Begriffsbestimmungen
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.
Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, analysieren oder vorherzusagen.
Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Verantwortlicher oder für die Verarbeitung Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.
Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
Einwilligung ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Vereinbarung Auftragsverarbeitung (AV)
1.1
Im Rahmen der Leistungserbringung durch die Nutzung der Dlubal Software, einschließlich Support und Service (nachfolgend einheitlich „Vertrag“ genannt) ist es erforderlich, dass der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers oder sonstiger Dritter erhält.
1.2
Alle Begrifflichkeiten dieser Vereinbarung AV werden im Sinn und dem Verständnis nach der europäischen Datenschutzgrundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates) verwendet.
1.3
Im Falle eines Widerspruchs zwischen den Bestimmungen dieser Vereinbarung AV und denjenigen des Vertrags gehen die Bestimmungen dieser Vereinbarung AV denjenigen des Vertrages vor.
2.1
Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 28, 29 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt im datenschutzrechtlichen Sinn Verantwortlicher („Herr der Daten“) und ist für die Rechtmäßigkeit der auftragsgemäßen Verarbeitung der personenbezogenen Daten verantwortlich.
2.2
Die Verarbeitung der personenbezogenen Daten hat ausschließlich und vollständig innerhalb eines Mitgliedstaates der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum und in der/dem in Anhang 1 dieser Vereinbarung AV abschließend festgelegten Art und Zweck zu erfolgen. Die Verarbeitung der personenbezogenen Daten umfasst die in Anhang 1 dieser Vereinbarung AV abschließend festgelegte Art der personenbezogenen Daten und die dort festgelegten Kategorien der durch die Verarbeitung betroffenen Personen.
2.3
Der Auftragnehmer erwirbt an den personenbezogenen Daten keine Rechte und ist auf Verlangen des Auftraggebers jederzeit zur Herausgabe der personenbezogenen Daten verpflichtet. Zurückbehaltungsrechte in Bezug auf die personenbezogenen Daten sind ausgeschlossen. Der Auftragnehmer ist verpflichtet, auf Weisung des Auftraggebers personenbezogenen Daten zu berichtigen oder deren Verarbeitung einzuschränken.
2.4
Der Auftragnehmer ist verpflichtet, den Weisungen aus dem Vertrag und den im Einzelfall von der Geschäftsführung sowie dem Datenschutzbeauftragten des Auftraggebers schriftlich erteilten Weisungen des Auftraggebers zur Verarbeitung der personenbezogenen Daten (nachfolgend einheitlich „datenschutzrechtliche Weisungen“ genannt) uneingeschränkt zu folgen. Im Einzelfall erteilte datenschutzrechtliche Weisungen haben schriftlich oder per E-Mail zu erfolgen. In begründeten Einzelfällen können datenschutzrechtliche Weisungen auch mündlich erteilt werden, müssen dann aber vom Auftraggeber zeitnah schriftlich oder per E-Mail bestätigt werden. Ist der Auftragnehmer der Ansicht, dass eine datenschutzrechtliche Weisung gegen gesetzliche Vorschriften und/oder den Vertrag verstößt, so ist der Auftragnehmer verpflichtet, den Auftraggeber hierauf unverzüglich hinzuweisen, sowie berechtigt, die Ausführung der datenschutzrechtlichen Weisung bis zu einer Bestätigung der datenschutzrechtlichen Weisung durch den Auftraggeber auszusetzen.
2.5
Der Auftragnehmer ist gemäß § 38 Abs. 1 S. 1 BDSG n.F. verpflichtet, einen betrieblichen Datenschutzbeauftragten schriftlich zu bestellen. Die Kontaktdaten des betrieblichen Datenschutzbeauftragten des Auftragnehmers sind veröffentlicht auf www.dlubal.com/de/rechtliche-hinweise/datenschutzerklaerung-basisangaben
3.1
Der Auftragnehmer ist zur Wahrung der Vertraulichkeit der Verarbeitung gemäß Art. 28 Abs. 3 S. 2 lit. b, 29 und 32 Abs. 4 DSGVO verpflichtet, die bei der Verarbeitung von personenbezogenen Daten beschäftigten Personen schriftlich zu verpflichten.
3.2
Der Auftragnehmer ist verpflichtet, die Organisation der von ihm zu verantwortenden Prozesse und Maßnahmen derart zu gestalten, dass sie den Anforderungen des Datenschutzes gerecht werden und dass sichergestellt ist, dass personenbezogenen Daten nur entsprechend der durch den Auftraggeber erteilten datenschutzrechtlichen Weisungen verarbeitet werden (insbesondere durch die Trennung der personenbezogenen Daten von Daten anderer Auftraggeber des Auftragnehmers) und nicht unbefugt Dritten zur Kenntnis gelangen können.
3.3
Der Auftragnehmer ist verpflichtet, innerhalb und im Rahmen des ihm nach dem Vertrag zugewiesenen Verantwortungsbereichs die Sicherheit der Verarbeitung gemäß Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO einzuhalten. Er ist verpflichtet geeignete technische und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um Datensicherheit und Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, Integrität, Verfügbarkeit sowie Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und der Zweck der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Vorbehaltlich weiterer datenschutzrechtlicher Weisungen des Auftraggebers gelten mit Abschluss des Vertrages und/oder dieser Vereinbarung AV die in Anhang 2 dieser Vereinbarung AV benannten technischen und organisatorischen Maßnahmen als Maßnahmen im Sinne dieser Ziffer 3.3 dieser Vereinbarung AV.
3.4
Der Auftragnehmer ist verpflichtet, keine personenbezogenen Daten über das zur Erfüllung der Verpflichtungen aus dem Vertrag unbedingt erforderliche Maß hinaus zu verarbeiten (insbesondere nicht unbefugt zu vervielfältigen oder unbefugt an Dritte weiterzugeben).
3.5
Der Auftragnehmer hat ihm überlassene und alle ergänzend verarbeiteten personenbezogenen Daten unwiderruflich in allen Systemen des Auftragnehmers (einschließlich sämtlicher Vervielfältigungen, auch in Archivierungs- und Sicherungsdateien) nach Maßgabe der Bestimmungen des Anhangs 2 dieser Vereinbarung AV zu löschen oder zu vernichten (nachfolgend einheitlich „löschen“ genannt), sobald die Verarbeitung der personenbezogenen Daten nicht mehr für die Erfüllung des Zwecks der Auftragsverarbeitung erforderlich ist.
3.6
Die Löschung von personenbezogenen Daten ist durch den Auftragnehmer zu dokumentieren und dem Auftraggeber gegenüber auf Anfrage schriftlich zu bestätigen. Nicht von dieser Löschpflicht erfasst werden personenbezogene Daten, die aufgrund einer gesetzlichen Aufbewahrungs- und/oder Speicherpflicht aufzubewahren sind. Diese personenbezogenen Daten sind nach den gesetzlichen Bestimmungen in ihrer Verarbeitung einzuschränken und mit Ablauf der Aufbewahrungs- und/oder Speicherpflicht zu löschen.
Im Falle von in Art. 33 und 34 DSGVO bestimmten Ereignissen sowie bei Verstößen des Auftragnehmers oder der beim Auftragnehmer beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder die in dieser Vereinbarung AV nebst ihren Anhängen getroffenen Bestimmungen ist der Auftragnehmer verpflichtet, unverzüglich sämtliche erforderlichen Maßnahmen einzuleiten, um entstandene Gefährdungen für die Integrität und Vertraulichkeit der personenbezogenen Daten auszuschließen. Weiterhin ist der Auftragnehmer in diesen Fällen verpflichtet, dem Auftraggeber sowie dem Datenschutzbeauftragten des Auftraggebers unverzüglich die konkreten Umstände unter Angabe von Ursachen, den genauen Zeitpunkt sowie das Ausmaß des Ereignisses zu melden und die weitere Verarbeitung der personenbezogenen Daten mit dem Auftraggeber abzustimmen.
5.1
Der Auftragnehmer ist berechtigt, Unterauftragnehmer mit der Erfüllung seiner Verpflichtungen zu beauftragen, nachdem der Auftragnehmer den Unterauftragnehmer derart schriftlich verpflichtet hat, wie der Auftragnehmer aufgrund dieser Vereinbarung AV gegenüber dem Auftraggeber verpflichtet ist. Der Auftragnehmer hat den Unterauftragnehmer dabei insbesondere so zu verpflichten, dass der Auftraggeber seine in Ziffer 7 dieser Vereinbarung AV festgelegten Kontrollrechte auch unmittelbar gegenüber dem Unterauftragnehmer geltend machen kann. Als Unterauftragnehmer im Sinne dieser Ziffer 5 gelten nicht mit dem Auftragnehmer arbeitsvertraglich verbundene und bei der Verarbeitung von personenbezogenen Daten beschäftigte Personen, die unter Beachtung von Ziffer 3.1 dieser Vereinbarung AV nachweislich verpflichtet wurden.
5.2
Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
6.1
Soweit der Auftragnehmer Anfragen Dritter (insbesondere von betroffenen Personen) zur Auskunft über die Verarbeitung von personenbezogenen Daten oder Ereignisse, welche die Meldepflicht nach Ziffer 4 dieser Vereinbarung AV auslösen, erhält, ist der Auftragnehmer verpflichtet, den Auftraggeber und den Datenschutzbeauftragten des Auftraggebers unverzüglich über die Anfrage zu informieren. Der Auftragnehmer hat es zu unterlassen, Dritten Auskünfte nach Satz 1 dieser Ziffer 6.1 zu erteilen, es sei denn, er ist gesetzlich zur Erteilung einer solchen Auskunft verpflichtet. Ziffer 6.1 dieser Vereinbarung AV gilt entsprechend, soweit Aufsichtsbehörden beim Auftragnehmer Kontrollen ankündigen oder unangekündigt durchführen.
6.2
Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
7.1
Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO niedergelegten Pflichten zur Verfügung und ermöglicht im erforderlichen Umfang Überprüfungen, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden. Sofern hierbei die Möglichkeit der Kenntnisnahme von vertraulichen Informationen besteht, ist der Auftragnehmer berechtigt, eine Verschwiegenheitserklärung vom Auftraggeber bzw. vom beauftragten Prüfer zu verlangen.
Sofern der Auftraggeber auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel geltend macht, haben der Datenschutzbeauftragte des Auftraggebers und/oder von diesem beauftragte Prüfer das Recht, nach schriftlicher Vorankündigung von in der Regel 14 Kalendertagen die Geschäftsräume des Auftragnehmers zu betreten, um sich von der Einhaltung der einschlägigen gesetzlichen und vertraglichen Datenschutzbestimmungen zu überzeugen. Der Auftragnehmer gewährt dem Datenschutzbeauftragten des Auftraggebers und/oder von diesem beauftragten Dritten in diesem Rahmen die erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.
Für die Ermöglichung von Kontrollen durch den Auftraggeber ist der Auftragnehmer berechtigt, einen angemessenen Vergütungsanspruch geltend machen.
7.2
Der Auftragnehmer ist verpflichtet, dem Auftraggeber vor Beginn der Verarbeitung schriftlich mitzuteilen, ob und in welcher Weise er die in Ziffer 3.2 bis 3.6 dieser Vereinbarung AV festgelegten Maßnahmen umgesetzt hat.
8.1
Der Auftragnehmer ist verpflichtet, den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Art. 16 - 21 DSGVO genannten Rechte von betroffenen Personen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich auf Anfrage zur Verfügung zu stellen.
8.2
Der Auftragnehmer ist weiterhin verpflichtet, den Auftraggeber bei der Durchführung von dessen Datenschutz-Folgeabschätzungen gemäß Art. 35 DSGVO sowie im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde gemäß Art. 36 DSGVO auf Anfrage zu unterstützen.
8.3
Der Auftragnehmer ist verpflichtet, dem Auftraggeber auf Anfrage zeitnah die für die Erstellung des eigenen Verzeichnisses von Verarbeitungstätigkeiten erforderlichen Angaben zu machen.
8.4
Der Auftragnehmer ist verpflichtet, dem Auftraggeber alle notwendigen Dokumentationen zur Einhaltung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu überlassen.
Soweit zwischen den Vertragsparteien nichts anderes ausdrücklich vereinbart ist, gilt diese Vereinbarung AV zeitlich unbefristet. Unbeschadet sonstiger Bestimmungen des Vertrags ist der Auftraggeber berechtigt, den Vertrag und/oder diese Vereinbarung AV jederzeit ohne Einhaltung einer Frist zu kündigen, wenn der Auftragnehmer schwerwiegend gegen eine Bestimmung dieser Vereinbarung AV verstößt, eine datenschutzrechtliche Weisung gemäß Ziffer 2.4 dieser Vereinbarung AV nicht umsetzt oder Kontrollen des Auftragnehmers gemäß Ziffer 7.1 dieser Vereinbarung AV verweigert.
Art und Zweck der Auftragsverarbeitung, Art der personenbezogenen Daten und Kategorien von der Verarbeitung betroffener Personen
1 Art der Auftragsverarbeitung
Gegenstand des Auftrags ist die Durchführung von Wartungs- und/ oder Pflegearbeiten sowie technischem Service, per E-Mail, Telefon oder mittels Fernwartung durch den Auftragnehmer, unter anderem an IT-Systemen des Auftraggebers.Dies umfasst alle Tätigkeiten, die zur Erbringung der mit dem Auftraggeber vertraglich vereinbarten Leistung erforderlich sind.
