Legal & Compliance
Der Datenschutz ist bei Bilendo von Beginn an eine wichtige Komponente sowohl bei der Entwicklung der Software als auch bei der damit einhergehenden Speicherung und Verarbeitung von Daten. Im Rahmen der DS-GVO wollen wir zum einen die neue Verordnung vorstellen und zum anderen zeigen, wie der Datenschutz im Unternehmen und in der Software implementiert und umgesetzt wird.
Was ist die DS-GVO?
Die Datenschutz-Grundverordnung, kurz DS-GVO, ist eine neue EU-Grundverordnung, die im Jahr 2016 vom europäischen Parlament verabschiedet wurde. Die Implementierung hat eine Übergangsfrist von zwei Jahren und tritt in Deutschland am 25. Mai 2018 in Kraft. Hiermit wird die aus dem Jahr 1995 stammende EU-Datenschutzrichtlinie ersetzt. Ziel der DS-GVO ist der verbesserte Schutz von personenbezogenen Daten aller Bürger/innen in der Europäischen Union. Damit geht einher, dass Unternehmen und öffentliche Stellen an deutlich strengere Regelungen gebunden sind, wenn diese personenbezogene Daten erfassen und verarbeiten. Mit der DS-GVO wurde die ursprüngliche EU-Datenschutzrichtlinie hinsichtlich Datensicherheit und -schutz weiterentwickelt und verbessert. Mit der Grundverordnung sollen zum einen die Sanktionen gegenüber Unternehmen bei einer Rechtsverletzung erhöht und zum anderen die Rechte von betroffenen Personen weiter gestärkt werden.
Für wen gilt die DS-GVO?
Die DS-GVO gilt mit dem 25. Mai in allen EU-Mitgliedstaaten und für alle Unternehmen mit europäischen Sitz. Mit dem Stichtag verlieren alle nationalen Datenschutzrichtlinien an Wirksamkeit. Hatte die EU-Datenschutzrichtlinien von 1995 lediglich einen Geltungsbereich innerhalb der Europäischen Union und für die dort ansässigen Unternehmen, ist die DS-GVO deutlich weiter gefasst. Diese gilt gleichermaßen für Unternehmen mit Sitz in Drittländern, die Daten von EU-Bürgern speichern und verarbeiten.
Zusammenfassend bedeutet dies, dass die DS-GVO als eine EU-Grundverordnung einerseits einen einheitlichen Rechtsrahmen für alle EU-Mitglieder schafft und andererseits die Datenhoheit der Bürger/innen in der Europäischen Union stärkt, insbesondere gegenüber Unternehmen mit Sitz außerhalb der EU.
Die kompletten rechtlichen Vorschriften der neuen Datenschutz-Grundverordnung können Sie hier nachlesen.
Rechtlicher Hinweis
Unsere Website dient weder als Standardwerk über die europäische Datenschutz-Grundverordnung noch als rechtliche Beratung für andere Unternehmen. Ferner soll die Seite nicht als Leitfaden für rechtskonforme Einhaltung der DS-GVO gelten. Vielmehr geht es um die Bereitstellung und Zusammenfassung aller relevanter Informationen, damit jeder nachvollziehen kann, wie Bilendo die gesetzlichen Änderungen im Bezug auf die Datensicherheit und -schutz intern handhabt.
Diese rechtlichen Informationen sind auf keinen Fall mit einer rechtlichen Beratung durch einen Rechtsanwalt zu verwechseln! Wir weisen Sie deshalb ausdrücklich darauf hin, dass Sie bei Beratungsbedarf über die hier bereitgestellten Informationen sowie über deren Richtigkeit und Vollständigkeit einen Rechtsanwalt hinzuziehen müssen.
Sie dürfen sich demnach auf dieses Dokument weder als Rechtsberatung stützen noch als Empfehlung für eine bestimmte Auslegung geltenden Rechts.
