Verzeichnis der Verarbeitungstätigkeit

 gem. Artikel 28 DSGVO

StoryBox GmbH

August-Kühnstrasse 11

80339 München



customer@storybox.blog

Tel: +49 (089) 21544392


Angaben zum Verantwortlichen

Verantwortliche Stelle (gemäß Art. 4 Nr. 7 DSGVO)

Die Organisation, welche das beschriebene Verfahren einsetzt. Das kann ein Unternehmen, gemeinnützlige Organisation oder Verein sein.

Gesetzlicher Vertreter (= Geschäftsführung)

Geschäftsführung, Vorstand oder gesetzlich Vertretungsberechtigter eines Unternehmens oder einer ähnlichen Organisation.

Datenschutzbeauftragter

Der Datenschutzbeauftragte der Organisation, welche das beschriebene Verfahren einsetzt.

Kategorien von Verarbeitungen

Beschreibung des Verfahrens

Bereitstellung und Betrieb einer passwortgeschützten Internetanwendung zur Erstellung und Verwaltung von Video Content.


Auftragsverarbeiter

StoryBox GmbH

August-Kühn-Strasse 11

80339 München


Die Verarbeitung und Speicherung erfolgt über die App und Web-Plattform des Auftragsverarbeiters. Die Server stehen in einem Rechenzentrum in Deutschland.


Grundsätzliche Angaben zur Verarbeitung

Bezeichnung der Verarbeitungstätigkeit

Bereitstellung und Betrieb einer passwortgeschützten Internetanwendung zur Erstellung und Verwaltung und Teilen von Video Content.


Art der Verarbeitung

Nutzung der App Anwendung und Internetanwendung StoryBox zur Erstellung und Verwaltung von Video Content.

Ort der Verarbeitung

Die Verarbeitung und Speicherung erfolgt über die Internetanwendung des Auftragsverarbeiters. Serverstandort ist Deutschland.


Allgemeine datenschutzrechtliche Anforderungen

Zweckbestimmung 

Es handelt sich um eine App und Web-Anwendung zur Erstellung und Verwaltung von Video Content.

Rechtmäßigkeit der Verarbeitung, Art. 6 DSGVO

• Durch Beauftragung mittels Lizenzvereinbarung des auftraggebenden Unternehmes.

Weitere Rechtsgrundlagen sind:

• Geltende Fassung der DSGVO

• Geltendes Bundesdatenschutzgesetz

• Geltendes Landesdatenschutzgesetz

Besteht ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen nach Art. 35 (Datenschutz-Folgeabschätzung)?

Es ist gemäß Art. 35 Abs. 3 DSGVO keine Datenschutz- Folgenabschätzung notwendig, da weder eine systematische und umfassende Bewertung (Profiling), eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten noch eine systematische Überwachung öffentlicher Bereiche stattfindet.


Erhebung der Daten

Kreis der betroffenen Personengruppen

Nutzer der Storybox Software, also Mitarbeiter oder Angestellte eines Unternehmens oder Organisation , das in einem Vertrags/Linzenzverhältnis mit StoryBox steht.

Art der gespeicherten Daten bzw. Datenkategorien

Bei Interessensbekundung über storybox.blog:

Anrede (optional), Vorname (optional), Telefonnummer(optional) Nachname (optional) , E-Mail-Adresse

Als StoryBox Lizenznutzer:

Abhängig von der Rolle des Nutzers werden unterschiedliche Daten gespeichert.

Nutzer (End Nutzer, Administrations -Butzer, Reseller Administrationsnutzer

Organisation

Name der Organisation, Unternehmens oder Abteilung

Video Content

Inhalt, Erstellungszeitpunkt, Erstellungs-Nutzer,

Hinweis: Videos werden ausschließlich auf dem Server des Anbieters und den Telefonen der User gespeichert. Videos können vom jeweiligen Nutzer/Ersteller über eine share Funktion geteilt werden, damit diese von einem Empfänger aufgerufen werden können. Dabei kann vom jeweiligen Nutzer unterschieden werden, ob der Video Content nur Lizenznutzern des Auftraggebers zugänglich ist (private Funktion) oder auch externen Nutzern zugänglich gemacht wird (public Funktion). Es ist sichergestellt, dass bei geteilten Videos kein Zugriff auf alle Videos eines Nutzers oder Unternehmens möglich ist. Es wird lediglich das betroffene Video geteilt. Der Link ist dabei kryptisch und einzigartig aufgebaut und folgt keiner dedizierten Logik.

Eine Verarbeitung von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) findet nicht statt.

Herkunft der Daten

Die Daten stammen vom Auftraggeber/Unternehmen und deren Lizenznutzern.


Empfänger oder Kategorien von Empfängern

Interne Empfänger

Mitarbeiter und Angestellte des Unternehmes oder Organisation

Externe Empfänger und Dritte:

Auftragsverarbeiter und Subunternehmen. Mit dem Subunternehmer hat der Auftragsnehmer ebenfalls einen Vertrag zur Auftragsverarbeitung geschlossen.


Zugriffsberechtigte Personen

Zugriffsberechtigte Personen

Mitarbeiter/Nutzer des Auftraggebers/der Unternehmen mit Zugangsdaten. Außerdem besitzt der Auftragsverarbeiter zur Erbringung von Supportleistungen und Fehlerbehebungen eine Zugriffsmöglichkeit.

Nachweis

Je Unternehmen werden die Nutzer angelegt. Die Berechtigungen zum Zugriff auf die Daten hängen von der jeweiligen Rolle des Nutzers ab.

Reseller Administrationsnutzer

Hat Zugriff auf die erhobenen Daten mehrerer Unternehmen oder Abteilungen mit deren Nutzern. Diese Rolle kann die Daten aller Nutzer der verwalteten Unternehmen einsehen.

Administrations - Benutzer:

Hat Zugriff auf die erhobenen Daten eines Unternehmens und seiner Nutzer Diese Rolle kann die Daten aller Nutzer des einen verwalteten Unternehmens einsehen.

End Nutzer:

Hat nur Zugriff auf die erhobenen Daten seines eigenen Nutzerkontos.


Auftragsverarbeiter

Der Auftragsverarbeiter hat zur Erfüllung von Wartungs- und Servicearbeiten sowie zur Klärung von Supportanfragen die Möglichkeit des Zugriffs auf alle Daten.


Regelfristen für die Löschung der Daten

Speicherdauer

Die Daten werden gelöscht, sobald diese nicht mehr zur Serviceerbringung benötigt werden oder der Auftraggeber den Einsatz der Anwendung vertraglich beendet oder der Auftraggeber den Auftragnehmer zur Löschung der Daten auffordert. Video Content wird wenn gewünscht an den Auftraggeber vor Löschung übergeben.


Datenübermittlung in Drittstaaten

Datenübermittlung in Drittstaaten

Eine Datenübermittlung in Drittstaaten außerhalb der EU findet nicht statt.









Technische und organisatorische Maßnahmen

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Art. 30 Abs. 1 lit. g, Art. 32 Abs. 1 DSGVO)

Eine ausführliche Beschreibung aller technischen und organisatorischen Maßnahmen des Auftragsverarbeiters befindet sich in Anlage 1.

Verbleibendes Risiko unter Berücksichtigung der eingesetzten technischen und organisatorischen Maßnahmen

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art des Umfangs, der Umstände und der Zweck der Datenverarbeitungen sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche und der Auftragnehmer geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DSGVO).







   Technische und organisatorische Maßnahmen  

 gemäß Art. 30 Abs 1. lit g DSGVO 


StoryBox GmbH

Stand: 15. September 2019 




Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Die og. Organisation erfüllt diesen Anspruch durch folgende Maßnahmen:


Gewährleistung der Vertraulichkeit

Zutrittskontrolle – Büroräume

• Es gibt keine Server im StoryBox Büro. Alle Server stehen im Amazon Web Services Rechenzentrum in Frankfurt am Main (Deutschland).

• Token für Tür im Erdgeschoss (Zugang zum Treppenhaus)

• Token für Tür zu StoryBox Büro

• Besucher werden immer von StoryBox Mitarbeitern begleitet


Zugangskontrolle

• Technische Sicherungsanlagen (Büro):

• Firewall Router


Zugriffskontrolle

• Richtlinien zur Arbeitsplatzsicherung

• Weitergabekontrolle

• Nutzung Passwort Tresor

• Eingabekontrolle (nicht zutreffend)

• Auftragskontrolle (nicht zutreffend)

• Verfügbarkeitskontrolle (nicht zutreffend)

• Datentrennung (nicht zutreffend)


Zutritts und Zugangskontrolle - Software

Als Hosting Anbieter und Cloud Provider setzten wir Amazon Web Services ein (AWS). Die in der AWS-Region Frankfurt und in den restlichen europäischen Regionen angebotenen und von uns genutzten

Dienstleistungen wie EC2 ( Server) , S3 (Speicher für bspw. Dokumente), Lambda (Serveless Computing), Elastic Transcoder, Elastic Translate, Cloud Front, IAM, Certificate Manager, sowie das Rechenzentrum in Frankfurt verfügen über zahlreiche international anerkannte Zertifizierungen.

AWS ist das erste Unternehmen, das sich die Sicherheit ihrer Cloud-Umgebung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Basis des Anforderungskatalogs Cloud Computing (Cloud omputing Compliance Controls Catalogue, C5) hat bescheinigen lassen. Damit gilt AWS als Vorreiter für Cloud-Sicherheit in Deutschland. Eine Übersicht über alle Compliance Programme und Zertifizierungen von AWS finden Sie hier


• siehe auch Amazon Web Services Inc.’s (AWS) Dokumente:

https://aws.amazon.com/compliance/data-center/data-centers/

https://aws.amazon.com/compliance/data-center/controls/

Zugriffskontrolle

• Nutzer werden ausschließlich nach Abschluss aller notwendigen Verträge und Vereinbarungen vom Auftragnehmer angelegt.

• Bestehende (Reseller) Administrations Nutzer können weitere Nutzerkonten selbstständig anlegen.

• Bestehende End Nutzer können keine anderen bestehenden Benutzer bearbeiten.

• Der interne Administrationsbereich der Anwendung ist vollständig passwortgeschützt und kann nur mit aktivierten, gültigen Zugangsdaten eingesehen und genutzt werden.

• Nutzer können sich ausschließlich mit gültigem Benutzername und zugehörigem Passwort anmelden.

• Administrative Zugänge auf den Anwendungsserver, den Datenbankserver und alle weiteren administrative Systeme haben nur die Mitarbeiter und Subunternehmen des Auftragnehmers.

• Der Login auf den Servern direkt ist nur per SSH-Key und fest definierten IP Adressen des Auftragnehmers möglich.

• Der Zugriff auf Daten und Funktionen der Anwendung wird über eine mehrstufige Benutzerstruktur, Zuweisungen der Benutzer und ein differenziertes Rollen-Rechte-System geregelt.

o Übergeordnete Administrations-Nutzer obliegen ausschließlich dem Auftragnehmer

o (Reseller)Administrations-Nutzer sind übergreifende Zugänge (z.B. Abteilungsleitung) für eine Organisation (z.B. Unternehmen)

o End-Nutzer einfache Zugänge zur Anwendung (z.B. Unternehmen Nutzer)

• Bei jedem Seitenaufruf wird geprüft, ob der Nutzer die Berechtigung zur gewünschten Aktion besitzt und welche Daten er entsprechend seiner Rolle und Zuweisungen ändern und/oder speichern darf.

• Administrations - und Standard-Nutzer werden einer Organisation zugewiesen.

• (Reseller) Administrations -Nutzer können zusätzlich auch einer oder mehreren Gruppen (z.B. Bereichsleitung hat zusätzlich Abteilungen) zugewiesen werden.

• Standard-Nutzer werden einer oder mehreren Gruppen (z.B. Unternehmen/Abteilung) zugewiesen.

• Ein Administrations -Nutzer ohne Zuweisung zu Unternehmen kann die personenbezogenen Daten aller Gruppen seiner Organisation nicht einsehen und ändern.

• Zuweisungen zu Organisationen und Gruppen können vom (reseller) Administrations Nutzer selbstständig geändert werden.

• Je nach Konfiguration durch einen Lizenz Nutzer, kann Video Content mit Empfängern ohne StoryBox Nutzerlinzenz (Konfiguration: public) oder nur mit StoryBox Nutzerlizenz (Konfiguration: private) geteilt werden. Empfänger des Videos Contents können diesen abspeichern. Zu keinem Zeitpunkt können diese Empfänger auf andere Daten der Anwendung zugreifen.


Trennungskontrolle

• Nutzer unterliegen einem strikten Rollen-Rechte-System.

• Nutzer können nur auf Daten der Ihnen zugewiesenen Organisation bzw. Gruppen zugreifen.

• Ein Zugriff auf die Daten anderer Organisationen ist in keinem Fall möglich.

• Zum Testen von neuen Funktionen wird vom Auftragnehmer ausschließlich ein eigenes Testsystem genutzt. Dieses ist vom Produktivsystem getrennt. Es werden keine Daten vom Produktivsystem im Testsystem eingesetzt.



Weitergabekontrolle

• Sämtliche Daten werden beim Transfer zwischen Server und Internetbrowser bzw. Computer des Nutzers verschlüsselt übertragen.

• Nutzer haben keine Möglichkeit, aus der Anwendung heraus Daten zu exportieren, an Dritte zu übertragen oder eine sonstige Übermittlung anzustoßen.

