Newsbeiträge

Technische und organisatorische Datenschutzmaßnahmen

DatenschutzVerantwortliche Stelle

Verantwortliche Stelle ist die QuoMedic GmbH/MEDEORA GmbH vertreten durch ihren Geschäftsführer, Dr. Norbert Schmeißer, unterstützt durch die bDSB Ruth Synal.

 

Personenbezogene Daten

Erfasst werden folgende personenbezogene Daten:

► Kundendaten:

Personenbezogenen Daten von Betroffenen, zu denen ein Vertragsverhältnis oder vertragsähnliches Verhältnis als Auftragnehmer besteht, die notwendig sind.

► Mitarbeiterdaten:

Personenbezogenen Daten der Beschäftigten, die für die Erfassung und Erstellung der Lohn- und Gehaltsabrechnung notwendig und erforderlich sind.

► Interessentendaten/Personenbezogene Daten für Geschäftszwecke:

Erfassung personenbezogener Akquisitionsdaten zum Aufbau neuer Kundenbeziehungen. Hier werden in keinem Fall angekaufte Adressdaten aus Datenbanken verwendet. Alle verwendeten personenbezogenen Daten möglicher Interessenten werden selber recherchiert, über soziale Netzwerke und öffentliche Suchmaschinen.

► Lieferantendaten:

Personenbezogenen Adress- und Funktionsdaten um Bestellungen und Beauftragungen ordnungsgemäß abwickeln zu können, sofern es sich um natürliche Personen handelt. Auch Daten zur Verifizierung der Lieferanten im Rahmen der ISO 9001:2015 Zertifizierung werden erfasst und entsprechend gesetzlicher Vorgaben gespeichert.

► Daten kooperierender Unternehmen:

Daten, die für das Vertragsverhältnis und die kooperative Zusammenarbeit notwendig sind.

Nicht erfasst werden personenbezogene Patientendaten und personenbezogene Daten besondere Arten. Die verantwortliche Stelle achtet bei den unternehmerischen Aktivitäten sorgfältig darauf, dass keine Leistungen erbracht werden, die die Erfassung von besonderen Arten personenbezogener Daten oder Patientendaten enthält. Aktivitäten im Bereich der Auftragsdatenverarbeitung werden durch Rahmenverträge und/oder Verschwiegenheitsvereinbarungen im Einzelfall geregelt.

 

Betroffenenrechte

Jede/r Betroffene kann von der verantwortlichen Stelle unentgeltlich Auskunft über die Art und den Umfang der Daten erhalten, die über sie/ihn gespeichert wurden, zu welchem Zweck sie gespeichert wurden, woher die Daten stammen und ob oder/und an wen die Daten weitergegeben wurden.

Diese Auskunft wird unentgeltlich erteilt. Unrichtige Daten werden korrigiert.

Bei besonderen Umständen die in der betroffenen Person liegen oder bei schutzwürdigen Interessens, die die Speicherung personenbezogener Daten überwiegt, kann Widerspruch gegen die Speicherung eingelegt werden.

 

Löschung von personenbezogenen Daten:

Wenn die Daten unrechtmäßig gespeichert sind.

Besonders sensible Daten, wenn deren Richtigkeit nicht vom Unternehmen bewiesen werden kann (z. B. ethnische Herkunft, politische Überzeugungen).

Wenn die Daten nicht mehr für den vorgesehenen Zweck benötigt werden.

Wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung ergibt, dass eine länger währende Speicherung nicht erforderlich ist. Die Prüfung erfolgt jeweils am Ende des vierten, (soweit es sich um Daten über erledigte Sachverhalte handelt: am Ende des dritten) Kalenderjahres, beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt.

Ausnahme: Keine Löschung ist vorzunehmen, wenn eine Aufbewahrung der Daten gesetzlich vorgeschrieben ist (wie z. B. durch das HGB oder die AO).

 

Sperrung von personenbezogenen Daten:

Eine Sperrung bedeutet die Kennzeichnung personenbezogener Daten, um eine weitere Verarbeitung oder Nutzung einzuschränken. Eine Löschungsverpflichtung wird durch die Sperrverpflichtung ersetzt, sofern gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsvorschriften der Löschung entgegenstehen. Wenn die Löschung einen unverhältnismäßig hohen Aufwand bedeuten würde (z. B. wegen bestehender Datensicherungen, sog. Backup), kann stattdessen ebenfalls eine Sperrung erfolgen.

Allgemeine Beschreibung der Maßnahmen zur Gewährleistung der Sicherheit der Daten im Unternehmen

 

Allgemeine Sicherungsmaßnahmen:

Die Server für das Online-System, Datenbanken sowie die Datensicherung (Backup) werden bei der QuoMedic GmbH / MEDEORA GmbH oder beauftragten Dritten in professionellen Rechenzentren betrieben und gewartet. Die Unterbeauftragten werden sorgfältig ausgewählt und hinsichtlich ihres Sicherheitsbewusstseins und ihrer Fachkompetenz überprüft.

Einige diesen Bereich betreffenden Sicherungsmaßnahmen sind nicht gesondert ausgewiesen, da sie in die Verantwortung der Unterbeauftragten fallen oder aus Gründen der Aufrechterhaltung der Sicherheit durch Vertraulichkeit nicht detailliert veröffentlicht werden.

Der Zutritt zu den Büroräumen der Firma MEDEORA GmbH ist nur autorisierten Personen möglich (Zugangsschutz durch protokollierte Schlüsselvergabe).
Zutritt zu der Datenverarbeitungsanlage haben nur autorisierte Mitarbeiter (Zutrittskontrolle).

Die Rechner und Server sind mittels üblichen Zugriffsperren (Passwortschutz nach Zeitablauf und automatischer Bildschirmschoner) gesichert. Die Mitarbeiter sperren ihre Rechner bei Verlassen des Arbeitsplatzes gegen unbefugten Zugang. Die Zugangskontrolle ist gewährleistet.
EDV-Berechtigungskonzepte regeln den Zugriff auf die eingesetzten Datenverarbeitungssysteme (Zugriffkontrolle).

Die elektronische Übertragung von personenbezogenen Daten (wenn vorhanden) erfolgt verschlüsselt bzw. über das DATEV-System (Weitergabekontrolle).

Eine Eingabekontrolle erfolgt durch die Datenkontrolle. Es kann somit überprüft und festgestellt werden, ob und von wem Daten eingegeben, verändert oder entfernt worden sind (Eingabekontrolle).

Es wird ein Datensicherungssystem zur Vermeidung der zufälligen Zerstörung oder des Verlustes personenbezogener Daten betrieben (Verfügbarkeitskontrolle).

 

Serverstandort und Sicherheit

Alle Daten, Programme und Dokumente werden in einem externen Unternehmen gespeichert und gesichert. Dieses Unternehmen hat seinen Geschäftssitz in Deutschland, dort werden auch die Server aufgestellt und betrieben.

Die Sicherheitsmaßnahmen sind wie folgt detailliert beschrieben, die Übertragung zu den Servern läuft verschlüsselt ab.

 

Autor: Ruth Synal, Datenschutzbeauftragte (DSB)

 
Links
  1. https://medeora.de/https://medeora.de/Printer/blog/display/2016/12/5/technische-und-organisatorische-datenschutzmassnahmen/