Datenschutz nach EU-DSGVO
Datenschutz und Informationssicherheit sind zentraler Bestandteil der Produkte und Dienstleistungen von contentbird.
Der Schutz Ihrer Daten und Ihr Vertrauen sind uns sehr wichtig. Daher haben wir technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung implementiert, welche wir kontinuierlich weiterentwickeln.
contentbird macht Datenschutz einfach und ermöglicht Ihnen nach den Anforderungen der EU-Datenschutz-Grundverordnung zu arbeiten.
Allgemein
Wie geht contentbird mit Datenschutzanfragen von Betroffenen um?
Als Auftragsverarbeiter haben wir ein hohes Interesse an einem datenschutzkonformen Umgang mit vertraulichen Informationen und personenbezogenen Daten. Dies schließt auch die Wahrung der Rechte, insbesondere die Bearbeitung und Erfüllung von Anfragen betroffener Personen ein. Aufgrund gesetzlicher Verpflichtungen müssen sämtliche Anfragen betroffener Personen binnen vier Wochen vom Verantwortlichen beantwortet und erfüllt werden. Anfragen werden an unser Datenschutzteam weitergeleitet und nach den etablierten Prozessen geprüft. Bevor Sie eine bei uns eingegangene Anfrage erhalten, wird diese von uns vorqualifiziert.
Wie geht contentbird mit potenziellen Datenpannen und Sicherheitsvorfällen um?
Die hohen Integritätsinteressen unserer Kunden schließen auch den Umgang mit Datenschutz- und Sicherheitsvorfällen ein. Aufgrund der gesetzlichen Verpflichtung, sämtliche Datenschutzvorfälle binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden, sofern der Datenschutzvorfall voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist eine zügige, strukturierte Überprüfung von Sicherheitsvorfällen wichtig und Sie werden unverzüglich informiert. Potenzielle Verstöße können durch die Strukturen der Informationssicherheit entdeckt oder über die dafür vorgesehenen internen Prozesse an das Informationssicherheits- und Datenschutzteam gemeldet und von diesem detailliert geprüft werden. So prüfen wir auch vermeintlich unbedeutende Vorfälle und schulen unsere Mitarbeiter regelmäßig auf die Einhaltung von Datenschutz- und IT-Sicherheit.
Wie setzt contentbird die Informationspflichten gem. Art 13 und 14 DSGVO um?
contentbird stellt umfangreiche Datenschutzinformationen für die Content Marketing Suite zur Verfügung. Die Informationen sind modular aufgebaut, richten sich inhaltlich nach dem gebuchten Produktumfang und werden regelmäßig von contentbird aktualisiert. Nach der DSGVO fallen die datenschutzrechtlichen Informationspflichten in den Verantwortungsbereich des Kundenunternehmens (Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO). Unsere Kunden verwenden eine eigene Datenschutzerklärung. Bitte wenden Sie sich an unseren Customer Service unter [email protected]
Wie werden Datenschutz und Informationssicherheit im Home-/Mobile-Office gewährleistet?
contentbird hat umfassende Sicherheitsmaßnahmen etabliert. Für den Bereich des Home- und Mobile-Office wurden spezielle technische und organisatorische Vorkehrungen getroffen, um Datenschutz und Datensicherheit zu gewährleisten. Die Arbeitsgeräte sind zusätzlich mit eine Virtual Private Network (VPN) ausgestattet und verschlüsselt. Kundendaten werden nur in den Rechenzentren vorgehalten, Zugriff auf die Software erfolgt über https, Zugriff auf Systemebene durch Administratoren ist nur ausgewählten Administratoren über VPN möglich. Für den Bereich des Home-/Mobile-Office existieren spezielle Arbeitsrichtlinien.
Auftragsverarbeitung
Welche Daten werden verarbeitet?
Der Umfang der Verarbeitung personenbezogener Daten ergibt sich hauptsächlich aus der Beschreibung verarbeiteter Datenkategorien (Vertrag zur Auftragsverarbeitung Operations und Trusted Content Software), (Vertrag zur Auftragsverarbeitung Convert Software). In der Anla ge zu unserem Vertrag zur Auftragsdatenverarbeitung werden auch besondere Kategorien personenbezogener Daten erfasst. Die im AVV beschriebenen Datenkategorien sind daher „weit gefasst“.
Wo finde ich eine Beschreibung zu den technischen und organisatorischen Maßnahmen?
Eine Beschreibung der technischen und organisatorischen Maßnahmen (kurz: TOMs) befindet sich in Anhang A zu unserem Vertrag zur Auftragsverarbeitung (Vertrag zur Auftragsverarbeitung Operations und Trusted Content Software), (Vertrag zur Auftragsverarbeitung Convert Software). Zum Nachweis der Einhaltung und Weiterentwicklung dieser Maßnahmen führt contentbird neben einem Datenschutz- und Informationssicherheitsmanagement (DSMS/ISMS) regelmäßige interne Audits und Prüfungen durch.
