Suche: Was möchten Sie erfahren?
Anmelden
Abonnieren
Suche: Was möchten Sie erfahren?
Abonnieren
Anmelden
Suche: Was möchten Sie erfahren?
Startseite Allgemeine Datenschutzverordnung (DSGVO)

Datenschutz-Grundverordnung (DSGVO)

TEIL A: Allgemeines

Anwendbarkeit

Dieses Dokument ist die aktuelle operative Fassung der GDPR-Compliance-Richtlinie, die ab dem 25. Mai 2018 gilt und für die Aktivitäten von TechVersions, bestehend aus der folgenden Einheit, Anwendung findet.

TechVersions, ein Technologieverlag, 8000 Towers Crescent Drive, 13. Stock, Vienna, VA 22182

Einführung

Die Kernaktivität von TechVersions besteht darin, seine Kunden bei der Vermarktung von B2B-Produkten durch die Generierung effektiver Leads aus den Zielmärkten zu unterstützen.

Die Leadgenerierung erfolgt durch intelligente Marktforschung, bei der relevante Daten gesammelt werden, um die zuverlässige Kaufabsicht von Unternehmen über verschiedene Kanäle zu ermitteln, unter anderem über Geschäftspartner und unter Einsatz relevanter Technologien im Social-Media-Marketing, Web-Marketing, E-Mail-Marketing und Telemarketing.

Im Rahmen dieser Aktivitäten fungiert TechVersions als Vermittler und schafft Mehrwert in der B2B-Marketingkette. Die Kampagneninformationen werden von den Kunden bereitgestellt, optimiert und in Kampagnenmaterialien für die Verbreitung an den potenziellen Markt umgewandelt.

Die Verbreitung der Kampagnenmaterialien an die Endkunden erfolgt über externe Publisher, die Leads generieren. Die Platzierung der Materialien in relevanten Medien ist dabei zentral. Ein Teil der Leads wird durch interne Veröffentlichungsaktivitäten und den Einsatz innovativer, vom F&E-Team von TechVersions entwickelter Tools für Corporate Intent Marketing generiert.

Die von den Publishern generierten Leads werden zur Verbesserung ihrer Qualität intelligent gefiltert und in umsetzbare Marketingziele umgewandelt, bevor sie an die Kunden weitergeleitet werden.

TechVersions hat eigene Produkte, Prozesse und Informationssysteme entwickelt, darunter den Aufbau zuverlässiger Lieferantenbeziehungen und die Qualifizierung seiner Mitarbeiter. Diese Faktoren spiegeln den Mehrwert wider, den TechVersions dem globalen B2B-Marketing-Ökosystem bietet. Die Pflege und Weiterentwicklung dieser Expertise sowie deren Nutzung zur Erschließung neuer Geschäftsmöglichkeiten ist ein legitimes Interesse von TechVersions.

Mit diesem von TechVersions verabschiedeten Verhaltenskodex zur Einhaltung der DSGVO bekennt sich TechVersions zum Konzept des „Schutzes der Privatsphäre als Grundrecht eines Bürgers einer demokratischen Gesellschaft“ weltweit und wird nach bestem Wissen und Gewissen alle in der DSGVO vorgeschriebenen Datenschutzgrundsätze umsetzen, sofern diese anwendbar sind.

TechVersions gibt jedoch an, dass es in seinem berechtigten Interesse liegt, weltweit als B2B-Marktintermediär eine legitime Geschäftstätigkeit auszuüben, und dass es das demokratische Recht von TechVersions ist, seine Geschäfte in gutem Glauben zu führen, ohne mit den Rechten der einzelnen natürlichen Personen in Konflikt zu geraten, deren Privatsphäre gemäß der DSGVO geschützt werden soll.

TechVersions gibt außerdem an, dass sein Geschäftsmodell die Erhebung von Daten von Unternehmen erfordert, die nicht unter die DSGVO fallen, sowie von Geschäftskontaktdaten, die keine personenbezogenen Daten darstellen, aber teilweise persönlich identifizierbare Informationen enthalten können, jedoch keine personenbezogenen Daten von Kindern oder personenbezogene Daten, die gemäß DSGVO als „besondere Kategorien“ eingestuft werden.

DSGVO-Exposition

TechVersionsGroup ist im Wesentlichen ein B2B-Marketing-Vermittler, der weltweit tätig ist, Marketing-Leads generiert und Kunden in zahlreichen Ländern betreut. TechVersions ist nicht im Endkundenmarkt aktiv und erhebt daher weder direkt noch indirekt personenbezogene Daten von EU-Bürgern. Die von TechVersions erhobenen Daten fallen in der Regel unter die Kategorie der geschäftlichen Kontaktdaten von Mitarbeitern, die unter anderem Name, geschäftliche E-Mail-Adresse und geschäftliche Telefonnummer umfassen.

Ein Teil der B2B-Marketing-Leads wird in den EU-Ländern und in Großbritannien generiert. Einige Kunden mit Sitz in der EU/Großbritannien nutzen möglicherweise auch die Dienstleistungen von TechVersions. Derzeit findet der Großteil der Kundeninteraktionen in den USA und der Großteil der Interaktionen mit Lead-Generierungspartnern in Indien statt.

