VVA gemäß DSGVO – das müssen Sie zur Zusammenarbeit mit uns wissen

Die EU-Datenschutz-Grundverordnung (DSGVO) ist mit dem 25. Mai 2018 vollumfänglich in Kraft getreten und gilt als das strengste Datenschutzgesetz der Welt. Dabei hat die Umsetzung der Datenschutzregeln vor allem kleine und mittelständische Unternehmen vor große Herausforderungen gestellt und wirft bis heute viele Fragen auf.

Eins der am häufigsten nachgefragten Themen: die Vereinbarung zur Verarbeitung im Auftrag, kurz VVA. Im neuen Video erklärt deshalb der Datenschutzbeauftragte Henning Welz in weniger als 2 Minuten, welche Fälle eine VVA bei der Zusammenarbeit mit uns als Ihrem Software-Distributor erforderlich machen:

Sie haben Fragen? Wir stehen Ihnen natürlich gerne sowohl telefonisch unter +49 (0)6441 67118-838 als auch via E-Mail zur Verfügung.

Datenschutz und E-Mail-Kommunikation – setzen Sie auf MDaemon

Die E-Mail stellt im Unternehmensalltag Ihrer Kunden ein unverzichtbares Kommunikationsmedium dar – sie wird allerdings auch von Hackern besonders häufig genutzt, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Umso wichtiger ist ein verlässlicher E-Mail-Server: Hier verbindet der MDaemon Email Server aus dem Hause MDaemon Technologies enorme Flexibilität mit hohen Sicherheitsstandards.

Per E-Mail werden täglich Unmengen an Informationen und sensiblen Daten weitergegeben – nicht nur die Datenschutz-Grundverordnung, auch grundlegende Überlegungen zur Unternehmenssicherheit machen es deshalb unumgänglich, diesen Kommunikationsprozess sicher aufzustellen.

Unsere DSGVO-FAQs – was Sie jetzt zur Zusammenarbeit mit uns wissen müssen

Die Europäische Datenschutz-Grundverordnung (DSGVO) beschäftigt die IT-Welt, zahlreiche Prozesse müssen angepasst werden – dass sich dabei Fragen auftun, ist unvermeidlich. Um Sie hier bestmöglich unterstützen zu können, haben wir hier die wichtigsten Antworten – sowohl den Umgang mit Ihren Kundendaten als auch Ihre Zusammenarbeit mit uns als Value Added Distributor betreffend – für Sie zusammengefasst.

1. Ich möchte bei EBERTLANG ein Produkt bestellen. Was muss ich hierbei mit Blick auf die DSGVO beachten?

Wenn Sie bei uns im Rahmen Ihrer Lizenzbestellung Daten zu Endkunden hinterlegen, so erfolgt die entsprechende Datenverarbeitung zum Zweck der Erfüllung vertraglicher Pflichten – also beispielsweise der Lizenzaktivierung. Damit legitimiert sich in diesen Fällen die Weitergabe Ihrer Endkundendaten an uns aus Art. 6 Abs. 1 lit b) DSGVO. Selbstverständlich behandeln wir die personenbezogenen Daten Ihrer Kunden vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften.

Während Ihre Kunden zwar im Rahmen der Verpflichtung zur Transparenz über diese Vorgänge zu informieren sind, ist eine Vereinbarung zur Verarbeitung im Auftrag (kurz VVA – oder auch Auftragsverarbeitungsvertrag – kurz AVV – genannt) mit uns in diesem Fall nicht erforderlich.

2. Ich möchte mit EBERTLANG einen Premium-Supportvertrag abschließen. Was muss ich hierbei mit Blick auf die DSGVO beachten?

Bei einem Premium-Supportvertrag entscheiden Sie sich für direkte persönliche Betreuung per Telefon oder Fernwartung sowie für garantierte Reaktionszeiten – ein enormer Vorteil bei der Kundenbetreuung. Während der Bearbeitung Ihres Support-Auftrags ist es dann möglich, dass unsere Mitarbeiter personenbezogene Daten Ihrer Endkunden einsehen und weiterverarbeiten. Selbstverständlich geschieht dies nur im Rahmen und zum Zweck der Fehlerbehebung; Daten werden weder an unbefugte Dritte weitergegeben noch für Werbezwecke verwendet.

