Datenschutzerklärung für myconvento Anwender der Convento GmbH, Neuss

gültig ab dem 25. Mai 2018

Ab dem 25. Mai 2018 müssen in Deutschland und allen anderen EU Mitgliedstaaten die Regeln der EU-Datenschutzgrundverordnung (im Folgenden DSGVO) beachtet und umgesetzt werden. In Deutschland kommt zusätzlich das auf der DSGVO basierende Bundesdatenschutzgesetz in neuer Fassung (im Folgenden BDSG-neu) zur Anwendung. Die DSGVO und das BDSG-neu lösen in Deutschland das bisherige und bis zum 25. Mai 2018 noch gültige Bundesdatenschutzgesetz (BDSG-alt) ab.

Die Convento GmbH (im Folgenden „Convento“) verarbeitet als Auftragsdatenverarbeiter im Sinne des Art. 4 der DSGVO personenbezogene Daten, die ihre Kunden als Auftraggeber und Verantwortliche im Rahmen des erteilten Auftrages zur Nutzung in myconvento zur Verfügung stellen. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die durch Zuordnung zu einem Namen, einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann. Diese Merkmale sind Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person. Konkret sind das Adress- und Kommunikationsdaten sowie sonstige wesentliche Merkmale von Journalisten, Bloggern, sonstigen „Influencern“ des Auftraggebers und Verlagen. Convento achtet insbesondere das Recht und Eigentum seiner Kunden an ihren Daten sowie den Datenschutz und die Privatsphäre von betroffenen Personen und verpflichtet sich, alles Notwendige zu tun, um diesem Anspruch gerecht zu werden.

Räumliche Geltung
Die Verarbeitung der Kundendaten erfolgt ausschließlich im Gebiet der Bundesrepublik Deutschland. Seit 2015 betreibt Convento die Kundensysteme in einem spezialisierten und nach ISO 27001 zertifizierten Rechenzentrum in D-40472 Düsseldorf bei der myloc managed IT AG (www.myloc.de).

Weitergabe personenbezogener Informationen an Dritte, Unteraufträge
Convento nutzt personenbezogene Daten, die es von seinen Kunden erhält, nicht selbst, sondern stellt diese Daten nur für den jeweiligen Kunden auf der im Rechenzentrum der myLoc managed IT AG [Zertifiziertes Rechenzentrum nach ISO 27001], Am Gatherhof 44, D-40472 Düsseldorf, gemieteten Serverfarm zur Verfügung. Dort integriert es die Daten in die Kunden-Datenbank, wo diese dann dem Kunden exklusiv zur Verfügung stehen.

Soweit Convento Teile der erhaltenen Aufträge – im Übrigen nur nach vorheriger schriftlicher Genehmigung durch den Kunden - an Subunternehmer vergibt, stellt Convento sicher, dass dort Datenschutz und Datensicherheit wie bei ihr selbst gewährleistet sind. Dem Kunden werden dabei gegenüber dem Subunternehmen die gleichen Prüfungs- und Kontrollrechte eingeräumt, wie sie gegenüber Convento bestehen.

Die üblichen allgemeinen Zulieferdienste (z. B. Telekommunikation, Wartung, Support, Reinigung) fallen nicht unter diese Regelung. Convento hat jedoch mit derartigen Partnern generell entsprechende Vereinbarungen zu Datenschutz und Datensicherheit abgeschlossen.

Erhebungen oder Übermittlungen personenbezogener Daten an staatliche Einrichtungen und Behörden erfolgen nur im Rahmen gültiger Rechtsvorschriften. In diesen Fällen ist Convento verpflichtet, den Kunden - soweit rechtlich zulässig - rechtzeitig vor der Offenlegung schriftlich zu benachrichtigen. Dienstleister, die im Einflussbereich des US Patriots Act und US Freedom Act liegen, werden von Convento nicht genutzt.

