- Muster zum Datenschutzvertrag
- Schutz personenbezogener Daten vor Missbrauch
- EU-Datenschutzgrundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG)
- Sicherheit der Verarbeitung
- Testschutz
- Datenschutz-Folgeabschätzung
Wir gewährleisten die Sicherheit Ihrer Daten durch aktuelle Technologien und entsprechend den Anforderungen der EU-Datenschutzgrundverordnung (EU-DSGVO).
Das Prinzip „Der beste Datenschutz ist die Vermeidung schutzwürdiger Daten“ kann mit dem HTS umgesetzt werden. Es ist grundsätzlich nicht notwendig, schutzrelevante personenbezogene Daten im HTS zu erfassen. Lediglich das Alter in Jahren und Geschlecht sind für die Anwendung der zutreffenden Normen bei einigen Tests notwendig – die aber für sich genommen keine Identifikation einer Person ermöglichen. Die Identifikation der Person für den Diagnostiker kann über einen individuellen Code (z.B. eine Nummer in einer eigenen Probandenverwaltung) eingegeben werden. Die Dokumentation der Zuordnung „Ergebnis zu Person“ kann außerhalb des HTS erfolgen.
Für die generelle Verwendung von Personendaten im diagnostischen Prozess (Eingabe von Namen, Geburtsdaten, Adressdaten, u.a. während der Testung) trägt daher der Diagnostiker die Verantwortung und muss die Einwilligung für die Verarbeitung personenbezogener Daten einholen, bzw. den für ihn geltenden rechtlichen Rahmen berücksichtigen.
Den datenschutzrechtlichen Löschverpflichtungen kann in HTS vollumfänglich entsprochen werden. Daten auf den Servern werden jedoch nicht automatisch gelöscht. Dies muss der Diagnostiker selbst tun bzw. aktivieren. Unter der Rubrik „Auswerten“ gibt es eine Lösch-Option für Personen; hierbei werden alle Messungen der gegebenen Person ebenfalls gelöscht. Im Supervisor-Login lässt sich außerdem eine automatische Löschfunktion für Personen und Testergebnisse aktivieren.
Die Daten werden automatisch in einem Backup-System archiviert, um sie bei Havarien wiederherstellen zu können. Um der gesetzlichen Nachweispflicht nachkommen zu können, empfehlen wir dennoch, den Ergebnisausdruck auf Papier oder elektronisch selbst zu archivieren.
Ein Muster zum Datenschutzvertrag finden Sie hier.
Es wird besonderer Wert auf die vertrauliche Behandlung persönlicher Daten und die Einhaltung geltender Datenschutzbestimmungen gelegt. Personenbezogene Informationen, die im Hogrefe Testsystem gespeichert werden, werden nur im Rahmen der hier aufgeführten Richtlinien verarbeitet.
Die Verbindungen zwischen Client (Online-Portal Administrationsplatz) und Server (hogrefe-online.com) auf der einen, sowie Client (Testplatz) und Server (hogrefe-online.com) auf der anderen Seite, erfolgen ausschließlich über verschlüsselte SSL-Verbindungen.
Um die Exaktheit und Sicherheit persönlicher Daten sicherzustellen und um unerlaubten Zugriff oder unsachgemäße Benutzung zu verhindern, werden aktuelle Sicherungsverfahren eingesetzt. Dazu zählen:
Der Administrationsplatz (Online-Portal) wird durch eine eigene Benutzerverwaltung gesichert, welche sicherstellt, dass nur die vom Benutzer verwalteten Daten auch diesem Benutzer einsehbar sind. Der Hogrefe-Support kann keine Personendaten einsehen, ohne dass der Kunde dem zustimmt.
Das HTS erfüllt die datenschutzrechtlichen Anforderungen der DSGVO und des BDSG. Es wird schon bei der Entwicklung besonderer Wert auf Datenschutzfreundlichkeit der Produktgestaltung und auf datenschutzfreundliche Voreinstellungen gelegt, um den Grundsätzen von „privacy by design“ und „privacy by default“ (Art. 25 DSGVO) gerecht zu werden. Im Ergebnis ist eine Verwendung von HTS gänzlich ohne die Erfassung personenbezogener Daten möglich.
Sämtliche mit HTS zusammenhängenden Verarbeitungstätigkeiten und internen Prozesse sind dokumentiert und werden regelmäßig überprüft. Um den Diagnostiker bei der Erfüllung seiner datenschutzrechtlichen Verpflichtungen zu unterstützen ist unter VI. die Übersicht der Verarbeitungstätigkeit gem. Artikel 30 Abs. 2 DSGVO dargestellt.
Alle Mitarbeiter werden regelmäßig zu den Anforderungen der DSGVO geschult und sind auf die Vertraulichkeit verpflichtet.
Um die Sicherheit der Verarbeitung zu gewährleisten, wurden für HTS angemessene technische und organisatorische Maßnahmen ergriffen, um das Schutzniveau allzeit zu ermöglichen.
Hierbei werden insbesondere berücksichtig:
Insofern Subunternehmer für die Verarbeitung von Daten zum Einsatz kommen, wurden diese sorgfältig ausgewählt, insbesondere unter besonderer Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz. Sie wurden vor der Beauftragung und während der Vertragslaufzeit auf die Einhaltung der gesetzlichen und vertraglichen datenschutzrechtlichen Vorschriften sowie der vereinbarten technischen und organisatorischen Schutzmaßnahmen hin kontrolliert.
Um Daten vor Verlust, Beschädigung, unerlaubten Zugriff und unsachgemäßer Benutzung zu schützen, wird das Hogrefe Online-Portal in einem Rechenzentrum gehostet und verfügt über eine redundante Datenanbindung.
Zu den organisatorischen Maßnahmen gehören:
Die vollständige Liste der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO finden Sie unter IV. dieses Dokumentes.
Bitte beachten Sie, dass auch der Testschutz mit zum Datenschutz gehört. Wenn Tests für Fragestellungen eingesetzt werden, von denen eine Entscheidung abhängt, sollten die Items der Tests nicht öffentlich bekannt werden, da sonst Ergebnisse ggf. nicht verwendbar sind. Professionelle Testverfahren unterliegen kontrollierten Vertriebsbedingungen, die einen gewissen Schutz bieten. Dies gilt auch für PC-basierte Testverfahren. Wo immer möglich, sollten Sie wichtige Testdurchführungen unter kontrollierten Bedingungen durchführen. Dazu gehört
Weitere Informationen rund um den Testschutz und das Testen unter kontrollierten Bedingungen finden Sie hier.
Die Datenschutz-Folgenabschätzung (DSFA) ist ein Verfahren zur Sicherstellung und zum Nachweis der Einhaltung gesetzlicher Anforderungen. Art. 35 DSGVO verlangt eine DSFA, wenn die Form der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen hat. Dies kann sich insbesondere ergeben durch:
der Verarbeitung personenbezogener Daten. Anhand der Kriterien in Art. 35 DSGVO wird eine sog. Schwellenwertanalyse durchgeführt, um zu ermitteln, ob eine DSFA für die zu prüfende Verarbeitung durchzuführen ist. In folgenden Fällen ist der Schwellenwert stets überschritten und eine DSFA ist durchzuführen:
1. Die Form der Verarbeitung, insbesondere die Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung hat voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge (Art. 35 Abs. 1 DSGVO).
2. Die Verarbeitung fällt unter eines der Regelbeispiele aus Art. 35 Abs. 3 DSGVO. Hierzu zählen:
3. Die Verarbeitung befindet sich auf einer Liste nach Art. 35 Abs. 4 DSGVO.
Unter Umständen muss der Diagnostiker als datenschutzrechtlich Verantwortlicher für die Nutzung von HTS eine Datenschutz-Folgeabschätzung durchführen. Hogrefe als Auftragsverarbeiter ist nach Art. 28 Abs. 3 f) DSGVO verpflichtet, den Verantwortlichen bei der Durchführung der Datenschutz-Folgeabschätzung zu unterstützen.
Die genauen Umstände der Verarbeitung personenbezogener Daten durch den Diagnostiker im HTS und eventuell damit verbundene hohe Risiken für die Rechte und Freiheiten der betroffenen natürlichen Personen kann Hogrefe nicht antizipieren. Für die Datenschutz-Folgeabschätzung ist nicht nur der Verarbeitungsvorgang innerhalb des HTS, sondern auch Vorgänge, die außerhalb des HTS beim Diagnostiker im Rahmen der Durchführung der Tests stattfinden, von denen Hogrefe weder Kenntnis hat noch Einfluss darauf nehmen kann.
Grundsätzlich ist es möglich, das HTS gänzlich ohne die Erfassung personenbezogener Daten zu nutzen, so dass ein hohes Risiko nahezu ausgeschlossen werden kann. Es ist andererseits auch möglich personenbezogene Daten sowie besondere Kategorien personenbezogener Daten innerhalb des HTS zu verarbeiten. Dies liegt in der Verantwortung des Diagnostikers.
Sollte daher der Diagnostiker als datenschutzrechtlich Verantwortlicher zur Durchführung einer Datenschutz-Folgeabschätzung verpflichtet sein, wird in diesem Dokument unter den Ziffern II. 2. bis 6. sowie IV. und V. eine Vielzahl von geeigneten Gegenmaßnahmen dargestellt, um etwaige Risiken auf ein adäquates Niveau zu senken. Diese Maßnahmen werden von Hogrefe kontinuierlich geprüft und weiterentwickelt. Es ist weder zu erwarten, dass hohe Risiken für die betroffenen Personen durch die Nutzung des HTS eintreten, noch dass eine Pflicht zur vorherigen Konsultation einer Aufsichtsbehörde nach Art. 36 DSGVO besteht, soweit die genannten Abhilfemaßnahmen durch den Diagnostiker ergriffen werden.
Herbert-Quandt-Str. 4
37081 Göttingen