Compilatio legt großen Wert auf den Schutz Ihrer personenbezogenen Daten gemäß der neuen Allgemeinen Verordnung zum Datenschutz (DSGVO).
Bemerkung:
Um die Updates dieses Artikels zu erhalten, klicken Sie bitte auf „Abonnieren“.
Begriffsbestimmungen
Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Für die Verarbeitung Verantwortlicher
Der für die Verarbeitung Verantwortliche ist die natürliche oder juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, die er für einen oder mehrere Zwecke erfasst. Er ist Garant für die Einhaltung der geltenden Gesetzgebung bei seiner/n Verarbeitung(en).
Dienst
ein oder mehrere von Compilatio erbrachte/r Dienst(e)
Nutzer
Person mit individuellem und persönlichem Zugang zu einer oder mehreren von Compilatio erbrachten Dienst(e)
Verpflichtungen von Compilatio
Gemäß Artikel 28 der DSGVO verpflichtet sich Compilatio :
- Auftragsverarbeiter in Anspruch zu nehmen, welche ausreichende Garantien (in Bezug auf den Einsatz von technischen und organisationalen Maßnahmen) vorweisen, um Verarbeitungen von personenbezogenen Daten (pb-Daten) auszuführen
- die gesamte Verantwortung in Bezug auf die Auftragsverarbeiter zu übernehmen und den Kunden einen Monat im Voraus über jegliche Änderung in der Liste der Auftragsverarbeiter zu informieren
- personenbezogene Daten nur infolge von dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen zu verarbeiten (einschließlich Übermittlungen)
- sicherzustellen, dass alle Personen, die möglicherweise Pb-Daten verarbeiten müssen, sich verpflichten, die Vertraulichkeit dieser pb-Daten zu wahren
- sicherzustellen, dass zur Verarbeitung von pb-Daten angemessene und den Risiken angepasste (technische und organisatorische) Sicherheitsmaßnahmen garantiert werden
- den für die Verarbeitung Verantwortlichen bei seinen Verpflichtungen zu unterstützen, den Anfragen von betroffenen Personen auf Ausübung ihrer Rechte nachzukommen
- die Anforderungen der DSGVO zu erfüllen, wenn ein Risiko einer Datenverletzung besteht (Kommunikation und Unterstützung des für die Verarbeitung Verantwortlichen)
- den für die Verarbeitung Verantwortlichen bei der Datenschutz-Folgenabschätzung und beim Austausch mit Kontrollbehörden zu unterstützen
- Pb-Daten innerhalb von 6 Monaten nach Ende der Geschäftsbeziehung für Dienstleistungen zu löschen (oder auf Anfrage zurückzugeben)
- den für die Verarbeitung Verantwortlichen beim Nachweis der Konformität mit der DSGVO zu unterstützen
Verantwortung des Nutzers
Der Nutzer gilt als der für die Verarbeitung seiner persönlichen Daten Verantwortliche. Daher stellt ihm Compilatio Schnittstellen, Tools und/ oder Methoden zur Verfügung, mit dem er alle seine Daten ansehen, ändern, exportieren oder löschen kann.
Als Nutzer eines Dienstes definieren Sie, zu welchem Zweck Sie die Verarbeitung Ihrer personenbezogenen Daten durch einen Compilatio Dienst anfordern. Aus diesem Grund sind Sie allein verantwortlich für die Folgen, die diese Behandlung haben könnte, falls die Rechte und Freiheiten Dritter nicht eingehalten würden.
Ausführung der Verarbeitung
Als Auftragsverarbeiter führt Compilatio Verarbeitungen auf explizite und dokumentierte Anfrage des Nutzers aus. Die Dokumentation erfolgt immer dann, wenn eine in der Schnittstelle vorgesehene Funktionalität genutzt, eine Support-Anfrage verfasst wird, der Nutzer eine E-Mail sendet oder wenn ein Teammitglied von Compilatio einen Bericht über ein Telefongespräch verfasst.
Hosting und Verarbeitung personenbezogener Daten
Die personenbezogenen Daten der Nutzer werden auf Serverzentren gehostet, die von den folgenden Unternehmen verwaltet werden.
Liste der von Compilatio verwendeten Hosting- und Datenverarbeitungs-Anbieter für:
Funktionsweise der Dienste
OVH
DSGVO-Konformität: [DE] https://www.ovh.de/schutz-personenbezogener-daten/gdpr.xml
Standorte der Rechenzentren: [DE] https://www.ovh.de/unternehmen/rechenzentren.xml
Es werden namentlich die Rechenzentren in Frankreich verwendet.
Austausch von Daten und Dokumenten auf elektronischem Weg (insbesondere per E-Mail) für den Dialog mit dem Support-Dienst
ZENDESK
DSGVO-Konformität: [DE]
https://www.zendesk.de/company/customers-partners/eu-data-protection/
Es werden namentlich die Rechenzentren in Europa verwendet.
