Neben der Allgemeinen Datenschutzverordnung der EU (Verordnung (EU) 2016/679) gab es ab dem 1. Januar 2021 erhebliche Änderungen an der Allgemeinen Datenschutzverordnung in Großbritannien, und die britische Version der DSGVO ist in Kraft getreten (jeweils die DSGVO, je nach Anwendbarkeit), die im Falle von Großbritannien die Datenschutz, Privatsphäre und elektronische Kommunikation (Änderungen usw.) (EU-Ausstieg) Verordnungen 2019 (EU-Ausstiegsverordnungen) und das Datenschutzgesetz 2018 berücksichtigt. Die DSGVO enthält eine Reihe von Schutzmaßnahmen für betroffene Personen in der EU bzw. in Großbritannien und droht mit erheblichen Geldbußen und Strafen für die Verarbeitung Verantwortliche und Auftragsverarbeiter, die die Vorschriften nicht einhalten.
Mit Verpflichtungen zu Themen wie Einwilligung der Betroffenen, Datenanonymisierung, Benachrichtigung bei Datenschutzverletzungen, grenzüberschreitende Übermittlung personenbezogener Daten und Ernennung von Datenschutzbeauftragten, um nur einige zu nennen, verlangt die DSGVO von Unternehmen ein hohes Maß an Schutz personenbezogener Daten.
Diese Richtlinie zur Einhaltung der DSGVO enthält Hintergrundinformationen über die DSGVO und Unilys Ansatz zur Einhaltung seiner Verpflichtungen unter der DSGVO.
In ihrem Bemühen, die Rechte der betroffenen Personen zu schützen und zu erweitern, schafft die DSGVO klare Verantwortlichkeiten für die Datenverarbeitung. Dies wird besonders deutlich in der Art und Weise, wie sie die Verantwortlichkeiten zwischen "für die Verarbeitung Verantwortlichen" und "Auftragsverarbeitern" für die Verarbeitung personenbezogener Daten abgrenzt.
Die Datenschutz-Grundverordnung erweitert die Verantwortung des für die Verarbeitung Verantwortlichen für die Verarbeitungstätigkeiten erheblich und legt spezifische Regeln für die Aufteilung der Verantwortung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter fest.
Die detaillierteren Anforderungen der DSGVO an Verträge zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter könnten einige für die Datenverarbeitung Verantwortliche dazu zwingen, ihre Lieferantenvereinbarungen zu überarbeiten, um die Anforderungen zu erfüllen. Auftragsverarbeiter haben im Rahmen der DSGVO nicht nur zusätzliche Pflichten, sondern sind auch stärker haftbar, wenn sie die Vorschriften nicht einhalten oder außerhalb der von einem für die Verarbeitung Verantwortlichen erteilten Befugnisse handeln. Dennoch liegt die Verantwortung für den Schutz personenbezogener Daten im Rahmen der Datenschutz-Grundverordnung weiterhin in erster Linie bei den für die Verarbeitung Verantwortlichen.
Die DSGVO definiert einen für die Verarbeitung Verantwortlichen als "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet". Der für die Verarbeitung Verantwortliche ist also die Stelle, die Entscheidungen über die Verarbeitungstätigkeiten trifft, unabhängig davon, ob sie tatsächlich eine Verarbeitung vornimmt.
Nach Artikel 24 sind die für die Verarbeitung Verantwortlichen dafür verantwortlich, dass alle Verarbeitungstätigkeiten im Einklang mit der Datenschutz-Grundverordnung durchgeführt werden. Die für die Verarbeitung Verantwortlichen müssen "geeignete technische und organisatorische Maßnahmen ergreifen", um nicht nur die Einhaltung der Vorschriften zu gewährleisten, sondern auch in der Lage zu sein, die von ihnen ergriffenen Maßnahmen nachzuweisen.
Die für die Verarbeitung Verantwortlichen haben auch eine besondere Verantwortung für:
Die für die Verarbeitung Verantwortlichen haften für die Handlungen der von ihnen ausgewählten Auftragsverarbeiter und sind für die Einhaltung der Grundsätze der DSGVO für die Verarbeitung personenbezogener Daten verantwortlich. Nach der DSGVO bedeutet der Begriff "Auftragsverarbeiter" eine "natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet". Mit anderen Worten: Während der für die Verarbeitung Verantwortliche derjenige ist, der Entscheidungen über die Verarbeitungstätigkeiten trifft, ist der Auftragsverarbeiter jede Einrichtung, die von dem für die Verarbeitung Verantwortlichen mit der Durchführung der Verarbeitung beauftragt wird.
Unily ist ein Datenverarbeiter für Unily-Kunden, wobei der Kunde selbst der Datenverantwortliche ist. Die Rechte und Verantwortlichkeiten von Unily und die operativen Änderungen zur Einhaltung der DSGVO, die von Unily als Datenverarbeiter durchgeführt werden, sind hier dokumentiert. Unily setzt Microsoft als Unterauftragsverarbeiter ein, da dort die Kundendaten gemäß aller Kundenverträge gespeichert werden.
Personenbezogene Daten" werden in der DSGVO definiert als "alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person ("betroffene Person") beziehen". Gemäß der DSGVO ist eine "Verletzung des Schutzes personenbezogener Daten" "eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt". Diese weit gefasste Definition unterscheidet sich beispielsweise von den Gesetzen der meisten US-Bundesstaaten zu Datenschutzverletzungen, die in der Regel nur dann greifen, wenn Informationen preisgegeben werden, die zu Betrug oder Identitätsdiebstahl führen können, wie z. B. Finanzkontoinformationen.
Wenn ein Datenverarbeiter eine Verletzung des Schutzes personenbezogener Daten erfährt, muss er den für die Verarbeitung Verantwortlichen benachrichtigen, hat aber ansonsten keine weiteren Benachrichtigungs- oder Meldepflichten gemäß der DSGVO.
Wenn der für die Verarbeitung Verantwortliche festgestellt hat, dass die Verletzung des Schutzes personenbezogener Daten "wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt", muss er auch die betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten informieren. Nach der DSGVO muss dies "ohne unangemessene Verzögerung" geschehen.
Der Prozess, den Unily im Falle einer Datenverletzung verfolgt, ist in der Richtlinie zum Management von Informationssicherheitsvorfällen dokumentiert.
Sowohl die für die Datenverarbeitung Verantwortlichen als auch die Auftragsverarbeiter müssen einen Datenschutzbeauftragten benennen, um der neuen Datenschutz-Grundverordnung zu entsprechen. Gemäß der DSGVO müssen Datenschutzbeauftragte für alle öffentlichen Behörden benannt werden, und wenn die Kernaktivitäten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters eine "regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang" beinhalten oder wenn die Einrichtung in großem Umfang "besondere Kategorien personenbezogener Daten" verarbeitet (z. B. solche, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen usw. hervorgehen).
Obwohl dies von Unily nicht unbedingt verlangt wird, wurde beschlossen, einen Datenschutzbeauftragten ("DSB") zu ernennen, der durch seine Berichterstattung an den Chief Operations Officer direkten Zugang zum Vorstand hat. Der Datenschutzbeauftragte verfügt über Expertenwissen in Sachen Datenschutzrecht und -praxis.
Zu den Aufgaben des Datenschutzbeauftragten gehören unter anderem:
Die Einwilligung ist nach wie vor eine rechtmäßige Grundlage für die Übermittlung personenbezogener Daten im Rahmen der Datenschutz-Grundverordnung; die Definition des Begriffs "Einwilligung" ist jedoch erheblich eingeschränkt. Die DSGVO verlangt, dass die betroffene Person ihr Einverständnis durch "eine Erklärung oder eine eindeutige bestätigende Handlung" signalisiert.
Die Zustimmung wird von der für die Datenverarbeitung verantwortlichen Stelle (Unilys Kunden) gehandhabt und daher wurden von Unily keine Vorkehrungen getroffen, um Anfragen zur Einwilligung der betroffenen Person zu behandeln. Es können jedoch Anfragen an den Datenverantwortlichen gestellt werden, um die persönlichen Daten eines Kunden auf Anfrage zu entfernen.
