FAQ zur AJAX DSGVO

Grundlagen

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (auch bekannt als Verordnung 2016/679 oder „DSGVO“) ist eine Verordnung der Europäischen Union über den Datenschutz und den Schutz der Privatsphäre in der EU und im Europäischen Wirtschaftsraum (EWR). Obwohl sie von der Europäischen Union (EU) entworfen und verabschiedet wurde, erlegt sie Organisationen überall dort Datenschutzverpflichtungen auf, wo sie auf Personen in der EU abzielen oder Daten über sie erheben.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen über eine Person, mit denen diese Person direkt oder indirekt identifiziert werden kann. Auch mehrere Einzelinformationen, die gemeinsam die Identifizierung einer bestimmten Person ermöglichen, gelten als personenbezogene Daten.

Auch anonymisierte, verschlüsselte oder pseudonymisierte personenbezogene Daten, die dennoch zur Re-Identifizierung einer Person verwendet werden können, fallen in den Anwendungsbereich des Gesetzes.

Nachstehend finden Sie einige Beispiele für personenbezogene Daten:

Vor- und Nachname;
Adresse;
E-Mail-Adresse;
Nummer des Ausweises;
Standortdaten;
IP-Adresse;
Cookie-Kennungen;
Werbe-ID des Telefons.

Was bedeutet es, Daten zu verarbeiten?

Die Definition der Datenverarbeitung umfasst ein breites Spektrum von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies manuell oder automatisiert geschieht. Sie umfasst das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten. Wenn Sie mit Daten auf die oben beschriebene Weise umgehen, verarbeiten Sie diese.

Was ist der Unterschied zwischen einem Datenverarbeiter (Data Processor) und einem Datenverantwortlichen (Data Controller)?

Ein Datenverantwortlicher ist eine Organisation, eine Institution oder eine Person, die die Normen und Regeln für die Verarbeitung personenbezogener Daten festlegt. In der Praxis bedeutet dies, dass der Datenverantwortliche dafür zuständig ist, festzulegen, wie und zu welchem Zweck personenbezogene Daten von einer Organisation verwendet werden. Normalerweise ist ein Datenverantwortlicher die Person oder Organisation, die die Daten erhebt und entscheidet, wie sie verwendet werden.

Dies steht im Gegensatz zu einem Datenverarbeiter. Nach der DSGVO ist ein Datenverarbeiter eine Organisation, Institution oder Person, die die vom Datenverantwortlichen festgelegten Standards der Datenverarbeitung umsetzt. Ein Datenverarbeiter ist in der Regel eine Partei, die Daten auf Anweisung und nach Ermessen eines Datenverantwortlichen verarbeitet. Ein Datenverarbeiter ist nicht Eigentümer der von ihm verarbeiteten Daten und hat keine Kontrolle über sie. Dies bedeutet, dass ein Datenverarbeiter die Bedeutung der Daten nicht ändern kann, dass er nicht bestimmen kann, wie die Daten verwendet werden, und dass er an Anweisungen gebunden ist.

Einige Punkte zum Verständnis des Unterschieds zwischen den Funktionen des Datenverantwortlichen und des Datenverarbeiters:

Der Datenverantwortliche entscheidet über die folgenden Dinge:

die Organisation, die die Daten in erster Linie sammelt und die rechtliche Grundlage dafür hat;
wofür die personenbezogenen Daten verwendet werden sollen;
ob die Daten weitergegeben werden sollen und wenn ja, an wen;
ob das Recht auf Zugang zu den Daten und andere Rechte des Betroffenen gelten oder ob es Ausnahmen gibt;
wie lange die Daten aufbewahrt werden sollen oder ob die Daten in einer nicht routinemäßigen Weise geändert werden sollen.

Der Datenverarbeiter entscheidet über die folgenden Dinge:

die Methoden, die für die Erhebung und Speicherung personenbezogener Daten verwendet werden;
wie die Daten gesichert werden;
die Mittel, die verwendet werden, um personenbezogene Daten von einer Organisation auf eine andere zu übertragen;
wie personenbezogene Daten abgerufen werden;
Die Methode, um sicherzustellen, dass ein Aufbewahrungsplan eingehalten wird;
wie personenbezogene Daten gelöscht werden.

Was sind die Bedingungen für die Verarbeitung personenbezogener Daten gemäß der DSGVO?

In Artikel 6 der DSGVO sind die verschiedenen Bedingungen (auch als Grundsätze bezeichnet) aufgeführt, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist:

