Teamleader und DSGVO
Die Datenschutz-Grundverordnung (DSGVO) ist ein europäisches Gesetz zum Schutz von Daten und Privatsphäre, das seit Mai 2018 in Kraft ist. Sie erlegt Unternehmen, die mit personenbezogenen Daten umgehen, Vorschriften auf. Teamleader ist bestrebt, selbst so weit wie möglich DSGVO-konform zu sein und gleichzeitig seine Kunden bei der Erfüllung ihrer Verpflichtungen im Rahmen der DSGVO zu unterstützen.
Um zu verstehen, wie Teamleader mit der DSGVO umgeht, ist es wichtig, dass Sie mit den folgenden Begriffen vertraut sind:
Alle Daten, die zur Identifizierung einer Person verwendet werden können. Dies ist ein sehr weit gefasster Begriff, der sich nicht nur auf Namen, Adressen und Kontaktangaben beschränkt. So können beispielsweise IP-Adressen in einigen Fällen als personenbezogene Daten betrachtet werden.
Alles, was Sie mit personenbezogenen Daten tun: sie sammeln, speichern, verwalten, analysieren, abfragen, weitergeben, verkaufen. Alles, was Sie wollen.
Die Person, deren personenbezogene Daten verarbeitet werden. Mit anderen Worten: die Person, die anhand der Daten, die man über sie hat, identifiziert werden kann.
In der DSGVO wird klar zwischen zwei Rollen unterschieden:
- Der „für die Datenverarbeitung Verantwortliche“: bestimmt, welche personenbezogenen Daten verarbeitet werden und für welche Zwecke die personenbezogenen Daten verwendet werden (Entscheidung);
- Der „Datenverarbeiter“: Er verarbeitet bestimmte personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen (Unterstützung).
Die Verantwortlichkeiten einer Partei in Bezug auf personenbezogene Daten sind je nach ihrer Rolle unterschiedlich.
Es ist möglich, dass eine Partei in einigen Fällen als für die Datenverarbeitung Verantwortlicher und in anderen als Datenverarbeiter auftritt. Das ist bei uns der Fall.
Bei der Nutzung unserer Arbeitsverwaltungssoftware geben Sie personenbezogene Daten (z. B. Name, Telefonnummer, E-Mail-Adresse usw.) von Dritten in Ihr Konto ein. Bei diesen Dritten kann es sich um Kunden, Interessenten, Geschäftspartner usw. („Kontakte“) Ihres Unternehmens oder Ihrer Organisation handeln. Grundsätzlich jede Person, deren personenbezogene Daten Sie für Ihre eigenen Zwecke erhoben haben, z. B. um Ihre Dienstleistungen zu erbringen. Sie sind der für die Datenverarbeitung Verantwortliche in Bezug auf ihre personenbezogenen Daten.
Wir unterstützen Sie bei der Verwaltung der Daten Ihrer Kontakte durch unsere Software. Indem Sie deren personenbezogene Daten in Ihr Konto eingeben, geben Sie diese Daten an uns weiter. Unsere Aufgabe ist es, diese Daten, für die Sie verantwortlich sind, in Ihrem Namen verfügbar und sicher zu halten. Damit sind wir in diesem Fall der Datenverarbeiter.
Wo immer es möglich ist, stellen wir Ihnen Instrumente und Unterstützung zur Verfügung, damit Sie Ihren Verpflichtungen gemäß der DSGVO nachkommen können. Auch wenn wir uns angemessen bemühen, Sie bei der Einhaltung der DSGVO zu unterstützen, liegt es letztendlich in Ihrer Verantwortung als für die Datenverarbeitung Verantwortlicher, Ihren Verpflichtungen gemäß der DSGVO nachzukommen.
Um die jeweiligen DSGVO-Verantwortlichkeiten von uns (als Verarbeiter) und Ihnen (als Verantwortliche) klar zu definieren, haben wir dafür gesorgt, dass es eine DPA gibt.
In der DPA führen wir die verschiedenen technischen und organisatorischen Maßnahmen auf, die wir ergreifen, um die Sicherheit Ihrer Daten und die Zuverlässigkeit unserer Software zu gewährleisten. Die DPA legt auch ein klares und genau definiertes Verfahren für den Fall einer Datenschutzverletzung fest.
Darüber hinaus enthält die DPA einen allgemeinen Überblick über die personenbezogenen Daten, die wir in Ihrem Auftrag verarbeiten sollen.
Weitere Informationen finden Sie in der DPA:
Als Verarbeiter ziehen wir eine begrenzte Anzahl von Unterverarbeitern hinzu. Diese Parteien können einige Teile der personenbezogenen Daten, für die Sie der Verantwortliche sind, für bestimmte Zwecke verarbeiten.
Wir verlassen uns auf diese vertrauenswürdigen Unterauftragsverarbeiter vor allem aus drei Gründen:
- um unsere Anwendungen für Sie zu hosten und dafür zu sorgen, dass sie reibungslos funktionieren;
- um bestimmte eingebaute Funktionen anzubieten („Standardintegrationen“); und
- um Kunden zu unterstützen.
Alle diese Unterauftragsverarbeiter wurden aufgrund ihrer strengen Datenschutzrichtlinien und gründlichen Sicherheitsmaßnahmen sorgfältig ausgewählt. Wir haben mit jedem von ihnen die notwendigen vertraglichen Vereinbarungen getroffen, um sicherzustellen, dass sie die gleichen hohen Standards erfüllen, die in unserer DPA mit Ihnen festgelegt sind.