Die Datenschutz-Grundverordnung erlaubt die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorbehaltlich der Einhaltung bestimmter Bedingungen, einschließlich der Bedingungen für die Weiterübermittlung. Die Datenschutz-Grundverordnung erlaubt die Übermittlung personenbezogener Daten in Länder, deren Rechtssystem als "angemessen" für den Schutz personenbezogener Daten angesehen wird. In Ermangelung eines Angemessenheitsbeschlusses sind jedoch auch Übermittlungen außerhalb der Europäischen Union bzw. Großbritannien unter bestimmten Umständen zulässig, z. B. durch die Verwendung von Standardvertragsklauseln oder verbindlichen unternehmensinternen Vorschriften (BCR). Ausnahmeregelungen sind auch unter begrenzten zusätzlichen Umständen erlaubt.
Unily wird Kundendaten nur in Datenzentren hosten, die mit dem Kunden im Voraus vereinbart wurden. Darüber hinaus werden keine persönlichen Daten innerhalb von Unily in andere Länder übertragen.
Die Datenschutz-Grundverordnung enthält viele Einschränkungen für die automatisierte Datenverarbeitung - und für Entscheidungen, die auf einer solchen Verarbeitung beruhen - in dem Maße, wie sie als Profilierung bezeichnet werden können.
Die Datenverarbeitung kann als "Profilierung" bezeichnet werden, wenn sie (a) die automatisierte Verarbeitung personenbezogener Daten und (b) die Verwendung dieser personenbezogenen Daten zur Bewertung bestimmter persönlicher Aspekte in Bezug auf eine natürliche Person umfasst. Konkrete Beispiele sind die Analyse oder Vorhersage von "Aspekten, die die Arbeitsleistung, die wirtschaftliche Lage, die Gesundheit, die persönlichen Vorlieben, die Interessen, die Zuverlässigkeit, das Verhalten, den Aufenthaltsort oder die Ortswechsel dieser natürlichen Person betreffen".
Diese Definition schließt implizit eine nicht "automatisierte" Datenverarbeitung aus.
Eine weitere Ausarbeitung dieser Definition findet sich in der DSGVO, die ihre Zuständigkeit für die Verarbeitung personenbezogener Daten durch einen nicht in der Europäischen Union oder in Großbritannien (je nach Fall) niedergelassenen Verantwortlichen oder Auftragsverarbeiter festlegt, wenn die Verarbeitungstätigkeiten im Zusammenhang stehen mit "(a) dem Angebot von Waren oder Dienstleistungen, unabhängig davon, ob eine Zahlung der betroffenen Person erforderlich ist, an diese betroffene Person in der [Europäischen Union oder in Großbritannien, je nach Fall]; oder (b) der Überwachung ihres Verhaltens, soweit ihr Verhalten in der [Europäischen Union oder in Großbritannien, je nach Fall] stattfindet". Eine Verarbeitungstätigkeit beinhaltet eine "Überwachung" der betroffenen Person, wenn "Personen im Internet verfolgt werden, einschließlich des möglichen späteren Einsatzes von Datenverarbeitungstechniken, die darin bestehen, eine Profilierung einer Person vorzunehmen, insbesondere um Entscheidungen in Bezug auf diese Person zu treffen oder um ihre persönlichen Vorlieben, Verhaltensweisen und Einstellungen zu analysieren oder vorherzusagen". Diese Definition deutet darauf hin, dass Profilierung nicht mit Tracking gleichzusetzen ist, sondern mehr ist, nämlich die Absicht, Entscheidungen über eine betroffene Person zu treffen oder ihr Verhalten und ihre Vorlieben vorherzusagen.
Obwohl die Datenverarbeitungsaktivitäten von Unily nicht unter diese Kategorie fallen, können bestimmte Trends innerhalb von Unily Analytik in Zukunft analysiert werden, z.B. die Reise der besuchten Seiten innerhalb einer Intranetseite, aber es werden dann keine automatisierten Entscheidungen auf dieser Grundlage getroffen. Diese Daten werden lediglich an den für die Datenverarbeitung Verantwortlichen weitergegeben.
