Die Convento GmbH achtet den Schutz der Privatsphäre und persönlicher Daten und verpflichtet sich, alles Notwendige zu tun, um diesem Anspruch gerecht zu werden.
Wir verarbeiten persönliche Daten, die uns unsere Auftraggeber (im weiteren „Kunden“) zur Verfügung stellen bzw. die unsere Kunden mit der Nutzung von Convento gewinnen, im Rahmen des uns vom Kunden erteilten Auftrages, der Leistungsvereinbarung oder des Betreuungsvertrages. Unter „Convento“ sind die Housing und Hosting Services der Convento GmbH und ihres Schwesterunternehmens CDS GmbH zu verstehen.
Dies sind im Jahr 2012 die Services „pr-newscenter.com“, „Convento ASP“, „Convento Classic Portal“, „Convento Versandservices“ und „myconvento“.
Pflichten des Kunden
Der Kunde ist dabei die „verantwortliche Stelle“ im Sinne § 3 Abs. 7 BDSG und trägt damit die Verantwortung für die Zulässigkeit der an Convento übertragenen Aufgaben und für die Wahrung der Rechte der Betroffenen.
Der Kunde erteilt oder bestätigt Aufträge und Ergänzungen schriftlich. Das gilt auch für – gemeinsam abzustimmende – Änderungen der Inhalte, Verfahren, des Umfanges und anderer Vertragsbestandteile. Wenn der Kunde Weisungen mündlich erteilt, bestätigt er sie umgehend schriftlich.
Der Kunde beauftragt Convento umgehend zur Sperrung eines Zugriffs, sobald dieser für einen Anwender nicht mehr zur Verfügung stehen soll.
Stellt der Kunde bei der Auftragsdurchführung oder den Auftragsergebnissen Fehler von Convento oder Ähnliches fest, so benachrichtigt er Convento unverzüglich.
Der Kunde benennt einen verantwortlichen Ansprechpartner, der Weisungen erteilen und Entscheidungen für alle Belange des Auftrags treffen oder zeitnah herbeiführen kann. Dieser Ansprechpartner sorgt dafür, dass die Convento Anwender beim Kunden diese Erklärung kennen und einhalten. Jeder Anwender erhält persönliche Zugangsdaten (Usernamen und Passwort) sowohl für die Einwahl ins Convento-System als auch für die anschließende Anmeldung in Convento. Änderungen einzelner Anwender an den Convento-Daten sind somit nachvollziehbar.
Der Administrator des Kunden legt fest, wer Verteiler und/oder Aussendungen anlegen oder löschen darf, Wahlweise nimmt er selbst diese Änderungen vor, oder er beauftragt uns mit der Umsetzung.
Wichtig im Zusammenhang mit dem Serienversand über das Convento Portal:
Der Versand über das Convento Portal wird nur ausgewählten Anwendern ermöglicht. Diese Anwender werden über die beim Versand entstehenden Kosten informiert.
Pflichten der Convento GmbH
Convento sichert innerhalb der auftragsgemäßen Verarbeitung personenbezogener Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu.
Convento verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Kunden, und verwendet die überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Kunden nicht erstellt.
Convento behandelt die Daten gemäß den deutschen gesetzlichen Bestimmungen und im Einklang mit den Bestimmungen des Bundesdatenschutzgesetzes (BDSG), des Telemediengesetzes (TMG), des Telekommunikationsgesetzes (TKG) sowie ggf. weiterer Vorschriften des Datenschutzes.
Auf Wunsch stellt Convento dem Kunden die Angaben nach §4g Abs. 2 Satz 1 BDSG (Übersicht meldepflichtiger Verfahren nach §4e und zugriffsberechtigte Personen) zur Verfügung.
Um personenbezogene Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder den Zugriff durch unberechtigte Personen bestmöglich zu schützen, setzt Convento technische und organisatorische Sicherheitsmaßnahmen ein. Gemäß der technischen Entwicklung verbessern wir diese Maßnahmen kontinuierlich.
Alle Mitarbeiter, Lieferanten und Partner der Convento GmbH sind nach §5 BDSG auf das Datengeheimnis verpflichtet. Sollte das Eigentum des Kunden bei Convento durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so wird Convento den Kunden unverzüglich verständigen.
