FAQ ZUR AJAX DSGVO
Grundlagen
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (auch bekannt als Verordnung 2016/679 oder „DSGVO“, englisch „GDPR“) ist eine Verordnung der Europäischen Union über den Datenschutz und den Schutz der Privatsphäre in der EU und im Europäischen Wirtschaftsraum (EWR). Obwohl sie von der Europäischen Union (EU) entworfen und verabschiedet wurde, erlegt sie Organisationen überall dort Datenschutzverpflichtungen auf, wo sie auf Personen in der EU abzielen oder Daten über sie erheben.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen über eine Person, mit denen diese Person direkt oder indirekt identifiziert werden kann. Auch mehrere Einzelinformationen, die zusammen die Identifizierung einer bestimmten Person ermöglichen, sind personenbezogene Daten.
Personenbezogene Daten, die anonymisiert, verschlüsselt oder pseudonymisiert sind, aber dennoch zur Re-Identifizierung einer Person verwendet werden können, bleiben personenbezogene Daten und fallen in den Anwendungsbereich des Gesetzes.
Beispiele für personenbezogene Daten sind:
- Vor- und Nachname;
- Anschrift;
- E-Mail-Adresse;
- Personalausweisnummer;
- Standortdaten;
- IP-Adresse;
- Cookie-Kennungen;
- Werbe-ID des Telefons.
Was bedeutet Datenverarbeitung?
Datenverarbeitung umfasst eine Vielzahl unterschiedlicher Vorgänge im Zusammenhang mit personenbezogenen Daten, die mit oder ohne Hilfe automatisierter Verfahren durchgeführt werden. Sie umfasst das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten. Wenn Sie mit Daten in der oben beschriebenen Weise umgehen, verarbeiten Sie Daten.
Was ist der Unterschied zwischen einem Auftragsverarbeiter und einem für die Verarbeitung Verantwortlichen?
Ein Verantwortlicher ist eine Organisation, ein Organ oder eine Person, die die Normen und Regeln für die Verarbeitung personenbezogener Daten festlegt. In der Praxis bedeutet dies, dass ein Verantwortlicher dafür zuständig ist, festzulegen, wie und zu welchem Zweck personenbezogene Daten von einer Organisation verwendet werden. Normalerweise ist ein Verantwortlicher eine Person oder eine Organisation, die Daten erhebt und dann bestimmt, wie sie verwendet werden.
Dies steht im Gegensatz zum Auftragsverarbeiter. Nach der DSGVO ist ein Auftragsverarbeiter eine Organisation, Einrichtung oder Person, die die vom Verantwortlichen festgelegten Standards der Datenverarbeitung umsetzt. Ein Auftragsverarbeiter ist in der Regel eine Partei, die Daten auf Anweisung und nach Ermessen eines Verantwortlichen verarbeitet. Ein Auftragsverarbeiter ist nicht Eigentümer der von ihm verarbeiteten Daten und übt keine Kontrolle über sie aus. Dies bedeutet, dass ein Auftragsverarbeiter die Bedeutung der Daten nicht ändern kann, dass er nicht bestimmen kann, wie die Daten verwendet werden, und dass er an Anweisungen gebunden ist.
Einige Punkte zum Verständnis des Unterschieds zwischen den Funktionen des Verantwortlichen und des Auftragsverarbeiters:
Der für die Verarbeitung Verantwortliche entscheidet:
- welche Organisation die Daten überhaupt erhebt und ob sie dafür eine Rechtsgrundlage hat;
- zu welchem Zweck die personenbezogenen Daten verwendet werden;
- ob und an wen die Daten weitergegeben werden;
- ob die Auskunftsrechte der Betroffenen und andere individuelle Rechte gelten oder ob es Ausnahmen gibt;
- wie lange die Daten gespeichert werden sollen oder ob die Daten nicht routinemäßig geändert werden sollen.
Der Auftragsverarbeiter entscheidet:
- die Methoden, mit denen personenbezogene Daten erhoben und gespeichert werden;
- wie die Daten gesichert werden;
- die Mittel, mit denen personenbezogene Daten von einer Organisation an eine andere übermittelt werden;
- wie auf personenbezogene Daten zugegriffen wird;
- wie die Einhaltung der Aufbewahrungsfristen sichergestellt wird;
- wie personenbezogene Daten gelöscht werden.