Einwilligung. Einwilligung bedeutet, dass die betroffene Person ausdrücklich ihre Zustimmung zu einer Verarbeitung personenbezogener Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Die Festlegung des Zwecks ist dabei von grundlegender Bedeutung. Wenn die betroffene Person, die auch als natürliche Person bezeichnet wird, in die Verarbeitung einwilligt, ohne die spezifischen Zwecke vollständig und auf leicht verständliche Weise zu kennen, ist die Einwilligung keine Rechtsgrundlage für die Verarbeitung. Denn sie muss freiwillig, für den konkreten Fall, in Kenntnis der Sachlage und unzweideutig erteilt werden. Außerdem kann die Zustimmung nicht gebündelt werden. Für jede Datenverarbeitungstätigkeit innerhalb eines umfassenderen Vorgangs ist also in der Regel für jede Tätigkeit eine gesonderte Einwilligung erforderlich.
Die Verarbeitung ist für die Erfüllung oder die Vorbereitung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist. Eine Organisation kann sich auf diese Rechtsgrundlage berufen, wenn sie die personenbezogenen Daten einer Person verarbeiten muss, um ihr eine vertragliche Dienstleistung zu erbringen, oder wenn die Person die Organisation vor Abschluss eines Vertrags um etwas gebeten hat (zum Beispiel um ein Angebot).
Die Verarbeitung der Daten ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen. Die Verarbeitung personenbezogener Daten ist zulässig, wenn der Datenverantwortliche einer rechtlichen Verpflichtung unterliegt, die zwingend mit der Verarbeitung personenbezogener Daten zusammenhängt. Auch die Einhaltung einer rechtlichen Verpflichtung, für die die Verarbeitung erforderlich ist und der der Datenverantwortliche unterliegt, ist nicht neu.
Die Verarbeitung der Daten ist notwendig, um das Leben eines Menschen zu retten. Dies wird auch als „vitales Interesse“ bezeichnet. In diesem Fall muss die natürliche Person nicht unbedingt eine betroffene Person sein; es kann sich auch um eine andere natürliche Person handeln. Es liegt natürlich nicht im Ermessen des Datenverantwortlichen, zu definieren, was ein vitales Interesse ist. Diese Grundlage bezieht sich vielmehr auf lebensbedrohliche Situationen, in denen es keine andere Rechtsgrundlage für die Verarbeitung gibt, die Nichtverarbeitung personenbezogener Daten jedoch im Wesentlichen bedeuten würde, dass eine Person sterben würde, wenn der Auftragsverarbeiter keine Maßnahmen ergreift, und er daher bestimmte Informationen über die natürliche Person, die sich in Gefahr befindet, kennen muss.
Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Eine Organisation kann sich auf diese Rechtsgrundlage berufen, wenn sie personenbezogene Daten „in Ausübung öffentlicher Gewalt“ verarbeiten muss. Darunter fallen öffentliche Aufgaben und Befugnisse, die gesetzlich vorgesehen sind, oder die Wahrnehmung einer bestimmten Aufgabe, die gesetzlich vorgesehen ist und im öffentlichen Interesse liegt.
Der Datenverantwortliche hat ein berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten einer Person. Die Verarbeitung personenbezogener Daten in diesem Zusammenhang ist nicht unbedingt durch eine gesetzliche Verpflichtung gerechtfertigt oder erfolgt zur Erfüllung der Bedingungen eines Vertrags mit einer Person. In diesen Fällen kann die Verarbeitung personenbezogener Daten durch ein berechtigtes Interesse gerechtfertigt sein. Beispielsweise hat ein Datenverarbeiter ein berechtigtes Interesse, wenn die Verarbeitung im Rahmen einer Kundenbeziehung, für Zwecke des Direktmarketings, zur Verhinderung von Betrug oder zur Gewährleistung der Netz- und Informationssicherheit von Computersystemen erfolgt.

Wie wird die Einwilligung nach der DSGVO erteilt?

Für die Einwilligung einer betroffenen Person in die Verarbeitung ihrer Daten gelten strenge Regeln:

Die Einwilligung muss „freiwillig, für einen konkreten Fall, nach ausreichender Information des Betroffenen und unmissverständlich“ abgegeben werden.
Das Ersuchen um Einwilligung muss „in einer klaren und einfachen Sprache“ formuliert sein, sodass es „von anderen Sachverhalten klar zu unterscheiden“ ist.
Die betroffene Person kann eine einmal erteilte Einwilligung jederzeit widerrufen. Diese Entscheidung muss respektiert werden. Es ist nicht möglich, die Rechtsgrundlage der Verarbeitung einfach durch eine der anderen Begründungen zu ersetzen.
Es ist notwendig, Dokumentationsnachweise für die Einwilligung aufzubewahren.

Welche Rechte hat die betroffene Person nach der DSGVO?

Die DSGVO gewährt den Betroffenen die folgenden Rechte:

Das Recht auf Information (die betroffene Person hat das Recht, darüber informiert zu werden, wie Unternehmen ihre personenbezogenen Daten erheben und verwenden, wie lange sie diese Daten speichern wollen und mit wem sie diese Daten austauschen werden);
Das Auskunftsrecht (die betroffene Person hat das Recht, genau zu wissen, welche Informationen Unternehmen gesammelt haben, wie sie diese Daten speichern und verarbeiten und was sie damit tun);
Das Recht auf Berichtigung (die betroffene Person hat das Recht, unvollständige Daten vervollständigen und unrichtige Daten berichtigen zu lassen);
Das Recht auf Löschung (die betroffene Person hat das Recht, personenbezogene Daten dauerhaft löschen zu lassen. Dies ist auch bekannt als das „Recht auf Vergessenwerden“);
Das Recht auf Einschränkung der Verarbeitung (wenn die betroffene Person nicht verlangen kann, dass die Datenverantwortlichen ihre personenbezogenen Daten löschen, kann sie die Möglichkeiten der Datenverantwortlichen, diese Daten zu verarbeiten, einschränken);
Das Recht auf Datenübertragbarkeit (die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten für ihre eigenen Zwecke über verschiedene Dienste hinweg zu erhalten und wiederzuverwenden);
Das Widerspruchsrecht (die betroffene Person hat das Recht, unter bestimmten Umständen der Verarbeitung ihrer personenbezogenen Daten zu widersprechen);
Die Rechte in Bezug auf die automatisierte Entscheidungsfindung und das Profiling (die betroffene Person hat das Recht, ein menschliches Eingreifen zu verlangen, anstatt wichtige Entscheidungen von Algorithmen treffen zu lassen).

