Datenschutzhinweise für die Nutzung von FUTURA Engineering
Anforderungen der Europäischen Datenschutzgrundverordnung (DSGVO)
1. Einführung
Die Futura Solutions GmbH (im Weiteren ‚Futura Solutions‘ genannt) entwickelt und betreibt die Cloud-basierte Einkaufs- und Beschaffungsplattform FUTURA®, über die Geschäftsprozesse zwischen Einkäufern (im Weiteren ‚Kunde‘ genannt) und externen Akteuren, d. h. Dienstleistern, Partnern und Lieferanten (im Weiteren ‚Nutzer‘ genannt) digital vernetzt werden. Diese technische, mittels eines Browsers bereitgestellte Kommunikationsbasis ermöglicht einen Austausch von Informationen und Dokumenten (im Weiteren ‚Informationen‘ genannt) zur Zusammenarbeit. Dabei werden in der Cloud-basierten Einkaufs- und Beschaffungsplattform FUTURA®, notwendigerweise durch den Geschäftspartner (‚Kunde‘) von ‚Nutzer‘ für bestimmte Zwecke, die von ‚Kunde‘ festgelegt sind, auch personenbezogene Daten erfasst und gespeichert. Insofern ist ‚Kunde‘ im Sinne der Datenschutz-Grundverordnung der EU (DSGVO) (siehe Art. 4 Abs. 7) zunächst „Verantwortlicher“ durch die Erhebung der personenbezogenen Daten von ‚Nutzer‘. ‚Futura Solutions‘ verarbeitet wiederum Daten im Auftrag von ‚Kunde‘ und ist vor diesem Hintergrund im Sinne der DSGVO (siehe Art. 4 Abs. 8) „Auftragsverarbeiter“. Mit ‚Kunde‘ wurde aus diesem Grund ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Im Zuge der Aktivierung des Nutzerkontos (im Weiteren ‚Account‘ genannt) durch ‚Nutzer‘ hat dieser die Möglichkeit die von ‚Kunde‘ erhobenen personenbezogenen Daten zu ändern. Insofern wird mit der Aktivierung des ‚Accounts‘ durch ‚Nutzer‘ dieser selbst verantwortlich für die ursprünglich durch ‚Kunde‘ erhobenen personenbezogenen Daten. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Dem trägt auch die DSGVO Rechnung. ‚Futura Solutions‘ setzt die Vorschriften der DSGVO als „Auftragsverarbeiter“ gegenüber ‚Kunde‘ und ‚Nutzer‘ vollständig um. ‚Futura Solutions‘ unterhält ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO (siehe Anhang 03). ‚Futura Solutions‘ stellt sicher, dass Daten und dabei insbesondere personenbezogene Daten innerhalb der Europäischen Union (EU) gespeichert werden und keine Übertragung dieser Daten in Drittländer erfolgt. Als „Auftragsverarbeiter“ sichert ‚Futura Solutions‘ zudem zu, dass personenbezogene Daten geschützt sind und zudem den Rechten der Betroffenen, soweit es im Verantwortungsbereich eines „Auftragsverarbeiters“ liegt, entsprochen wird.
2. Begriffsbestimmungen (DSGVO) – Art. 4 (Auszug)
Im Sinne der Verordnung werden „personenbezogene Daten“ bzw. die „betroffene Person“ (kurz ‚Betroffener‘ genannt), der „Verantwortlicher“ sowie der „Auftragsverarbeiter“ wie folgt definiert:
(1) „personenbezogene Daten“: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
(2) „Verantwortlicher“: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
(3) „Auftragsverarbeiter“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag „Verantwortlicher“ verarbeitet.
(4) „Einwilligung“ der betroffenen Person: jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
3. Kenntnisnahme und Bestätigungsprozess
Diese Datenschutzhinweise muss durch ‚Nutzer‘ im Zuge der Aktivierung seines Nutzerkontos (im Weiteren ‚Account‘ genannt) zur Kenntnis genommen werden und zusätzlich müssen die Allgemeinen Nutzungsbedingungen von ‚Nutzer‘ bestätigt werden. Die Kenntnisnahme sowie die Bestätigung müssen vor der erstmaligen Anmeldung bzw. vor einer Anmeldung nach einer möglichen Änderung der Datenschutzhinweise oder Allgemeine Nutzungsbedingungen erfolgen.
