Smartsheet und die DSGVO

Absicht

Seit seiner Gründung haben der Schutz und die Sicherheit der Daten von Kunden für Smartsheet oberste Priorität. Dieses Engagement ist mit der Verabschiedung der Datenschutz-Grundverordnung der Europäischen Union („DSGVO“) nur noch stärker geworden, da Smartsheet bemüht ist, einer wachsenden Nutzerbasis weiterhin globalen, erstklassigen Service zu bieten.

Diese Seite soll einen umfassenden Überblick über die DSGVO geben und einige häufig gestellte Fragen zu den Daten von Benutzern und auf der Smartsheet-Plattform eingegebenen oder hochgeladenen Daten beantworten. Beachten Sie, dass diese Seite keine Rechtsauskunft darstellt. Smartsheet empfiehlt, sich an einen zugelassenen Anwalt oder Rechtsberater zu wenden, um sich mit den genauen Bestimmungen vertraut zu machen, die für Ihre spezifische Situation gelten.

Was ist die DSGVO?

Die DSGVO ist ein umfassendes Datenschutz- und Datensicherheitsgesetz, das vom Europäischen Parlament erlassen wurde und am 25. Mai 2018 in Kraft getreten ist. Mit der Verordnung sollen die bestehenden Datenschutzgesetze in Bezug auf „personenbezogene Daten“ (sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person bzw. eine „betroffene Person“ beziehen) von in Europa ansässigen Personen gestärkt werden. Der Geltungsbereich des Gesetzes ist extraterritorial, erstreckt sich also auf jedes Unternehmen, das Daten von in Europa ansässigen Personen kontrolliert oder verarbeitet.

Inwiefern gilt die DSGVO für meine Daten in Smartsheet?

Die DSGVO kann Anwendung finden, wenn Ihr Unternehmen, unabhängig vom physischen oder geografischen Standort, personenbezogene Daten von Einwohnern der Europäischen Union („EU“) innerhalb von Smartsheet verarbeitet, oder wenn Sie selbst Einwohner der EU sind. Nach europäischem Recht werden Stellen, die Daten verarbeiten, in zwei Kategorien aufgeteilt: „Verantwortliche" (Unternehmen, die die erfassten personenbezogenen Daten kontrollieren und die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen) und „Auftragsverarbeiter“ (Unternehmen, die personenbezogene Daten gemäß den schriftlichen Anweisungen der Verantwortlichen verarbeiten). Die DSGVO gilt für beide Kategorien, die sich nicht gegenseitig ausschließen (d. h. je nach Datensatz kann ein Unternehmen gleichzeitig Verantwortlicher und Auftragsverarbeiter sein). Im Rahmen der Geschäftstätigkeit und der Erbringung von Dienstleistungen für Kunden kann Smartsheet als Verantwortlicher und als Auftragsverarbeiter personenbezogener Daten auftreten, manchmal auch beides gleichzeitig. Die Rolle von Smartsheet als Verantwortlicher und/oder Auftragsverarbeiter wird in der Regel in einem Vertrag bezüglich der vorliegenden Verarbeitung oder anderweitig gemäß dem Datenschutzhinweis von Smartsheet dargelegt.

Verarbeitung“ bezeichnet gemäß Definition der DSGVO jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder Sätzen personenbezogener Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, z. B. Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung, Änderung, Abruf, Abfrage, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Zurverfügungstellung, Abgleich, Kombination, Einschränkung oder Löschung.

Smartsheet ist als Verantwortlicher und als Auftragsverarbeiter personenbezogener Daten an die DSGVO und andere globale Datenschutzgesetze gebunden. Als Verantwortlicher respektiert Smartsheet die Rechte aller betroffenen Personen und erläutert seine Praktiken (insbesondere die Art personenbezogener Daten, die erhoben, genutzt und weitergegeben werden) in seinem öffentlich zugänglichen Datenschutzhinweis. Als Auftragsverarbeiter respektiert Smartsheet die Rechte betroffener Personen und hält sich bei der Verarbeitung personenbezogener Daten an die nachstehenden Richtlinien. Obwohl die DSGVO nur für Personen mit Wohnsitz in Europa gilt, unterscheidet Smartsheet nicht zwischen Nutzern inner- und außerhalb der Europäischen Union und verfolgt in Bezug auf seine Datenschutz- und Sicherheitspraktiken einen globalen Ansatz.

