Kundenlogin
Ihr Anmeldename:
Passwort:
Logindaten speichern
Passwort vergessen
Ihr Anmeldename: Passwort:
Logindaten speichern Passwort vergessen

Schnell. Einfach. Sicher. Zuverlässig.

Die umfassende, professionelle Web-Lösung für Ihre Öffentlichkeitsarbeit und Online-Kommunikation

Datenschutzerklärung der Convento GmbH, Neuss, zu myconvento

Stand März 2016

Datenschutzerklärung

Die Convento GmbH (im Folgenden „Convento“) verarbeitet persönliche Daten, die die Auftraggeber (im folgenden „Kunden“) im Rahmen des erteilten Auftrages zur Nutzung in myconvento zur Verfügung stellen. Convento achtet das Recht und Eigentum der Kunden an ihren Daten sowie den Schutz der Privatsphäre der Betroffenen und verpflichtet sich, alles Notwendige zu tun, um diesem Anspruch gerecht zu werden.

Räumliche Geltung
Die Verarbeitung und Speicherung der Kundendaten erfolgt ausschließlich im Gebiet der Bundesrepublik Deutschland. Seit 2015 betreibt Convento die Kundensysteme in einem spezialisierten und nach ISO 27001 zertifizierten Rechenzentrum in D-40472 Düsseldorf (myloc managed IT AG, www.myloc.de).

Weitergabe personenbezogener Informationen an Dritte, Unteraufträge
Convento nutzt die Daten, die sie von ihren Kunden erhält, grundsätzlich nicht, sondern stellt sie nur für den jeweiligen Kunden auf der im Rechenzentrum der myLoc managed IT AG [Zertifiziertes Rechenzentrum nach ISO 27001], Am Gatherhof 44, D-40472 Düsseldorf, gemieteten Serverfarm zur Verfügung, oder integriert die Daten in die Kunden-Datenbank, wo sie dann dem Kunden exklusiv zur Verfügung stehen. Soweit Convento Teile der erhaltenen Aufträge –nur nach vorheriger Genehmigung durch den Kunden - an Subunternehmer vergibt, stellt sie sicher, dass dort die gleichen Anforderungen an den Datenschutz und die Datensicherheit gewährleistet sind wie bei ihr selbst. Dem Kunden werden dabei gegenüber dem Subunternehmen die gleichen Prüfungs- und Kontrollrechte eingeräumt, wie sie gegenüber Convento bestehen.

Die üblichen allgemeinen Zulieferdienste (z. B. Telekommunikation, Wartung, Support, Reinigung) fallen nicht unter diese Regelung. Convento hat jedoch mit derartigen Partnern generell entsprechende Vereinbarungen zu Datenschutz und Datensicherheit abgeschlossen.

Erhebungen oder Übermittlungen persönlicher Daten an staatliche Einrichtungen und Behörden erfolgen nur im Rahmen gültiger Rechtsvorschriften. Dienstleister, die im Einflussbereich des US-Patriots-Act liegen, werden von Convento nicht genutzt.

Pflichten des Kunden
Der Kunde ist dabei die „verantwortliche Stelle“ im Sinne § 3 Abs. 7 BDSG. Er trägt damit die Verantwortung für die Zulässigkeit der an Convento übertragenen Aufgaben und für die Wahrung der Rechte der Betroffenen. Der Kunde erteilt oder bestätigt Aufträge und Ergänzungen schriftlich. Das gilt auch für – gemeinsam abzustimmende – Änderungen der Inhalte, Verfahren, des Umfanges und anderer Vertragsbestandteile. Wenn der Kunde Weisungen mündlich erteilt, bestätigt er sie umgehend schriftlich.

Der Kunde löscht einen Zugang zu myconvento („User-Account“), der für einen Anwender nicht mehr zur Verfügung stehen soll, umgehend. Stellt der Kunde bei der Auftragsdurchführung oder den Auftragsergebnissen Fehler fest, so benachrichtigt er Convento unverzüglich. Der Kunde benennt einen verantwortlichen Ansprechpartner, der Weisungen erteilen und Entscheidungen für alle Belange des Auftrags treffen oder zeitnah herbeiführen kann. Dieser Ansprechpartner sorgt dafür, dass die myconvento Anwender beim Kunden diese Erklärung kennen und einhalten.

Jeder Anwender erhält persönliche Zugangsdaten (Usernamen und Passwort) für die Einwahl ins myconvento-System. Änderungen einzelner Anwender an den myconvento-Daten sind somit nachvollziehbar. Der Administrator des Kunden legt dabei fest, welcher Anwender myconvento nutzen darf. Die Anwender werden angehalten, keine ausspähbaren Passwörter zu verwenden, und möglichst keine Notizen zu Ihren Passwörtern mit zu führen.

Pflichten der Convento GmbH
Convento sichert innerhalb der auftragsgemäßen Verarbeitung personenbezogener Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu.

Convento verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Kunden und verwendet die überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Kunden nicht erstellt.

Convento pflegt im Allgemeinen keine Daten für den Kunden. Convento ist daher nicht verpflichtet, eine ausführliche Dokumentation der Datenverarbeitung zu führen, anhand derer der Kunde den Nachweis über die ordnungsmäßige Durchführung der Datenverarbeitung führen kann. Convento wird nur auf besondere Anweisung des Kunden Daten bearbeiten, insbesondere für den Datenimport und / oder Datenexport und bei einer möglichen Wiederherstellung einer vom Kunden gewünschten Datensicherung. Nur und ausschließlich in diesen Fällen führt Convento eine einfache Dokumentation der Datenverarbeitung. Im Rahmen einer Zeiterfassung wird dann dokumentiert welcher Mitarbeiter welche Daten welches Kunden wann angeschaut oder bearbeitet hat. Convento wird diese Dokumentation langfristig speichern.

Convento behandelt die Daten im Einklang mit den Bestimmungen des Bundesdatenschutzgesetzes (BDSG), des Telemediengesetzes (TMG), des Telekommunikationsgesetzes (TKG) sowie ggf. weiterer Vorschriften des Datenschutzes. Auf Wunsch stellt Convento dem Kunden die Angaben nach §4g Abs. 2 Satz 1 BDSG (Übersicht meldepflichtiger Verfahren nach §4e und zugriffsberechtigte Personen) zur Verfügung.

Um personenbezogene Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder den Zugriff durch unberechtigte Personen bestmöglich zu schützen, setzt Convento technische und organisatorische Sicherheitsmaßnahmen ein. Gemäß der technischen Entwicklung verbessern wir diese Maßnahmen kontinuierlich.

Alle Mitarbeiter, Lieferanten und Partner der Convento GmbH sind nach §5 BDSG auf das Datengeheimnis verpflichtet. Sollte das Eigentum des Kunden bei Convento durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so wird Convento den Kunden unverzüglich verständigen.

Rechte des Kunden
Convento gewährt dem Kunden oder einem von ihm benannten Prüfer im Rahmen der Auftragskontrolle gemäß Ziff. 6 der Anlage nach § 9 Satz 1 BDSG bei Bedarf ungehinderten Zugang zu ihren Geschäftsräumen. Wir ermöglichen dieser Person die Einsichtnahme in die für den Kunden oder im Zusammenhang mit dem Auftrag gespeicherten Daten, die Überprüfung der verwendeten Programmabläufe, sich dabei auch von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

Hierzu bieten wir den Prüfern einen Zugang an, der dem Zugang des betreffenden Kunden entspricht. Falls der Kunde ausnahmsweise die Verarbeitung von Daten in Privatwohnungen gestattet, stellt Convento sicher, dass die vorgenannten Kontrollen auch in diesen Wohnungen durchgeführt werden können. Convento sichert zu, dass das Einverständnis aller Bewohner dieser Privatwohnungen mit dieser Regelung vorliegt.

Rechte Betroffener
Personen, deren Daten Convento auf ihren Systemen speichert, gleich ob sie durch unsere Kunden oder von uns erhoben wurden, sind berechtigt, unentgeltlich Auskunft über die sie betreffenden Daten zu erhalten. Die betroffenen Personenkreise sind üblicherweise Journalisten oder sonstige Ansprechpartner der Öffentlichkeitsarbeit, zum Beispiel Kunden, Interessenten, Beschäftigte i. S. d. § 3 Abs. 11 BDSG, Abonnenten, Lieferanten, Handelsvertreter oder auch Aktionäre. Die betroffene Person hat das Recht auf Berichtigung, Löschung oder Sperrung ihrer in myconvento gespeicherten Daten. Sofern uns ihre Daten von unserem Kunden übergeben wurden, leiten wir ihre Reklamation unverzüglich weiter. Alternativ kann der Kunde Convento schriftlich sein Einverständnis zur entsprechenden Bearbeitung der Daten der Betroffenen erteilen.

