Kunden und die DSGVO / Informationen zum Datenschutz

Einleitung

Am 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in allen europäischen Mitgliedstaaten in Kraft getreten. Trotz des Austritts des Vereinigten Königreichs aus der EU lautet die aktuelle Leitlinie, dass die DSGVO nach wie vor für das Vereinigte Königreich auf der Grundlage vergleichbarer inländischer Gesetze oder der Teilnahme am Binnenmarkt anwendbar ist.

Die DSGVO wurde speziell erarbeitet, um die Datenverarbeitung des 21. Jahrhunderts zu regeln.

In diesem Dokument stellen wir Ihnen einige der zentralen Punkte der DSGVO vor und erklären, wie wir diese als Auftragsverarbeiter Ihrer Daten umsetzen. Bitte beachten Sie, dass in diesem Dokument nur ausgeführt wird, wie Esendex mit Ihren Daten in seiner Funktion als Auftragsverarbeiter Ihrer Daten umgeht. Um Missverständnisse zu vermeiden, soll hier klargestellt werden, dass es sich dabei um die Daten handelt, die Sie uns zu Kommunikationszwecken übermitteln. Wir beziehen uns in diesem Dokument auf diese Daten als „Endanwender-Daten”, wobei es sich um die Daten handelt, die Sie kontrollieren und uns übermitteln, um in Ihrem Auftrag zu handeln. Weitere Informationen, wie wir als Datenverantwortliche Ihre Daten verarbeiten, erhalten Sie in unserer Datenschutzrichtlinie, die auf unserer Website verfügbar ist.

Einwilligung

Im Rahmen der DSGVO wurden die Maßstäbe für die Nutzung Ihrer Einwilligung als gesetzliche Grundlage zur Verarbeitung Ihrer Daten höher gesetzt. Ihre Einwilligung muss vom Datenverantwortlichen eingeholt, aufgezeichnet und verwaltet werden. Leitlinien zu den Änderungen hinsichtlich der Anforderungen an die Einwilligung laut DSGVO sind vom BfDI erstellt worden, der diese auf seiner Website veröffentlicht hat.

Der von uns zur Verfügung gestellte Service bedeutet, dass Esendex der Auftragsverarbeiter der uns von Ihnen mitgeteilten Informationen zum Zwecke der Kommunikationsübermittlung ist, wobei Sie selbst der Datenverantwortliche sind.

Esendex handelt ausschließlich basierend auf Ihren Anweisungen und verarbeitet Ihre Daten, um Ihren Endanwendern Mitteilungen zu senden. Esendex holt keine Einwilligung von Datensubjekten in Ihrem Namen ein und speichert oder verwaltet diese auch nicht. Sie als Datenverantwortlicher tragen die Verantwortung für die Aufzeichnung der Einwilligung von Datensubjekten, die wir benötigen, um Mitteilungen basierend auf den von Ihnen zur Verfügung gestellten Informationen zu übertragen und müssen bei Bedarf in der Lage sein, dies nachzuweisen. Wir interagieren nicht direkt als Esendex mit Ihren Endanwendern. Alle Mitteilungen werden auf Ihr Gesuch hin versendet, so als ob sie direkt von Ihnen kämen, wobei wir selbst eine „transparente“ Rolle innerhalb des Kommunikationsprozesses spielen.

Aufbewahrung von Daten

Esendex geht davon aus, dass eine übermäßige Aufbewahrung von Daten nicht mit den Datenschutzvorschriften vereinbar ist. Deshalb speichert Esendex Ihre Messaging-Daten nicht länger als zwei Jahre ab dem Datum der Übermittlung der Kommunikation – es sei denn, es wird etwas anderes vereinbart – beispielsweise, wenn eine Zero-Day-Datenaufbewahrung für das Konto angewendet wird.

Alle Felder mit personenbezogenen Daten werden nach Ablauf der Aufbewahrungsfrist bearbeitet, um anschließend dauerhaft gelöscht zu werden. Die Messaging-Daten beschränken sich auf die Mobiltelefonnummer und den Inhalt der Nachricht.