Was sind die Bedingungen für die Verarbeitung personenbezogener Daten gemäß der DSGVO?
In Artikel 6 der Datenschutz-Grundverordnung sind die verschiedenen Bedingungen (auch Grundsätze genannt) aufgeführt, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist:
- Einwilligung. Einwilligung bedeutet, dass die betroffene Person der Verarbeitung der sie personenbezogenen Daten für einen oder mehrere bestimmte Zwecke ausdrücklich zugestimmt hat. Die Festlegung des Zwecks ist dabei von grundlegender Bedeutung. Wenn die betroffene Person, die auch als natürliche Person bezeichnet wird, in die Verarbeitung einwilligt, ohne vollständig und in leicht verständlicher Form über den/die spezifischen Zweck(e) informiert worden zu sein, stellt die Einwilligung keine Rechtsgrundlage für die Verarbeitung dar, da sie freiwillig, für den konkreten Fall, in Kenntnis der Sachlage und ohne jeden Zweifel erfolgen muss. Außerdem kann die Einwilligung nicht kombiniert werden. Daher gilt die allgemeine Regel, dass für jede Datenverarbeitungstätigkeit im Rahmen eines einzigen, umfassenderen Vorgangs eine gesonderte Einwilligung erforderlich ist.
- Die Verarbeitung ist für die Erfüllung oder die Vorbereitung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist. Eine Organisation kann sich auf diese Rechtsgrundlage berufen, wenn sie die personenbezogenen Daten einer Person verarbeiten muss, um dieser Person eine vertragliche Leistung zu erbringen, oder weil diese Person vor Abschluss eines Vertrags eine Leistung (z. B. einen Kostenvoranschlag) von der Organisation angefordert hat.
- Die Datenverarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich. Wenn der Verantwortliche einer rechtlichen Verpflichtung unterliegt, mit der zwingend die Verarbeitung personenbezogener Daten zusammenhängt, ist die Verarbeitung zulässig. Die Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt und die eine Verarbeitung erforderlich macht, ist auch nicht neu.
- Die Datenverarbeitung ist erforderlich, um das Leben einer Person zu retten. Dies wird auch als „lebenswichtiges Interesse“ bezeichnet. In diesem Fall muss die natürliche Person nicht unbedingt eine betroffene Person sein; es kann sich auch um eine andere natürliche Person handeln. Es liegt natürlich nicht im Ermessen des für die Verarbeitung Verantwortlichen, zu definieren, was ein lebenswichtiges Interesse ist. Diese Grundlage bezieht sich vielmehr auf lebensbedrohliche Situationen, in denen es keine andere Rechtsgrundlage für die Verarbeitung gibt, die Nichtverarbeitung personenbezogener Daten jedoch im Wesentlichen bedeuten würde, dass eine Person sterben würde, wenn der Auftragsverarbeiter keine Maßnahmen ergreift, und er daher bestimmte Informationen über die natürliche Person, die sich in Gefahr befindet, kennen muss.
- Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Eine Organisation kann sich auf diese Rechtsgrundlage berufen, wenn sie personenbezogene Daten „in Ausübung öffentlicher Gewalt“ verarbeiten muss. Darunter fallen öffentliche Aufgaben und Befugnisse, die gesetzlich vorgesehen sind, oder die Wahrnehmung einer bestimmten Aufgabe, die gesetzlich vorgesehen ist und im öffentlichen Interesse liegt.
- Der Verantwortliche hat ein berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten einer Person. Die Verarbeitung personenbezogener Daten in diesem Zusammenhang ist nicht unbedingt durch eine gesetzliche Verpflichtung gerechtfertigt oder erfolgt zur Erfüllung der Bedingungen eines Vertrags mit einer Person. In diesen Fällen kann die Verarbeitung personenbezogener Daten durch ein berechtigtes Interesse gerechtfertigt sein. Beispielsweise hat ein Auftragsverarbeiter ein berechtigtes Interesse, wenn die Verarbeitung im Rahmen einer Kundenbeziehung, für Zwecke des Direktmarketings, zur Verhinderung von Betrug oder zur Gewährleistung der Netz- und Informationssicherheit von Computersystemen erfolgt.
