DSGVO-Konformität

Haftungsausschluss: Die nachfolgenden Informationen stellen keine Rechtsberatung dar, und wir übernehmen keinerlei rechtliche Haftung. Wir haben selbst rechtlichen Beistand in Anspruch genommen, und diese Seite gibt unsere eigene Auslegung der Rechtslage wieder. Wenn Sie Bedenken hinsichtlich der DSGVO-Konformität haben, leiten Sie diese Seite bitte an Ihr rechtliches Fachpersonal weiter.
Die DSGVO, die Datenschutz-Grundverordnung (EU) 2016/679, ist eine Verordnung der Europäischen Union, die weltweit für Aufsehen gesorgt hat. Sie erinnern sich wahrscheinlich noch daran, wie sie erstmals in Kraft trat und in der Geschäftswelt große Unsicherheit hinsichtlich der Einhaltung herrschte. Manche halten sie für ein übergriffiges Gesetz, während andere sehr dankbar waren, dass der Gesetzgeber Maßnahmen zum Schutz der digitalen Privatsphäre ergriffen hat.

Wir beschäftigen uns mit der DSGVO (und deren Einhaltung), seit wir unser Unternehmen gegründet haben. Und ja, es erfordert einiges an Aufwand, alles korrekt umzusetzen – aber es ist eine ausgesprochen faire Gesetzgebung. Wenn man sich näher damit befasst, erkennt man schnell, dass die Gesetzgeber bewusst Spielraum für Unternehmen gelassen haben, während gleichzeitig der digitale Datenschutz der betroffenen Personen im Mittelpunkt steht.

Ist bchic analytics DSGVO Konform?

Unsere DSGVO-Konformität ist aus zwei Perspektiven relevant:

  • Wenn wir personenbezogene Daten für eigene Zwecke verarbeiten, also als Verantwortlicher (zum Beispiel bei der Verarbeitung von Daten unserer Kunden, Mitarbeiter usw.).
  • Wenn wir personenbezogene Daten von Website-Besuchern unserer Kunden verarbeiten und somit als Auftragsverarbeiter handeln.

Die folgenden Informationen konzentrieren sich darauf, wie bchic im letztgenannten Fall – also als Auftragsverarbeiter – DSGVO-konform agiert.

So stellen wir die DSGVO-Konformität sicher:

  • Wir orientieren uns an der Grundintention der DSGVO. Das zentrale Ziel der Verordnung ist der Schutz der Privatsphäre und personenbezogenen Daten von Menschen in der EU. Bei allem, was wir tun, fragen wir uns, ob dadurch ein Risiko für die Website-Besucher unserer Kunden entstehen könnte.
  • Wir sind überzeugt vom Prinzip der Datenminimierung. Weniger Daten zu erfassen ist einer der effektivsten Wege, um Risiken für betroffene Personen zu reduzieren.
  • Für jede von uns durchgeführte Datenverarbeitung liegt eine rechtmäßige Grundlage vor. Außerdem führen wir Datenschutz-Folgenabschätzungen durch, wann immer eine bedeutende Änderung ansteht (z. B. als wir nach einem DDoS-Angriff stark anonymisierte IP-Zugriffsprotokolle aktivieren mussten).
  • Wir empfehlen unseren Kunden die Durchführung einer Interessenabwägung (Legitimate Interest Assessment), die sich auf Basis der auf unserer Website bereitgestellten Informationen unkompliziert erstellen lässt.
  • Wir stellen unseren Kunden einen Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 Abs. 3 DSGVO zur Verfügung.

Unsere Rolle als Auftragsverarbeiter

Gemäß der DSGVO sind Sie als unser Kunde der Verantwortliche für die Verarbeitung personenbezogener Daten auf Ihrer Website. Bezüglich der personenbezogenen Daten, die im Rahmen Ihrer Nutzung von bchic analytics verarbeitet werden, sind wir der Auftragsverarbeiter – das bedeutet, wir verarbeiten diese Daten ausschließlich in Ihrem Auftrag.

