Verantwortliche Stelle:

Trebbau direct media GmbH

Schönhauser Str. 21

50968 Köln

 

– nachfolgend Trebbau genannt –

Geschäftsführer: Simone Heger, Jörg Hennig, Gerd Kölzer – Beirat: Karl-Peter Trebbau

Unseren Datenschutzbeauftragen erreichen Sie unter:

Helsper & Helsper – Rechtsanwälte
Herrn Rudolf Helsper
Am Kielshof 18
51105 Köln

Tel: +49 221 9834240 – E-Mail: helsper@helsper-koeln.de 

Präambel

Trebbau ist regelmäßig im Rahmen der Auftragsverarbeitung sowohl als Lettershop wie auch als datenverarbeitendes Unternehmen tätig. Aufgrund dieser Tätigkeitsfelder unterliegt Trebbau der EUVerordnung 2016/79 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (DS-GVO). Des Weiteren hat Trebbau sich verpflichtet, die speziellen Anforderungen der Qualitäts- und Leistungsstandards (QuLS) des Deutschen Dialogmarketing Verband e.V. (DDV) einzuhalten und damit diesen, über die Gesetze hinausgehenden Verpflichtungen unterworfen, um für seine Kunden, Geschäftspartner und Lieferanten, aber auch für Mitarbeiter ein besonders hohes Maß an Datenschutz zu gewährleisten. Im Rahmen der Verarbeitung personenbezogener Daten steht dabei auch das Verhältnis zwischen den Adressen-Eigentümern, Listeignern, Listbrokern, Werbungtreibenden und anderen Auftragsverarbeitern besonders im Focus.

 

Darüber hinaus fühlt sich Trebbau aber auch den Empfängern von Werbung gegenüber verpflichtet und berät seine Kunden umfassend bei der Erfüllung ihrer datenschutzrechtlichen Verpflichtungen. 

  1. Technisch-organisatorische Maßnahmen (TOMs)

VERTRAULICHKEIT

Zutrittskontrolle

Organisatorisch ist geregelt, dass Fremde sich im Gebäude niemals allein aufhalten oder frei bewegen dürfen. Mitarbeiter werden regelmäßig entsprechend geschult.

Die Zugänge zum Gebäude sind stets geschlossen und können von außen nur mit Sicher-heitsschlüsseln oder zu den üblichen Geschäftszeiten durch an die Mitarbeiter ausgehändig-ten Zeiterfassungskarten geöffnet werden. Betriebsfremde melden sich am zentralen Emp-fang oder im Falle von Anlieferungen bei der Warenannahme. Besucher werden von einer Mitarbeiterin oder einem Mitarbeiter persönlich am Empfang abgeholt, in einem Besucher-buch erfasst und erhalten einen Besucherausweis. Der Aufenthalt von Besuchern in sensiblen Bereichen ist nur in Begleitung von Mitarbeitern, die eine Verpflichtungserklärung auf Wah-rung der Vertraulichkeit abgeben haben, gestattet. Außerhalb der Arbeitszeiten erfolgt die Überwachung der Räumlichkeiten durch eine Alarmanlage gemäß VDE-Norm. Meldungen der Anlage werden durch einen Sicherheitsdienst überwacht und nach einem dokumentierten Interventionsplan verfolgt. Fenster im Erdgeschoß sind teilweise vergittert oder mit Metallrollos geschützt.

Zugangskontrolle

Unbefugten wird der Zugang zu Datenverarbeitungssystemen nicht gewährt. Der Zugang über Außenschnittstellen zu unseren EDV-Systemen ist durch eine Firewall geschützt. Öffent-lich erreichbare Systeme, wie Bastion Hosts mit E-Mail oder Internetzugang werden über ent-sprechende Trennungen vom internen Netz gesichert (DMZ). Sämtliche PC-Systeme sind passwortgeschützt. Passwörter müssen hohen Ansprüchen genügen und werden regelmäßig zwangsweise erneuert. Alte Passwörter können nicht wiederverwendet werden. Nach zehn fehlerhaften Anmeldeversuchen wird der entsprechende Benutzerzugang automatisch ge-sperrt. Externe Zugriffsmöglichkeiten, beispielsweise für Mitarbeiter im Homeoffice, erfolgen ausschließlich über VPN-Tunnel auf unsere Systeme und über eine Zwei-Faktor-Authentifizierung.