Wie wird die Einwilligung nach der DSGVO erteilt?
Für die Einwilligung einer betroffenen Person in die Verarbeitung ihrer Daten gelten strenge Regeln:
- Die Einwilligung muss „freiwillig, für einen konkreten Fall, nach ausreichender Information des Betroffenen und unmissverständlich“ abgegeben werden.
- Das Ersuchen um Einwilligung muss „in einer klaren und einfachen Sprache“ formuliert sein, sodass es „von anderen Sachverhalten klar zu unterscheiden“ ist.
- Die betroffene Person kann eine einmal erteilte Einwilligung jederzeit widerrufen. Diese Entscheidung muss respektiert werden. Es ist nicht möglich, die Rechtsgrundlage der Verarbeitung einfach durch eine andere Rechtfertigung zu ersetzen.
- Der Nachweis der Einwilligung muss aufbewahrt werden.
Welche Rechte hat die betroffene Person nach der DSGVO?
Die DSGVO gewährt den Betroffenen die folgenden Rechte:
- Recht auf Information (die betroffene Person hat das Recht, darüber informiert zu werden, wie Unternehmen ihre personenbezogenen Daten erheben und verwenden, wie lange sie diese Daten speichern wollen und mit wem sie diese Daten austauschen werden);
- Auskunftsrecht (die betroffene Person hat das Recht, genau zu wissen, welche Informationen Unternehmen gesammelt haben, wie sie diese Daten speichern und verarbeiten und was sie damit tun);
- Recht auf Berichtigung (die betroffene Person hat das Recht, unvollständige Daten vervollständigen und unrichtige Daten berichtigen zu lassen);
- Recht auf Löschung (die betroffene Person hat das Recht, personenbezogene Daten dauerhaft löschen zu lassen. Auch „Recht auf Vergessenwerden“ genannt);
- Recht auf Einschränkung der Verarbeitung (wenn die betroffene Person nicht verlangen kann, dass die Verantwortlichen ihre personenbezogenen Daten löschen, kann sie die Möglichkeiten der Verantwortlichen, diese Daten zu verarbeiten, einschränken);
- Recht auf Datenübertragbarkeit (die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten für ihre eigenen Zwecke über verschiedene Dienste hinweg zu erhalten und wiederzuverwenden);
- Widerspruchsrecht (die betroffene Person hat das Recht, unter bestimmten Umständen der Verarbeitung ihrer personenbezogenen Daten zu widersprechen);
- Rechte in Bezug auf die automatisierte Entscheidungsfindung und das Profiling (die betroffene Person hat das Recht, ein menschliches Eingreifen zu verlangen, anstatt wichtige Entscheidungen von Algorithmen treffen zu lassen).
Was sind die sieben Grundsätze der DSGVO?
Gemäß der DSGVO gibt es sieben wichtige Grundsätze für den Datenschutz und die Rechenschaftspflicht:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz: Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
- Zweckbindung: Die Daten müssen für rechtmäßige Zwecke verarbeitet werden, die der betroffenen Person bei der Erhebung der Daten ausdrücklich mitgeteilt wurden.
- Datenminimierung: Die Datenerhebung und -verarbeitung muss sich auf das für die angegebenen Zwecke erforderliche Maß beschränken.
- Richtigkeit: Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein.
- Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den angegebenen Zweck erforderlich ist.
- Integrität und Vertraulichkeit: Die Verarbeitung sollte so erfolgen, dass eine angemessene Sicherheit, Integrität und Vertraulichkeit gewährleistet ist (z. B. durch Verschlüsselung).
- Rechenschaftspflicht: Der Verantwortliche muss nachweisen können, dass alle diese Grundsätze der DSGVO eingehalten werden.
Verlangt die DSGVO, dass personenbezogene Daten von in der EU ansässigen Personen in der EU verbleiben?
Die Datenschutz-Grundverordnung enthält keine direkten Beschränkungen für den Verbleib personenbezogener Daten von in der EU ansässigen Personen in der EU. Der Datenschutz in der EU beruht jedoch auf dem Grundsatz „Die DSGVO bleibt bei den Daten“, d. h. die Vorschriften zum Schutz personenbezogener Daten gelten unabhängig davon, wo sich die Daten befinden. Dieser Grundsatz gilt auch, wenn personenbezogene Daten in ein Drittland übermittelt werden.
