Erstklassiger Datenschutz

Um Art. 30 DSGVO zu erfüllen, hat TeamViewer ein Verzeichnis von Verarbeitungstätigkeiten (VVT) eingeführt. Das VVT ist das zentrale Dokument unseres Datenschutzmanagementsystems. Es berücksichtigt jegliche Verarbeitung von Kunden-, Mitarbeiter-, Auftragnehmer- und Besucherdaten, die von TeamViewer gehandhabt und die von TeamViewer oder unseren Auftragsverarbeitern verwertet werden.

Das VVT wird regelmäßig in den verschiedenen Abteilungen gepflegt und zusätzlich zentral von der Rechtsabteilung verwaltet. TeamViewer verwendet dafür die Datenverwaltungssoftware OneTrust.

Um die Anforderungen an das Datenschutz-Risikomanagement gemäß DSGVO (Art. 35 und 36) zu erfüllen, hat TeamViewer einen zweistufigen Risikobewertungsprozess eingerichtet. Dieser Prozess umfasst eine Vorabbewertung und, falls erforderlich, eine Datenschutz-Folgenabschätzung (DSFA) für jeden im Verzeichnis der Verarbeitungstätigkeiten (VVT) dokumentierten Vorgang.

Zur Unterstützung des DSFA-Prozesses sowie zur Dokumentation der durchgeführten DSFA verwendet TeamViewer das PIA-Tool. Die Software stellt die französische Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) zu diesem Zweck bereit.

Bei TeamViewer kümmert sich der Kundensupport um alle eingehenden Anträge auf Auskunft über personenbezogene Daten. Damit erfüllt TeamViewer Art. 15 bis 21 DSGVO. TeamViewer erhält diese Anträge hauptsächlich per E-Mail an [email protected] Anfragen mittels Brief, Fax und Telefon sind seltener.

Darüber hinaus verfügt TeamViewer über ein etabliertes Verfahren für ihre Bearbeitung, das die Personalabteilung überwacht.

TeamViewer stellt mithilfe etablierter technischer und organisatorischer Maßnahmen (TOM) sicher, dass ein angemessenes Sicherheitslevel beim Umgang mit Daten eingehalten wird. Damit erfüllen wir Art. 32 DSGVO in Verbindung mit Art. 25 DSGVO.

Dass wir uns an diese Bestimmungen halten, zeigen wir durch interne Richtlinien sowie unsere technischen und organisatorischen Maßnahmen. Diese berücksichtigen insbesondere bereits bekannte Risiken.

Wir verarbeiten beispielsweise nicht mehr personenbezogene Daten als notwendig, pseudonymisieren solche Daten so früh wie möglich, legen offen, warum und wie wir die Daten verarbeiten und verfügen über eingebaute Sicherheitsmaßnahmen, die wir ständig verbessern.

Wenn wir unsere Produkte, Dienstleistungen und Anwendungen entwickeln und designen, beachten wir systematisch das Recht auf Datenschutz. Wir setzen ebenso regelmäßig geeignete technische und organisatorische Maßnahmen innerhalb unserer Arbeitsabläufe ein, um auch hier Datenschutz zu gewährleisten.

TeamViewer hat einen systematischen Vertragsrahmen geschaffen, der den Abschluss und die Archivierung datenschutzkonformer Verträge vorschreibt. Um Art. 26 bis 28 DSGVO zu erfüllen, kontrollieren wir, dass nur Verträge abgeschlossen werden, die ausreichende Standards beachten. Dadurch stellen wir sicher, dass der Datenschutz auch bei Drittanbietern, Partnern/Wiederverkäufern und zwischen den Unternehmen der TeamViewer Gruppe eingehalten wird.

Auftragsverarbeiter dürfen Daten von uns nur dann verarbeiten, wenn Sie ausreichende Garantien bieten (inklusive für die Sicherheit der Datenverarbeitung) sowie technische und organisatorische Maßnahmen einsetzen, die den Anforderungen der DSGVO und den zusätzlichen Ansprüchen von TeamViewer entsprechen. TeamViewer nutzt diesen vertraglichen Rahmen, um Unterauftragsverarbeiter systematisch vorab zu bewerten. Alle unsere derzeitigen Unterauftragsverarbeiter haben ihren Sitz in Europa.

Der Umgang mit Datenschutzfragen liegt in der Verantwortung aller TeamViewer Mitarbeiter. Spezielle Verantwortlichkeiten für bestimmte Themen wurden durch das oberste Führungsteam (Senior Leadership Team, SLT) und den Vorstand festgelegt. Darüber hinaus fungieren unsere DSGVO-Verantwortlichen in den einzelnen Abteilungen (mit zusätzlicher Unterstützung durch unsere Rechtsabteilung) als erste Ansprechpartner für alle Mitarbeiter, wenn es darum geht, die DSGVO im Unternehmen umzusetzen.

Die TeamViewer AG und die mit ihr verbundenen Unternehmen, einschließlich der TeamViewer Germany GmbH („TeamViewer“), nehmen den Schutz personenbezogener Daten sehr ernst. Wie in unserer Compliance-Richtlinie beschrieben, ist daher der Datenschutz einer unserer Schwerpunktbereiche. Durch die Richtlinie setzt die Unternehmensführung den Rahmen für die Einhaltung der EU-Datenschutzgrundverordnung. „Think Privacy – Denk an den Datenschutz“ – dieser Grundsatz zeigt unser Engagement für den Datenschutz und ist die oberste Leitlinie während der Einführung neuer Produkte und Prozesse, bei denen wir personenbezogene Daten verarbeiten.

TeamViewer verfügt über ein etabliertes Vorgehen bei der Löschung von Daten, das zentral überwacht und auf Abteilungsebene laufend aktualisiert wird. Das Konzept schließt Aufbewahrungsfristen und Zeitpläne mit ein, um eine einheitliche Arbeitsweise zu gewährleisten. Zusätzlich gibt es einmal im Jahr den unternehmensweiten Monat der Datenlöschung: Dabei fordern wir unsere Mitarbeiter auf, alle unstrukturierten Daten zu löschen, für die sie verantwortlich sind. Wir tun das, da personenbezogene Daten im Sinne der DSGVO nur so lange gespeichert werden dürfen, wie es für den Zweck, für den sie verarbeitet werden, erforderlich ist (Art. 25 Abs. 2 und Art. 5 Abs. 1 lit. b) und e) DSGVO in Verbindung mit Erwägungsgrund 39 und 66).

Bei der Meldung von Datenschutzverletzungen gemäß Art. 33 und 34 DSGVO geht TeamViewer koordiniert vor: Anhand einer standardisierten Vorlage wird jeder Vorfall genau und umfassend dokumentiert. Darüber hinaus bewertet die Rechtsabteilung detailliert die Risiken. Sie richtet sich dabei nach der Risikobewertungsmatrix der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK-Kurzpapier Nr. 18 Risiko für die Rechte und Freiheiten natürlicher Personen). Jeder Vorfall wird innerhalb des vorgegebenen Zeitrahmens von 72 Stunden bewertet und endet mit einer Entscheidung darüber, ob die Aufsichtsbehörden zu benachrichtigen sind. Die Geschäftsleitung wird über alle Vorfälle informiert und interne Aufzeichnungen werden geführt.