/ Datenschutzrichtlinie

Datenschutzbestimmungen

Datenschutz ist uns ein wichtiges Anliegen. Deshalb verarbeiten wir die personenbezogenen Daten unserer Mitarbeitenden, Kunden sowie Geschäftspartner in Übereinstimmung mit den anwendbaren Rechtsvorschriften zum Schutz personenbezogener Daten und zur Datensicherheit.

Die Einhaltung der Datenschutzgrundsätze ist für unser Unternehmen ein Qualitätsmerkmal und Grundlage einer vertrauensvollen Geschäftsbeziehung. In Zeiten der Digitalisierung sehen wir es als unsere Pflicht an, das Recht auf informationelle Selbstbestimmung der betroffenen Personen zu gewährleisten.

A. Unsere Datenschutzpolitik

BlueGlass ist bestrebt, die rechtlichen Verpflichtungen zum Datenschutz vollumfänglich erfüllen. Deshalb informiert sich BlueGlass stets über die aktuellen gesetzlichen Anforderungen in der Schweiz und der Europäischen Union, sodass der Schutz personenbezogener Daten jederzeit gewährleistet ist.

Diese Datenschutzerklärung regelt sämtliche Formen der Datenverarbeitung in unserem Unternehmen und richtet sich insbesondere an alle Mitarbeitenden, die Umgang mit personenbezogenen Daten haben, genauer gesagt haben können.

Die Erhebung und Verarbeitung personenbezogener Daten erfolgt nur im Rahmen des rechtlich Zulässigen. Demzufolge ist unser vorrangiges Ziel, dass die Rechtmässigkeit sämtlicher Datenverarbeitungen in unserem Unternehmen gewährleistet und dokumentiert ist.

In Anbetracht der sich stetig entwickelnden rechtlichen Rahmenbedingungen (Bundesgesetz über den Datenschutz, Datenschutz-Grundverordnung der Europäischen Union, Digital Services Act der Europäischen Union, etc.) ist es uns wichtig festzuhalten, dass BlueGlass keine Rechtsberatungsdienstleistungen erbringt. Unsere Partner und Klienten sind grundsätzlich selbst für die Einhaltung der einschlägigen Gesetze verantwortlich. BlueGlass arbeitet mit verschiedenen kompetenten Rechtsberatungsunternehmen zusammen und vermittelt bei Beratungsbedarf diese Kontakte selbstverständlich gerne.

BlueGlass hat zwei Datenschutzbeauftragte, welche die Einhaltung der relevanten Richtlinien für unser Unternehmen überwachen. Verantwortlich für die Einhaltung des Datenschutzes ist die Unternehmensleitung.

B. Zusammenarbeit mit Dritten

Arbeiten wir bei der Verarbeitung von personenbezogenen Daten mit externen Dritten zusammen, welche möglicherweise Kenntnis von diesen Daten erhalten, stellen wir sicher, dass auch diese die massgeblichen Grundsätze der Datenverarbeitung einhalten.

Je nachdem, wer über den Zweck und die Mittel der Datenverarbeitung entscheidet, treffen wir unterschiedliche Massnahmen.

Der Beizug von externen Dritten erfolgt im Auftragsverhältnis grundsätzlich nur in Absprache mit dem Kunden.

Gemeinsame Verantwortlichkeit

Mit uns gemeinsam für die Datenverarbeitung verantwortlich ist jemand, der mit uns zusammen über die Zwecke und Mittel der Datenverarbeitung entscheidet. In diesem Fall treffen wir in einem Kooperationsvertrag transparente Regeln zur Verantwortlichkeit für die Einhaltung der Datenschutzregeln.

Auftragsdatenverarbeitung

Ein Auftragsdatenverarbeiter ist eine Person, welche personenbezogene Daten in unserem Auftrag verarbeitet. Ein Auftragsdatenverarbeiter wird nur dann von uns beauftragt, wenn er ausreichende Garantien bietet, dass die Sicherheit der Datenverarbeitung gewährleistet wird.
In den Verträgen mit den Auftragsdatenverarbeitern regeln wir mindestens:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Rechte und Pflichten des Auftraggebers
  • Pflichten des Auftragnehmers
  • Dokumentations- und Mitwirkungspflichten
  • Technische und organisatorische Massnahmen

 

C. Datenschutzmassnahmen

Derzeit sind in unserem Unternehmen die folgenden Massnahmen zum Schutz personenbezogener Daten implementiert:

Pseudonymisierung

Massnahmen, die geeignet sind, dass personenbezogene Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden:

  • Verwendung von Kunden-, Interessenten-, Personalnummern oder ID-Nummern
  • Trennung von Stammdaten und Bewegungs-/Arbeitsdaten


Zutrittskontrolle

Massnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren:

  • Manuelles Schliesssystem
  • Schlüsselregelung (dokumentierte Schlüsselausgabe und -rücknahme)
  • Personenkontrolle beim Empfang
  • Verschluss sensibler Daten bei Büroreinigung ausserhalb der Arbeitszeiten.


