gelöscht zu werden. Die Messaging-Daten beschränken sich auf die Mobiltelefonnummer und den Inhalt der Nachricht.

Die Speicherung der personenbezogenen Daten erfolgt sicher, in einer Umgebung mit Zugriffskontrolle, getrennt von allen anderen Netzwerken von Esendex. Die in diesen sicheren Umfeldern verwendete Hardware ist im Besitz von Esendex.

Download-Daten versendeter Elemente, die im Amazon Webservice Datacenter in Dublin gespeichert sind, werden 13 Monate lang aufbewahrt und anschließend innerhalb der AWS-Instanz gelöscht.

Von Daten, die über unsere Messaging Studio-Anwendung übertragen werden, werden Kopien in Microsoft Azure im Vereinigten Königreich gespeichert. Die Aufbewahrungsfrist für Berichtsdaten/Analysedaten wird von Ihnen, dem Kunden, festgelegt. Auch Betriebsdaten werden in Azure gespeichert, was im Einklang steht mit der Standard-Aufbewahrungsfrist von Esendex für Messaging-Daten (2 Jahre).

Über unsere Outbound-Voice-Kanäle übertragenen Daten werden zwei Jahre lang gespeichert.

Datenschutzmaßnahmen

Die von Esendex umgesetzten Datenschutzmaßnahmen basieren auf der ISO27001 Norm für Informationssicherheit. Diese Norm gilt für alle Geschäftsbereiche. Sowohl unsere Büros als auch unsere Produktionsumgebungen werden jährlich von einem externen, akkreditierten Auditor zertifiziert.

Eine kundenseitige Version des Benutzerhandbuchs für unser Information Security Management System (ISMS), in dem diese Maßnahmen ausgeführt werden, steht den Kunden auf Anfrage zur Verfügung. In dem Benutzerhandbuch wird ausgeführt, wie wir Kontrollen im Zusammenhang mit ISO 27001 bei Esendex implementieren

Als allgemeines Beispiel zur Veranschaulichung hat Esendex unter anderem die folgenden Maßnahmen umgesetzt:

Zugangskontrolle
Firewalls
Antivirus
Sicheres Material, einschließlich Laptops und Mobiltelefonen
Übertragung von Daten / Verschlüsselung
Backup, Disaster Recovery and Business Continuity

Wir planen regelmäßige Backups, die auch entsprechend ausgeführt werden, um sicherzustellen, dass alle Daten sicher und geschützt gespeichert werden und für eine Wiederherstellung im Fall einer Disaster Recovery-Situation verfügbar sind.

Kontrolle
Mitarbeiterschulungen und Ausbildungen

Alle Mitarbeitenden:

Richtlinien und Verfahren

Ergänzend zu den weiter oben aufgeführten Punkten pflegen, vollstrecken und unterstützen wir Richtlinien und Verfahren basierend auf der Norm ISO27001 für:

All diese Maßnahmen sowie das gesamte ISO-System werden einmal pro Jahr intern vom Compliance-Team geprüft und extern von unserer unparteiischen Akkreditierungsstelle, wobei das Compliance-Team auch auf einer Ad-hoc-Basis Security Sweeps ausführt, um sicherzustellen, dass bestimmte Richtlinien von allen Mitarbeitern eingehalten werden.

Risiken

Esendex bewertet kontinuierlich alle Risiken. Es werden detaillierte Risikobewertungspläne und Maßnahmenpläne erstellt, die dem Unternehmen dabei helfen sollen, die Auswirkungen und/oder Potenzialität des identifizierten Risikos zu reduzieren. Die Risiken und Maßnahmenpläne werden regelmäßig überarbeitet und wir bewerten die Risiken im Zusammenhang mit unseren Systemen, unseren Mitarbeitenden, Vermögenswerten und Unternehmensabläufen. Esendex beurteilt diesen Bereich im Einklang mit Anforderungen wie der Norm ISO 27001, wobei wir zugleich auf kontinuierliche Verbesserungen Wert legen.

Wir setzen Enterprise Risk Management Software ein, um unseren Ansatz im Bereich Risikomanagement zu unterstützen und verbessern. Wir identifizieren Wechselbeziehungen als Risiken für unser Unternehmen und Sicherheitsziele über Risikoregister unter Umsetzung der entsprechenden Maßnahmen, um diese Risiken effizient zu beheben.