Zugriffskontrolle

Der Zugriff auf Netzwerkverzeichnisse, in denen personenbezogene Daten gespeichert wer-den, ist auf die jeweiligen Personen beschränkt, die mit den Aufträgen beschäftigt sind, für die solche Daten verwendet werden sollen. Diese Personen müssen sich gegenüber dem Sys-tem identifizieren. Insbesondere Produktionssysteme haben ausschließlich zu einem einzigen, für sie eingerichteten Netzwerkverzeichnis Zugang. Auf diesen Verzeichnissen werden Daten nur so lange gespeichert, wie sie für den unmittelbaren Produktionsprozess benötigt werden. Die Programmnutzung wird ebenso protokolliert, wie das Abrufen von Daten aus Beständen über Selektionen. Das Booten des Servers ist nur über eine Passworteingabe möglich. Daten-träger werden verschlossen gelagert.

Trennungsgebot

Durch die Trennung der Aufträge voneinander, die sowohl in getrennten Auftragsmappen als auch in voneinander getrennten Netzwerkverzeichnissen erfolgt, ist gewährleistet, dass zu un-terschiedlichen Zwecken erhobene Adressdaten getrennt verarbeitet werden.

Pseudonymisierung und Verschlüsselung

Als Dienstleister für Direktwerbung sind die meisten unserer Datenverarbeitungsvorgänge pseudonymisiert nicht möglich. Dort wo es möglich, sinnvoll und verhältnismäßig ist, werden Daten aber verschlüsselt vorgehalten.

 

INTEGRITÄT

Weitergabekontrolle

Sofern die Übermittlung von personenbezogenen Daten notwendig sein sollte, erfolgt der Da-tenaustausch über unseren Datenaustausch-Server (DataStore). Zur Nutzung des DataStore ist eine vorherige Registrierung erforderlich. Für den einzelnen Abruf wird zusätzlich ein ein-deutiges Passwort benötigt, das lediglich dem autorisierten Nutzer, mittels eines anderen Me-diums, bekannt gegeben wird. Der Versand personenbezogener Daten erfolgt ausschließlich im gesetzlich vorgesehenen Rahmen. Der Datenaustausch erfolgt verschlüsselt. Die Übertra-gungswege sind passwortgeschützt.

Dokumente mit Personenbezug werden in verschlossenen Containern eines spezialisierten und zertifizierten Unternehmens für Daten- und Aktenvernichtung gesammelt und von diesem anschließend datenschutzgerecht vernichtet. Die Vernichtung wird protokolliert. Das gilt auch für Makulatur im Lettershop (personalisierte Werbebriefe und Kataloge). Neben der Doku-mente-Entsorgung übernimmt der beauftragte Dienstleister auch die Vernichtung von Daten-bändern. CDs und DVDs werden geschreddert.

Eingabekontrolle

Das verwendete EDV-System verfügt über eine automatische Protokollierung der User-Aktivitäten. Darüber hinaus wird bei den Aufträgen in schriftlicher Form dokumentiert, dass und von wem Adressdaten auf unseren Servern wohin gespeichert wurden. Veränderungen an Adressdaten (Dubletten entfernen, Adressen qualifizieren) werden durch das Abspeichern unterschiedlicher Fertigungsstufen dokumentiert.

VERFÜGBAR- UND BELASTBARKEIT

Verfügbarkeitskontrolle / Wiederherstellbarkeit

Unsere EDV-Systeme sind durch RAID-Systeme vor Datenverlust geschützt. USV-Systeme, Virenschutz und Firewall sowie tägliche Datensicherungen garantieren, dass bei Verlust der Funktionsfähigkeit von EDV-Systemen keine Daten verloren gehen. Für den Fall von Feuer oder anderen EDV-System schädigenden Ereignissen ist die Datensicherung auch außerhalb des Serverraumes brandsicher gelagert. Um das Ausmaß möglicher Brandschäden zu mini-mieren, ist unser Unternehmen mit einer Brandmeldeanlage ausgestattet. Meldungen der An-lage werden durch einen Sicherheitsdienst überwacht und nach einem dokumentierten Inter-ventionsplan verfolgt.