Zugangskontrolle

Massnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:

  • Zuordnung von Benutzerrechten
  • Erstellen von Benutzerprofilen
  • Authentifikation mit Benutzername und Passwort (s.a. unten Zugriffskontrolle)
  • 2-Factor-Authentication für kritische Systeme
  • Zuordnung von Benutzerprofilen zu IT-Systemen
  • Einsatz von Anti-Viren-Software
  • Einsatz einer dedizierten Hardware-Firewall


Zugriffskontrolle

Massnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Berechtigungskonzept
  • Verwaltung der Rechte durch Systemadministrator
  • Anzahl der Administratoren auf das Notwendigste reduziert
  • Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
  • Nutzung eines Passwortmanagement- und Audit-Systems
  • Sichere Aufbewahrung von Datenträgern
  • Einsatz von Aktenvernichtern


Trennungskontrolle

Massnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

  • Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
  • Logische Mandantentrennung (softwareseitig)
  • Erstellung eines Berechtigungskonzepts
  • Festlegung von Datenbankrechten
  • Trennung von Produktiv- und Testsystem


Verfügbarkeit

Massnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

  • Klimaanlage in Serverräumen
  • Schutzsteckdosenleisten in Serverräumen
  • Feuer- und Rauchmeldeanlagen
  • Backup- & Recoverykonzept
  • Testen von Datenwiederherstellung
  • Notfallplan
  • Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort


Belastbarkeit

Massnahmen, die gewährleisten, dass Systeme und Dienste so ausgelegt sind, dass auch punktuell hohe Belastungen oder hohe Dauerbelastungen von Verarbeitungen leistbar sind:

  • Ausreichende Speicherkapazität
  • Ausreichende Zugriffskapazität
  • Ausreichende Leitungskapazität
  • Monitoring von Netzwerk- und Applikationsbelastungen


Rasche Wiederherstellbarkeit der Verfügbarkeit

Massnahmen, die gewährleisten, dass personenbezogene Daten nach einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können:

  • Backup-Konzept
  • Raid-Verfahren / Festplattenspiegelung
  • Getrennte Aufbewahrung von Sicherungen
  • Cloud-Services


Datenschutz-Management

  • Interne Datenschutzverantwortliche
  • Verzeichnis der Verarbeitungstätigkeiten
  • Durchführung von Datenschutzfolgenabschätzunge
  • Risikoanalyse


Incident-Response-Management

  • Regelmässige Aktualisierung der Firewall
  • Regelmässige Aktualisierung der Virenscanner
  • Intrusion Detection System (IDS)
  • Intrusion Prevention System (IPS)


Auftragskontrolle

Massnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:

  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
  • Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmassnahmen


Vorgehen bei Datenschutzverletzung

Bei einer tatsächlichen oder vermuteten Datenschutzverletzung sind die involvierten Personen bei BlueGlass verpflichtet, die Datenschutzverantwortlichen und die Geschäftsleitung zu informieren. Die Geschäftsleitung wird sofort alle technischen und rechtlichen Massnahmen einleiten, um Schäden zu verhindern oder zu minimieren. Gleichzeitig wird der Auftraggeber informiert. Bei tatsächlichen Datenschutzverletzungen werden schliesslich ebenfalls die Aufsichtsbehörden und, falls notwendig, die betroffenen Personen benachrichtigt.

D. Verantwortlicher und Datenschutzbeauftragte

Verantwortlicher

BlueGlass Interactive AG (Schweiz)
Molkenstrasse 8
8004 Zürich

Gesetzlicher Vertreter (Geschäftsführer):
Raphael Bienz
rbienz@blueglass.com

Datenschutzbeauftragte

Technische Anliegen:
Michael Wettstein
mwettstein@blueglass.com

Rechtliche Anliegen:
Benjamin Seger
bseger@blueglass.com