Datenschutz-Grundverordnung
Qboxmail und der Schutz personenbezogener Daten
Der Schutz personenbezogener Daten ist ein zentraler Wert für Qboxmail.
Um seinen Kunden die Einhaltung der DSGVO sowie anderer geltender Vorschriften und höchste Datensicherheit zu gewährleisten, hat Qboxmail ein Datenschutz-Managementmodell eingeführt, das seine Geschäftsprozesse und Informationssysteme an diese Vorgaben anpasst.
Auf dieser Seite finden Sie Informationen darüber, wie Qboxmail personenbezogene Daten sowohl als Verantwortlicher als auch als Auftragsverarbeiter im Auftrag seiner Kunden gemäß den von der DSGVO geforderten Grundsätzen von Klarheit und Transparenz verarbeitet.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist die europäische Verordnung, die die Datenschutzgesetze in Europa vereinheitlicht. Sie trat am 25. Mai 2018 in Kraft und verpflichtet alle juristischen Personen, im Rahmen ihrer Geschäftstätigkeit ein angemessenes Datenschutzniveau sicherzustellen und die Vorschriften einzuhalten.
Einige Definitionen und Rollen der DSGVO
Um die folgenden Informationen vollständig zu verstehen, stellen wir Definitionen der wichtigsten von der DSGVO verwendeten Begriffe bereit und erläutern deren Bedeutung.
Die DSGVO unterscheidet außerdem bestimmte Rollen, die juristische Personen bei der Verarbeitung personenbezogener Daten einnehmen können. So kann eine juristische Person Daten als Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortlicher oder als bevollmächtigter Verarbeiter verarbeiten.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören beispielsweise Vorname und Nachname, Adresse, Telefonnummer, Steuernummer, E-Mail-Adresse, Fotos, Beruf, Gehalt, Bankdaten, Gesundheitszustand usw.
Personenbezogene Daten umfassen nicht Daten zu Unternehmen und anderen juristischen Personen, wie etwa den Firmennamen, den Sitz, die Umsatzsteuer-Identifikationsnummer, Bilanzdaten oder Firmen-E-Mail-Adressen wie info@unternehmen.de. Persönliche Daten beinhalten jedoch Informationen zu natürlichen Personen, die in diesem Unternehmen tätig sind, wie gesetzliche Vertreter, Mitarbeitende, externe Fachkräfte usw.
Daten sind nur dann personenbezogen, wenn sie sich mit angemessenem Aufwand auf eine natürliche Person zurückführen lassen. Vollständig anonymisierte Daten unterliegen nicht der Verordnung.
Personenbezogene Daten können in allgemeine und besondere (sogenannte „sensible“) Daten unterteilt werden. Beide Datenarten unterliegen der DSGVO. Sensible Daten erfordern jedoch besondere Sicherheit und eine spezielle Verarbeitung.
Zu den sensiblen Daten gehören Informationen zur Gesundheit, zum Sexualleben und zur sexuellen Orientierung, zur rassischen oder ethnischen Herkunft, zu politischen Meinungen, zu religiösen oder philosophischen Überzeugungen, zur Gewerkschaftszugehörigkeit, zu genetischen Daten sowie biometrische Daten (Art. 9 DSGVO).
Als besondere Daten gelten auch solche, die sich auf strafrechtliche Verurteilungen und Straftaten oder damit verbundene Sicherheitsmaßnahmen beziehen.
Alle anderen personenbezogenen Daten werden als allgemeine Daten betrachtet.
Verarbeitung bezeichnet jeden Vorgang oder jede Vorgangsreihe, die mit personenbezogenen Daten oder Datensätzen personenbezogener Daten durchgeführt wird, unabhängig davon, ob dies automatisiert oder elektronisch geschieht. Dazu zählen beispielsweise das Erheben, Erfassen, Organisieren, Strukturieren, Speichern, Anpassen oder Verändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder eine andere Form der Zugänglichmachung, Abgleichen oder Verknüpfen, Einschränken, Löschen oder Vernichten der Daten.
Ein Verantwortlicher ist die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
Jedes Unternehmen ist somit Verantwortlicher für die personenbezogenen Daten seiner Kunden, Mitarbeiter und Lieferanten.
Im Falle eines Unternehmens ist nicht der gesetzliche Vertreter, sondern das Unternehmen selbst der Verantwortliche.
Gemeinsam Verantwortliche sind zwei oder mehr Verantwortliche, die gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen.
Der Auftragsverarbeiter ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Wenn ein Unternehmen Tätigkeiten, die die Verarbeitung personenbezogener Daten betreffen, an einen externen Dienstleister auslagert (z. B. Arbeitsberater, Buchhalter, IT-Dienstleister, Hosting-Anbieter usw.), übernimmt dieser die Rolle des Auftragsverarbeiters.