Rechte der Convento GmbH
Erteilt der Kunde im Rahmen seines Auftrages an Convento Weisungen, die möglicherweise gegen das Bundesdatenschutzgesetz verstoßen, so wird Convento den Kunden darauf hinweisen und kann die Durchführung der Weisung bis zur Klärung aussetzen.

Falls der Kunde die Einhaltung von Maßnahmen zu Datenschutz und Datensicherheit -selbst oder durch Dritte- kontrolliert, so ist die Convento GmbH berechtigt, dabei entstehenden Aufwand zu den bei Convento üblichen Stundensätzen je angefangene Stunde in Rechnung zu stellen. Prüfungen mittels User-Account sind selbstverständlich kostenlos.

Technisch-organisatorische Maßnahmen zum Datenschutz
Convento hat geeignete Maßnahmen gemäß § 9 Satz 1 BDSG und Anlage 1 getroffen. Zusätzlich wacht der Datenschutzbeauftragte (siehe unten) über die einzuhaltenden Pflichten nach dem BDSG und anderen gesetzlichen Bestimmungen. Convento sorgt dafür, dass die Maßnahmen gemäß der Anlage zu § 9 Satz 1 BDSG im laufenden Betrieb eingehalten und dokumentiert und auf Wunsch dem Kunden verfügbar gemacht werden. Das gilt auch für die mit dem Kunden vereinbarten Maßnahmen für den Austausch, die Bereitstellung, die Verarbeitung, die Haltung, die Ausgabe und den Versand der Daten.

Zum Nachweis der getroffenen technischen und organisatorischen Maßnahmen stellt Convento dem Kunden alle vorhandenen geeigneten Unterlagen, Protokolle und Berichte –auch unabhängiger Instanzen– zur Verfügung. Convento behält sich vor, dem technischen und organisatorischen Fortschritt entsprechende Maßnahmen einzusetzen, die mindestens die gleichen Anforderungen an Datenschutz und Datensicherheit erfüllen wie die in der Anlage genannten.

Eine genau festgelegte Nachrichtenkette sorgt bei Kontrollhandlungen, Maßnahmen und Ermittlungen nach den § 38, 43, 44 BDSG für unverzügliche Information des Kunden. Ebenso informiert Convento den Kunden unverzüglich bei etwaigen Verstößen gegen Vorschriften zum Schutz personenbezogener Daten des Kunden (z. B. nach § 42a BDSG) oder gegen die im Auftrag getroffenen Festlegungen durch ihn selbst oder die bei ihm beschäftigten Personen, ebenso wie bei gravierenden Störungen des Betriebsablaufes. Dies gilt auch schon bei einem bloßen Verdacht auf solche Vorkommnisse. Convento informiert in folgenden Fällen, unabhängig vom Grund und auch schon im Verdachtsfall:

  • bei schwerwiegenden Störungen des Betriebsablaufs
  • bei bedeutsamen Unregelmäßigkeiten im Umgang mit personenbezogenen Daten des Kunden
  • wenn in § 42a BDSG genannte Daten bei Convento abhandengekommen sind
  • wenn solche Daten unrechtmäßig übermittelt worden sind
  • wenn Dritte möglicherweise unrechtmäßig von diesen Daten Kenntnis erlangt haben

Convento ergreift in Abstimmung mit dem Kunden angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene. Soweit Pflichten nach § 42a BDSG den Kunden treffen, wird Convento ihn bei deren Erfüllung unterstützen.

Convento überprüft regelmäßig alle Kundenaufträge im Rahmen der Auftragskontrolle auf Ausführung und Erfüllung. Die Regelungen und Maßnahmen der Auftragsdurchführung werden dabei auf Einhaltung kontrolliert und ggf. angepasst.