Die DSGVO-Gefahr für TechVersions wird daher deutlich, wenn Geschäftskontaktdaten von Unternehmen erhoben werden, die in der EU/im Vereinigten Königreich tätig sind.

Vorgehensweise zur Einhaltung der DSGVO

Um die Anwendung einer möglichst strengen Norm bei der Verarbeitung von Daten zu ermöglichen, die einem Risiko der Nichteinhaltung der DSGVO ausgesetzt sind, verfolgt TechVersions die Strategie, DSGVO-sensible Daten (GSD) als „sensible Daten“ zu behandeln, die durch die Ressourcen von TechVersions fließen, indem die eingehenden Daten gegebenenfalls mit einem geeigneten Tag versehen werden, um sie als GSD zu klassifizieren.

Der Schutz der Privatsphäre der betroffenen Personen und die Sicherheit der mit dem Datenschutz in Bezug auf die GSD-getaggten Daten werden bei der Gestaltung der Unterstützungsstruktur berücksichtigt.

Obwohl die Datenverarbeitung an bestimmten Standorten erfolgt und sich die technische Infrastruktur für die Verarbeitung globaler Daten an diesen festgelegten Standorten befindet, wurde ein unternehmensweites Bewusstsein für die DSGVO geschaffen und wird auch weiterhin verfolgt, damit die Grundsätze dieses DSGVO-Verhaltenskodex über die Verarbeitung globaler Daten hinaus in die gesamte Organisation durchdringen und auch die Marketing-, Finanz- und Managementfunktionen einschließen, die sich an anderen Standorten mit eigener technischer und administrativer Infrastruktur befinden können.

Um die Sicherheit der gesamten Datenverarbeitungsinfrastruktur effektiv zu gewährleisten, hat das Unternehmen eine umfassende Informationssicherheitsrichtlinie verabschiedet, die zahlreiche Unterrichtlinien in Bezug auf Datenzugriff, Verarbeitung, Speicherung, Übertragung usw. umfasst.

Datenschutzverpflichtung

TechVersions ist sich bewusst, dass „Datenschutz“ ein wichtiges demokratisches Recht in der Zivilgesellschaft ist. Als verantwortungsbewusstes Unternehmen verpflichtet sich TechVersions zum Schutz der Privatsphäre aller natürlichen Personen, deren personenbezogene Daten zur Verarbeitung in den unternehmenseigenen Datenspeicher gelangen.

Angesichts der Präsenz von Kunden in der EU/im Vereinigten Königreich und der Überwachung der Aktivitäten von Mitarbeitern des Unternehmens mit Wohnsitz in der EU/im Vereinigten Königreich hat TechVersions beschlossen, die DSGVO-Konformitätsstandards zum Schutz der Privatsphäre aller natürlichen Personen anzuwenden, die mit der Gruppe interagieren, selbst wenn diese Interaktion nur in ihrer Funktion als Mitarbeiter verschiedener Unternehmen erfolgt, die die Geschäftsziele ihrer jeweiligen Unternehmen verfolgen.

Berechtigtes Interesse

Die Kerntätigkeit von TechVersions umfasst die Verarbeitung von Daten zum Kauf verschiedener Produkte für den Unternehmensgebrauch. Das Leistungsspektrum beinhaltet Datenerfassung, -aggregation, -analyse, -segmentierung und die Überwachung der Kaufabsicht. Dabei wertet TechVersions die aus dem Geschäftsumfeld gesammelten Rohdaten auf und wandelt sie in wertvolle, geschäftsentscheidungsrelevante Informationen um.

Die erhobenen Rohdaten gelten als Daten des Betroffenen und unterliegen dessen Rechten gemäß DSGVO. Der Mehrwert der Daten, der im Rahmen des Prozesses entsteht, beruht auf den firmeneigenen Datenverarbeitungskapazitäten von TechVersions, an denen TechVersions bestimmte geistige Eigentumsrechte besitzt.

Sofern Daten pseudonymisiert wurden, gelten die pseudonymisierten Daten als Daten, an deren Nutzung TechVersions ein berechtigtes Interesse für weitere Forschungszwecke hat. Auch nicht pseudonymisierte Daten unterliegen, selbst wenn sie einen Mehrwert bieten, den Rechten der betroffenen Person auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Löschung. Pseudonymisierte Daten werden nicht als datenschutzrechtlich sensible Daten im Sinne der DSGVO eingestuft.

TechVersions hat ein berechtigtes Geschäftsinteresse im Sinne von Artikel 6 Absatz 1 Buchstabe f der EU-Datenschutz-Grundverordnung (DSGVO) an der Erhebung und Verarbeitung geschäftsbezogener Daten wie Firmendaten und Geschäftskontaktdaten von Entscheidungsträgern in den Unternehmen.