2 Zweck(e) der Auftragsverarbeitung
- Technischer Service bei Anwendungsfragen zu Dlubal-Software
- Wartung und Pflege der beim Auftraggeber genutzten Dlubal-Software
- Falls erforderlich, Fehlerbehebung in dem Dlubal-Produkt, in dem die personenbezogenen Daten gespeichert sind
- Qualitätssicherung für das Dlubal-Produkt, in dem die Daten gespeichert sind bzw. für eine neuere Version des Dlubal -Produkts
- Weiterentwicklung bestehender oder Entwicklung neuer Dlubal-Produkte
3 Art der personenbezogenen Daten, die der Auftragnehmer verarbeitet
- Personenstammdaten
- Kommunikationsdaten (z.B. Telefon, E-Mail)
- Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
- Kundenhistorie
- Vertragsabrechnungs- und Zahlungsdaten
- Modelldateien, sonstige für den technischen Service relevante Daten (z.B. Crash Reports)
4 Kategorien von der Verarbeitung betroffener Personen
- Beschäftigte des Kunden
- Ggf. Beschäftigte des IT-Dienstleisters des Kunden
- Interessenten
- Andere Personen, ggf. auch Verbraucher, sofern sie Nutzer einer Dlubal-Leistung sind
Nachstehend erfolgt eine Beschreibung der wesentlichen Maßnahmen von Dlubal zur Einhaltung der Datensicherheitsvorschriften gemäß Art. 32 DS-GVO. Hierbei ist einschränkend darauf hinzuweisen, dass verständlicherweise nicht alle Sicherheitsvorkehrungen offengelegt werden können; vielmehr ist gerade im Interesse des Datenschutzes und der Datensicherheit der Verzicht auf vertrauliche und detaillierte Beschreibungen unabdingbar.
1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
1.1 Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren:
- Die Büroräume sind nur über einen zentralen Eingang erreichbar. Zugangsbereiche sind mit einer Kamera überwacht und mit Empfangspersonal besetzt. Im Falle, dass kein Empfangspersonal vorhanden ist, sind die Zugangstüren verschlossen und mit Alarmanlage gesichert.
- Die Serverräume sind zusätzlich unter ständigem Verschluss und nur für autorisiertes Personal zugänglich.
- Falls erforderlich, Fehlerbehebung in dem Dlubal-Produkt, in dem die personenbezogenen Daten gespeichert sind
- Wichtige Serversysteme außerhalb der Bürogebäude sind in einem Rechenzentrum über Multi-factor person authorization, Videoüberwachung mit Anbindung an die Polizei und gegen Terrorattacken geschützt.
1.2 Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:
- Die Daten sind für Dlubal-Mitarbeiter ausschließlich im notwendigen Umfang über ein mit konfigurierbaren Rechten verwaltbares und rollenbasiertes CRM System zugänglich.
- Die Mitarbeiter besitzen rollengesteuerte Zugriffsrechte.
- Die Rechner sind über Authentifikation mit Benutzername und Passwort gesichert (Active Directory).
- Passwörter mit erhöhter Sicherheit (Zusammensetzung, Länge, Ablaufdatum).
- Externe Systeme sind über VPN-Tunnels angebunden. Nur bekannte Adressen sind über eine IP-Whitelist zugelassen. Sämtliche externe Kommunikation wird verschlüsselt.
- Die Rechnersysteme sind zentral mit Anti-Viren Software versorgt.
- Die Datennetze sind mit Firewalls gesichert.
- Auf die Serversysteme haben nur speziell autorisierte Personen Zugriff.
1.3 Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Rechte: Alle Dienste nutzen das Zugriffsmodell „Deny by default“. Nur autorisierte Personen und Gruppen haben einen entsprechenden Zugang. Die Rechtematrix jedes einzelnen Services wird überwacht und kann in das Admin Panel für jeden * Service exportiert werden. Alle Rechte werden von Systemadministratoren verwaltet. Die Anzahl der Systemadministratoren ist auf ein Minimum reduziert.
- Log-Dateien: Die Network Storage Servers verfügen über Audit Logs inklusive Versionshistorie der Dateien (CRUD). Der Active Directory Server protokoliert jede Autorisierungsanfrage an Dienste im Netzwerk.
- Versionskontrollsystem: Sämtliche Daten im Netzwerk sind über VSS und BTRFS Abbilder gesichert. Datenbanken werden über stündliche Abbilder gesichert.
1.4 Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:
- Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
- Erstellung eines Berechtigungskonzepts
- Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden
- Versehen von Datensätzen mit Zweckattributen/Datenfeldern
- Festlegung von Datenbank-Rechten
- Logische Trennung der Kundendaten nach Zuständigkeit und Funktion
1.5 Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen:
Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, und gesondert aufbewahrt.
2 Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
2.1 Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
- Protokollierung der Eingabe, Änderung und Löschung von Daten
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Dokumentenmanagement
2.2 Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Der E-Mail Server benutzt das Sender Policy Framework (SPF), um eine nicht autorisierte Nutzung unserer Domains zu verhindern. Der E-Mail Empfänger kann so überprüfen, ob die E-Mail von einem autorisierten Server stammt.
- E-Mails werden mit DKIM Signaturen signiert um die Authentizität sicherzustellen.
- Sensible E-Mails können zusätzlich durch End-zu-End Verschlüsselung verschlüsselt werden.
- FTP und VPN Dienste arbeiten mit SSL/TLS Verschlüsselung.
3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
3.1 Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Backup- & Recoverykonzept
- Unterbrechungsfreie Stromversorgung (USV)
- Festplattenspiegelung
- Verwendung von RAID-Systemen
- BTRFS und ReFS Dateisysteme zur Fehlererkennung und Korrektur und zur Vermeidung von verborgenem Datenverlust
- High Availability Clusters und Spiegelung der Daten und Dienste über mehrere Standorte
- Backup von Internet Anschlüssen und Routern um lange Ausfallzeiten zu vermeiden
- ECC Memory an allen Servern um Speicherfehler, Datenänderungen und -verlust zu erkennen
- Microsoft System Data Protection Manager – agent auf jedem Server installiert
- Mindestens tägliches Backup über DPM Storage
- Windows Backup + iSCSI LUNs
- Wichtige Services werden von Netzwerktools überwacht und melden ausfallende Dienste, Ausfallzeiten, DoS and DDosS Angriffe
- Gesicherter Serverraum
- Schutzsteckdosenleisten in Serverraum
- Regelmäßige Überprüfung der Elektro-Ausstattung durch Fachfirma
- Feuer- und Rauchmelder, Feuerlöschgeräte
- Notfallpläne und Krisenmanagement
- Firewall mit Antivirus und Eindringerkennung, Schutz und Prävention (AV/IDS/IDP, Zywall Security Gateway)
- ESET Mail Security for Exchange zur Absicherung des E-Mail-Servers gegen Spam, Viren, Ransomware, Scam, etc.