Meldung von Verstößen

Esendex wendet alle weiter oben aufgeführten Maßnahmen an, um sicherzustellen, dass Ihre Daten als Teil unserer Datenverarbeitungsaktivitäten abgesichert sind. Kommt es zu einer Datenschutzverletzung informieren wir Sie innerhalb von 24 Stunden nach Feststellung des Sicherheitsproblems, das zu einer Datenschutzverletzung in Bezug auf Kundendaten geführt hat.

Wir haben auch:

Datenschutzbeauftragte

Esendex hat ein spezifisches Compliance-Team, das für alle Fragen, Anträge, Probleme und Anfragen zum Thema Datenschutz innerhalb des Unternehmens zuständig ist. Zum gegenwärtigen Zeitpunkt hat Esendex nicht die Pflicht, im Rahmen der in der DSGVO ausgeführten Kriterien einen Datenschutzbeauftragten zu benennen, wobei jedoch regelmäßig geprüft wird, ob eine solche Stelle notwendig ist.

Fragen zum Thema Datenschutz können Sie mit Ihrem Account Manager besprechen. Zugriffsanfragen von Datensubjekten werden im folgenden Abschnitt ausgeführt.

Rechte von Datensubjekten

In seiner Funktion als Datenauftragsverarbeiter antwortet Esendex nicht direkt auf Fragen eines Ihrer Kunden, dessen Daten wir verarbeitet haben. Wir kontaktieren Sie, um Sie auf die Anfrage hinzuweisen und leisten Ihnen Hilfestellung, um die im Rahmen der DSGVO aufgeführten Vorgaben zu erfüllen. Hier ein paar Beispielfälle, in welchen wir Sie gegebenenfalls unterstützen müssen, um den Rechten eines Datensubjekts gerecht zu werden:

Zugriffsanfragen von Datensubjekten

Dieses Recht wurde vom Datenschutzgesetz übernommen, weshalb dieses Konzept den meisten Datenverantwortlichen ein Begriff sein sollte. Die zentralen Änderungen im Rahmen der DSGVO sind:

Es ist möglich, die an Esendex übertragenen Daten zu diesem Zweck verfügbar zu machen, insofern Sie noch bei uns gespeichert werden. Datensubjekt-Zugriffsanfragen können über unser Datensubjekt-Zugriffsformular bei Esendex eingereicht werden. Für derartige Anträge wird eine Gebühr erhoben – bitte kontaktieren Sie Ihren Account Manager für Einzelheiten. Datensubjekt-Zugriffsanfragen werden innerhalb einer 30-tägigen Frist nach dem Eingang des Antrags verarbeitet.

Recht auf Vergessenwerden und Löschen

Dieses Recht wurde in der DSGVO entschieden verbessert: Datensubjekte haben jetzt das Recht, um Löschung ihrer Informationen zu bitten, wenn sie sich gegen eine Verarbeitung entscheiden oder ihre Zustimmung zurückziehen möchten. Im Vereinigten Königreich wurde dieses Recht verwendet, um fehlerhafte Informationen über Datensubjekte anzupassen, wie beispielsweise in Suchergebnissen über Google. Trotz der Verbesserungen gibt es kein absolutes Recht auf Vergessenwerden, aber möglicherweise werden Datenverantwortliche mehr Anträge zum Löschen der Daten erhalten.

Anträge zum Löschen spezifischer Daten können bei Ihrem Account Manager eingereicht werden.

Aufzeichnung von Verarbeitungsaktivitäten

Esendex ist der Datenauftragsverarbeiter aller Kundeninformationen. In dieser Funktion verarbeiten wir Ihre Daten nur basierend auf Ihren Anweisungen und um Ihnen die Kommunikationsdienste zur Verfügung zu stellen, die Teil des zwischen Ihnen und uns abgeschlossenen Vertrags sind. Der einzige Zweck unserer Verarbeitungstätigkeiten ist die Übertragung und Zurverfügungstellung von Kommunikationsdiensten für Ihre Endanwender.