Wer ist für die Datenverarbeitung verantwortlich?
contentbird erbringt sämtliche Leistungen rund um die Content Marketing Suite als Auftragsverarbeiter, soweit personenbezogene Daten nicht ausdrücklich für eigene geschäftliche Zwecke verarbeitet werden und berechtigterweise verarbeitet werden dürfen. Verantwortlicher für Datenschutz ist nach Art. 4 Nr. 7 DSGVO im Rahmen der Nutzung der contentbird Content Marketing Suite das Kundenunternehmen. Darüber hinaus sind auch Auftragsverarbeiter (contentbird) Verantwortliche im Sinne der DSGVO, beispielsweise was die eigenen Subunternehmer oder die Verarbeitung für eigene geschäftliche Zwecke betrifft
Gibt es bei der Auftragsverarbeitung durch contentbird Unterauftragnehmer und wenn ja welche?
Uns ist wichtig, dass unsere Subunternehmer adäquate Sicherheitsstandards erfüllen. So achten wir im Rahmen der Auftragsverarbeitung besonders auf die Einhaltung der DSGVO und zusätzlich auf gängige Sicherheitsstandards, wie etwa eine Zertifizierung nach ISO 27001.
Unsere Rechenzentren bieten uns Housing Dienste, d.h. sie stellen uns Strom, Rack-Space und Internet zur Verfügung, einschl. Firewalls, Loadbalancer und sichere SSL-Zertifikate. Wartung und Installation von Hard- und Software erfolgen durch contentbird. Die genutzten Rechenzentren werden von contentbird in regelmäßigen Abständen geprüft und auditiert. Die Rechenzentren sind unbedingter Vertragsbestandteil der Leistung und Auftragsverarbeitung, ohne den wir unsere Produkte nicht zur Verfügung stellen können. Derzeit werden Rechenzentren der folgenden Anbieter eingesetzt:
- Amazon Frankfurt
- EMC HostCo GmbH
- Hetzner Online GmbH
Die Nachweise und Zertifizierungen unserer Subunternehmer finden Sie hier:
- ISO-Zertifikat und Nachweise Amazon
- ISO Zertifikat und Nachweise EMC HostCo
- ISO-Zertifikat Hetzner Online GmbH
contentbird nutzt Intercom zur Supportbearbeitung. Warum ist Intercom kein Unterauftragnehmer?
contentbird nutzt Intercom als Tool, um Supportanfragen zu bearbeiten. Im Verhältnis zu Intercom sehen wir uns als Verantwortlicher im Sinne der Datenschutzgesetze. Damit ist Intercom kein Unterauftragnehmer im Sinne der Auftragsverarbeitung. Die Nutzung von Intercom im Rahmen des Supports und damit die Weitergabe der Daten unserer Kunden (konkret der geschäftlichen Mailadresse des Benutzers, der die Anfrage stellt), stützen wir auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Es besteht alternativ die Möglichkeit, sich mit einem Anliegen an die direkten Ansprechpartner zu wenden, z. B. per E-Mail. Intercom speichert Daten in den USA.
Werden die Mitarbeiter von contentbird regelmäßig im Datenschutz geschult und auf die Vertraulichkeit verpflichtet?
Die Schulung und Verpflichtung der Mitarbeiter auf die Vertraulichkeit von personenbezogenen Daten und Kundeninformationen ist sowohl Bestandteil des On- und Offboardings als auch des Datenschutz- und Informationssicherheitsmanagements bei contentbird. Zu diesem Zweck führen wir regelmäßig interne Datenschutz- und Awareness-Trainings mit den Schwerpunkten Datenschutz und Informationssicherheit durch. Allen Kolleginnen und Kollegen stehen unsere Experten in dem Bereich als Ansprechpartner zur Verfügung.
Ist ein Backup-Konzept vorhanden und welche Tools werden eingesetzt? Wurden Restoretests durchgeführt?
Ein Restore kann bei einem Ausfall in aller Regel unmittelbar oder taggleich erfolgen. Gesichert werden Files, Datenbanken und komplette Festplatten. Es gibt redundante Spiegelungen der Produktivumgebung, sodass auch bei einem Ausfall eines Rechenzentrums der Produktivbetrieb in einem anderen Rechenzentrum hochgefahren werden kann. Backups werden georedundant auf verschlüsselten Datenträgern gesichert. Restoretests werden stichprobenartig durchgeführt. Backups werden überwacht und verifiziert.
Content Marketing Suite
Wie lange werden Daten aufgehoben?
Um den gesetzlichen Anforderungen an die Datenlöschung gerecht zu werden, wurde ein globales Löschkonzept auf Prozess- und Produktebene etabliert. Ein Schwerpunkt liegt somit auf den contentbird-Produkten, die, um den Anforderungen des „privacy by design“ gerecht zu werden, Implementierungen für die Datenlöschung enthalten. Wesentlicher Bestandteil ist die Löschung von Teilnehmerdaten, die vom Verantwortlichen nach den betrieblichen Anforderungen gelöscht werden können. contentbird empfiehlt die Festlegung der Aufbewahrungsfrist für Teilnehmerdaten von sechs Monaten.
