Rechtliche Informationen

FAQ zu Datenschutz und Sicherheit

Rechtliche Informationen
/
FAQ zu Datenschutz und Sicherheit

Avetta respektiert die Privatsphäre seiner Kunden und verpflichtet sich, die Daten der Kunden zu schützen.

Diese FAQ enthalten Informationen über die Beziehung zwischen Avetta, Auftraggebern bei Avetta (jeweils ein „Auftraggeber“) und den am Netzwerk von Avetta teilnehmenden Lieferanten (jeweils ein „Lieferant“) in Hinblick auf den Datenschutz und beantworten die häufigsten Fragen der Lieferanten zur Verarbeitung und zum Schutz ihrer Daten durch Avetta. Diese FAQ werden lediglich zu Informationszwecken bereitgestellt. Sie ersetzen keine Rechtsberatung, werden nicht in einen Vertrag mit Avetta aufgenommen und sind auch nicht Teil eines solchen. Großgeschriebene auf dieser Seite verwendete, jedoch nicht definierte Begriffe werden verwendet, wie in der Endbenutzer-Servicevereinbarung („EUSA“) festgelegt.

1. Wie tritt ein Lieferant dem Netzwerk von Avetta bei?

Es gibt zwei übliche Methoden für den Beitritt eines Lieferanten zum Netzwerk von Avetta:Ein Auftraggeber ermittelt einen Lieferanten, mit dem er zusammenarbeiten und den er über die SaaS-Plattform von Avetta (die „Plattform von Avetta“) verwalten möchte.

  • Anschließend sendet Avetta im Namen des Auftraggebers eine Einladung an den Lieferanten und fordert diesen auf, dem Netzwerk von Avetta beizutreten. Dieses Verfahren eignet sich für den Fall, dass der Auftraggeber Zugang zu bestimmten Dokumenten oder anderen Daten über den Lieferanten benötigt, die der Lieferant anschließend Avetta zur Verfügung stellt. Avetta stellt dem Auftraggeber diese Daten über die Plattform von Avetta zur Verfügung. Avetta erfasst die Daten des Lieferanten, wenn ein Auftraggeber, mit dem der Lieferant in einer geschäftlichen Beziehung steht, derartige Daten anfordert.
  • Außerdem können Lieferanten auf eigene Initiative dem Netzwerk von Avetta beitreten und anschließend Verknüpfungen mit Auftraggebern im Netzwerk von Avetta herstellen sowie Dokumente und andere Daten gemäß den Anforderungen verknüpfter Auftraggeber bereitstellen.

2. Welche Daten erfasst Avetta von Lieferanten über die Plattform von Avetta?

Im Allgemeinen erfasst Avetta zwei Arten von Lieferantendaten: Allgemein zugängliche Daten und eingeschränkt zugängliche Daten.

„Allgemein zugängliche Daten“ sind der Firmenname von Lieferanten, die Beschreibung der Dienstleistungen, die Geschäftsadresse, die Kontaktinformationen des Unternehmens und andere allgemeine Unternehmensdaten.

„Eingeschränkt zugängliche Daten“ sind die in Präqualifizierungsformularen (PQF) enthaltenen Daten eines Lieferanten, spezifische Angaben zu Versicherungen, Sicherheitsstatistiken wie die Experience Modification Rate (EMR) und OSHA-Daten, alle während Audits erfassten Daten (Audit bezeichnet die objektive Überprüfung der Verfahren und Praktiken des Lieferanten durch Avetta, mit dem Ziel, die Compliance in Bezug auf gesetzliche Vorgaben, Best Practices der Branche oder andere durch verknüpfte Auftraggeber vorgegebene Kriterien oder Parameter zu bewerten) sowie Daten über Beschäftigte, wenn ein Lieferant eines oder mehrere unserer Beschäftigtenprodukte einsetzt. Der spezifische Umfang der eingeschränkt zugänglichen Daten, die Avetta von einem Lieferanten erfasst, ist abhängig davon, welche Services von Avetta der Lieferant abonniert hat, sowie von den Anforderungen, die mit dem Lieferanten verknüpfte Auftraggeber auf der Plattform von Avetta festgelegt haben.

3. Wer kann über die Plattform von Avetta auf die Daten der Lieferanten zugreifen und aus welchen Gründen?

Allgemein zugängliche Daten sind nicht öffentlich zugänglich. Sie sind kennwortgeschützt und ausschließlich für Auftraggeber und Lieferanten verfügbar, die Teil des Netzwerks von Avetta sind, sowie unter bestimmten Umständen für potenzielle Auftraggeber. Die Anzeige der allgemein zugänglichen Daten ist ein Vorteil bzw. ein Feature, das wir Lieferanten anbieten, damit diese von Auftraggebern gefunden werden können, die Aufträge im Netzwerk von Avetta vergeben möchten.