Verarbeitung durch Ajax
Verarbeitet Ajax meine personenbezogenen Daten?
Ja, Ajax kann Ihre personenbezogenen Daten verarbeiten. Es gibt vier Hauptszenarien, in denen wir Ihre Daten verarbeiten können:
- über unsere Sicherheitsgeräte (wie Hub oder andere);
- über unsere mobilen Anwendungen (z. B. Ajax Security System und Ajax PRO: Tool for Engineers) und Desktop-Anwendungen (wir nennen sie unsere Produkte oder Dienstleistungen);
- wenn Sie die Website https://ajax.systems/ besuchen
- im Rahmen einer Geschäftsbeziehung zwischen Ihnen und Ajax (unabhängig davon, ob Sie ein direkter oder indirekter Partner oder Subunternehmer von Ajax sind)
Welche Arten von Daten kann Ajax verarbeiten?
Ajax kann verschiedene Arten von Daten verarbeiten, je nachdem, wie Sie mit uns interagieren.
Über unsere Sicherheitsgeräte können wir Folgendes verarbeiten:
- Informationen über Ihre Hub-Zentrale (z. B. Informationen über das Modell und die Seriennummer des Netzwerks, einschließlich der IP-Adresse, Geräteaktivitätsprotokolle, historische und aktuelle Gerätekonfiguration und Standort).
- Umgebungsdaten von Ajax Geräten wie Temperatur, Geräuschpegel oder Bewegungsdaten.
Wenn Sie unsere Produkte oder Dienstleistungen nutzen, können wir Folgendes verarbeiten:
- Informationen über Sie (z. B. Vorname, Nachname, E-Mail-Adresse, Telefonnummer und Foto).
- Informationen, die Sie uns zur Verfügung stellen, wenn Sie Benutzer über die Kontakte Ihres Geräts zu einem Produkt einladen (z. B. die E-Mail-Adresse oder Telefonnummer einer Person, der Sie eine Produkteinladung senden).
- Eindeutige Kennungen für die Nutzung unserer Services (z. B. Benutzername und Passwort).
- Eindeutige Kennungen der Benutzer, die Sie mit dem Produkt verbunden haben, wie z. B. Benutzername, Rolle des Benutzers innerhalb des Produkts und E-Mail-Adresse des Benutzers; Informationen über Ihr mobiles Gerät, wie z. B. Gerätetyp, Betriebssystem und Systemsprache.
- Standortbezogene Daten, um Ihnen Erinnerungen zum Scharfschalten/Unscharfschalten des Systems zu senden, wenn Sie die Geofence-Funktion in unserer Anwendung aktiviert haben.
- Für Android- und iOS-Benutzer: SMS-Nachrichten mit dem Autorisierungscode, der bei der Registrierung des Kontos oder bei Änderungen erforderlich ist.
- Informationen über Ihre Verwendung unserer Produkte und Dienstleistungen (z. B. Anfragen von der App an unseren Server).
Wenn Sie unsere Website besuchen, können wir Folgendes verarbeiten:
- Informationen, die Sie beim Ausfüllen von Formularen angeben, einschließlich Ihrer persönlichen Daten und Kontaktdaten.
- Cookie-Kennungen (über ein DSGVO-konformes Tool).
- Ihre IP-Adresse, um das Land Ihres Standorts festzulegen.
Im Falle einer Geschäftsbeziehung, können wir Folgendes verarbeiten:
- Persönliche Daten und Kontaktdaten von Unternehmensvertretern (Name, Position, E-Mail-Adresse und Telefonnummer).
Was ist der Zweck und die Rechtsgrundlage der Verarbeitung?
- Alle Daten, die wir über unsere Sicherheitsgeräte erhalten oder die bei der Nutzung unserer Produkte oder Dienstleistungen anfallen, werden ausschließlich zur Erbringung der angeforderten Sicherheitsdienste verarbeitet. Das bedeutet, dass wir alle diese Daten verarbeiten, um unseren vertraglichen Verpflichtungen Ihnen gegenüber nachzukommen. Das bedeutet auch, dass wir keine Daten erheben, die nicht ausdrücklich für die Erbringung dieser Dienstleistungen erforderlich sind.
