Vereinbarung zum Datenschutz
(u.a. Auftragsdatenverarbeitung nach Artikel 28 DSGVO)
(Stand: August 2018)
1. Was sind personenbezogene Daten? (nach Art. 4 Abs.1 DSGVO)
„Personenbezogene Daten“ nach Art. 4 Abs.1 DSGVO sind Angaben über eine bestimmte, natürliche Person. Diese Person kann direkt oder indirekt anhand eines Merkmals identifiziert werden. Als Merkmal können ein Name, eine Identifikationsnummer, Standortdaten oder ein Anmeldename /
Account dienen. Auch Informationen zu körperlichen, wirtschaftlichen, kulturellen oder sozialen Merkmalen einer natürlichen Person fallen darunter. Nicht als personenbezogene Daten gelten Daten, die anonymisiert oder zusammengefasst sind und nicht mehr zur Identifizierung einer bestimmten Person verwendet werden können, gleich, ob in Kombination mit anderen Daten oder auf andere Weise.
2. Was versteht man unter Verarbeitung? (nach Art. 4 Abs.2 DSGVO)
„Verarbeitung“ nach Art. 4 Abs.2 DSGVO meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
3. Inhalte der Vereinbarung
Diese Vereinbarung regelt sämtliche Leistungen und Tätigkeiten, bei denen Sie als Mystery Shopper für die transfer GmbH im Rahmen Ihrer Testkundentätigkeit personenbezogene Daten verarbeiten. Diese Regelungen gelten dementsprechend auch für alle sonstigen verarbeiteten Daten, insbesondere Kundendaten oder Mitarbeiterdaten, und zwar auch dann, wenn sich folgende Bestimmungen ausdrücklich nur auf personenbezogene Daten beziehen.
Zu den Aufträgen, welche Sie im Auftrag der transfer GmbH ausführen, erhalten Sie Vorgaben bezüglich zu erhebenden Informationen, wie zum Beispiel Art der Tätigkeit (z.B. Mystery Shopping), Zeitraum der Tätigkeit, Angaben der zu testenden Händler und Unternehmen und dabei zu erhebende Daten (in der Regel in Form von Fragebögen). Die dabei erhobenen Angaben können personenbezogen sein und eine Identifizierung der getesteten Mitarbeiter oder des Händlers/Unternehmens - beispielsweise über den Namen - erlauben. Über die im jeweiligen Fragebogen angegebenen Felder hinaus sind keine weiteren Daten zu erheben.
Die unbefugte Verarbeitung, Erhebung oder Nutzung personenbezogener Daten ist nach Art. 5 DSGVO und Art. 53 BDSG (neu) (Datengeheimnis) untersagt. Dies betrifft auch eine Erhebung und Verarbeitung, deren Umfang über den Auftrag der transfer GmbH hinausgeht oder diesem widerspricht.
Verstöße gegen die Vertraulichkeit (Datengeheimnis) können nach Art. 83 Abs. 4 DSGVO, §§ 42, 43 BDSG sowie nach anderen Strafvorschriften mit Freiheits- oder Geldstrafe geahndet werden. In der Verletzung der Vertraulichkeit kann zugleich eine Verletzung arbeits- oder dienstrechtlicher Schweigepflichten liegen.
Mit der Informationserhebung wird ausschließlich die Dienstleistungsqualität des Händlers/ Unternehmens gemäß der mit der transfer GmbH getroffenen Vereinbarung gemessen. Des Weiteren regeln die Bestimmungen des von Ihnen übernommenen Einzelauftrags Gegenstand, Dauer, Art und Zweck der Erhebung, Verarbeitung oder Nutzung der Daten und den Kreis der Betroffenen.
Die transfer GmbH als „verantwortliche Stelle“ im Sinne des Art. 4 Abs.7 DSGVO ist für die Einhaltung sowie für die Rechtmäßigkeit der Datenerhebung, Datenverarbeitung und Datennutzung verantwortlich und behält die Hoheit über die Daten. Die Daten dürfen ausschließlich gemäß den Vorgaben des Einzelauftrags erhoben und verarbeitet werden. Die Weitergabe an Dritte oder die Nutzung für eigene Zwecke ist ausgeschlossen.
In der Regel dürfen Sie nicht als Testkunde für ein Projekt arbeiten, das in der gleichen Branche angesiedelt ist, in der Sie aktuell selbst arbeiten. Sollten wir Ihnen doch einmal einen Test aus Ihrer Branche anbieten, müssen Sie sich unverzüglich bei der transfer GmbH melden.
Die erhobenen Fragebögen sind gegenüber Dritten geheim zu halten und unmittelbar nach Erhebung online oder in seltenen Ausnahmefällen in Papierform zu erfassen und an die transfer GmbH zu übermitteln. Hierbei gelten folgende Schutzmaßnahmen: digitalisierte Auswertungsbögen sind in passwortgeschützter Form aufzubewahren. Fragebögen in Papierform müssen für Dritte unzugänglich aufbewahrt werden.
Sonstige Anforderungen im Rahmen der DSGVO entnehmen Sie bitte dem Abschnitt „Technisch organisatorische Maßnahmen“ (TOM).
Im Rahmen des Einzelauftrags haben Sie als Mystery Shopper die Daten ggf. zu berichtigen, zu löschen oder zu sperren.
Die Datenerhebung und -verarbeitung gemäß Auftragserteilung ist von Ihnen persönlich auszuführen und darf nicht an Dritte weitergegeben werden. Haben Sie den Verdacht, dass Daten unberechtigt an Dritte gelangt sind oder sonstige Unregelmäßigkeiten bei der Datenerhebung oder -verarbeitung vorliegen, müssen Sie die transfer GmbH unverzüglich informieren (datenschutz@transfer-gmbh.de), um die weiteren Schritte zu besprechen und abzustimmen, ob eine Meldung an die Aufsichtsbehörde erforderlich ist.
Spätestens nach Beendigung des Einzelauftrags müssen Papier-Fragebögen, falls vorhanden, und sämtliche sonstigen Unterlagen, die personenbezogene Daten beinhalten an die transfer GmbH gesendet werden. Alternativ kann auch eine Vernichtung sämtlicher Unterlagen in Absprache mit der transfer GmbH vereinbart werden. Wenden Sie sich hierzu bitte an die testkundenbetreuung@tranfer-gmbh.de
Fragebögen, die im Rahmen des Einzelauftrags in digitaler Form auf Ihrem Rechner gespeichert sind, müssen nach erfolgter Vergütung des Tests unwiderruflich gelöscht werden.
Technisch organisatorische Maßnahmen (TOM)
Die nachfolgenden Punkte sind zu beachten, falls im Rahmen von Aufträgen der transfer GmbH personenbezogene Daten verarbeitet werden.
1. Zugangskontrolle / Schutz vor Schadinhalten:
a) Verschlüsselung von „unterwegs“ befindlichen Datenträgern/Festplatten: Falls auf Ihrem Laptop/ Ihrer Festplatte (portabel) personenbezogene Daten gespeichert werden, die im Rahmen von Aufträgen der transfer GmbH erhoben werden, müssen diese verschlüsselt transportiert werden.
b) Verwendung aktueller Firewall-Software / Applikationen / Programme:
– Es ist sicherzustellen, dass die Firewall aktuell ist und funktioniert
– Updates sind regelmäßig durchzuführen
c) Zum Schutz vor Schadinhalten müssen Virenschutzprogramme eingesetzt werden. Insbesondere eingehende E-Mail-Kommunikation muss durch die eingesetzten Virenschutzprogramme überprüft werden. Dabei kann eine Löschung von E-Mails und Dateianhängen erforderlich sein.
2. Zugriffskontrolle:
a) Der Arbeitsplatz ist so zu gestalten, dass Dritte keinen Zugang zu personenbezogenen Daten bekommen können, die im Rahmen von Aufträgen der transfer GmbH verarbeitet werden ohne hierfür berechtigt zu sein. Beim Verlassen des Arbeitsplatzes ist eine Abmeldung zwingend erforderlich, so dass vor der erneuten Nutzung des IT-Systems und/oder der Applikation(en)/ des Online-Erfassungssystem (Shopmetrics) eine Authentifizierung (Benutzername/Passwort) erforderlich ist.
b) Die Bildschirme sind so auszurichten, dass das Risiko der Kenntnisnahme durch Dritte ausgeschlossen werden kann.
c) Informationen in Papierform sind so abzulegen, dass Dritte keine Kenntnisnahme von den Daten erhalten können. Vertrauliche Informationen sind stets unter Verschluss zu halten.
3. Passwort-Gebrauch / Generierung:
Alle IT-Systeme und Applikationen etc. dürfen erst nach hinreichender Authentifizierung des Anwenders nutzbar sein. Die Authentifizierung erfolgt in der Regel durch die Verwendung der Kombination Benutzername und Passwort.
Für die Verwendung von Shopmetrics erhalten Sie ein eigenes Passwort. Dieses Passwort darf keinem Dritten bekannt werden.
Allgemeine Regeln für Passwörter:
– Forderung eines Zeichen-Mixes; Mindestlänge 8 Zeichen
– Systemseitig erzwungener regelmäßiger Wechsel (Min. 6 Wochen / Max. 3 Monate)
– Automatische Bildschirmsperre durch Bildschirmschoner bei Pausen mit Passwort-Aktivierung
– Eine Passworthistorie muss vorliegen
– Es dürfen keine „Gruppen-Passwörter“ verwendet werden, jedes Passwort darf nur einmal verwendet werden
4. Datenspeicherung / Datenempfänger:
a) Eine Speicherung personenbezogener Daten auf Ihrem Laptop / PC ist mit Einschränkung erlaubt, solange diese für die Durchführung des Auftrags zwingend erforderlich ist.
b) Abweichende Speicher- bzw. Verarbeitungsorte müssen mit dem Auftraggeber abgestimmt werden.
Datenempfänger ist ausschließlich die transfer GmbH, eine Übermittlung von Dateien per E-Mail, die personenbezogene Daten enthalten, wird nur in verschlüsselter Form vom Auftraggeber akzeptiert.