Gibt es eine Beschreibung für das Verzeichnis der Verarbeitungstätigkeiten?
Wir stellen unseren Kunden gerne auf Anfrage die Informationen für das gesetzlich verpflichtende Verzeichnis der Verarbeitungstätigkeiten zur Verfügung. Die Beschreibung der Verarbeitungstätigkeit von contentbird hinsichtlich der Auftragsverarbeitung ersetzt allerdings nicht die Pflicht des Verantwortlichen, die Verarbeitung in das eigene Verzeichnis aufzunehmen.
Social Share Buttons bei Convert Produkten
Innerhalb der interaktiven Formate bei dem Convert Modul besteht die Möglichkeit, sog. „Social Share Buttons“ (XING, LinkedIn, Facebook etc.) zu aktivieren. Bei den Buttons handelt es sich nicht um Plugins der Sozialen Netzwerke. Es werden, soweit nicht ausdrücklich festgelegt, ausschließlich externe Links genutzt. Das bedeutet, dass erst Daten an die sozialen Netzwerke übertragen werden, wenn der Webseitenbenutzer auf den Link klickt.
Welche Cookies werden im Standardfrontend von Convert gesetzt?
für das Tippspiel wird im Local Storage für die automatische Anmeldung ein Anmelde-Token contilla-webapp-sportsbet-<KampagnenID>-token gesetzt. Die interaktiven Grafiken nutzen den Local Storage für bereits besuchte Hotspots.
Warum gibt es kein Cookie Banner auf dem Standardfrontend von Convert?
Die interaktiven Content Formate werden in die Webseite der Auftraggeber durch den Auftraggeber eingebunden und liegen in dessen Verantwortung.
Wie zählt contentbird, wie oft eine Convert Produkt angesehen / angeklickt wurde?
contentbird Convert erfasst die Nutzung der ausgespielten Formate durch automatisierte und/oder interaktionsbezogene Nachrichten an den ausliefernden Server (i.d.R. delivery.contentbird-convert.com; dies kann auf Kundenwunsch aber abweichend auf eine andere Subdomain auf contentbird-convert.com oder weitere Domains im Besitz der contentbird GmbH konfiguriert sein).
Die erfassten Informationen lassen u.a. Rückschlüsse auf den Zeitpunkt der Ausführung im Clientbrowser, die Nutzung angebotener Inhalte (beispielsweise das Öffnen von Hotspots, Anzeige und Anklicken von eingebrachten Werbeflächen („Banner“), etc.), den Fortschritt innerhalb der Timeline und die Gesamtlaufzeit des Formates zu. Es werden hierbei keinen personenbezogenen Informationen erfasst. So sind keine Rückschlüsse auf den Nutzer oder den verwendeten Browser/Rechner möglich.
Die so erfassten Rohdaten werden zur Nutzung durch den Kunden zeitlich und nach Ereignisgruppen aggregiert aufbereitet. Somit können durch den Kunden auch keine individuellen Analysen einzelner Endnutzerinteraktionen durchgeführt werden. Auf die erfassten Rohdaten haben die Kunden keinen Zugriff.
Werden im System Zugriffe / Tätigkeiten protokolliert?
Die Systemhistorie protokolliert Zugriffsversuche auf die Content Operations Suite sowie ändernde Operationen an Datensätzen.
Alle Nachweise und wichtigen Anlagen auf einen Blick
Hosting Made in Germany
Bei contentbird ist das gesamte Hosting “Made in Germany”. Unsere zertifizierten Rechenzentren AWS in Frankfurt, sowie die EMC HostCo GmbH und Hetzner Online GmbH bieten höchste Sicherheitsstandards für die Speicherung und die Verfügbarkeit Ihrer Daten. Die Erfüllung der Forderungen von ISO 27001 bestätigt die EY CertifyPoint.
Datenschutzerklärung
Für contentbird ist der Schutz und die Vertraulichkeit Ihrer Daten von besonderer Bedeutung. Hier geht es zur Datenschutzerklärung der contentbird Produkte.
Datenschutzgrundverordung
Die Content Marketing Suite von contentbird bietet Ihnen die Möglichkeit DSGVO-konform zu arbeiten.
Nutzungsbedingungen und Vertragsvorlagen
Lesen Sie hier die Nutzungsbedingungen der contentbird GmbH für die Nutzung der Content Marketing Suite von contentbird.
Unseren Verträge zur Auftragsverarbeitung (Vertrag zur Auftragsverarbeitung Operations und Trusted Content Software), (Vertrag zur Auftragsverarbeitung Convert Software) können Sie hier direkt zum Ausfüllen herunterladen. Den unterzeichneten Vertrag schicken Sie bitte an: [email protected]
10719 Berlin