Datenschutzerklärung

Perseus.-Services

Gemäß Art. 13 und 14 DSGVO

(Version 1.3, Stand April 2021)


Dieses Dokument stellt die Verarbeitung personenbezogener Daten durch die Perseus Technologies GmbH („PERSEUS“) bei der Erbringung der Serviceleistung dar. Damit informiert PERSEUS die datenschutzrechtlich Betroffenen über die Verarbeitung deren personenbezogener Daten gemäß Artikel 13 und 14 Datenschutz-Grundverordnung („DSGVO“).

Sofern PERSEUS personenbezogene Daten im Auftrag verarbeitet („Auftragsverarbeitung“) können die Kunden von PERSEUS und andere Bezieher der PERSEUS-Serviceleistungen sich die Darstellung zu eigen machen, ihrerseits die Betroffenen informieren und damit ihre eigenen Informationspflichten gemäß Artikel 13 und 14 DSGVO erfüllen.

Es liegen die Begriffsbestimmungen des Artikel 4 DSGVO zu Grunde.

Hinweis: Datenverarbeitungen durch die PERSEUS-Website werden in der spezifischen Datenschutzerklärung für die Webseite dargestellt.

 

Geltungsbereich der Datenschutzerklärung

Diese Datenschutzerklärung hat die Verarbeitungen personenbezogener Daten zum Gegenstand, die von PERSEUS und deren Auftragsverarbeitern im Rahmen der Servicedienstleistungen für die PERSEUS-Kunden („Kunden“) und deren Kunden als Bezugsberechtigte und Bezieher („Bezugsberechtigte“) für die PERSEUS-Serviceleistungen erbracht werden. 

 

Die folgenden Services von PERSEUS sind davon umfasst:

  • Prävention durch Sensibilisierung (Human Firewall)
  • Cybersecurity-Cockpit für Admins
  • Online-Training für Datenschutz & Cybersicherheit
  • Führerschein (DSGVO-Nachweis)
  • Mitarbeiter-Aktivierung
  • Sicherheitsübersicht
  • IT-Sicherheitsprüfung mit Checkliste
  • Phishing-Test
  • Werkzeugkasten für Cybersicherheit
  • Expertengespräche
  • Kundenservice
  • Cyber-Blog & Newsletter
  • Gefahrenwarnung
  • Reaktion und Absicherung (Incident Management)
  • 24h-Notfallhilfe („Incident Management“)

 

Verantwortliche im Sinne des Datenschutzrechts

PERSEUS ist grundsätzlich verantwortlich für die Verarbeitung personenbezogener Daten bei der Serviceerbringung. Einzelne Service-Bestandteile sind so gestaltet, dass die dabei erfolgende Verarbeitung personenbezogener Daten als Auftragsverarbeitung erfolgen kann. Dann ist der jeweilige PERSEUS-Kunde, für den die Datenverarbeitung im Auftrag erfolgt (z.B. Versicherer) oder aber der Bezugsberechtigte, der Empfänger der Serviceleistung von PERSEUS ist und dessen Daten verarbeitet werden (z.B. Versicherter) verantwortlich im Sinne des Datenschutzrechts gegenüber den datenschutzrechtlich Betroffenen.

 

Datenschutzbeauftragter

PERSEUS hat einen Datenschutzbeauftragten bestellt. Darüber hinaus arbeitet ein Team gemeinsam mit dem Datenschutzbeauftragten an der Erfüllung datenschutzrechtlicher Anforderungen und der entsprechenden Umsetzung datenschutzrechtlicher Aufgaben.  Betroffene können sich mit Anfragen und Hinweisen per E-Mail über datenschutz@perseus.de an das Team und den Datenschutzbeauftragten wenden.

 

Kategorien von Betroffenen

Betroffene der Datenverarbeitung können regelmäßig Beschäftigte der Kunden und Bezugsberechtigten, die Mitarbeiter deren Kunden und Lieferanten und sonstige natürliche Personen sein, deren personenbezogene Daten von den Kunden und Bezugsberechtigten verarbeitet werden und die im Rahmen der Serviceerbringung von PERSEUS verarbeitet werden oder aber auf die PERSEUS gelegentlich der Serviceerbringung Zugriff hat. 

