Leitfaden zur Einhaltung der DSGVO von Granta

Die Lösungen und Produkte von Vanderbilt ermöglichen es Kunden, personenbezogene Daten so zu verwalten und zu verarbeiten, dass die DSGVO-Anforderungen erfüllt werden. Dieser Leitfaden soll unseren Kunden helfen und sie dabei unterstützen, zu beurteilen, ob sie bereit sind, ihren Verantwortlichkeiten und Verpflichtungen im Zusammenhang mit den neuen Vorschriften nachzukommen.

Überblick

Datenschutz ist ein Grundrecht, bei dem jeder das Recht auf Schutz der ihn betreffenden personenbezogenen Daten hat. Die Allgemeine Datenschutzverordnung (DSGVO) gilt ab dem 25. Mai 2018 und soll Einzelpersonen mehr Kontrolle über ihre personenbezogenen Daten geben. Es gibt ein Regelwerk für die gesamte EU, das in einigen Bereichen durch nationale Gesetze ergänzt werden kann.

Die DSGVO erlegt Unternehmen oder Organisationen, die personenbezogene Daten erheben, verwenden und verarbeiten, Verpflichtungen auf. Im Mittelpunkt der DSGVO steht die Anforderung, dass Organisationen und Unternehmen vollständig transparent darüber sind, wie sie personenbezogene Daten verwenden und schützen, und in der Lage sein müssen, die Rechenschaftspflicht für ihre Datenverarbeitungsaktivitäten nachzuweisen. Diese Daten müssen nach Treu und Glauben für bestimmte Zwecke und auf der Grundlage der Einwilligung der betroffenen Person oder einer anderen gesetzlich festgelegten legitimen Grundlage verarbeitet werden.

Vanderbilt bietet seinen Kunden zwar flexible und intuitive Produktfunktionen, um die Einhaltung der neuen Vorschriften zu erleichtern, doch die Vanderbilt-Organisation erfasst, kontrolliert, verwendet oder verarbeitet keine personenbezogenen Daten, die in den lokalen Produkten von Vanderbilt enthalten sind. Daher liegt es in der Rolle und Verantwortung des für die Verarbeitung personenbezogener Daten Verantwortlichen und des Datenverarbeiters, sicherzustellen, dass die in der DSGVO festgelegten Verpflichtungen eingehalten werden.

Wenn Sie Zweifel haben oder sich über die Identität des Datenverantwortlichen und/oder Datenverarbeiters nicht sicher sind, sollten Sie in jedem Fall Ihren Rechtsberater konsultieren.

Was sind personenbezogene Daten?

Der Begriff „personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine lebende Person beziehen, die identifiziert oder identifizierbar ist.

Eine Person ist identifizierbar, wenn sie direkt oder indirekt anhand einer „Kennung“ identifiziert werden kann. Die DSGVO nennt Beispiele für Identifikatoren, darunter Namen, Identifikationsnummern und Standortdaten. Eine Person kann auch anhand von Faktoren identifiziert werden, die für ihre Identität spezifisch sind, wie physische, genetische oder kulturelle Faktoren.

Personenbezogene Daten, die anonymisiert, verschlüsselt oder pseudonymisiert wurden, aber zur erneuten Identifizierung einer Person verwendet werden können, bleiben personenbezogene Daten und fallen in den Geltungsbereich der DSGVO. Wenn personenbezogene Daten so anonymisiert wurden, dass die Person nicht mehr identifizierbar ist, gelten dies nicht als personenbezogene Daten. Damit Daten wirklich anonymisiert werden können, muss die Anonymisierung irreversibel sein.

Das Gesetz schützt personenbezogene Daten unabhängig von der Technologie oder Methode, die für die Verarbeitung dieser Daten verwendet wird — es gilt sowohl für die automatisierte als auch für die manuelle Verarbeitung. Es spielt auch keine Rolle, wie die personenbezogenen Daten gespeichert werden — in einem IT-System, durch Videoüberwachung oder auf Papier. In allen Fällen unterliegen personenbezogene Daten den in der DSGVO festgelegten Schutzanforderungen.