Darüber hinaus umfasst das Geschäft von TechVersions Aktivitäten innerhalb und außerhalb der EU-Länder und unterliegt daher den gesetzlichen Verpflichtungen verschiedener Länder in Bezug auf die Datenverarbeitung sowie anderen Gesetzen, die allgemein für Unternehmen und insbesondere für IT-bezogene Aktivitäten gelten, wie in Artikel 6(1)(c) der EU-DSGVO vorgesehen.

Darüber hinaus hat TechVersions Geschäftspraktiken für die rechtmäßige Datenverarbeitung eingeführt, die die in Artikel 6 der EU-Datenschutz-Grundverordnung (DSGVO) dargelegten Grundsätze berücksichtigen. Dazu gehört die Einholung einer informierten, ausdrücklichen Einwilligung, sofern erforderlich, sowie die Einhaltung etwaiger vertraglicher Verpflichtungen gegenüber den betroffenen Personen.

Die Datenschutzrichtlinien von TechVersions sind daher mit spezifischen Datenschutz- und Informationssicherheitskontrollen ausgestattet, die die Identifizierung von DSGVO-sensiblen Daten bei deren Entstehung und Eintritt in das TechVersions-System sowie deren Kennzeichnung während des gesamten Verarbeitungszyklus gewährleisten.

Ausweitung des Geltungsbereichs der Compliance auf das Datenverarbeitungs-Ökosystem

Darüber hinaus werden, um die gesetzliche Absicht des Schutzes des in der EU-DSGVO verankerten Grundrechts auf Privatsphäre von Einzelpersonen zu wahren, geeignete technische und organisatorische/administrative Kontrollen aufrechterhalten, um sicherzustellen, dass alle nachgelagerten Geschäftspartner, die im Auftrag von TechVersions Zugriff auf DSGVO-sensible Daten haben, ebenfalls DSGVO-konform sind.

TechVersions ist sich bewusst, dass es in den meisten Bereichen seiner Geschäftstätigkeit nicht als „Verantwortlicher“, sondern als „Auftragsverarbeiter“ im Sinne der DSGVO fungiert. Es kann die Rolle eines „gemeinsamen Verantwortlichen“ übernehmen, wenn es für Teile seiner Datenverarbeitung die Dienste von Unterauftragnehmern in Anspruch nimmt.

Unter Berücksichtigung dieser Rollen sind die Richtlinien und Kontrollen von TechVersions so strukturiert, dass die Einhaltung der DSGVO gewährleistet ist. Dazu gehört die Aufrechterhaltung geeigneter technischer und organisatorischer/administrativer Kontrollen, um sich über die DSGVO-Konformitätsaktivitäten seiner Geschäftspartner auf dem Laufenden zu halten und gegebenenfalls auch die eigenen DSGVO-Konformitätsmaßnahmen von TechVersions mit ihnen zu teilen.

Einschränkungen dieses Dokuments

Die folgenden Abschnitte geben die übergeordnete Richtlinie von TechVersions zur Einhaltung der DSGVO auf Unternehmensebene wieder und verdeutlichen den Ansatz von TechVersions zur Erreichung eines zufriedenstellenden Niveaus der Einhaltung der DSGVO-Grundsätze in seinen Geschäftstätigkeiten.

Dieses Richtliniendokument ist nur für eine eingeschränkte Weitergabe an Interessengruppen, einschließlich Unternehmen außerhalb von TechVersions, bestimmt und schließt daher geschützte Informationen über die Verarbeitung aus, wenn der Schutz des geistigen Eigentums der Organisation unerlässlich ist.

Anfragen zur Offenlegung von Informationen, die über die hier gemachten Angaben hinausgehen, werden gemäß der Datenschutzrichtlinie von TechVersions behandelt. Solche Anfragen können über eine nicht seriöse, authentifizierte E-Mail-Adresse an den Datenschutzbeauftragten gerichtet werden.

Teil B: Spezifische Richtlinien

  1. Zugewiesene Verantwortung

TechVersions hat einen Datenschutzbeauftragten benannt, der als Ansprechpartner für alle Anfragen und Beschwerden von Betroffenen fungiert. Angesichts des aktuellen Risikos für DSGVO-sensible Daten bei TechVersions wird davon ausgegangen, dass die Kerntätigkeit des Unternehmens weder eine umfassende und systematische Überwachung von EU-Bürgern noch das Anbieten von Dienstleistungen für Personen in der EU umfasst. Daher besteht keine Notwendigkeit, einen „Datenschutzbeauftragten“ gemäß DSGVO zu benennen.

Ein Informationssicherheits-Governance-Komitee (ISGC) ist für die Informationssicherheit, einschließlich der Einhaltung der DSGVO, verantwortlich. Es ist das oberste Entscheidungsgremium von TechVersions und legt alle Informationssicherheitsrichtlinien, einschließlich der DSGVO-Richtlinie, fest. Zudem prüft es, ob gegebenenfalls eine Person oder ein Berater als Datenschutzbeauftragter benannt werden muss.

