Datenschutz-Grundverordnung (DSGVO)

compliance_gdpr

Die sichere Verarbeitung von persönlichen Daten
ist selbstverständlich

Für Xact-Nutzer:innen ist eine sichere Verarbeitung von persönlichen Daten nichts Neues. Das Datenschutzgesetz der EU, die DSGVO, ist am 25. Mai 2018 in Kraft getreten. Der Datenschutz für die persönlichen Daten der EU-Bürger:innen wurde endlich ernst genommen. Für uns von Xact by Rambøll war die Sicherheit bezüglich der persönlichen Daten der Umfrageteilnehmenden aber schon immer eine Priorität bei der Entwicklung unserer Lösungen.

Bereits seit SurveyXact als internes Analysewerkzeug für das Beratungsunternehmen Rambøll Management Consulting entwickelt wurde, haben wir uns von den sichersten IT Lösungen inspirieren lassen. 

Für Hunderte von Kund:innen im öffentlichen und privaten Sektor setzen wir einen neuen Standard dafür, wie die gültige Gesetzgebung für die Verarbeitung von persönlichen Daten in unserer Branche umgesetzt werden sollte. Und darauf sind wir stolz.

Es geht um Transparenz, das Prinzip der Notwendigkeit
und um Sicherheit

Mit dem Datenschutzgesetz der EU werden strenge und verschärfte Anforderungen an alle gestellt, die mit persönlichen Daten arbeiten. Es gibt viele Vorschriften. Kurz zusammengefasst gilt:

  • Sie müssen Ihre Umfrageteilnehmenden genau darüber informieren, wozu die Daten, die Sie von ihnen erhalten, genutzt werden. Zudem dürfen Sie nur Daten sammeln, speichern und bearbeiten, die für das Erreichen des angegebenen Ziels notwendig sind.
  • Ihre Umfrageteilnehmenden haben jederzeit das Recht, die über Sie gesammelten Daten einzusehen, zu korrigieren und diese in den meisten Fällen löschen zu lassen.
  • Sie müssen garantieren können, dass nur so wenige Mitarbeitende wie absolut notwendig in Ihrem Unternehmen Zugang zu den persönlichen Daten der Umfrageteilnehmenden erhalten – und dass die Daten nicht in die Hände von Unbefugten gelangen können.
  • Sie dürfen die gesammelten Daten nur so lange speichern, wie dies für den angegebenen Zweck notwendig ist.

Was ist das Datenschutzgesetz?

Zweck des Datenschutzgesetzes der EU ist der Schutz der persönlichen Daten der EU-Bürger:innen. Die einzelnen Bürger:innen sollen eine bessere Kontrolle über ihre persönlichen Daten erhalten, wobei in der gesamten EU dieselben Datenschutzgesetze angewandt werden sollen. Die Vorschriften gelten für alle, die Daten von EU-Bürger:innen verarbeiten. Dies betrifft also auch Unternehmen außerhalb der EU, wenn sie Daten von Personen in der EU verarbeiten.

Durch das Gesetz entstehen strengere Anforderungen bezüglich Transparenz und Sicherheit für registrierte Personen. Gleichzeitig wurden strengere Sanktionen für Unternehmen eingeführt, welche die Vorschriften missachten. Die EU kann Geldbußen von bis zu 4 Prozent des globalen Umsatzes eines Unternehmens verhängen.

illustration-11

Datenschutz bei Umfragen

Natürlich enthalten Umfragen persönliche Daten – wir stellen ja Menschen Fragen. In vielen Fällen ist es auch notwendig, sensible persönliche Daten zu sammeln, beispielsweise bei Zufriedenheitsumfragen für Patient:innen. Daher war es uns wichtig, dass das Recht Ihrer Umfrageteilnehmenden auf eine sichere Verarbeitung der Daten einfach und garantiert gewahrt wird, ohne aber dabei bei der Rücklaufquote Kompromisse einzugehen.