Was sind die sieben DSGVO-Grundsätze?

Gemäß der DSGVO gibt es sieben wichtige Grundsätze für den Datenschutz und die Rechenschaftspflicht:

Rechtmäßigkeit, Fairness und Transparenz: Die Verarbeitung muss rechtmäßig, fair und für die betroffene Person transparent sein.
Zweckbindung: Sie müssen die Daten für die rechtmäßigen Zwecke verarbeiten, die Sie der betroffenen Person bei der Erhebung der Daten ausdrücklich mitgeteilt haben.
Datenminimierung: Die Datenerhebung und -verarbeitung muss sich auf das für die angegebenen Zwecke erforderliche Maß beschränken.
Richtigkeit: Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein.
Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den angegebenen Zweck erforderlich ist.
Integrität und Vertraulichkeit: Die Verarbeitung muss so erfolgen, dass eine angemessene Sicherheit, Integrität und Vertraulichkeit gewährleistet ist (z. B. durch Verschlüsselung).
Rechenschaftspflicht: Der Datenverantwortliche muss nachweisen können, dass alle diese Grundsätze der DSGVO eingehalten werden.

Verlangt die DSGVO, dass personenbezogene Daten von in der EU ansässigen Personen in der EU verbleiben?

Die DSGVO enthält keine direkten Beschränkungen für die Speicherung personenbezogener Daten von in der EU ansässigen Personen innerhalb der EU. Der Datenschutz in der EU beruht jedoch auf dem Grundsatz „Die DSGVO bleibt bei den Daten“, d. h. die Vorschriften zum Schutz personenbezogener Daten gelten unabhängig davon, wo sich die Daten befinden. Dieser Grundsatz gilt auch, wenn personenbezogene Daten in ein Drittland übermittelt werden.

Verarbeitung durch Ajax

Verarbeitet Ajax meine personenbezogenen Daten?

Ja, Ajax kann Ihre personenbezogenen Daten verarbeiten. Nachstehend finden Sie die wichtigsten Möglichkeiten, wie wir Ihre Daten verwenden können:

in unseren Sicherheitssystemen (zum Beispiel über Ajax Hub-Zentrale und andere Geräte);
in unseren Apps für Endnutzer und PRO-Benutzer: Mobilgeräte (Ajax Security System und Ajax PRO: Tool for Engineers), Desktop (Ajax Desktop und Ajax PRO Desktop) und Ajax Web Tools (im Folgenden als Produkte oder Dienste bezeichnet);
wenn Sie unsere Website besuchen unter https://ajax.systems;
im Rahmen einer Geschäftsbeziehung zwischen Ihnen und Ajax (unabhängig davon, ob Sie ein direkter oder indirekter Partner oder Subunternehmer von Ajax sind);
während der personalisierten Kommunikation zwischen Ihnen und Ajax (z. B. bei Vorstellungsgesprächen, Treffen usw.);

bei der Bereitstellung von Diensten im Zusammenhang mit der Funktionalität der Erweiterten Ajax Services (einschließlich Ajax SIM, Ajax Cloud Storage usw.);

Welche Arten von Daten kann Ajax verarbeiten?

Ajax kann verschiedene Arten von Daten verarbeiten, je nachdem, wie Sie mit uns interagieren.

Über unsere Sicherheitsgeräte können wir Folgendes verarbeiten:

Informationen über Ihre Hub-Zentrale (z. B. Informationen über das Modell und die Seriennummer des Netzwerks, einschließlich der IP-Adresse, Geräteaktivitätsprotokolle, frühere und aktuelle Gerätekonfiguration und Standort).
Telemetrie- und Umweltdaten.

Um den Benutzern Informationen über das System in Form von Zuständen und Ereignissen zur Verfügung zu stellen, verarbeiten wir Telemetriedaten.

Der Begriff „Telemetriedaten“ (im Folgenden auch „Telemetrie“) bezieht sich auf Daten und andere Hinweise, die automatisch von in unsere Geräte eingebauten Sensoren gesammelt, übertragen und gemessen werden, um den Zustand der Umgebung und die Funktionsfähigkeit zu bestimmen und mögliche Anomalien im Betrieb der Geräte zu erkennen.