Pflichten des Kunden
Der Kunde ist „Verantwortlicher“ im Sinne Art. 4 Nr. 7 DSGVO. Er trägt damit die Verantwortung für die Zulässigkeit der an Convento übertragenen Aufgaben und für die Wahrung der Rechte der betroffenen Personen. Der Kunde erteilt oder bestätigt Aufträge und Ergänzungen schriftlich. Das gilt auch für – gemeinsam abzustimmende – Änderungen der Inhalte, Verfahren, des Umfanges und anderer Vertragsbestandteile. Wenn der Kunde Weisungen mündlich erteilt, bestätigt er sie umgehend schriftlich.

Der Kunde benennt einen verantwortlichen Ansprechpartner, der Weisungen erteilen und Entscheidungen für alle Belange des Auftrags treffen oder zeitnah herbeiführen kann. Dieser Ansprechpartner sorgt dafür, dass die myconvento Anwender des Kunden diese Erklärung kennen und einhalten.

Der Administrator des Kunden legt die Anwender in myconvento fest. Jeder Anwender erhält persönliche Zugangsdaten (Usernamen und Passwort). Die Anwender werden angehalten, keine ausspähbaren Passwörter zu verwenden und möglichst keine Notizen zu ihren Passwörtern mitzuführen.

Der Kunde löscht einen Zugang zu myconvento („User-Account“) umgehend, wenn dieser für einen Anwender nicht mehr zur Verfügung stehen soll. Stellt der Kunde bei der Auftragsdurchführung oder bei den Auftragsergebnissen Fehler fest, so benachrichtigt er Convento unverzüglich.

Pflichten der Convento GmbH
Convento verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach schriftlichen Weisungen des Kunden, und verwendet die überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Kunden nicht erstellt.

Convento pflegt oder bearbeitet üblicherweise keine Daten für Kunden. Convento ist daher nicht verpflichtet, eine ausführliche Dokumentation der Datenverarbeitung zu führen, anhand derer der Kunde den Nachweis über die ordnungsmäßige Durchführung der Datenverarbeitung führen kann. Convento wird nur auf besondere und schriftliche Anweisung des Kunden Daten bearbeiten. Nur und ausschließlich in diesen Fällen führt Convento eine einfache Dokumentation der Datenverarbeitung. Im Rahmen eines IT-Protokolls wird dann dokumentiert, welcher Convento Mitarbeiter welche Daten welches Kunden wann angeschaut oder bearbeitet hat. Convento wird diese Dokumentation langfristig speichern.

Convento behandelt personenbezogene Daten im Einklang mit allen geltenden Bestimmungen des Datenschutzrechts, des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG). Auf Wunsch stellt Convento dem Kunden die Angaben gemäß Art. 30 Abs. 2 DSGVO (Verzeichnis von im Auftrag durchgeführten Verarbeitungstätigkeiten) zur Verfügung. Um personenbezogene Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder den Zugriff durch unberechtigte Personen bestmöglich zu schützen, setzt Convento technische und organisatorische Maßnahmen (TOM) gem. Art. 32 DSGVO ein. Gemäß der technischen Entwicklung verbessern wir diese Maßnahmen kontinuierlich.

Alle Mitarbeiter, Lieferanten und Partner von Convento sind nach § 53 BDSG-neu auf das Datengeheimnis und daneben ggf. noch auf besondere Berufsgeheimnisse (z.B. das Bankgeheimnis) verpflichtet.

Sollte das Eigentum des Kunden bei Convento durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren usw.) oder durch sonstige Ereignisse gefährdet werden, so wird Convento den Kunden unverzüglich verständigen.

Rechte des Kunden
Convento gewährt dem Kunden oder einem von ihm benannten Prüfer im Rahmen der Auftragskontrolle gemäß § 64 Abs. 3 Nr. 12 BDSG-NEU bei Bedarf ungehinderten Zugang zu seinen Geschäftsräumen. So ermöglicht Convento dem Kunden die Einsichtnahme in die für den Kunden oder im Zusammenhang mit dem Auftrag gespeicherten Daten und die Überprüfung der verwendeten Programmabläufe, um sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen (TOM) zu überzeugen.

