Datenschutzkonformer Einsatz von Netmind Core - Februar 2019, Stuttgart - Mindlab Solutions
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutzkonformer Einsatz
von Netmind Core
27. Februar 2019, Stuttgart
Datenschutzkonformer Einsatz von Netmind Core Stand: Februar 2019 Seite 1INHALT
VORBEMERKUNG ............................................................................................................................................ 3
DATENSCHUTZKONFORMER BETRIEB VON NETMIND CORE .................................................................. 4
Welche Daten werden durch den Netmind Tracker gespeichert ........................................................................... 4
Tracking - Identifikation von Besuchern ......................................................................................................................5
Session-Zusammenhang via Session-Cookie ............................................................................................................5
Erkennung von Uniquevia Permanentem-Cookie ...................................................................................................5
Kodierung der SessionID in die URL .............................................................................................................................5
Unique User ............................................................................................................................................................................5
Fingerprinting.........................................................................................................................................................................5
Anonymisierung der IP-Adresse im Tracking-Layer ...............................................................................................5
CLOUDVERARBEITUNG IN DER MICROSOFT AZURE ................................................................................. 6
Datenhaltung .............................................................................................................................................................................. 6
Kommunikation .......................................................................................................................................................................... 6
Rechte des Auftraggebers an den Daten......................................................................................................................... 6
Aufbewahrungszeiträume ...................................................................................................................................................... 7
Löschen von Daten auf Anforderung eines Benutzers/Besuchers ......................................................................... 7
Löschvorgang ............................................................................................................................................................................. 7
Löschen von Daten nach Beendigung der Leistungserbringung ........................................................................... 7
Technisch/Organisatorische Maßnahmen bei Mindlab Solutions ......................................................................... 8
Zertifizierung ............................................................................................................................................................................... 8
Datenschutzkonformer Einsatz von Netmind Core Stand: Februar 2019 Seite 2VORBEMERKUNG Mit Netmind Core stellt Mindlab Solutions inzwischen die 6. Generation der Digital Analytics Lösung zur Verfügung. Damit unterstützen wir unsere Kunden und Partner bei der Gewinnung von Erkenntnissen, die im digitalen Zeitalter der zentrale Faktor für Umsatzwachstum, Kunden- und Mitarbeiterzufriedenheit, Umsetzung effizienter Prozesse und Minimierung von Risiken bedeutet. Die Frage, welche Daten gemäß den gültigen gesetzlichen Rahmenbedingungen erfasst und verarbeitet werden dürfen, ist daher von größter Bedeutung. Unser Anspruch ist, unseren Kunden leistungsfähige und innovative Lösungen bereitzustellen und vor dem Hintergrund der aktuellen und zukünftigen Datenschutzregelungen, zu erläutern, wie diese Lösungen datenschutzkonform eingesetzt werden können. Datenschutzkonformer Einsatz von Netmind Core Stand: Februar 2019 Seite 3
DATENSCHUTZKONFORMER BETRIEB VON NETMIND CORE
Mit Netmind Core bieten wir eine Digital Analytics Lösung an, die vollumfänglich entsprechend den
Bestimmungen der DSGVO eingesetzt werden kann. Grundsätzlich ist Netmind Core im Produktstandard
so konfiguriert, dass keine personenbezogenen Daten erfasst werden. IP-Adressen werden bereits zum
Zeitpunkt der Datenerhebung anonymisiert. Mit der vergebenen SessionID ist es nicht möglich, auf eine
eindeutige Person zu schließen.
Welche Daten werden durch den Netmind Tracker gespeichert
Grundsätzlich werden immer folgende Informationen bei einem Aufruf und der Bedienung einer durch
Netmind Core getrackten Seite erhoben:
◼ HTTP – Header u.a:
◼ Servername
◼ Zeitstempel des Zugriffs
◼ Request und URI
◼ First Party Cookies
Beim Einsatz des Reverse Proxys handelt es sich hierbei um alle Cookies, die unter der gleichen
Domain abgelegt sind. Beim Pixeltracking sind es nur die Netmind Session/Unique Device ID
Cookies.
◼ HTTP-Status
◼ Übertragene Datenmenge
◼ Herkunft Ihres Seitenaufrufes
◼ Anonymisierte IP Adresse
◼ Individuelle Informationen abhängig vom Auftraggeber (z.B. Prozessparameter, Zielerreichung)
Die in den Social Intranet-Reportings abgebildeten Dimensionen und Kennzahlen lassen grundsätzlich
keine Rückschlüsse auf einzelne Personen (z.B. Mitarbeiter und Redakteure) und deren Userverhalten zu.
Aus den Profilinformationen der Intranet-User lassen sich z.B. folgende Daten extrahieren und abbilden:
◼ Standort (z.B. Headquarter, Filiale)
◼ Bereich / Abteilung (z.B. Sales, Human Ressources, Development, IT)
◼ Jobbezeichnung / Titel (z.B. Administrator, Senior Consultant, Marketing Manager)
◼ Bildungsgrad (z.B. Bachelor, Master)
◼ Benutzerstatus (z.B. Administrator, Redakteur, User)
Die Entscheidung darüber, welche dieser Profilinformationen am Ende in Netmind Core ausgewertet
werden, obliegt ganz dem Auftraggeber. So ist durch Mindlab Solutions auch eine individuelle
Anpassung des Kennzahlensets nach Abstimmung mit internen Stellen wie z.B. dem
Datenschutzbeauftragten möglich.
Datenschutzkonformer Einsatz von Netmind Core Stand: Februar 2019 Seite 4Tracking - Identifikation von Besuchern Unsere Tracking-Technologie setzt zur Nachverfolgung von Sessions / Unique Visitors Cookies ein, die im Browser des entsprechenden Nutzers gespeichert werden. Im Folgenden werden die unterschiedlichen Methoden erklärt. Session-Zusammenhang via Session-Cookie Zu Beginn der Seitennutzung wird ein Session-Cookie mit einer zufälligen SessionID erstellt. Diese SessionID wird für die Verarbeitung genutzt, um den Zusammenhang eines Besuchsvorgangs zu gewährleisten. Die SessionID wird serverseitig vergeben. Sie basiert weder auf noch enthält diese personenbezogene Daten. Die SessionID enthält einen Zeitstempel des letzten Aufrufzeitpunktes. Stellt der Tracker auf Basis seiner Konfiguration fest, dass ein Session-Timeout erreicht ist, so wird im Browser des Website-Nutzers eine neue SessionID gesetzt. Sollte beim Beenden der Browser-Sitzung ein Session- Timeout erreicht sein, wird dieses Cookie gelöscht. Erkennung von Unique Device via Permanentem-Cookie Zur Erkennung eines Unique Devices wird die erste vergebene SessionID in ein vom Browser gespeichertes Cookie abgelegt. Das Cookie bleibt nach einer Browsersitzung erhalten. Die Laufzeit des Cookies ist konfigurierbar und beträgt typischerweise 3 Monate bis 2 Jahre seit dem letzten Aufruf. Kodierung der SessionID in die URL Alternativ zur SessionID in einem Session-Cookie, kann die SessionID vom Reverse-Proxy-Tracker auch in die URL kodiert werden. In diesem Fall ist kein setzen eines Session-Cookies notwendig. Unique User Die Identifikation eines Unique Users kann in Netmind Core geräteübergreifend erfolgen. Der Unique User wird über eine eindeutige ID gekennzeichnet. Die Grundlage für diese ID kann z.B. ein Login sein, welcher verhasht werden sollte, damit kein Personenbezug hergestellt werden kann. Weitere Informationen wie z.B. Unternehmen, Organisationseinheit, Geschäftsbereich, Region, Stellenbezeichnung, können die Informationen des Unique Users ergänzen. Beispiel: Der Auftraggeber kann eine Blacklist mit Organisationen oder Abteilungen zur Verfügung stellen, denen weniger als X Personen zugeordnet sind, die durch diese Kennzeichnung im Tracking Layer nicht berücksichtigt werden. Dadurch fehlen diese Informationen im Reporting. Fingerprinting In Netmind Core werden keine Fingerprinttechniken angewendet. Anonymisierung der IP-Adresse im Tracking-Layer Da die IP-Adresse eine personenbezogene Information darstellt, muss diese Information anonymisiert gespeichert werden, so dass kein Rückschluss auf einen einzelnen Besucher möglich ist. Datenschutzkonformer Einsatz von Netmind Core Stand: Februar 2019 Seite 5
In Netmind Core werden die IP-Adressen direkt im Tracking-Layer anonymisiert und erst dann
abgespeichert. Dabei wird das letzte Oktett der IP-Adresse durch eine „0“ ersetzt.