Wenn Sie unsere Produkte oder Dienstleistungen nutzen, können wir Folgendes verarbeiten:

Informationen über Sie (z. B. Vorname, Nachname, E-Mail-Adresse, Telefonnummer und Foto).
Informationen, die Sie uns zur Verfügung stellen, wenn Sie Benutzer über die Kontakte Ihres Geräts zu einem Produkt einladen (z. B. die E-Mail-Adresse oder Telefonnummer einer Person, der Sie eine Produkteinladung senden).
Eindeutige Kennungen für die Nutzung unserer Services (z. B. Benutzername und Passwort).
Eindeutige Kennungen der Benutzer, die Sie mit dem Produkt verbunden haben, wie z. B. Benutzername, Rolle des Benutzers innerhalb des Produkts und E-Mail-Adresse des Benutzers; Informationen über Ihr mobiles Gerät, wie z. B. Gerätetyp, Betriebssystem und Systemsprache.
Standortbezogene Daten, um Ihnen Erinnerungen zum Scharfschalten/Unscharfschalten des Systems zu senden, wenn Sie die Geofence-Funktion in unserer App aktiviert haben.
Für Android- und iOS-Benutzer: SMS-Nachrichten mit dem Autorisierungscode, der bei der Registrierung des Kontos oder bei Änderungen erforderlich ist.
Informationen über Ihre Verwendung unserer Produkte und Dienstleistungen (z. B. Anfragen von der App an unseren Server).

Wenn Sie unsere Website besuchen, können wir Folgendes verarbeiten:

Informationen, die Sie beim Ausfüllen von Formularen angeben, einschließlich Ihrer persönlichen Daten und Kontaktdaten.
Cookie-Kennungen (über ein DSGVO-konformes Tool).
Ihre IP-Adresse, um das Land Ihres Standorts festzulegen.

Im Falle einer geschäftlichen Zusammenarbeit können wir Folgendes verarbeiten:

Persönliche Daten und Kontaktdaten von Unternehmensvertretern (Name, Position, E-Mail-Adresse und Telefonnummer).
Anfragen von Partnern und ihren bevollmächtigten Vertretern (z. B. an die Support-E-Mail-Adresse, über Apps, Messenger usw.).
Visitenkarten von Partnern.

Während der personalisierten Kommunikation, Interviews oder Treffen:

Wenn Sie sich entscheiden, uns zu kontaktieren oder sich auf eine Stelle bei Ajax zu bewerben, können wir neben den oben beschriebenen Daten auch zusätzliche personenbezogene Daten sammeln und verarbeiten, die Sie während der Kommunikation und/oder in den von Ihnen bereitgestellten Dokumenten (z. B. Lebenslauf, Anschreiben) teilen, einschließlich, aber nicht beschränkt auf:

Persönliche Informationen (Vorname, Nachname, Telefonnummer, E-Mail-Adresse, Foto).
Eindeutige Kennungen (z. B. Benutzername, Anmeldung).
Vorherige Berufserfahrung.
Informationen zur allgemeinen und beruflichen Bildung.
Zertifikate, Diplome, Referenzen.
Hobbys, Interessen und andere persönliche Vorlieben.

Für eine solche Verarbeitung kann die Liste (der Umfang) personenbezogener Daten und anderer Informationen während des gesamten Prozesses weiter angepasst, detailliert oder erweitert werden. Gleichzeitig ist die Erhebung und Verarbeitung der erforderlichen personenbezogenen Daten auf die Zwecke einer solchen Verarbeitung beschränkt und erfolgt in Übereinstimmung mit den Anforderungen des geltenden Rechts.

Darüber hinaus kann Ajax bei der Verarbeitung von Daten im Rahmen der geschäftlichen oder personalisierten Kommunikation, bei der Bearbeitung von Partneranfragen und Visitenkarten, bei der Durchführung von Besprechungen, Interviews usw. sowie bei der Optimierung interner Abläufe und Prozesse Technologien der künstlichen Intelligenz (im Folgenden auch als „KI“ bezeichnet) einsetzen.

Die von der künstlichen Intelligenz verarbeiteten Daten können in einigen Fällen personenbezogene Daten enthalten, die eine Person identifizieren, und zwar in dem Umfang und in der Menge, wie sie: a) öffentlich zugänglich sind; b) von Ihnen freiwillig zur Verfügung gestellt wurden.

Gleichzeitig ist der Zugriff auf Daten, die Sie Ajax freiwillig zur Verfügung gestellt haben, streng auf die Mitarbeiter von Ajax beschränkt. KI kann Ihre Daten nicht identifizieren, sondern verarbeitet nur solche Anfragen, insbesondere von Ajax Nutzern/Kunden usw. Die Entscheidungen über die Verwaltung von Daten, die wir von Ajax Nutzer-/Kundenanfragen und Partner-Visitenkarten erhalten, werden ausschließlich von Ajax Mitarbeitern getroffen.

Für die angegebene Verarbeitung auf der Grundlage von künstlicher Intelligenz beauftragen wir Dienstleister, die das erforderliche Niveau des Schutzes personenbezogener Daten aufrechterhalten.

Bitte beachten Sie, dass die Verarbeitung solcher Daten durch Ajax begrenzt ist und ausschließlich zum Zweck der Verbesserung der Effizienz interner Abläufe und im Rahmen verwandter Zwecke erfolgt.

Was ist der Zweck und die Rechtsgrundlage der Verarbeitung?