Hierzu bieten wir den Prüfern einen Zugriff an, der den Zugriffsrechten des betreffenden Kunden entspricht. Falls der Kunde ausnahmsweise die Verarbeitung von Daten in Privatwohnungen gestattet, stellt Convento sicher, dass die vorgenannten Kontrollen auch in diesen Wohnungen durchgeführt werden können. Convento sichert zu, dass das Einverständnis aller Bewohner dieser Privatwohnungen mit dieser Regelung vorliegt.

Rechte Betroffener
Personen, deren Daten Convento auf ihren Systemen speichert, gleich ob sie durch den Auftraggeber oder durch Convento erhoben wurden, sind berechtigt, unentgeltlich Auskunft über die sie betreffenden Daten zu erhalten.

Die betroffenen Personenkreise sind üblicherweise Journalisten, Blogger, sonstige „Influencer“ des Kunden und / oder sonstige Ansprechpartner der Öffentlichkeitsarbeit, zum Beispiel Kunden, Interessenten, Beschäftigte i. S. d. § 26 BDSG-neu, Abonnenten, Lieferanten, Handelsvertreter oder auch Aktionäre.

Die betroffene Person hat das Recht auf Berichtigung, Löschung oder Sperrung ihrer in myconvento gespeicherten Daten. Sofern Convento Daten für den Auftraggeber bearbeitet hat, leitet es diese zusammen mit der Reklamation unverzüglich an den Auftraggeber weiter. Alternativ kann der Kunde Convento schriftlich sein Einverständnis zur entsprechenden Bearbeitung von Reklamationen der Betroffenen erteilen.

Rechte der Convento GmbH
Erteilt der Kunde im Rahmen seines Auftrages Weisungen an Convento, die möglicherweise gegen geltendes Datenschutzrecht verstoßen, so wird Convento den Kunden darauf hinweisen und kann die Durchführung der Weisung bis zur Klärung aussetzen.

Falls der Kunde - selbst oder durch Dritte – die Einhaltung von Maßnahmen zum Datenschutz und zur Datensicherheit im Rahmen der Auftragskontrolle kontrolliert, so ist Convento berechtigt, dabei entstehenden Aufwand zu den bei Convento üblichen Stundensätzen je angefangene Stunde in Rechnung zu stellen. Prüfungen mittels User-Account sind selbstverständlich kostenlos.

Technische und organisatorische Maßnahmen (TOM) zum Datenschutz
Convento hat geeignete technische und organisatorische Maßnahmen (TOM) gemäß § 64 BDSG-neu getroffen. Zusätzlich überwacht der Datenschutzbeauftragte (siehe unten) die Einhaltung aller Pflichten nach dem geltenden Datenschutzrecht und anderen gesetzlichen Bestimmungen. Convento sorgt dafür, dass die Maßnahmen gemäß § 64 BDSG-neu im laufenden Betrieb eingehalten, dokumentiert und auf Wunsch dem Kunden verfügbar gemacht werden. Das gilt auch für die mit dem Kunden vereinbarten Maßnahmen für Austausch, Bereitstellung, Verarbeitung, Haltung, Ausgabe und Versand der Daten.

Zum Nachweis der getroffenen technischen und organisatorischen Maßnahmen stellt Convento dem Kunden alle vorhandenen geeigneten Unterlagen, Protokolle und Berichte – auch unabhängiger Instanzen – zur Verfügung. Convento behält sich vor, dem technischen und organisatorischen Fortschritt entsprechende Maßnahmen einzusetzen, die mindestens die gleichen Anforderungen an Datenschutz und Datensicherheit erfüllen wie die in der Anlage genannten. Eine genau festgelegte Nachrichtenkette sorgt bei Kontrollhandlungen, Maßnahmen und Ermittlungen gemäß § 40 BDSG-neu oder gemäß Art. 83 DSGVO für eine unverzügliche Information des Kunden. Ebenso informiert Convento den Kunden unverzüglich bei etwaigen Verstößen gegen Vorschriften zum Schutz personenbezogener Daten des Kunden (z. B. nach Art. 33 DSGVO) oder gegen die im Auftrag getroffenen Festlegungen durch ihn selbst oder die bei ihm beschäftigten Personen, ebenso wie bei gravierenden Störungen des Betriebsablaufes. Dies gilt auch schon bei einem bloßen Verdacht auf solche Vorkommnisse.

