Image

Das neue AVG-System

Avatar
19 January 2019

Das neue AVG-System

Unternehmen und Organisationen sind damit nur zu beschäftigt, die Allgemeine Datenschutzverordnung (AVG), die am 25. Mai in Kraft treten wird. Das AVG wird auch als Allgemeine Datenschutzverordnung (GDPR) bezeichnet. Dieser Blog beschreibt, wie EventInsight die Schritte beschrieben hat, die erforderlich sind, um AVG-konform zu werden. Zusammengefasst? Eigentlich war alles nicht so schlimm; unsere Arbeitsmethode bleibt fast unverändert, aber sie ist nur etwas enger geworden, was die Garantien in Bezug auf die Privatsphäre verbessert hat. Ich denke daher, dass das AVG eine gute Ergänzung zur Sicherheit der Daten ist.

Da ich selbst nicht immer die Geduld habe, alles ausführlich zu lesen, habe ich für den schnellen Leser eine kurze Zusammenfassung (hier klicken) gemacht, in der der Kern dieses Blogs deutlich wird.

Inventar & Fundament

Zunächst haben wir uns angesehen, welche personenbezogenen Daten wir alle verwenden. Wir definieren eine Unterscheidung zwischen den Nutzern unserer App und den Nutzern der App. Um personenbezogene Daten speichern zu können, benötigen Sie eine Grundlage. Wir sind berechtigt, einen Teil der Daten zu speichern, da dies eine Voraussetzung für die Durchführung des Vertrages ist. Dies ist z.B. die E-Mail-Adresse. Ohne eine E-Mail-Adresse können wir Ihr Konto nicht zurücksetzen. Wir sind nicht berechtigt, einen anderen Teil der Daten einfach so zu speichern. Wir bitten daher um ausdrückliche Zustimmung. Unser Geschäftsmodell besteht darin, Ereignisse durch unsere App zu verbessern, und wir haben kein kommerzielles Interesse an den Daten. Wir haben alle Daten sorgfältig daraufhin überprüft, ob sie für eine rechtliche Verpflichtung, für die Durchführung des Vertrages oder für Daten, für die eine ausdrückliche Zustimmung erforderlich ist, erforderlich sind. Für die Daten, für die eine Erlaubnis angefordert werden muss, wird beim Anlegen eines Kontos eine ausdrückliche Erlaubnis eingeholt. Selbstverständlich können Sie als Nutzer Ihre Einwilligung jederzeit widerrufen. Die Aufzählung der von uns verwendeten Daten und die Grundsätze sind in unserer Datenschutzerklärung enthalten.

Lagerdauer

Vor der Erstellung eines Kontos muss der Benutzer wissen, wie lange die Daten gespeichert werden. Mit EventInsight ist das etwas knifflig, da es von den Wünschen des Kunden abhängt. Um den Anforderungen der AVG gerecht zu werden, haben wir uns schließlich entschlossen, sie für maximal drei Monate nach Ende der Veranstaltung zu speichern. Der Kunde kann diesen Zeitraum jederzeit selbst begrenzen.

Sicherheitsrichtlinien

Ein wichtiger Aspekt des AVG ist die Sicherheit personenbezogener Daten. EventInsight verwendet Privacy by Design und Privacy by Default. Dahinter steht die Idee, dass wir bei der Einrichtung und Gestaltung des Produkts den Datenschutz und die Verarbeitung der Daten standardmäßig berücksichtigen. Dadurch wird sichergestellt, dass wir sowohl bewusst als auch unbewusst die Privatsphäre unserer Nutzer gewährleisten können. So haben wir beispielsweise die folgenden Maßnahmen ergriffen:

  • Alle Daten werden immer in separaten Datenbanken gespeichert. Im unwahrscheinlichen Fall eines Lecks über einen Kunden sind die Daten der anderen Kunden und Nutzer weiterhin gesichert.
  • Der gesamte Datenverkehr zu und zwischen unserem Server erfolgt verschlüsselt über SSL. Dies macht es ungewollten Dritten unmöglich, die Daten einzusehen.
  • Der Root-Zugriff auf unsere Server ist eingeschränkt. Bei EventInsight sind nur zwei Personen berechtigt.
  • Wenn unsere Supportmitarbeiter Zugang zur Umgebung unserer Kunden erhalten müssen, wird die Genehmigung für einen Zeitraum von jeweils 24 Stunden erteilt. Dieser Zugriff wird protokolliert, so dass Sie später genau sehen können, wer darauf zugegriffen hat. Wenn ein Mitarbeiter das Unternehmen verlässt, wird er automatisch disqualifiziert, da der Zugang immer innerhalb von 24 Stunden erfolgt.
  • Nur Supportmitarbeiter und die beiden Berechtigten für den Root-Zugriff haben möglichen Zugriff auf die Daten von Kunden. Partnerschaftsberater, Datenerfassungsmitarbeiter und die Verwaltung haben absolut keinen Zugang.
  • Alle unsere Mitarbeiter haben eine Vertraulichkeitsvereinbarung über die Vertraulichkeit der von ihnen angezeigten Daten unterzeichnet.
  • Es wurden mehrere automatische Kontrollmechanismen implementiert. Sollten auf unserem Server abweichende oder unerwartete Aktivitäten auftreten, werden diese auf unseren Warnbildschirmen im Büro angezeigt.

Verarbeitung durch Dritte

EventInsight speichert die Daten seiner Kunden und Kunden in den Niederlanden. Um genau zu sein, bei TransIP in Nordholland. Nach Angaben der niederländischen Datenschutzbehörde ist es notwendig, Verarbeitungsverträge mit anderen Parteien abzuschließen, bei denen Daten gespeichert werden.

