Compliance-Dokumente

Datenschutz

Datenschutz und Datensicherheit gewinnen in unserer vernetzten Welt immer mehr an Bedeutung. Bei der Software AG können Kunden darauf vertrauen, dass ihre persönlichen Daten unter Einhaltung der Datenschutzbestimmungen verarbeitet werden.

In unseren FAQ erfahren Sie, wie wir die Verarbeitung der personenbezogenen Daten unserer Kunden handhaben und wie wir sicherstellen, dass unsere Kunden unsere Produkte und Dienstleistungen in Übereinstimmung mit den geltenden Bestimmungen nutzen können.

Welche Maßnahmen wurden ergriffen, um datenschutzkonforme Produkte und Dienstleistungen zu erhalten? 

Alle von der Software AG angebotenen Produkte sind hinsichtlich ihrer Funktionalität zur Verarbeitung personenbezogener Daten auf die geltenden Datenschutzgrundsätze hin untersucht worden. Für zukünftige Funktionalitäten wurde eine Release-Task zur Prüfung der Datenschutzkonformität in den Produkt-Release-Zyklus integriert.

Wie werden die Anforderungen an Rechenschaftspflicht und Unternehmensführung erfüllt?

Die Software GmbH hat ein Data Protection Managementsystem (DPMS) eingerichtet, das klare Prozesse für relevante Datenschutzaspekte definiert, einschließlich der folgenden Prozesse und Risikobewertungen:

  1. Bearbeitung von Anfragen betroffener Personen
  2. Umgang mit Datenschutzverletzungen
  3. Überprüfung des Auftragsverarbeitungsvertrags (AVV)
  4. Prüfung der Notwendigkeit einer Datenschutz-Folgenabschätzung
  5. Datenschutz-Folgenabschätzung (DSFA)
  6. Bewertung von Datenschutzverletzungen und Risiken
  7. Übertragungsfolgenabschätzung (ÜFA)

Im Rahmen des Geltungsbereichs der ISO 9001-Zertifizierung der Software GmbH unterliegen die etablierten DPMS-Prozesse regelmäßigen externen Prüfungen.

Darüber hinaus hat die Software GmbH eine globale Datenschutzrichtlinie implementiert, die für alle Mitarbeitenden gilt. Ziel dieser Richtlinie ist es, den rechtskonformen Umgang mit personenbezogenen Daten innerhalb der Software GmbH und ihrer Tochtergesellschaften zu regeln und die Rechte aller Personen zu schützen, deren Daten von der Software GmbH verarbeitet werden, gemäß den geltenden Datenschutz- und Privatsphärebestimmungen.

Wie verarbeitet die Software AG personenbezogene Daten im Auftrag von Kunden?

Wenn die Software AG im Auftrag ihrer Kunden personenbezogene Daten verarbeitet oder wenn im Rahmen der Leistungserbringung ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, wird standardmäßig eine Datenverarbeitungsvereinbarung (DVV) abgeschlossen. Sie regelt insbesondere die folgenden Aspekte: 

  • Weisungen des Kunden: Das DSG verpflichtet die Software AG, personenbezogene Daten nur auf Weisung des Kunden und unter Beachtung des für den Kunden geltenden Datenschutzrechts zu verarbeiten.
  • Subunternehmer: Die Aufgabe der Software AG ist es, eine hohe Verfügbarkeit der Supportleistungen zu gewährleisten. Dies erfordert, dass die Software AG ihre Tochtergesellschaften in aller Welt sowie sorgfältig ausgewählte externe Dienstleister in ihren Supportprozess einbezieht. Diese Organisationen fungieren als Unterauftragsverarbeiter für unsere Kunden. Auch bei der Erbringung von Cloud- und Beratungsleistungen werden Unterauftragsverarbeiter eingesetzt, um unseren Kunden den höchstmöglichen Standard an Qualität, Leistung und Flexibilität zu bieten.
  • Datenübermittlung: Wie oben erwähnt, ist für die Erbringung von Dienstleistungen in der Regel eine Übermittlung personenbezogener Daten an andere Unternehmen der Software AG oder externe Dienstleister erforderlich. Für alle Datenübertragungen aus dem EWR in Länder ohne angemessenes Datenschutzniveau gelten die EU-Standardvertragsklauseln. Dadurch wird sichergestellt, dass die personenbezogenen Daten der Kunden im Einklang mit den Datenschutzbestimmungen geschützt werden.
  • Anfragen von Dateninhabern: Die Kunden der Software AG als Verantwortliche für die Datenverarbeitung können aufgrund des geltenden Datenschutzrechts verpflichtet sein, auf Anfrage einer betroffenen Person Auskunft zu erteilen. Soweit die Anfrage von einer betroffenen Person direkt an die Software AG gerichtet wurde, werden wir den jeweiligen Kunden benachrichtigen und der betroffenen Person gemäß den Anweisungen des Kunden antworten. Darüber hinaus werden wir unsere Kunden durch geeignete technische und organisatorische Maßnahmen dabei unterstützen, selbst auf die Anfragen der Betroffenen zu reagieren.
  • Benachrichtigung bei Datenschutzverletzungen: Im Falle einer Datenschutzverletzung könnten die Kunden der Software AG als Verantwortliche verpflichtet sein, bestimmte Meldepflichten gegenüber den betroffenen Personen und/oder der Aufsichtsbehörde zu erfüllen. Die Software AG wird ihre Kunden unverzüglich informieren, sobald uns dokumentierte Gründe vorliegen, die darauf hindeuten, dass eine Datenschutzverletzung bei der Software AG oder bei unseren Subunternehmern stattgefunden hat. Die Software AG hat einen Prozess zur Bearbeitung von Datenschutzverletzungen implementiert, der mit diesen Meldepflichten in Einklang steht und Teil des Datenschutz-Managementsystems (DPMS) ist.
  • Technische und organisatorische Maßnahmen: Die Software GmbH hat geeignete technische und organisatorische Maßnahmen (TOMs) implementiert, um personenbezogene Daten vor unbefugter Verarbeitung zu schützen. Die TOMs werden regelmäßig überprüft und bei Bedarf aktualisiert. 

Hat die Software GmbH einen Prozess zur Bearbeitung von Datenschutzverletzungen?

Ja, wir haben einen Prozess zur Bearbeitung von Datenschutzverletzungen, der in unserem Datenschutz-Managementsystem dokumentiert ist. Dieser Prozess beschreibt, wie im Falle einer Verletzung personenbezogener Daten vorzugehen ist. Eine Datenschutzverletzung liegt vor, wenn es zu einem Sicherheitsvorfall kommt, der zur unbeabsichtigten oder rechtswidrigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt, die übertragen, gespeichert oder anderweitig verarbeitet werden. Sobald eine potenzielle Datenschutzverletzung entdeckt wird, muss das zuständige Fachteam den Vorfall an das Datenschutzteam melden, das entscheidet, ob es sich tatsächlich um eine Datenschutzverletzung handelt. Falls ja, bewertet das Datenschutzteam die Verletzung in Bezug auf Ursache, Umfang und Ausmaß und dokumentiert relevante Ergebnisse. Nachdem das Datenschutzteam das Risiko für die betroffenen Personen eingeschätzt hat, entscheidet der Datenschutzbeauftragte (DPO), ob die Aufsichtsbehörde und gegebenenfalls die betroffenen Personen benachrichtigt werden müssen.

Wie geht die Software AG mit den veränderten Datenschutzanforderungen um?

Da sich die Anforderungen an den Datenschutz aufgrund von Gesetzesänderungen oder Entscheidungen der zuständigen Aufsichtsbehörden ständig ändern oder erweitern können, überprüft die Software AG die Prozesse im Rahmen unseres DPMS sowie die technischen und organisatorischen Maßnahmen regelmäßig auf neue Anforderungen und passt sie entsprechend an. Darüber hinaus unterliegen unsere Prozesse regelmäßigen externen Audits im Rahmen der ISO 9001-Zertifizierung.

Führt die Software GmbH eine Datenschutzrisikobewertung bzw. Datenschutz-Folgenabschätzung (DSFA) durch?

Ja, wir haben einen Prozess für die Datenschutz-Folgenabschätzung (DSFA) und eine DSFA-Vorprüfung, der in unserem Datenschutz-Managementsystem dokumentiert ist. Bei Verarbeitungstätigkeiten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen oder aufgrund behördlicher Vorgaben erforderlich sind, wird eine DSFA durchgeführt. Der entsprechende Prozess beschreibt die Schritte, um zu prüfen, ob eine DSFA erforderlich ist oder nicht. Zeigt die Vorprüfung, dass eine DSFA notwendig ist, wird diese durchgeführt und dokumentiert. Wenn eine DSFA durchgeführt werden muss, bewertet das Datenschutzteam das Risiko der Datenverarbeitung hinsichtlich Verhältnismäßigkeit und Notwendigkeit und prüft gegebenenfalls, ob weniger nachteilige Alternativen für die Rechte und Freiheiten der betroffenen Personen bestehen. Liegt ein hohes Risiko vor, werden geeignete technische und organisatorische Maßnahmen zur Risikominderung identifiziert und ausgewählt. Nur wenn das Risiko auf ein akzeptables Niveau reduziert werden kann, wird die Verarbeitungstätigkeit durchgeführt.

Gibt es bei der Software AG einen Datenschutzbeauftragten?

Die Software AG hat einen Konzerndatenschutzbeauftragten (CDPO) bestellt. Der CDPO überwacht die Einhaltung des geltenden Datenschutzrechts und berät über die Verarbeitung personenbezogener Daten bei der Software AG.

Sind die Mitarbeiter über die Datenschutzanforderungen geschult?

Eine für alle Mitarbeiter der Software AG verpflichtende Datenschutzschulung wurde eingerichtet. Sie befasst sich mit den Anforderungen an die regelkonforme Verarbeitung personenbezogener Daten sowie der Einhaltung ausreichender technischer und/oder organisatorischer Maßnahmen und muss regelmäßig aufgefrischt werden. Die Nichtdurchführung dieser Schulung wird überwacht und kann geahndet werden.

Wie werden die Anforderungen an Rechenschaftspflicht und Unternehmensführung erfüllt?

Die Software AG hat ein Datenschutzmanagementsystem (DPMS) eingerichtet, das klare Prozesse für relevante Datenschutzaspekte wie den Umgang mit Datenschutzverletzungen, die Rechte der Betroffenen, die Aufzeichnung von Verarbeitungstätigkeiten und die Meldepflichten gegenüber den zuständigen Aufsichtsbehörden und / oder den Betroffenen definiert. Im Rahmen der ISO 9001-Zertifizierung der Software AG werden die etablierten DPMS-Prozesse regelmäßig durch externe Audits überprüft. Zusätzlich hat die Software AG eine Datenschutzrichtlinie implementiert, die für alle Mitarbeiter gilt. Ziel dieser Richtlinie ist es, den rechtskonformen Umgang mit personenbezogenen Daten innerhalb der Software AG und der mit ihr verbundenen Unternehmen zu regeln.