Die Kenntnisnahme sowie die Bestätigung werden jeweils geloggt. Ohne diese Kenntnisnahme sowie Betätigung ist eine Anmeldung und letztlich Nutzung der Einkaufs- und Beschaffungsplattform FUTURA® nicht möglich.
Mit der Aktivierung des ‚Accounts‘ durch ‚Nutzer‘ wird dieser selbst „Verantwortlicher“ für die ursprünglich durch ‚Kunde‘ erhobenen personenbezogenen Daten.
4. Rechte der Betroffenen
4.1 Informationen zum Schutz personenbezogener Daten
Nachfolgend werden Informationen nach Art. 13 und 14 (DSGVO) / (GDPR) zum Schutz personenbezogener Daten des Betroffenen zur Kenntnis gebracht:
Zitat aus der Verordnung | Informationen |
n/a | Bitte wenden Sie sich bei allen Fragen und Bedenken zum Schutz personenbezogener Daten zunächst an den Futura Solutions Support, den Sie wie folgt erreichen: Futura Solutions GmbH Kreuzberger Ring 68 65205 Wiesbaden Deutschland Telefon: +49 611 33460-461 E-Mail: support@futura-solutions.de |
Art. 13 Abs. 1 (a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; | Den Namen und die Kontaktdaten des jeweils „Verantwortlichen“ Ihres Geschäftspartners entnehmen Sie bitte der jeweiligen Einladungs- bzw. Systemmail zum entsprechenden Geschäftsvorfall bzw. -tätigkeit. |
Art. 13 Abs. 1 (b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; | Die Kontaktdaten des jeweiligen Datenschutzbeauftragten des Verantwortlichen entnehmen Sie bitte der jeweiligen Einladungs- bzw. Systemmail zum entsprechenden Geschäftsvorfall bzw. -tätigkeit. |
Art. 13 Abs. 1 (c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; | Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung bestehen im Zusammenhang der Unterstützung bei der Digitalisierung von Geschäftsprozessen und -abläufen von „Verantwortlicher“ und dabei die Vernetzung der Organisation von „Betroffener“ in die Geschäftsvorfälle bzw. -tätigkeiten von „Verantwortlicher“. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b) DSGVO. |
Art. 13 Abs. 1 (d) wenn die Verarbeitung auf Art. 6 Abs. 1 (f) beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden; | Die berechtigten Interessen von „Verantwortlicher“ zur Speicherung der Daten resultieren aus der Notwendigkeit, die Geschäftsprozesse zu Prüfungszwecken zu dokumentieren. Die Daten werden ausschließlich während der gesetzlichen Aufbewahrungsfristen gespeichert. |
Art. 13 Abs. 1 (e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und | Die folgenden Parteien sind Empfänger oder Kategorien von Empfängern der personenbezogenen Daten oder haben Zugang zu ihnen: · Mitarbeiter des Verantwortlichen (der Verantwortliche aus der o.g. Einladungs- bzw. Systemmail), · Administratoren des vorgenannten Verantwortlichen, · Dienstleister, die IT-Ressourcen bereitstellen, Unterstützungsleistungen bieten sowie beim Versenden und Tracken von Systemmails und bei der Bereitstellung der mehrsprachigen Anwendungsoberfläche unterstützen. |
Art. 13 Abs. 1 (f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind. | „Auftragsverarbeiter“ wird personenbezogenen Daten von „Verantwortlicher“ nicht an ein Drittland oder eine internationale Organisation zu übermitteln. |
Art. 13 Abs. 2 (a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; | Die personenbezogenen Daten werden über die Dauer der gesetzlichen Aufbewahrungsfristen gespeichert. Im Übrigen werden die Daten gelöscht, sobald eine Speicherung nicht mehr erforderlich. |
Art. 13 Abs. 2 (b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit; | ‚Nutzer‘ hat das Recht auf Auskunft seitens „Verantwortlicher“ über die betreffenden personenbezogenen Daten sowie auf Berichtigung, Löschung, auf Einschränkung der Verarbeitung oder ein Widerspruchsrecht gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit. Die von ‚Nutzer‘ selbst in FUTURA® eingegebenen personenbezogenen Daten können von ihm dort auch geändert und gelöscht werden. |