Die Rechte registrierter Personen

Für Umfrageteilnehmende muss es einfach sein, ihre Zustimmung jederzeit ändern oder widerrufen zu können und die Löschung ihrer Daten von der Umfrage zu veranlassen. Mit der Suchfunktion in SurveyXact, PeopleXact und EngageXact ist es für Sie einfach, die Antworten von einzelnen Umfrageteilnehmenden zu isolieren und diese Daten in Ihrer Umfrage zu ändern oder zu löschen.

Kontrollierter Zugang

Nur Personen, die unbedingt Zugang haben müssen, können die Daten Ihrer Umfrageteilnehmenden einsehen. Durch die Zugangskontrolle können Sie bestimmten Mitarbeitenden die notwendigen Rechte auf folgenden Ebenen zuteilen:

  • Fragebogenrechte (umfassen keine persönlichen Daten)
  • Distributionsrechte (beinhalten persönliche Daten)
  • Analyserechte (beinhalten persönliche Daten)
  • Berichtrechte (können persönliche Daten enthalten)

Sicherheitsdokumentation

Sie müssen dokumentieren können, dass Sie – und Ihre Geschäftspartner – das Datenschutzgesetz der EU einhalten. Seit 2017 wird mit neuen Xact-Lizenzen auch ein Datenverarbeitungsvertrag unterzeichnet. Dieser ist gemeinsam mit der jährlichen Prüfungsbestätigung von PwC Ihre Garantie dafür, dass uns Ihre Sicherheit am Herzen liegt. 

Anonymität

Völlige Anonymität ist häufig die Voraussetzung dafür, dass Ihre Umfrageteilnehmenden überhaupt an der Umfrage teilnehmen – besonders, wenn sie sensible Informationen angeben sollen. Bei sämtlichen Umfragen können Sie ganz einfach wählen, ob die Beantwortung anonym sein soll. Sie können die Umfragen von Anfang an anonym machen, wenn Sie keinerlei Daten zurückverfolgen müssen. Sie können Umfragen aber auch im Nachhinein anonymisieren, sobald sie die zurückverfolgbaren Daten nicht mehr benötigen, gerne aber die Antworten behalten und so eine Entwicklung beobachten möchten.

Wählen Sie Ihr Datenverarbeitungspersonal sorgfältig

Sie tragen die Verantwortung

Wenn Sie Daten für Ihre Umfrage sammeln, sind Sie für die Daten verantwortlich, während Xact by Rambøll als Datenverarbeitungsunternehmen agiert. Das Datenverarbeitungsunternehmen handelt auf Anweisung des/der Datenverantwortlichen. Sie müssen also für die Daten einstehen können, die Sie ins System eingeben. Und Sie tragen als Datenverantwortliche:r die Verantwortung dafür, dass die Informationen rechtmäßig in Ihren Besitz gelangt sind und diese nur zu dem Zweck verwendet werden, der beim Einholen angegeben wird. Wenn das Gesetz an irgendeinem Punkt während dieses Prozesses übertreten wird, tragen Sie die Verantwortung. Das bedeutet daher, dass Sie Ihren Datenverarbeitungsbeauftragten zu 100 Prozent vertrauen müssen.

Unsere Verantwortung

Obwohl letzten Endes Sie dafür verantwortlich sind, wenn das Gesetz nicht eingehalten wird, tun wir als Datenverarbeitungsunternehmen unser Möglichstes, damit Ihre Daten sicher sind. Wir möchten es Ihnen einfach machen, die Gesetze zu befolgen. Xact by Rambøll liefert die gesamte Sicherheitsdokumentation, die Sie brauchen, und zwar in der Form eines ISAE 3000 II-Prüfberichts von PwC sowie in der Form eines Datenverarbeitungsvertrags, der Ihrer Lizenz beiliegt.

Gleichzeitig haben wir viele Funktionen entwickelt, mit denen Sie die volle Kontrolle über den Zugang zu den Daten Ihrer Umfrageteilnehmenden haben.