VERFAHREN ZUR REGELMÄSSIGEN ÜBERPRÜFUNG

Auftragskontrolle

Weisungen des Auftraggebers werden schriftlich dokumentiert. Aufträge werden über eine ei-gene Software verwaltet und dokumentiert. Organisatorisch ist geregelt, dass Aufträge nach dem 4-Augen-Prinzip kontrolliert werden. Es finden Nachkontrollen statt.

Trebbau hat gegenüber Adresseignern die Verpflichtungserklärung des Deutschen Dialog-marketing Verbandes e.V. (DDV) unterschrieben und sie zur Veröffentlichung dem Verband überlassen.

Sofern sonstige Dienstleister bzw. Unterauftragsnehmer von Trebbau beauftragt werden und die Beauftragung den Umgang mit personenbezogenen Daten erforderlich macht, legt das beauftragte Unternehmen eine unterzeichnete Datenschutzverpflichtungserklärung nach DDV-Standard vor. Sofern die Erteilung solcher Auftragsverhältnisse die Zustimmung eines Dritten erfordert, wird Trebbau diese Zustimmung über den Auftraggeber einholen.

Schulungen

Sämtliche Mitarbeiterinnen und Mitarbeiter sind mit dem Arbeitsvertrag zur Vertraulichkeit und zur Meldung von Verletzungen des Schutzes personenbezogener Daten verpflichtet. Sie wer-den in jährlichen Schulungen auf ihre Verpflichtungen zur Wahrung des Datengeheimnisses hingewiesen und bezeugen dies durch ihre Unterschrift. Ihnen wird das Merkblatt „Daten-schutz“ ausgehändigt. Die Unterweisung erfolgt zu den Grundsätzen des Datenschutzes (ins-besondere die Voraussetzungen der Auftragsverarbeitung), dem Einsatz der Robinsonliste, der Pflicht zur Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse, dem sorgfältigen Umgang mit Datenträgern und Dateien, dem Fernmeldegeheimnis und den Qualitäts- und Leistungsstandards des DDV (QuLS + SVE).

Richtlinien zur Umsetzung des Datenschutzes sind zentral erfasst, von der Geschäftsführung verabschiedet und den Mitarbeitern zugänglich im Trebbau Datenschutz-Handbuch.

Datenschutzbeauftragter

Ein externer Datenschutzbeauftragter ist vom Unternehmen bestellt worden.

Kontrolle der getroffenen Maßnahmen zum Datenschutz
Halbjährlich finden Meetings des Trebbau-Datenschutz-Teams statt. Dabei werden die lau-fenden Verarbeitungen und die zum Schutz der Daten getroffenen Maßnahmen kontrolliert und auf Verbesserungspotenzial überprüft.

Siegel Qualitäts- und Leistungsstandards (QuLS) des Deutschen Dialogmarketing Verbandes (DDV) / Lettershop, Datenverarbeitung und Listbroking

Trebbau gibt gegenüber dem DDV jährlich eine Selbstverpflichtungserklärung (SVE) ab. In mehr als 70 Punkten und Unterpunkten werden dort die Maßnahmen, die das Unternehmen getroffen hat, um den Bestimmungen der Gesetze zu entsprechen, überprüft. In der SVE er-klärt Trebbau darüber hinaus die getroffenen Maßnahmen, um die über die Gesetze hinaus gehenden Verpflichtungen des DDV-Qualitäts- und Leistungssiegels darzulegen.
Die Einhaltung der in der SVE abgegebenen Verpflichtung wird von unabhängigen Gutach-tern überwacht. Als Zeichen der besonderen Güte der von Trebbau erbrachten Leistungen verlieh uns der DDV das DDV-Qualitäts- und Leistungssiegel (QuLS) 2020/2021.

  1. Verhalten gegenüber Adresseignern

Trebbau hat die Verpflichtungserklärung des DDV unterschrieben und sie zur Veröffentlichung dem Verband überlassen.

  1. Unterbeauftragung

Sofern sonstige Dienstleister bzw. Unterauftragsnehmer von Trebbau beauftragt werden und die Beauftragung den Umgang mit personenbezogenen Daten erforderlich macht, ist es unerlässlich, dass seitens des beauftragten Unternehmens eine unterzeichnete Datenschutzverpflichtungserklärung nach DDV-Standard vorliegt. Sofern die Erteilung solcher Auftragsverhältnisse die Zustimmung eines Dritten erfordert, wird Trebbau diese Zustimmung über den Auftraggeber einholen.

Stand: Mai 2021