Gemäß Artikel 28 der DSGVO darf ein Verantwortlicher nur Auftragsverarbeiter einsetzen, die ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten. Die Beziehung zwischen Verantwortlichem und Auftragsverarbeiter muss zudem durch einen Vertrag (Vertrag zur Auftragsverarbeitung) oder eine andere Rechtsgrundlage nach Unionsrecht oder dem Recht eines Mitgliedstaats geregelt sein.
Die Verpflichtung zur Information der betroffenen Personen und zur Gewährleistung ihrer Rechte obliegt nicht dem Auftragsverarbeiter, sondern ausschließlich dem Verantwortlichen.
Beauftragte sind natürliche Personen, die unter der Weisung und Autorität des Verantwortlichen oder Auftragsverarbeiters handeln (z. B. Mitarbeitende) und personenbezogene Daten verarbeiten müssen, um die ihnen zugewiesenen Aufgaben und Pflichten zu erfüllen.
Qboxmail als Verantwortlicher
Qboxmail handelt als Verantwortlicher, wenn personenbezogene Daten eigenverantwortlich und zu eigenen Zwecken verarbeitet werden.
Beispielsweise verarbeitet Qboxmail als Verantwortlicher die personenbezogenen Daten seiner Kunden und Lieferanten zu buchhalterischen Zwecken und zur Erfüllung der jeweiligen Verträge. Ebenso verarbeitet Qboxmail als Verantwortlicher die personenbezogenen Daten seiner Mitarbeitenden zur ordnungsgemäßen Durchführung von Arbeitsverträgen, zur Einhaltung von Sicherheitsvorschriften, zur Schulung usw.
Zusätzlich zu den Daten seiner Kunden, Lieferanten und Mitarbeitenden verarbeitet Qboxmail als Verantwortlicher bestimmte personenbezogene Daten von Nutzern seiner Dienste, auch wenn diese nicht direkt mit ihm vertraglich verbunden sind. Die Verarbeitung dieser Daten ist notwendig, um den ordnungsgemäßen Betrieb und die Sicherheit seiner Webplattformen zu gewährleisten.
Um zu erfahren, wie Qboxmail die personenbezogenen Daten der Nutzer seiner Dienste verarbeitet, konsultieren Sie bitte die folgende Richtlinie.
Qboxmail als Auftragsverarbeiter
Qboxmail handelt als Auftragsverarbeiter, wenn personenbezogene Daten im Auftrag und gemäß den Anweisungen seiner Kunden verarbeitet werden. Insbesondere agiert Qboxmail als Auftragsverarbeiter, wenn es Daten im Rahmen der Bereitstellung von E-Mail-Management-, Hosting- und anderen damit verbundenen Dienstleistungen im Auftrag seiner Kunden verarbeitet. Wenn die Kunden von Qboxmail selbst Auftragsverarbeiter sind, fungiert Qboxmail als Unterauftragsverarbeiter.
Immer wenn Qboxmail als Auftragsverarbeiter oder Unterauftragsverarbeiter für einen seiner Kunden tätig ist, muss diese Beziehung durch eine Auftragsverarbeitungsvereinbarung (oder einen Vertrag zur Bestellung eines Auftragsverarbeiters) gemäß Artikel 28 der DSGVO geregelt sein.
Qboxmail verfügt über eine eigene Vorlage für eine Auftragsverarbeitungsvereinbarung, die es seinen Kunden ermöglicht, die Vorgaben des Artikels 28 der DSGVO einzuhalten.
Datenschutzbeauftragter
Um sich selbst und seine Kunden bei der Verarbeitung personenbezogener Daten und der Einhaltung der DSGVO maximal zu schützen, hat Qboxmail einen Datenschutzbeauftragten (DPO) ernannt, der unter folgender E-Mail-Adresse erreichbar ist: dpo@qboxmail.com.
Der Datenschutzbeauftragte ist die zentrale Anlaufstelle zwischen den betroffenen Personen und Qboxmail bezüglich der Verarbeitung personenbezogener Daten. Daher können Kunden, Lieferanten, Mitarbeiter und alle Interessierten den DPO direkt zu Angelegenheiten im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten kontaktieren.
Qboxmail und die DSGVO
Qboxmail verfolgt und setzt einen Weg der Analyse, Anpassung und kontinuierlichen Verbesserung seiner IT-Systeme und seines Datenschutzmanagementmodells um. Das Unternehmen organisiert Sensibilisierungs- und Schulungsprogramme für die Mitarbeiter, um seinen Kunden und Nutzern maximalen Schutz der ihnen anvertrauten personenbezogenen Daten sowie die Einhaltung der geltenden Vorschriften zu garantieren.
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
Unsere Software wurde stets nach den Prinzipien des ‚Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen‘ entworfen und entwickelt.