Die Datenschutz-Grundverordnung verlangt in diesem Fall eine ‘Vereinbarung zur Verarbeitung im Auftrag’ (kurz VVA) zwischen uns als Auftragnehmer und Ihnen als Auftraggeber. Als datenverantwortliches Unternehmen legen Sie in der VVA fest, wie unser Team im Support-Fall mit den Daten verfahren darf; der Leistungsumfang und die Konditionen Ihres Premium-Supportvertrages werden dabei selbstverständlich nicht eingeschränkt. Einen ausfüllbaren Mustervertrag, den Sie als Vorlage verwenden können, finden Sie hier.

3. Wo kann ich technische und organisatorische Maßnahmen zur DSGVO bei EBERTLANG einsehen?

Die technischen und organisatorischen Maßnahmen (kurz TOMs) sind diejenigen Mittel, welche wir zur Verfügung stellen können, um den Datenschutz Ihrer Kunden im Falle einer Verarbeitung im Auftrag zu gewährleisten. Da wir im Sinne der DSGVO lediglich Auftragnehmer sind, liegt es nicht in unserem Ermessen, die Sensibilität der entsprechenden Daten und die daraus resultierenden Schutzmaßnahmen einzuschätzen und festzulegen. Daher ist es erforderlich, dass Sie als datenverantwortliches Unternehmen in der VVA definieren, welche TOMs Sie im Einsatz wissen wollen.

Backup as a Service problemlos DSGVO-konform gestalten – mit EVault

In wenigen Wochen – am 25. Mai 2018 – tritt die EU-Datenschutz-Grundverordnung vollumfänglich in Kraft und stellt an Sie und Ihre Kunden umfassende Anforderungen im Umgang mit personenbezogenen Daten wie Namen, E-Mail- oder IP-Adressen, Geräte-IDs oder RFID-Tags. Als Managed Service Provider unterstützen Sie mit Backup as a Service via EVault von Carbonite Ihre Kunden bestmöglich in Sachen Datenschutz, gelten dabei jedoch vor der DSGVO auch als Auftragsverarbeiter mit entsprechenden Verantwortlichkeiten – hier erfahren Sie, wie Sie dem mit EVault begegnen können.

Während Sie als Managed Service Provider Ihren Kunden mit EVault einen passgenauen Backup-Plan über Ihre unternehmenseigenen Infrastrukturen bieten, können Sie nicht nur die Sicherungstrategie genau nach Ihren Kunden ausrichten; vielmehr bieten Sie auch Datensicherheit jenseits der Norm, da Sie die vollständige Kontrolle über die Datensätze haben, ohne dass Drittanbieter einbezogen wären.

Die DSGVO – so stellen Sie als MSP mit EVault das Kunden-Backup konform auf

Dabei gelten Sie vor der DSGVO als Auftragsverarbeiter – und sind damit beim Umgang mit personenbezogenen Daten zu entsprechender Umsicht angehalten. Dank der etablierten Technologie und durchdachten Sicherheitsmechanismen können Sie mit EVault die Anforderungen an ein datenschutzkonformes Backup problemlos bedienen:

• Datenberichtigung (Art. 16 DSGVO): EVault erfasst und sichert automatisch alle Änderungen, die an Quelldaten vorgenommen werden; berichtigte Datensätze werden damit routinemäßig in das Backup eingespeist.
• Datenlöschung (Art. 17 DSGVO): Aufbewahrungsfristen können Sie bequem automatisiert konfigurieren, um alte Datensätze fristgerecht zu löschen und aus den Backup-Zyklen auszuschleichen.
• Datenschutz (Art. 32 DSGVO): Bei EVault sind Verwaltungsportal und kryptografischer Schlüssel getrennt voneinander angelegt, so dass selbst bei einem Missbrauch der Administrator-Anmeldeinformationen die Kundendaten sicher sind. Für maximalen Zugriffsschutz ist jedem Kunden ein eigener Schlüssel zugewiesen, so dass das Kompromittierungsrisiko selbst bei Verlust so gering wie möglich ist. Dabei kommt ein Verschlüsselungsverfahren nach AES-256 zum Einsatz.
• Dokumentation der Verarbeitung (Art. 30 DSGVO): Über die Systemlogs können Sie – sowie auf Nachfrage auch Ihre Kunden – nachvollziehen und belegen, welche Daten gesichert und welche gelöscht wurden.