- Wenn Sie unseren Newsletter abonnieren, senden wir Ihnen E-Mails mit Informationen über uns und unsere neuesten Updates. Wir tun dies nur mit Ihrer Zustimmung, die Sie uns durch die Bestätigung Ihres Abonnements erteilen. Wir personalisieren diese E-Mails basierend auf den Informationen, die uns über Sie vorliegen, um sie relevanter und nützlicher für Sie zu gestalten.
- Wenn Sie im Falle eines technischen Problems über Ihre App Bedienprotokolle freigegeben haben, verarbeiten wir diese, um Ihr Problem zu lösen und unsere Produkte und Dienstleistungen zu verbessern. Diese Verarbeitung beruht auf unserem berechtigten Interesse, unsere Marktangebote wettbewerbsfähiger zu machen.
- Wir verwenden die Daten, die Sie beim Einladen von Benutzern zum Produkt über die Kontakte Ihres Geräts mit uns teilen (z. B. die E-Mail-Adresse oder Telefonnummer einer Person, der Sie eine Produkteinladung senden) ausschließlich, um eine Einladung an diese Personen zu senden.
Wo werden die Daten gespeichert?
Alle Arten von Daten, die Ajax von Ihnen erhebt, werden in einem Cloud-Speicher in Irland, Deutschland und Frankreich (innerhalb des EWR) gespeichert; die Wahl, wo die Daten gespeichert werden (in Irland,Deutschland oder Frankreich), hängt von der Verfügbarkeit der AWS-Infrastruktur ab.
Wie lange werden die Daten aufbewahrt?
Alle Daten werden für die Dauer der Kundenbeziehung gespeichert, mit Ausnahme der Speicherung von Push-Benachrichtigungen, die auf 500 Transaktionen beschränkt ist. Für das Ereignisprotokoll des PRO Desktop Kontos beträgt die Aufbewahrungsfrist für Ereignisbenachrichtigungen 2 Jahre. Bestimmte Arten von Daten (z. B. die Namen von Vertretern, ihre Funktion und die in den Verträgen angegebenen Kontaktdaten) können jedoch über den Zeitraum der Zusammenarbeit hinaus aufbewahrt werden, um unseren gesetzlichen Verpflichtungen nachzukommen.
Art der Daten | Zweck der Verarbeitung | Rechtsgrundlage | Dauer der Speicherung |
Informationen über die Hub-Zentrale (Informationen über Modell und Seriennummer des Netzwerks, einschließlich Geräteaktivitätsprotokolle, historische und aktuelle Gerätekonfiguration und Standort) | Gewährleistung des ordnungsgemäßen Betriebs der Hub-Zentrale, der Geräte und der Anwendungen | Vertrag, bei Support – berechtigtes Interesse | Während der gesamten Dauer der Kundenbeziehung oder bis zu einer vom Nutzer gewünschten/durchgeführten Löschung. Sicherungskopien für bis zu 12 Monate |
Eindeutige Benutzerkennung (Benutzername und Passwort) | Autorisierung des Benutzers | Vertrag | Während der gesamten Dauer der Kundenbeziehung oder bis zu einer vom Nutzer gewünschten/durchgeführten Löschung. Sicherungskopien für bis zu 12 Monate |
Standortbezogene Daten | Gewährleistung des ordnungsgemäßen Betriebs der Hub-Zentrale, der Geräte und der Anwendungen | Vertrag und/oder berechtigtes Interesse | Während der gesamten Dauer der Kundenbeziehung oder bis zu einer vom Nutzer gewünschten/durchgeführten Löschung. Sicherungskopien für bis zu 12 Monate |
Informationen über Ihre Nutzung unserer Produkte und Dienstleistungen (z. B. Anfragen der Anwendung an unseren Server) | Gewährleistung des ordnungsgemäßen Betriebs der Hub-Zentrale, der Geräte und der Anwendungen | Vertrag | Während der gesamten Dauer der Kundenbeziehung oder bis zu einer vom Nutzer gewünschten/durchgeführten Löschung. Sicherungskopien für bis zu 12 Monate |
