Auftragsverarbeitung (AV)
siehe „Vertrag zur Auftragsverarbeitung“ (AVV)
Datenschutz / Jahresprüfbericht – Rechenschafts- und Kontrollpflicht
Die Datenschutzmaßnahmen der SEWOBE AG sind in den Datenschutzhinweisen der Homepage unter Datenschutz, im Vertrag zur Auftragsverarbeitung (AV-Vertrag) und im Prüfbericht dokumentiert.
Im II. Quartal eines jeden Jahres erstellt die Datenschutzbeauftragte einen Jahresprüfbericht, der die technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes und der Datensicherheit bei der Verarbeitung personenbezogener Daten. Der Jahresprüfbericht dient den Kunden (Auftraggeber), um seiner Kontrollpflicht nachkommen zu können und wird für alle Kunden im Serviceportal auch zum Download hinterlegt.
Die SEWOBE AG hat ein Datenschutzmanagementsystem (DSMS) implementiert, das alle Datenschutzmaßnahmen des Unternehmens dokumentiert, um diese gegenüber dem Bayerischen Landesamt für Datenschutzaufsicht auf Nachfrage offenzulegen und die Rechenschaftspflicht zu erfüllen.
Datenschutzbeauftragte/r (DSB)
Die SEWOBE AG hat bereits seit 2011 einen Datenschutzbeauftragten bestellt und seit 2015 eine interne Datenschutzkoordination implementiert, um den Datenschutz und die erforderlichen Maßnahmen regelmäßig zu prüfen und zu evaluieren.
Fragen zum Datenschutz können Sie gerne richten an datenschutz(at)sewobe.de.
Datenschutzmanagementsystem (DSMS)
Die SEWOBE AG erfüllt Ihre Rechenschaftspflicht gegenüber der zuständigen Aufsichtsbehörde (Bayerisches Landesamt für Datenschutzaufsicht in Ansbach) mittels Datenschutzmanagementsystem (DSMS). In diesem System werden alle Maßnahmen zum Datenschutz bzw. zur Datensicherheit dokumentiert, die das Unternehmen bei der Verarbeitung personenbezogener Daten unternimmt. Dort sind u.a. die jeweiligen alle relevanten Prozesse in einem Verzeichnis der Verarbeitungstätigkeiten (VVT) hinterlegt.
Datensicherheit
Folgende Maßnahmen ergreift die SEWOBE u.a., um Ihre Kundendaten sicher zu verarbeiten:
– Regelmäßige Datenschutzschulung und Unterweisung aller Mitarbeiter
– Stete Aktualisierung von Firewall- und Antivirussoftware inkl. regelmäßiger
Sicherheitsupdates und Patches
– Anwendung verschiedener Verschlüsselungstechniken (Rechner, Software etc.)
– Vermeidung von E-Mail Verkehr: Die Kundenkommunikation erfolgt über das SEWOBE
Serviceportal mittels Ticketsystem, um eine geschlossene Verbindung zu gewährleisten und
eine unsichere Übertragung via E-Mail zu verhindern.
– Einsatz der Mehrfaktor-Authentifizierung
– Einsatz von VPN Technologien
– Regelmäßige Backups u.v.m.
– Rechtekontrolle bei Zutritt zum Unternehmen und Zugriff auf die Hard- und Software
Alle angewandten Maßnahmen finden sich auch in den dokumentierten technischen und organisatorischen Maßnahmen im Vertrag zur Auftragsverarbeitung (AV-Vertrag) bzw. im jährlichen Prüfbericht der SEWOBE AG.
DSGVO (Datenschutzgrundverordnung)
Die SEWOBE AG hat bereits seit 2011 einen Datenschutzbeauftragten bestellt und 2015 eine interne Datenschutzkoordination implementiert und konnte somit schon vorzeitig die Umsetzung der Maßnahmen zur EU-Datenschutzgrundverordnung (EU-DSGVO) realisieren. Diese Maßnahmen werden regelmäßig evaluiert und in einem jährlichen Prüfbericht für alle Kunden der SEWOBE AG dokumentiert. Weitere Informationen zur Dokumentation der Datenschutzmaßnahmen des Unternehmens finden Sie auch unter dem Stichwort „Datenschutz“ bzw. „Datensicherheit“ oder auf der Website unter Datenschutz bzw. in Ihrem Vertrag zur Auftragsverarbeitung (AV-Vertrag).
Die SEWOBE AG hält ein Datenschutzmanagementsystem (DSMS) vor, in dem alle Maßnahmen zum Datenschutz und zur Datensicherheit des Unternehmens dokumentiert werden und erfüllt somit seine Rechenschaftspflichten gegenüber des Bayerischen Landesamtes für Datenschutzaufsicht.
Zum Beispiel schult das Unternehmen seine MitarbeiterInnen regelmäßig im Umgang mit personenbezogenen Daten, alle neuen MitarbeiterInnen erhalten in der ersten Woche ihrer Anwesenheit jeweils eine Sonderschulung.
Firewall / Virenscanner
Um die Datensicherheit zu gewährleisten und unberechtigte Netzwerkzugriffe abzuwehren, überprüft und aktualisiert die SEWOBE AG regelmäßig ihren Einsatz von Firewall- und Virenscanner Software.
