Verpflichtung zur Einhaltung der Datenschutz-Grundverordnung (DSGVO)

Ranorex GmbH verpflichten sich zur Einhaltung der Datenschutz-Grundverordnung („DSGVO“), die am 25. Mai 2018 in Kraft tritt. Mit der DSGVO-Verordnung kommt es zu den umfangreichsten Änderungen der europäischen Datenschutzgesetzgebung in den letzten 20 Jahren. Sie wurde konzipiert, um den Bürgern der Europäischen Union („EU“) mehr Kontrolle über ihre Daten einzuräumen. Mit der Verordnung wird eine Reihe vorhandener Datenschutz- und Sicherheitsvorschriften unter einem umfassenden, einheitlichen Gesetz zusammengefasst. Die DSGVO-Verordnung gilt für alle Unternehmen, die Geschäfte mit EU-Bürgern tätigen oder die Daten von EU-Bürgern verarbeiten, unabhängig vom jeweiligen Standort des Unternehmens. Vor diesem Hintergrund gilt die DSGVO auch für Ranorex. Unsere Kunden können darauf vertrauen, dass die DSGVO-Verordnung für Ranorex Priorität hat. Wir haben erhebliche Ressourcen bereitgestellt, um die Einhaltung der DSGVO-Verordnung sicherzustellen.

Wie viele andere globale Softwareunternehmen ist Ranorex aktuell dabei, seine unternehmensweite Richtlinie zur DSGVO-Verordnung bis zum 25. Mai 2018 einzuführen. Ranorex begrüßt, dass Kunden Ansprüche gemäß der DSGVO-Verordnung stellen können, die sich direkt aus ihrer Anwendung der Produkte und Dienstleistungen von Ranorex ergeben. Ranorex verpflichtet sich, die Ansprüche seiner Kunden aus der DSGVO-Verordnung und der lokalen Gesetzgebung zu erfüllen.

Ranorex wird Sie auf seiner Website kontinuierlich über seine Richtlinie, die die Anforderungen der DSGVO umsetzt, informieren. Wenn Sie in diesem Zusammenhang Fragen oder Anliegen haben, kontaktieren Sie bitte unsere Rechtsabteilung unter [email protected]. 

 

Sie haben Fragen zur DSGVO?

Ranorex wird Sie auf seiner Website kontinuierlich über seine Richtlinie, die die Anforderungen der DSGVO umsetzt, informieren. Wenn Sie in diesem Zusammenhang Fragen oder Anliegen haben, kontaktieren Sie bitte unsere Rechtsabteilung unter [email protected]. An Ranorex representative will be in touch shortly.

 

Häufig gestellte Fragen zur Einhaltung der DSGVO [1]

Ranorex GmbH (Ranorex) hat dieses Dokument erstellt, um einige häufige Fragen im Zusammenhang mit der Datenschutz-Grundverordnung (“DSGVO”) zu klären. Ranorex erkennt die Bedeutung des sich entwickelnden rechtlichen und regulatorischen Umfelds für Informationssicherheit und Datenschutz und bleibt der Bereitschaft der DSGVO verpflichtet.

Müssen meine Daten in Europa gespeichert werden?

Nein. Die DSGVO enthält keine Verpflichtung, Informationen in Europa zu speichern. Übertragungen europäischer personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) erfordern jedoch im Allgemeinen einen rechtsgültigen Übertragungsmechanismus, um die Daten zu schützen, sobald sie den EWR verlassen. Die DSGVO macht die EU-Musterklauseln oder die EU-U.S.- und Schweizer-U.S.-Datenschutzrahmenpläne nicht ungültig noch setzt sie sie außer Kraft. Beide sind rechtlich gültige Mechanismen, um die legale Übertragung von persönlichen Daten in und aus dem EWR zu gewährleisten.

Gilt die DSGVO auch für Unternehmen außerhalb der Europäischen Union?