Eingeschränkt zugängliche Daten sind nur für mit dem Lieferanten verknüpfte Auftraggeber (und Hauptlieferanten, wenn der Lieferant ein Unterauftragnehmer ist) zugänglich. Eingeschränkt zugängliche Daten dienen dem Vorteil verknüpfter Auftraggeber (z. B. zur Überprüfung, ob der Lieferant die Anforderungen für die Zusammenarbeit mit dem Auftraggeber erfüllt oder ob bestimmte Beschäftigte berechtigt sind, Zugang zum Einsatzort eines Auftraggebers zu erhalten). Eingeschränkt zugängliche Daten lassen sich weiter in zwei Gruppen unterteilen: (i) Standard-Compliance-Daten, auf die alle verknüpften Auftraggeber (und ggf. Hauptlieferanten) zugreifen können, und (ii) auftraggeberspezifische Compliance-Daten, auf die nur der Auftraggeber zugreifen kann, der die spezifischen Anforderungen definiert hat (und ggf. Hauptlieferanten für diesen Auftraggeber). Beachten Sie, dass die mit unseren Beschäftigtenprodukten übermittelten Beschäftigtendaten in die Kategorie auftraggeberspezifischer Compliance-Daten fallen und der Zugang zu diesen Daten auf den Auftraggeber beschränkt ist, der die Anforderungen für den Standortzugang festgelegt hat.

4. Welche personenbezogenen Daten erfasst Avetta von Lieferanten?

Allgemein zugängliche Daten enthalten in der Regel keine personenbezogenen Daten, außer ggf. den Namen und die E-Mail-Adresse einer Person in den vom Lieferanten bereitgestellten geschäftlichen Kontaktinformationen.

Eingeschränkt zugängliche Daten können personenbezogene Daten enthalten. Welche spezifischen Arten personenbezogener Daten in eingeschränkt zugänglichen Daten enthalten sind, ist jedoch davon abhängig, welche Services von Avetta der Lieferant abonniert hat, sowie von den Anforderungen, die mit dem Lieferanten verknüpfte Auftraggeber festgelegt haben.

Anlage B der Ergänzung zur Datenverarbeitung (Data Processing Addendum, „DPA“) erläutert die Kategorien personenbezogener Daten, die Arten der betroffenen Personen, die Verarbeitungszwecke und weitere Einzelheiten der Verarbeitung, die Avetta im Zusammenhang mit der Bereitstellung der Services von Avetta gemäß der EUSA vornimmt.

5. Zu welchen Zwecken erfolgt die Datenverarbeitung?

Die Datenverarbeitung durch Avetta erfolgt zu diesen Zwecken:

  • Bereitstellung der Services von Avetta
  • Speicherung personenbezogener Daten von Beschäftigten auf der Plattform von Avetta zum Vorteil verknüpfter Auftraggeber (z. B. zur Überprüfung, ob bestimmte Beschäftigte berechtigt sind, den Einsatzort des Auftraggebers zu betreten)
  • Avetta nutzt aggregierte und anonymisierte Daten für folgende Zwecke:
    • Produktentwicklung
    • Forschung
    • Marktanalyse
  • Avetta nutzt Geschäftskontaktdaten zu folgenden Zwecken:
    • Direktmarketing (Versand von Newslettern und Werbe-E-Mails usw.)
    • Unternehmensentwicklung
    • Kundensupport
  • Sonstige berechtigte Interessen von Avetta (siehe Abschnitt 5 der Datenschutzrichtlinie von Avetta)

6. Welche Funktion übt Avetta gemäß der DSGVO bei der Verarbeitung personenbezogener Daten von Lieferanten aus?

Avetta fungiert als Auftragsverarbeiter, soweit die Verarbeitung personenbezogener Daten im Namen von und auf Anweisung des Lieferanten erfolgt, beispielweise bei der Verarbeitung der in den PQF enthaltenen personenbezogenen Daten des Lieferanten, der OSHA-Datensätze, der während Audits erfassten Datensätze, der in Beschäftigtenprodukten enthaltenen Beschäftigtendaten oder anderer Daten, die Avetta auf Basis der von mit dem Lieferanten verknüpften Auftraggebern festgelegten Anforderungen übermittelt werden.

Avetta fungiert als Verantwortlicher, soweit die Verarbeitung personenbezogener Daten für Zwecke von Avetta in Verbindung mit der Bereitstellung der Services oder für ein berechtigtes geschäftliches Interesse von Avetta erfolgt, darunter die Rechnungsstellung, die Kontoverwaltung, der technische Support, die Verhinderung von Betrug sowie der Vertrieb und das Marketing (z. B. der Versand von Newslettern an die Admin-Benutzer:innen des Lieferanten).

7. Wie schützt Avetta Lieferantendaten?

Avetta ist an die in Abschnitt 13 der EUSA enthaltenen Bestimmungen zur Vertraulichkeit gebunden und verpflichtet sich zur Einhaltung der DPA bei der Verarbeitung und dem Schutz personenbezogener Daten von Lieferanten.

Avetta gewährleistet mit zuverlässigen technischen, physischen, administrativen und organisatorischen Kontrollmaßnahmen die Vertraulichkeit, Sicherheit und Integrität der dem Unternehmen übermittelten vertraulichen Informationen, einschließlich personenbezogener Daten, und verfügt über Systeme und Verfahren zur Erkennung und Verhinderung von Angriffen, unbefugtem Zugriff und Systemausfällen sowie zur Reaktion auf diese. Außerdem erfolgen regelmäßige Tests und eine Überwachung der Wirksamkeit dieser Systeme und Verfahren, darunter Schwachstellenscans und Penetrationstests. Avetta ist sowohl gemäß ISO/IEC 27001:2013 (Norm für Informationssicherheitsmanagementsysteme (ISMS)) und 27701:2019 (Datenschutzmanagementsystem (PIMS) in Form einer Erweiterung von ISO/IEC 27001) zertifiziert als auch nach ISO/IEC 27017:2015 (Norm für Sicherheitskontrollen bei der Bereitstellung und Nutzung von Clouddiensten), ISO/IEC 27018:2019 (Norm für den Schutz personenbezogener Daten in öffentlichen Clouds) und ISO/IEC 22301:2019 (Norm für Business-Continuity-Managementsysteme) zertifiziert und führt jährlich unabhängige Audits gemäß SOC 2 Typ II durch.

Weitere Informationen zu den organisatorischen und technischen Maßnahmen von Avetta zum Schutz von Kundendaten finden Sie in Anhang II der DPA.

8. An wen kann Avetta Lieferantendaten weitergeben?

Im Allgemeinen kann Avetta Lieferantendaten an folgende Stellen weitergeben:

  • Seine Konzerngesellschaften und Dienstanbieter/Auftragnehmer (wie AWS für Cloud-Hosting-Dienste, in die Plattform von Avetta integrierte Produkte von Drittanbietern, Salesforce für das CRM, Anbieter von Netzwerksicherheitsdiensten und andere Tools, die Avetta im Rahmen seiner Geschäftstätigkeit nutzt)
  • Wie unter F3 erläutert die Benutzer:innen der Services von Avetta im Rahmen des Produktangebots (allgemein zugängliche Daten, die Benutzer:innen der Plattform von Avetta zur Verfügung stellen, und eingeschränkt zugängliche Daten, die nur mit dem Lieferanten verknüpften Auftraggebern und Hauptlieferanten des Lieferanten, falls vorhanden, verfügbar gemacht werden)
  • Andere Empfänger, einschließlich Dritter in Verbindung mit Fusionen und Übernahmen und Parteien, bei denen die Offenlegung nicht abhängig von der „Einwilligung“ als Rechtsgrundlage ist (Beispielsweise muss Avetta Lieferantendaten unter Umständen gegenüber Strafverfolgungsbehörden offenlegen.)

Weiterführende Informationen sind Abschnitt 6 unserer Datenschutzrichtlinie zu entnehmen.

9. Verkauft Avetta Lieferantendaten?

Avetta verkauft keinerlei Daten, die Lieferanten während der Nutzung der Plattform von Avetta an uns übermitteln.

Wir können jedoch Cookies und vergleichbare Technologien auf unserer allgemeinen Website (nicht auf der Plattform von Avetta) zu Werbezwecken verwenden, was gemäß dem California Consumer Privacy Act von 2018 als „Verkauf“ oder „Weitergabe“ personenbezogener Daten von Websitebesucher:innen gelten kann. Es erfolgt jedoch kein „Verkauf“ personenbezogener Daten gegen Geld.

10. Im Rahmen bestimmter Services von Avetta erhalten Kunden Zugriff auf AskAva™. Hierbei handelt es sich um ein KI-gestütztes Tool zur Generierung von Vorschlägen zur Standortsicherheit. Verwendet Avetta Kundeninhalte zum Training von AskAva und wie verarbeitet dieses Tool personenbezogene Daten?