Informationen, die durch das Ausfüllen von Formularen übermittelt werden und personenbezogene Daten und Kontaktdaten enthalten können | Kommunikation, Produktlieferung, Marketingaktionen | Einwilligung | Während der gesamten Dauer der Kundenbeziehung oder bis zu einer vom Nutzer gewünschten/durchgeführten Löschung. Sicherungskopien für bis zu 12 Monate |
IP-Adresse | Gewährleistung des ordnungsgemäßen Betriebs der Hub-Zentrale, der Geräte und der Anwendungen | Vertrag oder Einwilligung | Während der gesamten Dauer der Kundenbeziehung oder bis zu einer vom Nutzer gewünschten/durchgeführten Löschung. Sicherungskopien für bis zu 12 Monate |
Vorname, Nachname und Kontaktinformationen | Gewährleistung des ordnungsgemäßen Betriebs der Hub-Zentrale, der Geräte und der Anwendungen | Einwilligung | Während der gesamten Dauer der Kundenbeziehung oder bis zu einer vom Nutzer gewünschten/durchgeführten Löschung. Sicherungskopien für bis zu 12 Monate |
Mit Ajax Geräten aufgenommene Bilder | Gewährleistung des ordnungsgemäßen Betriebs der Hub-Zentrale, der Geräte und der Anwendungen | Vertrag | - Mobile Anwendung. Die Aufbewahrungsdauer von Mediendateien für Benutzer- und PRO-Konten beträgt 2 Jahre. Fotos können zusammen mit den zugehörigen Ereignissen früher gelöscht werden, wenn das Ereignislimit in der mobilen Anwendung (500 Ereignisse) erreicht ist. - Ajax PRO Desktop (Unternehmenskonto): abhängig von den Einstellungen (7 Tage bis 2 Jahre). - Ajax Translator speichert keine Bilder, aber die Links sind 7 Tage nach ihrer Erstellung aktiv |
Wer hat Zugang zu dem System und den Informationen seitens des Unternehmens Ajax?
Ajax folgt den Prinzipien der Minimierung der Verfügbarkeit und der Minimierung der Privilegien beim Datenzugriff. Der Zugriff auf die Daten kann daher nur den Mitarbeitern von Ajax gewährt werden, die den Prozess der Bereitstellung von Diensten und Projekten unterstützen. Wenn Ajax Mitarbeiter auf Daten zugreifen, werden ihre Geräte durch Verschlüsselung und andere Mittel geschützt, die den höchsten technischen Standards auf dem Markt entsprechen. Alle Mitarbeiter haben einen Geheimhaltungsvertrag unterzeichnet und unterziehen sich einer jährlichen Datenschutzprüfung. Alle Aktionen des Personals werden protokolliert, und die Protokolle werden automatisch in Echtzeit überprüft. Bei Verdacht auf übermäßigen Zugriff wird der Zugang eingeschränkt und sofort eine Untersuchung eingeleitet. Wir möchten jedoch betonen, dass Ajax niemals auf Daten zugreift, für die es keine gültige Rechtsgrundlage gibt. In bestimmten Fällen kann der Nutzer Ajax (auf eigenes Risiko) bitten, vom Nutzer benannten Dritten (Sicherheitsdiensten, Installateuren) über mobile oder PC-Anwendungen Zugriff auf die Nutzerdaten zu gewähren. In diesem Fall haben die vom Nutzer ausgewählten Unternehmen ebenfalls Zugriff auf die Daten, die der Nutzer übermitteln möchte.
Was unternimmt Ajax zur Einhaltung der weltweiten Datenschutzgesetze? Wie weist Ajax die Einhaltung der DSGVO nach?
Ajax setzt eine Vielzahl von Maßnahmen, Mechanismen und Verfahren ein, um die internationalen Datenschutzgesetze einzuhalten. So wendet Ajax beispielsweise die Grundsätze der Beschränkung der Datenverarbeitung (Privacy by Design & by Default), der Datensparsamkeit, der Zugriffskontrolle und der Datenverarbeitungsrichtlinien (Richtlinien zur Speicherung, Verarbeitung, Löschung usw.) an. Im Zusammenhang mit der Datenübermittlung wendet Ajax verschiedene Maßnahmen an, darunter organisatorische und technische Maßnahmen sowie Standardvertragsklauseln. Weitere Informationen dazu finden Sie im Abschnitt „Datenweitergabe“.
