DATENSCHUTZERKLÄRUNG gem. DSGVO
Erklärung der GartenMedien GmbH & Co. KG (GM) zur Umsetzung und Anwendung aktueller Datenschutzbestimmungen:
Aktuelle Rechtslage:
Laut Bundesdatenschutzgesetz (→ dejure.org/gesetze/BDSG ) und den begleitenden Gesetzen sind Firmen verpflichtet, die Datenschutzbestimmungen einzuhalten.
Ab dem 25.5.2018 ist auch die europäische Datenschutzgrundverordnung (→ www.dsgvo-gesetz.de , www.digitales.oesterreich.gv.at/datenschutz-grundverordnung ) verpflichtend. Die GartenMedien GmbH & Co. KG (GM) ist bestrebt, rechtliche Vorgaben und darüber hinaus durch Datensparsamkeit und Datenschutz „by Design“ einzuhalten.
1. Was heisst dies allgemein für Kunden und Mitarbeiter der GartenMedien GmbH & Co. KG (GM)?
GM setzt nur dort personenbezogene Daten ein, wo es für den typischen Geschäftsablauf, wie Angebote, Auftragsabwicklung, Akquise anders nicht geht und Ansprechpartner oder thematische Bezugspersonen unverzichtbarer Teil der Kommunikation sind. Dies kann aus der natürlichen Funktion von Personen z.B. Geschäftsleitung oder in der Zuständigkeit für einen bestimmten Bereich entstehen.
Dies sind insbesondere:
- Im Kaufmännischen: Bestellungen/Klärungen/Auftragsannahme/Rechnungen/Mahnungen.
- GM-interne Kontaktdatenbank zur Kontaktaufnahme/-verwaltung/Korrespondenz.
- Lieferantenverträge.
- Aufnahmeerlaubnisse in Gärten und Anlagen.
- Modelverträge.
- Abklärung und Dokumentation von Urheberrechten und weiterer Schutzrechte.
- Kaufmännische Software inkl. Dokumentation der Verkaufshistorie.
- Kundenverzeichnisse, bzw. Messekontakte oder geschäftsbezogene Firmendaten.
- Login-Daten.
- Mitarbeiterdaten.
- Technik.
1.1 Geschäftsinterne Datenbank/en zur Verwaltung von Kundenkontakten und Akquise:
GM pflegt und verwaltet interne Datenbank/en
- Über unsere besuchten Gärten mit Ansprechpartnern.
- Über Messen-und Firmenkontakte mit Ansprechpartnern und deren Funktion in Geschäftsleitung und in untergeordneten Funktionen/Abteilungen.
1.2 Auskünfte, Berichtigung, Sperrung, Löschung:
Unsere Kunden haben das Recht, im Rahmen des Bundesdatenschutzgesetzes, Auskunft, Korrektur und Löschung der über sie bei uns gespeicherten Daten zu erfahren.
Aus Datenschutzgründen erteilen wir nur legitimierten Personen, z.B. per Einschreiben, diese Auskünfte. Die dafür entstehenden Rück-Porto-/Einschreibe-Kosten sind vorab mit der Ziel-Adressangabe zu überweisen. Wir können aber nicht garantieren, dass überhaupt persönliche Daten vorliegen. Die Bearbeitung von Anträgen selber ist unentgellich, sofern diese nicht offenkundig unbegründet sind oder durch Wiederholung exzessiv ausgenutzt werden.
Auf Antrag löschen wir persönliche Daten – nach Sicherstellung der Berechtigung des Antragstellers - wo Archivierungszwänge, Vertrags- oder verpflichtende Dokumentationen und/oder Geheimhaltungspflichten als auch die Wahrung unserer berechtigten Interessen dem nicht entgegenstehen. Auch Sperrungen sind möglich.
1.3 Datenweitergabe:
Wir geben Daten nicht an Dritte weiter oder handeln damit.
Ausnahmen gibt es da, wo zur Erfüllung und Durchführung des Kundenauftrages oder der Meldung von Mitarbeiterdaten zur Sozialversicherung, bzw. an die Künstlersozialkasse etc. die Angabe von Personendaten zwingend erforderlich ist.
Bei Auftragsabwicklungen sind dies z.B. die Reservierung eines Domainnamens, für die Bestellung und Auslieferung von Waren die Angabe einer Lieferadresse sowie die geschäftliche Telefonnummer an den Paketdienstleister. Wir geben hier nur die notwendigsten Daten weiter.