Rechte des Kunden
Convento gewährt dem Kunden oder einem von ihm benannten Prüfer im Rahmen der Auftragskontrolle gemäß Ziff. 6 der Anlage nach § 9 bei Bedarf ungehinderten Zugang zu ihren Geschäfts-räumen. Wir ermöglichen dieser Person
- die Einsichtnahme in die für den Kunden oder im Zusammenhang mit dem Auftrag gespeicherten Daten.
- die Überprüfung der verwendeten Programmabläufe.
- sich dabei auch von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.
Hierzu bieten wir den Prüfern einen Zugang an, der dem Zugang des betreffenden Kunden entspricht.
Falls der Kunde ausnahmsweise die Verarbeitung von Daten in Privatwohnungen gestattet, stellt Convento sicher, dass die vorgenannten Kontrollen auch in diesen Wohnungen durchgeführt werden können. Convento sichert zu, dass das Einverständnis aller Bewohner dieser Privatwohnungen mit dieser Regelung vorliegt.
Rechte Betroffener
Personen, deren Daten Convento auf ihren Systemen speichert, gleich ob sie durch unsere Kunden oder von uns erhoben wurden, sind berechtigt, auf Antrag und unentgeltlich, Auskunft über die sie betreffenden gespeicherten Daten zu erhalten.
Die betroffenen Personenkreise sind im Auftrag, der Leistungsvereinbarung, dem Betreuungsvertrag jeweils konkret bestimmt, zum Beispiel:
- Kunden
- Interessenten
- Beschäftigte i. S. d. § 3 Abs. 11 BDSG
- Abonnenten
- Lieferanten
- Handelsvertreter
- Ansprechpartner
- Aktionäre
- Journalisten
Sie als betroffene Person haben das Recht auf Berichtigung, Löschung oder Sperrung unrichtiger Daten. Sofern uns Ihre Daten von unserem Kunden übergeben wurden, leiten wir Ihr Ersuchen diesen zur Umsetzung unverzüglich weiter. Alternativ kann der Kunde Convento schriftlich sein Einverständnis zur entsprechenden Bearbeitung erteilen.
Rechte der Convento GmbH
Erteilt der Kunde im Rahmen seines Auftrages an Convento Weisungen, die möglicherweise gegen das Datenschutzrecht verstoßen, so wird Convento den Kunden darauf hinweisen und kann die Durchführung der Weisung bis zur Klärung aussetzen.
Falls der Kunde die Einhaltung von Maßnahmen zu Datenschutz und/oder Datensicherung – selbst oder durch Dritte – kontrolliert, so ist die Convento GmbH berechtigt, dabei etwa entstehenden Mehraufwand zu den bei Convento üblichen Stundensätzen je angefangene Stunde in Rechnung zu stellen. Prüfungen mittels User-Account sind selbstverständlich kostenlos.
Technisch-organisatorische Maßnahmen zum Datenschutz
Convento hat geeignete Maßnahmen gemäß § 9 Satz 1 BDSG und Anlage getroffen. Zusätzlich wacht der Datenschutzbeauftragte (siehe unten) über die einzuhaltenden Pflichten nach dem BDSG und anderen gesetzlichen Datenschutzvorschriften.
Convento sorgt dafür, dass die Maßnahmen gemäß der Anlage zu § 9 Satz 1 BDSG im laufenden Betrieb eingehalten und dokumentiert und auf Wunsch dem Kunden verfügbar gemacht werden. Das gilt auch für die mit dem Kunden vereinbarten Maßnahmen für den Austausch, die Bereitstellung, die Verarbeitung, die Haltung, die Ausgabe und den Versand der Daten.
Zum Nachweis der getroffenen technischen und organisatorischen Maßnahmen stellt Convento dem Kunden alle vorhandenen, geeigneten Unterlagen, Protokolle und Berichte – auch unabhängiger Instanzen – zur Verfügung.
Convento behält sich vor, dem technischen und organisatorischen Fortschritt entsprechende Maßnahmen einzusetzen, die mindestens die gleichen Anforderungen an Datenschutz und -Sicherheit erfüllen wie die in der Anlage genannten.
Anlage zu technischen / organisatorischen Maßnahmen gem. §9 Satz1 BDSG
- Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt. Die Zutrittskontrolle erfolgt über die protokollierte Schlüsselausgabe zu der vorhandenen Sicherheitsschließanlage nur an zutrittsberechtigte Personen.
