Bei DataGuard werden die personenbezogenen Daten primär in der den Kunden zur Verfügung gestellten Datenschutzmanagement Plattform verarbeitet. Diese Plattform ist eine Eigenentwicklung von DataGuard. Folgende personenbezogene Daten von Mitarbeiter, die bei Kunden von DataGuard beschäftigt sind, werden verarbeitet:
- Vor- und Nachname
- Titel und akademische Grade
- Geschlecht
- E-Mail-Adresse
- Position im Unternehmen
- Telefonnummer
- Zugeordnete Rolle innerhalb der Plattform und der daran angelehnten Berechtigungen
- Sämtliche personenbezogene Daten, die uns im Rahmen der Kundenkommunikation zur Verfügung gestellt werden
Auf folgende Art und Weise erhebt DataGuard Daten von Personen:
- Abfrage der personenbezogenen Daten nach Vertragsabschluss mit DataGuard bei der Person selbst oder Erhalt personenbezogener Daten durch einen Mitarbeiter des Kundenunternehmens. Dies kann auch Mitarbeiter von Dienstleister des Kundenunternehmens betreffen.
- Eingabe von personenbezogenen Daten von Mitarbeitern durch einen Administrationsmitarbeiter des Kunden in der Datenschutz Plattform.
Ihre Daten verarbeiten wir zu folgenden Zwecken:
- Kundenverwaltung und Kundenbetreuung – insb. die Bearbeitung von Kundenanfragen
- Direktwerbung in Form von Telefonanrufen und E-Mails
- Erstellung von Rechnungen
- Erfüllung nachvertraglicher Maßnahmen
- Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
- Begründung, Durchführung und Beendigung des Vertragsverhältnisses
Die Datenverarbeitung findet auf Basis des Vertragsverhältnisses, sowie auf Basis des berechtigten Interesses statt. Hierbei findet immer eine Abwägung der Interessen statt. Hierbei wägen wir die Rechte und Freiheiten der betroffenen Person gegenüber den Interessen von DataGuard, in Form der Vertragserfüllung gegenüber unseren Kunden, ab.
Datenschutzmanagement-Plattform: DataGuard betreibt eine Datenschutzmanagement-Plattform. Auf diese Plattform werden Mitarbeiter von Kunden durch die zuständigen DataGuard Mitarbeiter eingeladen. Es können auch Daten von Personen verarbeitet werden, die Ihre Betroffenenrechte gegenüber den Kunden von DataGuard geltend machen. Für die Plattform gilt die dort bereitgestellte Datenschutzerklärung in der jeweilig gültigen Fassung.
Folgende Dienstleister sind in unsere Verarbeitung personenbezogener Daten von Kundendaten als Auftragsverarbeiter involviert:
Deutsche Telekom AG - Bonn, Deutschland: DataGuard nutzt für das Hosting der Datenschutzplattform dedizierte Server der Open Telekom Cloud (OTC). Diese wird von der deutschen Telekom AG betrieben. Die Open Telekom Cloud hat ein Trusted Cloud Siegel des Bundesministeriums für Wirtschaft und Energie und zahlreiche Zertifizierungen, wie z.B. ISO 27001:2013, die das hohe Sicherheitsniveau der OTC belegen. Mit der deutschen Telekom hat DataGuard einen Auftragsverarbeitungsvertrag geschlossen.
Iversity GmbH – Berlin, Deutschland: Zur Durchführung von Schulungen der Mitarbeiter der Kunden von DataGuard nutzen wir eine Schulungsplattform des Dienstleisters Iversity. Durch den Dienst werden Namen und E-Mail-Adressen verarbeitet. Dies ist nötig, um die entsprechenden Teilnahmezertifikate erstellen zu können. Mit dem Dienstleister hat DataGuard einen Auftragsverarbeitungsvertrag abgeschlossen.
LogMeIn Ireland Limited – Dublin, Irland: Wir nutzen die Telefonkonferenzmöglichkeit von GoToMeeting für die Durchführung von Audits mit Kunden. An LogMeIn werden keine Daten von Kunden weitergegeben. Kunden wählen sich selbstständig über Ihre eigene Telefoniesysteme in die Konferenz ein. Es findet keinerlei Aufzeichnung statt. Mit LogMeIn hat DataGuard einen Auftragsverarbeitungsvertrag abgeschlossen.
SevDesk GmbH – Offenburg, Deutschland: Zur Erstellung von Rechnungen und Mahnungen verwendet DataGuard das Tool SevDesk. Mit dem Dienstleister haben wir einen Auftragsverarbeitungsvertrag geschlossen.
Nexenio GmbH – Berlin, Deutschland: Zur Übermittlung von Dateien nutzen wir den Datenaustauschdienst BDrive. Dies ist ein hochsicherer, von der Bundesdruckerei entwickelter Austauschdienst von Daten und Dateien. Mit dem Dienstleister haben wir einen Auftragsverarbeitungsvertrag geschlossen.
Datev GmbH – Nürnberg, Deutschland: Zur Erfüllung der GoBD nutzen wir für die Buchhaltung den Dienst von DATEV. Mit dem Dienstleister haben wir einen Auftragsverarbeitungsvertrag geschlossen.
DemoDesk GmbH – München, Deutschland: DataGuard nutzt den Dienst DemoDesk für die Durchführung von Willkommensgespräche im Rahmen des On-Boarding Prozesses von Kunden. Die an Demodesk übergebenen Daten werden dort innerhalb von 2 Wochen gelöscht. Mit dem Dienstleister wurde ein Auftragsverarbeitungsvertrag geschlossen.
GSG Inkasso GmbH – München, Deutschland: Wenn offene Forderungen beglichen werden, geben wir auch soweit notwendig personenbezogene Daten an unsere Inkassodienstleister GSG weiter. DataGuard versendet zunächst 2 Mahnung und versucht die genannten Ansprechpartner der Kunden zu erreichen, um eine Lösung zur Begleichung offener Forderungen zu finden. Ist dies nicht erfolgreich wird die GSG per Vollmacht beauftragt, offene Forderungen im Namen von DataGuard einzutreiben.
Microsoft Inc. – Redmond, USA: DataGuard nutzt den Dienst Office 365, inkl. Microsoft Teams, um Audittelefonate per Videotelefonie durchführen zu können und Outlook zur Kommunikation der Termine per E-Mail. Mit dem Dienstleister wurden im Rahmen der OnlineServicesTerms ein Auftragsverarbeitungsvertrag mit Standardvertragsklauseln (nach Vorgabe der Europäischen Union) geschlossen. Ihre personenbezogenen Daten, die für die Durchführung der Planung und des eigentlichen Videotelefonats an den Auftragsverarbeiter weitergegeben werden, werden gelöscht sobald der Zweck der Speicherung entfällt.
Wir löschen bzw. sperren Ihre personenbezogenen Daten im Bereich der Verarbeitung von Kundendaten und deren Dienstleister grundsätzlich immer dann, wenn der Zweck der Speicherung entfällt. Darüber hinaus kann eine Speicherung erfolgen, wenn dies durch rechtliche Vorgaben, denen wir unterliegen, vorgesehen ist, zum Beispiel im Hinblick auf gesetzliche Aufbewahrungs- und Dokumentationspflichten. In einem solchen Fall löschen bzw. sperren wir Ihre personenbezogenen Daten nach dem Ende der entsprechenden Vorgaben.