Öffentliches Verfahrensverzeichnis für Jedermann gemäß $ 4e BDSG
Die Gewährleistung des Datenschutzes und der Schutz Ihrer Persönlichkeitsrechte ist uns ein wichtiges Anliegen. Sie können sicher sein, dass wir mit Ihren Daten verantwortungsbewusst umgehen.
Das Bundesdatenschutzgesetzt (BDSG) schreibt im $ 4g vor, dass der für den Datenschutz Zuständige jedermann in geeigneter Weise die folgenden Angaben entsprechen $ 4e BDSG verfügbar zu machen hat.
1. Name oder Firma der verantwortlichen Stelle
- innotec Marketing GmbH
2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen
- Heinrich Gassen (Geschäftsführer)
heinrich.gassen@innotec-marketing.de
- Lutz Küper (Geschäftsführer)
lutz.kueper@innotec-marketing.de
- Dominik Defilippi (IT Administrator)
dominik.defilippi@innotec-marketing.de
- Frank Bredul (Datenschutzbeauftragter)
frank.bredul@innotec-marketing.de
3. Anschrift der verantwortlichen Stelle
Kasinostr. 19-21
42103 Wuppertal
4. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung
Gegenstand des Unternehmens ist die Erbringung von Leistungen und Diensten auf den Gebieten:
- Inside account management
- Business value selling
- Campaign selling
- Event invitation
- Profiling
- Deep profiling
- Address screening
Die innotec Marketing GmbH erhebt, verarbeitet und nutzt personenbezogene Daten zur Erfüllung der zuvor beschriebenen Zwecke im Business-to-Business Bereich.
5. eine Beschreibung der betroffenen Personengruppe und der diesbezüglichen Daten oder Datenkategorien
Die betroffenen Personengruppen ergeben sich aus der Zweckbestimmung (Nr. 4). Es handelt sich um folgende Datenkategorien, wobei grundsätzlich zu unterscheiden ist zwischen externen Kundendaten und internen Daten, die für die eigenen Zwecke der innotec Marketing GmbH notwendig sind.
a) Externe Daten
Die Verarbeitung von externen Kundendaten ist aus den Auskunftspflichten ausgenommen, da für diese Daten ausschließlich der Auftraggeber verantwortlich ist.
b) Interne Daten
- Kundendaten/ Debitorendaten
- Lieferantendaten/ Kreditorendaten
- Personaldaten
- Sonstige personengebundene Daten
6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
- Öffentliche Stellen, sofern Rechtsvorschriften die erfordern
- Interne Stellen, soweit diese Daten im Rahmen ordnungsgemäßer Aufgabenerfüllung dort benötigt werden
- Dienstleister ($11 BDSG), die zur ordnungsgemäßen Geschäftsabwicklung eingeschaltet werden
- Externe Stellen zur ordnungsgemäßen Erfüllung der unter Nr. 4 genannten Zwecke
- Auftraggeber im Rahmen der Projektrichtlinien
7. Regelfristen für die Löschung der Daten
- Die Löschung der Daten erfolgt nach den gesetzlichen oder vertraglichen Aufbewahrungsfristen.
- Sofern Daten hiervon nicht betroffen sind, werden sie gelöscht, wenn die unter Nr. 4 genannten Zwecke entfallen sind (Projektende/Auftragsende)
8. eine geplante Datenübermittlung in Drittstaaten
- Derzeit sind keine Datenübermittlungen in Drittstaaten vorgesehen.
9. Festgelegte Maßnahmen nach § 9 BDSG beim Auftragnehmer Auftragsdatenverarbeiter
Zutrittskontrolle
Es existieren folgende Maßnahmen zur Zutrittskontrolle:
1) Die Geschäftsräume nur sind für Mitarbeiter mit elektronischen Zutrittsberechtigungsaus-weisen zugänglich. Dies gilt für sämtliche Zugangswege, die mit entsprechenden Kartenlesegeräten ausgestattet sind. Die Karten der operativ tätigen Mitarbeiter sind so programmiert, dass nachts und an Wochenenden kein Zutritt möglich ist.
2) Firmenfremde werden vom Portier am Zentralempfang im Erdgeschoss angemeldet, nur persönlich in Empfang genommen und verabschiedet. Der Zentralempfang ist ganzjährig von 0-24 Uhr besetzt. Ein Wachschutz kontrolliert das Mietobjekt durchgängig. Eine Alarmanlage existiert.
3) Besucher werden im Präsentationsbereich empfangen, bekommen zeitlich begrenzte Besucherausweise ausgehändigt und gelangen nur unter Aufsicht in Bereiche, wo personenbezogene Daten bearbeitet und genutzt werden.
4) Die Serveranlagen sind räumlich getrennt und gesondert verschlossen (in Besitz der Schlüssel sind nur die Geschäftsführung und der IT-Leiter).
Zugangskontrolle
Es existieren folgende Maßnahmen zur Zugangskontrolle:
1) Ein Zugang zu den Datenverarbeitungssystemen ist nur den im Projekt tätigen Mitarbeitern möglich, Anwesenheitsaufzeichnungen finden permanent statt. Sämtliche PC-Arbeitsplätze mit Zugang zum Firmennetzwerk (LAN) können nur mit dem persönlichen Zugangsdaten eines Mitarbeiters genutzt werden.
2) Eine Rechtevergabe über Microsoft Active-Directory Benutzerstamm ist gewährleistet. Es existieren Firewallsysteme (Microsoft ISA-Server)an allen Standorten (Verknüpfung über gesicherte VPN-Verbindung (IPsec)
Zugriffskontrolle
Es existieren folgende Maßnahmen zur Zugriffskontrolle:
1) Eine persönliche Identifikation am PC-Arbeitsplatz und gegenüber dem Datenver-arbeitungssystem mittels Benutzername und Passwort ist unumgänglich, die Anmeldezeiten im DV-System sind dokumentiert
2) Nur nach schriftlicher Genehmigung durch die Geschäftsleitung kann ein Zugriff auf Projektdatenbanken über gesonderte Rechtevergabe auf Datenbankebene ermöglicht werden.
3) Reports und Datenbankauszüge werden nur nach vorheriger schriftlicher Genehmigung der Geschäftsleitung angefertigt. Mitarbeiter können die Daten nicht aus den Datenbanken extrahieren.
4) Netzwerkzugriffe auf Projektordner o.ä. werden über Rechteverwaltungen (NTFS) und Gruppenrichtlinien geregelt. Änderungen bedürfen einer schriftlichen Genehmigung.
Weitergabekontrolle
Es existieren folgende Maßnahmen zur Weitergabekontrolle:
1) Dokumentation der Abruf- und Übermittlungsprogramme, die Konfiguration der PC-Arbeitsplätze erlaubt kein Extrahieren von Datenbeständen via USB-Schnittstelle, CD-Laufwerk o.ä.
2) Der kennwortgeschützte Versand von Datenbankauszügen via E-Mail wird ausschließlich von den Operations Managern durchgeführt.
3) Projektdaten werden nur nach schriftlicher Genehmigung durch die Geschäftsleitung auf mobilen Endgeräten (Notebooks) oder mobilen Massenspeichergeräten kopiert.
4) Schreibzugriff auf mobile Massenspeichergeräte (USB-Flashdrive) ist grundsätzlich der Geschäftsführung und den Operations Managern vorbehalten
5) Nicht mehr benötigte Datenträger oder Printmaterialien werden vollständig vernichtet.
6) Plausibilitäts-, Vollständigkeits- und Richtigkeitsprüfungen finden regelmäßig statt.
Eingabekontrolle
Es existieren folgende Maßnahmen zur Eingabekontrolle:
1) Die Eingabe von Daten kann nachweislich zugeordnet und von IT/Geschäftsleitung überprüft werden, Datensatzänderungen werden auf Datenbankebene von der CRM-Software geloggt.
2) Datenänderungen in den Projektordnern werden über Windows-Auditing protokolliert.
Verfügbarkeitskontrolle
Es existieren folgende Maßnahmen zur Verfügbarkeitskontrolle:
1) Tägliche Datensicherung über Microsoft Data Protection Manager (Schattenkopieverfahren).
2) Backup-to-Disk und Backup-to-Tape Verfahren finden Anwendung, eine unterbrechungsfreie Stromversorgung über USV ist gegeben.
3) Es existiert ein HD Spiegelungsverfahren via RAID-System, die permanente Datenverfügbarkeit ist über den Einsatz einen SAN gegeben.
Verwendungszweckkontrolle
Es existieren folgende Maßnahmen zur Verwendungszweckkontrolle:
Ein Datenschutzbeauftragter überwacht permanent die Einhaltung von Regelungen und Maßnahmen und nimmt situationsgerecht Anpassungen vor, die stets der aktuellen Gesetzeslage entsprechen.
Trennungskontrolle
Es existieren folgende Maßnahmen zur Trennungszweckkontrolle:
Die Projektdaten werden logisch getrennt gesichert.
Projektbezogene Datenbanken enthalten ausschließlich die projektrelevanten Daten (Zugriffskontrolle auf Datenbank- und NTFS-Ebene)
Datensicherung
Es existieren folgende Maßnahmen zur Verwendungszweckkontrolle:
Die Projektdaten werden dual gesichert:
- Backup-to-Tape
- Backup-to-Disk
- Schattenkopien und Datei-Wiederherstellungspunkte werden verwendet werden täglich mehrfach erstellt
- Eine vollständige Sicherung erfolgt wöchentlich
- Sicherungsausführung per M
- Microsoft Data Protection Manager
- Externe Backup-Lagerung
- Hardware: DELL PowerEdge 2950, DELL PowerVault 124T