Datenschutz

Data protection and data privacy are becoming increasingly important in our connected world. At Software GmbH, customers can trust that their personal data is processed in compliance with data protection/data privacy requirements.

See our FAQ for how we process our customers’ personal data and how we ensure customers can use our products and services in compliance with applicable requirements.

Welche Maßnahmen wurden ergriffen, um datenschutzkonforme Produkte und Dienstleistungen zu erhalten? 

All products offered by Software GmbH have been analyzed with respect to their functionality for processing personal data in accordance with the applicable data protection principles. For future functionality, a release task to verify data protection compliance has been integrated into the product release cycle.

Wie werden die Anforderungen an Rechenschaftspflicht und Unternehmensführung erfüllt?

Die Software GmbH hat ein Data Protection Managementsystem (DPMS) eingerichtet, das klare Prozesse für relevante Datenschutzaspekte definiert, einschließlich der folgenden Prozesse und Risikobewertungen:

1. Bearbeitung von Anfragen betroffener Personen
2. Umgang mit Datenschutzverletzungen
3. Überprüfung des Auftragsverarbeitungsvertrags (AVV)
4. Prüfung der Notwendigkeit einer Datenschutz-Folgenabschätzung
5. Datenschutz-Folgenabschätzung (DSFA)
6. Bewertung von Datenschutzverletzungen und Risiken
7. Übertragungsfolgenabschätzung (ÜFA)

Im Rahmen des Geltungsbereichs der ISO 9001-Zertifizierung der Software GmbH unterliegen die etablierten DPMS-Prozesse regelmäßigen externen Prüfungen.

Additionally, Software GmbH has implemented a Global Data Protection Policy, which applies to all employees. The objective of this policy is to regulate the legally compliant handling of personal data within Software GmbH and its subsidiaries, and to protect the rights arising from data protection/privacy regulations of all persons whose data is processed by Software GmbH.

Wie verarbeitet die Software AG personenbezogene Daten im Auftrag von Kunden?

When Software GmbH processes personal data on behalf of its customers (data controllers), or when access to personal data cannot be ruled out in the course of service provision, a Data Processing Agreement (DPA) is concluded as standard practice. It addresses in particular the following aspects: 

• Customer’s instructions: The DPA obliges Software AG to process personal data only as instructed by the customer and in compliance with data protection law applicable to the customer.
• Sub-processors: Software AG’s mission is to provide HochverfügbarkeitDie Fähigkeit eines Systems oder Dienstes, bei Bedarf einsatzbereit und nutzbar zu bleiben, mit minimalen Ausfallzeiten.Vollständige Definition lesen ↗ of support services. This requires Software AG to include its affiliates worldwide, as well as carefully selected external service providers, in its support process. These organizations act as sub-processors to our customers. Also, to provide cloud and consulting services, sub-processors are used to deliver the highest possible standards of quality, performance, and flexibility to our customers.
• Data transfer: Datenübermittlung: Wie oben erwähnt, ist für die Erbringung von Dienstleistungen in der Regel eine Übermittlung personenbezogener Daten an andere Unternehmen der Software AG oder externe Dienstleister erforderlich. Für alle Datenübertragungen aus dem EWR in Länder ohne angemessenes Datenschutzniveau gelten die EU-Standardvertragsklauseln. Dadurch wird sichergestellt, dass die personenbezogenen Daten der Kunden im Einklang mit den Datenschutzbestimmungen geschützt werden.
• Data subject requests: Software AG’s customers, as data controllers, may be required under applicable data protection law to provide information upon a data subject’s request. To the extent that the request was addressed directly to Software AG by a data subject, we will notify the respective customer and respond to the data subject in accordance with the customer’s instructions. Additionally, we will support our customers in responding to data subjects’ requests using appropriate technical and organizational measures.
• Data breach notification: Benachrichtigung bei Datenschutzverletzungen: Im Falle einer Datenschutzverletzung könnten die Kunden der Software AG als Verantwortliche verpflichtet sein, bestimmte Meldepflichten gegenüber den betroffenen Personen und/oder der Aufsichtsbehörde zu erfüllen. Die Software AG wird ihre Kunden unverzüglich informieren, sobald uns dokumentierte Gründe vorliegen, die darauf hindeuten, dass eine Datenschutzverletzung bei der Software AG oder bei unseren Subunternehmern stattgefunden hat. Die Software AG hat einen Prozess zur Bearbeitung von Datenschutzverletzungen implementiert, der mit diesen Meldepflichten in Einklang steht und Teil des Datenschutz-Managementsystems (DPMS) ist.
• Technical and organizational measures: Software GmbH has implemented appropriate Technical and Organizational Measures (TOMs) to protect personal data from unauthorized processing. The TOMs are regularly reviewed and updated if necessary. 

Hat die Software GmbH einen Prozess zur Bearbeitung von Datenschutzverletzungen?

Ja, wir haben einen Prozess zur Bearbeitung von Datenschutzverletzungen, der in unserem Datenschutz-Managementsystem dokumentiert ist. Dieser Prozess beschreibt, wie im Falle einer Verletzung personenbezogener Daten vorzugehen ist. Eine Datenschutzverletzung liegt vor, wenn es zu einem Sicherheitsvorfall kommt, der zur unbeabsichtigten oder rechtswidrigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt, die übertragen, gespeichert oder anderweitig verarbeitet werden. Sobald eine potenzielle Datenschutzverletzung entdeckt wird, muss das zuständige Fachteam den Vorfall an das Datenschutzteam melden, das entscheidet, ob es sich tatsächlich um eine Datenschutzverletzung handelt. Falls ja, bewertet das Datenschutzteam die Verletzung in Bezug auf Ursache, Umfang und Ausmaß und dokumentiert relevante Ergebnisse. Nachdem das Datenschutzteam das Risiko für die betroffenen Personen eingeschätzt hat, entscheidet der Datenschutzbeauftragte (DPO), ob die Aufsichtsbehörde und gegebenenfalls die betroffenen Personen benachrichtigt werden müssen.

Wie geht die Software AG mit den veränderten Datenschutzanforderungen um?

Da sich die Anforderungen an den Datenschutz aufgrund von Gesetzesänderungen oder Entscheidungen der zuständigen Aufsichtsbehörden ständig ändern oder erweitern können, überprüft die Software AG die Prozesse im Rahmen unseres DPMS sowie die technischen und organisatorischen Maßnahmen regelmäßig auf neue Anforderungen und passt sie entsprechend an. Darüber hinaus unterliegen unsere Prozesse regelmäßigen externen Audits im Rahmen der ISO 9001-Zertifizierung.

Does Software GmbH conduct any privacy risk assessment/impact assessment (DPIA)?

Ja, wir haben einen Prozess für die Datenschutz-Folgenabschätzung (DSFA) und eine DSFA-Vorprüfung, der in unserem Datenschutz-Managementsystem dokumentiert ist. Bei Verarbeitungstätigkeiten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen oder aufgrund behördlicher Vorgaben erforderlich sind, wird eine DSFA durchgeführt. Der entsprechende Prozess beschreibt die Schritte, um zu prüfen, ob eine DSFA erforderlich ist oder nicht. Zeigt die Vorprüfung, dass eine DSFA notwendig ist, wird diese durchgeführt und dokumentiert. Wenn eine DSFA durchgeführt werden muss, bewertet das Datenschutzteam das Risiko der Datenverarbeitung hinsichtlich Verhältnismäßigkeit und Notwendigkeit und prüft gegebenenfalls, ob weniger nachteilige Alternativen für die Rechte und Freiheiten der betroffenen Personen bestehen. Liegt ein hohes Risiko vor, werden geeignete technische und organisatorische Maßnahmen zur Risikominderung identifiziert und ausgewählt. Nur wenn das Risiko auf ein akzeptables Niveau reduziert werden kann, wird die Verarbeitungstätigkeit durchgeführt.

Gibt es bei der Software AG einen Datenschutzbeauftragten?

Die Software AG hat einen Konzerndatenschutzbeauftragten (CDPO) bestellt. Der CDPO überwacht die Einhaltung des geltenden Datenschutzrechts und berät über die Verarbeitung personenbezogener Daten bei der Software AG.

Sind die Mitarbeiter über die Datenschutzanforderungen geschult?

Data protection training is mandatory for all staff at Software GmbH. It addresses the requirements for compliant processing of personal data, as well as adherence to sufficient technical and/or organizational measures, and must be refreshed regularly. Non-participation in this training is monitored and may result in disciplinary action.

Wie werden die Anforderungen an Rechenschaftspflicht und Unternehmensführung erfüllt?

Die Software AG hat ein Datenschutzmanagementsystem (DPMS) eingerichtet, das klare Prozesse für relevante Datenschutzaspekte wie den Umgang mit Datenschutzverletzungen, die Rechte der Betroffenen, die Aufzeichnung von Verarbeitungstätigkeiten und die Meldepflichten gegenüber den zuständigen Aufsichtsbehörden und / oder den Betroffenen definiert. Im Rahmen der ISO 9001-Zertifizierung der Software AG werden die etablierten DPMS-Prozesse regelmäßig durch externe Audits überprüft. Zusätzlich hat die Software AG eine Datenschutzrichtlinie implementiert, die für alle Mitarbeiter gilt. Ziel dieser Richtlinie ist es, den rechtskonformen Umgang mit personenbezogenen Daten innerhalb der Software AG und der mit ihr verbundenen Unternehmen zu regeln.

• Die Datenschutzerklärung der Software GmbH für die Verarbeitung personenbezogener Daten ist verfügbar unter: SoftwareGmbH Privacy Notice
• Die Listen der technischen und organisatorischen Maßnahmen sind verfügbar unter: Technical and Organizational Methods (TOMs) | Software GmbH