Als Auftragsverarbeiter unterliegen wir verschiedenen Anforderungen der DSGVO, unter anderem:

  • Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit Ihnen als Verantwortlichem, der unter anderem auch Prüf- und Inspektionsrechte vorsieht (Artikel 28 Abs. 3). Weitere Informationen dazu finden Sie weiter unten.
  • Sicherstellung der Vertraulichkeit und Weisungsgebundenheit aller Personen, die unter unserer Verantwortung Daten verarbeiten (Artikel 29, Artikel 28, Artikel 32 Abs. 4).
  • Führen von Verzeichnissen über alle Verarbeitungstätigkeiten, die wir in Ihrem Auftrag durchführen (Artikel 30 Abs. 2).
  • Zusammenarbeit mit Aufsichtsbehörden (Artikel 31).
  • Risikobewertung und Umsetzung technischer und organisatorischer Maßnahmen, um ein angemessenes Sicherheitsniveau zu gewährleisten (Artikel 32).
  • Unverzügliche Benachrichtigung bei einer Verletzung des Schutzes personenbezogener Daten (Artikel 33).

Personenbezogene Daten, die wir verarbeiten (als Auftragsverarbeiter)

Detaillierte Informationen hierzu finden Sie auf unserer Seite zur Datenverarbeitung. Kurz zusammengefasst gilt:

  • Wir verarbeiten in Ihrem Auftrag personenbezogene Daten, konkret IP-Adressen und User-Agent-Daten, solange Sie unser Kunde sind. Nach Beendigung der Geschäftsbeziehung werden diese Daten vollständig gelöscht.
  • Pseudonymisierte Daten bewahren wir ca. 48 Stunden lang auf. Danach werden die sogenannten Hash Salts (eine genauere Erklärung finden Sie bei uns) aus unserem System entfernt. Ab diesem Zeitpunkt gibt es faktisch keine Möglichkeit mehr, die Daten per Brute-Force-Angriff wiederherzustellen.
  • Die eingesetzten Hashes basieren auf dem SHA256-Algorithmus. Ein erfolgreicher Brute-Force-Angriff auf diese Hashes würde laut Berechnungen etwa 10⁴⁴-fache des weltweiten Bruttoinlandsprodukts (GWP) erfordern – zum Vergleich: Das GWP im Jahr 2019 betrug ca. 88,08 Billionen US-Dollar. Obwohl die Daten ursprünglich pseudonymisiert sind, ist nach Entfernung der Hash Salts eine Rückrechnung praktisch ausgeschlossen, da die Anzahl möglicher Kombinationen schlicht zu groß ist.

Der Auftragsverarbeitungsvertrag (AVV) einschließlich Audits/Überprüfungen

Der Auftragsverarbeitungsvertrag (AVV) ist das zentrale Dokument, das unsere Verarbeitung personenbezogener Daten in Ihrem Auftrag regelt. Sie finden ihn hier: [bchic analytics Auftragsverarbeitungsvertrag] (Link bitte entsprechend einfügen).

Der AVV ist bereits Bestandteil unseres Vertragsverhältnisses, sobald Sie Kunde werden – Sie müssen keine unterschriebene Version anfordern, damit der Vertrag gültig ist (wenn Sie dennoch eine unterschriebene Version wünschen, folgen Sie einfach den Anweisungen auf der verlinkten Seite!).

Ihre Pflichten als Verantwortlicher

Als Verantwortlicher sind Sie nicht nur verpflichtet, einen verbindlichen Vertrag mit allen Auftragsverarbeitern abzuschließen – Sie müssen diese auch regelmäßig überprüfen (auditieren). Die DSGVO schreibt nicht exakt vor, wie diese Audits auszusehen haben, aber zum Glück gibt es dafür praktische Leitlinien von Datenschutzbehörden.