- Die Zugangskontrolle zu den Datenbeständen erfolgt per Username und Passwort via Active Directory oder SQL-User- Authentifizierung. Ein Passwort muss mindestens 8 Zeichen lang sein und 1 Sonderzeichen sowie 1 Ziffer enthalten.
- Die Zugriffskontrolle erfolgt ebenfalls via Active Directory. Jeder Kunde hat seine eigene SQL-Datenbank, die über die SQL-Server-Rechtevergabe von nur seinem SQL-User und den administrativen SQL-Usern erreichbar ist.
- Die Verbindung vom lokalen Client beim Kunden (Citrix- oder 2X-Client) zur Serverfarm der Convento GmbH ist je nach Kundenauftrag entweder mit einer 128-Bit-Verschlüsselung über das ICA-Protokoll oder über das RDP-Protokoll versehen. Bei fünfmaliger Falscheingabe des Passworts wird der Account für 30 Minuten gesperrt. Nicht erfolgreiche Anmeldeversuche werden außerdem protokolliert. Bei einem externen Zugriff durch Convento Mitarbeiter werden VPN-Clients mit einem gültigen Zertifikat (zeitlich beschränke Gültigkeitsdauer) und dem dazugehörigen Passwort benötigt. Die Verschlüsselungstiefe beträgt hier 1024 Bit.
- Die Weitergabekontrolle wird dadurch sichergestellt, dass unberechtigte Personen keinen Zugang oder Zugriff zu den Kundensystemen bzw. auf die Daten haben. Convento Mitarbeiter und externe Dienstleister sind über §5 BDSG hinaus zu weitergehender Verschwiegenheit verpflichtet. Die Datensicherung erfolgt jeweils auf verschlüsselten Datenträgern. Jeder Kunde hat die Möglichkeit – ohne Mitwirkung und Mitwissen von Convento – die eigenen Daten aus der Convento Datenbank in ein zweidimensionales Daten-Modell zu extrahieren.
- Im Convento-System gibt es- auf Kundenwunsch und zu vereinbartem Entgelt – die Möglichkeit, die Herkunft eines Personen- oder Mediendatensatzes wie auch die erfolgten Änderungen und Löschungen, jeweils mit dem Usernamen zu protokollieren. Diese Protokolle stehen den Convento-Kunden zur Verfügung. Ab Programmversion x6.1 werden Änderungen und Löschungen innerhalb der Datenbank protokolliert und dort angezeigt.
- -Weisungen vom Kunden werden nur schriftlich (ggf. nach vorheriger mündlicher Ankündigung) und von den oben genannten Ansprechpersonen akzeptiert. Bei ggf. auftretenden Unklarheiten wird mit der Ansprechperson Rücksprache gehalten bzw. der Kunden-Mitarbeiter an diese verwiesen.
- Convento bewahrt die täglich gesicherten Daten 4 Wochen, die monatlich gesicherten Daten 3 Monate lang auf. Die Datensicherung erfolgt unabhängig voneinander jeweils an den 2 Standorten unserer Datenbestände.
- Die Verfügbarkeit wird in naher Zukunft durch eine zusätzliche Redundanz im Bereich des SQL-Servers erhöht. Ein redundantes Backupsystem mit Convento Light an einem zweiten Standort ist parallel dazu in Planung.
- Die Trennung der Daten erfolgt auf dem SQL-Server jeweils durch separate Datenbanken sowie die Regelung der Zugriffsberechtigung über den SQL-User. Auf den ASP-Servern wird die Trennung der Daten über das Active Directory gewährleistet. Die Daten jedes Kunden sind von denen anderer Kunden und sonstiger Anwender daher streng getrennt.
Weitere Einzelheiten zu den verwendeten Techniken sind in unserer FAQ Liste „Convento und Ihre Daten“ enthalten.
Eine genau festgelegte Nachrichten-Kette sorgt bei Kontrollhandlungen, Maßnahmen und Ermittlungen nach den § 38, 43, 44 BDSG für unverzügliche Information des Kunden.
Ebenso informiert Convento den Kunden unverzüglich bei etwaigen Verstößen gegen Vorschriften zum Schutz personenbezogener Daten des Kunden ( z. B. nach § 42a BDSG) oder gegen die im Auftrag getroffenen Festlegungen durch ihn selbst oder die bei ihm beschäftigten Personen, ebenso wie bei gravierenden Störungen des Betriebsablaufes. Dies gilt auch schon bei einem bloßen Verdacht auf solche Vorkommnisse.