Mindlab Solutions bietet seinen Kunden zusätzlich die Möglichkeit, auf die IP-Adressen vollständig zu
verzichten. Dies kann durch eine Konfigurationsänderung im Tracker definiert werden.
CLOUDVERARBEITUNG IN DER MICROSOFT AZURE
Mindlab Solutions nutzt für die Erhebung, Haltung, Auswertung und Visualisierung der Daten Services
und Infrastruktur der Azure Cloud von Microsoft. Es besteht eine Vereinbarung zur Auftragsverarbeitung
(ADV) mit Microsoft Ireland Operations Limited (Irland). Es werden ausschließlich Infrastrukturdienste
mit Standort in Europa und unter der Einhaltung der DSGVO genutzt. Mindlab Solutions wird nur nach
schriftlicher Vereinbarung mit dem Auftraggeber weitere Auftragsverarbeiter hinzuziehen.
Datenhaltung
In Netmind Core in der Microsoft Azure Cloud werden Daten verschlüsselt (AES 256bit) in drei
Datensenken vorgehalten, welche durch die entsprechenden Rechte- und Rollenkonzepte abgesichert
sind:
▪ Rohdaten (Pro Auftraggeber in einer dedizierten Instanz)
▪ Rohdatenbackup (via Azure-Service)
▪ Angereicherte Rohdaten (Azure Storage - getrennt nach Mandanten)
Kommunikation
Services, welche von extern erreichbar sind, sind stets End-to-End via SSL/TLS verschlüsselt. Die
Kommunikation der in Azure gehosteten und bereitgestellten Services erfolgt untereinander ebenfalls
ausschließlich SSL/TLS verschlüsselt.
Rechte des Auftraggebers an den Daten
Die durch die Software erfassten, verarbeiteten und erzeugten Daten (inkl. der Rohdaten) werden auf
den Servern der MS Azure Cloud gespeichert. Der Auftraggeber bleibt in jedem Fall Alleinberechtigter
an den Daten und kann daher von Mindlab Solutions jederzeit, insbesondere nach Kündigung des
Vertrags, die Herausgabe einzelner oder sämtlicher Daten verlangen, ohne dass ein
Zurückbehaltungsrecht von Mindlab Solutions besteht. Die Herausgabe der Daten erfolgt durch
elektronische Übersendung über ein Datennetz oder nach gesonderter Vereinbarung durch Übergabe
von Datenträgern.
Der Auftraggeber hat keinen Anspruch darauf, auch die zur Verwendung der Daten geeignete
Standardsoftware zu erhalten. Die Verantwortung für die Zulässigkeit der Erfassung, Verarbeitung und
Nutzung der Daten sowie für die Wahrung der Rechte der Betroffenen (Auskunft, Verwendung,
Berichtigung, Sperrung, Löschung) liegt beim Auftraggeber.
Datenschutzkonformer Einsatz von Netmind Core Stand: Februar 2019 Seite 6Aufbewahrungszeiträume Die Rohdaten und die angereicherten Daten, auf welchen die Reportabfragen durchgeführt werden, werden gemäß konfigurierbaren Zeiträumen maximal 24 Monate verwaltet. Entsprechend werden Daten, welche den vereinbarten Aufbewahrungszeitraum überschreiten, automatisch gelöscht. Die Daten im Backup werden ebenfalls automatisch gelöscht, allerdings mit einem geringen zeitlichen Versatz von maximal 30 Tagen (bedingt durch die Aufbewahrungsdauer des Backups von maximal 30 Tagen). Löschen von Daten auf Anforderung eines Benutzers/Besuchers Sofern personenbezogene Daten auf Anforderung des Kunden verarbeitet werden, so ist ein Löschen auf Anforderung eines Benutzers/Besuchers zu implementieren. Hierfür kann der Benutzer/Besucher über den Auftraggeber einen Löschauftrag an den Mindlab-Support einreichen. Der Auftraggeber muss die berechtigte Anforderung auf Löschung eines Benutzers/Besuchers nachweisen. Der Eingang dieser Anforderung wird durch den Support der Mindlab Solutions bestätigt. Entsprechend der Verfahrensbeschreibung für Löschanforderungen, wird der Datenbestand auf Vorhandensein der gemeldeten, personalisierten Informationen überprüft