  1. Datenklassifizierung

TechVersions betreibt kein Marketing gegenüber einzelnen natürlichen Personen und erhebt daher normalerweise keine personenbezogenen Daten, die unter die Bestimmungen der DSGVO fallen. Allerdings werden alle potenziell identifizierbaren personenbezogenen Daten, wie z. B. E-Mail-Adresse und Telefonnummer eines Mitarbeiters, als „DSGVO-sensibel“ eingestuft, wenn bekannt ist, dass sich die Geschäftseinheit oder der Mitarbeiter in der EU oder im Vereinigten Königreich befindet.

Dementsprechend werden alle Geschäftskontaktdaten, die mit einer physischen Standortadresse in der EU/im Vereinigten Königreich verknüpft sind, als DSGVO-sensible Daten (GSD) identifiziert und bei der weiteren Verarbeitung innerhalb der Organisation entsprechend gekennzeichnet.

Liegen keine Informationen über den physischen Standort der betroffenen Person vor, wird der physische Standort des zugehörigen Unternehmens als relevant angesehen.

  1. Datenprüfung

Einmalig vor dem 25. Mai 2018 und danach monatlich oder nach anderweitiger Festlegung durch das ISGC werden die gespeicherten Datensätze überprüft, um etwaige GSD zu lokalisieren und die damit verbundenen Compliance-Anforderungen zu überprüfen, z. B. ob die Daten archiviert, gelöscht oder auf andere Weise besonders gesichert werden müssen.

GSD-Datensätze, denen keine entsprechende Einwilligungserklärung oder Begründung des berechtigten Interesses beiliegt, werden zur Löschung empfohlen.
Nach Bestätigung werden diese Daten forensisch gelöscht.

  1. Folgenabschätzung der DSGVO

Eine GDPR-Gap-Analyse wurde durchgeführt und die erforderlichen Korrekturmaßnahmen wurden vor dem 25. Mai 2018 umgesetzt. Nach dem 25. Mai 2018 wird eine Datenschutz-Folgenabschätzung (DSFA) immer dann durchgeführt, wenn ein bedeutendes neues Projekt in Angriff genommen wird und der ISGC die Notwendigkeit dafür feststellt.

  1. Annahmerichtlinie für Neugeschäfte

Ab dem 25. Mai 2018 unterliegen alle neuen Geschäftsverpflichtungen, die die Verarbeitung von Daten beinhalten, der Genehmigung durch den ISGC. Hierfür ist eine spezifische DSGVO-Folgenabschätzung des Datenschutzbeauftragten in Absprache mit dem für die Verarbeitung zuständigen technischen Team vorzulegen.

  1. GSD-Datenspeicherrichtlinie

GSD-Daten sind in Systemen zu speichern, auf die nur bestimmte Personen nach dem „Need-to-know“-Prinzip zugreifen dürfen.

Jeder GSD-Datensatz muss mit dem Datenverantwortlichen gekennzeichnet werden, von dem er stammt und der für die Erhebung der Daten auf Grundlage von Einwilligung oder Vertrag verantwortlich ist.

Etwaige spezifische Einschränkungen, die mit einem solchen Datensatz verbunden sind, müssen ebenfalls mit dem Datensatz gekennzeichnet werden.

Die Datenspeicherung muss es ermöglichen, einzelne Datensätze zu finden und zu verarbeiten, um die Rechte der betroffenen Person, wie beispielsweise das Recht auf Berichtigung, Übertragbarkeit, Löschung oder Auskunft, jederzeit während ihres Lebenszyklus auszuüben.

  1. GSD-Datenzugriffsrichtlinie

Der Zugriff auf GSD erfolgt gemäß der Zugriffskontrollrichtlinie. Diese stellt sicher, dass jeder GSD-Datensatz über spezifische Zugriffsparameter verfügt, die festlegen, wer auf die Daten zugreifen darf und wie. Nur als GSD-Mitarbeiter benannte Personen haben Zugriff auf den GSD-Datensatz.

Die Verwendung von Zugriffsparametern wie Passwörtern muss in dem erforderlichen Maße komplex und eindeutig sein und durch Verschlüsselung und Maschinen-ID-Tags ergänzt werden, damit auf GSD-Daten nur von bestimmter Hardware zugegriffen werden kann, die dem autorisierten GSD-Personal zugewiesen ist.

Sofern die Datenspeicherung in der Cloud erfolgt, dürfen nur DSGVO-konforme Cloud-Dienste verwendet werden, gegebenenfalls ergänzt durch zusätzliche Kontrollmechanismen, um sicherzustellen, dass die Daten bei Speicherung und Übertragung vor unberechtigtem Zugriff geschützt sind.

Projektspezifische GSD-Daten sind so zu speichern, dass nur die dem jeweiligen Projekt zugeordneten Mitarbeiter Zugriff darauf haben. Projektübergreifender Zugriff ist bedarfsabhängig zu regeln.

  1. GSD-Datenaufbewahrungsrichtlinie

GSD-Daten werden in einer aktiven Prozessumgebung nur so lange gespeichert, wie es für die Verarbeitung erforderlich ist. Anschließend werden die Daten gemäß den unter „Berechtigtes Interesse“ genannten Anforderungen sicher archiviert, beispielsweise bis zum Abschluss des Projektabrechnungszyklus.