Avetta verwendet keinerlei Kundeninhalte für das Training von AskAva. AskAva basiert auf OpenAI. Die Vorschläge werden von KI generiert, d. h., sie können Fehler enthalten oder unvollständig sein.

Bei der vorgesehenen Nutzung von AskAva geben Benutzer:innen keine personenbezogenen Daten ein. Benutzer:innen wird davon abgeraten, personenbezogene Daten einzugeben, da diese zur Generierung von Vorschlägen zur Standortsicherheit nicht erforderlich sind. Personenbezogene Daten werden nur dann zur Verarbeitung an OpenAI übermittelt, wenn Benutzer:innen derartige Daten selbsttätig eingeben.

Die Nutzung von AskAva ist völlig freiwillig. Nutzen Sie AskAva nicht, wenn Sie nicht möchten, dass OpenAI Ihre Daten verarbeitet. Informationen zur Datenverarbeitung bei OpenAI finden Sie in der Dokumentation von OpenAI zu seiner API.

11. Wo speichert Avetta Lieferantendaten?

In der folgenden Tabelle finden Sie die Serverstandorte, an denen Avetta Daten für die SaaS-Services verarbeitet und speichert. In der Regel nutzt Avetta zum Schutz der Datenschutzrechte betroffener Personen Server in Ländern, die ein höheres gesetzlich garantiertes Schutzniveau bieten.

Produkt von Avetta Kundenstandort (Hosting-Standort)
Lieferanten-Compliance-Produkte wie Avetta Connect® Health & Safety, ESG & Sustainability; Business Risk und Avetta Transportation Safety – Motor Carrier Statistics Enterprise
  • Weltweit (Deutschland)
  • Disaster Recovery (Irland)
Worker Management
  • APAC (Australien)
  • Weltweit außer APAC (Deutschland)
Pegasus Workforce Management
  • Australien (Australien)
  • USA (USA)
  • Weltweit außer Australien und USA (Vereinigtes Königreich)

Bitte beachten Sie, dass unsere Nichtproduktionsdaten in Kanada gespeichert werden.

12. Werden personenbezogene Daten außerhalb der Regionen übertragen, in denen betroffene Personen ansässig sind?

Der Hauptsitz von Avetta befindet sich in den USA. Avetta beauftragt unterschiedliche Drittanbieter (Auftragsverarbeiter/Unterauftragsverarbeiter) mit der Bereitstellung der Services. Personenbezogene Daten werden voraussichtlich außerhalb der Regionen übermittelt, in denen betroffene Personen ansässig sind.

13. Welche Mechanismen für die grenzüberschreitende Übermittlung von Daten nutzt Avetta?

Bei der Übermittlung personenbezogener Daten außerhalb des EWR oder des Vereinigten Königreichs werden wir:

(i) sicherstellen, dass das Land, in dem personenbezogene Daten verarbeitet werden, von der Europäischen Kommission oder dem Vereinigten Königreich (wie jeweils zutreffend) als „angemessen“ angesehen wird;

(ii) die von der Europäischen Kommission genehmigten Standardvertragsklauseln (wie jeweils zutreffend) für die Übermittlung personenbezogener Daten aus dem EWR oder dem Vereinigten Königreich und zusätzlich das UK International Data Transfer Addendum zu den Standardvertragsklauseln der EU-Kommission für die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in unsere Verträge einbeziehen; oder

(iii) uns auf andere rechtskonforme Mechanismen oder Bedingungen für eine solche Datenübermittlung stützen.

Für die Übermittlung von Daten in die USA hat Avetta eine Selbstzertifizierung im Rahmen des EU-US Data Privacy Framework („EU-US DPF“), der UK Extension to the EU-US Data Privacy Framework („UK Extension“) und des Swiss-US Data Privacy Framework („Swiss-US DPF“, gemeinsam mit dem „EU-US DPF“ und der „UK Extension“ als „DPF“ bezeichnet) vorgenommen, die jeweils der Kontrolle des US Department of Commerce unterliegen. Die Europäische Kommission hat einen Angemessenheitsbeschluss zum EU-US DPF erlassen, mit dem bestätigt wird, dass die USA ein angemessenes, mit dem der EU vergleichbares Schutzniveau für personenbezogene Daten bieten, die unter dem Framework aus der EU an US-Unternehmen übermittelt werden. Gleichermaßen hat die britische Regierung festgestellt, dass die UK Extension das Datenschutzniveau für betroffene Personen aus dem Vereinigten Königreich bei der Übermittlung ihrer Daten in die USA nicht beeinträchtigt, und hat daher mit der UK Extension einen Angemessenheitsbeschluss für die Übermittlung zwischen dem Vereinigten Königreich und den USA erlassen (UK-US Data Bridge). Als Teilnehmer des DPF-Programms verpflichtet sich Avetta bei der Verarbeitung personenbezogener Daten zur Einhaltung der DPF-Prinzipien hinsichtlich Benachrichtigung, Wahlmöglichkeit, Verantwortlichkeit für die Übertragung, Sicherheit, Datenintegrität und Zweckbeschränkung, Zugriff und Regress, Durchsetzung und Haftung. Weitere Informationen finden Sie in unserem Hinweis zum Data Privacy Framework.