Auftragsverarbeitungsvertrag

Rollen und Verantwortlichkeiten


databehandleraftale_2023_DE

 

Erweiterte Benutzersteuerung

Sie als Administrator:in können den einzelnen Mitarbeitenden unterschiedliche Rechte zuteilen. Das System loggt dabei sämtliche Aktivitäten, sodass Sie jederzeit sehen können, wer wann welche Informationen eingeholt hat. Unser Log-System ist so detailliert, dass wir jederzeit eine Benutzersession wiederherstellen können.

 

Zwei-Stufen-Login

Durch den Zwei-Stufen-Login wird die Sicherheit verdoppelt. Zuerst müssen Sie Ihren Benutzernamen und Ihr Kennwort eingeben, genauso, wie Sie das von anderen digitalen Konten gewohnt sind. Danach müssen Sie den Login mit einem SMS-Code oder durch Identifikation Ihrer IP-Adresse bestätigen.

 

Einmaliges Anmelden

Durch das einmalige Anmelden können Sie die Benutzerzugänge mit Ihren aktiven Verzeichnissen verknüpfen. Das bedeutet, dass sich die Mitarbeitenden, denen Sie Rechte zugeteilt haben, ganz einfach an ihrem Arbeitsplatz anmelden müssen, um Zugang zu Xact by Rambøll zu erhalten. Verlassen Mitarbeitende das Unternehmen, wird der Zugang zu Xact by Rambøll automatisch aufgehoben.

Gesicherte Daten

Die Daten Ihrer Umfrageteilnehmenden sind stets in guten Händen, ganz egal, ob Gefährdungen über das Netzwerk oder physische Gefährdungen vorkommen könnten. Wir bewahren sämtliche Daten in einem hervorragend gesicherten Hosting-Center in Dänemark auf, das einbruchsicher, rauchdicht, feuerfest und wasserresistent ist.

Sämtliche kritischen Datensysteme laufen voneinander unabhängig – auch Stromversorgung, Klimaanlage und Daten-Back up. Für den Server wird täglich ein vollständiges Back up vorgenommen und an einer anderen physischen Adresse gespeichert.

Zudem simulieren wir für unser Setup Cyberangriffe. Das heißt, dass wir versuchen, unser eigenes Betriebssystem zu hacken. Bis jetzt ist uns das noch nie gelungen.

Das System läuft 99,5 Prozent der Zeit, geschlossen haben wir also praktisch nie.

illustration-4

FAQ

Sie müssen immer das Einverständnis zum Sammeln von persönlichen Daten einholen. Aber da die Teilnahme an einer Umfrage eine bewusste und aktive Handlung darstellt, kann die Teilnahme selbst als Einverständnis angesehen werden. In besonderen Fällen – beispielsweise, wenn mit einer Umfrage sensible persönliche Daten gesammelt werden – empfehlen wir Ihnen allerdings, eine gesonderte Einverständniserklärung einzuholen.

Das Datenschutzgesetz der EU schreibt ganz eindeutig vor, dass das Einverständnis auf der Grundlage sämtlicher Informationen gegeben werden muss, ganz egal, welche persönlichen Daten gesammelt werden. Den Umfrageteilnehmenden muss völlig klar sein, welche persönlichen Daten sie warum angeben. Als datenverantwortliche Person bzw. als Person, die persönliche Daten sammelt, sind Sie unter anderem dazu verpflichtet, registrierte Personen darüber zu informieren, warum sie die jeweiligen Informationen brauchen, was Sie mit dem Sammeln der Daten bezwecken und wie sowie wie lange Sie die Daten speichern. Zudem müssen Sie angeben, ob Sie Dritte als Datenverarbeiter beauftragen (beispielsweise Xact by Rambøll). Mit dem Datenschutzgesetz der EU wird zudem betont, dass Sie die registrierte Person beim Einholen des Einverständnisses über ihre Rechte informieren müssen – nämlich, dass sie die gesammelten Daten einsehen darf, dass sie die gesammelten Daten ändern lassen kann und dass sie ihr Einverständnis widerrufen und verlangen kann, dass die persönlichen, gesammelten Daten dieser Person von Ihrer Datenbank und der Datenbank des Datenverarbeiters gelöscht werden. Direkt mit dem Sammeln der Daten müssen die registrierten Personen eine einfache Möglichkeit erhalten, diese Rechte zu nutzen. Dazu können Sie beispielsweise die Kontaktdaten der Datenschutzbeauftragten in Ihrem Unternehmen angeben.

