AUTOTASK UPDATE ZU DATENSCHUTZ UND SICHERHEIT

Neue Informationen zu Datenschutz und Sicherheit bei Autotask (Oktober 2017)
Sammlung und Verarbeitung von personenbezogenen Daten gemäß der EU-Datenschutz-Grundverordnung

Seit unserer letzten Mitteilung im Juli 2017 in Bezug auf die Compliance mit der Europäischen Datenschutz-Grundverordnung (DSGVO) haben uns Kunden kontaktiert, um weitere Informationen darüber zu erhalten, welche Auswirkungen die DSGVO auf die Nutzung von Autotask Produkten hat. Wir werden jede dieser eingehenden Anfragen beantworten, möchten aber zusätzlich dieses Update bieten, um alle unsere Kunden bei der Umsetzung der Compliance zu unterstützen.

Weltweite Produkt-Compliance

Viele unserer Kunden sind weltweit in unterschiedlichen Jurisdiktionen tätig. Für ein einheitliches Benutzererlebnis beabsichtigt Autotask, die DSGVO-Anforderungen auf unsere Produkte weltweit anzuwenden. Wir sind der Meinung, dass einheitliche Regeln und Programmlogik unsere Kunden ganz wesentlich beim Erreichen ihrer Compliance mit den DSGVO-Anforderungen unterstützen.

Länderüberschreitende Datenübermittlung und Datenspeicherung

Durch die DSGVO werden spezielle Anforderungen und Einschränkungen bei der Datenübermittlung von der Europäischen Union aus in andere Länder außerhalb der EU notwendig. Autotask bietet zurzeit ein Addendum zur Datenverarbeitung, das Standardvertragsklauseln bezüglich der Zulassung solcher Transfers enthält. Wir gehen davon aus, dass wir nach der Einführung der DSGVO weiterhin die Datenübermittlung über Standardvertragsklauseln unterstützen werden. Momentan evaluieren wir andere Rechtsgrundlagen für die Datenübermittlung, um sicherzustellen, dass Autotask Produkte ab Mai 2018 von unseren Geschäftspartnern und Kunden nach wie vor nahtlos eingesetzt werden können.

Unsere Kunden in der EU haben Bedenken hinsichtlich potenzieller Auswirkungen des Brexits auf die in unserem britischen Rechenzentrum gespeicherten Daten. Derzeit gibt es keinen Grund zur Annahme, dass wir nach dem Brexit keine Daten mehr für unsere in der EU ansässigen Kunden im britischen Raum verarbeiten können. Dennoch werden derzeit Alternativpläne ausgearbeitet, um einen ununterbrochenen Service gewährleisten zu können, falls der Brexit unerwartete Auswirkungen auf Datenübermittlungen zwischen EU und UK haben sollte.

Sammlung von personenbezogenen Informationen über Benutzer der Autotask Produkte

Standardmäßig sammeln Autotasks Produkte nur begrenzt personenbezogene Informationen. Die Art der gesammelten personenbezogenen Daten wurde von Autotask für die Funktionen unserer Produkte sowie für die Bereitstellung der von unseren Kunden angeforderten Dienstleistungen als notwendig befunden. Beispiele für die von unseren Produkten gesammelten personenbezogenen Daten sind Benutzername, E-Mail-Adresse und Protokolldaten (unter anderem Anmeldezeiten, IP-Adresse und aufgerufene Dateien). Autotask ist dabei, unsere Vorgehensweisen bei der Datensammlung zu überprüfen, um somit zu ermitteln, ob vor dem Inkrafttreten der DSGVO etwaige Änderungen notwendig sind.

Von Autotasks Geschäftspartnern und Kunden gesammelte personenbezogene Informationen

Viele unserer Kunden nutzen Autotask Produkte, um personenbezogene Informationen zu sammeln, zu verarbeiten und zu speichern. In diesen Fällen dient Autotask als „Datenverarbeiter“. Entscheidungen, welche Daten gesammelt, wie lange sie gespeichert und wie sie verwendet werden, werden von den Kunden getroffen, die dementsprechend als „Datenverantwortliche“ agieren.

Weil das Inkrafttreten der DSGVO näher rückt, überprüfen wir unsere Systeme und Abläufe, um zu gewährleisten, dass wir unsere Verpflichtungen als „Verarbeiter“ in vollem Umfang erfüllen können, einschließlich der Unterstützung unserer Kunden bei der Erfüllung ihrer Verpflichtungen als Verantwortliche.