Alle Daten, die wir über unsere Sicherheitsvorrichtungen erhalten oder während Sie unsere Produkte oder Services nutzen , werden nur verarbeitet, um Ihnen die gewünschten Sicherheitsdienste zu bieten. Das bedeutet, dass wir alle diese Daten verarbeiten, um unseren vertraglichen Verpflichtungen Ihnen gegenüber nachzukommen. Das bedeutet auch, dass wir keine Daten erheben, die nicht ausdrücklich für die Erbringung dieser Dienstleistungen erforderlich sind.
Wenn Sie unseren Newsletter abonnieren, senden wir Ihnen E-Mails mit Informationen über uns und unsere neuesten Updates. Wir tun dies nur mit Ihrer Zustimmung, die Sie uns durch die Bestätigung Ihres Abonnements erteilen. Wir personalisieren diese E-Mails basierend auf den Informationen, die uns über Sie vorliegen, um sie relevanter und nützlicher für Sie zu gestalten.
Wenn Sie im Falle eines technischen Problems über Ihre App Bedienprotokolle freigegeben haben, verarbeiten wir diese, um Ihr Problem zu lösen und unsere Produkte und Dienstleistungen zu verbessern. Diese Verarbeitung beruht auf unserem berechtigten Interesse, unsere Marktangebote wettbewerbsfähiger zu machen.
Wir verwenden die Daten, die Sie beim Einladen von Benutzern zum Produkt über die Kontakte Ihres Geräts mit uns teilen (z. B. die E-Mail-Adresse oder Telefonnummer einer Person, der Sie eine Produkteinladung senden) ausschließlich, um eine Einladung an diese Personen zu senden.
Alle Daten, die Sie uns freiwillig zur Verfügung stellen — sei es per E-Mail, über Apps oder Messenger oder durch das Teilen von Visitenkarten oder Lebensläufen/CVs — sowie öffentlich verfügbare Daten, werden verarbeitet, um die Effizienz interner Prozesse sicherzustellen, Geschäftskooperationen aufzubauen und/oder personalisierte Kommunikation zu unterstützen.

Wo werden die Daten gespeichert?

Die persönlichen Daten der Benutzer, die Ajax von Ihnen erheben kann, werden in einem Cloud-Speicher in Irland, Deutschland und Frankreich (innerhalb des EWR) gespeichert; die Wahl, wo die Daten gespeichert werden (in Irland, Deutschland und Frankreich), hängt von der Verfügbarkeit der AWS-Infrastruktur ab.

Andere persönliche Daten, die von Ajax erfasst werden, können ebenfalls auf Servern und/oder Cloud-Speicher, die sich in verschiedenen Rechtsordnungen befinden, gespeichert werden. Dies umfasst die Speicherung bei Tochtergesellschaften der Ajax Gruppe von Unternehmen sowie bei Dritten, die Auftragnehmer, Anbieter oder Verkäufer von Ajax Diensten sind und deren Server sich in Ländern befinden, die ein angemessenes Niveau an Datenschutz und Sicherheit für personenbezogene Daten bieten.

Obwohl die Gesetze zum Schutz personenbezogener Daten von Land zu Land variieren können, wendet Ajax die in diesem und anderen internen Dokumenten beschriebenen Schutzmaßnahmen unabhängig davon an, wo solche Daten gespeichert sind.

Wie lange werden Informationen gespeichert?

Alle Daten werden für die Dauer der Kundenbeziehung gespeichert, mit Ausnahme der Speicherung von Push-Benachrichtigungen, die auf 500 Transaktionen beschränkt ist. Für das Ereignisprotokoll des PRO Desktop Kontos beträgt die Aufbewahrungsfrist für Ereignisbenachrichtigungen 2 Jahre. Bestimmte Arten von Daten (z. B. die Namen von Vertretern, ihre Funktion und die in den Verträgen angegebenen Kontaktdaten) können jedoch über den Zeitraum der Zusammenarbeit hinaus aufbewahrt werden, um unseren gesetzlichen Verpflichtungen nachzukommen.

Typ der Daten	Zweck der Verarbeitung	Rechtsgrundlage	Dauer der Speicherung
Informationen über die Ajax Hub-Zentrale (Modell- und Seriennummer, Netzwerkinformationen, einschließlich Protokoll der Ereignisse, aktuelle und vorherige Gerätekonfiguration, Standort)	Zur Gewährleistung der ordnungsgemäßen Funktion der Ajax Hub-Zentrale, anderen Geräten und Ajax Apps	Vertrag; im Falle des Service-Supports — berechtigtes Interesse	Während der gesamten Dauer der Kundenbeziehung oder bis zur Löschung durch den Benutzer oder auf dessen Wunsch. Sicherungskopien werden bis zu 12 Monate lang aufbewahrt.
Eindeutige Benutzerkennung (Benutzername und Passwort)	Benutzerautorisierung	Vertrag	Während der gesamten Dauer der Kundenbeziehung oder bis zur Löschung durch den Benutzer oder auf dessen Wunsch. Sicherungskopien werden bis zu 12 Monate lang aufbewahrt.
Standortbezogene Daten	Zur Gewährleistung der ordnungsgemäßen Funktion der Ajax Hub-Zentrale, anderen Geräten und Ajax Apps	Vertrag und/oder berechtigtes Interesse	Während der gesamten Dauer der Kundenbeziehung oder bis zur Löschung durch den Benutzer oder auf dessen Wunsch. Sicherungskopien werden bis zu 12 Monate lang aufbewahrt.
Informationen über Ihre Nutzung unserer Produkte und Dienstleistungen (z. B. Anfragen der Anwendung an unseren Server)	Zur Gewährleistung der ordnungsgemäßen Funktion der Ajax Hub-Zentrale, anderen Geräten und Ajax Apps	Vertrag	Während der gesamten Dauer der Kundenbeziehung oder bis zur Löschung durch den Benutzer oder auf dessen Wunsch. Sicherungskopien werden bis zu 12 Monate lang aufbewahrt.
Informationen, die durch das Ausfüllen von Formularen übermittelt werden und personenbezogene Daten und Kontaktdaten enthalten können	Für Kommunikation, Zwecke, Produktlieferung und Marketingaktionen	Einwilligung	Während der gesamten Dauer der Kundenbeziehung oder bis zur Löschung durch den Benutzer oder auf dessen Wunsch. Sicherungskopien werden bis zu 12 Monate lang aufbewahrt.
IP-Adresse	Zur Gewährleistung der ordnungsgemäßen Funktion der Ajax Hub-Zentrale, anderen Geräten und Ajax Apps	Einverständnis oder Vertrag	Während der gesamten Dauer der Kundenbeziehung oder bis zur Löschung durch den Benutzer oder auf dessen Wunsch. Sicherungskopien werden bis zu 12 Monate lang aufbewahrt.
Vorname, Nachname und Kontaktinformationen	Zur Gewährleistung der ordnungsgemäßen Funktion der Ajax Hub-Zentrale, anderen Geräten und Ajax Apps	Einwilligung	Während der gesamten Dauer der Kundenbeziehung oder bis zur Löschung durch den Benutzer oder auf dessen Wunsch. Sicherungskopien werden bis zu 12 Monate lang aufbewahrt.
Bilder, die mit Ajax Geräten aufgenommen werden	Zur Gewährleistung der ordnungsgemäßen Funktion der Ajax Hub-Zentrale, anderen Geräten und Ajax Apps	Vertrag	Mobile Ajax Apps: Mediendateien werden für 2 Jahre sowohl für Endbenutzer- als auch für PRO Konten gespeichert. Die Fotos können jedoch zusammen mit den zugehörigen Ereignissen früher gelöscht werden, wenn die Grenze von 500 Ereignissen erreicht ist. Ajax Desktop-Apps: Die Speicherdauer hängt von den Einstellungen ab und liegt zwischen 7 Tagen und 2 Jahren. Ajax Translator: Speichert keine Bilder. Die Links zu den Bildern bleiben 7 Tage lang ab dem Zeitpunkt ihrer Erstellung aktiv.
Telemetriedaten und Umweltinformationen	Um die ordnungsgemäße Funktion der Ajax Hub-Zentrale und anderer Geräte sicherzustellen	Einverständnis oder Vertrag	Während der gesamten Dauer der Kundenbeziehung oder bis zur Löschung durch den Benutzer oder auf dessen Wunsch. Sicherungskopien werden bis zu 12 Monate lang aufbewahrt.
Informationen, die während der Kommunikation mit Partnern bereitgestellt werden (z. B. Visitenkarten mit Kontaktdaten, Berufsbezeichnung usw.)	Für die Kommunikation im Zusammenhang mit der geschäftlichen Zusammenarbeit und der Organisation von Treffen	Einverständnis und/oder Vertrag	Während der gesamten Dauer der Partnerbeziehung oder bis zur Löschung durch die Person oder auf deren Wunsch.
Informationen über einen Kandidaten für eine Stellenausschreibung und/oder einen Mitarbeiter	Für personalisierte Kommunikation, Zusammenarbeit und die Vereinbarung von Interviews	Einverständnis und/oder Vertrag	Während der gesamten Dauer der Bewerber-/Mitarbeiterbeziehung oder bis zur Löschung auf deren Wunsch.

Wer hat seitens des Unternehmens Ajax Zugang zu dem System und den Informationen?

Beim Datenzugriff folgt Ajax den Prinzipien der Verfügbarkeitsminimierung und der geringsten Privilegien. Der Zugriff auf die Daten kann daher nur den Mitarbeitern von Ajax gewährt werden, die den Prozess der Bereitstellung von Diensten und Projekten unterstützen. Wenn Ajax Mitarbeiter auf Daten zugreifen, werden ihre Geräte durch Verschlüsselung und andere Mittel geschützt, die den höchsten technischen Standards auf dem Markt entsprechen. Alle Mitarbeiter haben einen Geheimhaltungsvertrag unterzeichnet und unterziehen sich einer jährlichen Datenschutzprüfung. Alle Aktionen des Personals werden protokolliert, und die Protokolle werden automatisch in Echtzeit überprüft. Bei Verdacht auf übermäßigen Zugriff wird der Zugang eingeschränkt und sofort eine Untersuchung eingeleitet. Wir möchten jedoch betonen, dass Ajax niemals auf Daten zugreift, für die es keine gültige Rechtsgrundlage gibt. In bestimmten Fällen kann der Nutzer Ajax bitten, Dritten (Sicherheitsdiensten, Installateuren), die er selbst benannt hat, über mobile oder PC-Apps Zugriff auf seine Daten zu gewähren. Dies erfolgt auf eigenes Risiko. In diesem Fall haben die vom Nutzer ausgewählten Unternehmen ebenfalls Zugriff auf die Daten, die der Nutzer übermitteln möchte.