Siehe die vollständige Liste der Unterauftragsverarbeiter:
Alle Kundendaten werden auf Servern gehostet, die sich in der EU befinden:
- Für Teamleader Focus: AWS-Server in Dublin, Irland (Region EU-WEST-1);
- Für Teamleader Orbit: Microsoft Azure-Server in Amsterdam, Niederlande (Region Westeuropa).
Bitte beachten Sie, dass einige der von uns beauftragten Unterauftragsverarbeiter in den USA ansässig sind. Daher können die Daten Ihres Kontos nur in sehr begrenztem Umfang und nur zu ganz bestimmten Zwecken außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden. Zu diesem Zweck verfügen wir über eine angemessene Governance (Übermittlungsmechanismen), die den Anforderungen der DSGVO entsprechen.
Dieser Abschnitt der DPA verdient zusätzliche Aufmerksamkeit.
Solange Sie Kunde bei uns sind, bewahren wir die Daten in Ihrem Konto auf. Es steht Ihnen selbstverständlich frei, Daten aus Ihrem Konto zu löschen, z.B. um Ihren eigenen Verpflichtungen als Verantwortlicher in Bezug auf Datenminimierung und Speicherbegrenzung nachzukommen.
Wenn Ihr Vertrag mit uns endet, haben Sie die Möglichkeit, die Daten aus Ihrem Konto zu exportieren. Wir löschen die personenbezogenen Daten in Ihrem Konto innerhalb eines kurzen Zeitraums nach Beendigung Ihres Vertrags mit uns endgültig:
- Für Teamleader Focus: 3 Monate
- Für Teamleader Orbit: 12 Monate.
Der Grund, warum wir die Daten nach Vertragsende vorübergehend aufbewahren, besteht darin, dass wir in der Lage sind, Ihr Konto wiederherzustellen, falls Sie dies wünschen. Sie können jederzeit verlangen, dass die Daten früher gelöscht werden. Sobald die Löschung erfolgt ist, können wir Ihr Konto nicht mehr wiederherstellen oder Ihnen einen Export Ihrer Daten zur Verfügung stellen.
Durch die Löschung der personenbezogenen Daten in Ihrem Konto anonymisieren wir die Daten effektiv. Mit anderen Worten: Wir haben keine Möglichkeit mehr, Ihre Kontakte anhand der verbleibenden Daten zu identifizieren. Die übrigen anonymisierten Daten werden für Forschungs-, Schulungs-, Ausbildungs-, statistische und kommerzielle Zwecke aufbewahrt. Dies ist auch in unseren allgemeinen Geschäftsbedingungen klar festgelegt. Anonyme Daten fallen nicht unter die DSGVO und können frei verwendet werden.
Wir sind ein für die Datenverarbeitung Verantwortlicher, wenn wir beschließen, Ihre personenbezogenen Daten für unsere eigenen kommerziellen Zwecke zu sammeln und zu verwenden. Wir tun dies hauptsächlich, um unsere Dienste bereitzustellen und zu verbessern.
Lesen Sie unsere Datenschutzerklärung, um mehr darüber zu erfahren, warum wir bestimmte personenbezogene Daten über Sie sammeln, wie lange wir diese Daten speichern, welche Datenschutzrechte Sie haben usw.
Als für die Datenverarbeitung Verantwortlicher beauftragen wir mehrere Dienstleister, die Ihre personenbezogenen Daten in unserem Namen zu verschiedenen Zwecken verarbeiten, z. B. um Ihnen unseren Newsletter zuzusenden oder um Feedback von Ihnen einzuholen. Wir haben mit all diesen Verarbeitern DPAs abgeschlossen, um sicherzustellen, dass sie die gleichen hohen Datenschutzstandards anwenden wie wir.
Neben den oben genannten Punkten haben wir strenge interne Richtlinien und Verfahren für den sorgfältigen Umgang mit allen personenbezogenen Daten eingeführt. In einer begrenzten Anzahl von genau definierten Fällen können beispielsweise Kollegen aus unseren Entwicklungs-, Support- und Customer Success-Teams auf die Daten in Ihrem Konto zugreifen. Die Zugriffsrechte sind nach dem Prinzip des geringsten Privilegs auf autorisiertes Personal beschränkt. Alle Aktionen auf dem Konto werden ordnungsgemäß protokolliert. Diese Prüfprotokolle werden regelmäßig überprüft, um Missbrauch zu verhindern.
Darüber hinaus organisieren wir immer wieder Sensibilisierungsinitiativen, um sicherzustellen, dass der Datenschutz bei unseren Mitarbeitern stets im Mittelpunkt steht.
Die Gewährleistung der Sicherheit Ihrer Daten und die Einhaltung der Datenschutzgesetze ist ein wichtiger Teil unserer Aufgabe. Wir investieren weiterhin Anstrengungen und Ressourcen, um Verbesserungen in diesem Bereich zu erreichen.
Wenn Sie eine Frage oder Feedback zu unseren Datenschutzpraktiken haben, können Sie sich an unseren Datenschutzbeauftragten (DSB) wenden unter dpo@teamleader.eu.