1.4 Interne und externe Mitarbeiter:
Unsere Mitarbeiter sind angewiesen, mit Personendaten vertraulich umzugehen und haben als zusätzliche Sicherheit im Regelfall keine Rechte zum Zugriff auf Personendaten.
1.5 Sicherheit:
Die externen Mitarbeiter arbeiten in getrennten physikalischen Netzen gegenüber dem internen Netz von GM und haben daher keinen Zugriff auf das interne Netz von GM, in dem Personendaten vorgehalten werden.
1.6 Login-Daten:
Zum sicheren Einloggen der externen Mitarbeiten erlauben wir den Zugang nur über vorher freigegebene Login-Daten. Als Ergänzung wird über ein bestimmtes Sicherheitsbedürfnis hinaus ein Anmelden über 2FA „2. Faktor Authentifizierung“ - z.B. über zusätzlichen Stick oder Smartcard - gefordert.
1.7 Mitarbeiterdaten:
Wir verarbeiten und archivieren die erforderlichen Mitarbeiterdaten (intern/extern) im internen erforderlichen Umfeld. Dazu gehören u.a. Mailadresse, Anschrift, Login-Daten.
1.8 Zusätzliche Hinweise:
Nach Artikel 32 DSGVO wägen wir im Sinne des Standes der Technik permanent ab, ob wir Sicherheit durch Aufwand oder vorausschauend implementieren. So ist bei uns die Trennung in verschiedene logische und physikalische Netze obligatorisch.
1.9 Empfehlungen:
Wir verwenden bevorzugt offene Systeme, die nicht durch Klassifizieren der Besucher oder Werbung Ihr Geld verdienen, wie z.B. www.openstreetmap.org, zur Anzeige von Landkarten.
Wir empfehlen für vertrauliche Kommunikation, verschlüsselten Mailverkehr einzurichten, da dann niemand – auch wir nicht – einsehen kann. Dieses kann aber nur der Kunde, bzw. die Mailteilnehmer auf seinem/Ihren Rechner/-n machen.
2. Newsletter - Fax-Rundschreiben - Kunden-Akquise
GM versendet mehrmals im Jahr, insbesondere vor Saisonanfang oder zu bestimmten geschäftlichen Terminen, wie Messeeinladungen, oder zu branchenspezifischen Terminen, wie vor der Beet- & Balkon- oder Rosensaison, Newsletter oder Faxe an ihre Kunden-/Messe-/Geschäftskontakte.
Diese News gehen ausschließlich an Geschäftsadressen und dort an Funktionsträger, wie Geschäftsleitung, oder die zuständige Abteilungs-Bereichsleitung. Es handelt sich dabei in der Regel um Daten, die auch von den Betrieben in ähnlicher Weise bereitgestellt werden oder sogar veröffentlicht werden müssen.
Falls diese Funktionsträger unsere News (Newsletter, Fax) nicht mehr wünschen, ist die formlose Abbestellung jederzeit möglich. Zum Versenden von Mails nehmen wir das Angebot eines qualifizierten Dienstleisters aktuell "Cleverreach" wahr, bei dem wir aber bis auf das Erkennen, ob eine Mail angekommen ist, alle zusätzlichen Funktionen deaktivieren. Dazu geben wir die Daten wie Firma, Abteilung, Name, Mailadresse weiter. In dem Sie sich zum Newsletter anmelden akzeptieren Sie die Datenschutzrichtline von Cleverreach (→ www.cleverreach.com/de/datenschutz/ ) und deren Datensicherheit (→ www.cleverreach.com/de/datensicherheit/ ).
Derartige Softwarefunktionalitäten sind Bausteine von Mailingsoftware und können dabei auch auf Software-Funktionen, wie sie Google bereitstellt, zurückgreifen. Falls der Newsletterempfänger das nicht will, sollte er Javascript und Externe Bilder deaktivieren.
3. Speicherdauer und Speicherort
GM speichert Daten – mit wenigen Ausnahmen - intern und nicht extern oder in der Cloud. Dies gilt nicht für Webseiten von Kunden oder auch der eigenen oder externen Servern die zur Pflege der Webseiten notwendig sind. Mit dem Provider existiert ein AV Vertrag.