Die Umfrageteilnehmenden müssen also zu vielen Informationen einen einfachen Zugang haben, damit die Transparenzanforderungen des EU-Datenschutzgesetzes erfüllt sind. Sie können alle Informationen beispielsweise auf der Vorderseite der Umfrage zusammenfassen. Oder Sie geben nur einige der Informationen an der Vorderseite der Umfrage an und stellen einen Link zur allgemeinen Datenschutzpolitik Ihres Unternehmens zur Verfügung. Dort müssen Sie auch auf besondere Umstände in Verbindung mit Ihren Umfragen aufmerksam machen, unter anderem darauf, dass Xact by Rambøll die Datenverarbeitung übernimmt.

Beispiel Einverständniserklärung
Die Regeln, wie eine Einverständniserklärung auf der Grundlage von Informationen ganz genau eingeholt werden muss, können auf mehrere Arten interpretiert werden. Eine Regel aber, die Ihnen bei der Einhaltung des Datenschutzgesetzes der EU helfen kann, ist, dass Sie bei sämtlichen Belangen zum Thema persönliche Daten eine 100%ige Transparenz zeigen müssen. Daher sind Sie auf jeden Fall besser abgesichert, wenn Sie klar kommunizieren, welche Daten Sie wann warum einsammeln und wie lange Sie die Daten aufbewahren. Gleichzeitig wirken Sie auch viel glaubwürdiger – und das ist ein entscheidender Parameter für die Rücklaufquote.

Nein. Alle IP-Adressen der Umfrageteilnehmenden werden anonymisiert. Weder Sie noch die Mitarbeitenden von Xact by Rambøll können die IP Adressen einsehen oder nutzen.

Ja, Sie können sämtliche Daten, darunter auch persönliche Daten, bei allen Umfragen in SurveyXact, PeopleXact und EngageXact löschen. Durch das Datenschutzgesetz der EU erhalten die registrierten Personen „das Recht, gelöscht zu werden“. Auf Anfrage muss es möglich sein, sämtliche Informationen von allen Umfrageteilnehmenden aus einer Umfrage zu löschen. Es gibt mehrere Methoden, um dies zu gewährleisten:

  • Sie können eine besondere Variable aus einer Umfrage löschen
  • Sie können die Beantwortung eines Umfrageteilnehmenden löschen
  • Sie können alle Daten aus einer Umfrage löschen
  •  Sie können die gesamte Umfrage löschen

Mit unserer Umfrageteilnehmenden-Suchfunktion können Sie die jeweiligen Umfrageteilnehmenden in sämtlichen Ihrer Umfragen finden und die Beantwortung der jeweiligen Umfrageteilnehmenden ganz einfach löschen.
Denken Sie daran, dass Sie als Datenverantwortliche:r dafür verantwortlich sind, sämtliche mit Personen verknüpfbare Informationen zu löschen, wenn der Zweck der Umfrage und des Speicherns nicht mehr aktuell ist.

