4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder nutzung:

Transkript

1 Informationen nach 4e BDSG, Verfahrensverzeichnis 1.Name oder Firma der verantwortlichen Stelle, Excellent AD GmbH 2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen Geschäftsführer: Ansgar Ellmer 3. Anschrift der verantwortlichen Stelle Reimersbrücke 5, D Hamburg 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder nutzung: 4.1. Kundenverwaltung für Mailings im Rahmen der Onlinewerbung für Partnerunternehmen und Marketing für Waren, Produkte und Dienstleistungen der Partnerunternehmen 4.2. Personalverwaltung incl. Lohn- und Gehaltsabrechnung - Erfüllung sozialversicherungsrechtlicher, gesetzlicher Verpflichtungen 4.3. Bezug von Kundendaten durch Ankauf der durch Gewinnspiele eines Dritten generierten Daten 5. Betroffene Personengruppen und die diesbezüglichen Daten oder Datenkategorien Zu folgenden Gruppen, soweit es sich um natürliche Personen handelt, werden die aufgeführten personenbezogenen Daten erhoben, verarbeitet und genutzt, um die unter 4. genannten Zwecke zu erfüllen : 5.1 Zu 4.1.Kunden: Adressdaten, Kontaktdaten (einschließlich -Daten und Telefon bei vorliegender Einwilligung) 5.2 Zu 4.2. Mitarbeiter/Bewerber/Praktikanten/frühere Mitarbeiter : Bewerbungsdaten, Angaben zum beruflichen Werdegang, Angaben zu Ausbildung und Qualifikation, Vertrags- Stamm- und Abrechnungsdaten (Angaben zu Privat- und Geschäftsadresse, Tätigkeitsbereich, Gehaltszahlungen, Name und Alter von Angehörigen soweit für Sozialleistungen relevant, Lohnsteuerdaten, Bankverbindungsdaten, dem Mitarbeiter anvertraute Vermögensgegenstände), Kontaktdaten, Mitarbeiterstatus, Qualifikation, Mitarbeiterbeurteilung, beruflicher Werdegang, Daten zur Personalverwaltung und - steuerung, Arbeitszeiterfassungsdaten, Daten zur Kommunikation sowie zur Abwicklung und Kontrolle von Transaktionen sowie der technischen Systeme 5.3 Zu 4.3 Lieferanten/Dienstleister: Adressdaten, Kontaktdaten, Bankverbindungen, Vertragsdaten, Terminverwaltungsdaten, Abrechnungs- und Leistungsdaten Informationen nach 4e BDSG, Verfahrensverzeichnis Seite 1

2 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können 6.1. Zu 4.1. Interne Stellen, die die jeweiligen Geschäftsprozesse abwickeln (Buchhaltung, Rechnungswesen, Vertrieb, Marketing), Externe Auftragsdatenverarbeiter, die im Auftrag gemäß 11 BDSG nach den Anweisungen der E prospect eingesetzt werden, Handelsunternehmen zu Werbezwecken) 6.2. Zu 4.2. Interne Stellen, die die jeweiligen Geschäftsprozesse abwickeln(buchhaltung, Rechnungswesen, Vertrieb, Marketing), Öffentliche Stellen, die Daten wegen gesetzlicher Vorschriften erhalten (Finanzbehörden) Handelsunternehmen zu Werbezwecken Zu 4.3. Interne Stellen, die die jeweiligen Geschäftsprozesse abwickeln (Buchhaltung, Rechnungswesen, Vertrieb, Marketing, Handelsunternehmen zu Werbezwecken) 7. Regelfristen für die Löschung der Daten: Die vom Gesetzgeber für den jeweiligen Fall vorgeschriebenen Aufbewahrungspflichten für personenbezogene Daten werden eingehalten. Anstelle der Löschung tritt eine Sperrung, soweit einer Löschung gesetzliche, vertragliche oder anderweitige Aufbewahrungsfristen entgegenstehen oder Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden. Mitarbeiterdaten: soweit sie nicht für die Buchhaltung und damit Steuer erforderlich sind nach Beendigung des Geschäftsverhältnisses, ansonsten nach 10 Jahren. Bewerberdaten: Löschung nach 4 Monaten Kundendaten: soweit sie nicht für die Buchhaltung und damit Steuer erforderlich sind nach Beendigung des Geschäftsverhältnisses, ansonsten nach 10 Jahren. Lieferanten/Dienstleister: soweit sie nicht für die Buchhaltung und damit Steuer erforderlich sind nach Beendigung des Geschäftsverhältnisses, ansonsten nach 10 Jahren. 8. Datenübermittlung in Drittstaaten 8.1. zu 4.1. eine Übermittlung erfolgt in die Schweiz, so es sich um Kunden mit Wohnsitz in diesen Ländern handelt 8.2 zu 4.2. keine Übermittlung 8.3. zu 4.3. keine Übermittlung 9. Maßnahmen nach 9 BDSG zur Gewährleistung der Sicherheit der Verarbeitung 9.1. allgemeine Beschreibung der Verfahrensprozesse zum Verfahrensverzeichnis der Excellent Ad GmbH a) Datenerhebung und Adressgenerierung über eigene Webseiten Die Excellent Ad GmbH betreibt Umfrage- und Gewinnspielseiten zum Zwecke der Datenerhebung und Adressgenerierung. Die Nutzung unserer Webseite ist in der Regel ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name, Anschrift oder e Mail-Adressen) erhoben werden, erfolgt dies Informationen nach 4e BDSG, Verfahrensverzeichnis Seite 2