Was tut Ajax, um die weltweiten Datenschutzgesetze einzuhalten? Wie weist Ajax die Einhaltung der DSGVO nach?

Ajax setzt eine Vielzahl von Maßnahmen, Mechanismen und Verfahren ein, um die internationalen Datenschutzgesetze einzuhalten. So wendet Ajax beispielsweise die Grundsätze der Beschränkung der Datenverarbeitung (Privacy by Design & by Default), der Datensparsamkeit, der Zugriffskontrolle und der Datenverarbeitungsrichtlinien (Richtlinien zur Speicherung, Verarbeitung, Löschung usw.) an. Im Zusammenhang mit der Datenübermittlung wendet Ajax verschiedene Maßnahmen an, darunter organisatorische und technische Maßnahmen sowie Standardvertragsklauseln. Weitere Informationen dazu finden Sie im Abschnitt „Datenweitergabe“.

Wie kann ich meine Datenschutzrechte wahrnehmen?

Zur Ausübung Ihrer Datenschutzrechte (Löschung, Widerspruch, Zugang zu Ihren personenbezogenen Daten, Einschränkung der Verarbeitung usw.) können Sie uns unter der E-Mail-Adresse privacy@ajax.systems kontaktieren.

Datenübertragung

An wen darf Ajax meine Daten weitergeben? Welche Arten von Daten dürfen weitergegeben werden und in welchen Fällen?

In der Regel können wir Ihre personenbezogenen Daten nur dann weitergeben, wenn dies erforderlich ist, um Ihnen angeforderte Dienstleistungen bereitzustellen. Diese Daten können an unsere Händler und Dienstleister weitergegeben werden, die bestimmte Dienste zur Bereitstellung unserer Produkte und Dienstleistungen erbringen. Dazu gehören Datenhosting, technischer Support, Kommunikation usw. Wir stellen sicher, dass diese Anbieter Ihre Daten genauso schützen wie wir.

Wir können Ihre Kontaktdaten (z. B. Mobiltelefonnummer, Spitzname und E-Mail-Adresse) an physische Sicherheitsdienstleister weitergeben, wenn Sie dies gegenüber Ajax anfordern, indem Sie einen Anbieter in unserer App auswählen. Bitte beachten Sie, dass in diesem Fall diese Dienstleister für Ihre personenbezogenen Daten verantwortlich sind. Obwohl wir im Rahmen unserer App mit seriösen Partnern zusammenarbeiten, empfehlen wir Ihnen, die Datenschutzbestimmungen dieser Unternehmen zu prüfen, bevor Sie uns bitten, Ihre Daten an sie weiterzugeben.

Für bestimmte Zwecke kann Ajax die Dienste von Drittverarbeitern außerhalb des EWR in Anspruch nehmen. Dies kann Datenhosting, technische Kommunikation für Registrierung, Installation und andere organisatorische Aktivitäten per E-Mail oder Telefon umfassen.

Ajax ergreift alle notwendigen Maßnahmen, um sicherzustellen, dass solche Übermittlungen in Übereinstimmung mit allen geltenden Datenschutzgesetzen erfolgen. So hat Ajax mit allen Unterauftragsverarbeitern (einschließlich der SCC bei grenzüberschreitenden Datenübertragungen) DPAs sowie zusätzliche ergänzende Maßnahmen bei der Datenübertragung und -verarbeitung unterzeichnet. Alle Unterauftragsverarbeiter von Ajax haben ihre eigenen Datenschutzrichtlinien und andere datenschutzrelevante Dokumente, deren Einhaltung regelmäßig von Ajax Experten überprüft wird.

Liste der von Ajax zugelassenen Unterauftragsverarbeiter:

Service	Anbieter	Zweck der Nutzung	Link zur Datenschutzerklärung und DPA
AWS	Amazon	Datenhosting und Datensicherung	https://aws.amazon.com/privacy/ https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html
Twilio	Twilio Group	Programmierbare SMS	https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/
SendGrid	Twilio Group	Programmierbare E-Mail-Kommunikation	https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/
Mailgun	Sinch Email	Transaktions-E-Mail-Dienst E-Mail-Service	https://www.mailgun.com/legal/privacy-policy/ https://www.mailgun.com/legal/dpa/
MongoDB	MongoDB Inc.	Anbieter von Datenbankdiensten	https://www.mongodb.com/legal/privacy-policy https://www.mongodb.com/legal/dpa
Google BigQuery	Google LLC	Analytik, Serviceverbesserung	https://policies.google.com/privacy
BlueDot	Twiso, Inc	Notizbuch für die Kommunikation mit den Bewerbern	https://www.bluedothq.com/privacy
Creatio	CREATIO EMEA LTD	CRM-System (einheitliches Kommunikationssystem)	https://www.creatio.com/privacy-policy, https://www.creatio.com/GDPR
OpenAI	OpenAI, L.L.C.	Automatisierte Antworten auf Anfragen	https://openai.com/security-and-privacy/

Was sind Standardvertragsklauseln (SCC)?