Diese Funktionen bilden einen Teilaspekt des Sicherheitskonzepts der SEWOBE AG, weitere Sicherheitsmaßnahmen sind im Vertrag zur Auftragsverarbeitung bzw. im jährlichen Prüfbericht dokumentiert
Prüfbericht
Der Datenschutzbeauftragte und die interne Datenschutzkoordination der SEWOBE evaluieren die Maßnahmen zum Datenschutz und Datensicherheit in regelmäßigen Abständen und fassen diese in einem Prüfbericht zusammen, der jeweils im II. Quartal eines jeden Jahres erscheint und für alle Kunden im Serviceportal hinterlegt ist. Der Prüfbericht soll es den Kunden ermöglichen, die Maßnahmen der SEWOBE AG bei der Verarbeitung personenbezogener Daten überprüfen zu können.
Rechenschaftspflicht
Die SEWOBE AG dokumentiert in einem Rechenschaftsbericht (Jahresprüfbericht) alle relevanten Maßnahmen bei der Verarbeitung personenbezogener Daten gemäß DSGVO in einem Datenschutzmanagementsystem (DSMS), das für die zuständige Aufsichtsbehörde (LDA Bayern) vorzuhalten ist.
U.a. werden in einem Verzeichnis der Verarbeitungstätigkeiten (VVT) die Prozesse beschrieben, die den Schutz der personenbezogenen Daten bei der Verarbeitung gewährleisten sollen.
Für Kunden werden die Maßnahmen zum Datenschutz im Vertrag zur Auftragsverarbeitung (AV-Vertrag) vereinbart und im jährlichen Prüfbericht aktualisiert und veröffentlicht.
Rechenzentrum
Die SEWOBE speichert alle Kundendaten auf Servern in geprüften deutschen Rechenzentren. Mit den Betreibern der Rechenzentren (Subunternehmer) hat die SEWOBE Verträge zur Auftragsverarbeitung (AV-Verträge) geschlossen.
Die aktuell eingesetzten Subunternehmen sind auf der Website unter Subunternehmer veröffentlicht. Die SEWOBE ist Inhaber des Siegels „Software hostet in Germany“ und „Software made in Germany“ und hat sich erfolgreich an der Auszeichnung des Trusted Cloud e.V. Labels beteiligt. Informationen hierzu finden sich auf der Website bzw. -> Trusted Cloud
Serverstandort Deutschland
Die SEWOBE speichert alle Kundendaten auf Servern in zertifizierten Rechenzentren. Mit den Betreibern der Rechenzentren, auch Subunternehmer oder Unterauftragnehmer genannt, hat die SEWOBE Verträge zur Auftragsverarbeitung (AV-Verträge) geschlossen, um alle Kundendaten datenschutzkonform abzusichern zu können.
Die aktuell eingesetzten Subunternehmen sind auf der Website unter dem Link Subunternehmer veröffentlicht.
Die SEWOBE ist Inhaber des Siegels „Software hostet in Germany“ und „Software made in Germany“ und hat sich zudem erfolgreich an der Auszeichnung des „Trusted Cloud e.V.“ Labels beteiligt. Informationen hierzu finden sich auf der Website bzw. -> Trusted Cloud.
Vertrag zur Auftragsverarbeitung (AV-Vertrag)
Der Vertrag zur Auftragsverarbeitung regelt den datenschutzkonformen Umgang mit personenbezogenen Kundendaten zwischen dem Kunden (Auftraggeber) und der SEWOBE AG (Auftragnehmer). Der AV-Vertrag beschreibt u.a. die Pflichten und Rechte von Auftraggeber und Auftragnehmer und dokumentiert die technischen und organisatorischen Maßnahmen, die den Datenschutz und die Datensicherheit der personenbezogenen Kundendaten gewährleisten sollen. Aktualisiert werden diese Maßnahmen im jährlichen Prüfbericht der SEWOBE AG, der allen Kunden im II. Quartal eines jeden Jahres im Serviceportal zur Verfügung gestellt wird. Der Jahresprüfbericht soll den Kunden bei ihrer vorgeschriebenen Kontrollpflicht unterstützen, die Datenschutzmaßnahmen der SEWOBE AG bei der Verarbeitung personenbezogener Daten überprüfen zu können.
Virenscanner / Firewall
Um die Datensicherheit zu gewährleisten und unberechtigte Netzwerkzugriffe abzuwehren, überprüft und aktualisiert die SEWOBE AG regelmäßig ihren Einsatz von Firewall- und Virenscanner Software.
Diese Funktionen bilden einen Teilaspekt des Sicherheitskonzepts der SEWOBE AG, weitere Sicherheitsmaßnahmen sind im Vertrag zur Auftragsverarbeitung bzw. im jährlichen Prüfbericht dokumentiert.
Zertifizierungen, Sicherheitssiegel
Die SEWOBE ist Inhaber des Siegels „Software hostet in Germany“ und „Software made in Germany“ und hat sich zudem erfolgreich an der Auszeichnung des Trusted Cloud e.V. Labels beteiligt. Informationen hierzu finden sich auf der Website bzw. -> Trusted Cloud.
Augsburg im Juni 2022