Was ist Datenverarbeitung?

Die Verarbeitung umfasst eine Vielzahl von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, auch manuell oder automatisiert. Sie umfasst das Erheben, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Kombination, Einschränkung, Löschung oder Vernichtung personenbezogener Daten.

Die Allgemeine Datenschutzverordnung (DSGVO) gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung, wenn sie Teil eines strukturierten Dateisystems ist.

Bin ich ein Datenverantwortlicher oder Datenverarbeiter?

Ein Datenverantwortlicher ist eine natürliche oder juristische Person, die die Aufbewahrung und Verwendung personenbezogener Daten auf einem Computer oder in strukturierten manuellen Dateien kontrolliert und dafür verantwortlich ist. Ein für die Datenverarbeitung Verantwortlicher ist mit rechtlichen Verpflichtungen verbunden. Sie sollten sich also darüber im Klaren sein, ob diese Pflichten für Sie oder Ihre Organisation gelten.

Wenn Sie oder Ihre Organisation die Kontrolle über die von ihr gespeicherten personenbezogenen Daten hat und für sie verantwortlich ist, d. h. entscheidet, welche personenbezogenen Daten aufbewahrt werden und für welche Zwecke die Informationen verwendet werden, dann sind Sie oder Ihre Organisation ein Datenverantwortlicher.

Beispiele für Fälle, in denen der für die Verarbeitung Verantwortliche eine Einzelperson ist, sind Allgemeinmediziner, Apotheker, Politiker und Einzelunternehmer, in denen diese Personen personenbezogene Daten über ihre Patienten, Kunden, Wähler usw. speichern.

Wenn Sie oder Ihre Organisation die personenbezogenen Daten besitzen, aber eine andere Person oder Organisation entscheidet und dafür verantwortlich ist, was mit den Daten passiert, dann ist diese andere Person oder Organisation der Datenverantwortliche, und Sie oder Ihre Organisation sind ein „Datenverarbeiter“.

Zu den Datenverarbeitern gehören beispielsweise Lohnabrechnungsunternehmen, Buchhalter und Marktforschungsunternehmen, die alle personenbezogene Daten im Namen einer anderen Person speichern oder verarbeiten könnten.

Was ist eine Dateneinwilligung und muss ich sie berücksichtigen?

Um personenbezogene Daten legal verarbeiten zu können, müssen Organisationen und Unternehmen von Anfang an die Rechtsgrundlage dafür identifizieren und dokumentieren. Zu den rechtlichen Möglichkeiten der Datenverarbeitung gehören:

• Einwilligung des Einzelnen: Eine Einwilligung ist angemessen, wenn Einzelpersonen eine echte Wahl und Kontrolle darüber haben, wie ihre Daten verwendet werden.
• Lebenswichtige Interessen: Die Verarbeitung ist notwendig, um die lebenswichtigen Interessen der Person zu schützen, z. B. wenn sie notwendig ist, um das Leben einer Person zu schützen.
• Einhaltung, für die eine gesetzliche Verpflichtung besteht: Daten können verarbeitet werden, wenn sie beispielsweise nach EU-Recht für einen bestimmten Zweck erforderlich sind.
• Ein Vertrag mit der Einzelperson: Die Verarbeitung ist für die Erfüllung eines Vertrags mit einer Einzelperson erforderlich, z. B. um die angeforderten Waren oder Dienstleistungen zu liefern

Wenn Sie Zweifel haben, ob Sie eine ausreichende Einwilligung zur Verarbeitung personenbezogener Daten eingeholt haben, sollten Sie Ihren Rechtsberater konsultieren.

Was ist ein Datenverarbeitungsvertrag und muss ich ihn berücksichtigen?