Convento erstattet in folgenden Fällen dem Kunden unabhängig vom Grund unverzüglich Mitteilung, auch schon im Verdachtsfall:
- bei schwerwiegenden Störungen des Betriebsablaufs
- bei bedeutsamen Unregelmäßigkeiten im Umgang mit personenbezogenen Daten des Kunden
- wenn in § 42a BDSG genannte Daten bei Convento abhandenkommen sind
- wenn solche Daten unrechtmäßig übermittelt worden sind
- wenn Dritte möglicherweise unrechtmäßig von diesen Daten Kenntnis erlangt haben.
Convento ergreift in Abstimmung mit dem Kunden angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene. Soweit Pflichten nach § 42a BDSG den Kunden treffen, wird Convento ihn bei deren Erfüllung unterstützen.
Convento überprüft regelmäßig alle Kundenaufträge im Rahmen der Auftragskontrolle auf Ausführung und Erfüllung. Die Regelungen und Maßnahmen der Auftragsdurchführung werden dabei auf Einhaltung kontrolliert und ggf. angepasst.
Art der Daten, Datenträger
Die Art der Daten wird im Rahmen des Auftrages, der Leistungsvereinbarung oder des Betreuungsvertrages im Einzelnen bestimmt. Es handelt sich zum Beispiel um:
- Personenstammdaten
- Kommunikationsdaten (z.B. Telefon, E-Mail)
- Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
- Kundenhistorie
- Vertragsabrechnungs- und Zahlungsdaten
- Planungs- und Steuerungsdaten
- Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Convento kennzeichnet Datenträger, die vom Kunden stammen bzw. für den Kunden genutzt werden, besonders. Eingang bzw. Ausgang werden dokumentiert. Externe Datenträger der Datensicherung sind ebenfalls verschlüsselt, um im Falle des Transportes zwischen verschiedenen Standorten die Sicherheit zu gewährleisten.
Der Umgang mit ausgedienten Datenträgern ist über das für alle Mitarbeiter geltende interne Datensicherungskonzept geregelt. Die Datenträger sind in jedem Fall der IT-Abteilung zu übergeben. Optische Datenträger werden geschreddert und defekte Festplatten und USB-Sticks bis zur datenschutzkonformen Vernichtung unter Verschluss zwischengelagert.
Räumliche Geltung
Die Verarbeitung und der Einsatz der Kundendaten erfolgt ausschließlich im Gebiet der Bundesrepublik Deutschland. Auf Kundenwunsch kann sie nach Maßgabe der §§ 4b und 4c BDSG in solchen Gebieten erfolgen, bei denen die Datenschutzvorschriften den in Deutschland geltenden mindestens gleichwertig sind. Derzeit kommt dafür der Europäische Wirtschaftsraum und die Schweiz in Betracht.
Haftung
Convento haftet, soweit nicht in der Auftragsvereinbarung Spezifisches bestimmt ist, dem Kunden für Schäden, die sie, ihre Mitarbeiter bzw. die von ihr mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen, für nachgewiesene Schäden bis zu einer Höhe von 5.000 Euro je Fall.
Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Kunde gegenüber den Betroffenen verantwortlich. Soweit der Kunde zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff auf Convento vorbehalten.
Abschluss des Auftrages
Mit dem Ende des Auftragsverhältnisses gibt Convento alle in ihrem Besitz befindlichen Unterlagen des Kunden und mit dem Auftrag in Zusammenhang stehenden Dateien, Datenträger und Dokumente an den Kunden zurück oder entsorgt sie mit seinem Einverständnis datenschutzgerecht.
Mit der Rückgabe konvertiert Convento die Kundendaten auf dessen Wunsch aus einer SQL- oder Access-Datenbank in ein anderes Format.
Convento bewahrt die zur Datenverarbeitung überlassenen Daten nicht länger auf, als es das Gesetz oder der Kunde bestimmt. Nicht mehr benötigte Unterlagen mit personenbezogenen Daten werden erst nach Weisung durch den Kunden datenschutzgerecht vernichtet.
Anfallendes Test- und Ausschussmaterial wird bei Convento unter Verschluss gehalten, bis es entweder durch Convento datenschutzgerecht gelöscht oder dem Kunden übergeben wird. Die Vernichtung von Unterlagen des Kunden durch Convento und die Übergabe von Dokumenten an den Kunden werden dokumentiert.
Daten für buchhalterische und abrechnungstechnische Zwecke kann Convento auch nach Ende der Vertragsbeziehung oder nach Löschung der Personen-Daten weiter speichern und nutzen.
Der Kunde kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn seitens Convento ein schwerwiegender Verstoß gegen die datenschutzrechtlichen Bestimmungen oder den zugrundeliegenden Vertrag vorliegt, Convento eine Weisung des Kunden nicht ausführen kann oder will oder dem Kunden den Zutritt vertragswidrig verweigert.
Einsatz von Cookies
Convento setzt “Cookies” ein. Sie helfen dabei, den Nutzungskomfort für den Kunden zu erhöhen. Zum Beispiel speichern Cookies die Log-In Daten der Besucher von Webseiten, damit diese sich nicht bei jedem Log-In neu anmelden müssen. Die meisten Browser sind so eingestellt, dass sie Cookies automatisch akzeptieren. Anwender können das Speichern von Cookies jedoch deaktivieren oder den Browser so einstellen, dass er sie benachrichtigt, sobald er Cookies empfangen soll. Eine Nutzung unserer Angebote ist auch ohne Cookies möglich.
Tracking der Website
Convento verwendet eine Tracking Software auf Basis von Cookies, um die Besuchshäufigkeit und die Anzahl der Besucher ihrer Webseiten zu ermitteln. Mit dieser Software können wir firmenbezogene, jedoch keine personbezogenen Informationen erfassen, die Rückschlüsse auf die Identität der Nutzer zulassen. Convento kann seriösen Drittfirmen Statistiken über das Kundenverhalten zur Nutzung der Webseiten zu Verfügung stellen. Diese Statistiken enthalten keinerlei Informationen, die Rückschlüsse auf die Identität der Kunden-Firma zulassen.
Weitergabe personenbezogener Informationen an Dritte, Unteraufträge
- Convento nutzt die Daten, die es von seinen Kunden erhält, grundsätzlich nicht, sondern stellt sie nur für den jeweiligen Kunden auf seiner Serverfarm zur Verfügung, oder integriert die Daten in die Kunden-Datenbank, wo sie dann dem Kunden exklusiv zur Verfügung stehen.
- Soweit Convento Teile der erhaltenen Aufträge – nach Genehmigung durch den Kunden – an Subunternehmer vergibt, stellt sie sicher, dass dort die gleichen Anforderungen an den Datenschutz und die Datensicherheit gewährleistet sind, wie bei ihr selbst. Dem Kunden werden dabei gegenüber dem Subunternehmen die gleichen Prüfungs- und Kontrollrechte eingeräumt, wie sie gegenüber Convento bestehen.
- Die üblichen allgemeinen Zulieferdienste (z. B. Telekommunikation, Wartung, Support, Reinigung) fallen nicht unter diese Regelung. Convento hat jedoch mit derartigen Partnern generell entsprechende Vereinbarungen zu Datenschutz und –Sicherheit abgeschlossen.
- Erhebungen oder Übermittlungen persönlicher Daten an staatliche Einrichtungen und Behörden erfolgen nur im Rahmen gültiger Rechtsvorschriften.
- Möglicherweise durch den US-Patriots-Act zugreifbare Speichermöglichkeiten und/oder Dienstleister werden von Convento nicht genutzt
Ihre Zustimmung
Mit der Benutzung der Convento Website stimmen Sie zu, dass Convento im oben beschriebenen Umfang Informationen sammelt und entsprechend verwendet. Die schnelle Entwicklung des Internet macht von Zeit zu Zeit Anpassungen in unserer Datenschutzerklärung erforderlich. Als Kunde werden Sie per E-Mail bei Änderungen benachrichtigt und an dieser Stelle über die Neuerungen informiert. Bei Fragen, Wünschen oder Kommentaren zum Thema Datenschutz wenden Sie sich bitte per E-Mail an datenschutz@convento.de.
Links zu anderen Websites
Unser Online-Angebot enthält möglicherweise Links zu anderen Websites. Diese Datenschutzerklärung erstreckt sich nicht auf andere Anbieter. Wir haben keinen Einfluss auf die dort angebotenen Inhalte und darauf, dass deren Betreiber die Datenschutz- oder andere gesetzliche Bestimmungen einhalten. Daher bezieht sich unsere Verantwortung ausschließlich auf die Website und das Angebot der Convento GmbH.