- ESET Security Antivirus auf allen Computern als Endpunkt User Schutz mit ESET Remote Administration Console
- ClamAV opensource Antivirus zum Schutz der Netzwerkserver und Speicher
- Regelmäßige Systemupdates gemanagt über WSUS
- Active Directory Group Policy für alle Computer
3.2 Wiederherstellbarkeit
Maßnahmen, welche die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen nach einem physischen oder technischen Zwischenfall rasch wiederherstellen: Sämtliche Daten werden durch regelmäßige Backups gegen Verlust gesichert. Verschiedene Tools erlauben, diese Daten bei physischen oder technischen Zwischenfällen mit geringstmöglichen Aufwand wiederherzustellen. Als spezifische Maßnahmen sind zu nennen:
- Backup- & Recoverykonzept
- Mindestens tägliches Backup über DPM Storage
- Windows Backup + iSCSI LUNs
4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
4.1 Datenschutz-Management
- Mitarbeiterschulungen im Datenschutz
- Verpflichtung der Beschäftigten zum vertraulichen Umgang mit personenbezogenen Daten
- Benennung eines Datenschutzbeauftragten
- Richtlinien für Beschäftigte zum Umgang mit personenbezogenen Daten
- Führen eines Verzeichnisses von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1 und 2 DSGVO
- Implementierung eines Datenschutzmanagementsystems
4.2 Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers im Sinne von Art. 28 DS-GVO verarbeitet werden können:
- Eindeutige Vertragsgestaltung
- Formalisiertes Auftragsmanagement
- Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten
- Schriftliche Weisungen an den Auftragnehmer durch Auftragsdatenverarbeitungsvertrag
- Verpflichtung des Auftragnehmers zur Vertraulichkeit
- Laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten
Rechte der betroffenen Person
Jede betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber eingeräumte Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Möchte eine betroffene Person dieses Bestätigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, jederzeit von dem für die Verarbeitung Verantwortlichen unentgeltliche Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten. Ferner hat der Europäische Richtlinien- und Verordnungsgeber der betroffenen Person Auskunft über folgende Informationen zugestanden:
- die Verarbeitungszwecke
- die Kategorien personenbezogener Daten, die verarbeitet werden
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
- falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden: Alle verfügbaren Informationen über die Herkunft der Daten
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Abs. 1 und 4 DS-GVO und - zumindest in diesen Fällen - aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Ferner steht der betroffenen Person ein Auskunftsrecht darüber zu, ob personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt wurden. Sofern dies der Fall ist, so steht der betroffenen Person im Übrigen das Recht zu, Auskunft über die geeigneten Garantien im Zusammenhang mit der Übermittlung zu erhalten.
Möchte eine betroffene Person dieses Auskunftsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten - auch mittels einer ergänzenden Erklärung - zu verlangen.
Möchte eine betroffene Person dieses Berichtigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, von dem Verantwortlichen zu verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist:
- Die personenbezogenen Daten wurden für solche Zwecke erhoben oder auf sonstige Weise verarbeitet, für welche sie nicht mehr notwendig sind.
- Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 Buchstabe a DS-GVO oder Art. 9 Abs. 2 Buchstabe a DS-GVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Die betroffene Person legt gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Art. 21 Abs. 2 DS-GVO Widerspruch gegen die Verarbeitung ein.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
- Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben.
Sofern einer der oben genannten Gründe zutrifft und eine betroffene Person die Löschung von personenbezogenen Daten, die bei der Dlubal Software GmbH gespeichert sind, veranlassen möchte, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden. Der Mitarbeiter der Dlubal Software GmbH wird veranlassen, dass dem Löschverlangen unverzüglich nachgekommen wird.
Wurden die personenbezogenen Daten von der Dlubal Software GmbH öffentlich gemacht und ist unser Unternehmen als Verantwortlicher gemäß Art. 17 Abs. 1 DS-GVO zur Löschung der personenbezogenen Daten verpflichtet, so trifft die Dlubal Software GmbH unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um andere für die Datenverarbeitung Verantwortliche, welche die veröffentlichten personenbezogenen Daten verarbeiten, darüber in Kenntnis zu setzen, dass die betroffene Person von diesen anderen für die Datenverarbeitung Verantwortlichen die Löschung sämtlicher Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat, soweit die Verarbeitung nicht erforderlich ist. Der Mitarbeiter der Dlubal Software GmbH wird im Einzelfall das Notwendige veranlassen.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
- Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
- Die Verarbeitung ist unrechtmäßig, die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten.
- Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
- Die betroffene Person hat Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 1 DS-GVO eingelegt und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Sofern eine der oben genannten Voraussetzungen gegeben ist und eine betroffene Person die Einschränkung von personenbezogenen Daten, die bei der Dlubal Software GmbH gespeichert sind, verlangen möchte, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden. Der Mitarbeiter der Dlubal Software GmbH wird die Einschränkung der Verarbeitung veranlassen.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, die sie betreffenden personenbezogenen Daten, welche durch die betroffene Person einem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie hat außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a DS-GVO oder Art. 9 Abs. 2 Buchstabe a DS-GVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 Buchstabe b DS-GVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.
Ferner hat die betroffene Person bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Art. 20 Abs. 1 DS-GVO das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.
Zur Geltendmachung des Rechts auf Datenübertragbarkeit kann sich die betroffene Person jederzeit an einen Mitarbeiter der Dlubal Software GmbH wenden.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchstaben e oder f DS-GVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Die Dlubal Software GmbH verarbeitet die personenbezogenen Daten im Falle des Widerspruchs nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Verarbeitet die Dlubal Software GmbH personenbezogene Daten, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widerspricht die betroffene Person gegenüber der Dlubal Software GmbH der Verarbeitung für Zwecke der Direktwerbung, so wird die Dlubal Software GmbH die personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.
Zudem hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung personenbezogener Daten, die bei der Dlubal Software GmbH zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Art. 89 Abs. 1 DS-GVO erfolgen, Widerspruch einzulegen, es sei denn, eine solche Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
Zur Ausübung des Rechts auf Widerspruch kann sich die betroffene Person direkt jeden Mitarbeiter der Dlubal Software GmbH oder einen anderen Mitarbeiter wenden. Der betroffenen Person steht es ferner frei, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft, ungeachtet der Richtlinie 2002/58/EG, ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, sofern die Entscheidung (1) nicht für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, oder (2) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder (3) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
Ist die Entscheidung (1) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich oder (2) erfolgt sie mit ausdrücklicher Einwilligung der betroffenen Person, trifft die Dlubal Software GmbH angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
Möchte die betroffene Person Rechte mit Bezug auf automatisierte Entscheidungen geltend machen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, eine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen.