Das bedeutet, dass alle Nutzerdaten in Unily Analytik pseudonymisiert sind, so dass jede Datenverarbeitungsaktivität, die durchgeführt wird, nicht direkt mit der betroffenen Person in Verbindung gebracht werden kann. Weitere Einzelheiten hierzu finden Sie im Abschnitt Pseudonymisierung.
Das Konzept der persönlich identifizierenden Informationen steht im Mittelpunkt der Datenschutz-Grundverordnung. Alle "personenbezogenen Daten", die als "Informationen über eine bestimmte oder bestimmbare natürliche Person 'betroffene Person'" definiert sind, fallen in den Anwendungsbereich der DSGVO. Der DSGVO gilt jedoch nicht für Daten, die sich nicht auf eine bestimmte oder bestimmbare natürliche Person beziehen oder für Daten, die in einer Weise anonymisiert wurden, dass die betroffene Person nicht mehr identifiziert werden kann".
Die Datenschutzgrundverordnung führt das Konzept der "Pseudonymisierung" in das Datenschutzrecht ein - ein Verfahren, das Daten weder anonymisiert noch direkt identifizierbar macht. Pseudonymisierung ist die Abtrennung von Daten von direkten Identifikatoren, so dass eine Verknüpfung mit einer Identität nicht ohne zusätzliche, separat gespeicherte Informationen möglich ist. Die Pseudonymisierung kann daher die mit der Datenverarbeitung verbundenen Risiken erheblich verringern und gleichzeitig den Nutzen der Daten erhalten. Obwohl pseudonymisierte Daten nicht gänzlich von der Datenschutz-Grundverordnung ausgenommen sind, lockert die Datenschutz-Grundverordnung mehrere Anforderungen an die für die Verarbeitung Verantwortlichen, die diese Technik verwenden.
Um das Konzept des Re-Identifizierungsrisikos zu veranschaulichen, ist es wichtig, zwischen direkten und indirekten Identifikatoren zu unterscheiden. Internationale Organisation für Standardisierung (ISO) definiert direkte Identifikatoren als "Daten, die zur Identifizierung einer Person ohne zusätzliche Informationen oder mit Querverweisen durch andere öffentlich zugängliche Informationen verwendet werden können". Es handelt sich um Datenpunkte, die direkt mit der Identität einer Person übereinstimmen, z. B. ein Name, eine Sozialversicherungsnummer oder Kontaktinformationen.
Indirekte Identifikatoren sind Daten, die für sich genommen eine Person nicht identifizieren, die aber in Kombination mit weiteren Datenpunkten die Identität einer Person offenbaren können. Eine häufig zitierte Studie ergab beispielsweise, dass 87 Prozent der Amerikaner durch die Kombination von drei indirekten Identifikatoren eindeutig identifiziert werden können: Geburtsdatum, Geschlecht und Postleitzahl. Mit anderen Worten: Zwar kann keine Person allein anhand ihres Geburtsdatums identifiziert werden, doch in Kombination mit Geschlecht und Postleitzahl lässt sich eine bestimmte Identität herausfiltern.
Bei der Pseudonymisierung werden direkte Identifikatoren und in einigen Fällen auch bestimmte indirekte Identifikatoren, die in Kombination die Identität einer Person offenbaren könnten, entfernt oder unkenntlich gemacht. Diese Datenpunkte werden dann in einer separaten Datenbank gespeichert, die durch die Verwendung eines Schlüssels, z. B. einer zufälligen Identifikationsnummer oder eines anderen Pseudonyms, mit der anonymisierten Datenbank verknüpft werden kann.
