Einführung

Die Europäische Union hat mit der Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mail 2018 in Kraft tritt, einen erheblichen Schritt zum Schutz des grundlegenden Rechts auf Privatsphäre für alle EU-Bürger eingeleitet. Einfach ausgedrückt haben EU-Bürger im Rahmen dieser Verordnung nun mehr Mitspracherecht in Bezug darauf, welche ihrer personenbezogenen Daten wie, warum, wo und wann verwendet, verarbeitet oder gelöscht werden. Diese Verordnung klärt zudem, inwiefern die EU-Gesetze zu personenbezogenen Daten auch über die Grenzen der EU hinaus gelten. Ein Unternehmen, das personenbezogene Daten von EU-Bürgern auf beliebige Weise nutzt, ist unabhängig von seinem Sitz verpflichtet, die Daten zu schützen. Zoho ist sich bewusst, dass wir als Unternehmen die richtigen Tools und Prozesse bereitstellen müssen, damit unsere Benutzer und Kunden die DSGVO-Anforderungen erfüllen können.

Unsere Verpflichtung

Bei Zoho standen der Datenschutz und die Datensicherheit unserer Benutzer schon immer an oberster Stelle. Wir haben niemals Werbung als Ertragsquelle genutzt. Wir haben unseren Benutzern niemals Werbung bereitgestellt und werden das auch niemals tun. Auch die kostenlosen Versionen unserer Produkte enthalten keine Werbeeinblendungen. Das bedeutet, dass wir abgesehen vom für die Funktion unserer Produkte erforderlichen Rahmen keine personenbezogenen Daten unserer Benutzer erfassen und verarbeiten müssen.

Im Laufe der Jahre haben wir bewiesen, dass wir uns dem Datenschutz und der Datensicherheit verpflichten, wie unsere Zertifizierungen nach ISO 27001 und SOC 2 Typ 2 belegen. Wir verfügen bereits jetzt über strenge Vereinbarungen zur Datenverarbeitung und überarbeiten diese derzeit, um die Anforderungen der DSGVO zu erfüllen. Zoho Corporation verfügt über eine Zertifizierung zur Einhaltung des EU-US Privacy Shield Framework, das die Übertragung von Daten in die USA regelt. Wir sehen die DSGVO als Gelegenheit an, die höchsten Betriebsstandards für den Schutz unserer Kundendaten zu implementieren.

Wie bereitet sich Zoho auf die DSGVO vor?

Mit mehr als 130 vor Ort und in der Cloud gehosteten Anwendungen, die von über 30 Millionen Benutzern in 190 Ländern weltweit genutzt werden, bereitet sich Zoho (sowie seine Geschäftsbereiche ManageEngine und WebNMS) auf die Einhaltung der DSGVO über alle Anwendungen hinweg ab dem Inkrafttreten der neuen Verordnung vor. Als datenverarbeitendes Unternehmen ist sich Zoho seiner Pflicht bewusst, Kunden bei der Vorbereitung auf dieses wichtige Datum zu unterstützen. Wir haben die DSGVO-Anforderungen gründlich analysiert und ein spezielles internes Team zusammengestellt, das die Einhaltung dieser Anforderungen durch unser Unternehmen gewährleistet. Unsere laufenden Initiativen umfassen u. a.:

  • Identifizierung von personenbezogenen Daten: Jede unserer 130 Anwendungen nutzt eine andere Ebene zur Erfassung, Nutzung, Speicherung und Entfernung von personenbezogenen Daten. Die Definition des Umfangs von personenbezogenen Daten für jede dieser Anwendungen sowie die Dokumentation der verschiedenen Datenquellen führt zu einer übersichtlichen Compliance-Roadmap, die in den Tagen bis zur Implementierung genutzt werden kann.
  • Bereitstellung von Transparenz: Der wichtigste Aspekt der DSGVO betrifft die Art und Weise, wie die erfassten Daten genutzt werden. Als datenverarbeitendes Unternehmen besteht die Hauptaufgabe von Zoho darin, unseren Kunden (den Datenverantwortlichen) einen angemessenen Zugriff zu ermöglichen, um ihre Benutzerdaten effektiv zu verwalten und schützen. Zoho untersucht verschiedene Methoden zur optimalen Verbesserung unserer Produkte ohne Beeinträchtigung der Leistung, damit wir unseren Kunden eine bessere Transparenz bieten können.
  • Verbesserung der Datenintegrität und -sicherheit: Datenschutz und Datensicherheit sind zwei Seiten derselben Medaille. Zoho möchte seine Kunden dabei unterstützen, ihre Maßnahmen zur Datensicherheit zu verbessern. Wir optimieren die Prozesse unserer Cloudanwendungen, indem wir IT-Richtlinien und -Verfahren implementieren, die eine umfassende Sicherheit ermöglichen.
  • Mobilität und Übertragbarkeit von Daten: Die DSGVO gewährt Endbenutzern das Recht, alle vom Datenverantwortlichen bereitgestellten und verarbeiteten Daten abzurufen oder diese Daten an einen anderen Datenverantwortlichen zu übertragen (je nach technischer Machbarkeit). Angesichts dieses neuen Rechts bemüht sich Zoho, seine Datenexportfunktionen weiter zu verbessern, damit selbst einzelne Daten exportiert werden können.

