Erklärung zur Informationspflicht
Datenschutzerklärung
Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten daher ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, TKG 2003). In diesen Datenschutzinformationen informieren wir Sie über die wichtigsten Aspekte der Datenverarbeitung im Rahmen unserer Website.
Kontakt mit uns
Wenn Sie per Formular auf der Website oder per E-Mail Kontakt mit uns aufnehmen, werden Ihre angegebenen Daten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen sechs Monate bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.
Cookies
Unsere Website verwendet so genannte Cookies. Dabei handelt es sich um kleine Textdateien, die mit Hilfe des Browsers auf Ihrem Endgerät abgelegt werden. Sie richten keinen Schaden an.
Wir nutzen Cookies dazu, unser Angebot nutzerfreundlich zu gestalten. Einige Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen. Sie ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.
Wenn Sie dies nicht wünschen, so können Sie Ihren Browser so einrichten, dass er Sie über das Setzen von Cookies informiert und Sie dies nur im Einzelfall erlauben.
Bei der Deaktivierung von Cookies kann die Funktionalität unserer Website eingeschränkt sein.
Web-Analyse
Unsere Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglicht. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP-Adresse) wird an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten, die von Google gespeichert werden, in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website voll umfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden.
Wir haben mit dem Anbieter einen entsprechenden Vertrag zur Auftragsdatenverarbeitung abgeschlossen.
Weitere Informationen zum Datenschutz im Zusammenhang mit Google Analytics finden Sie etwa in der Google Analytics-Hilfe (https://support.google.com/analytics/answer/6004245?hl=de).
Facebook-Pixel
Wir verwenden auf dieser Webseite das Facebook Pixel von Facebook, einem Social Media Network der Firma Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2 Ireland.
Der auf dieser Seite implementierte Code kann das Verhalten der Besucher auswerten, welche von einer Facebook-Werbung auf diese Webseite gelangt sind. Dies kann zur Verbesserung von Facebook-Werbeanzeigen genutzt werden und diese Daten werden von Facebook erfasst und gespeichert. Die erfassten Daten sind für uns nicht einsehbar sondern nur im Rahmen von Werbeanzeigenschaltungen nutzbar. Durch den Einsatz des Facebook-Pixel-Codes werden auch Cookies gesetzt.
Durch die Nutzung des Facebook-Pixels wird der Besuch dieser Webseite Facebook mitgeteilt, damit Besucher auf Facebook passende Anzeigen zu sehen bekommen. Wenn Sie ein Facebook-Konto besitzen und angemeldet sind, wird der Besuch dieser Webseite Ihrem Facebook-Benutzerkonto zugeordnet.
Wie das Facebook-Pixel für Werbekampagnen genutzt wird, erfahren Sie auf https://www.facebook.com/business/learn/facebook-ads-pixel.
Sie können Ihre Einstellungen für Werbeanzeigen in Facebook auf https://www.facebook.com/ads/preferences/?entry_product=ad_settings_screen verändern, sofern Sie in Facebook angemeldet sind. Auf http://www.youronlinechoices.com/de/praferenzmanagement/ können Sie Ihre Präferenzen hinsichtlich nutzungsbasierter Online-Werbung verwalten. Sie können dort viele Anbieter auf einmal deaktivieren oder aktivieren oder die Einstellungen für einzelne Anbieter vornehmen.
Mehr Informationen zur Datenrichtlinie von Facebook finden Sie auf https://www.facebook.com/policy.php.
Newsletter
Sie haben die Möglichkeit, über unsere Website unseren Newsletter zu abonnieren. Hierfür benötigen wir Ihre E-Mail-Adresse und ihre Erklärung, dass Sie mit dem Bezug des Newsletters einverstanden sind.
Um Sie zielgerichtet mit Informationen zu versorgen, erheben und verarbeiten wir außerdem freiwillig gemachte Angaben zu Ihrem Interessenswunsch, Ihrer Firma, Ihres Vor- und Zunamens, Ihrer Anrede sowie Ihrer Telefonnummer.
Sobald Sie sich für den Newsletter angemeldet haben, senden wir Ihnen ein Bestätigungs-E-Mail mit einem Link zur Bestätigung der Anmeldung.
Das Abo des Newsletters können Sie jederzeit stornieren, indem Sie den entsprechenden Abmelde-Link auf einem Newsletter betätigen, oder uns eine E-Mail mit der Bitte um Stornierung an folgende E-Mail-Adresse senden: [email protected]. Wir löschen anschließend umgehend Ihre Daten im Zusammenhang mit dem Newsletter-Versand.
Auftragsverarbeitung
Wenn Sie mit uns eine Vertragsbeziehung eingehen, in dem Sie sich als FoxyOffice-Kunde registrieren, dann stellen wir einen Auftragsverarbeiter im Sinne der DSGVO dar. Dies hat zur Folge, dass folgende Vereinbarungspunkte erfüllt werden müssen:
Den Verantwortlichen (im Folgenden Auftraggeber) stellen Sie dar, den Auftragsverarbeiter (im Folgenden Auftragnehmer) wir als Dienstleister.
1) Gegenstand der Vereinbarung
(a) Gegenstand ist die Bereitstellung und sichere Nutzung des SaaS (Software as a Service) Produktes FoxyOffice, welche es nötig macht, Daten des Auftraggebers im Sinne der Zweckerfüllung zu verarbeiten.
Diese Vereinbarung ist als Ergänzung zu den Allgemeinen Geschäftsbedingungen zu verstehen.
(b) Folgende Datenkategorien werden verarbeitet: Kundendaten, Kontaktdaten, Vertragsdaten, Verrechnungsdaten, Bonitätsdaten, Bestelldaten, Entgeltdaten, sowie Daten Ihrer Benutzer, Kunden, Lieferanten und Kontakte.
(c) Folgende Kategorien betroffener Personen unterliegen der Verarbeitung: Kunden, Interessenten und Ansprechpartner
2) Dauer der Vereinbarung
Die Dauer der Vereinbarung ist gekoppelt an die Gültigkeit des Vertrages und somit an die Dauer der Nutzung von FoxyOffice.
3) Pflichten des Auftragnehmers
(a) Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er – sofern gesetzlich zulässig – den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.
(b) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.
(c) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind dem Punkt 6 zu entnehmen).
(d) Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.
(e) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation).
(f) Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat.
(g) Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
(h) Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, in dessen Auftrag zu vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben.
(i) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.
4) Ort der Durchführung der Datenverarbeitung
Datenverarbeitungstätigkeiten werden zumindest zum Teil auch außerhalb der EU bzw. des EWR durchgeführt. Es folgt eine Auflistung der Dienste bzw. Unterauftragnehmer, welche zum Zwecke der Vertragserfüllung (Nutzung von FoxyOffice sowie Kommunikation zwischen Auftraggeber und Auftragnehmer) Daten des Auftraggebers verarbeiten:
• Applikations- und Datenbankserver: domainfactory GmbH, Oskar-Messter-Str. 33, 85737 Ismaning, Deutschland (unterliegt der DSGVO)
• Sicherheitsservice (DDoS Protection, SQL Injection …): Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, United States of America (https://www.cloudflare.com/de-de/gdpr/introduction/)
• Backups (Datenstandort Frankfurt, Deutschland): Amazon Simple Storage Service S3 – Amazon Web Services Inc., 410 Terry Avenue North, Seattle WA 98109, United States of America (https://aws.amazon.com/de/compliance/gdpr-center/)
• Newsletter: MailChimp – The Rocket Science Group LLC, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308, United States of America (https://kb.mailchimp.com/accounts/management/about-mailchimp-the-eu-swiss-privacy-shield-and-the-gdpr)
5) Sub-Auftragsverarbeiter
Der Auftragnehmer kann Sub-Auftragsverarbeiter hinzuziehen.
Er hat den Auftraggeber von der beabsichtigten Heranziehung eines Sub-Auftragsverarbeiters so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.
6) Technisch-organisatorische Maßnahmen
(a) Vertraulichkeit
Zutrittskontrolle zum Rechenzentrum:
• Eine Mehrfaktor-Authentifizierung gewährleistet eine höchst zuverlässige Zutrittskontrolle.
• Das Gebäude und die Infrastruktur unterliegen einer 24/7-Überwachung,
• Sicherheitsbereiche werden zusätzlich videoüberwacht.
Zutrittskontrolle zu den Büroräumlichkeiten des Auftragnehmers:
• Zutritt zu den Büroräumlichkeiten des Auftragnehmers haben grundsätzlich nur Mitarbeiter vom Auftragnehmer.
• Zutritt zu den Betriebsräumen ist nur mit einem Sicherheitsschlüssel bzw. mittels freigeschalteter Nuki-App möglich.
• Fenster sind außerhalb der Betriebszeiten fest verschlossen.
• Der öffentlich zugängliche Bereich des Gebäudes ist außerdem videoüberwacht.
Zugangskontrolle zur technischen Lösung:
• Der elektronische Zugang zu Systemen über Netzwerk ist durch Firewalls und VPNs geschützt
• Die administrativen Zugangsdaten zu den jeweiligen Serversystemen sind nur den Administratoren bekannt.
• Jeder Nutzer erhält einen personalisierten, passwortgeschützten Account.
• Den Benutzern wird ein System-Zugang mittels 2-Faktor-Authentifizierung ermöglicht.
Zugriffskontrolle:
• Zu Kundensystemen erhalten nur Administratoren einen Zugriff.
• Zugriff auf Systeme mit Kundendaten haben nur ausgewählte Mitarbeiter, die einen solchen Zugriff für ihre Tätigkeit zwingend benötigen.
Trennungskontrolle:
• Daten, welche ggf. zu unterschiedlichen Zwecken erhoben wurden, werden getrennt voneinander verarbeitet.
Pseudonymisierung:
• Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt und gesondert aufbewahrt.
(b) Integrität
Weitergabekontrolle:
• Außer zum Zwecke der Datensicherung erfolgt keine Weitergabe der personenbezogenen Daten.
• Die Daten sind durch Firewalls und Virenschutzsysteme vor dem Zugriff von außen sowie Manipulationen geschützt.
• Alle Mitarbeiter sind zur Verschwiegenheit und zur Einhaltung des Datengeheimnisses verpflichtet.
• Zugriffe auf Daten im Rechenzentrum erfolgen ausschließlich über verschlüsselte Verbindungen.
Eingabekontrolle:
• Das Nachverfolgen von Dateneingaben und -manipulationen wird, wo technisch möglich, durch eine automatische Protokollierung (Logging) gewährleistet.
• Administrator-Tätigkeiten werden über ein System-Log protokolliert (z.B. Erstellung oder Löschung eines Benutzerkontos).
Auftragskontrolle:
• Alle Mitarbeiter werden regelmäßig zum Datenschutz geschult.
• Arbeitsanweisung werden in Schriftform dokumentiert.
(c) Verfügbarkeit und Belastbarkeit
Verfügbarkeitskontrolle:
• Alle Systeme, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten genutzt werden, werden im Rahmen des Backup-Dienstes regelmäßig gesichert und die Konsistenz der Sicherung wird geprüft.
• Brand- und Rauchüberwachung: Das Rechenzentrum ist mit einem Brandfrüherkennungssystem ausgestattet.
• Alle Systeme sind mit unterbrechungsfreier Notstromversorgung (USV) ausgestattet.
(d) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Die Datenschutzprozesse, Sicherheitsstandards sowie technischen sowie organisatorischen Maßnahmen werden regelmäßig evaluiert und auf den aktuellen Stand der Technik gebracht.
Ihre Rechte
Ihnen stehen grundsätzlich die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch zu. Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. In Österreich ist dies die Datenschutzbehörde.