 

Datenverarbeitungen und deren Details

In der folgenden Übersicht sind die Datenverarbeitungen, deren Zwecke und Rechtsgrundlagen dafür, sofern zutreffend, die berechtigten Interessen, mögliche Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, ggf. Drittstaatentransfers und die Speicherdauer tabellarisch dargestellt. Die Services bzw. Teilservices Phishing-Tests, Malware-Scan und Incident Management – First-Level-Support können von PERSEUS im Rahmen von Auftragsverarbeitungen für die Kunden bzw. Bezugsberechtigten erbracht werden. Dabei ist dann zu beachten, dass die genannte Rechtsgrundlage für die Verarbeitung diejenige Rechtsgrundlage ist, auf deren Basis PERSEUS die Daten verarbeitet. Die Rechtsgrundlage für den Kunden bzw. den Bezugsberechtigten als datenschutzrechtlich Verantwortliche, für die PERSEUS die Daten ggf. im Auftrag verarbeitet, kann davon abweichen.

 

Verarbeitung: Prävention durch Sensibilisierung (Human Firewall)

Zweck:

  • Herstellung, Wahrung und Verbesserung der Cybersecurity- und Datenschutz-Compliance bei Kunden und Bezugsberechtigten
  • technisch-organisatorischer Datenschutz (Datensicherheit) und Cyber Security (Informationssicherheit) zur Wahrung von Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und personenbezogener Daten
  • Administratoren (z.B. Vorgesetzte, Manager oder IT-Mitarbeiter) werden aktuelle Sicherheitsstatus und Statistiken zu absolvierten Schulungen oder Phishing-Tests als Übersicht bereitgestellt. Auf dieser Basis können Sicherheitsmaßnahmen in ihrer Wirksamkeit gemessen, nachgehalten und optimiert werden.
  • Durchführung und Nachhalten von Online-Trainings zu den Themen Cybersicherheit und Datenschutz
  • Erstellung von persönlichen Zertifikaten als Nachweis für erworbenes Wissen zu Cybersicherheit und Datenschutz („Führerschein“ als DSGVO-Nachweis)
  • aggregierte kontinuierliche Überprüfung des Gefahrenbewusstseins und statistische Auswertung des Verhaltens der Mitarbeiter
  • Betreuung der Mitarbeiter der Kunden und Bezugsberechtigten in organisatorischen Fragen und in fachlichen Fragen zur Cybersicherheit und zum Datenschutz („Kundenservice“)
  • Malware-Scan und Darknet-Scan

 

Kategorien verarbeiteter Daten:

  • Namen, Vornamen, E-Mail-Adressen, persönlicher Status der Perseus-Anmeldung,
  • persönlicher Schulungsstand, Prüfungsergebnisse, Art des ausgestellten Zertifikats,
  • persönlicher Sicherheitsstatus, personenbezogene Feststellungen wie z.B.  „Phishing erkannt“, „Training absolviert“, „Browser aktuell“, „Sicherheitssoftware installiert“

 

Kategorien von Empfängern:

  • Administratoren (z.B. Vorgesetzte, Manager oder IT-Mitarbeiter) der Kunden bzw. der Bezugsberechtigten
  • nachweispflichtige Organisationseinheiten der Kunden bzw. Bezugsberechtigten, Zertifikatsinhaber (Betroffene)
  • PERSEUS-Kundenservice
  • Auftragsverarbeiter: Amazon Web Services Inc.

 

Drittstaaten-Datentransfer:

  • USA (Amazon Web Services Inc.) auf Basis der Standardvertragsklauseln Controller-Processor


Speicherdauer bzw. deren Kriterien:

  • sofern die Kunden und Bezugsberechtigten Nachweise für die Cybersecurity- und Datenschutz-Compliance führen müssen, die Nachweise personenbezogene Daten enthalten und die Aufbewahrung in den PERSEUS-Systemen stattfindet, gelten zur Dauer der Aufbewahrung die Vorgaben von Kunden und Bezugsberechtigten
  • bei Auftragsverarbeitungen gelten zur Aufbewahrung immer die Vorgaben von Kunden und Bezugsberechtigten
  • darüber hinaus werden die Daten bis zum Zweckfortfall und insbesondere, sofern PERSEUS eigene gesetzliche Aufbewahrungspflichten zu erfüllen hat, bis zum Ablauf deren Fristen, aufbewahrt und danach gelöscht

 

Rechtsgrundlagen:

  • Erfüllung rechtlicher Verpflichtung gem. Art. 6 Abs. 1 c) DSGVO 
  • Berechtigte Interessen der Verantwortlichen gem. Art. 6 Abs. 1 f) DSGVO (Zur Vertragserfüllung gegenüber den Kunden und für die Leistungserbringung gegenüber Kunden und Bezugsberechtigten hat PERSEUS das berechtigte Interesse, die personenbezogenen Daten zu verarbeiten.)

