Datenschutz

Information zur Datenschutzgrundverordnung (DSGVO)

Die Firma orgacalc GmbH verpflichtet sich, die geltenden Datenschutzbestimmungen nach der Datenschutzgrundverordnung (Verordnung (EU) 2016/679, kurz: DSGVO) einzuhalten und alle notwendigen technischen und organisatorischen Maßnahmen nach den geltenden Datenschutzbestimmungen der DSGVO zu treffen.

Wir informieren Sie hiermit über die Verarbeitung Ihrer personenbezogenen Daten in unserem Unternehmen. Bei datenschutzrechtlichen Anfragen über Ihre von uns verwendeten Daten wenden sie sich an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.

Welche Daten werden verarbeitet?

Wir verarbeiten die personenbezogenen Daten, die wir im Rahmen der Geschäftsbeziehung von Ihnen erhalten und die wir ergänzend von Ihrer Homepage entnehmen können. Zu den personenbezogenen Daten zählen Ihre Personalien (Name, Adresse, Telefonnummer, Mailadresse, Mitarbeiter). Darüber hinaus werden auch Auftragsdaten samt den entsprechenden Rechnungen und Zahlungseingängen im System verwaltet.

Für welche Zwecke werden die Daten verarbeitet?

Wir verarbeiten Ihre personenbezogenen Daten im Einklang mit folgenden datenschutzrechtlichen Vorschriften:

Erfüllung von vertraglichen Pflichten

Die Verarbeitung personenbezogener Daten erfolgt zur Durchführung ihrer Aufträge und Verträge (Wartung) mit Ihnen.

Zur Erfüllung rechtlicher Verpflichtungen

Eine Speicherung personenbezogener Daten ist zum Zweck der Erfüllung unterschiedlicher gesetzlicher Verpflichtungen erforderlich:

  • Rechnungen
  • Gewährleistung, Schadenersatz
  • Telefonaufzeichnungen (z.B. bei Beschwerdefällen)
  • Protokolle für Dienstleistungen und Weiterentwicklung von orgacalc

Informationen im Rahmen Ihrer Einwilligung

Wenn Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt haben, erfolgt eine Verarbeitung nur gemäß den in der Zustimmungserklärung festgelegten Zwecken und im darin vereinbarten Umfang. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Alle Informationen (wie etwa Schließungstage, Urlaub, Fenstertage) von orgacalc wären dann der Homepage zu entnehmen.

Wer erhält ihre Daten?

Es erhalten nur diejenigen MitarbeiterInnen oder Subdienstleister von orgacalc Ihre Daten, die diese zur Erfüllung der vertraglichen und gesetzlichen Pflichten benötigen.

Wie lange werden ihre Daten gespeichert?

Wir verarbeiten Ihre personenbezogenen Daten, soweit erforderlich, für die Dauer der gesamten Geschäftsbeziehung (von der Anbahnung, Abwicklung bis zur Beendigung eines Vertrags) sowie darüber hinaus gemäß den gesetzlichen Aufbewahrungs- und Dokumentationspflichten. Die Löschung Ihrer Daten erfolgt danach.

Welche Datenschutzrechte stehen ihnen zu?

Sie haben jederzeit ein Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung Ihrer gespeicherten Daten, ein Widerspruchsrecht gegen die Verarbeitung sowie ein Recht auf Datenübertragbarkeit gemäß den Voraussetzungen des Datenschutzrechts.

Was passiert bei Support & Fernwartung

Zum Zwecke der besseren Kundenunterstützung verwendet orgacalc bei Supportanfragen auf Wunsch des Kunden die Software RustDesk oder TeamViewer. Diese Fernwartung kommt nur mit Einverständnis des Kunden zustande und besteht auch nur während des Supports. Sofern es sich als notwendig herausstellen sollte, dass die Fernwartung über die Dauer des direkten Gesprächs erhalten bleiben soll, oder dass die Datenbank des Kunden zu orgacalc kopiert werden muss, verpflichtet sich orgacalc, den Vorgang zu protokollieren und alle Daten nach Beendigung des Supportfalls zu löschen oder zu anonymisieren.

Technisch-organisatorische Maßnahmen

Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle 

Der Zutritt in die Räumlichkeiten der orgacalc GmbH ist ausschließlich autorisierten Mitarbeitern vorbehalten. Der Zugang zum Gebäude wird durch ein Schließsystem gesichert, das den Zutritt nur für berechtigte Personen ermöglicht. Zusätzlich wird der Zutritt durch ein Zeiterfassungssystem protokolliert, welches auch die Ein- und Austrittszeiten der Mitarbeiter erfasst. Diese Maßnahmen stellen sicher, dass Unbefugte keinen Zugang zu sensiblen Bereichen erhalten und tragen somit maßgeblich zur Sicherstellung der Vertraulichkeit der Daten bei. 

Zugangskontrolle 

Alle Rechner der orgacalc GmbH sind durch Kennwörter geschützt, um sicherzustellen, dass nur autorisierte Mitarbeiter auf die Systeme zugreifen können. Jeder PC wird ausschließlich von einem bestimmten Mitarbeiter genutzt, was das Risiko unbefugter Zugriffe minimiert. Externe Zugänge, wie sie im Homeoffice genutzt werden, sind ausschließlich über gesicherte VPN-Verbindungen möglich. Diese VPN-Verbindungen sind durch moderne Verschlüsselungstechnologien abgesichert, um die Sicherheit und Vertraulichkeit der übertragenen Daten zu gewährleisten.

Zugriffskontrolle

Die orgacalc GmbH stellt sicher, dass Benutzer nur mit den notwendigen Berechtigungen ausgestattet sind, die sie für ihre jeweiligen Aufgaben benötigen. Diese Berechtigungen werden zentral auf einem Windows-Server verwaltet. Durch ein striktes Rollen- und Rechtemanagement wird gewährleistet, dass Mitarbeiter nur auf die Daten und Systeme zugreifen können, die für ihre Tätigkeit erforderlich sind. Die Verwaltung und Zuweisung der Berechtigungen erfolgt gemäß den Prinzipien der Minimalrechte (Least Privilege) und der Notwendigkeit des Zugriffs (Need to Know), um unbefugten Zugriff auf Daten zu verhindern und die Vertraulichkeit und Integrität der Daten zu schützen.

Trennungskontrolle 

Eine eventuelle Verarbeitung von sensiblen Daten oder Datenbanken erfolgt lokal auf den Rechnern der Mitarbeiter der orgacalc GmbH. Diese lokalen Daten sind im Netzwerk nicht für andere Personen zugänglich, wodurch eine strikte Trennung und Sicherstellung der Vertraulichkeit gewährleistet wird.

Im Rahmen der Betreuung werden typischerweise keine permanenten Fernwartungszugänge genutzt. In diesen Fällen liegen die Daten ohnehin nicht bei der orgacalc GmbH, sondern verbleiben vollständig unter der Kontrolle des Kunden. Dies stellt sicher, dass eine klare Trennung der Daten nach ihrem Verarbeitungszweck und ihrem Eigentümer erfolgt, und verhindert eine unzulässige Vermischung von Daten verschiedener Herkunft.

Pseudonymisierung

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen; (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle

Zur Sicherstellung, dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden, setzt die orgacalc GmbH verschiedene Maßnahmen ein. Zu den gängigen Maßnahmen gehört die Verschlüsselung von Daten während der Übertragung, beispielsweise durch die Nutzung von SSL/TLS für die sichere Datenübertragung über Netzwerke und Firewallsysteme.

Eingabekontrolle 

Um sicherzustellen, dass nachvollzogen werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt wurden, implementiert die orgacalc GmbH Protokollierungs- und Überwachungssysteme. Diese Systeme zeichnen jede Aktion, die an den Daten durchgeführt wird, in detaillierten Logdateien auf. Die Logdateien enthalten Informationen über den Benutzer, die durchgeführte Aktion, den Zeitpunkt der Aktion und das betroffene Datenelement.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeitskontrolle 

Gängige Maßnahmen zum Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust umfassen regelmäßige Datensicherungen (Backups) auf separaten und gesicherten Speichermedien, redundante Serverstrukturen, unterbrechungsfreie Stromversorgung (USV) und die Nutzung von Rechenzentren mit hoher physischer Sicherheit. Darüber hinaus werden Systeme zur Erkennung und Abwehr von Malware und Cyberangriffen implementiert.

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1lit. c DS-GVO);

Für die rasche Wiederherstellbarkeit der Daten werden regelmäßige Tests der Backup- und Wiederherstellungsverfahren durchgeführt. Des Weiteren kommen Disaster-Recovery-Pläne zum Einsatz, die klare Anweisungen und Verantwortlichkeiten für die Wiederherstellung der Systeme im Falle eines Datenverlustes oder Ausfalls beinhalten. Hierdurch wird sichergestellt, dass die Daten und Dienste schnellstmöglich wieder verfügbar sind.

Verfahren zur regelmäßigen Überprüfung, Bewertung und

Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Datenschutz-Management;

Die orgacalc GmbH überprüft regelmäßig die Datenschutzpraktiken und bewertet die damit verbundenen Risiken. Dabei werden alle personenbezogenen Daten systematisch erfasst, identifiziert und dokumentiert, um einen umfassenden Überblick über die Datenverarbeitungsvorgänge zu gewährleisten.

Incident-Response-Management;

Ein organisatorisches und technisches Verfahren für den Umgang mit Sicherheitsvorfällen ist definiert und implementiert. Bei Auftreten eines Vorfalls wird eine Nachbearbeitung und Kontrolle durchgeführt, um einen kontinuierlichen Verbesserungsprozess sicherzustellen. Der Auftragnehmer benachrichtigt den Auftraggeber unverzüglich über den Vorfall. Alle Vorfälle werden dokumentiert und regelmäßig ausgewertet, um die Sicherheit fortlaufend zu verbessern.

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO);

Die orgacalc GmbH stellt sicher, dass alle IT-Systeme und Anwendungen standardmäßig datenschutzfreundliche Voreinstellungen haben. Es werden nur die unbedingt notwendigen personenbezogenen Daten erhoben und verarbeitet, und diese Daten sind standardmäßig geschützt. Bei der Implementierung neuer Systeme und Anwendungen wird darauf geachtet, dass die Datenschutzeinstellungen die Privatsphäre der Nutzer maximal schützen. Regelmäßige Überprüfungen dieser Voreinstellungen sorgen dafür, dass sie den aktuellen Datenschutzanforderungen entsprechen.

Auftragskontrolle

Keine Auftragsverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen