Um unsere Dienstleistungen und Kommunikationen für Sie zu optimieren, benötigen wir noch ein paar weitere Informationen:

Um unsere Dienstleistungen und Kommunikationen für Sie zu optimieren, benötigen wir noch ein paar weitere Informationen:

MaritzCX DSGVO Überblick

Überblick

Seit dem 25. Mai 2018 ist das neue EU-Datenschutzgesetz in allen EU-Mitgliedstaaten wirksam. Die Datenschutzgrundverordnung (DSGVO) harmonisiert die Datenschutzvorschriften innerhalb der EU-Mitgliedsstaaten und ersetzt die EU-Datenschutzrichtlinie 95/46/EG.

Wenn Sie die DSGVO lesen möchten, finden Sie sie HIER.

Einführung

Die DSGVO ist eine europäische Gesetzgebung zur Harmonisierung des Datenschutzes in der EU. Sie schreibt den Unternehmen neue Vorschriften zum Schutz der Verbraucher in Bezug auf Datenverarbeitung, Zugriff und Sicherheit sowie eine strengere Durchsetzung von Verstößen gegen die Vorschriften vor.

Die DSGVO geschaffen, um sechs Kernprinzipien (Artikel 5) für den Umgang mit personenbezogenen Daten zu adressieren und einzuhalten.

Rechtmäßigkeit, Fairness und Transparenz

Personenbezogene Daten sollten rechtmäßig, fair und transparent verarbeitet werden.

Zweck-Beschränkung

Personenbezogene Daten sollten nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht über diese Zwecke hinaus verarbeitet werden.

Daten-Minimierung

Die Daten sollten sich auf das beschränken, was für die Zwecke, für die sie verarbeitet werden, relevant, notwendig und angemessen sind.

Genauigkeit

Die gesammelten Daten sollten korrekt sein und, wo nötig, auf dem neuesten Stand gehalten werden.

Speicher-begrenzung

Die Daten sollten in einer Form aufbewahrt werden, die eine Identifizierung der betroffenen Personen nicht länger erlaubt, als es für den festgelegten Zweck der Verarbeitung erforderlich ist.

Integrität und Vertraulichkeit

Informationen sollten so verarbeitet werden, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist.

Die DSGVO befasst sich auch mit einem anderen Grundsatz, der als Rechenschaftspflicht bezeichnet wird. Dieses Prinzip setzt voraus, dass die Unternehmen den Regulierungsbehörden die Einhaltung der DSGVO nachweisen können. Zum Beispiel hat MaritzCX einen Prozess etabliert, um Anfragen von Einzelpersonen bezüglich der Daten, die wir über sie haben, zu managen, und können nachweisen, dass wir die richtigen Maßnahmen ergriffen haben.

Die DSGVO enthält mehrere neue Schutzmaßnahmen und droht mit erheblichen Strafen bei Nichteinhaltung. Darüber hinaus gibt es neue Sicherheits-, Aufzeichnungs-, Zugriffsrechte- und Benachrichtigungsverfahren, die Unternehmen einführen müssen, um die Einhaltung der Vorschriften zu gewährleisten. Besonders hervorzuheben sind die erhöhten administrativen Anforderungen und die Notwendigkeit, die essentiellen Werkzeuge zur Verfügung zu stellen, um die zahlreichen Verpflichtungen sowohl für die verantwortlichen Stellen als auch für die Verarbeiter zu erfüllen.

MaritzCX und die DSGVO

MaritzCX nimmt Datenschutz und Datensicherheit sehr ernst. Kern unseres Geschäfts ist die Erhebung und Verbreitung von Kundendaten, die fast immer personenbezogene Daten beinhalten. Wir sorgen dafür, dass wir die Daten, mit denen wir umgehen, rechtmäßig und transparent erheben, verarbeiten und weitergeben.

Zu diesem Zweck möchten wir Ihnen einige Informationen über die Praktiken und Verfahren von MaritzCX im Zusammenhang mit der Datenerhebung und der Einhaltung der DSGVO-Richtlinien mitteilen.

Sicherheit

Die MaritzCX-Plattform enthält zahlreiche Sicherheitsfunktionen, die uns zur vertrauenswürdigen Plattform für über 200 Großunternehmen machen. Unser Ziel ist es, die Sicherheit personenbezogener Daten zu gewährleisten, die a) dem Risiko angemessen ist und b) die Rechte des Einzelnen schützt. Um dies zu erreichen, hat MaritzCX die folgenden technischen und organisatorischen Maßnahmen ergriffen, um die Sicherheit personenbezogener Daten zu gewährleisten und die Anforderungen der DSGVO zu erfüllen.

Rollenbasierter Zugriff, auf die Benutzer zugeschnitten

Die MaritzCX-Plattform ermöglicht es Administratoren, Berichte und Dashboards vollständig anzupassen. Dieser Ansatz ermöglicht es Ihnen, den Zugriff auf der Grundlage der geringsten Privilegien und Kenntnisse aufs Wesentliche zu minimieren, ohne Ihre Programmziele zu einzuschränken.

Schutz von Daten bei der Übertragung und in der Datenpause

MaritzCX bietet Verschlüsselung für alle Daten während der Übertragung. Für Kunden, die einen zusätzlichen Schutz wünschen, bieten wir die Verschlüsselung von Daten in der Datenpause an.

Flexibilität für Datenverantwortliche, die anonymisieren wollen

Obwohl MaritzCX als Verarbeiter dient, können wir direkt mit Controllern arbeiten, um einzelne Felder oder ganze Befragungen zu anonymisieren. Die Kombination von Technologie und Services gibt den Controllern die Flexibilität, sich an veränderte Programmanforderungen anzupassen.

Audit-Protokolle für Controller und Verarbeiter

Als Unternehmenslösung bietet die MaritzCX-Plattform integrierte Audit-Protokolle für Controller mit administrativem Zugriff. Zusätzlich zu den in der Plattform integrierten Protokollen implementieren die Teams von MaritzCX Security und Operations weiterhin Protokollierungslösungen, die Einblicke und Warnungen liefern.

Transparenz und einfache Einholung von Einverständniserklärungen 

Die MaritzCX-Plattform enthält eine integrierte Funktion für Kontrolleure, um die Einwilligung der Benutzer einzuholen oder diese über ihre Absichten nach der Datenerfassung zu informieren. Darüber hinaus bietet die MaritzCX-Plattform die Möglichkeit, wie von der DSGVO gefordert, die Datenerfassung abzulehnen.

Sicherheit und Datenschutz durch Design

Unser risikobasierter Ansatz für Sicherheit und Operations ermöglicht es den MaritzCX-Teams, Prioritäten zu setzen, die Sicherheit und Datenschutz mit der Entwicklung von Funktionen zusammenzubringen. Dieser ganzheitliche Ansatz trägt dazu bei, dass Enterprise CX-Manager eine Lösung erhalten, die sowohl ihre CX-Ziele als auch die Anforderungen ihrer internen Sicherheitsteams erfüllt.

Formalisierte Richtlinien und umfassende Verfahren

Wie von den DSGVO-Regulierungsbehörden vorgeschlagen, hat MaritzCX sein internes Sicherheitsprogramm verstärkt, um einen dokumentierten Standard zu erfüllen. Unter Verwendung des ISO27001-Frameworks hat MaritzCX umfassende Verfahren entwickelt, die sich mit den vom DSGVO definierten Regeln für das Incident Management und die Meldung von Verstößen befassen.

Gold-Standard Fremdüberprüfung

Zusätzlich zu den technischen Merkmalen, die die DSGVO-Anforderungen unterstützen, haben wir uns zur externen Überprüfung dieser Kontrollen verpflichtet. MaritzCX strebt derzeit eine Zertifizierung nach ISO 27001 bis Ende 2018 an. Als Goldstandard für SaaS-Anbieter wurde ISO27001 von den DSGVO-Regulierungsbehörden als Beweis für ein ausgereiftes Programm identifiziert, das das Gesamtrisiko bei der Datenverarbeitung senkt.

Datenschutzerklärung

MaritzCX hat seine Datenschutzerklärung mit den für unser Unternehmen geltenden DSGVO-Schutzbestimmungen aktualisiert. Bitte nehmen Sie sich einen Moment Zeit, um die aktualisierte MaritzCX-Datenschutzrichtlinie zu lesen, um zu sehen, wie wir daran arbeiten, die Datenschutzrechte der Benutzer zu schützen und zu erhöhen.

Privacy Policy

Datenübermittlung

EU-U.S. Datenschutzschild. MaritzCX ist nach dem vom US-Handelsministerium festgelegten Privacy Shield Framework für die Erhebung, Verwendung, Verarbeitung und grenzüberschreitende Übermittlung personenbezogener Daten aus der EU in die USA zertifiziert.

MaritzCX verpflichtet sich, alle personenbezogenen Daten, die aus EU-Mitgliedsstaaten übermittelt werden, in Übereinstimmung mit den Anforderungen des EU-U.S. Privacy Shield Abkommens zu verwalten. Gemäß den Privacy Shield Vorgaben ist MaritzCX verantwortlich für die Verarbeitung der persönlichen Daten, die es erhält und anschließend an Dritte weitergibt. MaritzCX entspricht den Privacy Shield Regeln für die Weiterleitung personenbezogener Daten aus der EU, einschließlich der Bestimmungen über die Weiterleitungshaftung. Die europäischen MaritzCX-Gesellschaften haben überdies die sogenannten EU Standardvertragsklausen mit der Muttergesellschaft in den USA abgeschlossen.

Um mehr über das Privacy Shield Abkommen zu erfahren und die Maritz-Zertifizierungen einzusehen, besuchen Sie https://www.privacyshield.gov/welcome bzw. https://www.privacyshield.gov/participant?id=a2zt00000004F0AAAU&status=Active und suchen Sie die Maritz-Tochtergesellschaft oder -Niederlassung.

DSGVO | MaritzCX FAQ

  • Behandelt MaritzCX geschäftliche E-Mail-Adressen und Kontaktinformationen als ``Persönliche Daten``?

    Personenbezogene Daten werden vom DSGVO als „alle Informationen über eine identifizierte oder identifizierbare natürliche Person“ definiert. Diese weit gefasste Definition umfasst Arbeits-E-Mail-Adressen, die den Namen des Geschäftspartners oder alle geschäftlichen Kontaktinformationen enthalten, die mit einer Person in Verbindung stehen, wie z. B. Name, Berufsbezeichnung, Firma, Geschäftsadresse, Telefonnummer, etc. Personenbezogene Daten sind jedoch keine generischen Geschäftsnamen, Geschäftsadressen, generische E-Mail-Adressen oder sonstige allgemeine Geschäftsinformationen, sofern diese nicht mit einer Person verknüpft sind.

  • Berücksichtigt MaritzCX das Recht auf Vergessenwerden?

    Nur auf Anweisung unserer Kunden als Datenverantwortliche. Die DSGVO weist darauf hin, dass Menschen in manchen Situationen ein „Recht auf Vergessenwerden“ haben, aber dieses Recht ist nicht absolut. Vielmehr gibt es dies nur in den folgenden sechs Situationen – viele davon gelten nicht für personenbezogene Daten, die im Rahmen eines Arbeitsverhältnisses erhoben werden.

    1. Unternehmen müssen Daten nach Aufforderung löschen, wenn sie nicht mehr benötigt werden.
    2. Unternehmen sind verpflichtet, Daten nach Aufforderung zu löschen, wenn die Daten ausschließlich aufgrund einer Einwilligung verarbeitet wurden.
    3. Unternehmen müssen Daten nach Aufforderung löschen, wenn die Daten aufgrund des berechtigten Interesses des für die Verarbeitung Verantwortlichen bearbeitet wurden und dieses Interesse durch die Rechte des Betroffenen aufgewogen wird.
    4. Unternehmen müssen Daten bei Aufforderung löschen, wenn sie unrechtmäßig verarbeitet werden.
    5. Unternehmen müssen Daten nach Aufforderung löschen, wenn die Löschung gesetzlich vorgeschrieben ist.
    6. Unternehmen müssen Daten nach Aufforderung löschen, wenn sie von einem Kind (unter 16 Jahren) im Rahmen eines Dienstes der Informationsgesellschaft erhoben werden

    Auch wenn ein Recht auf Vergessenwerden besteht, sollte die Löschung nur unter der ausdrücklichen Anweisung des Inhabers der Daten erfolgen.

  • Müssen Unternehmen immer die Zustimmung von Personen einholen, bevor sie ihr Daten verwenden?

    Nein. Die DSGVO erlaubt es Unternehmen, personenbezogene Daten zu verarbeiten, solange eine von sechs Situationen zutrifft:

    1. Einwilligung. Wenn ein Unternehmen die Einwilligung einer Person einholt, reicht es in der Regel aus, dass das Unternehmen die Daten der Person verarbeitet.
    2. Notwendig, um einen Vertrag zu erfüllen. Wenn ein Unternehmen personenbezogene Daten über eine Person im Rahmen der Durchführung eines Vertrags mit dieser Person sammelt, muss das Unternehmen nicht gesondert um Zustimmung bitten. Wenn eine Person beispielsweise eine E-Commerce-Website besucht und Lebensmittel bestellt, die sie nach Hause liefern möchte, ist der Betreiber der Website nicht verpflichtet, den Verbraucher um seine Zustimmung zu bitten, Lieferinformationen zu sammeln, diese Informationen bei Bedarf zu übermitteln oder diese Informationen zur Bearbeitung einer Bestellung zu verwenden.
    3. Notwendig, um einer gesetzlichen Verpflichtung nachzukommen. Wenn ein Unternehmen Informationen über eine Person verarbeitet, um einer gesetzlichen Verpflichtung nachzukommen, die dem Unternehmen auferlegt wird, bedarf es nicht der Zustimmung dieser Person zur Verarbeitung der Informationen. Wenn eine Bank beispielsweise verdächtige Finanztransaktionen an Behörden melden muss, die mit der Identifizierung von Geldwäsche beauftragt sind, muss sie ihre Kunden nicht um ihre Zustimmung zur Erhebung, Verarbeitung oder Übermittlung dieser Informationen bitten.
    4. Notwendig, um lebenswichtige Interessen einer natürlichen Person zu schützen. Wenn eine Person Informationen verarbeitet, um die „lebenswichtigen Interessen“ einer Person zu schützen, braucht sie die Person nicht um ihre Zustimmung zu bitten. Zum Beispiel, wenn ein Unternehmen den Namen einer Person erhebt, die einen Unfall in ihren Räumlichkeiten erlitten hat, und ihre Identität zur Erbringung medizinischer Hilfe übertragen wird, ist es nicht erforderlich, die Zustimmung der Person einzuholen.
    5. Die Verarbeitung ist für die Erfüllung einer Aufgabe im öffentlichen Interesse erforderlich. Wenn der Zweck der Informationsverarbeitung darin besteht, eine Aufgabe zu erfüllen, die im „öffentlichen Interesse“ liegt, braucht ein Unternehmen nicht die Zustimmung dieser Person.
    6. Die Verarbeitung ist für ein berechtigtes Interesse des Datenverantwortlichen erforderlich. Wenn der Zweck der Verarbeitung darin besteht, ein berechtigtes Interesse eines Datenverantwortlichen zu fördern (z. B. Direktmarketing), muss der für der Datenverantwortliche sicherstellen, dass seine Interessen nicht durch das Interesse der „Grundrechte und -freiheiten der betroffenen Person“ übertrumpft werden. Ist dies der Fall, benötigt ein Unternehmen keine Einwilligung zur Verarbeitung seiner personenbezogenen Daten.
  • Deckt die DSGVO-Meldevorschrift für Datenverstöße die gleiche Art von Daten ab wie die US-Meldevorschrift für Datenverstöße?

    Nein. In den Vereinigten Staaten hat fast jeder Staat und jedes Bundesgebiet sein eigenes Datenschutzgesetz. Darüber hinaus gibt es mehrere Bundesgesetze zur Meldung von Verstößen mit nationaler Geltung, die für bestimmte Branchen gelten. Fast alle der Vereinigten Staaten Meldevorschriften gelten nur für bestimmte Kategorien von sensiblen Informationen (wie z. B. Sozialversicherungsnummern, Führerscheinnummern, Gesundheitsinformationen oder finanzielle Kontonummern).

    Die Bestimmung zur Meldung von DSGVO-Verletzungen ist viel weiter gefasst. Sie gilt potenziell für jeden Datenverstoß, der „personenbezogene Daten“ betrifft. Dieser Begriff umfasst alle Informationen über eine identifizierte oder identifizierbare Person. Infolgedessen könnte theoretisch ein so harmloser Verlust personenbezogener Daten, wie eine Namensliste eine Meldepflicht in Europa auslösen, würde aber selten, wenn überhaupt, eine Meldepflicht in den USA auslösen.

  • Was braucht MaritzCX, um Daten von einem Büro in der EU zu einem unserer Büros oder Rechenzentren in den USA zu übertragen?

    Bevor wir personenbezogene Daten aus der EU in die USA übermitteln, müssen wir sicherstellen, dass die entsprechenden Schutzvorkehrungen getroffen werden. Zu den bestehenden angemessenen Schutzvorkehrungen gehören Standardvertragsklauseln (manchmal auch als Musterklauseln bezeichnet), Zertifizierung nach dem Privacy Shield oder die Umsetzung und Genehmigung von Binding Corporate Rules.

    Obwohl MaritzCX nach dem Privacy Shield zertifiziert ist, benötigen einige Kunden Standardvertragsklauseln, um solche Übertragungen vorzunehmen. Wenn Standardklauseln erwünscht oder gewünscht sind, wenden Sie sich bitte an die Rechtsabteilung von MaritzCX.

  • Hat MaritzCX einen Datenschutzbeauftragten?

    Ja, Unternehmen sind verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen, wenn die Haupttätigkeit des Unternehmens in der Verarbeitung personenbezogener Daten besteht:

    • eine regelmäßige und systematische Überwachung von Personen in großem Umfang erfordert; oder
    • Es geht um spezielle Datenkategorien in großem Umfang und um Daten zu strafrechtlichen Verurteilungen und Straftaten. Besondere Datenkategorien sind Daten, die die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten oder Daten über Gesundheit oder Sexualleben und sexuelle Orientierung offenbaren.

    Obwohl die Art der gesammelten und verarbeiteten Kundenfeedbackdaten im Allgemeinen nicht diejenige ist, die als eine spezielle Kategorie von Daten beschrieben wird. Darüberhinaus überwacht MaritzCX keine Personen systematisch, da nach dem Recht des Mitgliedslandes Deutschland ein Datenschutzbeauftragter von MaritzCX ernannt werden muss. Zu diesem Zweck haben wir ActiveMind zum Datenschutzbeauftragten ernannt.

Fragen?

Zögern Sie nicht, sich mit Ihrem Customer Success Manager in Verbindung zu setzen, um mehr über diese Änderungen zu erfahren und herauszufinden, wie wir Ihnen helfen, Ihre DSGVO-Anforderungen zu erfüllen. Kontaktieren Sie uns einfach unter: privacy@maritzcx.com.

MaritzCX