Möchte die betroffene Person ihr Recht auf Widerruf einer Einwilligung geltend machen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
Newsletter
Auf der Internetseite der Dlubal Software GmbH wird den Benutzern die Möglichkeit eingeräumt, den Newsletter unseres Unternehmens zu abonnieren. Mittels eines Newsletters informieren wir unsere Kunden, Interessenten und Geschäftspartner in regelmäßigen Abständen über:
- Produktneuheiten
- Praktische Tipps
- Produktempfehlungen
- Neue Serviceleistungen
- Exklusive Aktionen
- Gutscheine
- Praktische / kostenlose Serviceleistungen
- Interessante Projekte erstellt mit Dlubal-Software
- Aktuelle Trends
Welche personenbezogenen Daten bei der Bestellung des Newsletters an den für die Verarbeitung Verantwortlichen übermittelt werden, ergibt sich aus der hierzu verwendeten Eingabemaske.Der Newsletter unseres Unternehmens kann von der betroffenen Person grundsätzlich nur dann empfangen werden, wenn (1) die betroffene Person über eine gültige E-Mail-Adresse verfügt und (2) die betroffene Person sich für den Newsletterversand registriert. An die von einer betroffenen Person erstmalig für den Newsletterversand eingetragene E-Mail-Adresse wird aus rechtlichen Gründen eine Bestätigungsmail im Double-Opt-In-Verfahren versendet. Diese Bestätigungsmail dient der Überprüfung, ob der Inhaber der E-Mail-Adresse als betroffene Person den Empfang des Newsletters autorisiert hat.
Bei der Anmeldung zum Newsletter speichern wir ferner die vom Internet-Service-Provider (ISP) vergebene IP-Adresse des von der betroffenen Person zum Zeitpunkt der Anmeldung verwendeten Computersystems sowie das Datum und die Uhrzeit der Anmeldung. Die Erhebung dieser Daten ist erforderlich, um den (möglichen) Missbrauch der E-Mail-Adresse einer betroffenen Person zu einem späteren Zeitpunkt nachvollziehen zu können und dient deshalb der rechtlichen Absicherung des für die Verarbeitung Verantwortlichen.
Die im Rahmen einer Anmeldung zum Newsletter erhobenen personenbezogenen Daten werden ausschließlich zum Versand unseres Newsletters verwendet. Ferner könnten Abonnenten des Newsletters per E-Mail informiert werden, sofern dies für den Betrieb des Newsletter-Dienstes oder eine diesbezügliche Registrierung erforderlich ist, wie dies im Falle von Änderungen am Newsletterangebot oder bei der Veränderung der technischen Gegebenheiten der Fall sein könnte.
- Es erfolgt keine Weitergabe der im Rahmen des Newsletter-Dienstes erhobenen personenbezogenen Daten an Dritte außer an unsere rechtlich selbstständigen Dlubal-Niederlassungen im gemeinsam genutzten Kundenverwaltungssystem (CRM).
Das Abonnement unseres Newsletters kann durch die betroffene Person jederzeit gekündigt werden. Die Einwilligung in die Speicherung personenbezogener Daten, die die betroffene Person uns für den Newsletterversand erteilt hat, kann jederzeit widerrufen werden. Zum Zwecke des Widerrufs der Einwilligung findet sich in jedem Newsletter ein entsprechender Abmelde-Link. Ferner besteht die Möglichkeit, sich jederzeit auch direkt auf der Internetseite des für die Verarbeitung Verantwortlichen vom Newsletterversand abzumelden oder dies dem für die Verarbeitung Verantwortlichen auf andere Weise mitzuteilen.
Die Newsletter der Dlubal Software GmbH enthalten sogenannte Zählpixel. Ein Zählpixel ist eine Miniaturgrafik, die in solche E-Mails eingebettet wird, welche im HTML-Format versendet werden, um eine Logdatei-Aufzeichnung und eine Logdatei-Analyse zu ermöglichen. Dadurch kann eine statistische Auswertung des Erfolges oder Misserfolges von Online-Marketing-Kampagnen durchgeführt werden. Anhand des eingebetteten Zählpixels kann die Dlubal Software GmbH erkennen, ob und wann eine E-Mail von einer betroffenen Person geöffnet wurde und welche in der E-Mail befindlichen Links von der betroffenen Person aufgerufen wurden.
Solche über die in den Newslettern enthaltenen Zählpixel erhobenen personenbezogenen Daten, werden von dem für die Verarbeitung Verantwortlichen gespeichert und ausgewertet, um den Newsletterversand zu optimieren und den Inhalt zukünftiger Newsletter noch besser den Interessen der betroffenen Person anzupassen. Diese personenbezogenen Daten werden nicht an Dritte weitergegeben. Betroffene Personen sind jederzeit berechtigt, die diesbezügliche gesonderte, über das Double-Opt-In-Verfahren abgegebene Einwilligungserklärung zu widerrufen. Nach einem Widerruf werden diese personenbezogenen Daten von dem für die Verarbeitung Verantwortlichen gelöscht. Eine Abmeldung vom Erhalt des Newsletters deutet die Dlubal Software GmbH automatisch als Widerruf.
Als Dlubal-Kunde bzw. Bezieher unserer Dienstleistung (z. B. Nutzung einer Demo-, Trial- oder Studenten-Version) erhalten Sie von uns Newsletter als Produktempfehlungen und praktische Tipps. Die Newsletter erhalten Sie in diesem Fall von uns unabhängig davon, ob Sie einen Newsletter abonniert haben. Wir wollen Sie auf diese Weise über Produkte aus unserem Angebot informieren, die Sie auf Grundlage Ihrer letzten Einkäufe bei uns interessieren könnten. Außerdem erhalten Sie hier wertvolle Tipps zu der Nutzung unserer Software.
Sofern Sie keine Newsletter oder insgesamt keine werblichen Nachrichten mehr von uns erhalten wollen, können Sie dem jederzeit widersprechen. Richten Sie Ihren Widerspruch bitte in Textform (z. B. E-Mail, Fax, Brief) an unsere Kontaktadresse oder melden Sie sich auf der Seite Newsletter abonnieren mit einem Abmelde-Link ab. Selbstverständlich finden Sie auch einen Abmelde-Link am Ende jedes Newsletters.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO sowie § 7 Abs. 3 UWG.
Anwendung und Support von Dlubal-Programmen
Im Rahmen der Anwendung von Dlubal-Programmen können personenbezogene Daten verarbeitet werden, welche zur Bearbeitung von Anwendungsfragen, Behebung möglicher Probleme in aktuellen oder zukünftigen Versionen oder zur Integration von gewünschten Funktionalitäten in zukünftige Versionen erforderlich sind.