Wie kann ich meine Datenschutzrechte ausüben?
Zur Ausübung Ihrer Datenschutzrechte (Löschung, Widerspruch, Zugang zu Ihren personenbezogenen Daten, Einschränkung der Verarbeitung usw.) können Sie uns unter der E-Mail-Adresse support@ajax.systems kontaktieren.
Datenweitergabe
An wen darf Ajax meine Daten weitergeben? Welche Arten von Daten dürfen weitergegeben werden und in welchen Fällen?
In der Regel können wir Ihre personenbezogenen Daten nur dann weitergeben, wenn dies erforderlich ist, um Ihnen angeforderte Dienstleistungen bereitzustellen. Diese Daten können an unsere Händler und Dienstleister weitergegeben werden, die bestimmte Dienste zur Bereitstellung unserer Produkte und Dienstleistungen erbringen. Dazu gehören Datenhosting, technischer Support, Kommunikation usw. Wir stellen sicher, dass diese Anbieter Ihre Daten genauso schützen wie wir.
Wir können Ihre Kontaktdaten (z. B. Mobiltelefonnummer, Spitznamen und E-Mail-Adresse) an physische Sicherheitsdienstleister weitergeben, wenn Sie dies gegenüber Ajax anfordern, indem Sie einen Anbieter in unserer App auswählen. Bitte beachten Sie, dass in diesem Fall diese Dienstleister für Ihre personenbezogenen Daten verantwortlich sind. Obwohl wir im Rahmen unserer App mit seriösen Partnern zusammenarbeiten, empfehlen wir Ihnen, deren Datenschutzbestimmungen zu prüfen, bevor Sie uns bitten, Ihre Daten an diese Unternehmen weiterzugeben.
Für bestimmte Zwecke kann Ajax die Dienste von Drittverarbeitern außerhalb des EWR in Anspruch nehmen. Dies kann Datenhosting, technische Kommunikation für Registrierung, Installation und andere organisatorische Aktivitäten per E-Mail oder Telefon umfassen.
Ajax ergreift alle notwendigen Maßnahmen, um sicherzustellen, dass die Datenübermittlung in Übereinstimmung mit allen anwendbaren Datenschutzgesetzen erfolgt. Ajax hat mit allen Unterauftragsverarbeitern (einschließlich SVC für grenzüberschreitende Datentransfers) einen Vertrag über die Auftragsverarbeitung unterzeichnet und zusätzliche Maßnahmen während der Datenübermittlung und -verarbeitung getroffen. Alle Unterauftragsverarbeiter von Ajax haben ihre eigenen Datenschutzrichtlinien und andere datenschutzrelevante Dokumente, deren Einhaltung regelmäßig von Ajax Experten überprüft wird.
Liste der von Ajax zugelassenen Unterauftragsverarbeiter:
Service | Anbieter | Zweck der Nutzung | Link zur Datenschutzerklärung und zum AVV |
AWS | Amazon | Datenhosting und Datensicherung | https://aws.amazon.com/privacy/ https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html |
Twilio | Twilio Group | Programmierbare SMS | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
SendGrid | Twilio Group | Programmierbare E-Mail-Kommunikation | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
Mailgun | Sinch Email | Transaktions-E-Mail-Dienst | https://www.mailgun.com/legal/privacy-policy/ https://www.mailgun.com/legal/dpa/ |
MongoDB | MongoDB Inc | Anbieter von Datenbankdiensten | https://www.mongodb.com/legal/privacy-policy https://www.mongodb.com/legal/dpa |
Google BigQuery | Google LLC | Analyse, Verbesserung der Dienstleistungen | https://policies.google.com/privacy |
Was sind Standardvertragsklauseln?
Standardvertragsklauseln („Standard Contractual Clauses“, kurz SCC) sind standardisierte und vorab genehmigte Musterdatenschutzklauseln, die es Verantwortlichen und Auftragsverarbeitern ermöglichen, ihren Verpflichtungen aus dem EU-Datenschutzrecht nachzukommen. Sie können von den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern in ihre vertraglichen Vereinbarungen mit anderen Parteien, wie z. B. Geschäftspartnern, aufgenommen werden. Die Klauseln können auf freiwilliger Basis verwendet werden, um die Einhaltung der Datenschutzanforderungen nachzuweisen, wobei eine verbindliche vertragliche Verpflichtung zur Einhaltung der Klauseln erforderlich ist. Die Europäische Kommission ist befugt, Standardvertragsklauseln (1) in Bezug auf die Beziehung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter und (2) in Bezug auf die Übermittlung personenbezogener Daten in Länder außerhalb des EWR zu erlassen.