Convento meldet unverzüglich in folgenden Fällen, unabhängig vom Grund und auch schon im Verdachtsfall:

  • bei schwerwiegenden Störungen des Betriebsablaufs
  • bei bedeutsamen Unregelmäßigkeiten im Umgang mit personenbezogenen Daten des Kunden
  • bei einer Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO
  • wenn personenbezogene Daten unrechtmäßig übermittelt wurden
  • wenn Dritte möglicherweise unrechtmäßig von personenbezogenen Daten Kenntnis erlangt haben

Convento ergreift in Abstimmung mit dem Kunden angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für betroffene Personen. So Kunden als Verantwortliche konkrete Meldepflichten nach Art. 33 oder 34 DSGVO zu erfüllen haben, wird Convento seine Kunden hierbei unterstützen.

Convento überprüft regelmäßig alle Kundenaufträge im Rahmen der Auftragskontrolle auf Ausführung und Erfüllung. Die Regelungen und Maßnahmen der Auftragsdurchführung werden dabei auf Einhaltung kontrolliert und ggf. angepasst.

Art der Daten, Datenträger

Die Art der Daten wird im Rahmen des Auftrages bestimmt. Es handelt sich zum Beispiel um:

  • Personenstammdaten, Kommunikationsdaten (z.B. Telefon, E-Mail), Kontakthistorie
  • Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
  • Vertragsabrechnungs- und Zahlungsdaten
  • Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)

Convento kennzeichnet Datenträger, die vom Kunden stammen bzw. für den Kunden genutzt werden, namentlich. Eingang bzw. Ausgang werden dokumentiert. Externe Datenträger der Datensicherung sind ebenfalls verschlüsselt, um im Falle des Transportes zwischen verschiedenen Standorten die Sicherheit zu gewährleisten.

Der Umgang mit ausgedienten Datenträgern ist über das für alle Mitarbeiter geltende interne Datensicherungskonzept geregelt. Die Datenträger sind in jedem Fall der IT-Abteilung zu übergeben. Optische Datenträger werden geschreddert. Defekte Festplatten, USB-und andere Datenspeicher werden bis zur datenschutzkonformen Vernichtung unter Verschluss zwischengelagert.

Haftung
Convento haftet nach den gesetzlichen Bestimmungen gegenüber dem Kunden für Schäden, die seine Mitarbeiter oder die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der Leistung vorsätzlich oder grob fahrlässig verursachen. Der Schaden ist vom Kunden nachzuweisen. Bei fahrlässig verursachten Sach- und Vermögensschäden haften Convento und seine Erfüllungsgehilfen nur bei der Verletzung einer wesentlichen Vertragspflicht, jedoch der Höhe nach beschränkt auf die bei Vertragsschluss vorhersehbaren und vertragstypischen Schäden. Die Handlung eines Convento Mitarbeiters kann nur einen Schadensfall begründen.

Für den Ersatz von Schäden, die eine betroffene Person wegen einer nach den Vorschriften über den Datenschutz unrechtmäßigen Auftragsdatenverarbeitung erleidet, haftet primär der Kunde gegenüber der betroffenen Person.