Wenn Sie personenbezogene Daten (Datenverarbeiter) im Auftrag Ihres Kunden (Datenverantwortlicher) speichern oder verarbeiten (eingeben, bearbeiten, pflegen), benötigen Sie einen Datenverarbeitungsvertrag. Wir empfehlen, Rechtsberatung einzuholen, um bestmöglich sicherzustellen, dass der Vertrag angemessene Sicherheits- und andere Datenschutzvorkehrungen enthält. In diesem Zusammenhang empfehlen wir unseren Kunden, eine Checkliste für den Umgang mit Daten und die Übergabe des Sicherheitssystems zur Hand zu haben.

Kenne deine Rolle und Verantwortung

Es ist klar, dass das Gesetz zur DSGVO geändert wird, und dies muss bei der Planung des Sicherheitssystems berücksichtigt werden. Bereiche müssen identifiziert und angegangen werden, die zu Problemen bei der Einhaltung der DSGVO führen können. Gemäß der DSGVO haben Einzelpersonen das Recht, klare Informationen über die Verwendung ihrer Daten zu erhalten.

Der erste praktische Schritt besteht darin, Ihre Rolle und Verantwortung in Bezug auf die DSGVO zu ermitteln. Sind Sie ein Datenverantwortlicher oder ein Datenverarbeiter oder beides? Wenn Sie Zweifel haben oder sich bezüglich der Identität des für die Verarbeitung Verantwortlichen und/oder des Datenverarbeiters nicht sicher sind, sollten Sie in jedem Fall Ihren Rechtsberater konsultieren.

Der zweite Schritt besteht darin, zur Rechenschaft gezogen zu werden. Berücksichtigen Sie alle personenbezogenen Daten, die Sie bei der Arbeit mit dem Sicherheitssystem verarbeiten, und überprüfen Sie sie unter den folgenden Überschriften:

• Welche personenbezogenen Daten werden gespeichert?
• Auf welcher Rechtsgrundlage basiert die Verarbeitung personenbezogener Daten?
• Wo werden die Daten gespeichert?
• Wie werden die Daten geschützt?
• Wie lange werden die Daten aufbewahrt?
• Was ist die Richtlinie für die Bearbeitung einzelner Datenzugriffsanfragen?
• Was ist der Prozess, wenn jemand darum bittet, aus dem System entfernt zu werden?
• Wer hat Zugriff auf die Daten?
• Werden personenbezogene Daten außerhalb des EWR übertragen?

Granta und die DSGVO

Die folgenden Informationen beschreiben, wie der Vanderbilt Vanderbilt Granta V5.3 verwendet werden kann, um die DSGVO-Konformität zu erleichtern.

Welche personenbezogenen Daten werden gespeichert?

Die Erfassung personenbezogener Daten ist innerhalb von Granta nicht verpflichtend, obwohl Granta die Möglichkeit hat, einige benutzerdefinierte Felder zu speichern, die zur Speicherung personenbezogener Daten verwendet werden könnten.

Auf welcher Rechtsgrundlage basiert die Verarbeitung personenbezogener Daten?

Die Eingabe von Daten und die Pflege von Daten werden vom Datenverantwortlichen und Datenverarbeiter der Website kontrolliert. Daher liegt es in der Verantwortung des für die Verarbeitung Verantwortlichen und/oder des Datenverarbeiters, sicherzustellen, dass die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten geschaffen wird.

In die Granta SW sind keine expliziten Verfahren eingebaut, um die Zustimmung des Benutzers einzuholen oder aufzuzeichnen.

Wo werden die Daten gespeichert?

Die Daten werden sowohl auf dem PC als auch auf den Granta-Controllern gespeichert. Der PC enthält alle Informationen, die sich auf das System beziehen, wobei der Controller nur Daten wie Kartennummern und Zugriffsberechtigungen als eindeutige Identifikatoren speichert. Es ist nicht möglich, Namen und andere „persönliche“ Daten von einem Controller wiederherzustellen.

Wie werden die Daten geschützt?