Art der Daten, Datenträger
Die Art der Daten wird im Rahmen des Auftrages bestimmt. Es handelt sich zum Beispiel um:

  • Personenstammdaten, Kommunikationsdaten (z.B. Telefon, E-Mail), Kontakthistorie
  • Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
  • Vertragsabrechnungs- und Zahlungsdaten
  • Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)

Convento kennzeichnet Datenträger, die vom Kunden stammen bzw. für den Kunden genutzt werden, namentlich. Eingang bzw. Ausgang werden dokumentiert. Externe Datenträger der Datensicherung sind ebenfalls verschlüsselt, um im Falle des Transportes zwischen verschiedenen Standorten die Sicherheit zu gewährleisten.

Der Umgang mit ausgedienten Datenträgern ist über das für alle Mitarbeiter geltende interne Datensicherungskonzept geregelt. Die Datenträger sind in jedem Fall der IT-Abteilung zu übergeben. Optische Datenträger werden geschreddert und defekte Festplatten und USB-Sticks bis zur datenschutzkonformen Vernichtung unter Verschluss zwischengelagert.

Haftung
Convento haftet nach den gesetzlichen Bestimmungen gegenüber dem Kunden für Schäden, die ihre Mitarbeiter oder die von ihr mit der Vertragsdurchführung Beauftragten bei der Erbringung der Leistung vorsätzlich oder grob fahrlässig verursachen. Der Schaden ist vom Kunden nachzuweisen. Bei fahrlässig verursachten Sach- und Vermögensschäden haften Convento und seine Erfüllungsgehilfen nur bei der Verletzung einer wesentlichen Vertragspflicht, jedoch der Höhe nach beschränkt auf die bei Vertragsschluss vorhersehbaren und vertragstypischen Schäden. Die Handlung eines Convento Mitarbeiters kann nur einen Schadensfall begründen.

Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Kunde gegenüber dem Betroffenen verantwortlich. Soweit der Kunde zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff auf Convento vorbehalten

Auftrags- und Vertragsende
Mit dem Ende des Auftragsverhältnisses gibt Convento alle in ihrem Besitz befindlichen Unterlagen des Kunden und mit dem Auftrag in Zusammenhang stehenden Dateien, Datenträger und Dokumente an den Kunden zurück oder entsorgt sie mit seinem Einverständnis datenschutzgerecht. Convento bestätigt anschließend die datenschutzgerechte Löschung oder Vernichtung.

Convento bewahrt die zur Datenverarbeitung überlassenen Daten nicht länger auf, als es das Gesetz oder der Kunde bestimmt. Nicht mehr benötigte Unterlagen mit personenbezogenen Daten werden erst nach Weisung durch den Kunden datenschutzgerecht vernichtet. Anfallendes Test- und Ausschussmaterial wird bei Convento unter Verschluss gehalten, bis es entweder durch Convento datenschutzgerecht gelöscht oder dem Kunden übergeben wird. Die Vernichtung von Unterlagen des Kunden durch Convento wird gemeldet und die Übergabe von Dokumenten an den Kunden dokumentiert. Daten für buchhalterische und abrechnungstechnische Zwecke kann Convento auch nach Ende der Vertragsbeziehung oder nach Löschung der Personen-Daten weiter speichern und nutzen.

Der Kunde kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn seitens Convento ein schwerwiegender Verstoß gegen die datenschutzrechtlichen Bestimmungen oder den zugrundeliegenden Vertrag vorliegt, Convento eine datenschutzrechtliche Weisung des Kunden nicht ausführen kann oder will oder dem Kunden den Zutritt vertragswidrig verweigert.

Automatische Protokollierung des Nutzerverhaltens
myconvento erfordert den Einsatz von "Cookies". Sie helfen dabei, den Nutzungskomfort für den Kunden zu erhöhen. Zum Beispiel speichern Cookies die Login Daten der Besucher von Webseiten, damit diese sich nicht bei jedem Login neu anmelden müssen. Die meisten Browser sind so eingestellt, dass sie Cookies automatisch akzeptieren. myconvento protokolliert außerdem die allgemeine Intensität der myconvento Nutzung eines Kunden. Die Informationen werden ausschließlich dazu verwendet, die Kundenbetreuung zu verbessern und die Kapazität des Gesamtsystems zu überwachen und sicher zu stellen.

Ihre Zustimmung
Mit der Nutzung von myconvento stimmen Sie zu, dass Convento im oben beschriebenen Umfang Informationen sammeln und entsprechend verwenden darf. Die schnelle Entwicklung des Internet macht von Zeit zu Zeit Anpassungen in unserer Datenschutzerklärung erforderlich. Als Kunde werden Sie per E-Mail über eine Änderung der Datenschutzerklärung benachrichtigt. Auf der Website www.myconvento.com kann die aktuelle Version jederzeit eingesehen werden.

