Die Axway-Gruppe („Axway“) ist in 22 Ländern vertreten und setzt sich für eine gemeinsame Kultur der Transparenz, des Vertrauens, der Integrität und der Verantwortung ein – sowohl intern für unsere Mitarbeiter als auch extern für unsere Kunden und Geschäftspartner.
Das Axway Privacy Compliance Program unterstützt diese Kultur mit Richtlinien, die sicherstellen, dass wir in Übereinstimmung mit den in den Ländern, in denen wir tätig sind, geltenden Gesetzen und Vorschriften arbeiten, einschließlich der Datenschutz-Grundverordnung (DSGVO) der EU.
„Wir leben in einer zunehmend datengesteuerten Welt, und bei Axway sind wir alle dafür verantwortlich, dass unser Verhalten mit ethischen Praktiken im Einklang steht, einschließlich des Schutzes der Privatsphäre des Einzelnen.“ – Sébastien Guiraud, Datenschutzbeauftragter von Axway.
Das Axway Privacy Compliance Program dient der Förderung, Harmonisierung und Verbesserung unserer Praktiken zum Schutz der Privatsphäre von personenbezogenen Daten, die wir kontrollieren (als Verantwortlicher) oder im Auftrag anderer Organisationen verarbeiten (als Auftragsverarbeiter). Weitere Informationen finden Sie weiter unten.
VERANTWORTLICHKEIT UND DATENSCHUTZ DURCH TECHNIK
DATENSCHUTZBÜRO. Axway benennt einen in Frankreich ansässigen Datenschutzbeauftragten, der ein Netzwerk von internen lokalen Datenschutzbeauftragten in Frankreich, den USA und Australien leitet („Datenschutzbüro“). Das Datenschutzbüro besteht aus Experten für nationale und europäische Datenschutzgesetze und -praktiken, die ein tiefes Verständnis der DSGVO auszeichnet. Die meisten unserer Mitglieder des Datenschutzbüros sprechen Französisch, Englisch und Deutsch. In der gesamten Organisation übernimmt das Axway-Datenschutzbüro folgende Aufgaben:
- Überwachung und Durchsetzung der Anwendung der in den Ländern, in denen Axway tätig ist, geltenden Datenschutzgesetze und -vorschriften
- Förderung des Bewusstseins und des Verständnisses für die Risiken, Regeln, Schutzmaßnahmen und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten,
- Untersuchung von Beschwerden von Einzelpersonen oder Unternehmen und Unterrichtung des Beschwerdeführers über den Verlauf und das Ergebnis der Untersuchung innerhalb einer angemessenen Frist, insbesondere wenn eine weitere Untersuchung oder Koordinierung mit einer oder mehreren nationalen Datenschutzbehörden erforderlich ist,
- Zusammenarbeit und Informationsaustausch mit den nationalen Datenschutzbehörden,
- Durchführen von Untersuchungen zur Anwendung der geltenden Datenschutzgesetze und –vorschriften,
- Erfüllen aller anderen Aufgaben im Zusammenhang mit dem Schutz personenbezogener Daten.
Im Rahmen dieser Compliance-Überwachungspflichten wird das Axway-Datenschutzbüro insbesondere Folgendes überwachen:
- Führung einer schriftlichen Aufzeichnung der Verarbeitungstätigkeiten für jeden Controller (siehe Compliance-Verpflichtung von Axway im Abschnitt „BEURTEILUNG UND AUFZEICHNUNG DER VERARBEITUNGSTÄTIGKEITEN“ weiter unten),
- Bei Bedarf Durchführung einer Datenschutzverträglichkeitsprüfung (siehe Compliance-Verpflichtung von Axway im Abschnitt „DATENSCHUTZ-FOLGENABSCHÄTZUNG (DPIA)“ unten),
- Unverzügliche Benachrichtigung des Verantwortlichen über eine Verletzung personenbezogener Daten (siehe Compliance-Verpflichtung von Axway im Abschnitt „BENACHRICHTIGUNG ÜBER SICHERHEITS- UND DATENVERLETZUNGEN“ unten).
Kontaktdaten des Axway-Datenschutzbüros:
- E-Mail weltweit: privacy@axway.com
- Postanschrift in den USA: Axway Inc., 6811 E. Mayo Blvd, 4th Floor, Phoenix, AZ 85054, USA.
- Postanschrift EMEA: Axway Software, Tour W, 102 Terrasse Boieldieu - 92807 Puteaux Cedex, FRANCE.
- Postanschrift APAC: Axway Australia, Suite 1301, 99 Mount Street, North Sydney, 2060 NSW, AUSTRALIA
FOLGENEINSCHÄTZUNG UND VERZEICHNIS DER VERARBEITUNGSTÄTIGKEITEN. Axway überprüft fortlaufend, wo und wie innerhalb seiner entsprechenden Dienste personenbezogene Daten erhoben , genutzt, gespeichert und bearbeitet werden. Darüber hinaus aktualisiert Axway Richtlinien, Standards, Governance und Dokumentation regelmäßig, um die Grundsätze des Datenschutzes durch Technik („data protection by design“) und datenschutzfreundliche Voreinstellungen („data protection by default“) (zu erfüllen (z. B. indem sichergestellt wird, dass nur die erforderliche Mindestmenge an personenbezogenen Daten verarbeitet wird).
Axway führt ein Verzeichnis der Verarbeitungstätigkeiten ((einschließlich der Verarbeitung im Auftrag von Kunden). Das Verzeichnis enthält alle gemäß DSGVO erforderlichen Informationen, wie die Zwecke der Verarbeitung, die betroffenen Daten-Kategorien, die vorgesehenen Fristen, die allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen und gegebenenfalls die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung dieses Drittlandes oder dieser internationalen Organisation. Dieses Verzeichnis wird dem Verantwortlichen und/oder der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt.
GRUNDSATZ DER LOYALITÄT UND DES SCHUTZES DER VERTRAULICHKEIT. Axway legt besonderes Augenmerk auf die verschiedenen Arten von Informationen, einschließlich personenbezogener Daten, die Mitarbeitern und externen und/oder gelegentlichen Mitarbeitern bei der Erfüllung ihrer Aufgaben zur Verfügung gestellt werden. Daher sind sie verpflichtet, vertrauliche oder eingeschränkte Informationen aufzubewahren und müssen für einen angemessenen Schutz dieser Dokumente sorgen. Dieser Grundsatz ist Teil des Axway Code of Ethics der für alle Axway-Mitarbeiter gilt. Darüber hinaus unterliegen alle Axway-Mitarbeiter aufgrund einer speziellen Vertraulichkeitsklausel in ihrem Arbeitsvertrag der Geheimhaltungspflicht.
SCHULUNG UND SENSIBILISIERUNG DER MITARBEITER. Axway verlangt von seinen Mitarbeitern die Teilnahme an Schulungen zum Thema Datenschutz und Sicherheit. Schulungen werden so oft wie nötig organisiert, um sicherzustellen, dass die Axway-Mitarbeiter über die Axway-Richtlinien und -Verfahren sowie über alle gesetzlichen Änderungen auf dem Laufenden gehalten werden.
Die Inhalte der Schulung können an die jeweiligen Mitarbeiterrollen angepasst werden. Ebenso können Axway-Niederlassungen, je nach ihren spezifischen Bedürfnissen oder Vorschriften, zusätzliche Schulungen verlangen.
Axway fordert seine Geschäftspartner oder Stakeholder auf, sich zu denselben Schulungs- und Sensibilisierungsanforderungen zu verpflichten. Die Schulung von Mitarbeitern, die für Geschäftspartner oder Stakeholder arbeiten, wird in der Regel von Geschäftspartnern oder anderen zu diesem Zweck ausgewählten Parteien durchgeführt.
VERTRAGLICHE VERPFLICHTUNGEN. In Zusammenarbeit mit unseren eigenen Partnern und Kunden überprüft Axway regelmäßig seine vertraglichen Verpflichtungen und führt bei Bedarf Aktualisierungen durch, um die geltenden Datenschutzgesetze und -vorschriften einzuhalten.
COMPLIANCE-PROGRAMM FÜR AXWAY-LIEFERANTEN UND -AUFTRAGNEHMER. Axway überprüft seine Lieferantenverträge regelmäßig, um die Einhaltung der Datenschutzgesetze und -vorschriften in den Ländern, in denen das Unternehmen ansässig und tätig ist, einschließlich DSGVO, zu gewährleisten. Als Teil des Compliance-Programms für Axway-Lieferanten und -Auftragnehmer implementiert Axway eine DPIA-Richtlinie (siehe Abschnitt „DATENSCHUTZ-FOLGENABSCHÄTZUNG (DPIA)“ unten).
KONTINUIERLICHE VERBESSERUNG UND ÜBERWACHUNG. Das Axway Privacy Compliance Program ist verfügbar unter: https://www.axway.com/gdpr
Das Axway Privacy Compliance Program wird regelmäßig angepasst und/oder erweitert, um mit den Änderungen in der Organisation und den geltenden Gesetzen und Vorschriften Schritt zu halten. Wenn eine Änderung das Schutzniveau der Verarbeitungsbedingungen erheblich beeinträchtigt, werden die Informationen dem Kunden (der als Verantwortlicher fungiert) rechtzeitig mitgeteilt, um dem Kunden (der als Verantwortlicher fungiert) die Möglichkeit zu geben, der Änderung zu widersprechen oder den Vertrag zu kündigen, bevor die Änderung vorgenommen wird (z. B. bei beabsichtigten Änderungen, die das Hinzufügen oder Ersetzen von Auftragsverarbeitern betreffen, bevor die Daten an den neuen Auftragsverarbeiter übermittelt werden). Das Datenschutzbüro und die interne Audit-Abteilung von Axway tkönnen regelmäßige Audits durchführen, um die Einhaltung der Praktiken innerhalb von Axway zu überprüfen.
DATENSCHUTZ-FOLGENABSCHÄTZUNG (DPIA).
xway führt DPIAs oder Datenschutz-Folgenabschätzungen durch (beide Benennungen beziehen sich mit gleicher Gültigkeit auf denselben Begriff), wenn spezifische Risiken für die Rechte und Freiheiten von Personen auftreten.
Axway implementiert seine DPIA-Richtlinie in Übereinstimmung mit :
- Dem Privacy Impact Assessment (PIA), Commission nationale de l’informatique et des libertés (CNIL), 2015,
- IDen Internationalen Standardrichtlinien für DPIA
ISO/IEC 29134 (Projekt), Informationstechnologie – Sicherheitstechniken – Datenschutz-Folgenabschätzung – Richtlinien, Internationales Normeninstitut (ISO)
Axway überprüft die DPIAs und deren Verarbeitung regelmäßig, zumindest dann, wenn sich das Risiko bei der Verarbeitung des Vorgangs ändert und/oder wenn neue Technologien zum Einsatz kommen und die Datenverarbeitung zu einem Risiko für den Einzelnen führen kann. Die DPIA verlangt die Freigabe auf einer geeigneten Ebene, z. B. durch den Vorstand, einen geschäftsführenden Gesellschafter, Risikopartner, etc. Für Axway werden alle DPIAs vom Axway-Datenschutzbeauftragten freigegeben.
Zusammenarbeit mit dem Kunden erforderlich. n den meisten Fällen hat Axway keinen Zugriff auf personenbezogene Daten des Kunden und kann die Art und/oder die Sensibilität der von ihm im Auftrag des Kunden verarbeiteten personenbezogenen Daten nicht ermitteln. Wenn Axway als Auftragsverarbeiter von Kundendaten (z. B. Cloud/SaaS-Aktivitäten) auftritt, bitten wir unsere Kunden (als Verantwortliche) um transparente Informationen, um festzustellen, ob eine DPIA durchgeführt werden soll und ob vor der Verarbeitung der personenbezogenen Daten spezifische technische und organisatorische Sicherheitsmaßnahmen ergriffen werden sollen.
Wenn sich als Ergebnis der DPIA zeigt, dass ein Risiko nicht gemindert, reduziert oder eliminiert werden kann, müssen der Verantwortliche und der Auftragsverarbeiter überlegen, ob sie die Aktivität ablehnen oder das Risiko akzeptieren wollen. Etwaige im Rahmen der DPIA festgestellte schwerwiegende Risiken müssen möglicherweise den nationalen Datenschutzbehörden gemeldet werden, um deren Meinung dazu einholen zu können, ob die beabsichtigte Verarbeitung mit der DSGVO übereinstimmt (siehe Abschnitt „FEDERFÜHRENDE AUFSICHTSBEHÖRDE DER EU“ weiter unten).
VERANTWORTUNG VON AXWAY – AXWAY ALS VERANTWORTLICHER UND/ODER AUFTRAGSVERARBEITER
Axway bietet seinen Kunden verschiedene Arten von Dienstleistungen an, darunter Beratung, Cloud, SaaS, unbegrenzte/temporäre Lizenz vor Ort und Support ... Im Rahmen dieser Aktivitäten muss Axway personenbezogene Daten als Verantwortlicher verarbeiten. Axway verarbeitet personenbezogene Daten jedoch nicht notwendigerweise im Auftrag eines Dritten (z. B. eines Axway-Kunden) als Auftragsverarbeiter.
Axway fungiert nicht als Auftragsverarbeiter für alle Aktivitäten. Als Softwarehersteller verarbeitet Axway keine personenbezogenen Daten im Auftrag seiner Kunden. Gemäß dem von der CNIL herausgegebenen Leitfaden für Auftragsverarbeiter (September 2017) bestätigt die französische Behörde für den Schutz personenbezogener Daten, dass ein Softwarehersteller nicht als Auftragsverarbeiter im Sinne der DSGVO angesehen werden darf.
Um festzustellen, ob Axway ein Auftragsverarbeiter oder der Verantwortliche ist, siehe die Stellungnahme 1/2010 der Artikel 29 Datenschutzgruppe (WP29) vom 16. Februar 2010, in der Indikatoren für die fallweise Analyse festgelegt sind:
- Ausmaß der Anweisungen des Kunden an den Dienstanbieter: Welchen Handlungsspielraum hat der Dienstanbieter bei der Erbringung seiner Dienstleistung?
- Umfang der Überwachung über die Ausführung der Dienstleistung: Inwieweit „überwacht“ der Kunde die Dienstleistung?
- Mehrwert durch den Dienstleister: Verfügt der Dienstleister über fundierte Fachkenntnisse?
- Grad der Transparenz der Nutzung eines Dienstleisters: Ist die Identität des Dienstleisters den Betroffenen, die die Dienste des Kunden in Anspruch nehmen, bekannt?
AXWAY ALS VERANTWORTLICHER. Als Verantwortlicher verarbeitet Axway personenbezogene Daten nach den folgenden Grundsätzen: Zweckbindung, Datenminimierung, begrenzte Aufbewahrungsfristen, Datenqualität, Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen, Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien personenbezogener Daten, Maßnahmen zur Gewährleistung der Datensicherheit und spezifische Anforderungen für die Übermittlung personenbezogener Daten außerhalb des EWR.
Axway gewährleistet eine rechtmäßige, faire und transparente Verarbeitung personenbezogener Daten. Die Axway-Datenschutzerklärung nformiert über Risiken, Regeln, Schutzmaßnahmen und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten. Diese Informationen werden über alle Axway-Websites jederzeit öffentlich oder an die betroffenen Personen bekanntgegeben.
Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig aufbewahrt werden, legt Axway Fristen für die Löschung oder eine regelmäßige Überprüfung fest. Axway sorgt dafür, dass unrichtige personenbezogene Daten berichtigt oder gelöscht werden.
Axway übermittelt personenbezogene Daten an andere Axway-Gesellschaften (die sich möglicherweise in einem Drittland befinden) zu internen Verwaltungszwecken, einschließlich der Verarbeitung personenbezogener Daten von Kunden oder Mitarbeitern. (Siehe Compliance-Verpflichtung von Axway für die Übermittlung personenbezogener Daten im Abschnitt „ÜBERTRAGUNG AUS DEM EWR“ weiter unten.)
Personenbezogene Daten des Kundenpersonals. Im Rahmen der Geschäftsbeziehung mit seinen Kunden und/oder Partnern verarbeitet Axway personenbezogene Daten (beschränkt auf Geschäftskontaktdaten) der Mitarbeiter des Kunden (Mitarbeiter, Vertreter und Subunternehmer) als Verantwortlicher im Sinne der DSGVO für Zwecke der Vertragsverwaltung und des Marketings und wird dies streng nach DSGVO tun.
AXWAY ALS AUFTRAGSVERARBEITER. Axway ist ein Auftragsverarbeiter, sobald das Unternehmen personenbezogene Daten im Auftrag, auf Anweisung und unter der Führung seiner Kunden (als Verantwortliche) erhält. Es liegt in der Verantwortung und Haftung der Axway-Kunden und -Partner (die als Verantwortliche fungieren), wirksame Maßnahmen zu ergreifen und die Konformität der Verarbeitungstätigkeiten nachzuweisen, auch wenn die Verarbeitung von Axway als Auftragsverarbeiter in ihrem Auftrag durchgeführt wird. Als Auftragsverarbeiter führt Axway die folgenden Aufgaben gemäß DSGVO durch:
- Benennen eines Datenschutzbeauftragten (siehe Compliance-Verpflichtung von Axway im Abschnitt „DATENSCHUTZBÜRO“ oben),
- Führen eines Verzeichnisses der Verarbeitungstätigkeiten, die für jeden Verantwortlichen durchgeführt wurden (siehe Compliance-Verpflichtung von Axway im Abschnitt „FOLGENEINSCHÄTZUNG UND VERZEICHNIS DER VERARBEITUNGSTÄTIGKEITEN“ oben),
- Implementieren angemessener Sicherheitsvorkehrungen für grenzüberschreitende Datenübertragung (siehe Compliance-Verpflichtung von Axway im Abschnitt „ÜBERTRAGUNG AUS DEM EWR“ weiter unten),
- Unverzügliches Benachrichtigen des Verantwortlichen über eine Verletzung des Schutzes personenbezogener Daten (siehe Compliance-Verpflichtung von Axway im Abschnitt „BENACHRICHTIGUNG ÜBER SICHERHEITS- UND DATENVERLETZUNGEN“ weiter unten).
Als Auftragsverarbeiter wird Axway, sofern nicht ausdrücklich anders vereinbart, alle personenbezogenen Daten nach Beendigung der Leistungserbringung im Zusammenhang mit der Verarbeitung löschen oder an den Kunden zurückgeben sowie vorhandene Kopien löschen.
BENACHRICHTIGUNG ÜBER SICHERHEITS- UND DATENVERLETZUNGEN
Axway implementiert spezifische technische und organisatorische Maßnahmen und Richtlinien, um eine Verletzung des Schutzes personenbezogener Daten effektiv zu erkennen, zu melden und zu untersuchen. Im Falle einer Verletzung des Schutzes personenbezogener Daten verwaltet Axway die erforderlichen Meldungen gemäß DSGVO und anderen anwendbaren Datenschutzbestimmungen, wie dem Australian Privacy Amendment (Notifyable Data Breaches) Act 2017 No. 12, 2017 und/oder dem Cyber Security Law in China. Die Benachrichtigung der Aufsichtsbehörde ist ebenfalls Teil des Axway-Plans für die Reaktion auf Zwischenfälle. Das Axway-Datenschutzbüro arbeitet mit dem Axway Computer Security Incident Response Team (CSIRT) zusammen, um diese Anforderungen zu erfüllen.
Im Falle einer Verletzung des Schutzes personenbezogener Daten wird Axway als Auftragsverarbeiter seine Kunden unverzüglich oder „ohne unangemessene Verzögerung“ über den Vorfall informieren und ihnen alle Informationen zur Verfügung stellen, die seine Kunden angemessenerweise benötigen.
Die Meldung ist nach DSGVO nicht systematisch erforderlich. Bevor Axway und seine Kunden ein Meldungsverfahren einleiten, führen sie eine Datenschutz-Folgenabschätzung durch, um die Risiken für die Rechte und Freiheiten von Personen zu bewerten und zu minimieren. Bitte beachten Sie:
- Artikel 33 (1) DSGVO: Die Meldung an die Aufsichtsbehörde ist nicht erforderlich, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.
- Artikel 34 DSGVO: Die Übermittlung an die betroffenen Personen ist nicht erforderlich, wenn der Verantwortliche geeignete technische und organisatorische Schutzmaßnahmen getroffen hat, die die personenbezogenen Daten für jede Person, die nicht zum Zugriff berechtigt ist, unverständlich machen, etwa durch Verschlüsselung.
Der Schwellenwert für die Meldung an die Betroffenen ist, dass voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten besteht.
Der Verantwortliche behält die Gesamtverantwortung für den Schutz personenbezogener Daten und Axway ermutigt seine Kunden, die personenbezogenen Daten des Kunden für Unbefugte im Wesentlichen unverständlich zu machen und angemessene Backups zu erstellen.
SUBAUFTRAGSVERARBEITER – GRENZÜBERSCHREITENDE DATENÜBERMITTLUNG
SUBAUFTRAGSVERARBEITUNG. Axway stellt sicher, dass alle seine Subauftragnehmer die gleichen Garantien hinsichtlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten, sodass die Verarbeitungstätigkeiten den Anforderungen der DSGVO entsprechen. Wenn ein Subauftragnehmer seinen Verpflichtungen zum Schutz personenbezogener Daten nicht nachkommt, bleibt Axway gegenüber dem Verantwortlichen in vollem Umfang haftbar. Axway überträgt die gesamten oder einen Teil der Verarbeitungstätigkeiten an allehier aufgeführten juristischen Personen oder Subauftragnehmer von Axway. Axway informiert seine Kunden (als Verantwortliche) im Voraus, und diese Informationen zeigen deutlich die ausgelagerten Verarbeitungsaktivitäten und die Identität der Subauftragnehmer an. Wenn eine Änderung den Schutzgrad von Axway beeinträchtigen würde, kann der Verantwortliche der Änderung widersprechen oder den Vertrag kündigen, bevor die Daten an den neuen Subauftragnehmer übermittelt werden.
FEDERFÜHRENDE AUFSICHTSBEHÖRDE DER EU.. Als Verantwortlicher und (falls zutreffend) als Auftragsverarbeiter identifiziert Axway die CNIL als federführende Datenschutzbehörde. Während Axway in mehreren EU-Mitgliedsstaaten tätig ist, hat Axway seinen Hauptsitz in Frankreich („Ort der Hauptverwaltung“ gemäß den WP29-Richtlinien zur Meldung von Verstößen gegen die Bestimmungen der Verordnung 2016/679). In Fällen, in denen der Verantwortliche in der EU ansässig ist und die federführende Aufsichtsbehörde des Verantwortlichen in einem von Axway unterzeichneten Datenschutzvertrag eindeutig identifiziert wurde, erklärt sich Axway als Auftragsverarbeiter damit einverstanden, die federführende Aufsichtsbehörde des Verantwortlichen als federführende Aufsichtsbehörde zu benennen.
ÜBERMITTLUNG AUSSERHALB DES EWR.Axway ist gegenüber allen seinen Kunden dafür verantwortlich, die aus dem EWR übermittelten personenbezogenen Daten im Namen des Kunden und in Übereinstimmung mit den geltenden Datenschutzgesetzen zu verarbeiten. Um angemessene Garantien in Bezug auf das geltende Datenschutzrecht zu bieten, hat Axway mit allen seinen Subauftragnehmern/Auftragsverarbeitern außerhalb des EWR, die personenbezogene Daten von Kunden verarbeiten oder Zugriff darauf haben, Standardvertragsklauseln eingeführt. Axway hat diese Standardvertragsklauseln im Namen aller Kunden unterzeichnet (und wird sie weiterhin aktualisieren). Die aktuelle Liste der Rechtssubjekte und Subauftragsverarbeiter von Axway finden Sie hier.
Hinweis: AAxway bietet keine Rechts- oder Wirtschaftsprüfungsberatung an und garantiert nicht, dass seine Dienstleistungen oder Produkte sicherstellen, dass Kunden oder Geschäftspartner die Gesetze oder Vorschriften einhalten.