Bei kaufmännischen Daten, wie auch bei der Nachvollziehbarkeit von Geschäftsvorgängen sind wir den gesetzlichen Aufbewahrungspflichten unterworfen.
Bei Daten in der Cloud verwalten wir Zugang und Sicherheitsdaten und weisen Mitarbeitern oder Dritten, wie Übersetzungsbüros, Rechte zu. Personendaten verabeiten wir nicht in der Cloud.
Steuerrelevante Daten werden über unsere Steuerberatung bearbeitet. Dort existiert ebenfalls ein AV Vertrag. Dieser ist ebenfalls den gesetzlichen Aufbewahrungspflichten unterworfen.
Die Personendaten für unseren Newsletter für Gewerbetreibende und Handel wird intern verwaltet und für das automatisierte Mailing auf die Datenbank unseres News-/Mailingdienstleisters (Cleverreach siehe 2. Newsletter) exportiert und dort für unsere Mailingaufgaben verarbeitet. Mit Cleverreach existiert seit dem25.5.2018 ein AV-Vertrag.
Zur Wahrung unserer berechtigten Interessen werden rechtsrelevante Akte solange gespeichert wie Sie Wirksamkeit entfalten können und/oder unserer Rechtsdurchsetzung oder Dokumentation dienen können. Bei allen anderen Daten werden kontinuierlich Löschungen durchgeführt, sofern diese nicht mehr benötigt werden.
4. Ansprechpartner rund um das Thema Datenschutz
GartenMedien GmbH & Co. KG
Datenschutz / Peter Lorenz
Hinter der Breite 3/1
72149 Neustetten
datenschutz@gartenmedien.de
Bei Beschwerden richten Sie sich bitte an den Datenschutzbeauftragten Ihres jeweiligen (Kreises/Bundeslandes/)Landes.
5. Schlußwort:
Sie finden einen Fehler bei der Umsetzung? Wir sind für sinnvolle Korrekturen und Anregungen dankbar.
Aktualisiert am 20.05.2018
Hinweis: Die nachfolgenden Datenschutz-Bestimmungen gelten auch in Bezug auf uns selbst als Domaininhaber für unsere eigene(n) Präsenz(en). Dort sind wir Kunde und Auftraggeber in Personalunion.
Datenschutzerklärung des Webdienstleisters, der GartenMedien GmbH & Co. KG (GM), zur Umsetzung und Anwendung aktueller Datenschutzbestimmungen im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO:
Diese Datenschutzerklärung von GM betrifft ausschließlich die externe Verarbeitung von Daten im Rahmen der externen Webpräsenz(en) unserer Kunden. Die interne Verarbeitung bei Kunden (z.B. von Mails) ist hier nicht Gegenstand und nicht im Umfang unserer Auftragsverarbeitung.
Kundenspezifische Software (Webpräsenz/en) durch GM erstellt/verwaltet.
Aktuelle Rechtslage:
Laut Bundesdatenschutzgesetz (→ dejure.org/gesetze/BDSG ) und den begleitenden Gesetzen sind Firmen verpflichtet, die Datenschutzbestimmungen einzuhalten.
Ab dem 25.5.2018 ist auch die europäische Datenschutzgrundverordnung (→ www.dsgvo-gesetz.de , www.digitales.oesterreich.gv.at/datenschutz-grundverordnung ) verpflichtend. Die GartenMedien GmbH & Co. KG (GM) ist bestrebt, rechtliche Vorgaben und darüber hinaus durch Datensparsamkeit und Datenschutz „by Design“ einzuhalten.
Dies geschieht für kundenspezifische Software auf 2 Ebenen: Einerseits die Sicherstellung einer einer dem/der Bundesdatenschutzgesetz /DSGVO gerechten Verarbeitung innerhalb der jeweiligen Software (Stand 2018 i.d.R. nur Webpräsenzen) und Sicherstellung der Konformität der unterlagerten Software durch Auswahl des Providers (innerhalb der EU, schriftliche Zusicherung der Konformität und Weiterverarbeitung analog den europäischen Datenschutzgesetzen).
