Datenschutz und die DSGVO


Mit ALV bietet ALVDIGITAL Systems UG mit Sitz in Berlin eine betriebswirtschaftliche Cloud-Lösung für das Management von Labelfirmen und Musikverlagen an. Wir verarbeiten dabei personenbezogene Daten in der Rolle des Auftragsdatenverarbeiters, um diesen Service zu bieten.

 

Die Wahrung der Vertraulichkeit und der sorgsame Umgang mit den uns als "Auftragsdatenverarbeiter" anvertrauten Daten hat oberste Priorität. Auftragsdatenverarbeitung bezeichnet das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen Dienstleister (uns), der an die Weisungen des Auftragsgebers (dem ALV Kunden und Anwender, i.e. der "Verantwortliche") gebunden ist.

 

Unsere strikte Verschwiegenheit nicht nur im Hinblick auf personenbezogene Daten sondern darüberhinaus über jedwede betriebliche Information, sei es zu Verträgen, Kosten, Umsätzen, Identifikatoren uvm, ist die Grundlage für die langjährige, vertrauensvolle Zusammenarbeit mit unseren Kunden.

 

Für wen rund um ALV gilt die DSGVO?

 

Die Datenschutz-Grundverordnung (Originaltext hier: DSGVO), die am 25. Mai 2018 in Kraft tritt, sorgt für eine einheitliche Datenschutzgesetzgebung in der Europäischen Union und gilt für Unternehmen mit Hauptsitz oder Niederlassungen in der EU sowie für Unternehmen weltweit, die personenbezogene Daten von Menschen in der EU verarbeiten, also auch für Subunternehmer aus dem nicht-EU-Raum.

 

Die DSGVO gilt gleichermaßen für ALV ("Auftragsdatenverarbeiter") wie für ALV Kunden und Anwender ("Verantwortliche").

 

Welche Daten in ALV betrifft die DSGVO?

 

Vereinfacht ausgedrückt: sie greift nicht, wenn es um anonyme oder anonymisierte, rein statistische Daten geht, sondern immer dann, wenn zu Daten ein Bezug zu einer Person hergestellt werden kann. Das betrifft  alle Eigenschaften einer Person wie Name, Adresse und Metadaten zur Person, aber auch Lizenzabrechnungen, Vertragsdaten und vieles mehr, also alles was den Kern von ALV ausmacht.

 

Was ist und warum brauchen wir einen ADV-Vertrag mit ALV?

 

Ein ADV-Vertrag ist ein Vertrag zur Datenverarbeitung im Auftrag. Nach DSGVO muss jedes Unternehmen einen ADV-Vertrag abschließen, dass personenbezogene Daten im Auftrag – also von einem Dienstleister wie ALV – verarbeiten lässt. Ohne ADV-Vertrag ist bereits die bloße Übertragung von Daten auf einen anderen Server als den eigenen Unternehmensserver grundsätzlich nicht erlaubt. 

 

ADV-Verträge müssen nicht mehr ausschließlich schriftlich vorliegen, sondern können auch in elektronischer Form abgeschlossen werden (Artikel 28).

 

Inwieweit betrifft mich die DSGVO als "Verantwortlichen"?

 

Betroffene Autoren, Künstler, Produzenten und andere Lizenzgeber haben noch mehr Rechte als zuvor. Dazu gehört ein neues Recht auf Übertragung ihrer Daten an andere Anbieter (Artikel 20) und ein erweitertes Auskunftsrecht.

 

Der Verantwortliche muss auf einfache Anfrage des Lizenzgebers kostenlos Auskunft geben über:

  1. welche personenbezogenen Daten und zu welchem Zweck verarbeitet werden
  2. an wen die Daten weitergegeben werden (Auftragsdatenverarbeiter und Subunternehmer)
  3. die geplante Dauer, für die die personenbezogenen Daten gespeichert werden

mit Hinweis auf die Rechte auf:

  • Widerspruch
  • Berichtigung
  • Löschung
  • Beschwerde

Die Löschungspflichten und das Recht auf "vergessen werden" kennt Einschränkungen. Der Verantwortliche darf und muss Daten vorhalten, wenn (Artikel 17):

  • gesetzliche Aufbewahrungspflichten bestehen (i.e. Steuerunterlagen )
  • die Daten zur Rechtsverteidigung erforderlich sein können (i.e. Vertragsdaten)

Braucht es ein Verarbeitungsverzeichnis und eine Datenschutzfolgeabschätzung?

 

Ersteres ja, letzteres nicht. Beide Seiten, Verantwortliche und Auftragdatenverarbeiter, erstellen jeder für sich ein Verzeichnis von Verarbeitungstätigkeiten (Artikel 30), da "die Verarbeitung [personenbezogener Daten] nicht nur gelegentlich erfolgt".

