EU-Datenschutz-Grundverordnung (EU-DS-GVO)

Die neue EU-Datenschutz-Grundverordnung (EU-DS-GVO) greift ab dem 25. Mai 2018. Auf dieser Seite informieren wir dich über die Grundsätze der Verordnung, über Dr. Planos Maßnahmen und natürlich darüber, worauf du als Hallenbetreiber bzw. Betrieb achten solltest. Wenn du mit uns eine Vereinbarung zur Auftragsverarbeitung (AVV) abschließen möchtest, dann schaue dir bitte die Erklärungen am Ende dieser Seite an. Unsere Datenschutzerklärung findest du hier.

Grundsätze der EU-DS-GVO und Dr. Planos Maßnahmen

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Die Daten sollen rechtmäßig, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Das Einwilligungs-, Auskunfts- sowie Widerrufsrecht sollen die Transparenz garantieren.

Was wir tun

Wir als Unternehmen sind aus der Sicht der DS-GVO ein sogenannter „Auftragsverarbeiter“, da wir im Auftrag eines „Verantwortlichen“ (einer Kletter- oder Boulderhalle oder eines anderen Betriebes) personenbezogene Daten verarbeiten. Für die Erhebung der personenbezogenen Daten und deren Rechtmäßigkeit ist der verantwortliche Betrieb selbst zuständig. Der Zweck dieser Datenverarbeitung ist die Schichtplanung und die Organisation des Buchungssystems in dem jeweiligen Betrieb. Wir haben bei uns eine Ansprechperson, die wegen allen datenschutzrechtlichen Fragen konsultiert werden kann.

Masoud ist deine Ansprechperson bei DatenschutzfragenMasoudmasoud@dr-plano.comGDD Member

Zweckbindung

Daten werden für einen festgelegten und eindeutigen Zweck erhoben und dürfen nicht in einer mit diesem Zwecke nicht zu vereinbarenden Weise weiterverarbeitet werden.

Was wir tun

Die personenbezogenen Daten werden allein zum Zweck der Schichtplanung und der Organisation des Buchungssystems vom verantwortlichen Betrieb erhoben und verarbeitet. Wir selbst erheben keine separaten personenbezogenen Daten. Außerdem verarbeiten wir diese Daten weder für andere Zwecke, noch geben wir sie an Dritte weiter. Dazu gehört ebenso, dass wir Daten unser Kunden nicht untereinander austauschen. Die Kundendaten bleiben strikt getrennt voneinander.

Datenminimierung

So wenig Daten wie möglich – so viel Daten wie nötig.

Was wir tun

Dr. Plano als Auftragsverarbeiter verarbeitet nur diejenigen personenbezogenen Daten, die für die Betriebsorganisation notwendig sind. Für uns gilt dabei das Prinzip von „Privacy by Design“. Das bedeutet, dass wir so wenig Daten wie möglich und so viel Daten wie nötig verarbeiten, um erst gar nicht einen Datenkraken entstehen zu lassen. Gleichzeitig sollen so wenige Personen wie möglich und so viele Personen wie nötig Zugriff auf diese personenbezogenen Daten erhalten.

Speicherbegrenzung – Das Recht auf Vergessenwerden

Daten sollen so lange aufbewahrt werden, wie der Zweck der Verarbeitung sowie die gesetzlichen Aufbewahrungspflichten es für notwendig erachten.

Was wir tun

Auch hier gilt für uns das Prinzip von „Privacy by Design“. In unserer Softwareentwicklung versuchen wir stets Datenmüll zu vermeiden. So sollen Daten nur so lange aufgehoben werden, wie sie dem Zweck der Verarbeitung dienlich sind oder gesetzliche Aufbewahrungs- und Dokumentationsfristen es vorschreiben. Wir werden regelmäßig unseren Kunden anbieten, ihre alten Daten automatisch löschen zu lassen. Zusätzlich zu dieser regelmäßigen Löschoption können sich die Betriebe an unsere Ansprechperson für Datenschutzfragen wenden, um einen unverzüglichen Löschvorgang zu beauftragen.

Integrität und Vertraulichkeit

Bei der Verarbeitung personenbezogener Daten muss höchste Sicherheit gelten. Vor allem müssen die Daten vor Zugriff unbefugter Personen geschützt sein.

Was wir tun

Für eine höchstmögliche Sicherheit der personenbezogenen Daten haben wir folgende Vorkehrungsmaßnahmen getroffen:

  • Subunternehmen gehören nicht zu unserer Unternehmensstruktur. So wissen wir immer, wer Zugriff auf die personenbezogenen Daten unserer Kunden hat.
  • Unser Server ist in Frankfurt angesiedelt und damit den deutschen bzw. europäischen Datenschutz- und Sicherheitsregeln unterworfen.
  • Die Übertragung der Daten erfolgt immer SSL-Verschlüsselt, um Unbefugten den Zugriff auf die Daten zu verwehren.
  • Bei der Wahl unserer eigenen Auftragsverarbeiter (Unterauftragnehmer) bevorzugen wir vor allem solche mit Sitz in Deutschland, um durch die strengeren deutschen Gesetze eine höhere Sicherheit zu gewährleisten. Aktuell haben fast alle unsere Auftragsverarbeiter einen Sitz in Deutschland oder in der EU. Auch für sie gilt die neue DS-GVO. Darauf legen wir großen Wert. Falls wir dennoch mit einem Partner zusammenarbeiten sollten, der sich in einem Land außerhalb der EU befindet, so achten wir darauf, dass er sich zur DS-GVO oder gleichwerten Standards verpflichtet oder dass ein Angemessenheitsbeschluss der EU-Kommission vorhanden ist.