Die wichtigsten Änderungen durch die DS-GVO
Rechte von Personen
Einer der wichtigsten Punkte in der DS-GVO ist die Verarbeitung und Speicherung von personenbezogenen Daten von Unternehmen und öffentlichen Stellen. Unter personenbezogenen Daten versteht man im weitesten Sinne alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
Eine identifizierbare Person ist gemäß Art. 4 Abs. 1 DSGVO “eine natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind”.
Einwilligung zur Verarbeitung von personenbezogenen Daten
Die DS-GVO verschärft weiter die Bedingungen für die wirksame Einwilligung der Betroffenen. Die rechtliche Grundlage zur Einwilligung findet sich in Art. 4 Abs. 11 DSGVO wieder. Dort heißt es, dass “der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist”. Die formale Anforderung wird in Art. 7 DSGVO geregelt. Die Einwilligungserklärung muss dabei in möglichst klarer und einfacher Sprache formuliert sein und den Zweck der Verarbeitung und Speicherung deutlich beschreiben. Darüber hinaus ist die Einwilligung gesondert von anderen Inhalten darzustellen. Dies impliziert, dass das “Verstecken” der Einwilligung in den AGB oder in der Datenschutzerklärung nicht den Vorschriften der DS-GVO entspricht.
Zusätzlich muss die Einwilligung folgenden Grundsätzen entsprechen:
Freiwilligkeit
Es bedarf der eindeutigen und freiwilligen Einwilligung in die Verarbeitung der Daten für einen oder mehrere festgelegte Zwecke. Eine detaillierte Auslegung der Freiwilligkeit finden Sie im Erwägungsgrund 43.
Informiertheit
Unter Informiertheit versteht man die unzweifelhafte Belehrung der betroffenen Person darüber, welche Daten erhoben werden und für welchen Zweck und von wem diese Daten gespeichert und verarbeitet werden.
Eindeutigkeit
Das Einverständnis in die Datenverarbeitung darf dabei nicht mehr auf der passiven Opt-Out-Lösung beruhen, sondern wird durch die aktive und eindeutige Opt-In-Lösung ersetzt. Näheres können Sie im Erwägungsgrund 42 lesen.
Kopplungsverbot
Mit der DS-GVO wird ein klares und deutliches Kopplungsverbot eingeführt. Dies findet sich in Art. 7 Abs. 4 DSGVO und weist darauf hin, dass die Leistungserbringung jeglicher Art nicht von der Einwilligung zur Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten abhängig sein darf, wenn diese Daten für den eigentlichen Zweck der Leistung nicht benötigt werden.
Form
Damit eine Einwilligung in der Form gültig ist, muss diese schriftlich, elektronisch oder mündlich abgegeben werden. Die Einwilligung muss dabei unmissverständlich als Willenserklärung erkennbar sein, indem es eine eindeutige Handlung oder Erklärung ist. Die Nachweispflicht liegt hierbei beim Datenverarbeiter nach Art. 5 DSGVO.
Hinweis auf Widerrufsrecht
Neben der Freiwilligkeit, Informiertheit, Eindeutigkeit, dem Kopplungsverbot und der richtigen Form muss jede Einwilligung einen Hinweis auf das Widerrufsrecht beinhalten.
Wenn die oben genannten Punkte eindeutig und zweifelsfrei vorliegen, liegt dem Datenverarbeiter die Einwilligung zur Erhebung, Verarbeitung und Speicherung der personenbezogenen Daten vor. Hierbei darf nicht vergessen werden, dass diese Daten aufgrund des Koppelungsverbot immer zweckgebunden an die gegebene Einwilligung sind.
Im Moment der wirksamen Einwilligungserklärung für die Verarbeitung von personenbezogenen Daten muss das Unternehmen seinen Informationspflichten gegenüber den betroffenen Personen nachkommen.