Die Speicherung der personenbezogenen Daten erfolgt sicher, in einer Umgebung mit Zugriffskontrolle, getrennt von allen anderen Netzwerken von Esendex. Die in diesen sicheren Umfeldern verwendete Hardware ist im Besitz von Esendex.

„Download-Daten versendeter Elemente“, die in Microsoft Azure (UK) gespeichert sind, werden 12 Monate lang aufbewahrt und anschließend innerhalb der Azure-Instanz gelöscht.

Von Daten, die über unsere Messaging Studio-Anwendung übertragen werden, werden Kopien in Microsoft Azure im Vereinigten Königreich gespeichert. Die Aufbewahrungsfrist für Berichtsdaten/Analysedaten wird von Ihnen, dem Kunden, festgelegt. Auch Betriebsdaten werden in Azure gespeichert, was im Einklang steht mit der Standard-Aufbewahrungsfrist von Esendex für Messaging-Daten (2 Jahre).

Über unsere Outbound-Voice-Kanäle übertragene Daten werden zwei Jahre lang gespeichert.

Datenschutzmaßnahmen

Esendex ist nach der ISO27001 Norm für Informationssicherheit zertifiziert und agiert dementsprechend. Eine Kopie unseres Zertifikats findet sich hier.

Diese Norm gilt für alle Geschäftsbereiche. Sowohl unsere Büros als auch unsere Produktionsumgebungen werden jährlich von einem externen, akkreditierten Auditor zertifiziert.

Eine kundenseitige Version des Benutzerhandbuchs für unser Information Security Management System (ISMS), in dem diese Maßnahmen ausgeführt werden, steht den Kunden auf Anfrage zur Verfügung. In dem Benutzerhandbuch wird ausgeführt, wie wir Kontrollen im Zusammenhang mit ISO 27001 bei Esendex implementieren. Als allgemeines Beispiel zur Veranschaulichung hat Esendex unter anderem die folgenden Maßnahmen umgesetzt:

Zugangskontrolle

• Der Zugang der Mitarbeitenden zu allen Systemen wird über einen Benutzernamen und ein einmaliges Passwort kontrolliert. Im Rahmen der Passwort-Richtlinie von Esendex müssen grundlegende Komplexitätsanforderungen und Verfahren eingehalten werden, um sicherzustellen, dass die Passwörter von allen Mitarbeitenden regelmäßig geändert werden.
• Der gesamte Datenzugang von Esendex basiert auf der Grundlage der geringsten Rechte, sodass die Mitarbeitenden nur Zugang haben zu den Daten, die sie wirklich zur Ausübung ihrer Tätigkeit benötigen.
• Der Zugang zu Kundendaten ist basierend auf unserer Grundlage der geringsten Rechte streng eingeschränkt, wird regelmäßig überwacht, um sicherzustellen, dass Verfahren für Neuzugänge, versetzte Mitarbeitende und Mitarbeitende, die das Unternehmen verlassen, von allen betroffenen Teams eingehalten werden.

Firewalls

• Wir setzen für alle Elemente unserer Infrastruktur, die mit dem Internet in Kontakt kommen, Firewalls ein und kontrollieren den Datenverkehr in unser Unternehmen und nach außen. Firewalls sind auch immer auf allen Endpunkten der Mitarbeitenden aktiviert.
• Auf den Firewalls unserer Produktionsumgebungen sind IDS- und IPS-Systeme aktiviert.

Antivirus

• Alle Endpunkte unserer Mitarbeitenden und Server in unserer Zahlungsumgebung werden unter Einsatz angemessener Echtzeit-Antivirus-, Anti-Spyware und Anti-Malware-Software geschützt.
• Wir haben eine Anti-Malware-Richtlinie, um sicherzustellen, dass die Mitarbeitenden ihre Pflichten hundertprozentig kennen und den Betrieb der Anwendung nicht behindern.

Sicheres Material, einschließlich Laptops und Mobiltelefone

• Alle Laptops und Mobiltelefone des Unternehmens sind Full Disk Encrypted und individuell mit einem Passwort geschützt. Alle von Esendex erstellten Unterlagen müssen in einem sicheren Online-Speicher aufbewahrt werden und nie auf den Endpunkten der Mitarbeitenden.
• Kundendaten werden nur in der Produktionsumgebung von Esendex gespeichert, die Mitarbeitenden von Esendex speichern keine Kundendaten auf ihren Endpunkten und verarbeiten auch keine Daten außerhalb der sicheren Produktionsumgebungen. Da die meisten Mitarbeitenden mit Laptops arbeiten, werden im Allgemeinen keine Wechselspeicher benötigt. Bei Bedarf unterliegen Wechselspeicher denselben Kontrollen wie unsere Richtlinien für Mobilgeräte und für die Speicherung von Kundendaten.
• Die Mitarbeitenden sind sich der Risiken bewusst, die mit einem Transport von Material des Unternehmens in eine Umgebung außerhalb der Büroräume verbunden sind und wissen, dass der Schutz des eigenen Materials grundlegend wichtig ist.

Übertragung von Daten / Verschlüsselung

• Alle Übertragungen von Endkundeninformationen aus Hardware und Netzwerken, die im Besitz von und unter der Kontrolle von Esendex stehen, erfolgen über VPN-Verbindungen. Auf diese Weise übertragen wir unsere Daten an Netzwerkbetreiber für die Bereitstellung von Mitteilungen.
• Verbindungen mit unseren Systemen werden abhängig von der angewendeten Methode abgesichert:
• Wenn Sie sich über unsere Webanwendung anmelden, wird die Verbindung über TLS 1.2. verschlüsselt und authentifiziert.
• Wenn Sie ein automatisiertes SFTP-Tool für die Übertragung von Dateien an Esendex nutzen, wird dieses über SSH abgesichert.
• Wenn Sie sich mit uns über eine unserer API vernetzen, hängt die Sicherheit der Verbindung von Ihrer Integration ab. Wir empfehlen Ihnen die Nutzung von HTTPS, anstatt HTTP bei Ihrer Integration mit uns.

Backup, Disaster Recovery and Business Continuity

Wir planen regelmäßige Backups, die auch entsprechend ausgeführt werden, um sicherzustellen, dass alle Daten sicher und geschützt gespeichert werden und für eine Wiederherstellung im Fall einer Disaster Recovery-Situation verfügbar sind.

• Jeden Tag wird ein vollständiges Backup von Systemen, Servern und Datenbanken erstellt.
• Alle 15 Minuten werden Transaktionslog-Backups erstellt.
• Einige Backups werden in unserem Disaster Recovery Rechenzentrum gespeichert.
• Wir haben Pläne für Business Continuity und Disaster Recovery, um sicherzustellen, dass wir den geschäftlichen Schaden basierend auf einem zentralen Problem mit Folgen für Mitarbeitende, Büroräume und Rechenzentren sowie Material auf ein Minimum beschränken können.

Kontrolle

• Unsere Plattform wird kontinuierlich von unserem Einsatzteam kontrolliert, wobei Esendex ein spezifisches Einsatzteam hat, das bei Bedarf sicherstellt, dass alle Plattformen 24/7/365 kontrolliert werden. Probleme werden mit den Beteiligten besprochen und im Rahmen unserer soliden Vorfallsmanagementverfahren bewältigt, um zu garantieren, dass unser Besitz sicher und fehlerfrei bleibt.
• Wir konsultieren regelmäßig Berichte zu Sicherheitslücken der Branche und prüfen alle Sicherheitslücken der Branche auf einer regelmäßigen Grundlage, wobei neue Bedrohungen täglich ausgewertet werden. Wenn wir erkennen, dass wir eine möglicherweise anfällige Komponente verwenden, wird das Risiko im Rahmen unserer Geschäftstätigkeit und in unserem Umfeld beurteilt und wir beheben das Problem bei Bedarf schnellstmöglich.
• Wir wenden Verfahren an, um sicherzustellen, dass alle Datenspeicher nach Ende der Nutzungsdauer physisch und auf eine sichere Art und Weise zerstört werden; wir bereiten Medien nicht auf und verwahren Kopien von Zertifikaten zur Vernichtung von Datenträgern von unseren zuverlässigen und zertifizierten Anbietern für die sichere Vernichtung von Hardware.
• Wir führen einmal pro Jahr Penetrationstests aus, in Zusammenarbeit mit einem zertifizierten Drittanbieter. Außerdem führen wir externe und interne Sicherheitslücken-Scans aus unter Zusammenarbeit mit Authorised Scanning Vendors und Anwendungen zur Bewertung von Sicherheitslücken.

