Datenschutz ist nicht erst seit Einführung der DSGVO (https://dsgvo-gesetz.de/) ein wichtiges Thema für DIVERA 24/7. Die DSGVO (Datenschutz-Grundverordnung 2016/679) existiert bereits seit dem 24.05.2016, ist jedoch erst ab dem 25.05.2018 in jedem Land der EU anzuwenden.
Mit Einführung der neue Datenschutzgrundverordnung ist es aber auch stärker in den Fokus vieler Einsatzkräfte gerückt und es kommen Fragen auf die wir gerne beantworten möchten. In einigen Punkten gibt es auch Änderungen die von uns als Betreiber und auch von den Nutzern beachtet werden müssen. Damit wir stets auf dem aktuellen Stand sind, haben wir einen externen Datenschutzbeauftragten bestellt um sicherzustellen, dass alle datenschutzrechtlichen Vorgaben eingehalten werden.
Cookies
Um den Dienst DIVERA 24/7 nutzen zu können werden Cookies beim Einloggen gespeichert. Diese Cookies dienen dazu den Nutzer zu authentifizieren und sind zwingend notwendig. Durch die Entscheidung des EuGH im Oktober 2019 sind viele Unsicherheiten entstanden ob technisch notwendie Cookies erlaubt sind oder auch der Einwilligung bedürfen. Da DIVERA 24/7 immer einen sehr transparenten Umgang mit Daten verfolgt, haben wir uns für die Einwilligung entschieden.
Externer Datenschutzbeauftragter
Zu den vornehmlichen Aufgaben eines externen Datenschutzbeauftragten gehören u.a.
- die Beratung und Betreuung der Geschäftsführung in Datenschutzfragen
- die Beratung und Betreuung der Mitarbeiter
- die Schulung und schriftliche Verpflichtung der Mitarbeiter auf das Datengeheimnis
- die Beratung, Schulung und fortlaufende Sensibilisierung zu Datensicherungsmaßnahmen
- die Überwachung und bei Bedarf Vorabkontrolle der ordnungsgemäßen Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten
- die Mitwirkung bei der gesetzlich vorgeschriebenen Dokumentation (Verfahrensverzeichnisse, Protokolle etc.)
- die Unterstützung bei der datenschutzgerechten Ausgestaltung von Verträgen bei externer Auftragsdatenverarbeitung
Das wichtigste Ziel der DSGVO ist es die Rechte der Betroffenen zu stärken und Transparenz zu schaffen über Kontrolle und Verantwortlichkeit von personenbezogenen Daten. Ziel ist hier vor allem Kinder, Minderjährige, Beschäftigte und besonders sensible Daten von einzelnen Personen besser zu schützen. Unser Dienst richtet sich nicht an Minderjährige, (https://www.divera247.com/nutzungsbedingungen.html).
Datenschutzerklärung und Datenschutzkonzept
Unsere Datenschutzerklärung erläutert ausführlich, welche Daten wir erheben, welche Daten wir speichern und was wir mit den Daten machen. Bei weiteren Fragen wenden Sie sich an support@divera247.com. Der Vertrag zur Auftragsverarbeitung ergänzt diese Ausführungen und macht nochmal konkretere Angaben zum Hosting und zu eingesetzten Unterauftragsnehmern. Sie können ihn im Kundenbereich mit uns abschließen, weitere Informationen zur Auftragsdatenverarbeitung finden Sie auch auf dieser Seite weiter unten.
Prüfbericht unseres Hosters
Den aktuellen Prüfbericht zur ISO-27001 Zertifizierung vom 25.01.2019 durch die TÜV Rheinland i-sec GmbH erhalten Sie auf Anfrage.
Weitere Erläuterungen
Der vorliegenden Artikel kann nicht die DSGVO erklären. Wir möchten aber einige wichtige Punkte erläutern.
- Auftragsverarbeitung
- Datensparsamkeit
- Pseudonymisierung und Anonymisierung
Was ist Auftragsdatenverarbeitung?