Obwohl TransIP selbst keinen Root-Zugriff auf unsere Server und damit keinen Zugriff auf unsere Daten hat, haben wir mit ihnen einen Prozessorvertrag abgeschlossen, nur um sicher zu gehen. So können Sie sicher sein, dass unsere Daten in der richtigen Weise verarbeitet werden. Die Daten werden immer von uns selbst verwaltet und es gibt keine anderen Bearbeiter.

Richtlinie für Datenlecks

Seit 2016 besteht die Meldepflicht für Datenlecks. Das Neue am AVG ist, dass wir jedes Datenleck intern registrieren müssen, auch solche, die nicht gemeldet werden müssen, einschließlich eines Verbesserungsplans, um sicherzustellen, dass es nicht wieder auftritt. Diese Registrierung muss der Aufsichtsbehörde auf Anfrage zur Einsichtnahme zur Verfügung stehen. EventInsight hat zu diesem Zweck ein Register erstellt und geht davon aus, dass es immer leer bleibt.

Übersetzung in eine Datenschutzerklärung

Wir haben alles oben genannte in eine Datenschutzerklärung übersetzt. Dies wird im Appstore & Google Play Store angezeigt, so dass jeder Nutzer weiß, welche Berechtigung erteilt wird. Je nach Wahl des Kunden wird die Datenschutzerklärung beim Einloggen in unsere Anwendung erneut explizit angezeigt. Der Kunde kann somit wählen, wie die Nutzer mit der Datenschutzerklärung einverstanden sind.

Wir verstehen, dass lange Anweisungen nicht gelesen werden und haben daher das Wesen dieser Aussage fett gedruckt. Das spart viel Zeit und gibt die gewünschte Klarheit.

Was bedeutet das für Sie, wenn Sie uns eine Event-App erstellen lassen?

Für Sie bedeutet das neue AVG, dass Sie bei der Einrichtung einer neuen Anwendung einen Prozessorvertrag mit uns abschließen. Wir haben das bereits für Sie vorbereitet und Sie müssen es nicht selbst einrichten. Gerne erklären wir Ihnen, was die Bestimmungen enthalten.

Checkliste

Zusammen mit Slim Legal Advice haben wir eine Checkliste ausgefüllt, um ihr den letzten Schliff zu geben:

  1. Wir haben die Datenschutzerklärung um die neuen Bestimmungen ergänzt, um den Anforderungen des AVG gerecht zu werden.
  2. Wir haben eine E-Mail-Adresse angegeben und ein Verfahren geschaffen, mit dem Benutzer/Kunden einen Inspektionsantrag stellen können.
  3. Unsere Mitarbeiter haben eine Vertraulichkeitsvereinbarung über die Vertraulichkeit der von ihnen angezeigten Informationen unterzeichnet.
  4. Wir haben die Grundlagen der von uns angeforderten Daten überprüft.
  5. Wir haben überprüft, dass unsere Dienstleistungen so konzipiert sind, dass sie den Datenschutz gewährleisten.
  6. Wir haben ein Register der Verarbeitungsaktivitäten eingerichtet.
  7. Wir haben mit den notwendigen Parteien einen Verarbeitungsvertrag abgeschlossen.

War das alles?

Das war alles, was unsere Anwender und Kunden zu tun haben. Das neue AVG gilt aber auch für unsere Mitarbeiter, was auch bedeutet, dass wir intern Änderungen vornehmen mussten, um konform zu werden. So haben wir beispielsweise auch einen Prozessorvertrag mit unserem Verwaltungsbüro abgeschlossen. Aber dieser Blog ist jetzt lang genug, so dass wir Ihnen die internen Maßnahmen, die wir ergriffen haben, ersparen werden. Natürlich erklären wir sie Ihnen gerne in unserem Büro bei einer Tasse Kaffee!

Die Zukunft

Ich freue mich, dass EventInsight wieder zukunftsfähig ist und eine noch bessere Garantie für die Daten unserer Nutzer und Kunden bieten kann. Bei EventInsight sind wir immer offen für Vorschläge zu unserer Datenschutzerklärung und mögen es, wenn Menschen mit uns mitdenken wollen. Auf diese Weise bleiben wir scharf und können das Beste für unsere Nutzer garantieren!

Zusammenfassung

Alle personenbezogenen Daten, die wir verwenden, sind abgebildet. Wir haben auch die Zwecke festgelegt, für die diese Informationen verwendet werden. Die Risiken der Verarbeitung wurden bewertet. Grundsätzlich verarbeitet keine andere Partei unsere Daten. Dennoch wurde mit unserem Hostingpartner ein Verarbeitungsvertrag abgeschlossen. Alles ist in unserer Datenschutzerklärung, die Sie hier finden, ordentlich beschrieben.) Eine Kanzlei, die sich mit dem AVG befasst, hat dies alles geprüft und genehmigt.

Alle Daten werden spätestens drei Monate nach einer Veranstaltung gelöscht, aber wir überlassen es der Organisation einer Veranstaltung, dies früher zu tun. Dies kann auch direkt nach der Veranstaltung erfolgen. Natürlich kann jeder Benutzer, dessen Daten sich in unserem System befinden, dies auch jederzeit anzeigen. EventInsight stellt die Privatsphäre der Benutzer und Käufer der App in den Vordergrund. Unser Geschäftsmodell besteht darin, Ereignisse durch unsere App zu verbessern, und wir haben kein kommerzielles Interesse an den Daten. Für uns bedeutet das, dass gelöschte Daten tatsächlich gelöscht werden.

Blogs

Bekijk onze blogs!
arrow-up icon