Mitarbeiterschulungen und Ausbildungen

Alle Mitarbeitenden:

• werden vor der Einstellung streng überprüft, im Einklang mit unserer Einstellungspolitik; sie müssen einen Eignungstest erfolgreich abschließen und vor einer Vollbeschäftigung werden unterschiedliche Prüfungen durchgeführt. Zu diesen Prüfungen zählen: Ausbildung, Beschäftigung, Recht zu arbeiten und Strafregister. Für bestimmte Stellen werden zusätzliche Prüfungen durchgeführt, z. B. im Finanzbereich.
• Die Mitarbeitenden werden bei einem Einarbeitungsverfahren und einmal pro Monat im Rahmen einer kontinuierlichen E-Learning-Initiative hinsichtlich der Wichtigkeit von Datensicherheit bei Esendex geschult und erfahren mehr über die Maßnahmen, die sie zum Schutz von personenbezogenen, Unternehmens- und Kundendaten umsetzen müssen.
• Die Geheimhaltungspflicht für alle Mitarbeitenden wird als Teil des Arbeitsvertrags klar definiert.

Richtlinien und Verfahren

Ergänzend zu den weiter oben aufgeführten Punkten pflegen, vollstrecken und unterstützen wir Richtlinien und Verfahren basierend auf der Norm ISO27001 für:

• die Sicherheit von Geschäftsräumen;
• die Sicherheit von am Standort gespeicherten Daten;
• die sichere Speicherung, Löschung und Entsorgung von Kundendaten;
• Verbot der Nutzung von personenbezogenen Geräten und Konten für berufliche Zwecke;
• vertretbare Nutzung von Materialien im Besitz von Esendex.

All diese Maßnahmen sowie das gesamte ISO-System werden einmal pro Jahr intern vom Compliance-Team und extern von unserer unparteiischen Akkreditierungsstelle geprüft, wobei das Compliance-Team auch auf einer Ad-hoc-Basis Security Sweeps ausführt, um sicherzustellen, dass bestimmte Richtlinien von allen Mitarbeitenden eingehalten werden.

Risiken

Esendex bewertet kontinuierlich alle Risiken. Es werden detaillierte Risikobewertungspläne und Maßnahmenpläne erstellt, die dem Unternehmen dabei helfen sollen, die Auswirkungen und/oder Potenzialität des identifizierten Risikos zu reduzieren. Die Risiken und Maßnahmenpläne werden regelmäßig überarbeitet und wir bewerten die Risiken im Zusammenhang mit unseren Systemen, unseren Mitarbeitenden, Vermögenswerten und Unternehmensabläufen. Esendex beurteilt diesen Bereich im Einklang mit Anforderungen wie der Norm ISO 27001, wobei wir zugleich auf kontinuierliche Verbesserungen Wert legen.

Wir setzen Enterprise Risk Management Software ein, um unseren Ansatz im Bereich Risikomanagement zu unterstützen und zu verbessern. Wir identifizieren Wechselbeziehungen als Risiken für unser Unternehmen und Sicherheitsziele über Risikoregister unter Umsetzung der entsprechenden Maßnahmen, um diese Risiken effizient zu beheben.

Meldung von Verstößen

Esendex wendet alle weiter oben aufgeführten Maßnahmen an, um sicherzustellen, dass Ihre Daten als Teil unserer Datenverarbeitungsaktivitäten abgesichert sind. Wenn eine Datenverletzung auftritt, werden wir Sie unverzüglich über das Sicherheitsproblem informieren, das zu einer Datenverletzung mit Ihren Kundendaten geführt hat.

Wir haben auch:

• Sicherheitsmaßnahmen in unseren IT-Systemen, Netzwerken und für unsere allgemeinen Geschäftsabläufe umgesetzt, um Sicherheitsprobleme effizient aufzudecken und zu beheben.
• einen Vorfallreaktionsplan entwickelt, um bei Vorfällen direkt reagieren zu können und alle Mitarbeitenden geschult, damit sie bei einem Vorfall wissen, wie sie sich verhalten müssen.
• Mitteilungen an die Kunden erstellt, die bei einem Vorfall versendet werden.

Datenschutzbeauftragte

Esendex hat ein spezifisches Compliance-Team, das für alle Fragen, Anträge, Probleme und Anfragen zum Thema Datenschutz innerhalb des Unternehmens zuständig ist. Esendex hat auch einen externen Datenschutzbeauftragten benannt, Janz Consulting, um auf Beratungsbasis fachliche Beratung zu leisten.

Fragen zum Thema Datenschutz können Sie mit Ihrem Account Manager besprechen. Zugriffsanfragen von Datensubjekten werden im folgenden Abschnitt ausgeführt.

Rechte von Datensubjekten

In seiner Funktion als Datenauftragsverarbeiter antwortet Esendex nicht direkt auf Fragen eines Ihrer Kunden, dessen Daten wir verarbeitet haben. Wir kontaktieren Sie, um Sie auf die Anfrage hinzuweisen und leisten Ihnen Hilfestellung, um die im Rahmen der DSGVO aufgeführten Vorgaben zu erfüllen. Hier ein paar Beispielfälle, in welchen wir Sie gegebenenfalls unterstützen müssen, um den Rechten eines Datensubjekts gerecht zu werden:

Zugriffsanfragen von Datensubjekten

Datenverantwortliche sind für die Sicherung der Einhaltung der Zugriffsanfragen von Datensubjekten entsprechend den Anforderungen der DSGVO verantwortlich. Der BfDI bietet Datenverantwortlichen Leitlinien als Hilfestellung bei der Erfüllung ihrer Verpflichtungen.

Daten, die Sie an Esendex übermittelt haben, können zu diesem Zweck zur Verfügung gestellt werden, sofern sie noch von uns gespeichert sind. Zugriffsanfragen von Datensubjekten können über unser Formular für Zugriffsanfragen von Datensubjekten gestellt werden. Für Anfragen dieser Art kann eine Gebühr berechnet werden – bitte wenden Sie sich für Einzelheiten an Ihren Account Manager. Zugriffsanfragen von Datensubjekten werden binnen 30 Tagen nach Eingang Ihrer Anfrage erledigt. 

Recht auf Vergessenwerden und Löschen

Datensubjekte haben das Recht, um Löschung ihrer Informationen zu bitten, wenn sie sich gegen eine Verarbeitung entscheiden oder ihre Zustimmung zurückziehen möchten. Im Vereinigten Königreich wurde dieses Recht verwendet, um fehlerhafte Informationen über Datensubjekte anzupassen, wie beispielsweise in Suchergebnissen über Google. Trotz der Verbesserungen gibt es kein absolutes Recht auf Vergessenwerden, aber möglicherweise werden Datenverantwortliche mehr Anträge zum Löschen der Daten erhalten.

Anträge zum Löschen spezifischer Daten können bei Ihrem Account Manager eingereicht werden.

Aufzeichnung von Verarbeitungsaktivitäten

Esendex ist der Datenauftragsverarbeiter aller Kundeninformationen. In dieser Funktion verarbeiten wir Ihre Daten nur basierend auf Ihren Anweisungen und um Ihnen die Kommunikationsdienste zur Verfügung zu stellen, die Teil des zwischen Ihnen und uns abgeschlossenen Vertrags sind. Der einzige Zweck unserer Verarbeitungstätigkeiten ist die Übertragung und Zurverfügungstellung von Kommunikationsdiensten für Ihre Endanwender.