• Datenübermittlungen an den E-Mail-Dienstleister des Auftragnehmers zur Erstellung der Verteilerlisten zum Versand der Nachrichten können per SSL-Verschlüsselung und mit dem benutzerspezifischen API-Key des Auftragnehmers erfolgen.

• Es erfolgt keinerlei Transport von Daten auf Datenträgern.


Eingabekontrolle

• Sämtliche Eingaben und Änderungen von personenbezogenen Daten in der Anwendung werden über die Nutzer durch ein SSL-verschlüsseltes Web-Interface vorgenommen.

• Nutzer können Daten nur entsprechend ihrer Rolle und der zugehörigen Rechte eingeben und ändern.

• Alle Eingaben und Änderungen an personenbezogenen Daten werden protokolliert. Dadurch wird sichergestellt, dass nachvollzogen werden kann, welcher User welche Daten geändert oder gelöscht hat.

• Für erstellte Videos werden folgende Protokolldaten gespeichert:

o Nutzer der den Video Content erstellt hat

o Zeitpunkt der Erstellung

• Das manuelle Löschen von Daten ist nur für Nutzer mit entsprechenden Rechten möglich.


Verfügbarkeit und Belastbarkeit

• AWS garantiert eine hochverfügbare Cloud-Infrastruktur

• Es werden Redundanzen & Backups für die Applikation und Datenbank gemacht

• Es werden Test-Recoveries für die Applikation und Datenbank gemacht


Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung

Datenschutz-Maßnahmen

• Der Datenschutzbeauftragte seitens des Auftragnehmers ist benannt und dem Auftraggeber bekannt.

• Verantwortliche für Datensicherheit, Auftragskontrolle und aktuelle Dokumentation der Verfahrensschritte sind definiert.

• Datenschutz und Datensicherheit sind elementare Bestandteile aller Verträge und Vereinbarungen zwischen Auftragnehmer und Auftraggeber.

• Das genutzte System und Hosting entspricht dem aktuellen Stand der Technik mit allen notwendigen und vertretbaren Maßnahmen zum Datenschutz und zur Datensicherheit.

• Mitarbeiter des Auftragnehmers sind auf Vertraulichkeit und das Datengeheimnis verpflichtet.

• Mitarbeiter des Auftragnehmers werden regelmäßig hinsichtlich Datenschutz sensibilisiert und geschult.

• Eine Datenschutz-Folgenabschätzung wird bei Bedarf und Notwendigkeit durchgeführt.

• Den Informationspflichten gemäß Art. 13 und 14 DSGVO gegenüber Betroffener wird nachgekommen.

• Ein Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden.

• Regelmäßige Überprüfung der technischen Schutzmaßnahmen und deren Wirksamkeit.


Datenschutzfreundliche Voreinstellungen

• Die Anwendung folgt generell dem Grundsatz „Privacy by design“ bzw. „Privacy by default“.

• Nutzern können bei Anlage der Datensätze nur die für die Nutzung der Anwendung notwendigen und vorgesehenen Daten eingeben.

• Es stehen keine freien Datenfelder zur Angabe von Zusatzinformationen zur Verfügung.

• Das Hinzufügen von neuen Datenfeldern ist nicht möglich.

• (Reseller) Administrations - Nutzer der Anwendung können jederzeit die Daten Betroffener aus der Anwendung löschen.

Auftragskontrolle

• Ein Vertrag zur Auftragsverarbeitung zwischen Auftraggeber und Auftragnehmer ist abgeschlossen.

• Der Auftragnehmer wählt den Auftraggeber unter Beachtung der Sorgfaltspflicht für Datenschutz und Datensicherheit aus.

• Ein Lizenz- und Nutzungsvertrag zwischen Auftraggeber und Auftragnehmer ist abgeschlossen.

• Alle Systeme, auf denen Datenverarbeitung im Auftrag betrieben wird, sind von den Systemen getrennt, in denen der Auftragnehmer andere eigene Daten verarbeitet.

• Die Aufgaben, Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber sind klar abgegrenzt.

• Erhobene Daten werden bei der Datenanlage der Organisation des jeweiligen Auftraggebers zugeordnet. Er trägt die datenschutzrechtliche Verantwortung für diese Daten.

• Weisungen zwischen Auftraggeber und Auftragnehmer werden ausschließlich schriftlich dokumentiert.

• Regelfristen für das Löschen von Daten liegen vor, der Auftraggeber erhält in seiner Rolle als Verantwortlicher nach Wunsch ein Backup der vom Auftraggeber zu löschenden Daten.


Datenschutzerklärung