Infolge dieses Prozesses besteht bei pseudonymisierten Daten im Gegensatz zu anonymen Daten das Risiko einer erneuten Identifizierung in zweierlei Hinsicht. Erstens kann ein Angreifer durch eine Datenverletzung in den Besitz des Schlüssels gelangen oder den pseudonymisierten Datensatz auf andere Weise mit individuellen Identitäten verknüpfen. Aber auch wenn der Schlüssel nicht offengelegt wird, kann ein böswilliger Akteur in der Lage sein, Personen zu identifizieren, indem er indirekte Identifikatoren in der pseudonymisierten Datenbank mit anderen verfügbaren Informationen kombiniert.
Der DSGVO befasst sich mit dem ersten Problem, indem sie die für die Verarbeitung Verantwortlichen anweist, geeignete Schutzmaßnahmen zu ergreifen, um die "unbefugte Umkehrung der Pseudonymisierung" zu verhindern. Um das Risiko zu mindern, sollten die für die Verarbeitung Verantwortlichen geeignete technische (z. B. Verschlüsselung, Hashing oder Tokenisierung) und organisatorische (z. B. Vereinbarungen, Richtlinien, " eingebauten Datenschutz") Maßnahmen ergreifen, um pseudonymisierte Daten von einem Identifizierungsschlüssel zu trennen.
Die Datenschutz-Grundverordnung erkennt auch die zweite Art des Re-Identifizierungsrisikos an, indem sie prüft, ob eine Methode der Re-Identifizierung "mit hinreichender Wahrscheinlichkeit entweder von dem für die Verarbeitung Verantwortlichen oder von einer anderen Person verwendet wird, um die natürliche Person direkt oder indirekt zu identifizieren, z. B. durch Aussonderung". Eine solche Analyse ist notwendigerweise kontextabhängig und "sollte alle objektiven Faktoren berücksichtigen, wie z. B. die Kosten und den Zeitaufwand für die Identifizierung, unter Berücksichtigung der zum Zeitpunkt der Verarbeitung verfügbaren Technologie und der technologischen Entwicklungen."
Alle Nutzerdaten in Unily Analytics sind pseudonymisiert, so dass jede durchgeführte Datenverarbeitung nicht direkt mit der betroffenen Person in Verbindung gebracht werden kann. Alle anderen Nutzerdaten, die in der Inhaltsdatenbank von Unily gespeichert werden, haben keine pseudonymisierten Felder, aber alle gespeicherten Daten sind verschlüsselt. Es finden keine weiteren Verarbeitungstätigkeiten (außer Aktualisierungen/Löschungen auf Anweisung des für die Datenverarbeitung Verantwortlichen) für Daten statt, die in Unilys Inhaltsdatenbank gespeichert sind.
Die Datenschutz-Grundverordnung kodifiziert ein Recht auf Vergessen. Dieses Recht ermöglicht es Einzelpersonen, die Löschung personenbezogener Daten zu verlangen und von anderen Verantwortlichen zu verlangen, dass sie der Aufforderung ebenfalls folgen, dem Antrag ebenfalls nachzukommen. Die für die Verarbeitung Verantwortlichen müssen personenbezogene Daten "ohne unangemessene Verzögerung" löschen, wenn die personenbezogenen Daten nicht mehr benötigt werden, die betroffene Person der Verarbeitung widerspricht oder die Verarbeitung unrechtmäßig war.
Das Recht auf Datenübertragbarkeit verpflichtet die für die Verarbeitung Verantwortlichen, der betroffenen Person personenbezogene Daten in einem gängigen Format zur Verfügung zu stellen und diese personenbezogenen Daten auf Antrag der betroffenen Person an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln. Das Recht auf Datenübertragbarkeit gilt nur, wenn die Verarbeitung ursprünglich auf der Einwilligung des Nutzers oder auf einem Vertrag beruhte. Es gilt nicht für die Verarbeitung auf der Grundlage eines öffentlichen Interesses oder der berechtigten Interessen des für die Verarbeitung Verantwortlichen.
Der DSGVO erweitert auch die bestehenden Rechte der betroffenen Personen, über Verarbeitungsvorgänge informiert zu werden, Zugang zu den verarbeiteten Informationen zu erhalten und den für die Verarbeitung Verantwortlichen zu veranlassen, Ungenauigkeiten zu berichtigen. Das Recht der betroffenen Person auf Widerspruch gegen die Verarbeitung ermöglicht es dieser, jederzeit Widerspruch gegen die Verarbeitung einzulegen, es sei denn, der für die Verarbeitung Verantwortliche hat zwingende berechtigte Gründe.
