Datenschutz und DSGVO

Mit ALV bietet ALVDIGITAL Systems UG (haftungsbeschränkt) mit Sitz in Berlin eine betriebswirtschaftliche Cloud-Lösung für das Management von Labelfirmen und Musikverlagen an. Wir verarbeiten dabei personenbezogene Daten in der Rolle des Auftragsdatenverarbeiters, um diesen Service zu bieten.

 

Die Wahrung der Vertraulichkeit und der sorgsame Umgang mit den uns als "Auftragsdatenverarbeiter" anvertrauten Daten hat oberste Priorität. Auftragsdatenverarbeitung bezeichnet das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen Dienstleister (uns), der an die Weisungen des Auftragsgebers (dem ALV Kunden und Anwender, i.e. der "Verantwortliche") gebunden ist.

 

Unsere strikte Verschwiegenheit nicht nur im Hinblick auf personenbezogene Daten sondern darüber hinaus über jedwede betriebliche Information, sei es zu Verträgen, Kosten, Umsätzen, Identifikatoren uvm, ist die Grundlage für die langjährige, vertrauensvolle Zusammenarbeit mit unseren Kunden.

 

Für wen rund um ALV gilt die DSGVO?

 

Die Datenschutz-Grundverordnung (Originaltext hier: DSGVO), die am 25. Mai 2018 in Kraft tritt, sorgt für eine einheitliche Datenschutzgesetzgebung in der Europäischen Union und gilt für Unternehmen mit Hauptsitz oder Niederlassungen in der EU sowie für Unternehmen weltweit, die personenbezogene Daten von Menschen in der EU verarbeiten, also auch für Subunternehmer aus dem nicht-EU-Raum.

 

Die DSGVO gilt gleichermaßen für ALV ("Auftragsdatenverarbeiter") wie für ALV Kunden und Anwender ("Verantwortliche").

 

Welche Daten in ALV betrifft die DSGVO?

 

Vereinfacht ausgedrückt: sie greift nicht, wenn es um anonyme oder anonymisierte, rein statistische Daten geht, sondern immer dann, wenn zu Daten ein Bezug zu einer Person hergestellt werden kann. Das betrifft  alle Eigenschaften einer Person wie Name, Adresse und Metadaten zur Person, aber auch Lizenzabrechnungen, Vertragsdaten und vieles mehr, also alles was den Kern von ALV ausmacht.

 

Was ist und warum brauchen wir einen ADV-Vertrag mit ALV?

 

Ein ADV-Vertrag ist ein Vertrag zur Datenverarbeitung im Auftrag. Nach DSGVO muss jedes Unternehmen einen ADV-Vertrag abschließen, dass personenbezogene Daten im Auftrag – also von einem Dienstleister wie ALV – verarbeiten lässt. Ohne ADV-Vertrag ist bereits die bloße Übertragung von Daten auf einen anderen Server als den eigenen Unternehmensserver grundsätzlich nicht erlaubt. 

 

ADV-Verträge müssen nicht mehr ausschließlich schriftlich vorliegen, sondern können auch in elektronischer Form abgeschlossen werden (Artikel 28).

 

Inwieweit betrifft mich die DSGVO als "Verantwortlichen"?

 

Betroffene Autoren, Künstler, Produzenten und andere Lizenzgeber haben noch mehr Rechte als zuvor. Dazu gehört ein neues Recht auf Übertragung ihrer Daten an andere Anbieter (Artikel 20) und ein erweitertes Auskunftsrecht.

 

Der Verantwortliche muss auf einfache Anfrage des Lizenzgebers kostenlos Auskunft geben über:

  1. welche personenbezogenen Daten und zu welchem Zweck verarbeitet werden
  2. an wen die Daten weitergegeben werden (Auftragsdatenverarbeiter und Subunternehmer)
  3. die geplante Dauer, für die die personenbezogenen Daten gespeichert werden

mit Hinweis auf die Rechte auf:

  • Widerspruch
  • Berichtigung
  • Löschung
  • Beschwerde

Die Löschungspflichten und das Recht auf "vergessen werden" kennt Einschränkungen. Der Verantwortliche darf und muss Daten vorhalten, wenn (Artikel 17):

  • gesetzliche Aufbewahrungspflichten bestehen (i.e. Steuerunterlagen )
  • die Daten zur Rechtsverteidigung erforderlich sein können (i.e. Vertragsdaten)

Braucht es ein Verarbeitungsverzeichnis und eine Datenschutzfolgeabschätzung?

 

Ersteres ja, letzteres nicht. Beide Seiten, Verantwortliche und Auftragdatenverarbeiter, erstellen jeder für sich ein Verzeichnis von Verarbeitungstätigkeiten (Artikel 30), da "die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt".

 

Das Verzeichnis muss nicht veröffentlicht, aber jederzeit auf Anfrage den Datenschutzbehörden ausgehändigt werden.

 

Wie sicher muss die Verarbeitung personenbezogener Daten sein?

 

Als Auftragdatenverarbeiter sehen wir uns in der Pflicht folgende in Artikel 32 definierten Ansprüche an die Sicherheit der Verarbeitung personenbezogener Daten zu erfüllen:

  1. die Verschlüsselung personenbezogener Daten
  2. die Verfügbarkeit personenbezogener Daten bei einem Zwischenfall rasch wiederherzustellen
  3. eine regelmäßige Überprüfung der technischen und organisatorischen Maßnahmen

Wer ist Ansprechpartner für den Datenschutz bei ALV?