3 stets auf freiwilliger Basis. Die erhobenen Daten werden nicht ohne die ausdrückliche Zustimmung der Daten eingebenden Person an Dritte weitergegeben. Bei dieser Datenerhebung wird ausschließlich das sogenannte Double-Opt-In Verfahren angewendet. Im Double-Opt-In Verfahren ist das sogenannte Opt-In Verfahren integriert. Bei diesem Opt-In Verfahren optiert der Endverbraucher im Vorhinein zu einer späteren Werbekontaktaufnahme von Sponsoren durch E Mail, Telefon oder Post. Unsere Umfrageund Gewinnspielseiten sind für den Nutzer klar und verständlich gestaltet. Das Werbeeinverständnis ist deutlich mittels anklickbaren Checkboxen unterteilt nach Datenschutz und Teilnahmebedingungen, E Mail und Post/Telefon. Die Anzahl der teilnehmenden Sponsoren sowie die Sponsoren selbst sind für den Nutzer auf einem Blick klar ersichtlich. Im Anschluss erhält der Endverbraucher eine Bestätigungsmail seiner getätigten Eingaben mit einem Bestätigungslink (Login File). Wird dieser Link als Bestätigung der Eingabe angeklickt ist das Double-Opt-In Verfahren abgeschlossen. Damit ist gewährleistet, dass nur derjenige Nutzer Werbeinformationen erhält, der sich damit einverstanden erklärt hat. Die erhobenen Daten werden vor Import in die Datenbank validiert. Es findet ein Abgleich der Daten gegen die Robinsonliste (aktuelle Ausgabe des DDV und des I.D.I. Interessenverband Deutsches Internet e.v.) Blacklisten statt. Eine mögliche Gewinnausschüttung der beworbenen Gewinne der jeweiligen Umfrage- und Gewinnspielseiten ist versichert. Die Ziehungen werden zweimal pro Jahr durchgeführt. b) Datenzukauf Die Excellent Ad GmbH kauft ausschließlich DOI Daten (Adressgenerierung mittels Double Opt- In Verfahren) zum Zwecke des Ausbaus der eigenen Bestandsliste oder projektbezogen im Rahmen eines Sublieferantenverhältnisses zu. Alle Lieferanten wurden hinsichtlich Ihrer Qualität und Leistung ausgewählt. Die betreffenden Webseiten der Lieferanten werden seitens der Excellent Ad GmbH geprüft und genehmigt bzw. abgelehnt. Vor der Datenerhebung stattet die Excellent Ad GmbH die Lieferanten mit den jeweiligen Sponsorenlogos und Firmierung zum Zwecke der eindeutigen Integration auf den genehmigten Webseiten aus. Bei erfolgter Integration wird ein Screenshot seitens des Lieferanten erstellt und der Excellent Ad GmbH zur Freigabe übermittelt. Im Anschluss wird eine Freigabe, sofern alle Richtlinien eingehalten wurden,von der Excelllent Ad GmbH erteilt. Vor dem Einspielen der angelieferten Daten in die Datenbank wird die Lieferung einer umfassenden Prüfung unterzogen. Es findet ein Abgleich der Daten gegen die Robinsonliste (aktuelle Ausgabe des DDV und des I.D.I. Interessenverband Deutsches Internet e.v.) und Blacklisten statt. Daten aus nicht freigegebenen Quellen werden abgelehnt. Hierbei kommt das sogenannte Black- and White- List Verfahren zur Anwendung. Ferner werden die Daten im Rahmen einer Sichtkontrolle auf Plausibilität geprüft. Stichprobenartig werden, auch ohne konkreten Anlass, Datensätze hinsichtlich der Nachweise der Einwilligungen der Betroffenen von den Lieferanten verlangt und kontrolliert. c) Datenanmietung Die Excellent Ad GmbH mietet zum Zwecke des Ausbaus der eigenen Bestandsliste oder um kundenbezogene Projekte zu unterstützen sogenannte Fremdlisten an. Bei diesen Stand Alone Kampagnen werden die Umfrage- und Gewinnspiele der Excellent Ad GmbH beworben. Die Excellent Ad GmbH mietet ausschließlich DOI Daten an. Vor Kampagnenstart werden stichprobenartig Nachweise der Einwilligungen der Betroffenen von den Lieferanten verlangt und kontrolliert. Informationen nach 4e BDSG, Verfahrensverzeichnis Seite 3