Standardvertragsklauseln („Standard Contractual Clauses“, kurz SCC) sind standardisierte und vorab genehmigte Musterdatenschutzklauseln, die es Datenverantwortlichen und Datenverarbeiter ermöglichen, ihren Verpflichtungen aus dem EU-Datenschutzrecht nachzukommen. Sie können von den Datenverantwortlichen und den Datenverarbeitern in ihre vertraglichen Vereinbarungen mit anderen Parteien, wie z. B. Geschäftspartnern, aufgenommen werden. Die Klauseln können auf freiwilliger Basis verwendet werden, um die Einhaltung der Datenschutzanforderungen nachzuweisen, wobei eine verbindliche vertragliche Verpflichtung zur Einhaltung der Klauseln erforderlich ist. Die Europäische Kommission ist befugt, Standardvertragsklauseln (1) in Bezug auf die Beziehung zwischen dem Datenverantwortlichen und dem Datenverarbeiter und (2) in Bezug auf die Übermittlung personenbezogener Daten in Länder außerhalb des EWR zu erlassen.

Was sind zusätzliche Maßnahmen?

Zusätzliche Maßnahmen sind technische und organisatorische Verfahren, die speziell eingesetzt werden, um einen wirksamen Schutz der übermittelten Daten zu erreichen, der dem Schutz der Datenverarbeitung innerhalb des EWR gleichwertig ist.

Ajax hat unter anderem die folgenden organisatorischen Maßnahmen umgesetzt:

regelmäßige Schulung und Prüfung der Mitarbeiter von Ajax;
ein automatisiertes System zur Echtzeit-Überwachung von Verstößen und Schwachstellen;
laufende Protokollierung aller Prozesse;
regelmäßige benutzerdefinierte Inspektion und Validierung von Ajax Systemen auf Schwachstellen.

Ajax hat unter anderem die folgenden technischen Maßnahmen umgesetzt:

Maßnahmen zur Verhinderung des unbefugten Zugangs zu Datenverarbeitungssystemen in Räumlichkeiten und Anlagen (einschließlich Datenbanken, Anwendungsservern und zugehöriger Hardware), mit denen personenbezogene Daten verarbeitet werden, einschließlich der Einrichtung von Sicherheitsbereichen, der Beschränkung von Zugangswegenn, der Festlegung von Zugangsberechtigungen für Personal und Dritte, der Verriegelung von Türen (elektrische Türöffner usw.).

Maßnahmen zur Verhinderung der Benutzung von Datenverarbeitungssystemen durch Unbefugte, einschließlich Verfahren zur Identifizierung und Authentifizierung der Benutzer, ID/Passwort-Sicherheitsverfahren, Verschlüsselung archivierter Datenträger.

Maßnahmen, mit denen sichergestellt wird, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten nur entsprechend ihren Zugriffsrechten auf die personenbezogenen Daten zugreifen und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können, einschließlich interner Vorschriften und Verfahren, Berechtigungsprüfung, differenzierte Zugriffsrechte (Profile, Rollen, Transaktionen und Objekte), Überwachung und Protokollierung der Zugriffe, Disziplinarmaßnahmen für Mitarbeiter, die unbefugt auf personenbezogene Daten zugreifen.

Maßnahmen, die sicherstellen, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf (manuellen oder elektronischen) Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft werden kann, an welche Unternehmen oder sonstigen Stellen personenbezogene Daten übermittelt werden, einschließlich Verschlüsselung, Protokollierung und Transportsicherung. Alle persönlichen Daten werden im Ruhezustand mit dem AES256-Algorithmus verschlüsselt und bei der Übertragung über HTTPS mit AES128 und TLS 1.2 verschlüsselt.

Maßnahmen zur Überwachung, ob und von wem Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt (gelöscht) wurden, einschließlich Protokollierungs- und Berichtssysteme, Prüfpfade und Dokumentation.

Maßnahmen zum Schutz personenbezogener Daten vor zufälliger Zerstörung oder zufälligem Verlust (physisch/logisch), einschließlich Sicherungsverfahren, unterbrechungsfreie Stromversorgung (USV), externe Speicherung, Virenschutz-/Firewall-Systeme, Notfallwiederherstellungsplan, Nachhaltigkeitsplan des Unternehmens.

Maßnahmen, die sicherstellen, dass personenbezogene Daten, die für unterschiedliche Zwecke erhoben wurden, getrennt verarbeitet werden können, einschließlich der Trennung von Datenbanken, der Beschränkung der Verwendung, der Trennung von Funktionen (Produktion/Test).

Was ist ein Transfer Impact Assessment?

Ein Transfer Impact Assessment (TIA) ist eine von einem Datenverantwortlichen oder einem Datenverarbeiter durchgeführte Analyse der Sicherheitsauswirkungen der Übermittlung personenbezogener Daten in Länder außerhalb der EU/des EWR oder in Länder, die von einem Angemessenheitsbeschluss profitieren.