 

Verarbeitung: Reaktion und Absicherung (Incident Management)

Zweck:

  • Herstellung, Wahrung und Verbesserung der Cybersecurity- und Datenschutz-Compliance bei Kunden und Bezugsberechtigten
  • technisch-organisatorischer Datenschutz (Datensicherheit) und Cybersecurity (Informationssicherheit) zur Wahrung von Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und personenbezogener Daten
  • Analyse und Rekonstruktion von Sicherheitsvorfällen
  • Erteilung von Handlungsempfehlung  
  • Wiederherstellung der Systeme, Anwendungen, Informationen und Daten
  • Dokumentation der Sicherheitsvorfälle
  • forensische Beweissicherung
  • kontinuierliche Verbesserung („PDCA-Zyklus“)
  • ggf. versicherungstechnische Schadenbearbeitung

 

Kategorien verarbeiteter Daten:

  • auf alle personenbezogenen Verbindungs- und Inhaltsdaten (Stamm- und Transaktionsdaten), die in den kompromittierten Systemen des Kunden bzw. Bezugsberechtigten verarbeitet werden, besteht potentieller Zugriff
  • alle personenbezogenen Daten, die zur Analyse oder forensischen Beweissicherung in PERSEUS-Systeme übertragen werden
  • Kontaktdaten der Ansprechpartner von Kunden und Bezugsberechtigten, Verbindungs- und Inhaltsdaten des Schriftwechsels

 

Kategorien von Empfängern:

  • PERSEUS-Team Incident Management
  • Auftragsverarbeiter: SEC Consult Deutschland Unternehmens-beratung GmbH und TeamViewer Germany GmbH

 

Drittstaaten-Datentransfer:

  • nein

 

Speicherdauer bzw. deren Kriterien:

  • sofern die Kunden und Bezugsberechigten Nachweise für die Cybersecurity- und Datenschutz-Compliance führen müssen, die Nachweise personenbezogene Daten enthalten und die Aufbewahrung in den PERSEUS-Systemen stattfindet, gelten zur Dauer der Aufbewahrung die Vorgaben von Kunden und Bezugsberechtigten
  • bei Auftragsverarbeitungen gelten zur Aufbewahrung immer die Vorgaben von Kunden und Bezugsberechtigten
  • darüber hinaus werden die Daten bis zum Zweckfortfall und insbesondere, sofern PERSEUS eigene gesetzliche Aufbewahrungspflichten zu erfüllen hat, bis zum Ablauf deren Fristen, aufbewahrt und danach gelöscht

 

Rechtsgrundlagen:

  • Erfüllung rechtlicher Verpflichtung gem. Art. 6 Abs. 1 c) DSGVO
  • Berechtigte Interessen der Verantwortlichen gem. Art. 6 Abs. 1 f) DSGVO (Zur Vertragserfüllung gegenüber den Kunden und für die Leistungserbringung gegenüber Kunden und Bezugsberechtigten hat PERSEUS das berechtigte Interesse, die personenbezogenen Daten zu verarbeiten.)

 

Datensicherheit

PERSEUS ergreift angemessene technische und organisatorische Maßnahmen, um einen angemessenen Schutz der verarbeiteten personenbezogenen Daten hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität zu erreichen.

 

Rechte betroffener Personen

Nach Maßgabe von Art. 15 DSGVO haben betroffene Personen das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten einschließlich eventueller Empfänger und der geplanten Speicherdauer zu erhalten. Sollten unrichtige personenbezogene Daten verarbeitet werden, steht den betroffenen Personen gemäß Art. 16 DSGVO ein Recht auf Berichtigung zu. Liegen die gesetzlichen Voraussetzungen vor, so können Betroffene die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO). 
Jede betroffene Person hat darüber hinaus das Recht, sich bei der Datenschutz-Aufsicht zu beschweren.