Ja. Die DSGVO gilt für alle Unternehmen, unabhängig davon, wo sie sich befinden, sofern das Unternehmen personenbezogene Daten verarbeitet im Zusammenhang mit (A) dem Angebot von Waren und Dienstleistungen (ob bezahlt oder nicht) an Personen im EWR; oder (B) der Überwachung des Verhaltens von Menschen im EWR, beispielsweise durch Platzierung von Cookies auf den Geräten von Bürgern des EWR.

Ist die Zustimmung von Einzelpersonen zur Verarbeitung Ihrer persönlichen Daten erforderlich?

Die Einwilligung ist nur eine der rechtlichen Grundlagen, die Ranorex für die Verarbeitung personenbezogener Daten zur Verfügung stehen. Zum Beispiel kann Ranorex personenbezogene Daten verarbeiten, wenn (A) dies für die Ausführung eines Vertrags erforderlich ist, an dem die betroffene Person (die Person, deren Daten verarbeitet werden) Vertragspartei ist; wenn (B) eine gesetzliche Verpflichtung dazu besteht (z. B. die Übermittlung von Mitarbeiterdaten an eine Steuerbehörde); und (C) manchmal sogar auf der Grundlage von legitimen Interessen, wie z. B. kommerziellen und Marketing-Zielen. Das berechtigte Interesse muss jedoch die Nachteile für die Privatsphäre der betroffenen Person überwiegen.

Was ist der Unterschied zwischen „Datenverantwortlichen“ und „Datenverarbeiter“?

DDatenverantwortlicher ist der Eigentümer der Informationen und entscheidet, wie diese Informationen verwendet werden sollen. Der Datenverarbeiter ist eine Instanz, die die persönlichen Daten des Datenverantwortlichen verarbeitet und Anweisungen des Datenverantwortlichen in Bezug auf diese Daten ausführt. Wenn Ranorex Daten von einem Kunden sammelt, um einen Account zu erstellen, wird Ranorex der Datenverantwortliche. Formale Definitionen aus dem vollständigen Text der DSGVO finden sich unter http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf

Habe ich als Eigentümer der Daten (z.B. Datensubjekte) im EWR das uneingeschränkte Recht, vergessen zu werden? Oder anders gesagt, ist Ranorex verpflichtet, alle meine persönlichen Daten auf meine Anfrage hin zu löschen?

Nein. Das Recht zu löschen (oder das Recht, vergessen zu werden) gilt nicht uneingeschränkt. Ranorex kann sich weigern, dem Ersuchen nachzukommen, wenn die Weiterverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, die eine Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten erfordert, der Ranorex unterliegt. Darüber hinaus kann Ranorex den Antrag auf Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen ablehnen. Daher müssen bei der Prüfung eines Antrags auf Löschung personenbezogener Daten durch die betroffene Person mehrere relevante Faktoren berücksichtigt werden. Beachten Sie jedoch, dass betroffene Personen das uneingeschränkte Recht haben, zu verhindern, dass ihre personenbezogenen Daten für Direktmarketingzwecke verarbeitet werden.

Schreibt die DSGVO die Verschlüsselung aller persönlicher Daten vor?

Nein. Die Datenschutz-Grundverordnung schreibt keine spezifischen Sicherheitsmaßnahmen vor. Stattdessen schreibt die DSGVO vor, dass Organisationen technische und organisatorische Sicherheitsmaßnahmen ergreifen müssen, die den entsprechenden Risiken angemessen sind. Verschlüsselung und Pseudonymisierung können je nach den Umständen angebracht sein, sind jedoch nicht in jedem Fall durch die DSGVO vorgeschrieben. Folgende Arten von Sicherheitsmaßnahmen werden als “risikoadäquat” betrachtet: (1) die Pseudonymisierung und Verschlüsselung personenbezogener Daten (wie erwähnt); (2) die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Zuverlässigkeit von Verarbeitungssystemen und -diensten sicherzustellen; (3) die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Ereignis zeitnah wiederherzustellen; und (4) ein Verfahren zur regelmäßigen Überprüfung, Begutachtung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

[1] HINWEIS: Die obigen Antworten werden von Ranorex nur zu Informationszwecken bereitgestellt und dienen nicht als Rechtsberatung. Sie sollten sich an Ihren Anwalt wenden, um Rat in Bezug auf eine bestimmte Frage, ein Thema oder ein Problem zur DSGVO zu erhalten.