Was sind zusätzliche Maßnahmen?
Zusätzliche Maßnahmen sind technische und organisatorische Verfahren, die speziell eingesetzt werden, um einen wirksamen Schutz der übermittelten Daten zu erreichen, der dem Schutz der Datenverarbeitung innerhalb des EWR gleichwertig ist.
Ajax hat unter anderem die folgenden organisatorischen Maßnahmen umgesetzt:
- regelmäßige Sensibilisierungsschulungen und Prüfungen für Ajax Mitarbeiter;
- ein automatisiertes System zur Echtzeit-Überwachung von Verstößen und Schwachstellen;
- kontinuierliche Aufzeichnung aller Prozesse;
- regelmäßige, personalisierte Überwachung und Validierung des Ajax-Systems zur Aufdeckung von Schwachstellen.
Ajax hat unter anderem die folgenden technischen Maßnahmen umgesetzt:
- Maßnahmen zur Verhinderung des unbefugten Zugangs zu Datenverarbeitungssystemen in Räumlichkeiten und Anlagen (einschließlich Datenbanken, Anwendungsservern und zugehöriger Hardware), mit denen personenbezogene Daten verarbeitet werden, einschließlich der Einrichtung von Sicherheitsbereichen, der Beschränkung von Zugangswegenn, der Festlegung von Zugangsberechtigungen für Personal und Dritte, der Verriegelung von Türen (elektrische Türöffner usw.).
- Maßnahmen zur Verhinderung der Benutzung von Datenverarbeitungssystemen durch Unbefugte, einschließlich Verfahren zur Identifizierung und Authentifizierung der Benutzer, ID/Passwort-Sicherheitsverfahren, Verschlüsselung archivierter Datenträger.
- Maßnahmen, mit denen sichergestellt wird, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten nur entsprechend ihren Zugriffsrechten auf die Daten zugreifen und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können, einschließlich interner Vorschriften und Verfahren, Berechtigungsprüfung, differenzierte Zugriffsrechte (Profile, Rollen, Transaktionen und Objekte), Überwachung und Protokollierung der Zugriffe, Disziplinarmaßnahmen für Mitarbeiter, die unbefugt auf personenbezogene Daten zugreifen.
- Maßnahmen, die sicherstellen, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf (manuellen oder elektronischen) Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft werden kann, an welche Unternehmen oder sonstigen Stellen personenbezogene Daten übermittelt werden, einschließlich Verschlüsselung, Protokollierung und Transportsicherung. Alle personenbezogenen Daten werden mit dem SHA256 Algorithmus im Ruhezustand verschlüsselt und über HTTPS mit SHA128-Verschlüsselung und TLS 1.2 übertragen.
- Maßnahmen zur Kontrolle, ob und von wem Daten in Datenverarbeitungssysteme eingegeben, geändert oder aus diesen entfernt (gelöscht) wurden, einschließlich Aufzeichnungs- und Protokollierungssysteme, Prüfpfade und Dokumentation.
- Maßnahmen zum Schutz personenbezogener Daten vor zufälliger Zerstörung oder zufälligem Verlust (physisch/logisch), einschließlich Sicherungsverfahren, unterbrechungsfreie Stromversorgung (USV), externe Speicherung, Virenschutz-/Firewall-Systeme, Notfallwiederherstellungsplan, Nachhaltigkeitsplan des Unternehmens.
- Maßnahmen, die sicherstellen, dass personenbezogene Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können, einschließlich der Trennung von Datenbanken, der Beschränkung der Verwendung, der Trennung von Funktionen (Produktion/Test).
Was ist ein Transfer Impact Assessment?
Ein Transfer Impact Assessment (TIA) ist eine von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter durchgeführte Analyse der Sicherheitsauswirkungen der Übermittlung personenbezogener Daten in Länder außerhalb der EU/des EWR oder in Länder, die einer Angemessenheitsentscheidung unterliegen.