Die Rechtsgrundlage für die Verarbeitung ist Art. 6 I lit. b DSGVO (Vertragserfüllung mit dem Anwender oder Durchführung vorvertraglicher Maßnahmen auf Anfrage des Anwenders).
Die Autorisierungsdatei enthält den Firmenname bzw. den Name des Anwenders sowie die Anschrift der Firma bzw. des Anwenders. Die Author.ini enthält spezifische Informationen zum Produktschlüssel und ist für die Software-Lizenzierung erforderlich. Der hinterlegte Firmen- bzw. Anwendername sowie die Anschrift werden auch für Ihren Druckkopf im Programmausdruck voreingestellt.
In der Historie einer RSTAB/ RFEM-Datei wird der vollständige Windows-Benutzername gespeichert.
Folgende Daten sind in einer RSTAB/ RFEM-Datei gespeichert und können im Projektmanager sichtbar gemacht werden:
- Vollständiger Windows-Benutzername
- Verwendetes Modul
- Erstell- und Änderungsdatum
- Bearbeitungszeit
- Kundennummer
Durch die Installation eines Plugins für den Windows-Explorer sind in diesem ebenfalls der Benutzername sowie das Erstell- und Änderungsdatum einer Datei ersichtlich.
Durch die Funktion „System-Diagnose“ können mittels dem Hilfsprogramm MSInfo32 von Microsoft eine Analyse des Rechners durchgeführt werden und Systeminformationen erstellt werden. Durch die Schaltfläche „System-Info“ werden die Windows-Systeminformationen aufgerufen und als Datei abgespeichert.
Diese Datei enthält Informationen zu Hardwareressourcen, Komponenten und Softwareumgebung, welche sich auf den jeweiligen Anwender beziehen.
Anwender von Dlubal Software können verschiedene Kanäle nutzen, um uns Ihre Anfragen mitzuteilen: Per Telefon/ Fax, E-Mail oder über ein Formular auf unserer Website (Individuelle Frage stellen/ Gewünschte Funktion oder Idee einreichen/ Problem oder Fehler melden).
Die in Ihrer Anfrage übermittelten Daten werden zunächst in unserem CRM-System verarbeitet, um die jeweilige Anfrage zu bearbeiten.
Sollte es für die Bearbeitung der Anfrage erforderlich sein, werden darüber hinaus folgende Daten in unserer Entwicklungsdatenbank (NetGenium) verarbeitet.
- Anwenderbezogene Daten
- Firmenname
- Kundennummer
- Name der Ansprechperson
- Ggf. E-Mail-Adresse
- Hardware
- Betriebssystem
- Software
- Programm
- Version
- Problembeschreibung
- Dateien
- Dateiname
- Modelle, Screenshots
Es erfolgt eine Weitergabe dieser personenbezogenen Daten an unsere rechtlich selbstständigen Dlubal-Niederlassungen im gemeinsam genutzten CRM-System und der Entwicklungsdatenbank (NetGenium). Nähere Informationen zu den Dlubal-Standorten finden Sie unter:
Dlubal-StandorteDes Weiteren gewähren wir unserem Dienstleister für Softwareentwicklung Zugriff auf diese personenbezogenen Daten in der gemeinsam genutzten Entwicklungsdatenbank (NetGenium).
Je nach dem Land des Anwenders kann auch eine Weitergabe der Anfrage an unsere örtlichen Vertragshändler erfolgen, welche mit deren Bearbeitung beauftragt sind.
Nähere Informationen zu den Dlubal-Händlern finden Sie unter:
Autorisierte ResellerDie genannten personenbezogenen Daten werden ausschließlich über eine HTTPS-Verschlüsselung oder VPN-Verbindung übertragen.
Ihre Zufriedenheit mit den Dlubal-Programmen steht bei uns an erster Stelle. Bei der neuen Programmgeneration RFEM 6 und RSTAB 9 werden daher durch die Online-Registrierung Logfiles an unser Unternehmen gesendet. Diese nutzen wir, um die Programme für Ihre Anwendungen besser zu analysieren und zu optimieren. Standardmäßig ist diese Einstellung unter den Programmoptionen aktiviert. Sie können jedoch Ihre Einwilligung jederzeit dort deaktivieren.
Crash Report
Falls ein Dlubal-Programm aus einem unerwarteten Grund beendet werden sollte, haben Anwender die Möglichkeit, uns darüber einen Report mit Dateien und einer Beschreibung zu senden.
Diese Informationen über den Programmabsturz werden übermittelt, um den Anwender bei der Behebung des Problems zu unterstützen bzw. das Problem in zukünftigen Versionen zu beheben.
Die Rechtsgrundlage für die Verarbeitung ist Art. 6 I lit. a DSGVO, da der Crash Report ausschließlich durch die aktive Veranlassung des Anwenders versendet wird.