Anschließend werden die Daten gemäß den ermittelten berechtigten Interessen des Unternehmens entweder sicher archiviert oder vernichtet.

Es erfolgt eine monatliche Überprüfung der archivierten Daten, um nicht mehr benötigte Daten zu identifizieren, die dem ISGC zur Vernichtung weitergeleitet werden.

Rechtliche Aufbewahrungspflichten, die sich aus etwaigen Überschneidungen von Gesetzen ergeben, werden bei der Abwägung der berechtigten Interessen berücksichtigt.

  1. GSD-Datenoffenlegungsrichtlinie

Anfragen bezüglich der Offenlegung von GSD werden in der Regel nur vom Datenverantwortlichen entgegengenommen.

Es wird darauf hingewiesen, dass Anfragen, die direkt von den betroffenen Personen eingehen, einem Phishing-Risiko unterliegen. Solche Anfragen werden gegebenenfalls an den jeweiligen Datenverantwortlichen weitergeleitet, der die Daten von der betroffenen Person im Rahmen einer zwischen ihnen bestehenden Einwilligung oder eines Vertrags erhoben hat.

Die offenzulegenden Daten werden ausschließlich an den Verantwortlichen für die Datenverarbeitung zur Weiterleitung an die betroffene Person übermittelt, nachdem die Identität des Vertreters des Verantwortlichen für die Datenverarbeitung, der die Anfrage stellt, ordnungsgemäß authentifiziert wurde.

In Ausnahmefällen, in denen Daten direkt entweder an die betroffene Person oder ihren Bevollmächtigten oder an eine Strafverfolgungsbehörde weitergegeben werden müssen, ist eine angemessene Authentifizierung der Identität der anfragenden Person sicherzustellen.

Alle Anträge auf Datenweitergabe müssen vor der Freigabe der Daten vom ISGC genehmigt werden; sowohl der Antrag als auch die Bewertungsunterlagen gelten als erforderliche Dokumentation zur Einhaltung der DSGVO.

  1. GSD-Richtlinie zum Umgang mit Datenvorfällen

Ein „Vorfall“ im Sinne dieses Kodex ist jede Beobachtung, die möglicherweise darauf hindeutet, dass der GSD-Compliance-Kodex oder eine der darauf basierenden Richtlinien oder Verfahren verletzt wurde, unabhängig davon, ob der Verdacht besteht, dass Daten kompromittiert wurden.

Eine Hinweisgeberrichtlinie kann eingesetzt werden, um sicherzustellen, dass Vorfälle von jedem Beobachter innerhalb oder außerhalb des Unternehmens umgehend gemeldet werden.

Jeder derartige Vorfall, der TechVersions bekannt wird, wird in einem GSD-Vorfallsmanagementregister protokolliert und dem Datenschutzbeauftragten zur sofortigen Bearbeitung weitergeleitet.

Der Datenschutzbeauftragte prüft den Vorfallsbericht und ergreift unverzüglich Maßnahmen zur Behebung des Vorfalls. Außerdem meldet er den Vorfall dem ISGC.

Der ISGC wird unverzüglich eine Sitzung einberufen und den Vorfall bewerten, um festzustellen, ob ein möglicher Datenschutzverstoß vorliegt. Gegebenenfalls kann der ISGC eine sofortige technisch-rechtliche Prüfung zur Risikobewertung des Vorfalls anordnen. Auf Grundlage der Risikobewertung entscheidet der ISGC über die Notwendigkeit weiterer Maßnahmen, einschließlich der Benachrichtigung des Verantwortlichen für die Datenverarbeitung über den Datenschutzverstoß.

Ein Vorfall, bei dem ein anderer Mitarbeiter des Unternehmens auf globale Daten (GSD) zugegriffen hat, gilt als Sicherheitsvorfall und nicht zwangsläufig als Datenschutzverletzung. Solche Vorfälle werden jedoch hinsichtlich der Ursache des unbefugten Zugriffs untersucht. Handelt es sich um einen unbeabsichtigten, versehentlichen Zugriff, können entsprechende interne Disziplinarmaßnahmen gemäß der Personalrichtlinie ergriffen werden. Wurden die Daten nicht weitergegeben oder von Dritten eingesehen, kann der Vorfall als interner Datenunfall eingestuft werden, der keine Datenschutzverletzung darstellt.

Falls bekannt ist, dass der Zugriff oder die übertragenen Daten verschlüsselt waren und sich in einem Zustand befanden, in dem sie für den Empfänger nicht entschlüsselbar waren, kann der Zugriff – vorbehaltlich einer geeigneten internen Untersuchung hinsichtlich der Sicherheit des zugehörigen Entschlüsselungsschlüssels – als interner Datenunfall eingestuft werden, der keine Datenschutzverletzung darstellt.