Ja, unsere neue Datenschutz-Anonymisierungsfunktion macht es Ihnen leicht, Daten in Ihrer Umfrage mithilfe von Filtern und automatischen Filtern zu anonymisieren. Sie können beispielsweise folgende Filter nutzen:


  • Zeitfilter: Damit können Sie Daten eines bestimmten Zeitraums anonymisieren

  • Hintergrunddatenfilter: Damit können Sie sämtliche Hintergrunddaten anonymisieren

  • Systemdatenfilter: Damit können Sie beispielsweise Telefonnummern anonymisieren

  • Filter für Text- und Kommentarfelder in den Daten des Hintergrundfragebogens und/oder Fragebogens: Damit können Sie sämtliche offenen Felder in der Datenbank und in der Umfrage selbst anonymisieren.

  • Denken Sie daran, dass Sie als Datenverantwortliche:r dafür verantwortlich sind, die Daten zu anonymisieren und für diesen Prozess klare Regeln anzuwenden. Es kann beispielsweise sein, dass Daten, die an sich nicht zu einer bestimmten Person zurückverfolgt werden können, plötzlich doch zurückverfolgt werden können, wenn sie mit anderen kombiniert werden.

Laut Datenschutzgesetz der EU dürfen persönliche Daten nur so lange gespeichert werden, wie dies für das Erreichen der Ziele, die Sie mit dem Sammeln der Daten verfolgen, notwendig ist. Wenn Sie die gesammelten Daten aus Ihrer Umfrage nicht mehr brauchen, müssen Sie eigenhändig dafür sorgen, dass die Daten gelöscht oder anonymisiert werden. Sie dürfen die Daten auch dann nicht behalten, wenn Sie diese zu einem anderen Zweck verwenden wollen, beispielsweise für Marketing. In einem solchen Fall müssen Sie eine gesonderte Einverständniserklärung einholen. Sie tragen die Verantwortung dafür, dass die Daten in Xact by Rambøll gelöscht werden, wenn Sie sie nicht mehr nutzen.

Wenn Sie die Daten nicht selbst löschen, speichern wir sie, so lange Ihre Lizenz für SurveyXact, PeopleXact oder EngageXact gültig ist. Läuft Ihre Lizenz ab, löschen wir alle Daten, die Sie selbst nicht gelöscht haben. Wenn Sie oder Xact by Rambøll die Daten löschen, bleiben sie bis zu 3 Monate lang in unserem Back up-System erhalten. Danach werden sie unwiederbringlich gelöscht.

Laut Datenschutzgesetz der EU dürfen die persönlichen Daten von EU-Bürger:innen nicht aus der EU, aus dem EWR und nicht in Länder geschickt werden, die nicht als sicheres Drittland kategorisiert worden sind.

Die Server von Xact by Rambøll werden von Kund:innen auf der ganzen Welt genutzt und stehen physisch beim Hosting-Unternehmen Fuzion in Aarhus. Falls wir Sub-Datenverarbeitende nutzen, haben wir eine Garantie dafür, dass die Daten nicht an unsichere Drittländer geschickt werden.

Nur wenige Mitarbeitende haben Zugang zu Ihren Daten. Und zwar jene, die sich mit der Entwicklung und dem Betrieb von Xact by Rambøll beschäftigen. Sobald ein Angestelltenverhältnis endet, werden die Zugänge der jeweiligen Mitarbeitenden sofort gesperrt bzw. aufgehoben. Wir pflegen eine Liste mit berechtigten Mitarbeitenden, in der auch angegeben wird, welche Rechte sie genau haben.

Wenn Sie Support benötigen, können Sie Ihren Zugang zu Ihren persönlichen Daten über unser neues Supportadministrationssystem mit dem jeweiligen Supportmitarbeitenden bei Xact by Rambøll teilen. Das Supportsystem garantiert, dass der Zugang nur dem jeweiligen Mitarbeitenden erteilt wird, und zwar nur zu den explizit angegebenen persönlichen Daten Ihres Unternehmens innerhalb eines eingeschränkten Zeitraums – eine Stunde lang beispielsweise.