Was bedeutet das für unsere Kunden?

Wir sind uns bewusst, dass die Einhaltung der DSGVO-Anforderungen viel Zeit und Mühe erfordert. Als Ihr Partner möchten wir Sie dabei unterstützen, Ihre Prozesse so nahtlos wie möglich zu gestalten, damit Sie sich keine Sorgen über die Compliance machen müssen, sondern sich voll und ganz auf Ihr Geschäft konzentrieren können. Daher vereinfachen einige unserer Produktverbesserungen folgende Aspekte für Sie:

  • Zugriffskontrolle
  • Verschlüsselung, Anonymisierung der Löschung von Benutzerdaten
  • Durchführung von Daten-Audits oder -bewertungen über Datenverarbeitungsprotokolle
  • Berücksichtigung der Rechte der betroffenen Person
  • Verbesserte Sicherheit von Benutzerdaten

Wie können Sie sich auf die DSGVO vorbereiten?

Wenn Sie gerade erst begonnen haben, die DSGVO-Compliance in Ihrem Unternehmen umzusetzen, beachten Sie die folgende Aufgabenliste.

  • Stellen Sie ein Datenschutzteam zusammen, das die DSGVO-Aktivitäten überwacht und das Bewusstsein für die neue Verordnung steigert.
  • Prüfen Sie Ihre aktuellen Sicherheits- und Datenschutzprozesse, und überarbeiten Sie ggf. Ihre Verträge mit Drittanbietern und Kunden, um die Anforderungen der DSGVO zu erfüllen.
  • Ermitteln Sie, welche personenbezogenen Daten (PII) erfasst werden.
  • Analysieren Sie, wie diese Informationen verarbeitet, gespeichert, aufbewahrt und gelöscht werden.
  • Prüfen Sie die Drittanbieter, an die Sie Daten freigeben.
  • Implementieren Sie Verfahren, um auf eine betroffene Person zu reagieren, die von ihren Rechten Gebrauch macht.
  • Definieren und führen Sie ein PIA (Privacy Impact Assessment) durch.
  • Implementieren Sie Prozesse zur Benachrichtigung bei Datenschutzverletzungen.
  • Ein durchgängiges Bewusstsein der Mitarbeiter ist entscheidend, um die fortlaufende Einhaltung der DSGVO zu gewährleisten.

Weitere Informationen zur DSGVO in Anwendungen von Zoho/ManageEngine/WebNMS:

Kontakt

Weitere Informationen zur DSGVO

Was ist die DSGVO?

  • Die EU-Datenschutz-Grundverordnung (DSGVO) setzt neue Maßstäbe für Datensicherheits- und Datenschutzgesetze. Die EU ist sich bewusst geworden, dass sich die Technologien in den letzten Jahrzehnten rasant weiterentwickelt haben, die zugehörigen Datenschutzgesetze jedoch nicht. 2016 haben die EU-Regulierungsbehörden entschieden, die aktuelle Datenschutzverordnung zu aktualisieren, um der neuen Realität Rechnung zu tragen. Dieses Gesetz umfasst eine umfassende Liste von Bestimmungen zur Verarbeitung der personenbezogenen Daten von EU-Bürgern.

Für wen gilt die Verordnung?

  • Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Das Gesetz umfasst neue Verpflichtungen für datenverarbeitende Einheiten und führt die Aufgabenbereiche von Datenverantwortlichen genau auf.

Wo gilt die DSGVO?