Art. 13 Abs. 2 (c) wenn die Verarbeitung auf Art. 6 Abs. 1 (a) oder Art. 9 Abs. 2 (a) beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; | ‚Nutzer‘ hat das Recht, eine ggf. erteilte Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Dazu muss sich ‚Nutzer‘ an „Verantwortlicher“ wenden. |
Art. 13 Abs. 2 (d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; | ‚Nutzer‘ hat das Recht, bei einer Aufsichtsbehörde für den Datenschutz eine Beschwerde einzureichen. Die Kontaktdaten der jeweiligen für den Verantwortlichen zuständigen Aufsichtsbehörde kann ‚Nutzer‘ der jeweiligen Einladungs- bzw. Systemmail entnehmen. Eine Beschwerde kann jedoch bei jeder Aufsichtsbehörde für den Datenschutz eingereicht werden. |
Art. 13 Abs. 2 (e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte und (Fortsetzung im nachfolgenden Abschnitt) | Die Bereitstellung der personenbezogenen Daten in FUTURA® ist nicht gesetzlich oder vertraglich vorgeschrieben. ‚Nutzer‘ ist nicht verpflichtet, die personenbezogenen Daten bereitzustellen. Folgen einer Nichtbereitstellung sind, dass ‚Nutzer‘ nicht an Geschäftsvorfällen bzw. -tätigkeiten auf dieser Plattform von „Verantwortlicher“ teilnehmen kann. |
Art. 13 Abs. 2 (f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. | Es wird keine automatisierte Entscheidungsfindung durch diese Plattform durchgeführt. |
Art. 14 Abs. 1 (d) die Kategorien personenbezogener Daten, die verarbeitet werden; | Kategorien personenbezogener Daten, die verarbeitet werden, sind Folgende: · Vorname, Nachname Benutzername (Login in der Anwendung) · Verbindungsdaten (Logdaten, IP-Adresse) · Beschreibung z.B. Funktion im Unternehmen · Abteilung · E-Mail Adresse · Telefonnummer · Faxnummer · Systemsprache |
Art. 14 Abs. 2 (f) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen; | Soweit personenbezogene Daten nicht von ‚Nutzer‘ selbst in FUTURA® erhoben wurden, muss die Quelle, aus welcher die personenbezogenen Daten stammen von „Verantwortlicher“ ‚Nutzer‘ angezeigt werden. |
Art. 14 Abs. 3 (b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie; | Die personenbezogenen Daten sollen zur Kommunikation mit ‚Nutzer‘ verwendet werden, insbesondere für die Einladung zur Teilnahme an Geschäftsvorfällen bzw. -tätigkeiten. |
Art. 14 Abs. 3 (c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung. | „Verantwortlicher“ informiert ‚Nutzer‘, wenn er beabsichtigt personenbezogenen Daten an einen anderen Empfänger offenzulegen.
|
4.2 Maschinelle Löschung personenbezogener Daten
4.2.1 Löschung personenbezogener Daten von ‚Nutzer‘, die niemals an einem Geschäftsvorfall bzw. -tätigkeit teilgenommen haben
Für den Fall, dass für einen ‚Nutzer‘ („Betroffener“) ein ‚Account‘ mit personenbezogenen Daten in der Einkaufs- und Beschaffungsplattform FUTURA® angelegt wurde, dieser die dort hinterlegte Datenschutzhinweise nicht zur Kenntnis nimmt und den an selber Stelle hinterlegten Allgemeinen Nutzungsbedingungen zugleich nicht zustimmt und/oder zudem der Verarbeitung seiner personenbezogenen Daten widerspricht bzw. ‚Nutzer‘ auf die Einladung von „Verantwortlicher“ nicht innerhalb einer bestimmten Frist reagiert, um den Anmeldeprozess abzuschließen und den ‚Account‘ zu aktivieren, wird dieser Zugang mit den von ‚Verantwortlicher‘ erhobenen personenbezogenen Daten automatisiert gelöscht. Die Frist dafür beträgt 90 Tage nach der Versendung der Einladung von ‚Verantwortlicher‘.