Ja, Xact by Rambøll beauftragt für Umfragen, bei denen die Fragebögen via SMS verschickt werden, auch Sub-Datenverarbeitende. Den derzeitigen Sub-Datenverarbeitenden für die Verteilung per SMS finden Sie unter surveyxact.dk/smsbestilling. Nur in Zusammenhang mit der Verteilung per SMS wird ein Sub-Datenverarbeitender beauftragt.

Die Umfrageteilnehmenden haben das Recht, die persönlichen Daten einzusehen, die Sie von ihnen gespeichert haben, sowie diese zu korrigieren, wenn sie nicht korrekt sind.

Grundsätzlich haben Umfrageteilnehmende auch das Recht, zu verlangen, dass die eigenen persönlichen Daten von Ihren Umfragen und Archiven gelöscht werden. In gewissen Fällen verlangt der Zweck jedoch eine Speicherung der persönlichen Daten der Umfrageteilnehmenden, wodurch die Umfrageteilnehmenden das Recht auf Löschung verlieren. Dies ist beispielsweise bei Umfragen der Fall, die Daten über die Gesundheit enthalten, welche für zukünftige Behandlungen notwendig sind.

Die Datenschutzfunktionen in SurveyXact, PeopleXact und EngageXact machen es Ihnen einfach, die Rechte der Umfrageteilnehmenden zu wahren.

Denken Sie daran, dass Sie die Verantwortung dafür tragen, persönliche Daten auch in eventuell exportierten Excel-Dateien zu ändern bzw. zu löschen.

Wird Xact by Rambøll von Ihren Umfrageteilnehmenden bezüglich des oben Angeführten kontaktiert, wenden wir eine effiziente und professionelle Vorgehensweise zur Handhabung der Anfrage an. Wir leiten die Anfrage an die zuständige Person in Ihrem Unternehmen weiter, während wir gleichzeitig den jeweiligen Umfrageteilnehmenden über das weitere Vorgehen informieren. Laut dem Datenschutzgesetz der EU müssen Sie die Anfrage der Umfrageteilnehmenden „ohne unnötige Verzögerung, spätestens jedoch einen Monat nach Eingehen der Anfrage“ beantwortet haben.

Sie sind dazu verpflichtet, die gesammelten persönlichen Daten so gut wie möglich zu schützen. Daher müssen Sie den Zugang zu den Daten auf das absolut notwendige Minimum beschränken. Sie dürfen nur jenen Mitarbeitenden Zugriffsrechte gewähren, die sie wirklich benötigen. In SurveyXact, PeopleXact und EngageXact können Sie sich selbst oder Kolleg:innen bei jeder einzelnen Umfrage Rechte zuteilen:

●    Fragebogenrechte (umfassen keine persönlichen Daten)
●    Distributionsrechte (beinhalten persönliche Daten)
●    Analyserechte (beinhalten persönliche Daten)
●    Berichtrechte (können persönliche Daten enthalten)

Auf diese Weise können Sie beispielsweise gewissen Mitarbeitenden ganz einfach Zugang zu den Ergebnissen einer Umfrage gewähren, ohne dass sie persönliche Daten einsehen können.

Sie als datenverantwortliche Person tragen die Verantwortung dafür, Ihre Benutzerkonten zu verwalten – dazu gehören die Einrichtung und Deaktivierung der Konten sowie die Zuteilung der Rechte. Indem Sie Ihre Benutzeradministration gemeinsam mit Ihren aktiven Verzeichnissen in Xact by Rambøll auslagern, kann dieser Vorgang automatisiert werden.
Sobald Ihr Unternehmen keine aktive Lizenz mehr hat, sorgt Xact by Rambøll dafür, sämtliche Benutzerzugänge und Rechte aufzuheben.

Wir bieten für SurveyXact, PeopleXact und EngageXact zwei Leistungsoptionen, mit denen Sie die Administration der Benutzerkonten automatisieren können – Einmaliges Anmelden (SSO) und Zwei Stufen-Login. Beide Lösungen sind in unserem Optionsfolder beschrieben.