Diese Maßnahmen für Datensicherheit optimieren und erweitern wir stetig.

Recht auf Datenübertragbarkeit

Betroffene haben in Zukunft das Recht, ihre personenbezogenen Daten, die sie für die Verarbeitung bereitgestellt haben, in einem gängigen und maschinenlesbaren Format zu erhalten.

Was wir tun

Mithilfe unserer Exportfunktion können viele relevanten Daten selbstständig heruntergeladen werden. Weitere personenbezogene Daten können auf Anfrage in Form einer elektronischen Datei (Excel-Tabelle) geliefert werden. Auch hier hilft unsere Ansprechperson für Datenschutzfragen weiter.

Eure Maßnahmen für EU-DS-GVO

Verantwortung gegenüber euren Kunden und Angestellten

Euer Betrieb ist hauptverantwortlich in Sachen Datenschutz und Umgang mit personenbezogenen Daten; schließlich erhebt ihr selbst die Daten von euren Kunden und Mitarbeitenden. Daher solltet ihr prüfen, ob ihr die folgenden von der EU-Datenschutz-Grundverordnung festgelegten Auflagen erfüllen müsst:

  • Ob ihr ein „Verzeichnis aller Verarbeitungstätigkeiten“ (VVT) mit personenbezogenen Daten erstellen müsst. Das VVT muss alle Tätigkeiten enthalten, bspw. Marketing & Vertrieb, die personenbezogene Daten verarbeiten.
  • Ob ihr einen Datenschutzbeauftragten bestellen müsst. Dieser wäre nicht nur der Ansprechpartner für Personen, deren Daten verarbeitet werden, sondern auch für die Aufsichtsbehörden. Falls ihr keinen Datenschutzbeauftragten bestellen müsst, solltet ihr in eurem Betrieb eine Ansprechperson für personenbezogenen Daten bekannt geben.
  • Ob ihr eine Datenschutz-Folgenabschätzung (DSFA) durchführen müsst. Das ist nur bei hochsensiblen, personenbezogenen Daten angebracht, um vor der Datenverarbeitung das damit einhergehende Risiko einschätzen zu können.

Ob ihr diese Auflagen erfüllen müsst, entnehmt ihr den Kriterien in den Kurzpapieren der Datenschutzkonferenz (DSK).

Auf jeden Fall müsst ihr immer Einwilligungserklärungen zur Verarbeitung der personenbezogenen Daten einholen – bei euren Kunden und Mitarbeitenden.

Verantwortung gegenüber euren „Auftragsverarbeitern“

Gemäß DS-GVO seid ihr als Hallenbetreiber verantwortlich für die personenbezogenen Daten. Deshalb müsst ihr anhand folgender Fragen überprüfen, ob eure sogenannten Auftragsverarbeiter – z.B. Dr. Plano – angemessen mit den personenbezogenen Daten umgehen:

  • Werden die Daten zweckgemäß verarbeitet?
  • Werden die Daten auch nicht an Dritte weitergegeben?
  • Welche Antworten geben die Auftragsverarbeiter auf die DS-GVO? Halten sie die Verordnung ein?

Um diese Dinge sicherzustellen, solltet ihr mit euren Auftragsverarbeitern einen Vertrag in schriftlicher oder elektronischer Form abschließen.

Vereinbarung mit Dr. Plano zur Auftragsverarbeitung (AVV)

Du kannst mit uns eine Vereinbarung zur Auftragsverarbeitung ganz einfach online und papierlos abschließen. Bitte befolge diese Schritte:

  • Gehe auf diese Seite, um mithilfe unseres Anbieters HelloSign die AVV online zu signieren.
  • Nach der Eingabe deiner E-Mailadresse ergänze bitte die Vereinbarung mit deinen Firmendaten (Unternehmensname und Anschrift), deinem Namen sowie deiner Position und dem Ort, Datum und deiner elektronischen Signatur.
  • Die Vereinbarung ist von unserer Seite aus bereits unterzeichnet. Sobald du sie mit deinen Daten ergänzt und elektronisch unterschrieben hast, gilt die Vereinbarung. Unser Anbieter wird dir dann die unterschriebene AVV direkt an die hinterlegte E-Mailadresse versenden.

Eine detaillierte Auflistung unserer technischen und organisatorischen Maßnahmen (TOMs) findest du hier.

Eine detaillierte Auflistung unserer Unterauftragnehmer zur Bereitstellung unserer Dienste findest du hier.