25. Mai 2018
DSGVO
Ein paar Anmerkungen zur Datenschutz-Grundverordnung (DSGVO), der Rolle von bookamat als Verantwortlicher und Auftragsverarbeiter, der Vereinbarung zur Auftragsverarbeitung und was wir bei bookamat alles unternommen haben, um den Anforderungen der DSGVO zu entsprechen.
bookamat als Verantwortlicher & Auftragsverarbeiter
Die DSGVO unterscheidet hinsichtlich der Verarbeitung personenbezogener Daten zwei verschiedene Rollen:
- Auftragsverarbeiter ist, wer in irgendeiner Art und Weise personenbezogene Daten verarbeitet.
- Verantwortlicher ist, wer über die Zwecke und Mittel der Verarbeitung von solchen personenbezogenen Daten entscheidet.
Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (sogenannte "betroffene Person") beziehen, wie z.B. Name, Adresse, E-Mail-Adresse etc.
bookamat als Verantwortlicher
bookamat ist Verantwortlicher hinsichtlich der personenbezogenen Daten, die KundInnen im Rahmen der Registrierung und beim Kauf von Jahrespaketen als Rechnungsdaten eingeben. Diese Daten umfassen beispielsweise Name, Adresse, UID-Nummer, E-Mail-Adresse etc.
Bei Auskunftsanfragen können diese Daten mitgeteilt werden.
bookamat als Auftragsverarbeiter
bookamat ist Auftragsverarbeiter hinsichtlich der Daten, die KundInnen als Verantwortliche bei der Verwendung der bookamat Software selbst eingeben. bookamat wird hier im Auftrag von KundInnen tätig und verarbeitet die eingegebenen Daten zu einem bestimmten Zweck. Dieses Verhältnis ist in den Allgemeinen Geschäftsbedingungen (AGB) geregelt.
Die AGB umfassen eine Vereinbarung zur Auftragsverarbeitung, welche auch als PDF heruntergeladen werden kann. Diese Vereinbarung ist für alle KundInnen notwendig, damit sie ihren eigenen Verpflichtungen im Rahmen der DSGVO nachkommen können.
Subverarbeiter
bookamat verwendet ein paar externe Tools und Dienstleister für die laut Vertrag vorgesehenen Verarbeitungen. Darunter fallen derzeit
- das Versenden von Server-Mails (Postmark)
- die Bezahlung (Stripe)
- das Hosting, Server-Management und Backup (Robhost)
- das doppelt verschlüsselte Zusatz-Backup (AWS, kein Zugriff auf Daten durch AWS)
- das Versenden der Newsletter (Campaignmonitor)
- und die Verarbeitung von Anfragen via E-Mail, z.B. Feedback und Support (Front).
Wir haben – wie von der DSGVO erfordert – mit allen Subverarbeitern ebenfalls Verträge zur Auftragsverarbeitung abgeschlossen.
Updates
Im Zuge der Umsetzung der DSGVO haben wir ein paar Updates vorgenommen:
- Die Allgemeinen Geschäftsbedingungen (AGB) wurden aktualisiert und um die Vereinbarung zur Auftragsverarbeitung erweitert.
- Die Datenschutzhinweise wurden aktualisiert.
- Die Einstellungen von KundInnen zu Benachrichtigungen per E-Mail sowie Newslettern wurden deaktiviert, die KundInnen darüber informiert und gebeten, die Einstellungen zu überprüfen. An- und Abmeldungen unserer verschiedenen E-Mail-Services sind wie schon zuvor für KundInnen selbst jederzeit möglich.
- Wir haben ein Benachrichtigungssystem innerhalb der Applikation integriert, mit dem wir vermehrt auch ohne E-Mail-Benachrichtigungen über wichtige Updates und Änderungen informieren können.
- Wir haben die FAQ um den Punkt DSGVO erweitert.
Interne Maßnahmen
Im folgenden geben wir einen kurzen Einblick in interne Maßnahmen, die wir bei der Umsetzung der DSGVO getroffen haben:
- Wir haben ein Verzeichnis von Verarbeitungstätigkeiten erstellt.
- Wir haben unsere technischen und organisatorischen Maßnahmen (TOM) überprüft und dokumentiert.
- Wir haben unsere Datensicherheitsmaßnahmen überprüft und in einigen Details weiter verschärft bzw. optimiert.
- Wir haben unsere Allgemeinen Geschäftsbedingungen aktualisiert und um eine Vereinbarung zur Auftragsverarbeitung erweitert.
- Wir haben mit allen Subverarbeitern Verträge zur Auftragsverarbeitung abgeschlossen.
- Wir haben unsere Datenschutzhinweise überprüft und aktualisiert.
- Wir haben unsere internen Prozesse einer genauen Prüfung unterzogen und an einigen Stellen verbessert: Verzicht auf bzw. Löschung von nicht notwendigen Datensicherungskopien, durchgehende Aktivierung von 2-Factor-Authentication bei Subverarbeitern, regelmäßige Überprüfung von Prozessen etc.