 

Das Verzeichnis muss nicht veröffentlicht, aber jederzeit auf Anfrage den Datenschutzbehörden ausgehändigt werden.

 

Wie sicher muss die Verarbeitung personenbezogener Daten sein?

 

Als Auftragdatenverarbeiter sehen wir uns in der Pflicht folgende in Artikel 32 definierten Ansprüche an die Sicherheit der Verarbeitung personenbezogener Daten zu erfüllen:

  1. die Verschlüsselung personenbezogener Daten
  2. die Verfügbarkeit personenbezogener Daten bei einem Zwischenfall rasch wiederherzustellen
  3. eine regelmäßige Überprüfung der technischen und organisatorischen Maßnahmen

Wer ist Ansprechpartner für den Datenschutz bei ALV?

 

Herr Patrick Thomas

Email: datenschutz@alvdigital.com

Tel: 030 200 0421 30

 

Welches ist die Aufsichtsbehörde für den Datenschutz bei ALV?

 

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Maja Smoltczyk

Friedrichstr. 219

10969 Berlin

Tel.: +49 (0)30 13889-0

Fax: +49 (0)30 2155050

 E-Mail: mailbox@datenschutz-berlin.de

 


 

Technische und organisatorische Maßnahmen gemäß DSGVO Artikel 32

 

Version 1.0, Stand 23.05.2018

 

Gültig ab 25.05.2018

 

Pseudonymisierung

ALVDIGITAL trifft keine expliziten Maßnahmen zur Pseudonymisierung.

 

Verschlüsselung

ALVDIGITAL setzt für den elektronischen Transport Verschlüsselungsverfahren (HTTPS) ein, die dem Stand der Technik entsprechen und ein Schutzniveau erreichen, das den Anforderungen von Musikverlagen und Labels angemessen ist. Für die Speicherung von Kennwörtern setzt ALVDIGITAL den Advanced Encryption Standard mit einer Schlüssellänge von 128-Bit (AES-128) ein.

 

 

Physikalische Sicherheit

Die Zutrittskontrollen zum ALVDIGITAL-Standort in Berlin und zum Gebäude sind lückenlos. Ein 24-Stunden Wachdienst ist für die Eingangskontrolle zuständig. Der Zugang zum Stockwerk der ALVDIGITAL-Räume ist Transponder-geschützt. Es existiert ein geregeltes Verfahren zur Genehmigung, Verwaltung und Aufhebung von Zutrittsberechtigungen zu Arbeitsräumen von ALVDIGITAL. Alle Mitarbeiter sind angewiesen die ALVDIGITAL-Räume auch bei kürzester Abwesenheit abzuschließen.

 

Authentifizierung

Alle Rechner von ALVDIGITAL verfügen mindestens über ein Zugangskontrollsystem (Kennwort), besonders sensible Bereiche über ein SmartCard/USB-basiertes Authentifizierungssystem.

 

Zugriffsberechtigung

Jeder Mitarbeiter kann im Rahmen seiner Aufgabenerfüllung nur auf die für seine Tätigkeit notwendigen Systeme und mit der ihm zugewiesenen Berechtigung auf die erforderlichen Daten zugreifen. 

 

Datenübertragung

Die Datenübertragung zwischen ALVDIGITAL und anderen Auftragsverarbeitern wird grundsätzlich verschlüsselt. Dabei kann ALVDIGITAL das konkrete Verfahren mit den Partnern individuell regeln.

 

Datentrennung

Der Übergang vom Entwicklungssystem zum Live-System ist durch entsprechende Werkzeuge gesichert und nachvollziehbar dokumentiert. Eine Freigabe zum Deployment auf das Live-System kann nur von autorisierten Personen erfolgen. Für unterschiedliche Zwecke gespeicherte Daten (Entwicklung vs. Produktion) werden logisch getrennt verarbeitet. 

 

Protokollierung

Bei den IT-Systemen von ALVDIGITAL erfolgt eine laufende Protokollierung der Abläufe. Es sind Maßnahmen implementiert, mittels derer überprüft und festgestellt werden kann, ob und von wem im Auftrag verarbeitete Daten eingegeben oder verändert worden sind. Die Dateneingabe und die Verarbeitung der im Auftrag verarbeiteten Daten erfolgen ausschließlich nach dem mit dem Verantwortlichen festgelegten Verfahren.

 

Verfügbarkeit

ALVDIGITAL und seine Hoster treffen Maßnahmen, die dazu dienen, dass im Auftrag verarbeitete Daten möglichst uneingeschränkt verfügbar und insbesondere vorhanden sind, wenn der Verantwortliche sie benötigt.

 

Hosting-Provider

Zu den Technischen und Organisatorischen Maßnahmen unseres Hosting-Providers 1&1 mit Sitz in Montabaur und Rechenzentrum in Karlsruhe (Deutschland), siehe: TOM 1&1