Informationspflicht der Unternehmen
Mit der DS-GVO müssen Unternehmen umfangreichen Informationspflichten gemäß Art. 13 und 14 DSGVO gegenüber betroffenen Personen nachkommen:
Zum Zeitpunkt der Erhebung müssen die oben genannten Informationen verständlich, transparent, präzise und klar für die betroffenen Personen bereitgestellt werden. Gemäß Art. 12 DSGVO sollte dies in schriftlicher oder elektronischer Form geschehen.
Bilendo stellt in diesem Rahmen eine ausführliche Datenschutzerklärung bereit und kommt damit der Informationspflicht nach. Die oben genannten Punkte können ausführlich in der Datenschutzerklärung nachgelesen werden. Bei Fragen stehen wir Ihnen jederzeit zur Verfügung unter datenschutz@bilendo.de.
Rechte der betroffenen Personen
Neben den strengeren Vorgaben bei der rechtskonformen Einwilligung wurde mit der Einführung der DS-GVO insbesondere die Betroffenenrechte gestärkt. Hierunter fällt das Recht auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung, Unterrichtung, Datenübertragbarkeit, Widerspruch, Widerruf der datenschutzrechtlichen Einwilligungserklärung sowie auf das Recht der Beschwerde bei der Aufsichtsbehörde. Nachfolgend wird auf die wichtigsten Punkte eingegangen
.Auskunftsrecht der betroffenen Personen
Werden zukünftig von Unternehmungen oder öffentlichen Stellen personenbezogene Daten verarbeitet, hat der Betroffene das Recht auf Auskunft über folgende Informationen (nach Art. 15 DSGVO):
Recht auf Berichtigung und Löschung
Der Betroffene hat das Recht, bei falschen oder unvollständigen Daten unverzüglich eine Berichtigung zu verlangen gemäß Art. 16 DSGVO. Darüber hinaus hat der Betroffene das Recht nach Art. 17 DSGVO des Vergessenwerdens. Dieser kann die sofortige Löschung der personenbezogenen Daten beim Verantwortlichen verlangen, wenn einer der nachfolgenden Punkte gegeben ist:
Betroffene Personen haben einen zusätzlichen Informationsanspruch gemäß Art. 19 DSGVO, wenn Änderungen an den personenbezogene Daten vorgenommen wurde. Im Detail bedeutet dies, dass die betroffene Person informiert werden muss, wenn die personenbezogenen Daten einer Berichtigung (Art. 16 DSGVO) seitens des Datenverarbeiters unterzogen wurde, eine Löschung (Art. 17 DSGVO) vorgenommen wurde oder die Verarbeitung der Daten im Sinne des Art. 18 DSGVO eingeschränkt wurde. Weiterführende Informationen finden Sie in unserer Datenschutzerklärung.
Interne Verfahren
Die DS-GVO setzt neben der Stärkung der Rechte von Betroffenen gleichermaßen auf die rechtliche Regulierung von technischen und technologischen Maßnahmen. Als FinTech-Unternehmen spielt insbesondere der Datenschutz durch Technik eine besondere Rolle.
Datenschutz durch Technik
Die IT-Sicherheit hat in der DS-GVO im Vergleich zum BDSG erheblich an Bedeutung gewonnen. Entsprechend gibt es eine Vielzahl an neuen Regelungen, die den Schutz der Daten durch IT-Sicherheit vorschreiben. Es muss gewährleistet werden, dass sowohl zum Zeitpunkt der Planung als auch bei der Durchführung der Verarbeitung von personenbezogenen Daten geeignete technische und organisatorische Maßnahmen getroffen wurden.