  1. GSD-Richtlinie zur Benachrichtigung bei Datenschutzverletzungen

Ein „Datenleck“-Vorfall ist ein Vorfall, bei dem TechVersions nach einer notwendigen Untersuchung festgestellt hat, dass der Zugriff auf einen bestimmten Datensatz unter GSD kompromittiert wurde und eine externe Stelle Zugriff auf einen GSD-Datensatz erlangt oder diesen versendet hat.

Ein solcher Datenschutzverstoß ist unverzüglich dem ISGC zu melden, der daraufhin ohne weitere Verzögerung den für den Datensatz zuständigen Datenverantwortlichen zusammen mit den relevanten Details des Vorfalls benachrichtigt.

Ein solcher Bericht muss Art und Umfang der Datenschutzverletzung, Datum und Uhrzeit der Datenschutzverletzung, die Daten der betroffenen Personen, die nach Feststellung der Datenschutzverletzung ergriffenen Maßnahmen usw. enthalten. Gegebenenfalls kann die Datenschutzverletzung auch einer Aufsichtsbehörde gemeldet werden.

  1. GSD-Richtlinie zum Umgang mit Betroffenenrechten

Das Datenverarbeitungssystem von TechVersions beinhaltet „Privacy and Security by Design“, um die Einhaltung der DSGVO-Anforderungen, insbesondere in Bezug auf die Rechte der betroffenen Person gemäß DSGVO, zu ermöglichen.

Um den Rechten der betroffenen Person, wie dem Recht auf „Zugriff“, „Berichtigung“, „Löschung“, „Datenübertragbarkeit“ und dem Recht auf „Einschränkungen“, gerecht zu werden, hat TechVersions seine GSD-Speicher- und Zugriffssysteme so eingerichtet, dass ein Datensatz, der einer bestimmten betroffenen Person gehört, separat extrahiert und verarbeitet werden kann.

Das System wurde daher so konzipiert, dass es den strengsten Anforderungen der DSGVO entspricht.

Wird ein Antrag einer betroffenen Person auf Ausübung solcher Rechte gestellt, wird dieser gemäß der Datenweitergaberichtlinie zunächst geprüft. Falls die Daten von einem Datenverantwortlichen stammen, wird dieser um Bestätigung der Datenweitergabe gebeten.

Normalerweise wird die Anfrage in Kommunikation mit dem Datenverantwortlichen bearbeitet und, falls sie portiert werden soll, an den Datenverantwortlichen zurückgesendet.

In Ausnahmefällen, in denen TechVersions die Anfrage einer betroffenen Person ohne Mitwirkung des Verantwortlichen bearbeiten muss, werden geeignete Vorkehrungen getroffen, um eine unrechtmäßige Offenlegung zu verhindern, da es im berechtigten Interesse von TechVersions liegt, für jede mögliche unrechtmäßige Offenlegung entschädigt zu werden.

  1. GSD-Datenübertragungsrichtlinie

GSD-Daten fließen üblicherweise über eine Anwendungsschnittstelle (API) in das System. Der Zugriff auf die Schnittstelle erfolgt über ein sicheres Passwortsystem, das bei signifikantem GSD-Risiko durch eine geeignete Zwei-Faktor-Authentifizierung ergänzt wird.

Die Datenübertragung erfolgt verschlüsselt und unterliegt dem Management der Übertragungssicherheit unter Berücksichtigung bekannter Schwachstellen.

Die Anwendung selbst sowie ihre inhärenten Speicher- und Verarbeitungselemente und die API sind durch ein geeignetes Malware- und Zugriffsmanagementsystem vor unberechtigtem Zugriff und böswilligen Angriffen geschützt.

Sofern der GSD-Satz auch an den Kunden oder Unterauftragnehmer übermittelt wird, erfolgt die Übermittlung über verschlüsselte Kommunikationskanäle, entweder über eine API oder per verschlüsselter E-Mail.

  1. GSD-Marketing-Nutzungsrichtlinie

Wenn TechVersions GSD für Marketingzwecke nutzt, sei es per E-Mail, Telefon oder auf andere Weise, wird darauf geachtet, dass eine entsprechende Einwilligung oder ein Vertrag vorliegt, der eine solche Kommunikation ermöglicht.

TechVersions besteht außerdem darauf, dass seine Partner – sowohl die Lead-Generatoren als auch die Subunternehmer und Kunden – die GSD nur im Rahmen der ihnen zustehenden Berechtigungen nutzen.

Sofern keine eindeutige Einwilligung vorliegt, werden von den Lead-Generatoren keine geschäftlichen Kontaktdaten erhoben, an die Kunden weitergegeben oder über die Subunternehmer verarbeitet.

Solche Daten werden bereits beim Eintritt in das TechVersions-System vernichtet, da sie als „GSD ohne ordnungsgemäße Verarbeitungserlaubnis“ identifiziert werden.

  1. GSD-Einwilligungsrichtlinie

Alle Informationen, die aufgrund des Wohnsitzes der betroffenen Person in der EU/im Vereinigten Königreich oder des Wohnsitzes ihres Arbeitgebers in der EU/im Vereinigten Königreich als GSD eingestuft werden, werden nur dann akzeptiert, wenn die betroffene Person eine ausdrückliche Einwilligung auf Grundlage des nach der DSGVO erforderlichen Formats erteilt hat.