Wir speichern alle Nachrichten, die wir in Ihrem Auftrag und im Einklang mit unserer Datenaufbewahrungsrichtlinie versenden. Wie im Abschnitt „Aufbewahrung von Daten“ ausgeführt, erfolgt die Aufbewahrung maximal über einen Zeitraum von zwei Jahren ab dem Datum der Zusendung einer Mitteilung.

Transfer an Dritte

Esendex leitet Ihre Informationen an Netzwerkbetreiber weiter, um Ihre Mitteilungen auf die Mobilgeräte der Endanwender weiterzuleiten oder auf Netzabschlusspunkten zur Verfügung zu stellen. Diese Art von Transfer ist untrennbar mit der Bereitstellung unserer Produkte und Dienstleistungen verbunden.

Über unsere Voice-Produkte übermittelte Daten werden über einen Session Initiation Protocol (SIP) Stack weitergeleitet, der in unserem Derby Rechenzentrum, Node 4, gehostet wird. Der Rechenzentrum SIP Stack ermöglicht die Verbindung zu Netzwerkanbietern zwecks Bereitstellung von Mitteilungen.

Eine Funktion unseres Services – Download von versendeten Elementen – wird auf Microsoft Azure (UK) gehostet.

Messaging Studio und Rich Content/Communications Service (RCS) Daten werden für einen direkten Einsatz über Microsoft Azure (UK) gehostet.

Für alle von uns genutzten Drittpartei-Netzwerke haben wir eine Due Diligence-Prüfung ausgeführt, um sicherzustellen, dass alle Anbieter angemessene technische und organisatorische Maßnahmen umgesetzt haben, um die Sicherheitsstandards zu gewährleisten, die im Wesentlichen dieselben sind wie jene, die in diesem Dokument für unsere eigene Infrastruktur beschrieben werden.

Wir haben auch Verträge mit allen Dritten abgeschlossen, um die Datenschutzpflichten aller Parteien zu stärken und um die in den zwischen Ihnen und uns in Datenverarbeitungsvereinbarungen ausgeführten Mindestanforderungen zu erweitern.

Datenverarbeitungsvereinbarungen

Esendex hat eine Datenverarbeitungsvereinbarung erarbeitet, die unseren Kunden zur Verfügung steht, um sicherzustellen, dass Sie Ihren Pflichten als Datenverantwortlicher im Rahmen der DSGVO nachkommen. Unsere Datenverarbeitungsvereinbarung wird auf Anfrage über Ihren Account Manager zur Verfügung gestellt.

Datenkarten

Als Teil unseres Datenschutz-Systems hat Esendex ein umfassendes Datenmapping unserer Systeme erstellt, um „Data Lifecycle“ für alle von uns erfassten und kontrollierten personenbezogenen Daten zur Verfügung zu stellen. Kundenseitige Versionen unserer Datenkarten stehen auf Anfrage zur Verfügung, um Ihnen bei der Erfüllung Ihrer Pflichten im Rahmen der Rechenschaftspflicht der DSGVO zu helfen. Derartige Anträge können über ihren Account Manager eingereicht werden, der Ihnen spezielle Datenkarten zu den von uns angebotenen und von Ihnen genutzten Produkten und Dienstleistungen weiterleiten kann.

Datenschutzfolgenabschätzungen

Im Zusammenhang mit bestimmten Datenverarbeitungsvorgängen ist gegebenenfalls die Durchführung einer Datenschutzfolgeabschätzung seitens unserer Kunden notwendig, um sicherzustellen, dass die Rechte und Freiheiten der Datensubjekte berücksichtigt wurden, bevor die angebotenen Datenverarbeitungsaktivitäten durchgeführt werden. Esendex ist ein Anbieter für Business-Kommunikation und hat keine Einblicke in die von Ihnen über unsere Plattform gesendeten Inhalte. Wenn Ihre Datenverarbeitungsaktivitäten mit hohen Risiken verbunden sind oder Sie spezielle Datenkategorien verarbeiten, benötigen Sie gegebenenfalls unseren Input für Ihre Datenschutzfolgeabschätzungen. Bitte besprechen Sie alles zu diesem Thema mit Ihrem Account Manager.