Datenschutzerklärung – REQUIRE360
Wir freuen uns, dass Sie unseren webbasierten Online-Dienst REQUIRE360 (im Folgenden „REQUIRE360“ genannt) nutzen möchten.
Im Folgenden informieren wir Sie darüber, wie wir im Rahmen der Bereitstellung und des Betriebs von REQUIRE360 personenbezogene Daten verarbeiten, und stellen dazu die Pflichtangaben gemäß der EU Datenschutz-Grundverordnung (im Folgenden „DS-GVO“ genannt) bereit.
Informationen zur Verarbeitung von personenbezogenen Daten beim Besuch unserer Websites www.tec360.io finden Sie dort unter dem Link mit der Bezeichnung „Datenschutz“.
- Name und Kontaktdaten der für die Verarbeitung Verantwortlichen
Wir, die W+W Consulting GmbH, sind die Verantwortliche gemäß Artikel 4 Ziffer 7 DS-GVO für die Verarbeitung von personenbezogenen Daten in REQUIRE360. Unsere Kontaktdaten sind:
W+W Consulting GmbH
Pforzheimer Straße 75
76275 Ettlingen
Deutschland
E-Mail: team@tec360.io
Telefon: +49 (7243) 529 566
- Bereitstellung von REQUIRE360
2.1 Vertrags-Stammdaten
Die Nutzung von REQUIRE360 setzt den Abschluss eines Nutzungsvertrags voraus (im Folgenden „Nutzungsvertag“ genannt). Im Rahmen des Abschlusses und der Durchführung des Nutzungsvertrags benötigen und verarbeiten wir insb. folgende Angaben (im Folgenden „Vertrags-Stammdaten“ genannt):
- Anschrift Ihres Unternehmens
- Vorname und Nachname eines Ansprechpartners
- E-Mail-Adresse des Ansprechpartners oder generelle E-Mail-Adresse Ihres Unternehmens
- Telefonnummer des Ansprechpartners oder generelle Telefonnummer Ihres Unternehmens
- Vertragsinhalte, einschließlich deren kaufmännischer Eckdaten wie Preise, Laufzeiten etc.
- Korrespondenz, die im Rahmen der Vertragsanbahnung und/oder Vertragsdurchführung anfällt
- Sofern steuerrechtlich notwendig: Umsatzsteuer-Identifikationsnummer Ihres Unternehmens
Rechtsgrundlage für die Verarbeitung der Vertrags-Stammdaten ist Artikel 6 Absatz 1 Satz 1
Buchstabe b) DS-GVO.
2.2 Aufbewahrungs- und Löschfristen für Vertrags-Stammdaten
Die Vertrags-Stammdaten werden von uns bis zum Ablauf folgender Fristen gespeichert und dann gelöscht:
- Verjährungseintritt gemäß §§ 194 ff. Bürgerliches Gesetzbuch (BGB) bzgl. aller potenziellen Ansprüche, die uns oder Ihrem Unternehmen zustehen oder entstehen können.
- Soweit wir gesetzlich zu einer längeren Aufbewahrung personenbezogener Daten verpflichtet sind, z.B. nach den Vorschriften des Handelsgesetzbuchs oder der Abgabenordnung, erfolgt die Löschung erst nach Ablauf der hieraus resultierenden Aufbewahrungsfristen.
- In jedem Fall beträgt die Speicherdauer mindestens 10 Jahre.
- Betrieb von REQUIRE360
3.1 Datenverarbeitung beim Betrieb von REQUIRE360
REQUIRE360 ist ein webbasierter Online-Dienst.
Ihr Unternehmen muss für jede Person, die REQUIRE360 in Ihrem Betrieb nutzt, ein eigenes Benutzerkonto anlegen. Für jeden solchen Nutzer (im Folgenden „Nutzer“ genannt) werden Zugangsdaten erzeugt (im Folgenden „Zugangsdaten“ genannt).
Sie haben diese Zugangsdaten nach Maßgabe von Ziffer 9.2 der „Nutzungsbedingungen für REQUIRE360“ geheim zu halten und vor Missbrauch zu schützen.
REQUIRE360 erlaubt den Unternehmen, die REQUIRE360 nutzen (im Folgenden „Anwender“ genannt), die Erfassung, Erzeugung und Verarbeitung von Daten zum Anforderungsmanagement des Anwenders. Anforderungsmanagement ist der Prozess des Analysierens, Dokumentierens, Verfolgens, Priorisierens und Implementierens von Anforderungen, des anschließenden Kontrollierens von Änderungen und der Kommunikation mit den relevanten Beteiligten bei all den vorstehenden Prozessschritten. Der Anwender kann in REQUIRE360 Personen und deren Rollen im Rahmen des Anforderungsmanagements erfassen, einschließlich deren Kontaktdaten, ferner Inhalte des Anforderungsmanagements und der zugehörigen Unternehmensprozesse sowie Inhalte der betrieblichen Kommunikation zum Anforderungsmanagement. Daneben können in REQUIRE360 erfasste Personen mit den dort ebenfalls erfassten Inhalten verknüpft werden.
Die Kategorien von betroffenen Personen, deren Daten Gegenstand der Datenverarbeitung in REQUIRE360 sind, sind insbesondere Angestellte oder freie Mitarbeiter des Anwenders sowie Berater und Mitarbeiter von Beratungsunternehmen, mit denen der Anwender in Vertragsbeziehung steht.
Die Arten von personenbezogenen Daten, die Gegenstand der Datenverarbeitung in REQUIRE360 sind (diese Daten werden im Folgenden „Anwendungs-Daten“ genannt), sind die oben im 4. Absatz dieser Ziffer 3.1 genannten personenbezogenen Daten.
REQUIRE360 speichert bei seiner Nutzung auf dem Endgerät des jeweiligen Nutzers zwei sog. Web-Token, um die Nutzungs-Sitzung auf dem betreffenden Endgerät zu ermöglichen, zu identifizieren sowie sicher und individuell abzuwickeln. Web-Token sind Textdateien, die auf dem Endgerät keinerlei Schaden anrichten können. Einer dieser Web-Token ist ein sog. Access-Token, der die Sitzung des Nutzers ermöglicht und identifiziert; dieser Access-Token verfällt nach 60 Minuten, soweit er nicht wie nachfolgend beschrieben erneuert wird. Der zweite dieser Web-Token ist ein sog. Refresh-Token, der den Access-Token nach 60 Minuten erneuert, soweit die Nutzungs-Sitzung länger andauert; der Refresh-Token verfällt nach 7 Tagen.
Rechtsgrundlage für die in dieser Ziffer 3.1 beschriebene Datenverarbeitung ist Artikel 6 Absatz 1 Satz 1 Buchstabe b) DS-GVO.
3.2 Aufbewahrungs- und Löschfristen für Anwendungs-Daten
Die Anwendungs-Daten werden von uns, vorbehaltlich einer vorherigen Löschung durch den Anwender bzw. Nutzer oder abweichender Vereinbarungen, gelöscht, sobald sie für die Erfüllung unserer Pflichten aus dem Nutzungsvertrag nicht mehr erforderlich sind.
Für die oben in Ziffer 3.1 genannten Web-Token gilt Folgendes: Der Access-Token wird nach 60 Minuten gelöscht, soweit er nicht durch den Refresh-Token erneuert wird. Der Refresh-Token wird nach 7 Tagen gelöscht.
3.3 Eingesetzte Drittanbieter
Wir setzen beim Betrieb von REQUIRE360 und der zugehörigen Vertragsabwicklung folgende Dienstleister als unsere Auftragsverarbeiter im Sinne von Artikel 4 Nr. 8 DS-GVO, Art. 28 DS-GVO (im Folgenden „Auftragsverarbeiter“ genannt) ein:
Technischer Betrieb von REQUIRE360
Wir setzen beim technischen Betrieb von REQUIRE360 folgenden Dienstleister ein:
Google Cloud EMEA Limited
70 Sir John Rogerson’s Quay
Dublin 2
Ireland
Der für den technischen Betrieb von Google Cloud EMEA Limited relevante Rechenzentrumsstandort ist Frankfurt am Main, Deutschland.
Entgeltabrechnung
Wir setzen für die Abrechnung der vertraglich vereinbarten Entgelte folgenden Dienstleister ein:
billwerk GmbH
Mainzer Landstraße 51
60329 Frankfurt am Main
Deutschland
Die billwerk GmbH nutzt ausschließlich Rechenzentren mit Standort Deutschland.
Anwender- und Nutzerbetreuung
Wir setzen für die Betreuung der Anwender und Nutzer folgende Dienstleister ein:
Ticketsystem
Wir nutzen im Rahmen der Betreuung der Anwender und Nutzer das webbasierte Ticket-System Jira zur Bearbeitung von Support-Anfragen. Unser Vertragspartner ist dabei:
Atlassian Pty Ltd
Level 6
341 George St
Sydney NSW 2000
Australia
Die in Jira verarbeiteten Daten der Anwender und Nutzer werden größtenteils in der EU gespeichert und verarbeitet. Ein Teil der Daten (nämlich wie auf https://support.atlassian.com/security-and-access-policies/docs/understand-data-residency/ beschrieben) wird jedoch gegebenenfalls auch außerhalb der EU gespeichert und verarbeitet.
Bitte beachten Sie zur Datenverarbeitung außerhalb der EU ergänzend unten Ziffer 5.
Customer Relationship Management (CRM) System
Im Rahmen der Kommunikation mit den Anwendern und Nutzern setzen wir das webbasierte Customer Relationship Management (CRM) System ZOHO CRM ein. Unser Vertragspartner ist dabei:
Zoho Corporation GmbH
Trinkausstr. 7
40213 Düsseldorf
Deutschland
Die in ZOHO CRM verarbeiteten Daten der Anwender und Nutzer werden sowohl in der EU als auch in anderen Regionen der Welt gespeichert und verarbeitet.
Bitte beachten Sie zur Datenverarbeitung außerhalb der EU ergänzend unten Ziffer 5.
- Empfänger von Vertrags-Stammdaten und/oder Anwendungs-Daten
Folgende Empfänger können, soweit erforderlich und gesetzlich zulässig, von uns Vertrags-Stammdaten und/oder Anwendungs-Daten erhalten:
- Stellen innerhalb unserer Gesellschaft, soweit diese die personenbezogenen Daten zur Erfüllung unserer vorvertraglichen, vertraglichen oder gesetzlichen Pflichten benötigen,
- die von uns eingesetzten Auftragsverarbeiter,
- sonstige Dienstleister, die wir zur Erfüllung unserer vorvertraglichen, vertraglichen oder gesetzlichen Pflichten einsetzen, z.B. Erbringer von IT-Dienstleistungen, Telekommunikation, Inkasso, Beratung, Rechtsberatung, Steuerberatung, Wirtschaftsprüfung oder sonstige Beratung,
- öffentliche Stellen und Institutionen (z.B. Finanzbehörden, Staatsanwaltschaft, Polizei, Aufsichtsbehörden), jeweils bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung unsererseits,
- Unternehmen, an die wir im Rahmen unserer vertraglichen Beziehungen oder rechtlichen Pflichten personenbezogene Daten übermitteln (z.B. Banken, Auskunfteien, Vorlieferanten, Gesellschafter).
Ungeachtet des Vorstehenden werden wir Vertrags-Stammdaten und/oder Anwendungs-Daten nur dann und auch nur insoweit an Empfänger außerhalb unserer Gesellschaft übermitteln, wenn wir dazu rechtlich verpflichtet oder befugt sind oder wir zur Erteilung einer Auskunft an den Empfänger befugt oder verpflichtet sind.
- Übermittlung in Länder außerhalb der EU oder des EWR
Eine Übermittlung Ihrer personenbezogenen Daten in Drittländer (das sind Länder außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums (EWR)) findet nur statt, soweit dies rechtlich zulässig oder vorgeschrieben ist oder uns die hierfür nötige Einwilligung vorliegt.
Folgende Datenübermittlungen in Drittländer sind beim Betrieb von REQUIRE360 und der zugehörigen Vertragsabwicklung gegebenenfalls relevant:
Ticketsystem Jira
· Wie oben in Ziffer 3.3 beschrieben, nutzen wir im Rahmen der Betreuung der Anwender und Nutzer das webbasierte Ticket-System Jira zur Bearbeitung der jeweiligen Support-Anfragen. · Wir haben mit dem Anbieter von Jira, der Atlassian Pty Ltd, Level 6, 341 George St, Sydney, NSW 2000, Australia (im Folgenden „Atlassian“ genannt), eine Vereinbarung zur Auftragsverarbeitung abgeschlossen und die EU als Serverstandort für die Datenverarbeitung vereinbart. Dennoch speichert und verarbeitet Atlassian einen Teil der Daten (nämlich wie auf https://support.atlassian.com/security-and-access-policies/docs/understand-data-residency/ beschrieben) gegebenenfalls auch in Drittländern wie den USA. In Drittländern und insbesondere in den USA besteht kein mit den Vorgaben der DS-GVO vergleichbares Datenschutzniveau. Es ist möglich, dass staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass wir oder die Anwender / Nutzer davon erfahren. Eine effektive Durchsetzung der Rechte der betroffenen Personen ist in den USA und gegebenenfalls anderen Drittländern voraussichtlich nicht möglich. · Wenn ein Anwender oder Nutzer eine Support-Anfrage an uns schickt oder uns telefonisch eine solche Anfrage stellt, erklärt er damit seine Einwilligung in eine mögliche Datenübermittlung durch Atlassian im Rahmen von Jira in Drittländer wie die USA. · Der Anwender hat die Nutzer in seinem Betrieb vorab über den Inhalt der vorstehenden Aufzählungspunkte aufzuklären. Ziffer 12 der „Nutzungsbedingungen für REQUIRE360“ bleibt unberührt.
Customer Relationship Management System ZOHO CRM
· Wie oben in Ziffer 3.3 beschrieben, setzen wir im Rahmen der Kommunikation mit den Anwendern und Nutzern das webbasierte Customer Relationship Management System ZOHO CRM ein. · Wir haben mit dem Anbieter von ZOHO CRM, der Zoho Corporation GmbH(im Folgenden „Zoho“ genannt), eine Vereinbarung zur Auftragsverarbeitung abgeschlossen. Zoho verarbeitet Daten in Drittländern wie den USA. Dort besteht kein mit den Vorgaben der DSGVO vergleichbares Datenschutzniveau. Es ist möglich, dass staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass wir oder die Anwender / Nutzer davon erfahren. Eine effektive Durchsetzung der Rechte der betroffenen Personen ist in den USA und gegebenenfalls anderen Drittländern voraussichtlich nicht möglich. · Jeder Anwender und Nutzer erklärt mit der Nutzung von REQUIRE360 seine Einwilligung in eine mögliche Datenübermittlung durch Zoho im Rahmen von ZOHO CRM in Drittländer wie die USA. · Der Anwender hat die Nutzer in seinem Betrieb vorab über den Inhalt der vorstehenden Aufzählungspunkte aufzuklären. Ziffer 12 der „Nutzungsbedingungen für REQUIRE360“ bleibt unberührt. |
- Pflicht zur Bereitstellung von personenbezogenen Daten
Im Rahmen des Abschlusses und der Durchführung des Nutzungsvertrags muss uns Ihr Unternehmen nur diejenigen personenbezogenen Daten bereitstellen, die für den Abschluss und die Durchführung des Nutzungsvertrags notwendig sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten können wir den Nutzungsvertrag nicht durchführen. Soweit diese Daten nicht bereitgestellt werden, können wir also unter Umständen den Nutzungsvertrag nicht eingehen oder sind gezwungen, den Nutzungsvertrag zu beenden.
Soweit Ihr Unternehmen REQUIRE360 konkret in Anspruch nimmt, benötigt REQUIRE360 die für die Bereitstellung der von Ihrem Unternehmen genutzten Funktionen von REQUIRE360 notwendigen Anwendungs-Daten (siehe hierzu ausführlich oben in Ziffer 3.1). Ohne diese Anwendungs-Daten kann Ihr Unternehmen die betreffenden Funktionen von REQUIRE360 nicht nutzen.
Im Übrigen besteht keine Pflicht, uns im Zusammenhang mit REQUIRE360 personenbezogene Daten bereitzustellen.
- Betroffenenrechte
Jede Person, deren personenbezogenen Daten wir im Rahmen des Abschlusses und der Durchführung des Nutzungsvertrags und/oder des Betriebs von REQUIRE360 verarbeiten, hat gegenüber uns folgende Rechte hinsichtlich ihrer personenbezogenen Daten:
- Das Recht gemäß Artikel 15 DS-GVO und § 34 BDSG auf Auskunft über ihre von uns verarbeiteten personenbezogenen Daten;
- das Recht gemäß Artikel 16 DS-GVO auf Berichtigung unrichtiger oder Vervollständigung ihrer durch uns gespeicherten personenbezogenen Daten;
- das Recht gemäß Artikel 17 DS-GVO und § 35 BDSG auf Löschung ihrer durch uns gespeicherten personenbezogenen Daten, soweit nicht die Verarbeitung dieser Daten durch uns zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
- das Recht gemäß Artikel 18 DS-GVO und § 35 BDSG auf Einschränkung der Verarbeitung ihrer personenbezogenen Daten, soweit die Richtigkeit der Daten von ihr bestritten wird, die Verarbeitung unrechtmäßig ist, die betroffene Person aber deren Löschung ablehnt und wir die Daten nicht mehr benötigen, die betroffene Person jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt oder sie gemäß Artikel 21 DS-GVO Widerspruch gegen die Verarbeitung eingelegt hat;
- soweit wir die personenbezogenen Daten der betroffenen Person auf Grundlage von berechtigten Interessen gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe f) DS-GVO verarbeiten, hat sie gemäß Artikel 21 DS-GVO das Recht, Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einzulegen, wenn dafür Gründe vorliegen, die sich aus ihrer besonderen Situation ergeben, oder sich der Widerspruch gegen Direktwerbung richtet;
- das Recht gemäß Artikel 20 DS-GVO auf Datenübertragbarkeit, das heißt, das Recht, ihre personenbezogenen Daten, die sie uns bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;
- das Recht gemäß Artikel 7 Absatz 3 DS-GVO, eine von ihr erteilte Einwilligung in eine Verarbeitung von personenbezogenen Daten jederzeit gegenüber uns zu widerrufen; ein solcher Widerruf hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen; die Rechtmäßigkeit einer bis zum Widerruf auf der Basis der Einwilligung erfolgten Verarbeitung von personenbezogenen Daten bleibt unberührt;
- das Recht gemäß Artikel 77 DS-GVO, sich bei einer Aufsichtsbehörde zu beschweren. In der Regel kann sich die betroffene Person hierfür an die Aufsichtsbehörde ihres üblichen Aufenthaltsortes oder Arbeitsplatzes oder des Sitzes unserer Gesellschaft wenden.
- Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 2022-06-10 (Version 1.0).
Durch die Weiterentwicklung von REQUIRE360 oder aufgrund geänderter gesetzlicher, gerichtlicher oder behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung für REQUIRE360 kann jederzeit unter https://tec360.io/datenschutzerklaerung-require360 abgerufen werden.
Stand: 2022-06-10 (Version 1.0)