Wir arbeiten proaktiv an der Entwicklung von erweiterten Produktfunktionen, die unsere Kunden beim Optimieren ihrer Compliance-Bemühungen unterstützen sollen. Die Implementierung dieser Funktionen ist noch vor dem Inkrafttreten der DSGVO im nächsten Jahr geplant. Wir haben vor, Produktoptimierungen einzuführen, die bestimmte strengere DSGVO-Anforderungen in Bezug auf Benachrichtigung, Einwilligung, Zugriff, Korrektur, Löschung (das „Recht auf Vergessenwerden“) und Portabilität adressieren, inbesondere solche, die noch nicht in unseren Produkten integriert sind.

Von unseren Kunden genutzte Produktfunktionen sowie die von ihnen gesammelten Daten können stark variieren (einschließlich der Verwendung von benutzerdefinierten Datenfeldern und einmaligen Anwendungsintegrationen). Autotask empfiehlt Kunden mit speziellen Fragen zu DSGVO-Compliance, uns per E-Mail an privacy@autotask.com zu kontaktieren.

Autotask Datenschutz- und Sicherheitsupdate (Juli 2017)

Autotask ergreift kontinuierlich alle Maßnahmen, um den Schutz und Sicherheit von Kundendaten zu gewährleisten. Neben den Schritten, die unternommen werden, um die Kundendaten zu schützen wie in der Datenschutzrichtlinie von Autotask (http://www.autotask.com/de/datenschutzrichtlinie) vorgegeben, monitort Autotask proaktiv u. a. rechtliche Entwicklungen, die für Autotask Kunden wichtig sind.

Im Mai 2018 tritt ein neues europäisches Datenschutzgesetz in Kraft, die EU-Datenschutz-Grundverordnung (DSGVO). Durch die DSGVO wird das europäische Datenschutzrecht wesentlich verändert. Sie sieht vor, dass alle Unternehmen, die „personenbezogene Daten“ von natürlichen Personen in der EU verarbeiten, strengere Datenschutz- und Sicherheitsverfahren umsetzen müssen. (In Großbritannien deutet bisher alles darauf hin, dass das Land nationale Gesetze verabschieden wird, die auch nach dem Brexit die DSGVO im Wesentlichen widerspiegeln.)

In Übereinstimmung mit dem unternehmerischen starken Fokus auf Datenschutz und Sicherheit investiert Autotask umfangreich Zeit und Ressourcen, um sicherzustellen, dass seine Produkte und Services bis Mai 2018 vollständig DSGVO-konform sind. Diese Investitionen umfassen eine fundierte unternehmensweite Überprüfung aller Geschäftsbeziehungen, Produkte, Services und Datenverarbeitungs-Praktiken von Autotask. Diese Konformitäts-Zielsetzungen von Autotask werden vom globalen Datenschutz-Team des Unternehmens umgesetzt, das sich aus Mitgliedern des Führungsteams und Produktspezialisten aus den wichtigsten Aufgabenbereichen und geografischen Regionen zusammensetzt. Das Datenschutz-Team hat fundierte Kenntnisse und Erfahrung mit den Autotask Produkten und den Practices zur Datenverarbeitung.

Die wichtigsten Aufgaben des Datenschutzteams sind u. a.:

  • Erstellung von Datenbeständen und Datenfluss-Maps für Autotask Produkte
  • Prüfung und Aktualisierung der Verträge und Lizenzen von Autotask
  • Prüfung und Aktualisierung der Datenschutzrichtlinien von Autotask auf Unternehmens- und Produktebene
  • Prüfung und Aktualisierung der Produkte und Services von Autotask (insbesondere, um aktualisierte Rechte von Personen, einschließlich der Rechte bzgl. Information, Einwilligung, Transparenz, Übertragbarkeit, Korrektur und Löschung, zu berücksichtigen)
  • Prüfung und Aktualisierung des Datenverarbeitungs-Zusatzes von Autotask für Datenübertragungen außerhalb der EU

In den nächsten Monaten werden wir mit unseren Resellern und Kunden Kontakt aufnehmen und sie hinsichtlich unserer DSGVO-Compliance-Zielsetzungen auf den neuesten Stand bringen. Zudem informieren wir sie zu etwaigen Änderungen der Verträge, Lizenzen, Produkte, Services und Geschäftspraktiken von Autotask, die Auswirkungen auf den Verkauf und die Nutzung unserer Produkte und Services haben können.

Die Zielsetzungen zur DSGVO-Konformität von Autotask nur ein Teil von deutlich umfassenderen Maßnahmen. Die DSGVO sieht maßgebliche Verpflichtungen für alle Unternehmen und juristischen Personen vor, die personenbezogene Daten verarbeiten. Dazu zählen auch Autotask Reseller und Kunden, die ihre eigenen Vorgaben haben zu Datenschutz, Sicherheit und Datenverarbeitung.

Autotask empfiehlt, dass alle Reseller und Kunden, die Produkte und Services von Autotask nutzen, um „personenbezogene Daten“ zu verarbeiten, Kontakt mit ihren juristischen und technischen Beratern aufnehmen, um sicherzustellen, dass ihre Datenverarbeitung den komplexen Vorschriften der DSGVO entsprechen. Wichtige Themen, die angesprochen werden sollten:

  • Gilt die DSGVO für mein Unternehmen? Die DSGVO betrifft Unternehmen, die personenbezogene Daten in der EU verarbeiten, sowie für Unternehmen außerhalb der EU, die in bestimmten Situationen personenbezogene Daten natürlicher in der EU ansässiger Personen verarbeiten.
  • Werden bei meinen Datenverarbeitungs-Practices die Rechte der betroffenen Personen gewahrt? In der DSGVO haben die Rechte von betroffenen Personen höchste Priorität, darunter u. a. auf das Recht auf Information, das Recht auf Einwilligung, auf Transparenz, auf Übertragbarkeit, auf Korrektur und auf Löschung.
  • Verfügt mein Unternehmen über Prozesse und Verfahren zur Meldung von Verstößen gegen den Datenschutz? Artikel 33 der DSGVO umfasst neue Meldepflichten bei Datenschutzverletzungen, die die Verpflichtung zur Benachrichtigung der Datenschutzbehörden bei Verstößen gegen den Datenschutz beinhalten. Diese Benachrichtigung soll „unverzüglich, möglichst innerhalb von 72 Stunden nach Kenntnisnahme des Verstoßes“ erfolgen. Unter bestimmten Umständen ist gemäß Artikel 34 eine direkte Benachrichtigung der betroffenen Personen erforderlich.
  • Benötigt mein Unternehmen einen Datenschutzbeauftragten („DSB“)? Die DSGVO verlangt von Unternehmen unter bestimmten Umständen gemäß DSGVO Artikel 37 die Benennung eines DSB.
  • Transferiert mein Unternehmen Daten außerhalb der EU? Wie schon im Fall der ursprünglichen Datenschutzverordnung von 1995 unterliegen Datentransfers außerhalb der EU bestimmten Richtlinien, die die Transfers in Länder, die nicht über einen äquivalenten Datenschutz verfügen, beschränken, sofern nicht bestimmte Anforderungen erfüllt werden.
  • Führt mein Unternehmen Protokolle über seine Konformitätsmaßnahmen? Belegbarkeit ist eine wesentliche Vorschrift der DSGVO. Entsprechend wichtig sind eindeutige und korrekte Protokolle Ihrer Compliance-Maßnahmen, um die GDPR-Konformität nachzuweisen.

Die DSGVO wirft viele Fragen auf – darauf Antworten zu finden, ist unerlässlich, um sicherzustellen, dass Ihr Unternehmen bis Mai 2018 bereit ist für die DSGVO.

Autotask kann Ihnen keine Auskunft geben, inwieweit die DSGVO Auswirkungen auf Ihr Unternehmen hat (dies sind Themen, die Sie mit u. a. mit Ihren Rechtsberatern erörtern sollten). Aber wir stehen Ihnen gerne zur Seite bei jeder Frage, welche Auswirkungen die DSGVO auf die Nutzung Ihrer Autotask Produkte hat. Sollten Sie spezifische Fragen zu den DSGVO-Compliance-Maßnahmen von Autotask haben sowie dazu, welche Konsequenzen das neue Gesetz für die Nutzung von Autotask-Produkten und -Services hat, kontaktieren Sie uns bitte unter privacy@autotask.com.