Durch das Versenden eines Crash Reports werden folgende Daten an uns übermittelt:
Anwenderbezogene Daten
- Kundennummer und Anschrift, wie sie im Standard-Druckkopf zu sehen sind
- Dongle-Nummer
- E-Mailadresse, sofern der Anwender diese eingegeben hat
- Problembeschreibung, sofern der Anwender diese eingegeben hat
- Laufzeit des Programms
- Anzahl der vorhergehenden Crashs, sofern sich das feststellen lässt
- Informationen, ob der Crash wahrscheinlich vom Grafiktreiber verursacht wurde
- Anzahl der vorhergehenden Crashs, die wahrscheinlich vom Grafiktreiber verursacht wurden
Hardware
- Genauer CPU-Typ
- Grafikkarte einschließlich Treiberversion und Datum
- Drucker einschließlich Treiberversion, -pfad und Datum
Software
- Betriebssystem mit genauer Versionsnummer und Ländercode
- Installierte Antiviren-Software inklusive Updatestatus
Dateien
Konfiguration der Grafikeinstellungen
Alle zum Zeitpunkt des Crashes geöffneten RFEM-/RSTAB-Dateien, automatische Sicherungsdatei
- Name des angemeldeten Benutzers
- Versionsnummer, in der die Datei angelegt wurde
- Versionsnummer, in der die Datei zuletzt bearbeitet wurde
- dlubal_parameters_file.txt: Liste der angehangenen Dateien
- dlubal_journal_main.txt: Liste alle Befehle, die seit dem Start von RFEM/RSTAB ausgeführt wurden
- dlubal_journal_protocol.txt: Informationen zum Ausdruckprotokoll
- dlubal_journal_threads.txt: Liste aller laufenden Threads
- Data.*: Übergabedateien für den Rechenkern
- RFEM*.dmp bzw. RSTAB*.dmp: Speicherabbild
- DLInstaller_*.log: Informationen zu Schnittstellen
- Migration_CurrentUser_*.log: Liste aller installierter Dlubal-Software
- Migration_Init_*.log: Logfile über die Anpassung von Datenbanken während der Installation
MsiInstaller_*log: Logfile über den Ablauf der Installation
dlubal_diagnostic.txt
- Hardware-Informationen
- Motherboard
- CPU
- Speicher
- Grafikkarte
- Software-Informationen
- Laufwerksbuchstaben
- Betriebssystem
- Benutzerrechte
- Installierte Druckertreiber
- Inhalt der Registry-Schlüssel (HKEY_LOCAL_MACHINE\SOFTWARE\DLUBAL\
\ \64-bit) * Inhalt des Ordners (C:\Program Files\Dlubal\ \) * Inhalt des Ordners (C:\Program Files (x86)\Common Files\Dlubal\ImportExport\RX-Common.NET\) ==== dlubal_description.txt ==== * Anwenderbezogene Daten ** Kundennummer und Anschrift, wie sie im Standard-Druckkopf zu sehen sind ** Dongle-Nummer ** E-Mailadresse, sofern der Anwender diese eingegeben hat ** Problembeschreibung, sofern der Anwender diese eingegeben hat ** Laufzeit des Programms ** Anzahl der vorhergehenden Crashs, sofern sich das feststellen lässt ** Informationen, ob der Crash wahrscheinlich vom Grafiktreiber verursacht wurde ** Anzahl der vorhergehenden Crashs, die wahrscheinlich vom Grafiktreiber verursacht wurden * Hardware ** Genauer CPU-Typ ** Grafikkarte einschließlich Treiberversion und Datum ** Drucker einschließlich Treiberversion, -pfad und Datum * Software ** Betriebssystem mit genauer Versionsnummer und Ländercode ** Installierte Antiviren-Software inklusive Updatestatus
Es erfolgt eine Weitergabe dieser personenbezogenen Daten an unsere rechtlich selbstständigen Dlubal-Niederlassungen in der gemeinsam genutzten Entwicklungsdatenbank (NetGenium). Nähere Informationen zu den Dlubal Standorten finden Sie unter:
Dlubal-StandorteDes Weiteren gewähren wir unserem Dienstleister für Softwareentwicklung Zugriff auf diese personenbezogenen Daten in der gemeinsam genutzten Entwicklungsdatenbank (NetGenium).
Die genannten personenbezogenen Daten werden ausschließlich über eine HTTPS-Verschlüsselung übertragen.
Zendesk-Chat
Auf unserer Webseite nutzen wir den Zendesk-Chat, eine Live-Chat-Software des US-Unternehmens Zendesk Inc. In dieser werden die Nachrichten und die Daten, die über den Live-Chat eingehen, bearbeitet und dokumentiert. Der Zendesk-Chat dient dem Zweck einer direkten Kommunikation in Echtzeit (sogenannter Live-Chat) mit Besuchern der eigenen Webseite.
Bei jedem einzelnen Aufruf unserer Internetseite, die mit einer Zendesk-Chat-Komponente ausgestattet ist, werden durch diese Komponente Daten mit dem Zweck gesammelt, das Live-Chat-System zu betreiben und den Betrieb des Systems zu analysieren.
Die Verarbeitung erfolgt auf Grundlage des Art. 6 Abs. 1 lit. f DSGVO gemäß unserem berechtigten Interesse an einer direkten und kundenfreundlichen Kommunikation.
Durch die Nutzung des Zendesk-Chats erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten in der beschriebenen Weise und zu dem benannten Zweck einverstanden. Sie können die Beratung jederzeit abbrechen.
Mittels Zendesk-Chat wird dem User angezeigt, ob gerade einer unserer Mitarbeiter online ist, um eine unmittelbare Antwort auf Fragen zu geben. Wenn Sie unser Live-Chat-Systems nutzen, werden die von Ihnen mitgeteilten Daten gespeichert, um Ihre Fragen zu beantworten. Zu den gesammelten Daten gehören:
- Chatverlauf
- Angegebener Name
- IP-Adresse
- Herkunftsland
- Besuchte Seiten
- Dauer des Besuchs der Seiten
- Weitere persönliche Informationen, je nach den gemachten Angaben (z. B. E-Mail-Adresse, Telefonnummer)
Es besteht die Möglichkeit, die Kontaktdaten wie Name, Telefon und E-Mail-Adresse zu erfassen, um die Kontaktaufnahme zu erleichtern. Diese Daten werden nicht an Dritte weitergegeben und dienen nur zur Bearbeitung und Dokumentation der Anfragen.
Zendesk, Inc, 1019 Market Street San Francisco, CA 94103, hat sich dem EU-US Privacy Shield unterworfen, welches die Einhaltung des in der EU geltenden Datenschutzniveaus gewährleistet.
Nähere Informationen zur Datenverarbeitung durch Zendesk finden Sie in der Datenschutzerklärung von Zendesk unter www.zendesk.de/company/customers-partners/privacy-policy/ und auf der Seite zum EU-Datenschutz www.zendesk.de/company/customers-partners/eu-data-protection/.
Dort erhalten Sie auch weitere Informationen zu Ihren diesbezüglichen Rechten zum Schutze Ihrer Privatsphäre: www.zendesk.de/company/customers-partners/eu-data-protection.
Bei Fragen können Sie sich auch direkt an Zendesk wenden: privacy">zendesk.com.
Als Anbieter des Zendesk-Chats sind wir in der Lage,
- Ihren Zugang zu den Diensten einzuschränken, auszusetzen oder zu beenden
- auf Ihre personenbezogenen Daten, die Sie Zendesk zur Verfügung gestellt haben, zuzugreifen und diese zu verarbeiten
- auf Ihre von Zendesk verarbeiteten personenbezogenen Daten zuzugreifen und diese zu exportieren und
- Ihre personenbezogenen Daten, einschließlich Ihres Endbenutzerprofils, zu ändern.
Die Verarbeitung der personenbezogenen Daten aus der Eingabemaske des Zendesk-Chats erfolgt zur direkten Bearbeitung von Vertriebs- und Support-Anfragen sowie weiteren Fragen mittels dem Zendesk-Chat. Die von Ihnen geführten Chats, einschließlich der E-Mail-Adresse (sofern angegeben), werden über unsere Entwicklungsdatenbank (NetGenium) an unser CRM-System weitergegeben, um Vertriebs- und Supportanfragen sowie weiteren Fragen bearbeiten zu können. Durchgeführte Chats werden dort protokolliert und gespeichert, sofern möglich werden diese anhand der angegebenen E-Mail-Adresse zu der entsprechenden Kontaktperson und der jeweiligen Firma zugeordnet.
Im Rahmen der Online-Beratung kommunizieren Sie über eine verschlüsselte Internetverbindung. Dies verhindert den Zugriff unberechtigter Dritter auf die Inhalte der Online-Beratung.