Zum Ablauf: Der Initiator bzw. „Verantwortlicher“ eines Geschäftsvorfalls- bzw. einer Geschäftstätigkeit legt einen neuen ‚Nutzer‘ („Betroffener“) in der Einkaufs- und Beschaffungsplattform FUTURA® an und erhebt dazu personenbezogene Daten. Daraufhin generiert FUTURA® selbständig und automatisiert einen ‚Account‘ und verschickt die Zugangsdaten an die eingetragene E-Mail-Adresse. Damit verbunden ist der Versand der Zugangsdaten per E-Mail.
‚Nutzer‘ hat nun 90 Tage Zeit zu reagieren bzw. sich anzumelden. Darüber wird er innerhalb der 90 Tage erinnert und dabei auch auf die Konsequenz hingewiesen, dass der angelegte ‚Account‘ nach Ablauf dieser Frist automatisiert gelöscht wird.
4.2.2 Löschung personenbezogener Daten von ‚Nutzer‘, die mindestens einmal an einem Geschäftsvorfall bzw. -tätigkeit teilgenommen haben
‚Account‘ einschließlich aller personenbezogener Daten von ‚Nutzer‘, die mindestens einmal an einem Geschäftsvorfall bzw. -tätigkeit teilgenommen haben, werden nach Ablauf der gesetzlichen Aufbewahrungspflicht, nach der letzten Teilnahme an einem Geschäftsvorfall bzw. -tätigkeit ebenso maschinell und damit automatisiert gelöscht.
Die gesetzlichen Aufbewahrungspflichten werden jeweils in Verträgen zwischen ‚Kunde‘ und ‚Futura Solutions‘ geregelt.
Die Rechte, insbesondere Auskunftsrechte von „Betroffener“ gemäß DSGVO bestehen unbenommen.
Anhang 01 – Technische und Organisatorische Maßnahmen (TOM)
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen;Zugangskontrolle
Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen;Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B.: Mandantenfähigkeit, Sandboxing;Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen, z.B.: das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne;Belastbarkeit
Datenverarbeitungssysteme müssen so widerstandsfähig sein, dass ihre Funktionsfähigkeit selbst bei starkem Zugriff und starker Auslastung gewährleistet ist, z.B.: Reduzierung der Fehleranfälligkeit von einzelnen Komponenten eines Systems, Erhöhen der Agilität durch virtualisierte Systemkomponenten und Ressourcen;
Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
Die die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, z.B.: Implementieren eines Notfallmanagements mit der Beschreibung der strategischen Herangehensweise, über eine z.B. Notfallmanagement Leitlinie und/oder Richtlinie sowie die Ist-Analyse von Business Impacts sowie Risiken und einen darauf abgestellten Umsetzungsplan sowie ein Notfallvorsorgekonzept, eine Geschäftsfortführungsplanung sowie ein Wiederanlaufplan und die Durchführung mehrstufiger Notfalltests.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DSGVO)
Datenschutz-Management-System (DSMS)
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung, z.B.: Implementieren eines Datenschutz-Management-Systems (DSMS) mit der Beschreibung der strategischen Herangehensweise, über z.B. eine Datenschutzmanagement Leitlinie und/oder Richtlinie, Erstellen von Verzeichnissen von Verarbeitungstätigkeiten (gem. Art. 30 Abs. 2 DSGVO), Erstellen von Datenschutzhinweise, Ausarbeiten von Löschkonzepten sowie regelmäßiges Auditieren der geplanten und ergriffenen Maßnahmen durch einen externen Datenschutzbeauftragten.