Um mit den erweiterten Rechten gemäß der DSGVO Schritt zu halten, müssen die für die Datenverarbeitung Verantwortlichen Prozesse für die Bearbeitung und Dokumentation von Anfragen der betroffenen Personen einführen.
Als Datenverarbeiter wird Unily den für die Datenverarbeitung Verantwortlichen bei diesen Anfragen unterstützen und bei Bedarf Details über Datenverarbeitungsaktivitäten weitergeben.
Welche persönlichen Daten werden verarbeitet?
Vorname, Nachname, Arbeits-E-Mail, Arbeitstelefon, Handy, Berufsbezeichnung, Abteilung, Standort, IP-Adresse, Browser-Agent, Gerätetyp, Profilbild, TwitterID, LinkedInID, NutzerID. Diese Felder können durch zusätzliche Felder ergänzt werden, die der für die Datenverarbeitung Verantwortliche im Rahmen der Konfiguration des Produkts angibt. Bitte beachten Sie, dass alle nutzeridentifizierbaren Felder pseudonymisiert sind.
Was ist der Zweck der Verarbeitung personenbezogener Daten?
Personenbezogene Daten werden in Unily gespeichert, um es den Nutzern zu ermöglichen, Nutzerprofilseiten über sich selbst zu erstellen und diese Informationen innerhalb des Firmenverzeichnisses anzuzeigen. Die Nutzer haben volle Einsicht in diese persönlichen Daten und können sie selbst ändern.
Darüber hinaus werden persönliche Daten verwendet, um die Nutzung von Unily durch die Analytik-Funktionen zu verfolgen.
Führt Unily eine zentrale Aufzeichnung der Verarbeitungstätigkeiten, um die Durchführung dieser Tätigkeiten in Übereinstimmung mit der Datenschutzgesetzgebung nachzuweisen?
Ja, dies wird monatlich überprüft und aktualisiert.
Wie speichert Unily die persönlichen Daten der Kunden? (z.B. auf Computern und/oder manuellen Dateien und/oder persönlichen Geräten)?
Persönliche Daten werden in einem Microsoft Azure Datenzentrum gespeichert, das sich innerhalb der gleichen rechtlichen Grenzen befindet, wie das Microsoft Office 365/Azure Active Directory Mandanten des Datenverantwortlichen. Zusätzlich werden DR-Kopien der personenbezogenen Daten in ein Microsoft Azure-Datenzentrum innerhalb derselben rechtlichen Datengrenze repliziert.
Alle Kundendaten werden auf Microsoft Azure SQL-Datenbanken mit transparenter Datenverschlüsselung (256 Bit AES) und Microsoft Azure Speicherkonten mit Speicherverschlüsselung (256 Bit AES) gespeichert. Die Schlüssel werden von Microsoft verwaltet.
Werden alle manuellen Dateien innerhalb der Organisation gespeichert, oder werden Daten von Dritten gespeichert?
Manuelle Dateien, wie z.B. unterschriebene Verträge, werden in der Unily-Zentrale in einem feuersicheren Speicher aufbewahrt.
In welchem Format oder auf welchem Medium werden die persönlichen Daten bei Unily gesichert oder archiviert?
Persönliche Daten werden elektronisch gesichert (Microsoft SQL Azure Zeitpunkt-Backups mit 35 Tagen Aufbewahrungsfrist), die im Microsoft Datenzentrum gespeichert werden, in dem die Kundeninstanz von Unily bereitgestellt wird. Bitte lesen Sie die Unily HLA für weitere Details.
Welche Maßnahmen ergreift Unily zum Schutz personenbezoger Daten? Welche physischen, administrativen und technologischen Verfahren werden angewendet?
Bitte beziehen Sie sich auf die Unily ISMS Dokumentation (ISO 27001).
