Die EU-Datenschutzgrundverordnung (DSGVO) bezieht sich auf Daten bestimmter oder bestimmbarer Personen.

Im Tool werden generell in Indikatoren, Daten und Faktoren keine direkt personenbezogenen Daten verwendet (ausschließlich aggregierte Daten).

Folgende Sonderfälle mit Bezug zu personenbezogenen Daten seien dennoch erwähnt:

• Personenbezogene Daten aufgrund von Rückschlüssen

Unter bestimmten Voraussetzungen kann eine Person aus an sich anonymisierten/aggregierten Daten bestimmbar sein, z.B. wenn es in einem Team nur eine Frau gibt – dann beziehen sich alle Angaben zu weiblichen Personen direkt auf diese eine Mitarbeiterin. Die Person ist also bestimmbar, die Bestimmungen der DSGVO sind zu befolgen:
Erfüllung der Betroffenen-Rechte (Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch – muss im Einzelfall geprüft werden, wieweit durchsetzbar)

• Personenbezogene Daten in Freitext-Feldern und Uploads

Vor allem bei Freitext-Feldern und Uploads sind von Seiten des Tools keinerlei inhaltliche Vorgaben technisch möglich (wie auch in anderen Softwareprogrammen Beispiele Word, Excel etc.). Hier ist bei der Tool-Benutzung darauf zu achten, dass keine personenbezogenen Daten hinterlegt werden. (Ein Beispiel: Werden in Kommentaren irgendwo Firmen benannt, ist zu unterscheiden: Handelt es sich um eine juristische Person, so liegen keine personenbezogenen Daten vor, handelt es sich aber um ein Einzelunternehmen, sind Name und Adresse sehr wohl personenbezogen.)

• Personenbezogene Daten in User-Accounts

Vom Admin des Tools können weitere User-Accounts für die Dateneingabe angelegt werden. Jeder Account besteht grundsätzlich aus Vorname, Nachname, Emailadresse (und den Berechtigungen im Tool). Es können hier Pseudo-Bezeichnungen und nicht real existierende Emailadressen verwendet werden.

Berücksichtigung im Datenschutz-Konzept

• Verzeichnis der Verarbeitungstätigkeiten

Kommen im Tool personenbezogene Daten vor (siehe oben beschriebene Sonderfälle mit Bezug zu personenbezogenen Daten), ist das Tool als Datenanwendung im Verzeichnis der Verarbeitungstätigkeiten anzuführen.

• Vereinbarung mit Mitarbeiter/innen

Bei Verwendung von realen personenbezogenen Account-Bezeichnungen empfiehlt sich, eine schriftliche Vereinbarung über die Verarbeitung der Mitarbeiter/innen-Daten im Tool mit allen Betroffenen abzuschließen (DSGVO Artikel 6, Absatz 1, lit a – Einwilligung). Ohne nachweisbare Einwilligung kann auch DSGVO Artikel 6, Absatz 1, lit f zum Tragen kommen – berechtigtes Interesse des Unternehmens, z.B. wenn eine Verpflichtung zur Erstellung eines Nachhaltigkeitsberichts besteht. Hier ist jedenfalls abzuwägen, ob die Interessen der Betroffenen nicht über Gebühr beeinträchtigt werden.

Es liegt in der Verantwortung der Administrator/innen, bei allen Angaben auch den Schutz personenbezogener Daten zu berücksichtigen.

BenutzerInnen/Rollen Sicherheits-Modell

Benutzerverwaltung

Die Benutzerverwaltung erfolgt in einem separaten Admin-Bereich innerhalb des Tools: Hier können Benutzer/innen mit verschiedenen Rollen angelegt werden (Lesen, Dateneingabe, Datenprüfung, Auswertung, Admin). Diese können dann wiederum verschiedenen Zeiträumen bzw. Knoten zugeordnet werden. So kann ein sicher dezentral verwaltbares System aufgebaut und sichergestellt werden. Nur Admins können BenutzerInnen anlegen/ändern/entfernen und Rollen-Rechte-Zuordnungen vornehmen.

Permission / Access Control Tests

In Ergänzung zu reinen Software Fehlern werden Permission Tests manuell und automatisiert durchgeführt. Software Logik Tests (falsche oder fehlende Rechte-Checks / Abfragen) werden auf Basis der internen Rechte-Rollen-Dokumentation geprüft und evaluiert. Für neue Bereiche wird dies zunächst manuell durchgeführt. Um auch weiterhin bei jedem Release die Bestandslogik zu prüfen wurden mittels Selenium automatisierte Tests programmiert, welche sowohl alle Benutzerrollen und deren Zugriffsrechte als auch Up- und Downgrade der jeweiligen prüfen.

SSO/MFA Zugriffserlaubnis

Die Single-sign on Zugriffsebene wird dezentral von einem vom Tool unabhängigen System geprüft.

Datenverschlüsselung

Jegliche Kommunikation zwischen Ihnen und dem Server ist nach aktuellem Sicherheitsstandard mit einem 256-Bit Schlüssel gesichert.

Cookies

Neben technisch dringend notwendigen Cookies erfasst das Tool auch Benutzer-Telemetrie-Daten (Seiten-Ladezeiten), um das Tool in Bezug auf Performance zu verbessern.

---

Informationen zur technischen Sicherheit des Tools und der Daten finden Sie auf der Seite Datensicherheit.