Incident-Response-Management
Es werden Firewalls, Spamfilter sowie Virenscanner eingesetzt, die regalmäßig aktualisiert werden. Des Weiteren kommen IDS- und IPS-Systeme zu Einsatz.
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
Es existieren Maßnahmen zur datenschutzfreundlichen Voreinstellung. Die Ausübung des Widerrufrechts kann durch technische Maßnahmen erfolgen.
Auftragskontrolle
Keine Auftragsverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
Anhang 02 – Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 EU-DSGVO
I. Allgemein
‚Futura Solutions‘, in der Rolle des „Auftragsverarbeiters“ hat gem. Artikel 30 Absatz 1 der DSGVO ein Verzeichnis von Verarbeitungstätigkeiten erstellt, das über folgenden Inhalt verfügt:
Den Namen und die Kontaktdaten des „Auftragsverarbeiters“ sowie des Datenschutzbeauftragten.
Die Zwecke der Verarbeitung.
Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten.
Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen.
Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien.
Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien.
Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Die Angaben zu Ziff. 1 sind den Inhalten zu den einzelnen Verarbeitungen vorangestellt.
II. Verzeichnis der Verarbeitungstätigkeiten
a. Kontaktdaten
Nachfolgend sind die Kontaktdaten der Futura Solutions‘ als „Auftragsverarbeiter“ sowie die Kontaktdaten des externen Datenschutzbeauftragten der ‚Futura Solutions‘ aufgeführt:
Angaben zum Auftragsverarbeiter (Art. 30 Abs. 2 lit. a) |
Futura Solutions GmbH Kreuzberger Ring 68 65205 Wiesbaden Deutschland |
Tel.: +49 611 33460-300 E-Mail: dataprotection@futura-solutions.de Internet: http://www.futura-solutions.de |
Angaben zur Person des Datenschutzbeauftragten |
DEUDAT GmbH Herr Mario Arndt Zehnthofstraße 5b 65205 Wiesbaden Deutschland |
Tel.: +49 611 950008-32 E-Mail: mario.arndt@deudat.de Internet: http://www.deudat.de |
b. Beschreibung der Verarbeitung
Nachfolgend ist der Zweck und die Kategorie von Verarbeitungen, die im Auftrag durchgeführt werden katalogisiert:
Bezeichnung der Datenverarbeitung | Bereitstellen der Cloud-basierten Einkaufs- und Beschaffungsplattform FUTURA® über das Internet | |||||||||||
|
|
|
|
|
|
|
|
|
|
|
| |
Zweck | Kategorie | Rechtsgrundlage | Betroffene | Personenbezogene Daten | Empfänger und Zugriffsberechtigte | Datenschutzfolgeabschätzung (DSFA) | Risikomanagement, Schutzbedarfsanalyse | DV-Anlagen | Drittstaatentransfer | Regelfristen für die Löschung | Allgemeine Beschreibung der TOMs | |
|
|
|
|
|
|
|
|
|
|
|
| |
Unterstützung bei der Digitalisierung von Geschäftsprozessen | Cloud-Service | Art. 6, Abs. 1, lit. b EU-DSGVO | Mitarbeiter von Lieferanten und Dienstleistern des Kunden | Gemäß Vertrag zur Auftragsverarbeitung gemäß Art. 28 EU-DSGVO mit Kunde | Mitarbeiter der Kunden sowie Mitarbeiter der Futura Solutions | Erfolgt gem. Art. 35 EU-DSGVO | Vertraulichkeit, Verfügbarkeit, Integrität: jeweils sehr hoch | Server, Laptop, Rechner | Nein! | Sämtliche Daten, dazu zählen auch personenbezogene Daten werden gem. vertraglicher Vereinbarung mit dem Kunden behandelt und gelöscht. | Siehe Anhang 1, Vertrag zur Auftragsverarbeitung gemäß Art. 28 EU-DSGVO
|