Welche Penetrationstests sind Teil des Sicherheitsprozesses bei Unily? Wie häufig werden die Tests durchgeführt werden und wie sehen die neuesten Ergebnisse aus?
Unily lässt monatlich externe automatisierte Sicherheits- und Schwachstellentests durchführen. Die für die Datenverarbeitung Verantwortlichen sind eingeladen, Penetrationstests nach eigenem Ermessen durchzuführen, indem sie Unily darüber informieren. Unily arbeitet dann mit Dritten und dem für die Datenverarbeitung Verantwortlichen zusammen, um etwaige Bedenken zu prüfen und zu beseitigen.
Welcher Firewall-Schutz ist vorhanden?
Wir nutzen Empfehlungen für die Serverhärtung, die auf den Empfehlungen von Microsoft, Branchenexperten und Regierungen beruhen, und setzen Microsoft OMS und Azure Sicherheitszentrum sowie Netzwerksicherheitsgruppen in Verbindung mit Host/Gast-Firewalls ein. Zusätzlich, Firewall-Schutz am Standort.
Wir nutzen Empfehlungen für die Serverhärtung, die auf den Empfehlungen von Microsoft, Branchenexperten und Regierungen basieren, und verwenden Microsoft OMS, Azure Sicherheitszentrum und Netzwerksicherheitsgruppen in Verbindung mit Host-/Gast-Firewalls. Darüber hinaus wird der Firewall-Schutz am Standort mit branchenweit anerkannten Erweiterte einheitliche Bedrohungsverwaltung Schicht 7 Anwendungen implementiert, die mit der neuesten Firmware und Signaturen arbeiten.
Welchen Antivirenschutz verwendet der Prozessor?
Windows 10 Enterprise mit Microsoft Intune & Verbesserter Endpunktschutz (ATP) für Verwaltungsgeräte und Microsoft Azure Verbesserter Endpunktschutz (ATP) für Windows Server 2012 R2/2016.
Wie werden Softwarekorrekturen und Patches auf dem neuesten Stand gehalten?
Server und Management-Kunden-Geräte werden mit Microsoft Intune und Microsoft OMS verwaltet. Server werden innerhalb von 35 Tagen nach der Veröffentlichung von kritischen und empfohlenen Updates von Microsoft gepatcht und AV-Updates werden sofort nach Veröffentlichung der Definitionen installiert.
Wer hat Zugang zu persönlichen Daten innerhalb von Unily? Wer hat Zugang zu solchen persönlichen Daten von außerhalb der Organisation?
Mitglieder des technischen Betriebsteams und des Unterstützungsteams, autorisierte Mitglieder des Projekt-Teams. Dritte haben keinen Zugang zu den Daten des für die Verarbeitung Verantwortlichen.
Welche Richtlinien und Verfahren gibt es für die Aufdeckung von und den Umgang mit Verstößen gegen personenbezogene Daten?
Disziplinarverfahren bei Verstößen gegen personenbezogene Daten sind im Rahmen unserer Verpflichtung zu ISO 27001 in unserer Richtlinie " Personalwesen - Sicherheitsrichtlinien" dargelegt, die Einzelheiten enthält und allen Mitarbeitern über unser internes Intranet zur Verfügung gestellt wird. In der Richtlinie zum Management von Informationssicherheitsvorfällen ist festgelegt, wie wir mit Verstößen gegen den Schutz personenbezogener Daten umgehen.
Wie prüft Unily, dass kein unbefugter interner Zugriff auf personenbezogene Daten stattgefunden hat? Welche Einrichtungen und Maßnahmen werden zur Datenprüfung eingesetzt?
Unily verwendet einen sicheren, verschlüsselten Passwort-Tresor, der vollständig geprüft wird und die Zugangsdaten vor den Endbenutzern verbirgt. Der Zugriff auf die Zugangsdaten der Datenkontrolleure wird mit der IP-Adresse des Absenders, dem Endbenutzer, dem Computer sowie Datum und Uhrzeit aufgezeichnet.
Wenn der Kunde es wünscht, wie wird Unily persönliche Daten vernichten?