4 d) Datenvermietung Die Excellent Ad GmbH bietet ihre eigene Bestandsliste Kunden zum Zwecke der werblichen Ansprache per e Mail zur Anmietung an. Der Bestand der Excellent Ad GmbH besteht ausschließlich aus DOI Daten. Bei jeder Versendung wird eine sogenannte Vermarktungsklammer eingesetzt, in der der Versanddienstleister Excellent Ad GmbH sowie die rechtlichen Hinweise, das Impressum und der Abmeldelink klar ersichtlich sind. e) Datenverkauf Die Excellent Ad GmbH vermarktet DOI Daten an Kunden. Einerseits als Zwischenhändler (Brooker) und anderseits als Datenproduzent. f) Datenbank / Datenverarbeitung Der Adressdatenbestand wird nach positiver Validierung in einer zentralen Datenbank gespeichert, die auf einem Intranet Server nur durch autorisiertes Personal zugänglich ist. Dieser Datenbankserver verfügt nicht über Download Funktionen aus dem öffentlichen Netz. Die Datenbereitstellung zur Nutzung von Stand Alone Kampagnen und Kundenbelieferungen wird als Datenexport unter Anwendung von Selektionsfiltern in getrennte Lieferdateien durchgeführt. Diese Lieferdateien bestehen nur temporär für die Dauer der Auftragsabwicklung und werden im Anschluss gelöscht. Für den Newsletterversand (Stand Alone Kampagne) selektierte Daten werden mittels sftp- Verfahren auf einen separaten Server geladen, der ausschließlich den Newsletterversand managt. Beim Abload auf diesen Server erhält jede Adresse eine eindeutige ID Nummer über die der Newsletter abgemeldet werden kann. Nach erfolgtem Versand stehen die Adressen noch auf dem Versandserver für zwei Wochen Zeitraum für das Bearbeiten der Abmeldungen und Beschwerden zur Verfügung. Nach dem Newsletterversand werden täglich Abmeldungen und Beschwerden von dem Newsletterversandserver exportiert und auf der zentralen Datenbank ausgetragen. Im Anschluss werden die personenbezogenen Daten gelöscht. Die für den Adresshandel selektierten Daten werden je bestimmten Empfänger als verschlüsseltes Datenarchiv auf einem ftp Server bereitgestellt. Der Datenempfänger benötigt für den Zugriff auf diese Datei zwei Kennwörter. Die Verschlüsselung dieser Datenarchive erfolgt mit dem ZipCrypto Verfahren. Die Passwörter und generierten Schlüssel sind zufällige Kombinationen aus Buchstaben, Ziffern und Sonderzeichen mit einer Länge von mindestens 10 Stellen und enthalten keine logischen Wörter. Der Datenempfänger erstellt über die angenommenen Dateien eine Datenrückmeldung (Abgleichprotokoll). Mit Erhalt des Abgleichprotokolls, welches keine personenbezogenen Daten beinhaltet, werden die temporären Dateien gelöscht. g) Verarbeitete Daten Art Immer: Gegebenenfalls: E Mail Adresse Name Timestamp IP Adresse Anschrift Geburtsdatum Telefonummer IP Adresse Informationen nach 4e BDSG, Verfahrensverzeichnis Seite 4

5 Rechtsgrundlage Einwilligung des Betroffenen Kreis der Betroffenen Jeder, der sich auf den Gewinnspielseiten angemeldet hat. Auftragsdatenverarbeitung Newsletterversendung durch Drittanbieter 9.2. Geräte: MySQL-Datenbankserver; windows Server 2008, Windows Office, 7 Computer miteinander verbunden 9.3. Maßnahmen nach 9 BDSG i.v.m. der Anlage dazu Zutrittskontrolle: - Sicherheitsschlösser mit Schlüsselregelung - verschlossene Türen bei Abwesenheit - Zutrittsberechtigungsregelung - Protokollierung der Zu- und Abgänge - Empfang Zugangskontrolle: - Identifizierung und Authentifizierung - Begrenzung der Fehlversuche - Protokollierung - Systemverwalterbefugnisse / -protokollierung - Dunkelschaltung des Bildschirms mit Passwortschutz - Firewall Zugriffskontrolle - Berechtigungskonzept - Identifizierung und Authentifizierung - Verschlüsselung - Aufbewahrung von Datenträgern in verschließbaren Schränken - Data Safes Weitergabekontrolle - Verschlüsselung von Daten auf Datenträgern - Festlegung der zur Abgabe von Datenträgern berechtigten Personen Informationen nach 4e BDSG, Verfahrensverzeichnis Seite 5

6 Auftragskontrolle durch Auftragsdatenverarbeitungsverträge Verfügbarkeitskontrolle - Datensicherung täglich - Brandmelder 10 Zugriffsberechtigte Personen Zu 4.1. Geschäftsführung, Systemadmin zu 4.2. Geschäftsführung, Buchhaltung zu 4.3. Geschäftsführung, Systemadmin Hamburg, den Geschäftsführung: Datenschutzbeauftragter: Informationen nach 4e BDSG, Verfahrensverzeichnis Seite 6