Laut dem Datenschutzgesetz der EU dürfen Sie nur jene persönlichen Daten sammeln und speichern, die für den Zweck, den Sie beim Sammeln der Daten angeben, erforderlich sind. Sie dürfen beispielsweise keine Telefonnummern erfragen, wenn diese für den von Ihnen angegebenen Zweck nicht notwendig sind. Der Datenverarbeitungsvertrag zwischen Xact by Rambøll und Ihrem Unternehmen legt die genauen Zwecke fest und schreibt somit vor, welche Arten von persönlichen Daten Sie speichern dürfen. Die Daten werden im Datenschutzgesetz der EU in zwei Kategorien unterteilt: Herkömmliche persönliche Daten und sensible persönliche Daten. Sensible persönliche Daten müssen mit besonderer Vorsicht behandelt werden.

Darauf können Sie grundsätzlich aus mehreren Gründen bauen! Die wichtigsten fünf Gründe sind:

  • Xact by Rambøll umfasst eine Reihe von IT-Systemen, die von Rambøll entwickelt worden und im Besitz des Unternehmens geblieben sind. SurveyXact, PeopleXact und EngageXact erfüllen daher die strengen Anforderungen, zu denen Rambøll sich als verantwortungsvolles Unternehmen verpflichtet hat und welche auf der Website von Rambøll beschrieben sind: https://www.ramboll.com/positions-and-policies 

  • Xact by Rambøll und Ihr Unternehmen haben einen gültigen Datenverarbeitungsvertrag unterzeichnet, der dem Datenschutzgesetz der EU gerecht wird.

  • Die IT-Sicherheit von Xact by Rambøll wird jährlich von PwC überprüft. Diese Prüfung wird gemäß der internationalen Norm ISAE 3000 II durchgeführt.

  • Wir simulieren Cyberangriffe auf das Betriebssystem, bei denen wir testen, ob man sich in unser System hacken kann.

  • Ihr Unternehmen hat als Lizenznehmer:in von SurveyXact, PeopleXact oder EngageXact das Recht, Audits bei Xact by Rambøll durchzuführen. Bei diesen können Sie prüfen, dass der Datenverarbeitungsvertrag und die zusätzlich erwähnten technischen und organisatorischen Sicherheitsmaßnahmen eingehalten werden.

Wenn Sie eine Lizenz für SurveyXact, PeopleXact oder EngageXact erwerben, erhalten Sie einen Datenverarbeitungsvertrag. Der Datenverarbeitungsvertrag wird an den Zweck, den die Nutzung unserer Lösungen erfüllen soll, angepasst. Er stellt einen gemeinsamen Vertrag dar, der sichern soll, dass wir nur das tun, womit Sie uns mit dem Datenverarbeitungsvertrag beauftragt haben. 

Der Datenverarbeitungsvertrag basiert auf den Empfehlungen der Datenschutzbehörde und wurde an das Setup von Xact by Rambøll angepasst. Unser Datenverarbeitungsvertrag wird jährlich bei der IT Prüfung neu beurteilt.
https://www.datatilsynet.dk/Media/C/0/Registreredes%20rettigheder.pdf 

Bei dieser Frage geht es eigentlich nicht um den Datenschutz, sondern generell um Umfragen. Für diese ist hauptsächlich das Marketinggesetz relevant.
Marketinggesetz – ähnliche, relevante Produkte
Die unaufgeforderte Kontaktaufnahme von Verbraucher:innen (auch Spam genannt) wird vom § 10 des Marketinggesetzes geregelt. Grundsätzlich muss ein Unternehmen eine Einwilligung einholen, bevor es sich u. a. per digitaler Post (E Mail, SMS-Nachrichten und MMS-Nachrichten) an die Verbraucher:innen wenden darf. Dies gilt sowohl für bestehende als auch ehemalige Kund:innen.