1. Auskünfte, Berichtigung, Sperrung, Löschung, Weitergabe von Personendaten durch GM:
GM leitet personenbezogene Daten einfach an den Inhaber der Präsenz weiter und hat mit deren Weiterverarbeitung und Archivierung nichts zu tun. Mails werden mit Ausnahme der Kontrolle durch einen eingeschalteten Spamfilter an die jeweiligen Empfänger weitergeleitet (siehe 3.3 Mailbehandlung). Bitte richten Sie alle diesbezüglichen Anfragen an den Inhaber der Domain. Dieser reicht Anträge ggf. an uns durch.
2. Ausnahmen:
Ausnahmen gibt es da, wo GM zur Erfüllung und Durchführung gesetzlicher Vorschriften oder Urteile Kommunikations- oder temporäre Daten, wie Logfiles, offenlegen muss.
3. Datenschutz bei von GM im Kundenauftrag erstellten/verwalteten websites:
Allgemein:
In den im Kundenauftrag erstellten Präsenzen vermeidet GM webintern die Benutzung von Zusatz-Diensten, die über das reine, unpersönliche Durchsuchen der Präsenz hinaus eine weitere Profilierung des jeweiligen Besuchers ermöglichen und damit konträr zum Datenschutz wirken (wie z.B. Advertisingsbibiotheken von Google (→ www.google.de ) und Facebook (→ www.facebook.de )). Die Funktion Suchmaschine, die Präsenzen unpersönlich durchsucht und gewichtet, wird selbstverständlich benutzt.
3.1 Cookies:
Sind kleine Dateien, die von Browsern wie Chrome, Mozilla Firefox, Safari, Internet Explorer beim Besuch von Internetseiten auf dem Rechner des Browsernutzers hinterlegt werden können. Diese haben ein Verfallsdatum und Merkmale zur Identifikation des Browsers. Damit kann der wiederholte Besuch von Seiten oder von Seitenfamilien, die dieselbe Software im Hintergrund benutzen, nachvollzogen werden.
GM benutzt zum Teil sogenannte Session-Cookies, die das Anmelden im Web an Dienste von uns erleichtern, in dem sie ein Anmelden innerhalb einer kurzen Zeitspanne ohne Passwort wieder zulassen. Mit diesen Cookies können aufgrund der kurzen Lebensdauer keine Internet-Profile aufgebaut werden.
GM benutzt diese Cookies nicht zur Identifizierung über eine Sitzung hinaus, sondern nur zur erleichterten Menüführung oder zum Anmelden. Diese Cookies können auch nicht von Dritten zur Klassifizierung oder Profilierung benutzt werden. Außerdem werden diese nach Schließen des Browser gelöscht. Nach unserer Einschätzung stehen dem nach Art 6 1 (f) DSGVO nichts entgegen.
3.2 IP-Adressen:
Diese, mehrere Zahlen enthaltenden, jeweils durch einen Punkt getrennten, IP-Adressen können einen Rechner in der Regel eindeutig kennzeichnen. Dieses kann auf Dauer fest für einen Web-Server oder auch nur temporär durch den Verbindungsaufbau, z.B. durch einen DSL-Anschluss für einen Besucher vergeben sein. Oftmals - aber nicht immer - lässt sich aufgrund der Kombinationen das Land des Besuchers, möglicherweise die Gegend, der Ort oder - bei fest vergebenen IP-Adressen - die Firma des Besuchers bestimmen.
GM archiviert IP-Adressen nur temporär zur Fehlersuche und/oder zur Bestimmung oder zum Nachvollziehen von Attacken aus dem Netz. Host-Provider von GM scramblen/verwürfeln aus Datenschutzgründen in den Logfiles die IP-Adressen.
3.3 Mailbehandlung:
Versand/Weiterleitung von Mails durch GM:
GM leitet Mails an den Kunden normalerweise ohne jegliche Archivierung an den Zieladressaten (Versand) oder an die Zielmailbox des Kunden (Empfang) bei seinem Provider (z.B. T-Online) weiter.
3.4 Kontaktmasken:
Daten, die in die Kontaktmaske der jeweiligen Webpräsenz eingetragen werden können, werden zunächst auf Korrektheit (Syntax, Vollständigkeit beim Ausfüllen der notwendigen Felder) und dann in einem weiteren Schritt nochmals überprüft, bevor Sie abgesendet werden.