Die personenbezogenen Daten aus geführten Chats, einschließlich der E-Mail-Adresse (sofern angegeben) werden unseren rechtlich selbstständigen Dlubal-Niederlassungen im gemeinsam genutzten CRM-System und der Entwicklungsdatenbank (NetGenium) zugänglich gemacht. Nähere Informationen zu den Dlubal-Standorten finden Sie unter:
www.dlubal.com/de/unternehmen/kontakt/dlubal-standorte.
Des Weiteren gewähren wir unserem Dienstleister für Softwareentwicklung Zugriff auf diese personenbezogenen Daten in der gemeinsam genutzten Entwicklungsdatenbank (NetGenium).
Hyvor Talk
Diese Webseite verwendet den Anbieter Hyvor Talk für die Kommentarfunktion. Die Kommentare und sonstige ausgetauschte Daten werden sicher innerhalb des Hyvor Talk-Systems gespeichert. Ihre persönlichen Daten werden gemäß der Datenschutz-Grundverordnung (DSGVO) verarbeitet und übermittelt.
Wir verwenden auf unserer Webseite Hyvor Talk als Kommentar- und Reaktionssystem. Damit können unsere Besucher Fragen, Kommentare und Anmerkungen auf fast all unseren Webseiten verfassen. Wir können Diskussionen zu verschiedenen Themen beginnen. Somit ermutigen wir zu einem Austausch untereinander. Die Besucher haben ebenfalls die Möglichkeit Feedback zu geben, uns neue Ideen zuzuschicken und uns interessante Vorschläge zu hinterlassen. Wir unterstützen auch unsere Community beim Austausch, indem wir dieses Tool anbieten.
Das verantwortliche Unternehmen für diese Plattform ist Hyvor, No 130, Green Mount State, Madawa, Pilessa, Kurunegala, Sri Lanka. Mehr Informationen dazu unter: https://hyvor.com/about.
Dlubal Software stimmt zu, dass folgende Daten an Hyvor durch die Nutzung von Hyvor Talk übermittelt werden:
- Webseiten-URL: wird in der Konsole und in E-Mails verwendet
- Webseiten-Identifier: wird verwendet, um jede Webseite einzeln zu identifizieren
- Verweildauer des Nutzers
- Leseverhalten des Nutzers: ob der Nutzer nach unten gescrollt hat, um die Kommentare zu lesen oder nicht
Hyvor Talk sammelt nur die Informationen, die für den Betrieb der Kommentarplattform notwendig sind. Hyvor Talk speichert die Verweildauer des Nutzers (nicht persönlich identifizierbar) zu Analysezwecken. Darüber hinaus speichert das Unternehmen die IP-Adresse des Nutzers nur, wenn dieser einen Kommentar hinterlässt. Die IP-Adresse ist einer der wichtigsten Metriken für Moderatoren, um die IP-Adresse von Spammern zu blockieren. Hyvor verwendet die IP-Adressen nicht für andere Zwecke. Wenn jemand (Gast, Hyvor oder SSO) einen Kommentar auf einer Webseite veröffentlicht, wird die aktuelle IP-Adresse des Nutzers gespeichert, die für die Moderatoren der Webseite sichtbar ist. Das wird üblicherweise verwendet, um die IP-Adresse von Spammern zu blockieren.
Hyvor stellt weiterführende Informationen zu seiner Datenschutzrichtlinie unter https://talk.hyvor.com/docs/privacy zur Verfügung.
PayPal als Zahlungsart
Der für die Verarbeitung Verantwortliche hat auf dieser Internetseite Komponenten von PayPal integriert. PayPal ist ein Online-Zahlungsdienstleister. Zahlungen werden über sogenannte PayPal-Konten abgewickelt, die virtuelle Privat- oder Geschäftskonten darstellen. Zudem besteht bei PayPal die Möglichkeit, virtuelle Zahlungen über Kreditkarten abzuwickeln, wenn ein Nutzer kein PayPal-Konto unterhält. Ein PayPal-Konto wird über eine E-Mail-Adresse geführt, weshalb es keine klassische Kontonummer gibt. PayPal ermöglicht es, Online-Zahlungen an Dritte auszulösen oder auch Zahlungen zu empfangen. PayPal übernimmt ferner Treuhänderfunktionen und bietet Käuferschutzdienste an.
Die Europäische Betreibergesellschaft von PayPal ist die PayPal (Europe) S.à.r.l. & Cie. S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg, Luxemburg.
Wählt die betroffene Person während des Bestellvorgangs in unserem Online-Shop als Zahlungsmöglichkeit „PayPal“ aus, werden automatisiert Daten der betroffenen Person an PayPal übermittelt. Mit der Auswahl dieser Zahlungsoption willigt die betroffene Person in die zur Zahlungsabwicklung erforderliche Übermittlung personenbezogener Daten ein.
Bei den an PayPal übermittelten personenbezogenen Daten handelt es sich in der Regel um Vorname, Nachname, Adresse, E-mail-Adresse, IP-Adresse, Telefonnummer, Mobiltelefonnummer oder andere Daten, die zur Zahlungsabwicklung notwendig sind. Zur Abwicklung des Kaufvertrages notwendig sind auch solche personenbezogenen Daten, die im Zusammenhang mit der jeweiligen Bestellung stehen.
Die Übermittlung der Daten bezweckt die Zahlungsabwicklung und die Betrugsprävention. Der für die Verarbeitung Verantwortliche wird PayPal personenbezogene Daten insbesondere dann übermitteln, wenn ein berechtigtes Interesse für die Übermittlung gegeben ist. Die zwischen PayPal und dem für die Verarbeitung Verantwortlichen ausgetauschten personenbezogenen Daten werden von PayPal unter Umständen an Wirtschaftsauskunfteien übermittelt. Diese Übermittlung bezweckt die Identitäts- und Bonitätsprüfung.
PayPal gibt die personenbezogenen Daten gegebenenfalls an verbundene Unternehmen und Leistungserbringer oder Subunternehmer weiter, soweit dies zur Erfüllung der vertraglichen Verpflichtungen erforderlich ist oder die Daten im Auftrag verarbeitet werden sollen.
Die betroffene Person hat die Möglichkeit, die Einwilligung zum Umgang mit personenbezogenen Daten jederzeit gegenüber PayPal zu widerrufen. Ein Widerruf wirkt sich nicht auf personenbezogene Daten aus, die zwingend zur (vertragsgemäßen) Zahlungsabwicklung verarbeitet, genutzt oder übermittelt werden müssen.
Die geltenden Datenschutzbestimmungen von PayPal können unter https://www.paypal.com/de/webapps/mpp/ua/privacy-full abgerufen werden.