Die Grundlage der technischen und organisatorischen Maßnahmen findet sich in Art. 5 Abs. 1 lit. f DSGVO wieder und wird in Art. 32 DSGVO konkretisiert. Zusätzlich werden in Art. 25 DSGVO die Prinzipien für den Datenschutz durch die Technikgestaltung und durch die datenschutzfreundliche Voreinstellungen festgelegt. Dies bedeutet, dass einerseits der Datenschutz durch Technik (“Data Protection by Design”) gewährleistet und andererseits sämtliche Voreinstellungen als datenschutzfreundlicher Standard (“Data Protection by Default”) vorkonfiguriert sein muss
.Data Protection by Design
Unter Data Protection by Design versteht man auch den “Datenschutz durch Technikgestaltung”. Im Art. 25 Abs. 1 DSGVO wird verankert, dass technische Maßnahmen zum Datenschutz und zur Datensicherheit schon während der Entwicklungsphase von IT-Systemen und den dort stattfindenden Datenverarbeitungsprozessen einfließen müssen. Technische Datenverarbeitung soll demnach per se datenschutzfreundlich sein. Hierunter versteht man beispielsweise die Möglichkeit der Aktivierung und Deaktivierung von Funktionalitäten oder Modulen, die Anonymisierung und Pseudonymisierung von personenbezogenen Daten, die Authentisierung und Authentifizierung sowie die umfassende Verschlüsselung aller erhobenen Daten.
Data Protection by Default
Der rechtliche Rahmen für die “datenschutzfreundlichen Voreinstellungen” findet sich in Art. 25 Abs. 2 DSGVO und schreibt vor, dass jegliche Datenverarbeitung innerhalb von IT-Systemen darauf abzielen muss, möglichst wenige personenbezogene Daten zu erheben, zu speichern und zu verarbeiten. Dies bedeutet, dass die Einstellungen im Sinne des Datenschutzes vorkonfiguriert sein müssen und ausschließlich das erforderliche Maß an Daten erhoben wird, das für den Leistungszweck benötigt wird. Dies entspricht den Grundsätzen der Datenvermeidung und -sparsamkeit. Ziel ist es, Nutzer vor datenschutzunfreundlichen Einstellungen zu schützen.
Technische und organisatorische Maßnahmen
Die Anforderungen der Integrität und Vertraulichkeit bei der Verarbeitung von personenbezogenen Daten finden sich in Art. 5 Abs. 1 lit. f DSGVO. Zur Sicherung dieser Prinzipien werden geeignete technische und organisatorische Maßnahmen gefordert. Dieser Anspruch wird insbesondere durch die Art. 24 und Art. 25 DSGVO sowie Art. 32 DSGVO umgesetzt. Die technischen Maßnahmen beziehen sich dabei auf den kompletten Vorgang der Datenverarbeitung und meinen sämtliche physische Maßnahmen, die zum Schutz der Daten umgesetzt wurden. Hingegen geht es bei den organisatorischen Maßnahmen um die getroffenen Regelungen, die die Rahmenbedingungen der Datenverarbeitung betreffen. Darüber hinaus schreibt Art. 28 Abs. 1 DSGVO vor, dass die Zusammenarbeit und damit die Weitergabe von personenbezogenen Daten nur gestattet ist, wenn der Auftragnehmer dem Auftraggeber technische und organisatorische Maßnahmen vorweisen kann und eine hinreichende Garantie zur Sicherung der Daten vorliegt. In diesem Rahmen stellt Bilendo die technischen und organisatorischen Maßnahmen als Anlage im Vertrag zur Auftragsverarbeitung bereit. Alle notwendigen Dokumente finden Sie in Ihrem Bilendo-Account.
Vertrag zur Auftragsverarbeitung
Mit der DS-GVO wird auch der Auftragsverarbeiter mit in die Verantwortung genommen hinsichtlich der datenschutzkonformen Verarbeitung, Speicherung und Erhebung von personenbezogenen Daten. Bis zum Inkrafttreten der neuen Datenschutz-Grundverordnung lag die rechtlichen Verpflichtung ausschließlich beim Auftraggeber. Um den neuen Bestimmungen gerecht zu werden, muss zukünftig zwischen Auftraggeber und Auftragsverarbeiter ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen werden. Dieser Vertrag ist die Rechtsgrundlage für die Datenverarbeitung.
Folgende Punkte müssen im Vertrag vereinbart sein:
Den Vertrag zur Auftragsverarbeitung sowie alle benötigten Anlagen stellt Bilendo im Benutzer-Account zum Download bereit. Bei Fragen können Sie sich bei Ihrem Bilendo-Ansprechpartner melden und unter datenschutz@bilendo.de.
Gesetzliche Pflichten als Auftragsverarbeiter
Als Auftragsverarbeiter kommt Bilendo allen gesetzlichen Pflichten umfassend nach.
Verzeichnis von Verarbeitungstätigkeiten
Darüber hinaus kommt Bilendo mit der Bereitstellung des Verzeichnisses über die Verarbeitungstätigkeiten (Art. 30 DSGVO) der Dokumentations- und Nachweispflicht gemäß der neuen europäischen Datenschutz-Grundverordnung nach. Alle Verarbeitungs- und Verfahrensverzeichnisse liegen für die Vorlagepflicht der Aufsichtsbehörde gemäß Art. 30 Abs. 4 DSGVO vor.
Aufsichtsbehörde
Darüber hinaus sichert Bilendo umfangreiche Unterstützung und sofortige Zusammenarbeit mit der zuständigen Aufsichtsbehörde gemäß Art. 31 DSGVO zu.
Bestellen eines Datenschutzbeauftragten
Bilendo hat als Auftragsverarbeiter gemäß Art. 37 Abs. 1 DSGVO einen internen und externen Datenschutzbeauftragten benannt:
Wolfgang Steger (Externer Datenschutzbeauftragter)
Sapporobogen 6-8
D-80637 München
Telefon: +49 89 21999 80
Florian Kappert (Interner Datenschutzbeauftragter)
Fürstenfelder Str. 9
D-80331 München
Telefon: +49 89 3441321 00
Sicherheit und Schutz der Daten bei Bilendo
Als Verarbeiter personenbezogener Daten ist sich Bilendo der Verantwortung und besonderen Sicherung der Daten unserer Kunden und derer Kunden bewusst. Alle Daten, die im Rahmen der Leistungserbringung verwaltet und verarbeitet werden, sind ausschließlich in deutschen Rechenzentren gespeichert und unterliegen in der weiteren Erhebung, Speicherung und Verarbeitung den Vorschriften der DS-GVO. Die Daten unserer Kunden sowie derer Kunden liegen in Frankfurt a. M. in einem hochmodernen Rechenzentrum von Amazon Web Services Deutschland (AWS). Dieses Rechenzentrum ist zertifiziert nach:
Darüber hinaus ist jegliche Verbindung zu und von Bilendo nur verschlüsselt möglich. Die SSL-Verschlüsselung sichert dabei sowohl den Aufruf der Webseite, die Anwendung selbst sowie die Transportwege der Daten ab. Gleicher Schutz gilt für die Übermittlung der Daten zwischen Bilendo und Dienstleistern. Neben der SSL-Verschlüsselung sorgt die Cloudflare Protection für zusätzliche Sicherheit der Domain app.bilendo.de. Dadurch wird jeglicher Angriff auf das DNS-System (Domain Name Service) unterbunden.
IT-Infrastruktur
Im Bilendo-IT-Organigramm finden Sie alle Dienstleister, mit denen Bilendo zusammenarbeitet sowie die zugrundeliegende IT-Struktur für die Leistungserbringung. Die Auswahl der Dienstleister unterliegt einer strengen Prüfung hinsichtlich der Datensicherheit und des Datenschutzes. Bilendo hat mit allen Partnern und Dienstleistern gemäß § 28 DSGVO einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen. Die Übersicht aller Unternehmen als genehmigte Subunternehmer im Sinne des § 28 Abs. 4 DSGVO finden Sie als Anlage im Vertrag zur Datenverarbeitung. Der Vertrag kann im Bilendo-Account heruntergeladen werden.
Weitere Informationen finden Sie in unserer Datenschutzerklärung. Zusätzlich bieten wir Ihnen Informationen zum Thema Datenschutzhinweise für Geschäftspartner, sowie für Mitarbeiter und Bewerber an.