Wir speichern alle Nachrichten, die wir in Ihrem Auftrag und im Einklang mit unserer Datenaufbewahrungsrichtlinie versenden. Wie im Abschnitt „Aufbewahrung von Daten“ ausgeführt, erfolgt die Aufbewahrung maximal über einen Zeitraum von zwei Jahren ab dem Datum der Zusendung einer Mitteilung.

Transfer an Dritte

Esendex leitet Ihre Informationen an Netzwerkbetreiber weiter, um Ihre Mitteilungen auf die Mobilgeräte der Endanwender weiterzuleiten oder auf Netzabschlusspunkten zur Verfügung zu stellen. Diese Art von Transfer ist untrennbar mit der Bereitstellung unserer Produkte und Dienstleistungen verbunden.

Über unsere Voice-Produkte übermittelte Daten werden über einen Session Initiation Protocol (SIP) Stack weitergeleitet, der in unserem Derby Rechenzentrum, Node 4, gehostet wird. Der Rechenzentrum SIP Stack ermöglicht die Verbindung zu Netzwerkanbietern zwecks Bereitstellung von Mitteilungen.

Eine Funktion unsere Services – Download von versendeten Elementen – wird auf den Amazon Web Services (AWS) Dublin gehostet.

Messaging Studio und Rich Content/Communications Service (RCS) Daten werden für einen direkten Einsatz über Microsoft Azure (UK) gehostet.

Für alle von uns genutzten Drittpartei-Netzwerke haben wir eine Due Diligence-Prüfung ausgeführt, um sicherzustellen, dass alle Anbieter angemessene technische und organisatorische Maßnahmen umgesetzt haben, um die Sicherheitsstandards zu gewährleisten die im Wesentlichen dieselben sind, wie jene, die in diesem Dokument für unsere eigene Infrastruktur beschrieben werden.

Wir haben auch Verträge abgeschlossen (oder sind dabei) mit allen Dritten, um die Datenschutzpflichten aller Parteien zu stärken und um die in den zwischen Ihnen und uns in Datenverarbeitungsvereinbarungen ausgeführten Mindestanforderungen zu erweitern.

Datenverarbeitungsvereinbarungen

Esendex hat eine Datenverarbeitungsvereinbarung erarbeitet, die unseren Kunden zur Verfügung steht, um sicherzustellen, dass Sie Ihren Pflichten als Datenverantwortlicher im Rahmen der DSGVO nachkommen. Unsere Datenverarbeitungsvereinbarung wird auf Anfrage über Ihren Account Manager zur Verfügung gestellt und ist Teil unserer aktualisierten Nutzungsbedingungen, die hier zur Verfügung stehen.

Datenkarten

Als Teil unseres Datenschutz-Systems hat Esendex ein umfassendes Datenmapping unserer Systeme erstellt, um „Data Lifecycle“ für alle von uns erfassten und kontrollierten personenbezogenen Daten zur Verfügung zu stellen. In den kommenden Wochen werden kundenseitige Versionen unserer Datenkarten erstellt, die auf Anfrage zu Verfügung gestellt werden, um Ihnen bei der Erfüllung Ihrer Pflichten im Rahmen der Rechenschaftspflicht der DSGVO zu helfen. Derartige Anträge können über ihren Account Manager eingereicht werden, der Ihnen spezielle Datenkarten zu den von uns angebotenen und von Ihnen genutzten Produkten und Dienstleistungen weiterleiten kann.

Datenschutzfolgenabschätzungen

Im Zusammenhang mit bestimmten Datenverarbeitungsvorgängen ist gegebenenfalls die Durchführung einer Datenschutzfolgeabschätzung seitens unserer Kunden notwendig, um sicherzustellen, dass die Rechte und Freiheiten der Datensubjekte berücksichtigt wurden, bevor die angebotenen Datenverarbeitungsaktivitäten durchgeführt werden. Esendex ist ein Anbieter für Business-Kommunikation und hat keine Einblicke in die von Ihnen über unsere Plattform gesendeten Inhalte. Wenn Ihre Datenverarbeitungsaktivitäten mit hohen Risiken verbunden sind oder Sie spezielle Datenkategorien verarbeiten, benötigen Sie gegebenenfalls unseren Input für Ihre Datenschutzfolgeabschätzungen. Bitte besprechen Sie alles zu diesem Thema mit Ihrem Account Manager.