Mit ALV bietet ALVDIGITAL Systems UG (haftungsbeschränkt) mit Sitz in Berlin eine betriebswirtschaftliche Cloud-Lösung für das Management von Labelfirmen und Musikverlagen an. Wir verarbeiten dabei personenbezogene Daten in der Rolle des Auftragsdatenverarbeiters, um diesen Service zu bieten.
Die Wahrung der Vertraulichkeit und der sorgsame Umgang mit den uns als "Auftragsdatenverarbeiter" anvertrauten Daten hat oberste Priorität. Auftragsdatenverarbeitung bezeichnet das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen Dienstleister (uns), der an die Weisungen des Auftragsgebers (dem ALV Kunden und Anwender, i.e. der "Verantwortliche") gebunden ist.
Unsere strikte Verschwiegenheit nicht nur im Hinblick auf personenbezogene Daten sondern darüber hinaus über jedwede betriebliche Information, sei es zu Verträgen, Kosten, Umsätzen, Identifikatoren uvm, ist die Grundlage für die langjährige, vertrauensvolle Zusammenarbeit mit unseren Kunden.
Für wen rund um ALV gilt die DSGVO?
Die Datenschutz-Grundverordnung (Originaltext hier: DSGVO), die am 25. Mai 2018 in Kraft tritt, sorgt für eine einheitliche Datenschutzgesetzgebung in der Europäischen Union und gilt für Unternehmen mit Hauptsitz oder Niederlassungen in der EU sowie für Unternehmen weltweit, die personenbezogene Daten von Menschen in der EU verarbeiten, also auch für Subunternehmer aus dem nicht-EU-Raum.
Die DSGVO gilt gleichermaßen für ALV ("Auftragsdatenverarbeiter") wie für ALV Kunden und Anwender ("Verantwortliche").
Welche Daten in ALV betrifft die DSGVO?
Vereinfacht ausgedrückt: sie greift nicht, wenn es um anonyme oder anonymisierte, rein statistische Daten geht, sondern immer dann, wenn zu Daten ein Bezug zu einer Person hergestellt werden kann. Das betrifft alle Eigenschaften einer Person wie Name, Adresse und Metadaten zur Person, aber auch Lizenzabrechnungen, Vertragsdaten und vieles mehr, also alles was den Kern von ALV ausmacht.
Was ist und warum brauchen wir einen ADV-Vertrag mit ALV?
Ein ADV-Vertrag ist ein Vertrag zur Datenverarbeitung im Auftrag. Nach DSGVO muss jedes Unternehmen einen ADV-Vertrag abschließen, dass personenbezogene Daten im Auftrag – also von einem Dienstleister wie ALV – verarbeiten lässt. Ohne ADV-Vertrag ist bereits die bloße Übertragung von Daten auf einen anderen Server als den eigenen Unternehmensserver grundsätzlich nicht erlaubt.
ADV-Verträge müssen nicht mehr ausschließlich schriftlich vorliegen, sondern können auch in elektronischer Form abgeschlossen werden (Artikel 28).
Inwieweit betrifft mich die DSGVO als "Verantwortlichen"?
Betroffene Autoren, Künstler, Produzenten und andere Lizenzgeber haben noch mehr Rechte als zuvor. Dazu gehört ein neues Recht auf Übertragung ihrer Daten an andere Anbieter (Artikel 20) und ein erweitertes Auskunftsrecht.
Der Verantwortliche muss auf einfache Anfrage des Lizenzgebers kostenlos Auskunft geben über:
mit Hinweis auf die Rechte auf:
Die Löschungspflichten und das Recht auf "vergessen werden" kennt Einschränkungen. Der Verantwortliche darf und muss Daten vorhalten, wenn (Artikel 17):
Braucht es ein Verarbeitungsverzeichnis und eine Datenschutzfolgeabschätzung?
Ersteres ja, letzteres nicht. Beide Seiten, Verantwortliche und Auftragdatenverarbeiter, erstellen jeder für sich ein Verzeichnis von Verarbeitungstätigkeiten (Artikel 30), da "die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt".
Das Verzeichnis muss nicht veröffentlicht, aber jederzeit auf Anfrage den Datenschutzbehörden ausgehändigt werden.
Wie sicher muss die Verarbeitung personenbezogener Daten sein?
Als Auftragdatenverarbeiter sehen wir uns in der Pflicht folgende in Artikel 32 definierten Ansprüche an die Sicherheit der Verarbeitung personenbezogener Daten zu erfüllen:
Wer ist Ansprechpartner für den Datenschutz bei ALV?
Herr Patrick Thomas
Email: service@alvdigital.com
Welches ist die Aufsichtsbehörde für den Datenschutz bei ALV?
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Maja Smoltczyk
Friedrichstr. 219
10969 Berlin
Tel.: +49 (0)30 13889-0
Fax: +49 (0)30 2155050
E-Mail: mailbox@datenschutz-berlin.de
Version 1.2, Stand 03.07.2023
Gültig ab 01.01.2023
Seit 2023 arbeiten wir Fully Remote bzw. im Home Office. Der im Vergleich zu einem betrieblichen Arbeitsplatz veränderten Gefährdungslage im Home Office tragen wir Rechnung und stellen sicher, dass das Schutzniveau angemessen ist. Mitarbeiter und externe Dienstleister sind angehalten u.a. nachfolgende Basis-Maßnahmen zu ergreifen und einzuhalten:
Pseudonymisierung
ALVDIGITAL trifft keine expliziten Maßnahmen zur Pseudonymisierung.
Verschlüsselung
ALVDIGITAL setzt für den elektronischen Transport Verschlüsselungsverfahren (HTTPS) ein, die dem Stand der Technik entsprechen und ein Schutzniveau erreichen, das den Anforderungen von Musikverlagen und Labels angemessen ist. Für die Speicherung von Kennwörtern setzt ALVDIGITAL den Advanced Encryption Standard mit einer Schlüssellänge von 128-Bit (AES-128) ein.
Authentifizierung
Alle Rechner von ALVDIGITAL verfügen mindestens über ein Zugangskontrollsystem (Kennwort), besonders sensible Bereiche über ein SmartCard/USB-basiertes Authentifizierungssystem.
Zugriffsberechtigung
Jeder Mitarbeiter darf im Rahmen seiner Aufgabenerfüllung nur auf die für seine Tätigkeit notwendigen Systeme und mit der ihm zugewiesenen Berechtigung auf die erforderlichen Daten zugreifen.
Datenübertragung
Die Datenübertragung zwischen ALVDIGITAL und anderen Auftragsverarbeitern wird grundsätzlich verschlüsselt. Dabei kann ALVDIGITAL das konkrete Verfahren mit den Partnern individuell regeln.
Datentrennung
Der Übergang vom Entwicklungssystem zum Live-System ist durch entsprechende Werkzeuge gesichert und nachvollziehbar dokumentiert. Eine Freigabe zum Deployment auf das Live-System kann nur von autorisierten Personen erfolgen. Für unterschiedliche Zwecke gespeicherte Daten (Entwicklung vs. Produktion) werden logisch getrennt verarbeitet.
Protokollierung
Bei den IT-Systemen von ALVDIGITAL erfolgt eine laufende Protokollierung der Abläufe. Es sind Maßnahmen implementiert, mittels derer überprüft und festgestellt werden kann, ob und von wem im Auftrag verarbeitete Daten eingegeben oder verändert worden sind. Die Dateneingabe und die Verarbeitung der im Auftrag verarbeiteten Daten erfolgen ausschließlich nach dem mit dem Verantwortlichen festgelegten Verfahren.
Verfügbarkeit
ALVDIGITAL und seine Hoster treffen Maßnahmen, die dazu dienen, dass im Auftrag verarbeitete Daten möglichst uneingeschränkt verfügbar und insbesondere vorhanden sind, wenn der Verantwortliche sie benötigt.
Unterauftragnehmer
Unsere Hosting-Provider sind: 1&1 / IONOS (TOM 1&1) und AWS Amazon Web Services (DSGVO).
Weiter Dienstleister:
GORAN PEŠIĆ PR KODIKON NIŠ
CARA DUŠANA 54-72,
PIRAMIDA, LOK 207
18000 NIŠ
SERBIEN
DATALOGICS, INC.
101 N UPPER WACKER DRIVE
CHICAGO, IL 60606
USA
GDPR Data Processing Agreement