Auftragsdatenverarbeitung bezeichnet das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen Dienstleister (Auftragnehmer, also DIVERA 24/7). Der Dienstleister ist an die Weisungen des Auftragsgebers (Das sind unsere Kunden die sich bei uns registrieren) gebunden. Die Grundlage für diese Zusammenarbeit ist ein schriftlicher Vertrag (ADV-Vertrag). Maßgeblich für diese Auftragsdatenverarbeitung war der § 11 BDSG und in Ansätzen der Artikel 17 der EU-Datenschutzrichtlinie. Der Artikel 28 DSGVO regelt die ADV künftig jedoch wesentlich detaillierter und führt einige neue Begriffe ein.
- Aus Auftragsdatenverarbeitung wird Auftragsverarbeitung.
- Dementsprechend heißt ein ADV-Vertrag künftig wohl nur noch AV-Vertrag.
- Sie als Auftraggeber werden durch die DSGVO zum „für die Verarbeitung Verantwortlichen“ – kurz Verantwortlichen
- Der Auftragsnehmer wird zum Auftragsverarbeiter.
AV-Verträge müssen künftig nicht mehr ausschließlich schriftlich vorliegen, sondern können auch in elektronischer Form abgeschlossen werden (Art.28, Abs. 9 DSGVO). Für DIVERA 24/7 wird das Auftragsverhältnis ab 2021 über eine Allgemeine Geschäftsbedingung Datenschutz zur Auftragsverarbeitung geregelt:
Bisher waren die Kunden als Auftraggeber vollständig und so gut wie allein verantwortlich und auch haftbar für die Verarbeitung der Daten, selbst wenn ein Dienstleister als Auftragnehmer im Spiel ist. Der Artikel 28 der EU-Datenschutz-Grundverordnung (DSGVO) verteilt die Last der Verantwortung ab dem 25. Mai 2018 auf beide Schultern von Auftraggeber und Auftragnehmer: Durch die DSGVO wachsen Auftraggeber und Auftragnehmer also mehr zusammen, wenn es darum geht, die Verantwortung zum Schutz der personenbezogenen Daten zu übernehmen.
Die Datenverarbeitung im Auftrag als gemeinsame, gleichberechtigte Verantwortungsaufgabe von Auftraggeber und Auftragnehmer, Joint Control genannt, regelt der Artikel 26 der DSGVO. Dabei legen zwei oder mehrere Verantwortliche die Zwecke und Mittel zur Verarbeitung personenbezogener Daten transparent fest. Diese neue Möglichkeit der beiderseitigen Verantwortung kannte das BDSG nicht.
Datensparsamkeit
Ein Grundsatz des Datenschutzes ist die Datensparsamkeit. Datenvermeidung und Datensparsamkeit ist ein Konzept im Bereich Datenschutz. Die Grundidee ist, dass bei der Datenverarbeitung nur so viele personenbezogene Daten gesammelt werden, wie für die jeweilige Anwendung unbedingt notwendig sind und auch nur solange gespeichert werden wie erforderlich.
In DIVERA 24/7 können Löschfristen hier eingestellt werden, um Alarmierungen, Mitteilungen und Termine automatisch zu löschen. Diese gelöschten Daten sind unwiederbringlich gelöscht und können somit auch nicht wiederhergestellt werden.
Im Bereich der Alarmierung kann festgelegt werden, welche Daten übertragen werden. Wir empfehlen nur die notwendigen Daten zu übertragen.
Pseudonymisierung und Anonymisierung
DIVERA 24/7 bietet verschiedene Möglichkeiten personenbezogenen Daten zu minimieren. Dies sind ganz einfache Maßnahmen, wie das automatische Abkürzen von Namen und/oder Vorname. Dabei wird aus Klaus Mustermann z.B. Klaus M., K. Mustermann oder K.M.
Im Extremfall benötigt DIVERA 24/7 keine personenbezogenen Daten. Es reicht eine fiktive Mailadresse (Aus Spamschutzgründen muss die Domäne allerdings existieren) für den Login und ein Pseudonym. Wichtig ist die Angabe der Qualifikation.