 

Sicherheitserklärung von Ranorex

Ranorex GmbH („Ranorex“) verpflichten sich zur Einhaltung des Datenschutzes ihrer Kunden, Partner und Besucher ihrer Website. Weitere Informationen zu unserer Datenschutzerklärung erhalten Sie hier.

Die Sicherheit Ihrer personenbezogenen Informationen ist für Ranorex ein zentrales Anliegen. Wir haben deshalb, sowohl auf technischer wie auf organisatorischer Ebene, robuste Sicherheitsmaßnahmen etabliert, um Datenverluste, Informationslecks oder andere nicht autorisierte Zugriffe auf Daten zu verhindern. Ranorex verlangt beispielsweise von seinen Dienstleistern und deren Subunternehmern (im Folgenden insgesamt als „Anbieter“ bezeichnet), die Daten verarbeiten, die Implementierung und Durchführung eines Sicherheitsprogramms in Übereinstimmung mit Branchenstandards. Insbesondere müssen Ranorex-Anbieter folgende Sicherheitsmaßnahmen garantieren:

I – Physische Zugriffskontrolle:

Es wird verhindert, dass nicht autorisierte Personen physischen Zugang zu Örtlichkeiten, Gebäuden oder Räumlichkeiten haben, in denen sich Systeme zur Verarbeitung personenbezogener Daten befinden. Anbieter müssen dafür folgende Sicherheitsmaßnahmen implementieren:

  1. Es wird verhindert, dass nicht autorisierte Personen Zugang zu den Örtlichkeiten des Anbieters haben.
  2. Der Zugang zu Rechenzentren, in denen sich Datenserver befinden, ist beschränkt.
  3. Der Zugang zu Einrichtungen der Datenverarbeitung wird durch Videoüberwachung und Alarmanlagen kontrolliert und gesichert.
  4. Alle Personen, die keine Zugangsberechtigung haben (z. B. Techniker, Reinigungspersonal, usw.), werden durchgehend begleitet, wenn sie sich in Einrichtungen der Datenverarbeitung aufhalten.

II – Systemzugriffskontrolle:   

Die Systeme zur Datenverarbeitung werden vor dem Zugriff nicht autorisierter Personen geschützt. Anbieter müssen dafür folgende Sicherheitsmaßnahmen implementieren:

  1. Es werden Maßnahmen implementiert, die verhindern, dass nicht autorisierte Personen auf Datenverarbeitungssysteme zugreifen.
  2. Jeder Person, die berechtigt ist, auf Datenverarbeitungssysteme zuzugreifen, ist eine individuelle Benutzer-ID zur Authentifizierung zugeordnet.
  3. Allen autorisierten Personen wurde zur Authentifizierung jeweils ein Passwort zugewiesen.
  4. Alle Datenverarbeitungssysteme sind Passwort-geschützt, um einen unbefugten Zugriff auf personenbezogene Daten auch in folgenden Fällen zu verhindern: (a) nach Startvorgängen und (b) bei Nichtbenutzung für einen kurzen Zeitraum.
  5. Die Zugriffskontrolle wird durch ein Authentifizierungssystem unterstützt.
  6. Es wird eine Passwort-Richtlinie implementiert, die die Weitergabe von Passwörtern verbietet, das Vorgehen nach Offenlegung eines Passworts festlegt und die regelmäßige Änderung von Passwörtern vorschreibt.
  7. Passwörter werden immer in verschlüsselter Form gespeichert.
  8. Es wird ein angemessenes Verfahren zur Deaktivierung von Benutzerkonten implementiert, wenn Benutzer das Verarbeitungssystem verlassen.
  9. Es wird ein angemessenes Verfahren zur Anpassung von Administratorberechtigungen implementiert, wenn ein Administrator das Verarbeitungssystem verlässt.

III – Datenzugriffskontrolle:

Personen, die zur Benutzung eines Datenverarbeitungssystems berechtigt sind, dürfen Zugriff nur auf jene Daten erhalten, für die sie über eine Berechtigung verfügen. Personenbezogene Daten dürfen bei der Verarbeitung oder Verwendung und nach der Speicherung nicht ohne Autorisierung gelesen, kopiert, geändert oder entfernt werden. Anbieter müssen dafür folgende Sicherheitsmaßnahmen implementieren:

  1. Es wird sichergestellt, dass personenbezogene Daten bei der Verarbeitung oder Verwendung und nach der Speicherung nicht ohne Autorisierung gelesen, kopiert, geändert oder entfernt werden können.
  2. Es wird nur autorisierten Personen Zugriff auf Daten gewährt und es werden nur die Mindestberechtigungen und nur für Daten erteilt, die für diese Personen zur Erfüllung ihrer Pflichten erforderlich sind.
  3. Personen, die Datenverarbeitungssysteme benutzen, dürfen nur Zugriff auf Daten haben, für die sie über eine Zugriffsberechtigung verfügen.
  4. Der Zugriff ist auf Dateien und Programme beschränkt, die unbedingt benötigt werden.
  5. Physische Medien mit personenbezogenen Daten werden in sicheren Bereichen gespeichert.
  6. Es werden Maßnahmen implementiert, die die Verwendung und/oder Installation nicht autorisierter Hardware und/oder Software verhindern.
  7. Es werden Regeln für die sichere und fortlaufende Entfernung nicht mehr benötigter Daten implementiert.

Darüber hinaus verpflichtet Ranorex seine Anbieter (i) zur Führung einer Liste der Subunternehmer, die möglicherweise personenbezogene Daten des Anbieters verarbeiten, und zur Offenlegung einer solchen Liste für Ranorex sowie (ii) zur Verpflichtung aller Subunternehmer, genau die gleichen Verpflichtungen einzuhalten, denen der Anbieter gemäß der Datenverarbeitungsvereinbarung mit Ranorex unterliegt.

Im Sicherheitsprogramm von Ranorex sind auch die Verschlüsselung, ein Vorfallmanagement, die Netzwerk- und Systemintegrität sowie Anforderungen zu Verfügbarkeit und Ausfallsicherung verpflichtend festgelegt.

Ranorex verwendet Standardverfahren für Sicherheitsprotokolle bei der Übertragung vertraulicher Daten wie Kreditkartendaten. Wenn auf unserer Website vertrauliche personenbezogene Daten wie eine Kreditkartennummer eingegeben werden, verschlüsseln wir diese mit der SSL-Technologie (Secure Socket Layer). Wenn Ihre personenbezogenen Informationen von einer nicht autorisierten Person angefordert werden oder in guten Glauben angenommen werden kann, dass diese von einer solchen Person angefordert werden, und gültige gesetzliche Regelungen eine Benachrichtigung verlangen, wird Sie Ranorex per E-Mail darüber in Kenntnis setzen. Ranorex wird Sie umgehend gemäß der entsprechenden rechtlichen Erfordernisse und/oder der Ranorex-Regelungen informieren, um den Umfang der Datenschutzverletzung zu ermitteln und die Integrität des Datensystems zu untersuchen und wiederherzustellen.

Wenn Sie weitere Fragen zum Datenschutz haben, kontaktieren Sie uns bitte unter [email protected].