Zu den Rechenzentren: [DE]
https://www.zendesk.de/company/policies-procedures/regional-data-hosting-policy/?_ga=2.62461221.869026094.1526626474-1409778426.1526626474
Austausch von Daten und Dokumenten mit Mitgliedern der Firma Compilatio
GOOGLE – SERVICE G-SUITE
DSGVO-Konformität: [EN]
https://gsuite.google.fr/intl/fr/terms/dpa_terms.html
Standorte der Rechenzentren: [EN]
https://www.google.com/about/datacenters/inside/locations/index.html
ZOHO CORP. – SERVICE ZOHO ONE
DSGVO-Konformität: [DE]https://www.zoho.eu/de/gdpr.html
Es werden namentlich die Rechenzentren in Europa verwendet.
Zu den Rechenzentren: [EN]
https://www.zoho.com/general/blog/zoho-data-centers-in-europe.html
Security Policy:
https://www.zoho.eu/security.html
Vertraulichkeit der Daten
Alle Mitarbeitenden der Firma Compilatio SAS, die mit personenbezogenen Daten in Kontakt kommen könnten, sind durch eine vertragliche Vertraulichkeitsklausel zur absoluten Vertraulichkeit verpflichtet.
Compilatio verpflichtet sich, die Nutzerdaten nicht zu anderen Zwecken als zur Gestaltung, Durchführung, Wartung und Verbesserung der Dienste des Unternehmens zu verwenden oder zu übertragen.
Sicherheit der Daten
Den folgenden Sicherheitsaspekten wird eine besondere Aufmerksamkeit gewidmet:
-
Widerstandsfähigkeit – funktions- und leistungsfähig bleiben, auch wenn ein oder mehrere Server ausfallen
-
Verfügbarkeit – die Daten bleiben jederzeit zugänglich, auch wenn ein oder mehrere Server ausfallen
-
Fortbestand – die Fähigkeit, nach einem Zwischenfall versehentlich beschädigte oder verlorene Daten wiederherzustellen
-
Zugriffskontrolle – die Daten sind nur für Nutzer sowie für autorisierte Verarbeitungen zugänglich
Um ein Sicherheitsniveau zu gewährleisten, das angepasst ist an die Datenart und an die Risiken einer Verletzung der Rechte und Freiheiten der Nutzer, ergreift die Compilatio SAS folgende Massnahmen:
- Beschränkung des Zugangs zu den Tools via nominative Konten, die Login und Passwort erfordern.
- Beschränkung des SSH-Zugriffs auf den Server via Login/Passwort
- Ein System, das die IP-Adresse eines Nutzers nach zu vielen erfolglosen Versuchen blockiert
- Tägliche Sicherung der Datenbanken
- Tägliches Backup der Webserver
- Clustering der Datenbank mit Benutzerdokumenten
- TLS-Verschlüsselung der Client/Server-Kommunikation (https)
- Server-Monitoring mit automatischer Fehlerbenachrichtigung.
- Server-Vorfallsverwaltungsprotokoll
- Organisatorische Sicherheitsvorkehrungen wie Zugangsbeschränkung zu Gebäuden durch Badges oder eine Vertraulichkeitsklausel für alle Mitarbeitenden
Vorgehen für die Ausübung der Nutzerrechte
Überblick über die Nutzerrechte in Bezug auf personenbezogene Daten
- Zugriff auf die Daten
- Korrektur der Daten
- Löschen der Daten
- Export der verfügbaren Daten auf einen digitalen Datenträger in einem „strukturierten“ Format (z.B. : .xls-, .csv- oder .xml-Files)
- Begrenzung der Datenverarbeitungen und Einsprache dagegen
Vorgehensweise
Alle personenbezogenen Daten, die während der Nutzung der Compilatio Dienste gesammelt werden, können über die in den Schnittstellen der Dienste zur Verfügung stehenden Funktionen eingesehen und verändert werden.
Die verantwortliche Person für die Datenverarbeitung bei Compilatio SAS ist Herr Frédéric AGNES. Im Falle einer besonderen Anfrage, um Ihre Rechte in Bezug auf die personenbezogenen Daten geltend zu machen, können sie diese über das Formular unter https://support.compilatio.net/hc/de/requests/newoder per E-Mail an die Adresse gdpr@compilatio.net einreichen.
Eigentum der personenbezogenen Daten
Der Nutzer behält das geistige Eigentum über seine personenbezogenen Daten. Nach Ablauf des Vertrags zwischen dem Nutzer und Compilatio oder zwischen der Organisation, zu welcher der Nutzer gehört, und Compilatio werden alle personenbezogenen Daten innerhalb der vertraglich festgelegten Fristen gelöscht.
Bei einem Abonnement für eine Compilatio Dienstleistung, das von einer Organisation abgeschlossen wurde, welche die Dienstleistung ihren Mitgliedern zur Verfügung stellt: Nach dem Löschen eines Nutzerkontos kann die abonnierte Organisation die Dokumente des Nutzers nur aufbewahren, wenn sie nachweisen kann, dass vertraglich festgelegt wurde, dass sie die Rechte an diesen Dokumenten besitzt. Die Konsequenzen einer Verletzung der Rechte über die Dokumente trägt allein die abonnierte Organisation.