  • Dieses Gesetz ist geografisch nicht begrenzt. Es ist unerheblich, in welchem Land Ihr Unternehmen ansässig ist. Wenn Sie personenbezogene Daten von EU-Bürgern verarbeiten, fallen Sie unter die Rechtsprechung dieses Gesetzes.

Wie sehen die Strafen bei einer Nichteinhaltung aus?

  • Bei einem Verstoß gegen die DSGVO fällt eine Strafe in Höhe von bis zu 4 % des jährlichen weltweiten Umsatzes oder 20 Millionen EUR an (je nachdem, welcher Betrag höher ist).

Wer sind die wichtigsten Beteiligten?

  • Betroffene Person – eine natürliche in der EU ansässige Person, auf die sich die Daten beziehen.
  • Datenverantwortlicher – bestimmt den Zweck und die Methode zur Verarbeitung der Daten.
  • Datenverarbeiter – verarbeitet Daten gemäß den Anweisungen des Datenverantwortlichen.
  • Aufsichtsbehörden – öffentliche Behörden, die die Anwendung der Verordnung überwachen.

Was sind personenbezogenen Daten (PII)?

  • Alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die identifizierbaren Merkmale werden in zwei Klassierungen unterteilt: direkt (z. B. Name, E-Mail-Adresse, Telefonnummer usw.) und indirekt (z. B. Geburtsdatum, Geschlecht usw.).

Wie lauten die wichtigsten Änderungen im Vergleich zu bisherigen Verordnungen?

  • Neue und verbesserte Rechte für betroffene Personen: Dieses Gesetz gewährt Einzelpersonen das Recht, die vollständige Hoheit über ihre personenbezogenen Daten auszuüben. Einige der Rechte innerhalb der Verordnung umfassen:
    • Ausdrückliche Zustimmung: Die betroffene Person muss darüber informiert werden, wie ihre personenbezogenen Daten verarbeitet werden. Unternehmen müssen Vorkehrungen treffen, mit denen die betroffene Person ihre Zustimmung ebenso einfach widerrufen kann, wie sie sie gewähren kann.
    • Zugriffsrecht: Die betroffene Person kann jederzeit beim Datenverantwortlichen anfragen, welche personenbezogenen Daten zu ihr gespeichert oder aufbewahrt werden.
    • Recht auf Löschung: Die betroffene Person kann den Datenverantwortlichen auffordern, die in seinen Systemen enthaltenen personenbezogenen Daten zu entfernen.
    • Datenübertragbarkeit: Der Datenverantwortliche muss der betroffenen Person eine Kopie ihrer personenbezogenen Daten in einem maschinell lesbaren Format bereitstellen können. Sofern möglich, muss die Person in der Lage sein, die Daten an einen anderen Verantwortlichen zu übermitteln.
  • Verpflichtungen der Datenverarbeiter: Die DSGVO umfasst auch neue Verantwortungsbereiche und Haftungen für Datenverarbeiter. Datenverarbeiter müssen die Einhaltung der DSGVO belegen können und die Anweisungen des Datenverantwortlichen befolgen.
  • Datenschutzbeauftragter: Unternehmen können einen Mitarbeiter oder externen Dienstanbieter bestimmen, der die Einhaltung der DSGVO, die Compliance mit den allgemeinen Datenschutzvorkehrungen und die Maßnahmen zur Datensicherung überwacht.
  • Privacy Impact Assessments (PIA): Unternehmen müssen die Auswirkungen auf den Datenschutz ihrer großangelegten Datenverarbeitung bewerten, um die Risiken zu minimieren und Maßnahmen zu ihrer Abwehr zu bestimmen.
  • Benachrichtigung bei Verstößen: Datenverantwortliche müssen alle Betroffenen (die Aufsichtsbehörde und, sofern zutreffend, die betroffenen Personen) innerhalb von 72 Stunden nach der Erkennung einer Verletzung benachrichtigen.

Fordert die DSGVO, dass die personenbezogenen Daten von EU-Bürgern in der EU bleiben?

  • Nein, die DSGVO fordert nicht, dass die personenbezogenen Daten von EU-Bürgern in der EU bleiben. Des Weiteren enthält sie keine neuen Einschränkungen bezüglich der Übertragung von personenbezogenen Daten in Nicht-EU-Länder. Unser Zusatz zur Datenverarbeitung, der sich auf die Musterklauseln der Europäischen Kommission bezieht, unterstützt unsere Kunden dabei, die Übertragung von personenbezogenen Daten von EU-Bürgern in Nicht-EU-Länder zu vereinfachen.

Ressourcen