Bei Fragen, Wünschen oder Kommentaren zum Thema Datenschutz wenden Sie sich bitte per E-Mail an datenschutz@convento.de oder direkt an unseren externen Datenschutzbeauftragten:

Herrn Axel Krause
Rechtsanwalt
Neuss
Deutschland
Telefon: +49-174-9344877

Anlage: Technische und organisatorische Maßnahmen gem. §9 Satz 1 BDSG

  • Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt. Die Zutrittskontrolle erfolgt über die protokollierte Schlüsselausgabe zu der vorhandenen Sicherheitsschließanlage nur an zutrittsberechtigte Personen.
  • Die Zugangskontrolle zu den Datenbeständen erfolgt per Username und Passwort. Ein Passwort muss mindestens 8 Zeichen lang sein und ein Sonderzeichen sowie eine Ziffer enthalten. Ein aktueller Virenschutz, der mindestens einmal pro Tag aktualisiert wird, ist auf jedem Arbeitsplatz und Server im Einsatz.
  • Die Zugriffskontrolle erfolgt ebenfalls per Username und Passwort. Ein optionaler Passkey (Zustellung per E-Mail) kann vom Kunden-Administrator zusätzlich zu Username und Passwort aktiviert werden.
  • Die Verbindung vom lokalen Client beim Kunden (Browser) zur Serverfarm der Convento GmbH ist mit einer SSL-Verschlüsselung über Port 443 versehen. Ebenso bietet myconvento eine automatische temporäre Sperrung eines User-Accounts nach 3 erfolglosen Anmeldeversuchen. Eine permanente Sperrung des Accounts erfolgt nach 5 Fehlversuchen, und eine IP-Adresse wird nach 20 aufeinanderfolgenden Fehlversuchen automatisch für die Anmeldung geblockt. Ein Passwortablaufzeitraum kann ebenfalls von jedem Kunden-Administrator festgelegt und aktiviert werden. Eine weitere Sicherheitsfunktion verhindert die Verwendung des letzten Passwortes.
  • Bei einem externen Zugriff durch Convento Mitarbeiter werden VPN-Clients mit einem gültigen Zertifikat (zeitlich beschränke Gültigkeitsdauer) und dem dazugehörigen Passwort benötigt. Die Verschlüsselungstiefe beträgt hier 1024 Bit.
  • Die Weitergabekontrolle wird dadurch sichergestellt, dass unberechtigte Personen keinen Zugang oder Zugriff zu den Kundensystemen bzw. auf die Daten haben. Convento Mitarbeiter und externe Dienstleister sind über §5 BDSG hinaus zu weitergehender Verschwiegenheit verpflichtet. Die Datensicherung erfolgt jeweils auf verschlüsselten Datenträgern. Jeder Kunde hat die Möglichkeit, ohne Mitwirkung und Mitwissen von Convento die eigenen Daten aus der myconvento-Datenbank in ein zweidimensionales Daten-Modell zu extrahieren.
  • myconvento bietet die Funktion, die Herkunft eines Personen- oder Mediendatensatzes wie auch die erfolgten Änderungen und Löschungen jeweils mit dem Usernamen zu protokollieren. Diese Protokolle können auf Wunsch dem myconvento-Kunden-Administrator zur Verfügung gestellt werden.
  • Weisungen des Kunden erfolgen schriftlich und durch den von ihm benannten Ansprechpartner. Bei ggf. auftretenden Unklarheiten wird mit dem Ansprechpartner Rücksprache gehalten bzw. der Kunden-Mitarbeiter wird an diesen verwiesen.
  • Convento bewahrt die täglich gesicherten Daten vier Wochen lang auf. Die Datensicherungen erfolgen unabhängig voneinander jeweils an zwei Standorten. Die Datensicherungen werden nach vier Wochen automatisch vernichtet.
  • Die Trennung der Daten erfolgt auf dem MS SQL-Server jeweils durch separate Datenbanken. Auf den Web-Servern wird die Trennung der Daten über eine Verwaltungsdatenbank gewährleistet. Die Daten jedes Kunden sind von denen anderer Kunden und sonstiger Anwender daher streng getrennt.