Sie müssen grundlegend immer eine auf Informationen basierende Einwilligung eingeholt haben, bevor Sie sich per digitaler Post (E Mail, SMS-Nachrichten und MMS-Nachrichten) an eventuelle, bestehende und ehemalige Kund:innen wenden.

Durch den Abs. 2 des § 10 des Marketinggesetzes können Sie aber Ihre eigenen, relevanten Produkte bestehenden und ehemaligen Kund:innen anbieten. Das bedeutet, dass Sie Reifen bewerben dürfen, wenn Sie bereits eine Felge verkauft haben, sofern die Kund:innen beim ersten Kauf ihre E Mail-Adresse angegeben und gewusst haben, dass diese zukünftig für Marketingzwecke genutzt werden kann. Und natürlich muss es für Empfangende einfach sein, die Erlaubnis, zu Marketingzwecken kontaktiert zu werden, bei jeder Kontaktaufnahme zu widerrufen.

Marktforschung, Kundenzufriedenheitsumfragen und Ähnliches
Fragebögen zur Marktforschung, Kundenzufriedenheitsumfragen und Ähnliches, die elektronisch zugestellt werden, sind laut dem Verbraucherschutzobmann grundsätzlich von den oben angeführten Regeln ausgenommen. 

Diese Art von E-Mails und SMS-Nachrichten dürfen Sie ohne Erlaubnis aussenden. Allerdings gilt das nicht, wenn die Umfrage den Zweck hat, die Produkte eines Unternehmens zu branden oder zu bewerben. In der Praxis wird daher darauf geachtet, dass der Inhalt neutral und frei von Hinweisen auf das Unternehmen oder dessen Produkte ist. 

Der Verbraucherschutzobmann hat bei einem konkreten Fall geäußert, dass es wichtig ist, dass Kundenzufriedenheitsumfragen unmittelbar nach einer erbrachten Leistung ausgesandt werden und keine Kaufvorschläge, positive Aussagen über das Unternehmen oder sonstiges Branding beinhalten. Dies wurde bei der Beurteilung des Falls berücksichtigt und festgestellt, dass es sich nicht um Marketing, sondern um eine Umfrage zur Kundenzufriedenheit handelte.

Wenn Sie Daten für Ihre Umfrage sammeln, sind Sie für die Daten verantwortlich. Sie als datenverantwortliches Unternehmen müssen Logs einrichten und dokumentieren, wie die persönlichen Daten von Ihnen und Ihren Datenverarbeitern behandelt werden. Sie müssen beweisen können, dass die Verarbeitung der persönlichen Daten den Vorschriften entspricht.
Die Verzeichnisse müssen schriftlich und elektronisch geführt und bei Anfrage an die Datenschutzbehörde gesandt werden. Dies gilt für die Verarbeitung von herkömmlichen (nicht sensiblen persönlichen Daten) und speziellen Datenkategorien (sensible persönliche Daten).
Die Dokumentation muss mindestens folgende Punkte beinhalten:

●    Name und Kontaktdaten
●    Zweck
●    Kategorie der registrierten persönlichen Daten
●    Empfangs- und Weiterleitungskategorien
●    Weiterleitung in Drittländer und an internationale Organisationen
●    Löschfrist
●    Technische und organisatorische Maßnahmen

Mehr über die Pflicht zur Pflege von Verzeichnissen können Sie in der Anleitung der Datenschutzbehörde und des Justizministeriums lesen: https://www.datatilsynet.dk/Media/E/5/Fortegnelse%20(3).pdf


Fragen Sie unsere Datenschutzfachkräfte
Gerne können Sie die Datenschutzfachkräfte von Rambøll Management Consulting kontaktieren, wenn Sie Fragen zum Datenschutzgesetz der EU oder zum Datenschutz allgemein haben.
portrait_IVDS

Ivan Dalsgaard Sørensen

Business Manager

+45 51 61 78 22

ivds@ramboll.com