Welche Verpflichtungen hat Smartsheet im Rahmen der DSGVO gegenüber Kunden?

Artikel 5 der DSGVO legt sieben Grundrechte oder Datenschutzgrundsätze für Einwohner der EU fest, die Verantwortliche und Auftragsverarbeiter jederzeit wahren müssen:

  • 1.   Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz: Die Verarbeitung muss stets rechtmäßig, nach Treu und Glauben und auf für die betroffene Person nachvollziehbare Weise erfolgen.
  • 2.  Zweckbindung: Daten müssen entsprechend dem Zweck verarbeitet werden, der dem Kunden zum Zeitpunkt der Erhebung kommuniziert wurde.
  • 3.  Datenminimierung: Daten dürfen nur im für die genannten Zwecke notwendigen Maß erhoben und verarbeitet werden.
  • 4.  Richtigkeit: Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein.
  • 5.  Speicherbegrenzung: Relevante Daten dürfen nur so lange gespeichert werden, wie es für die angegebenen Zwecke erforderlich ist.
  • 6.  Integrität und Vertraulichkeit: Die Verarbeitung muss auf eine Weise erfolgen, die eine angemessene Sicherheit, Integrität und Vertraulichkeit gewährleistet.
  • 7.  Rechenschaftspflicht: Der Verantwortliche (d. h. Smartsheet-Kunde) ist für die Einhaltung der Grundsätze der DSGVO verantwortlich und muss deren Einhaltung nachweisen können.

In seiner Rolle als Verantwortlicher und/oder Auftragsverarbeiter überprüft Smartsheet regelmäßig seine Praktiken, um sicherzustellen, dass alle Daten in Übereinstimmung mit den Standards von Artikel 5 behandelt werden. Weitere Informationen zu Anpassungen der Datenschutzpraktiken von Smartsheet finden Sie im Smartsheet Trust Center.

Rechte des Einzelnen nach der DSGVO

 

Eine der größten Änderungen bezüglich Datenschutzrechten infolge der Verabschiedung der DSGVO durch die EU war die Ausweitung der Rechte von Einzelpersonen. Die DSGVO sieht erweiterte Rechte für Einzelpersonen vor, darunter:

  • Auskunftsrecht

  • Recht auf Löschung

  • Widerspruchsrecht

  • Recht auf Datenübertragbarkeit

  • Recht auf Berichtigung

  • Recht auf Einschränkung der Verarbeitung

  • Recht auf Widerruf der Einwilligung

Smartsheet respektiert diese Rechte für alle Personen und bietet eine einfache und effiziente Möglichkeit, diese Anfragen zu bearbeiten. Sollten Endbenutzer Fragen zu ihren Daten haben, können Sie über dieses Formular eine Anfrage einreichen oder eine E-Mail an privacy@smartsheet.com senden.

Gültige Übermittlungsmechanismen

Betroffene Personen mit Wohnsitz im Europäischen Wirtschaftsraum („EWR“), die mit ausländischen Unternehmen interagieren, riskieren, dass ihre Daten in Rechtsräume übermittelt werden, die unter Umständen Datenschutzgesetze haben, die im Vergleich zu denen in ihrem Heimatland keinen gleichwertigen Schutz bieten. Die DSGVO wurde unter anderem zur Bekämpfung dieser Unsicherheit in Bezug auf Daten verabschiedet, indem sie von Verantwortlichen und Auftragsverarbeitern verlangt, bei der Übermittlung oder anderweitigen Verarbeitung personenbezogener Daten außerhalb des EWR genehmigte „gültige Übermittlungsmechanismen“ zu implementieren. Die drei wichtigsten Methoden für angemessene Schutzvorkehrungen sind: (1) Standardvertragsklauseln („SVK“); (2) Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, „BCR“) und (3) Zertifizierungsmechanismen (z. B. Privacy Shield vor dem Urteil zur Ungültigkeit).

Bei den SVK handelt es sich um spezifische Klauseln, die von der Europäischen Kommission zum Schutz personenbezogener Daten genehmigt wurden, die Unternehmen untereinander übermitteln. Sie sind häufig in Vereinbarungen zwischen Datenexporteuren und Datenimporteuren enthalten. Im Anschluss an das Schrems II-Urteil veröffentlichte die Europäische Kommission am 7. Juni 2021 neue SVK, woraufhin Smartsheet seinen Nachtrag zur Datenverarbeitung (Data Processing Addendum, „DPA“) für europäische Kunden, die einen DPA unterzeichnen, um die neuen SVK ergänzte, um sicherzustellen, dass ein der DSGVO entsprechender gültiger Übermittlungsmechanismus vorhanden ist. Ein weiterer gültiger Übermittlungsmechanismus, die verbindlichen internen Datenschutzvorschriften, bieten mittels interner Verhaltensmaßnahmen für Unternehmen, die durch europäische Datenschutzbehörden geprüft werden, ein gewisses Maß an Datenschutzgarantie.

Am 16. Juli 2020 erließ der Europäische Gerichtshof sein Urteil in der Rechtssache Schrems II, in dem das EU-US Privacy Shield Selbstzertifizierungs-Programm, der Datenübermittlungsmechanismus, der von vielen Unternehmen in den USA verwendet wurde, einschließlich Smartsheet, für ungültig erklärt wurde. Smartsheet hält trotz des Urteils an seiner Privacy Shield-Zertifizierung fest und verpflichtet sich, personenbezogene Daten weiterhin in Übereinstimmung mit den Grundsätzen des Privacy Shield zu schützen (weitere Informationen zu den Grundsätzen des Privacy Shield finden Sie hier). 

Weitere Informationen zu den Datenschutzpraktiken von Smartsheet nach Schrems II finden Sie unter „Internationale Datenübermittlungen an Smartsheet“.

Findet die DSGVO in den Nutzungsbedingungen von Smartsheet und dem Nachtrag zur Datenverarbeitung Berücksichtigung?

Ja, der DPA und die Nutzungsbedingungen von Smartsheet enthalten Datenschutz- und Sicherheitsbestimmungen zum Schutz von Kundendaten.

Wie geht Smartsheet mit Kundendaten im Geltungsbereich der DSGVO um?

Smartsheet ist ein globales Unternehmen und nimmt den Schutz der Daten seiner Kunden sehr ernst. Smartsheet und seine verbundenen Unternehmen bieten erstklassigen Datenschutz in Übereinstimmung mit geltenden Datenschutzgesetzen wie der DSGVO und dem CCPA. Zusätzlich beobachtet Smartsheet die Gesetzeslage in vielen anderen Ländern, um zu prüfen, ob sie sich auf den Kundenstamm auswirken könnte.

Darüber hinaus geben Unternehmen gelegentlich Benutzerdaten für eine Vielzahl unterschiedlicher Geschäftszwecke an Dritte weiter. Allerdings verkauft Smartsheet Kundendaten nicht ohne ausdrückliche Zustimmung des Kunden an Dritte, es sei denn, es wurden anderweitige Vereinbarungen getroffen. Anbieter werden an die Erwartungen an den Datenschutz und die Datenverarbeitung durch Anbieter von Smartsheet gebunden, die mit den DSGVO-Richtlinien zur Datenintegrität und Zweckbindung bei der Geschäftstätigkeit übereinstimmen. Weitere Informationen dazu, wie Smartsheet mit Anbieterrichtlinien umgeht, finden Sie hier.

 

Weitere Informationen und Ressourcen: