monday.com und die DSGVO

Letzte Aktualisierung: Januar 06, 2021
gdprready1

monday.com ist DSGVO-konform

Bei monday.com hat der Erfolg unserer Kunden und der Schutz ihrer personenbezogenen Daten oberste Priorität. Wir haben Kunden in nahezu jedem Land der Welt und erfüllen die Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Die DSGVO erweitert die Datenschutzrechte, die europäischen Bürgern eingeräumt werden und erfordert, dass bestimmte Unternehmen, die personenbezogene Daten europäischer Bürger verarbeiten, neue Vorschriften einhalten. Insbesondere kann die DSGVO für Unternehmen gelten, die die personenbezogenen Daten europäischer Bürger verarbeiten und eine Präsenz in der EU haben (z. B. Büros oder Niederlassungen), und für Unternehmen, die keine Präsenz in der EU haben, aber auf den europäischen Markt abzielen (z. B. durch das Anbieten von Waren oder Dienstleistungen für den europäischen Markt), oder die das Verhalten europäischer Bürger überwachen. Wir helfen unseren Kunden bei ihren Bemühungen, die Anforderungen der DSGVO zu erfüllen.

Was ist die DSGVO?
Im Jahr 2016 hat die Europäische Union (EU) eine neue Datenschutzverordnung namens Datenschutz-Grundverordnung (DSGVO) erlassen. Dabei handelt es sich um eine verbindliche Regelung, die für alle Unternehmen gilt, die Daten und Informationen von EU-Bürgern sammeln und bestimmte territoriale Anforderungen erfüllen. Die DSGVO soll die Sicherheit und den Schutz der personenbezogenen Daten in der EU stärken und Unternehmen ein einen strukturierten Rahmen für die Erfassung, Verarbeitung, Nutzung und Weitergabe personenbezogener Daten bieten. Im Rahmen der DSGVO ist das Konzept der „personenbezogenen Daten” sehr weit gefasst und deckt fast alle Informationen ab, die sich auf eine bestimmte Person beziehen.

Wann treten diese Vorschriften in Kraft?
Alle Unternehmen, die personenbezogener Daten von EU-Bürgern sammeln und verarbeiten, müssen bis 25. Mai 2018 DSGVO-konform sein.

Datenverantwortliche und Datenverarbeiter
Die DSGVO definiert und unterscheidet zwischen zwei Parteien und Verantwortungsbereichen, wenn es um die Erfassung und Verarbeitung personenbezogener Daten geht: Datenverantwortliche und Datenverarbeiter. Ein Datenverantwortlicher bestimmt die Zwecke und Arten der Verarbeitung personenbezogener Daten, während der Datenverarbeiter eine Partei ist, die Daten im Auftrag des Datenverantwortlichen verarbeitet. Das heißt, dass der Datenverantwortliche jedes Unternehmen oder jede Organisation sein kann. Ein Datenverarbeiter kann ein SaaS-, IT- oder anderes Unternehmen sein, das die Daten im Auftrag des Datenverantwortlichen verarbeitet. monday.com ist ein Datenverarbeiter. Die Kunden von monday.com (die Organisationen, die monday.com nutzen), sind Datenverantwortliche. Der Datenverantwortliche muss sicherstellen, dass alle Datenverarbeiter, mit denen er zusammenarbeitet, DSGVO-konform sind, und die Datenverarbeiter selbst müssen Aufzeichnungen über ihre Verarbeitungsaktivitäten führen.

Welche Schritte unternimmt monday.com gemäß den DSGVO-Anforderungen?
Wir begrüßen die Einführung der DSGVO, da sie Datenschutz, -sicherheit und -Compliance verbessert. Wir sind auch weiterhin unseren Kunden und Benutzern gegenüber verpflichtet, sie bei der Einhaltung der DSGVO zu unterstützen, wenn sie monday.com als Datenverarbeiter nutzen.

Gemeinsam mit unseren Engineering-, Produkt-, Sicherheits- und Rechtsteams haben wir daran gearbeitet, sowohl unser Produkt als auch unsere rechtlichen Bestimmungen auf die DSGVO abzustimmen, und wir werden sie kontinuierlich daran anpassen. Um monday.com auf die DSGVO vorzubereiten, haben wir die folgenden Schritte unternommen:

  • Prüfung und Stärkung unserer Sicherheitsinfrastruktur und -praktiken, Verschlüsselung der ruhenden und übertragenen Daten, Backups, Protokolle und Sicherheitswarnungen.
  • Es wurde ein Risikobewertungs- und Data-Mapping-Prozess eingeführt, um sicherzustellen, dass alle gespeicherten oder verarbeiteten Daten gemäß den DSGVO-Vorgaben verarbeitet und behandelt werden.
  • Wir löschen und anonymisieren Analysedaten von Nutzern nach der Löschung des Benutzers.
  • Wir ließen einen externen Audit durch E&Y vornehmen, um eine SOC 2 Typ II Sicherheitszertifizierung des American Institute of Certified Public Accountants (AICPA) zu erhalten.
  • Wir haben eine international anerkannte Sicherheitszertifizierung für ISO 27001 ISMS (Informationssicherheits-Managementsystem) und ISO 27018 (Schutz personenbezogener Daten in der Cloud) erhalten.
  • Wir haben sichergestellt, dass wir über entsprechende Vertragsbestimmungen verfügen, um unsere Rolle als Datenverarbeiter für unsere Kunden erfüllen zu können und gleichzeitig die DSGVO einzuhalten.
  • Wir haben alle internen Verfahren, Prozesse und Kontrollen sowie wiederkehrende Schulungen für das Team eingeführt, um unsere anhaltende Einhaltung der DSGVO sicherzustellen.
  • Wir haben unsere Nutzungsbedingungen und unsere Datenschutzrichtlinie so überarbeitet, dass sie die DSGVO-Anforderungen erfüllt.
  • Wir haben Sicherheits- und Datenschutzbewertungen unserer Unterauftragsverarbeiter durchgeführt, um sicherzustellen, dass sie alle die DSGVO-Anforderungen erfüllen.
  • Wir haben eine Datenschutzstelle und einen -beauftragten in der EU ernannt.
  • Wir haben Produktmerkmale entwickelt und werden diese in den nächsten Tagen bereitstellen, die Organisationen das Löschen von Daten erlauben:
    • Benutzerprofile löschen: Admins können jetzt personenbezogene Daten von Benutzern aus dem System löschen (auf eigene Initiative und auf Anfrage des Benutzers), sodass Organisationen die DSGVO-Anforderungen erfüllen können. Dadurch werden Benutzername, Telefonnummer, E-Mail-Adresse, Bild, Anschrift, Titel, Verweise auf soziale Netzwerke und andere benutzerdefinierte Felder, falls vorhanden, gelöscht. Durch das Löschen des Benutzers werden seine Beiträge oder hochgeladenen Dateien nicht gelöscht – diese stehen der Organisation weiterhin zur Verfügung, unter einem anonymen Namen, der von der Organisation festgelegt werden kann.
    • Konto löschen: Beim Kündigen eines Kontos kann der Admin entscheiden, ob die Informationen der Organisation (einschließlich personenbezogener Daten) für die zukünftige Verwendung aufbewahrt oder ob sie permanent gelöscht werden sollen.

Wir werden die Richtlinien zur Einhaltung der DSGVO weiterhin überwachen und sicherstellen, dass unser Produkt und unsere Prozesse diese erfüllen, sobald sie in Kraft treten.
Wir haben auch ein Portal „Rechtliches, Sicherheit und Privatsphäre erstellt, wo du mehr über die Sicherheits- und Datenschutzpraktiken, Zertifizierungen, rechtlichen Bestimmungen, Richtlinien und Verfahren von monday.com erfahren kannst.

Bietet monday.com eine Datenverarbeitungsvereinbarung an?
Ja. Du kannst unsere Datenverarbeitungsvereinbarung/-anlage online einsehen. Wenn du eine unterschriebene Kopie der Datenverarbeitungsvereinbarung benötigst, kannst du sie herunterladen, unterschreiben und eine Kopie an legal@monday.com senden. Wir werden sie gegenzeichnen und dir zurücksenden.

Hat monday.com einen Datenschutzbeauftragten ernannt?
Ja. Wir haben den Datenschutzexperten Aner Rabinovitz als unseren Datenschutzbeauftragten ernannt. Er überwacht und berät monday.com bezüglich der Einhaltung der Datenschutzbestimmungen und er ist der Ansprechpartner für Datenschutzangelegenheiten für betroffene Personen und Aufsichtsbehörden. Aner kann über dpo@monday.com kontaktiert werden.

Verhindert die DSGVO, dass ein Unternehmen Daten außerhalb der EU speichert?
Es gibt keine Bestimmungen in der DSGVO, die verhindern, dass Unternehmen Daten außerhalb der EU speichern, solange die Datenverarbeiter die erforderlichen Vorschriften und Schutzmaßnahmen erfüllen. Wir bei monday.com speichern unsere Daten bei Amazon Web Service (AWS) mit Sitz in den USA. Wie monday.com hat auch AWS bekanntgegeben, dass sie DSGVO-konform sind.

Wo kann ich weitere Informationen über die DSGVO erhalten?
Weitere Informationen stehen auf der offiziellen DSGVO-Website der Europäischen Union zur Verfügung.

Ich habe noch eine Frage: Wen kann ich kontaktieren?
Wenn du weitere Fragen zur DSGVO hast, kannst du uns unter support@monday.com, +1 (201) 778-4567 kontaktieren.

 

HAFTUNGSAUSSCHLUSS: Bei dieser Version handelt es sich um eine Übersetzung des englischen Originals, die nur zur Vereinfachung bereitgestellt wird. Das englische Original ist die offizielle und rechtlich verbindliche Version und hat im Falle einer Abweichung Vorrang.

Wir befähigen Teams, gemeinsam mehr zu erreichen

14-tägige kostenlose Testversion | Keine Kreditkarte erforderlich