Herr Patrick Thomas

Email: service@alvdigital.com 

 

Welches ist die Aufsichtsbehörde für den Datenschutz bei ALV? 

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Maja Smoltczyk

Friedrichstr. 219

10969 Berlin

Tel.: +49 (0)30 13889-0

Fax: +49 (0)30 2155050

 

E-Mail: mailbox@datenschutz-berlin.de 

 

Technische und organisatorische Maßnahmen gemäß DSGVO Artikel 32

Version 1.2, Stand 03.07.2023

 

Gültig ab 01.01.2023

 

Seit 2023 arbeiten wir Fully Remote bzw. im Home Office. Der im Vergleich zu einem betrieblichen Arbeitsplatz veränderten Gefährdungslage im Home Office tragen wir Rechnung und stellen sicher, dass das Schutzniveau angemessen ist. Mitarbeiter und externe Dienstleister sind angehalten u.a. nachfolgende Basis-Maßnahmen zu ergreifen und einzuhalten:

  • identifizierung eines geeigneten Arbeitsplatzes vor Ort mit einem eigenen, abschließbaren Raum
  • strikte Trennung von beruflichen und private Daten, vorzugsweise Trennung von beruflichen und privaten Endgeräten
  • weitgehende Nutzung von Google Workplace-Konten von ALVDIGITAL
  • Zugänge nur über einen geeigneten sicheren Passwortschutz (i.e. starkes Passwort)
  • Bildschirme müssen so stehen, dass Unbefugte keinen Einblick nehmen können, ggf. mit Blickschutzfilter
  • beim (auch kurzfristigen) Verlassen des Arbeitsplatzes müssen eine Bildschirmsperre und ein Passwortschutz aktiviert werden
  • Videokonferenzen und Telefonate mit vertraulichem Inhalt sind so zu führen, dass Dritte den Gesprächsinhalt nicht wahrnehmen
  • digitale Assistenten, welche auf Sprache reagieren, sind auszuschalten bzw. müssen entfernt werden

 

Pseudonymisierung

ALVDIGITAL trifft keine expliziten Maßnahmen zur Pseudonymisierung.

 

Verschlüsselung

ALVDIGITAL setzt für den elektronischen Transport Verschlüsselungsverfahren (HTTPS) ein, die dem Stand der Technik entsprechen und ein Schutzniveau erreichen, das den Anforderungen von Musikverlagen und Labels angemessen ist. Für die Speicherung von Kennwörtern setzt ALVDIGITAL den Advanced Encryption Standard mit einer Schlüssellänge von 128-Bit (AES-128) ein.

  

Authentifizierung

Alle Rechner von ALVDIGITAL verfügen mindestens über ein Zugangskontrollsystem (Kennwort), besonders sensible Bereiche über ein SmartCard/USB-basiertes Authentifizierungssystem.

 

Zugriffsberechtigung

Jeder Mitarbeiter darf im Rahmen seiner Aufgabenerfüllung nur auf die für seine Tätigkeit notwendigen Systeme und mit der ihm zugewiesenen Berechtigung auf die erforderlichen Daten zugreifen. 

 

Datenübertragung

Die Datenübertragung zwischen ALVDIGITAL und anderen Auftragsverarbeitern wird grundsätzlich verschlüsselt. Dabei kann ALVDIGITAL das konkrete Verfahren mit den Partnern individuell regeln.

 

Datentrennung

Der Übergang vom Entwicklungssystem zum Live-System ist durch entsprechende Werkzeuge gesichert und nachvollziehbar dokumentiert. Eine Freigabe zum Deployment auf das Live-System kann nur von autorisierten Personen erfolgen. Für unterschiedliche Zwecke gespeicherte Daten (Entwicklung vs. Produktion) werden logisch getrennt verarbeitet. 

 

Protokollierung

Bei den IT-Systemen von ALVDIGITAL erfolgt eine laufende Protokollierung der Abläufe. Es sind Maßnahmen implementiert, mittels derer überprüft und festgestellt werden kann, ob und von wem im Auftrag verarbeitete Daten eingegeben oder verändert worden sind. Die Dateneingabe und die Verarbeitung der im Auftrag verarbeiteten Daten erfolgen ausschließlich nach dem mit dem Verantwortlichen festgelegten Verfahren.

 

Verfügbarkeit

ALVDIGITAL und seine Hoster treffen Maßnahmen, die dazu dienen, dass im Auftrag verarbeitete Daten möglichst uneingeschränkt verfügbar und insbesondere vorhanden sind, wenn der Verantwortliche sie benötigt.

 

Unterauftragnehmer

Unsere Hosting-Provider sind: 1&1 / IONOS (TOM 1&1) und AWS Amazon Web Services (DSGVO).

 

Weiter Dienstleister:

 

GORAN PEŠIĆ PR KODIKON NIŠ

CARA DUŠANA 54-72,

PIRAMIDA, LOK 207

18000 NIŠ

SERBIEN

 

DATALOGICS, INC.

101 N UPPER WACKER DRIVE

CHICAGO, IL 60606

USA

GDPR Data Processing Agreement