Die Granta-Datenbank wird auf einem bestimmten SQL-Server gespeichert, auf dem bestimmte Verbindungseigenschaften geändert werden können, um die Sicherheit der Daten zu erhöhen und den Zugriff einzuschränken. Einige Informationen in der SQL-Datenbank sind im Klartext, Dinge wie PINs und Passwörter sind jedoch verschlüsselt. Da es sich um eine SQL-Datenbank handelt, ist sie auch durch die von Microsoft geltenden Standardzugriffsbeschränkungen geschützt.

Die Mitarbeiter von Vanderbilt haben keinen Zugriff auf das System des Kunden, sofern sie ihnen nicht per Fernanmeldung gewährt werden.

Wie lange werden die Daten aufbewahrt?

Die Daten des Granta-Karteninhabers werden so lange aufbewahrt, wie ein Karteninhaber im System existiert. Die Gültigkeit dieses Karteninhabers kann jedoch auf bestimmte Start- und Enddaten festgelegt werden.

Wir haben eine Funktion zum Löschen von Protokollereignissen, die älter als ein festgelegter Zeitraum von Monaten sind. Diese Funktion kann vom Benutzer angepasst werden. Standardmäßig werden Ereignisse auf unbestimmte Zeit abgehalten.

Beim Löschen eines Karteninhabers löscht das System standardmäßig nicht die zugehörigen Protokollereignisse. Dies kann jedoch geändert werden, um die Protokollereignisse beim Löschen des Benutzers zu löschen.

Was ist die Richtlinie für die Bearbeitung einzelner Datenzugriffsanfragen?

Wenn eine Anfrage gestellt wird, liegt es in der Verantwortung des für die Verarbeitung Verantwortlichen und/oder der Datenverarbeiter, die Richtlinie zu skizzieren und die Daten gemäß den DSGVO-Bestimmungen rechtzeitig bereitzustellen.

Es ist möglich, die im Granta-System gespeicherten Ereignisse zu filtern, um zu sehen, welche individuellen Daten über eine Person gespeichert sind, z. B. aktuelle Protokollereignisse oder Informationen zu ihrem individuellen Datensatz.

Was ist der Prozess, wenn jemand darum bittet, aus dem System entfernt zu werden?

Wenn eine Anfrage gestellt wird, liegt es in der Verantwortung des für die Verarbeitung Verantwortlichen und/oder der Datenverarbeiter, die Richtlinie zu erläutern und die Daten gemäß den DSGVO-Bestimmungen rechtzeitig zu entfernen.

Standardmäßig werden Veranstaltungsinformationen 90 Tage lang im Granta-System aufbewahrt, sofern nicht anders angegeben. Auditprotokolle werden auf unbestimmte Zeit aufbewahrt, sofern nicht anders angegeben. Diese Protokollierung muss jedoch zunächst aktiviert werden. Wenn ein Karteninhaber gelöscht wird, werden die zugehörigen Ereignisse nicht gelöscht. Es ist jedoch möglich, dies über ein SQL-Skript in SQL Management Studio zu tun.

Wer hat Zugriff auf die Daten?

Es liegt in der Verantwortung des für die Datenverarbeitung Verantwortlichen und/oder des Datenverarbeiters, offenzulegen, wer Zugriff auf die personenbezogenen Daten des vor Ort installierten Granta-Systems hat.

Granta hat die Möglichkeit, verschiedene Benutzeranmeldungen für die Software zu definieren. Jeder Benutzer kann so konfiguriert werden, dass er über den erforderlichen S/W-Zugriff verfügt. Es liegt in der Verantwortung des Systembesitzers, zu definieren, wer welche S/W-Anmeldestufe hat, und den Zugriff zu entziehen, wenn er nicht mehr benötigt wird.

Werden personenbezogene Daten außerhalb des EWR übertragen?

Im normalen Betriebsmodus werden Granta-Benutzerdaten nicht außerhalb des Systems geteilt. Vanderbilt hat keinen Zugriff auf personenbezogene Daten. Es liegt in der Verantwortung des für die Datenverarbeitung Verantwortlichen und/oder des Datenverarbeiters, offenzulegen, ob personenbezogene Daten außerhalb des EWR übertragen wurden.