und gelöscht. Eine weitere Bestätigung erfolgt nicht. Löschvorgang Hierzu wird auf den vorhandenen Rohdaten manuell eine Volltextsuche nach dem zu suchenden personenbezogenen Merkmal durchgeführt und relevante Datensätze gelöscht. Die korrelierenden Daten im Azure Storage werden ebenfalls manuell gelöscht. Danach wird eine erneute Berechnung auf Basis der bereinigten Rohdaten durchgeführt. Eine dedizierte Löschung im Backup ist nicht möglich. Somit müsste eine komplette Löschung des Backups veranlasst werden, was mit einem erheblichen betrieblichen Risiko einhergehen würde. An dieser Stelle muss eine Interessensabwägung zwischen den Persönlichkeitsrechten und dem unternehmerischen Risiko getätigt werden. Sollte eine komplette Löschung des Backups nicht durchgeführt werden, würden die personenbezogenen Daten nach spätestens 30 Tagen durch die maximale Aufbewahrungsdauer des Backups automatisch gelöscht werden. Löschen von Daten nach Beendigung der Leistungserbringung Nach Beendigung der Leistungserbringung werden sämtliche Daten mit Bezug auf die Verarbeitung gelöscht oder dem Auftraggeber zurückgeben. Datenschutzkonformer Einsatz von Netmind Core Stand: Februar 2019 Seite 7
Technisch/Organisatorische Maßnahmen bei Mindlab Solutions
Welche technischen und organisatorischen Maßnahmen Mindlab Solutions einsetzt, um
datenschutzkonform zu handeln, wird im separaten Dokument: „Technische und organisatorische
Maßnahmen nach DSGVO“ beschrieben.
Auf Wunsch können Sie dieses Dokument über unser Kontaktformular anfordern. Schreiben Sie uns
hierzu einfach eine Nachricht oder wenden Sie sich an Ihren persönlichen Ansprechpartner der Mindlab
Solutions.
Zertifizierung
Netmind Core wird in der Microsoft Azure Cloud gehostet (Ausnahmefall: OnPremise Tracker-Server im
Kundenrechenzentrum). Microsoft ist Vorreiter bei der Festlegung und konsistenten Einhaltung klarer
Anforderungen an Sicherheit und Datenschutz. Azure hält eine Vielzahl internationaler und
branchenspezifischer Compliance-Standards ein, beispielsweise:
• Datenschutz-Grundverordnung (DSGVO)
• ISO 27001
• HIPAA
• FedRAMP
• SOC 1
• und SOC 2
sowie länderspezifische Standards wie:
• Australia IRAP
• UK G-Cloud
• und Singapore MTCS
In rigorosen Audits durch Drittanbieter – zum Beispiel durch das British Standards Institute – wird
überprüft, ob Azure die von diesen Standards geforderten strengen Sicherheitskontrollen einhält.
Einen detaillierteren und stets aktuellen Überblick zu sämtlichen Azure Zertifizierungen finden Sie online
im Trust-Center der Azure unter folgendem Link:
https://azure.microsoft.com/de-de/overview/trusted-cloud/
Weiterführende Informationen bzw. Links:
• Compliance
https://www.microsoft.com/de-de/TrustCenter/Compliance/default.aspx
• Aufzählung bzgl. Compliance und Zertifizierungen mit Kurzbeschreibung
https://www.microsoft.com/de-de/trustcenter/compliance/complianceofferings
Datenschutzkonformer Einsatz von Netmind Core Stand: Februar 2019 Seite 8• Dokumentation zur Zertifizierung
https://servicetrust.microsoft.com/ViewPage/MSComplianceGuide?&docTab=4ce99610-c9c0-
11e7-8c2c-f908a777fa4d_SOC%20%2F%20SSAE%2016%20Reports
https://servicetrust.microsoft.com/ViewPage/TrustDocuments (insbesondere GDPR/DSGVO)
Datenschutzkonformer Einsatz von Netmind Core Stand: Februar 2019 Seite 9KONTAKT Mindlab Solutions GmbH Eichwiesenring 9 70567 Stuttgart Germany Telefon: +49 711 36550 0 Fax: +49 711 36550 555 E-Mail: info@mindlab.de www.mindlab.de Datenschutzkonformer Einsatz von Netmind Core Stand: Februar 2019 Seite 10
Sie können auch lesen