Datenverschlüsselung und Sicherheit
Wir verwenden die Verschlüsselung von Daten während der Übertragung, um ein hohes Schutzniveau zu gewährleisten und das Risiko eines Verlusts der Vertraulichkeit zu minimiere
Protokollspeicherung gemäß den gesetzlichen Vorgaben
Wir stellen sicher, dass Systemprotokolle gemäß den Vorgaben der italienischen Datenschutzbehörde bezüglich Systemadministratoren geführt und gespeichert werden. Zudem wurde ein Verfahren implementiert, um die Protokolldateien digital zu signieren und mit einem festen Datum zu versehen.
Datenexport
POP- und IMAP-Funktionen ermöglichen Administratoren, Kundendaten jederzeit während der Vertragslaufzeit zu exportieren. Zugriffs- und Prüfprotokolle können im CSV-Format exportiert werden.
Datenlöschung
Kunden können ihre Daten jederzeit löschen lassen. Bei einer endgültigen Löschanfrage (z. B. bei der Kündigung eines E-Mail-Kontos) werden die Daten innerhalb von 60 Tagen aus allen Systemen entfernt, sofern nicht gesetzlich etwas anderes vorgeschrieben ist.
Verschlüsselung von Daten während der Übertragung
Wir stellen stets Verschlüsselung zum Schutz der Daten während der Übertragung zur Verfügung. Die Dienste Webmail, POP, IMAP und SMTP sind standardmäßig über TLS zugänglich
Schwachstellenmanagement
Wir verwenden intern entwickelte Werkzeuge, um Software-Schwachstellen frühzeitig zu erkennen und führen regelmäßige Tests auf mögliche Verstöße durch.
Verarbeitungsverzeichnis
Wir haben ein Verarbeitungsverzeichnis eingerichtet, das sowohl die Tätigkeiten als Verantwortlicher als auch als Auftragsverarbeiter dokumentiert und das wir im Falle einer Anfrage durch die Aufsichtsbehörde zur Verfügung stellen können.
Mitarbeiterschulung
Alle Mitarbeiter von Qboxmail haben eine interne Schulung zu den Anforderungen der DSGVO durchlaufen und werden ständig aktualisiert sowie für die Sicherheit und Vertraulichkeit der von uns verarbeiteten Daten sensibilisiert.
Rechte der betroffenen Person
Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden, und dass diese Daten gemäß Artikel 15 der EU-Verordnung verarbeitet werden.“ 2016/679.
Die betroffene Person hat außerdem das Recht auf Berichtigung unrichtiger sie betreffender personenbezogener Daten sowie auf Vervollständigung unvollständiger Daten gemäß Artikel 16 der EU-Verordnung. 2016/679.
Die betroffene Person hat das Recht, die Löschung von Daten zu verlangen, die für die Zwecke, für die sie erhoben oder auf andere Weise verarbeitet wurden, nicht mehr notwendig sind, von Daten, die auf ihrer Einwilligung beruhen, wenn diese widerrufen wird, von rechtswidrig verarbeiteten Daten usw. Um weitere Fälle zu erfahren, in denen Daten gelöscht werden können, kann sich die betroffene Person auf Artikel 17 der EU-Verordnung beziehen 2016/679.
Die betroffene Person hat das Recht, die Einschränkung der Verarbeitung ihrer Daten in den in Artikel 18 der EU-Verordnung 2016/679 genannten Fällen zu verlangen, die Übertragbarkeit ihrer Daten in den in Artikel 20 der EU-Verordnung 2016/679 genannten Fällen zu fordern sowie gemäß Artikel 21 der EU-Verordnung Widerspruch gegen die Verarbeitung ihrer Daten einzulegen, wenn diese im berechtigten Interesse des Verantwortlichen oder aufgrund eines öffentlichen Interesses erfolgt. 2016/679.
Wenn die betroffene Person der Ansicht ist, dass bei der Verarbeitung ihrer Daten ein Verstoß vorliegt, kann sie eine Beschwerde bei der Datenschutzbehörde einreichen.
Ein Antrag auf Löschung oder Widerspruch gegen die für die Vertragserfüllung notwendige Datenverarbeitung kann es Qboxmail unmöglich machen, die vertraglichen Verpflichtungen zu erfüllen. Die betroffene Person kann der Verarbeitung nicht widersprechen oder die Löschung von Daten verlangen, die Qboxmail zur Erfüllung von Buchhaltungs-, Steuer- oder sonstigen gesetzlichen Pflichten verarbeiten muss.
Die betroffene Person kann jederzeit ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für Marketingzwecke widerrufen, ohne dass hieraus nachteilige Folgen entstehen oder die Vertragserfüllung verhindert wird.
Als Verantwortlicher darf Qboxmail nicht auf Anfragen von betroffenen Personen zur Ausübung ihrer Rechte reagieren. In diesem Fall müssen sich die betroffenen Personen an den Datenverantwortlichen wenden.
Um Ihre Datenschutzrechte auszuüben, senden Sie bitte eine E-Mail mit Ihrem Anliegen an privacy@qboxmail.com.