Vor Inkrafttreten der DSGVO wurden solche Einwilligungen in der Regel gemäß den Grundsätzen der Verarbeitung personenbezogener Daten eingeholt, einschließlich einer Datenschutzerklärung. Diese Datenschutzerklärung enthielt Angaben darüber, welche Informationen erhoben wurden, zu welchem ​​Zweck die Erhebung erfolgte, wie lange sie gespeichert, wie sie geschützt wurden, ob die Informationen korrekt waren, ob sie zur Verarbeitung außerhalb der EU übermittelt wurden usw. Einige Einwilligungen basierten standardmäßig auf dem „Opt-in“-Prinzip.

Gemäß DSGVO ist es unerlässlich, dass personenbezogene Daten nur auf der Grundlage einer ausdrücklichen Einwilligung erhoben werden, wobei die Option „Abmeldung“ die Standardeinstellung ist und die Einwilligung nur auf der Grundlage einer bestätigenden Handlung, die die Zustimmung signalisiert, angenommen wird.

Darüber hinaus sollte die Datenschutzerklärung auch darauf hinweisen, dass die betroffene Person bestimmte Rechte hat, wie zum Beispiel das „Recht auf Information über die Identität der nachgelagerten Auftragsverarbeiter“, das „Recht auf Auskunft und Berichtigung“ sowie das „Recht auf Datenübertragbarkeit und Löschung“.

Angesichts der neuen Anforderungen werden alle im Format vor Inkrafttreten der DSGVO eingeholten Einwilligungen als ungültig betrachtet und diese Daten von TechVersions verworfen.

Externe Publisher, die Leads für TechVersions generieren, müssen in ihren Verträgen bestätigen, dass sie nur Leads bereitstellen, die mit der neuen Einwilligungsform generiert wurden, falls sich die betroffene Person in der EU/im Vereinigten Königreich befindet.

  1. GSD-Richtlinie zur Stakeholder-Kommunikation

TechVersions arbeitet mit zahlreichen externen Organisationen zusammen, die am DSGVO-Konformitätsprogramm von TechVersions beteiligt sind. Zu diesen Organisationen gehören unter anderem Kunden, Lead-Generatoren und Subunternehmer.

Zur Gewährleistung einer effektiven Einhaltung der Vorschriften dürfen GSD-Daten in keiner Kommunikation mit den Beteiligten ausgetauscht werden, außer durch sichere Übertragung und ausschließlich an autorisierte Vertreter.

Während die Kommunikation über die API durch die Zugriffsrichtlinie gesteuert wird, sollte jede andere Kommunikation per E-Mail durch eine E-Mail-Kommunikationsrichtlinie geregelt werden.

Eine Richtlinie zur E-Mail-Kommunikation legt im Wesentlichen fest, dass die Weitergabe von Informationen zur Einhaltung der GSD- oder DSGVO-Vorschriften an einen Stakeholder ausschließlich über eine benachrichtigte Kontakt-E-Mail-Adresse erfolgen darf, bei der es sich in den meisten Fällen um den Datenschutzbeauftragten der anderen Organisation handelt. Gegebenenfalls kann die E-Mail-Kommunikation verschlüsselt und mit einer digitalen Signatur authentifiziert werden.

  1. Richtlinie der GSD zur Identifizierung berechtigter Interessen

TechVersions ist sich bewusst, dass bestimmte Rechte der betroffenen Personen, wie beispielsweise das Recht auf Datenlöschung oder Datenberichtigung, mit den berechtigten Interessen von TechVersions oder mit den ansonsten geltenden Aufbewahrungspflichten für die Daten aufgrund anderer gesetzlicher Verpflichtungen in Konflikt stehen könnten.

In allen Fällen, in denen die Rechte betroffener Personen geltend gemacht werden, prüft TechVersions den Antrag, bevor weitere Maßnahmen ergriffen werden. Sollte TechVersions den Antrag ablehnen oder ihn für eine Genehmigung anpassen müssen, werden die Gründe dokumentiert und vom ISGC eine Begründung für das berechtigte Interesse an der Datenverarbeitung erstellt.

Sofern die Daten nicht aktiv benötigt werden, können sie sicher archiviert werden, bis das berechtigte Interesse erlischt.

Die Gründe für die Geltendmachung des berechtigten Interesses an der Bearbeitung des Antrags der betroffenen Person werden dem für die betroffene Person zuständigen Datenverantwortlichen zur Weiterleitung an die betroffene Person mitgeteilt.

  1. GSD-Personalmanagementrichtlinie

GSD wird als Datensatz betrachtet, der während seiner Verwahrung durch TechVersions besondere Aufmerksamkeit in Bezug auf die Informationssicherheit erfordert.

Daher würden GSD-Daten entsprechend gekennzeichnet und von speziell geschulten Mitarbeitern nur bei Bedarf verarbeitet.

Diese Mitarbeiter und die Systeme, in denen GSD gespeichert, abgerufen und verarbeitet wird, würden unter Berücksichtigung des mit GSD verbundenen Risikos sicher verwaltet.