In der Regel ist die Eingabe einer Maildresse des Kontaktaufnehmenden in die Formulare notwendig, der dann in einem optimierten Verfahren die Mail an die eingegebene Adresse nochmals zur Freigabe erhält. Erst nach Bestätigung durch Aufruf eines einmaligen Links im Mailprogramm (Opt-In) wird diese dann endgültig an den Kunden von GM weitergesendet. Die Verabeitung von Kontaktdaten erfolgt nach Art 6 DSGVO b) zur Erfüllung unserer Aufgaben.
3.5 Logfiles der Zugriffe und Auswertung:
GM loggt in Entwicklungsphasen zur Fehlerfindung und Funktionsprüfung bei Updates in Logdateien.
Nach der Inbetriebnahme und im laufenden Betrieb dienen Logfiles lediglich der Nachvollziehbarkeit der ordnungsgemäßen Funktion im größeren Kontext. Nur im Fehler- oder Störungsfalle werden die Logfiles zur Ursachenforschung herangezogen. Das Loggen von Webzugriffen (IP/DNS) auf Seiten erfolgt automatisch, damit Attacken nachvollzogen, und rudimentäre Auswertungen erfolgen können. GM loggt Webzugriffe 14 Tage, danach werden die Logdateien automatisch gelöscht.
In den Logfiles werden die letzten IP Stellen „verwürfelt“, so dass der Datenschutz gewährleistet ist. Diese Auswertungen liefern nicht: Wer (als bestimmte Person) hat was gemacht, sondern: Welche Seiten der Präsenz wurden am meisten aufgerufen, welches Land hat an den Aufrufen welchen Anteil, von welchen Providern (z.B. Telekom, Vodafone,…) kamen die Besucher. GM wertet so keinerlei Personendaten aus.
3.6 Datenbanken:
Kommentare der/des Benutzer/s werden in der Regel direkt über Mail an den Besitzer der Präsenz weitergeleitet. Nur zur Inbetriebnahme oder Fehlersuche werden Teile davon evtl. temporär bei GM archiviert.
3.7 Providerdienstleistungen:
Wir kaufen unser Hosting der Webpräsenzen bei Providern in der EU (momentan in D) ein. Von diesem liegt ein AV (Auftragsverarbeiter-Vertrag) lt. DSGVO Art. 28 vor. Zur Erfüllung seiner und unserer Aufgaben lt. DSGVO Art. 6 1 (f) „berechtigtes Interesse“, benötigt der Provider u.a. Daten der Domainhaber, des Administrators (admin-c) und evtl. weiterer Verantwortlicher und stellt dafür Infrastruktur im Rahmen seiner Aufgaben für unsere benötigten Leistungen bereit. Hierbei erfolgt die eigentliche Verabeitung von Daten im Rahmen von Webdienstleistungen, abgesicherten Mail- oder Zugangsdiensten. Für die Aufrechterhaltung der Servicequalität hat der AV das Recht und die Pflicht, Funktionsprüfungen mit technischen Maßnahmen wie Log-Dateien, Sicherungsmaßnahmen, usw. durchzuführen und uns diese zur Erfüllung unserer Aufgaben lt. DSGVO Art. 6 1 (f) „berechtigtes Interesse“ bereitzustellen. Wir haben über Menü und gesicherte Zugänge die Möglichkeit, Dienste zu parametrieren und zu limitieren und haben darüber z.B. die Speicherdauer von Log-Dateien wie Mail, Web auf konforme Werte, wie 14 Tage oder weniger eingestellt.
3.8 Erstansprechpartner
rund um das Thema Datenschutz ist der jeweilige Domaininhaber als Verantwortlicher der Präsenz. Normalerweise wird der Domaininhaber GartenMedien als Auftragsverarbeiter (AV) kontaktieren. Bei evtl. Fragen darüberhinaus ist der Ansprechpartner zum Datenschutz betreffend Webdienstleistungen:
GartenMedien GmbH & Co. KG
Datenschutz / Peter Lorenz
Hinter der Breite 3/1
72149 Neustetten
datenschutz@gartenmedien.de
Bei Beschwerden richten Sie sich bitte an den Datenschutzbeauftragten Ihres jeweiligen (Kreises/Bundeslandes/)Landes.
4 Schlußwort:
Sie finden einen Fehler bei der Umsetzung? Wir sind für sinnvolle Korrekturen und Anregungen dankbar.
Aktualisiert am 22.05.2018