Für den Fall, dass in den geltenden Datenschutzgesetzen zusätzliche Anforderungen festgelegt sind oder sich die vorhandenen Mechanismen für grenzüberschreitende Datenübermittlungen ändern, ergreifen wir geeignete Maßnahmen, auch gemeinsam mit unseren Kunden, um die Anforderungen umzusetzen oder die Mechanismen der Übermittlung zu aktualisieren, sodass eine gesetzeskonforme Übermittlung personenbezogener Daten betroffener Personen außerhalb des Landes, in dem sie ansässig sind, gewährleistet ist.

Weiterführende Informationen finden Sie in Abschnitt 7 der DPA.

14. Welche Maßnahmen ergreift Avetta zur Einhaltung der DSGVO und anderer geltender Datenschutzgesetze?

Als in mehreren Ländern tätiges Unternehmen unterliegt Avetta einer Reihe von Datenschutzgesetzen (DSGVO, UK GDPR, CCPA, PIPEDA, Australian Privacy Act 1988 usw.). Unser Datenschutzprogramm beruht auf den Anforderungen der DSGVO. Zur Gewährleistung der weltweiten Compliance haben wir uns für folgenden Ansatz entschieden: Wir ermitteln in einem ersten Schritt die gemeinsamen Anforderungen geltender Datenschutzgesetze sowie Lücken und setzen Lösungen zur Erfüllung der gemeinsamen Anforderungen um. Anschließend analysieren wir die Unterschiede zwischen den Gesetzen und bestimmen, ob das Programm regionsspezifisch an die jeweiligen Anforderungen angepasst wird oder ob die Änderungen in Bezug auf diese Anforderungen für alle Regionen übernommen werden.

Generell sehen unsere Datenschutzgrundsätze vor, dass personenbezogene Daten

  • rechtmäßig, angemessen und transparent verarbeitet werden (Rechtmäßigkeit, Angemessenheit und Transparenz);
  • nur für angegebene, eindeutige und rechtmäßige Zwecke erfasst werden (Zweckbindung);
  • angemessen, sachdienlich und auf den für den Zweck der Verarbeitung notwendigen Umfang beschränkt sind (Datenminimierung);
  • korrekt und ggf. während der gesamten Verarbeitung und Speicherung der personenbezogenen Daten aktuell gehalten werden (Fehlerfreiheit);
  • nicht länger als für die Zwecke der Verarbeitung erforderlich in einer Form gespeichert werden, die die Identifizierung betroffener Personen ermöglicht (Speicherbegrenzung);
  • so verarbeitet werden, dass ihre Sicherheit durch geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung gewährleistet ist (Sicherheit, Integrität und Vertraulichkeit);
  • nicht ohne angemessene Sicherheitsmaßnahmen in ein anderes Land übermittelt werden (Übermittlungsbeschränkung); und
  • den betroffenen Personen verfügbar gemacht werden und es diesen ermöglicht wird, bestimmte Rechte in Bezug auf ihre personenbezogenen Daten auszuüben (Rechte und Anfragen betroffener Personen).

15. Welche Bestimmungen regeln die Beziehung zwischen Avetta und Lieferanten?

Das Vertragsverhältnis zwischen Avetta und einem Lieferanten wird durch Folgendes geregelt:

Weitere Informationen über das Datenschutz- und Sicherheitsprogramm von Avetta finden Sie auf unserer Seite mit rechtlichen Informationen. Avetta evaluiert die Wirksamkeit seines Datenschutz- und Sicherheitsprogramms kontinuierlich und verpflichtet sich, Änderungen zu überwachen und umzusetzen, die aufgrund rechtlicher, marktbezogener oder verfahrenstechnischer Entwicklungen angemessen bzw. erforderlich sind.