Convento haftet gemäß Art 82 Abs. 2 Satz 2 DSGVO für den durch ihre Auftragsdatenverarbeitung verursachten Schaden nur dann, wenn Convento ihren speziell als Auftragsverarbeiter auferlegten Pflichten nach der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung verantwortlichen Kunden oder gegen dessen Anweisungen gehandelt hat. Der Kunde als Verantwortlicher und Convento als Auftragsdatenverarbeiter können als Beteiligte derselben Verarbeitung für verursachte Schäden bei einer betroffenen Person als Gesamtschuldner für den gesamten Schaden gemäß Art. 82 Abs. 4 DSGVO haften.

Auftrags- und Vertragsende
Mit dem Ende des Auftragsverhältnisses gibt Convento alle in seinem Besitz befindlichen Unterlagen des Kunden und mit dem Auftrag in Zusammenhang stehenden Dateien, Datenträger und Dokumente an den Kunden zurück oder entsorgt sie mit seinem Einverständnis datenschutzgerecht. Convento bestätigt anschließend die datenschutzgerechte Löschung oder Vernichtung.

Convento bewahrt die zur Datenverarbeitung überlassenen Daten nicht länger auf, als es das Gesetz oder der Kunde bestimmt. Nicht mehr benötigte Unterlagen mit personenbezogenen Daten werden erst nach schriftlicher Weisung durch den Kunden datenschutzgerecht vernichtet. Anfallendes Test- und Ausschussmaterial wird bei Convento unter Verschluss gehalten, bis es entweder durch Convento datenschutzgerecht gelöscht oder dem Kunden übergeben wird. Die Vernichtung von Unterlagen des Kunden durch Convento wird gemeldet und die Übergabe von Dokumenten an den Kunden dokumentiert.

Daten für buchhalterische und abrechnungstechnische Zwecke kann Convento auch nach Ende der Vertragsbeziehung oder nach Löschung der Personen-Daten weiter speichern und nutzen.

Der Kunde kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn seitens Convento ein schwerwiegender Verstoß gegen die datenschutzrechtlichen Bestimmungen oder den zugrundeliegenden Vertrag vorliegt, Convento eine rechtmäßige datenschutzrechtliche Weisung des Kunden nicht ausführen kann oder eine solche Weisung nicht ausführen will und dies dem Kunden schriftlich mitteilt oder dem Kunden den Zutritt vertragswidrig verweigert.

Automatische Protokollierung des Nutzerverhaltens
myconvento verwendet "Cookies". Sie helfen dabei, den Nutzungskomfort für den Kunden zu erhöhen. Zum Beispiel speichern Cookies die Login Daten der Besucher von Webseiten, damit diese sich nicht bei jedem Login neu anmelden müssen. Die meisten Browser sind so eingestellt, dass sie Cookies automatisch akzeptieren. myconvento protokolliert außerdem die allgemeine Intensität der myconvento Nutzung eines Kunden. Die Informationen werden ausschließlich dazu verwendet, die Kundenbetreuung zu verbessern und die Kapazität des Gesamtsystems zu überwachen und sicherzustellen.

Zustimmung des Auftraggebers (myconvento Anwenderunternehmen)
Mit der Nutzung von myconvento stimmt das Anwenderunternehmen zu, dass Convento im oben beschriebenen Umfang Informationen sammeln und entsprechend verwenden darf. Die schnelle Entwicklung des Internet macht von Zeit zu Zeit Anpassungen unserer Datenschutzerklärung erforderlich. Als Kunde werden Sie per E-Mail über eine Änderung der Datenschutzerklärung benachrichtigt. Auf der Website www.myconvento.com kann die aktuelle Version jederzeit eingesehen werden.

Bei Fragen, Wünschen oder Kommentaren zum Thema Datenschutz wenden Sie sich bitte zunächst per E-Mail an datenschutz@convento.de. Parallel wird der Datenschutz bei Convento kontinuierlich überwacht und unterstützt durch unseren externen Datenschutzbeauftragten:

Rechtsanwalt Axel Krause
Kanzlei Geerkens - Frommen - Krause
Drususallee 84
41460 Neuss
Deutschland
E-Mail: a.krause@advokat-online.de