Personenbezogene Daten werden in Microsoft Azure gespeichert, auf Anfrage werden Microsoft Azure SQL-Datenbanken und Microsoft Azure Speicherkonten gelöscht. Microsoft übernimmt die Verantwortung für die Gewährleistung der Sicherheit der persönlichen Daten auf Anweisung zu löschen. Backups personenbezogener Daten verfallen gemäß unserer Aufbewahrungsrichtlinie nach 35 Tagen. Falls eine zusätzliche Löschung erforderlich ist, kann diese auf Anfrage durchgeführt werden. Unily veranlasst die Löschung, Microsoft stellt die Technologien zur Verfügung, um die Löschung durchzuführen.
Werden irgendwelche der Datenverarbeitungsaktivitäten von Unily für die persönlichen Daten der Kunden von Dritten (Unterauftragsverarbeitern) durchgeführt? Um welche Tätigkeiten handelt es sich?
Die Daten werden in den Datenzentren von Microsoft gehostet. Microsoft hat seine Bedingungen aktualisiert, um die für die DSGVO erforderlichen Änderungen widerzuspiegeln, und vor kurzem, nach der Entscheidung im Fall Schrems II über die Gültigkeit bestimmter Mechanismen für die Übermittlung personenbezogener Daten, hat Microsoft eine Erklärung abgegeben, dass es keine personenbezogenen Daten an Regierungsbehörden weitergeben wird, zu denen es nicht gesetzlich verpflichtet ist. Unily führt eine Cloud-Service-Provider-Bewertung und eine Due-Diligence-Prüfung von Drittanbietern durch, die wir nutzen (einschließlich Microsoft), dies beinhaltet die Due-Diligence-Prüfung, die finanzielle Geschichte, die Marktmeinung und alle Akkreditierungen oder Auszeichnungen.
Werden persönliche Daten von Kunden entweder abteilungsübergreifend und/oder an Dritte außerhalb von Unily weitergegeben?
Persönliche Daten werden von Unily nicht an Dritte weitergegeben, es sei denn, der Datenverantwortliche hat dies genehmigt. Wenn rechtmäßige Anfragen von Regierungs- oder Strafverfolgungsbehörden gestellt werden, leiten wir die Anfrage Dritter an den Datenverantwortlichen weiter.
Wenn solche personenbezogenen Daten außerhalb des EWR oder Großbritanniens (wie zutreffend) übermittelt werden, welche Maßnahmen sind in Kraft, um ein angemessenes Schutzniveau in Bezug auf die Übermittlung personenbezogener Daten zu gewährleisten? (z. B. geeignete Standardvertragsklauseln, verbindliche Unternehmensregeln)
Personenbezogene Daten werden nur dann in Länder außerhalb des EWR oder Großbritanniens (soweit zutreffend) übermittelt, wenn das Zielgebiet ein angemessenes Schutzniveau für die Rechte und Freiheiten der betroffenen Personen in Bezug auf die Verarbeitung personenbezogener Daten gewährleistet. Darüber hinaus würden wir immer die Zustimmung des für die Datenverarbeitung Verantwortlichen einholen und die Daten dürfen nur für die angegebenen rechtmäßigen Zwecke verarbeitet werden, für die die personenbezogenen Daten ursprünglich erhoben wurden.
Bietet Unily Schulungen zum Datenschutz und zur DSGVO für die Mitarbeiter der Organisation an? Wenn ja, welche Schulungen und wie häufig? Wo finden sie statt und wer ist für die Durchführung dieser Schulungen verantwortlich?
Unily informiert kontinuierlich über unser Intranet über neue Entwicklungen oder Änderungen in der Praxis. Außerdem führen wir jährlich eine Online-Schulung durch, die für alle Mitarbeiter verpflichtend ist. Berater von Drittanbietern haben spezielle Schulungen zu ISO:27001 durchgeführt. Darüber hinaus werden für alle Mitarbeiter Schulungen zum Thema DSGVO angeboten. Es werden Aufzeichnungen über die Mitarbeiter geführt, um den Schulungsbedarf zu ermitteln.