Die Zuweisung von Personen zu diesem GSD-Verarbeitungsprozess und deren Entfernung werden unter Einhaltung geeigneter Sicherheitsmaßnahmen durchgeführt, einschließlich einer verstärkten Hintergrundprüfung, Schulungen, physischer Zugangsberechtigungen, Sanktionsrichtlinien usw.

Die Personalrichtlinien müssen gegebenenfalls für die GSD-Belegschaft entsprechend aktualisiert werden.

  1. GSD-Pseudonymisierungsrichtlinie

Es ist anerkannt, dass die Pseudonymisierung eine Strategie zur Reduzierung der Risiken bei der Verarbeitung von GSD ist.

Pseudonymisierte personenbezogene Daten gelten im Sinne der DSGVO nicht als „personenbezogene Daten“, sofern der Pseudonymisierungsprozess angemessen strukturiert ist.

Angesichts des derzeitigen Ausmaßes der Gefährdung seiner Geschäftstätigkeit durch die DSGVO hat TechVersions es derzeit nicht für notwendig erachtet, die Pseudonymisierung als Strategie zur Risikominderung einzusetzen.

  1. GSD DRP-BCP-Richtlinie

TechVersions ist sich der Bedeutung eines effektiven Notfallwiederherstellungs- und Geschäftskontinuitätsplans für seine Geschäftstätigkeit, einschließlich derjenigen, die die GSD-Verarbeitung betreffen, bewusst.

TechVersions wird für eine angemessene Datensicherung der GSD-Daten sorgen und eine angemessene Fähigkeit zur Aufrechterhaltung der Geschäftskontinuität im Falle etwaiger Notfälle gewährleisten.

  1. Richtlinie zur GSD-Konformitätsdokumentation

Die Maßnahmen zur Einhaltung der DSGVO sind so zu dokumentieren, dass sie zur Überprüfung verfügbar sind. Die Dokumentation ist ab ihrer Erstellung mindestens sechs Jahre lang aufzubewahren.

Falls ein Dokument als potenzielles Beweismittel für die Anforderungen von Strafverfolgungsbehörden oder zur Wahrung der berechtigten Interessen von TechVersions dienen sollte, wird dieses Dokument so lange aufbewahrt, wie die Anforderung besteht.

  1. GSD-Auditrichtlinie

Ein internes Sicherheitsprüfungsteam von TechVersions prüft die Informationsbestände von TechVersions mindestens einmal jährlich, um den Grad der Sicherheit und die Einhaltung der DSGVO und anderer regulatorischer Anforderungen zu beurteilen.

Externe Prüfungen können auf Grundlage einer Beurteilung durch den ISGC immer dann in Betracht gezogen werden, wenn sich das Geschäftsprofil wesentlich ändert.

TechVersions behält sich das Recht vor, die Einrichtungen seiner Subunternehmer zu überprüfen, um die Einhaltung der vertraglichen Verpflichtungen sicherzustellen.

TechVersions erkennt jedoch an, dass die Befugnis zur Prüfung der Einrichtungen eines Subunternehmers eine Ermächtigung darstellt und nur in Ausnahmefällen genutzt werden darf. Dies entbindet den Subunternehmer nicht von seiner Verantwortung, die vertraglich vereinbarten Compliance-Anforderungen zu erfüllen.

  1. Beschwerdeverfahren der GSD

TechVersions wird ein mehrstufiges Beschwerdeverfahren zur Beilegung von Streitigkeiten mit betroffenen Personen bereitstellen. Diese Beschwerden werden auf der ersten Ebene vom Datenschutzbeauftragten, auf der zweiten Ebene vom Informationssicherheitsbeauftragten und auf der dritten Ebene von einem eigens dafür vom Vorstand eingerichteten Online-Streitbeilegungsausschuss bearbeitet.

Alle Anfragen einer DSGVO-Aufsichtsbehörde werden vom Datenschutzbeauftragten bearbeitet und gegebenenfalls an den ISGC weitergeleitet.

Etwaige Streitigkeiten mit Kunden, Verlagen oder Subunternehmern werden gemäß den jeweiligen vertraglichen Vereinbarungen geregelt.

  1. Netzwerksicherheitsrichtlinie

Um die Sicherheit der vom Unternehmen genutzten IT-Infrastruktur zu gewährleisten, wird TechVersions eine umfassende Informationssicherheitsrichtlinie einführen, die Firewalls, Intrusion-Detection-Systeme, Malware-Präventionssysteme und System-Patching etc. nach Bedarf umfasst.

Für die Aufrechterhaltung der Netzwerksicherheit ist ein benannter Informationssicherheitsmanager verantwortlich.

PS: Dieser Code kann von Zeit zu Zeit überarbeitet werden.

TechVersions

TechVersions c/o Anteriad LLC
441 Lexington Avenue,
Suite 1404, New York, NY 10017

Lösungen

Technologien

Richtlinien

© 2025 TechVersions c/o Anteriad LLC. Alle Rechte vorbehalten.