Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. Auch wenn dieses neue Gesetz für einigen Wirbel sorgte, begrüßen wir die angestoßene Entwicklung. Wir nehmen die darin enthaltenen Anonymisierungs- und Integritätsrichtlinien sehr ernst und haben unser Produkt so weiterentwickelt, dass es der DSGVO entspricht.
Im Folgenden finden Sie alle wichtigen Informationen darüber, wie sich Mynewsdesk in Bezug auf die DSGVO verhält.
Detailliertere Informationen entnehmen Sie bitte unserer Datenschutzvereinbarung sowie dem darin enthaltenen Auftragsverarbeitungs-Vertrag (“AV-Vertrag”), sowie unseren Allgemeinen Geschäftsbedingungen.
Wie ist die Rolle des Datenverantwortlichen zwischen dem Kunden und Mynewsdesk aufgeteilt?
Als Mynewsdesk-Kunde übernehmen Sie die Verantwortung für einen bestimmten Teil der Daten, die Sie in die Plattform importieren. Gleichwohl hängt die Definition der Datenverantwortung zu einem großen Teil davon ab, welche spezifischen Zwecke und Nutzungen beabsichtigt werden.
Wenn beispielsweise Kontaktinformationen innerhalb von “Contacts” in Ihrem Account hochgeladen, heruntergeladen, gespeichert oder aktualisiert werden, liegt die Verantwortung des Datenschutzes beim Kunden. Gleichzeitig nimmt Mynewsdesk in diesem Zusammenhang aufgrund seiner Verantwortung für die Infrastruktur und in einigen Fällen auch als Administrator eine allgemeine Rolle als Datenverantwortlicher ein.
Entspricht unser Vertrag mit Mynewsdesk der DSGVO?
Ja. Vor Inkrafttreten der DSGVO hat Mynewsdesk eine überarbeitete Version der Allgemeinen Geschäftsbedingungen entwickelt, welche nun an unsere Datenschutzvereinbarung inklusive dem darin enthaltenen Auftragsverarbeitungs-Vertrag (“AV-Vertrag”) gekoppelt sind. Damit erfüllen die Allgemeinen Geschäftsbedingungen gleichermaßen die Funktion eines AV-Vertrages. In diesem Zusammenhang haben wir zugleich unsere Datenschutzerklärung und unsere Sicherheitsrichtlinie aktualisiert.
Wer ist für die von mir in Contacts hochgeladenen Daten verantwortlich?
Als Kunde verantworten Sie selbst, dass die von Ihnen in Contacts hochgeladenen Kontaktlisten DSGVO-konform behandelt werden. Ihnen obliegt es, Prozesse zu definieren im Hinblick auf Fragen wie beispielsweise warum oder auf welche Art und Weise Sie Kontaktlisten vorhalten.
Wir empfehlen Ihnen daher, sicherzustellen, dass Ihre Kontaktlisten stets auf einem aktuellen Stand sind, damit diese keine Kontakte enthalten die Sie nicht verwenden. Alle E-Mails, die Sie von Mynewsdesk aus versenden, enthalten einen Link, über den sich die Empfänger von weiteren Zusendungen abmelden können.
Weitere Informationen im Hinblick auf die Verarbeitung personenbezogener Daten in Contacts entnehmen Sie bitte unserer Datenschutzvereinbarung.
Werden Hinweise erteilt, wenn Daten direkt von der betroffenen Person eingeholt werden?
Mit seiner Anmeldung und der Eingabe personenbezogener Daten akzeptiert der Nutzer unsere Allgemeine Geschäftsbedingungen. Weiterhin werden dem Nutzer bei der Erstellung eines Kontos genaue Informationen über die Datenverarbeitung und deren Zweck vorgelegt.
Sind Kontrollen eingerichtet, die sicherzustellen, dass die Erfassung personenbezogener Daten auf das erforderliche Minimum beschränkt bleibt?
Ja, wir haben interne Routinen, die sicherstellen, dass die Verarbeitung personenbezogener Daten auf bestimmte Zwecke beschränkt ist. Darüber hinaus haben wir Routinen definiert, die sicherstellen, dass unsere Subunternehmer die Anforderungen der DSGVO erfüllen.
Was ist Ihre Richtlinie für die Datenübertragung an externe Auftragsdatenverarbeiter?
Mynewsdesk verfügt über etablierte und dokumentierte Routinen für die Übermittlung personenbezogener Daten. Grundsätzlich gilt, dass ohne Benachrichtigung des für die Unternehmensgruppe zuständigen Datenverantwortlichen und/oder des Datenschutzbeauftragten keine personenbezogenen Daten an externe Auftragsdatenverarbeiter (auch nicht innerhalb der Unternehmensgruppe) übermittelt werden dürfen.
Die Übertragung von personenbezogenen Daten ins Ausland darf nur in EU / EWR-Ländern und in die USA erfolgen (vorausgesetzt, der Auftragsdatenverarbeiter ist nach Privacy Shield zertifiziert). Jedwede darüber hinaus gehende Übertragung unterliegt einer Benachrichtigung des Datenschutzbeauftragten der Gruppe und erfordert eine Entscheidung von Fall zu Fall.
Welches sind Ihre wichtigsten Subunternehmer für die Datenverarbeitung?
Die wichtigsten Subunternehmer, die das Hosting und die Speicherung von Mynewsdesk-Daten auf ihren Servern verwalten, sind Amazon Webservices und Heroku. Beide Subunternehmer verarbeiten Daten innerhalb der EU (in Irland).
In welchen Ländern verarbeiten Sie personenbezogene Daten?
Wir verarbeiten Daten innerhalb der EU/EWR (Schweden, Norwegen, Deutschland und Irland) und in einigen Fällen in den USA. Bei der Verarbeitung von Daten in den USA bestehen wir in der Zusammenarbeit mit Lieferanten auf einer Privacy Shield Zertifizierung.
Können Sie angeben, an welchen Adressen Ihre Daten gespeichert sind?
Aus Sicherheitsgründen erteilen die meisten Hosting-Anbieter keine detaillierten Informationen zu den Standorten ihrer Server. Mynewsdesk sieht keine Notwendigkeit der Angabe von Straßenadressen der Serverstandorte, um der DSGVO zu entsprechen.
Gibt es physischen und elektronischen Schutz für gespeicherte personenbezogene Daten? Verwenden Sie Datenverschlüsselung und wie ist Ihr Einbruchschutz?
Der Schutz unserer Daten wird von unserem Hosting-Partner Heroku (über Amazon) verwaltet. Weitere Informationen finden Sie unter https://www.heroku.com/policy/security.
Gibt es einen Prozess zur Datenlöschung?
Wir haben einen Prozess definiert, der sicherstellt, dass personenbezogene Daten gelöscht werden wenn sie nicht mehr benötigt werden, oder wenn eine Löschung aus juristischen Gründen erforderlich wird.
Unterstützen Sie die Löschung personenbezogener Daten auf Anfrage der betroffenen Person?
Wir unterstützen derartige Anfragen und haben Vorgehensweisen und Routinen für die Handhabung von Löschungsbegehren definiert.
Gibt es Sicherheitskopien von gespeicherten personenbezogenen Daten, und bestehen Routinen für deren Löschung?
Wir legen Sicherheitskopien unserer Produktionsdatenbank über unseren Hosting-Partner Heroku an. Diese Kopien werden für drei Jahre gespeichert und anschließend gelöscht. Eine Routine für das Löschen personenbezogener Daten von Sicherungskopien in Verbindung mit einer Datenlöschung in der ursprünglichen Datenbank wurde von uns vor Inkrafttreten der DSGVO implementiert.
Gibt es bekannte Risiken in Bezug auf Ihre Datenverarbeitung?
Wir führen eine kontinuierliche Identifizierung, Bewertung und Nachverfolgung durch, um mögliche Sicherheitsrisiken zu beheben.
Gibt es einen Prozess zum Erkennen und Melden von Sicherheitsvorfällen?
Wir haben einen teilautomatisierten Prozess zur Identifikation von Sicherheitsrisiken und -vorfällen in unserer Datenbank. Darüber hinaus ist eine Routine festgelegt für die Unterrichtung aller betroffenen Personen sowie der schwedischen Datenschutzbehörde (Datainspektionen) innerhalb von 72 Stunden.
Kann ich unseren Auftragsverarbeitungs-Vertrag (“AV-Vertrag”) von Mynewsdesk unterzeichnen lassen?
Wir unterzeichnen keine individuellen Vereinbarungen, da Mynewsdesk als SaaS Unternehmen einen eigenen, speziell auf unser Produkt abgestimmten Auftragsverarbeitungs-Vertrag (“AV-Vertrag”) ausgearbeitet hat.
Dieser ist Bestandteil unserer Datenschutzvereinbarung, die wiederum an unsere Allgemeinen Geschäftsbedingungen gekoppelt ist, welche bei Vertragsschließung angenommen wurden.
Wer trägt die Verantwortung als Datenverantwortlicher (Data Controller) und Datenschutzbeauftragter (Data Protection Officer)?
Datenverantwortlicher ist die NHST Media Group mit der Vorsitzenden Anette Olsen, während Petter Irgens Gustafson als Datenschutzbeauftragter für die Gruppe und alle verbundenen Unternehmen ernannt ist. Darüber hinaus verfügen alle Unternehmen innerhalb der Gruppe über einen eigenen Datenverantwortlichen mit delegierter Verantwortung für den jeweiligen Geschäftsbereich. Datenverantwortlicher für Mynewsdesk ist CEO Mattias Malmström.
Welche personenbezogenen Daten werden von Mynewsdesk verarbeitet?
Mynewsdesk verarbeitet folgende Daten:
– im Zusammenhang mit Benutzerkonten:
Name, Benutzername/ID, E-Mail, Benutzer-Passwort, Skype, Google-Konto, berufliche Position, API Token, Newsroom-Name, Online-Nutzungsdaten
– im Zusammenhang mit Contacts:
E-Mail, Land, Vorname, Nachname, Organisation, berufliche Position, Interessen, Arbeitstelefon, Mobiltelefon, Adresse, Fax, Postleitzahl, Stadt, Land, Homepage, E-Mail Events (zugestellt, geöffnet, geklickt)