Verantwortliche Stelle:

Trebbau direct media GmbH

Schönhauser Str. 21

50968 Köln

 

– nachfolgend Trebbau genannt –

Geschäftsführer: Simone Heger, Jörg Hennig, Gerd Kölzer – Beirat: Karl-Peter Trebbau

Unseren Datenschutzbeauftragen erreichen Sie unter:

Helsper & Helsper – Rechtsanwälte
Herrn Rudolf Helsper
Am Kielshof 18
51105 Köln

Tel: +49 221 9834240 – E-Mail: helsper@helsper-koeln.de 

Präambel

Trebbau ist regelmäßig im Rahmen der Auftragsverarbeitung sowohl als Lettershop wie auch als datenverarbeitendes Unternehmen tätig. Aufgrund dieser Tätigkeitsfelder unterliegt Trebbau der EUVerordnung 2016/79 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (DS-GVO). Des Weiteren hat Trebbau sich verpflichtet, die speziellen Anforderungen der Qualitäts- und Leistungsstandards (QuLS) des Deutschen Dialogmarketing Verband e.V. (DDV) einzuhalten und damit diesen, über die Gesetze hinausgehenden Verpflichtungen unterworfen, um für seine Kunden, Geschäftspartner und Lieferanten, aber auch für Mitarbeiter ein besonders hohes Maß an Datenschutz zu gewährleisten. Im Rahmen der Verarbeitung personenbezogener Daten steht dabei auch das Verhältnis zwischen den Adressen-Eigentümern, Listeignern, Listbrokern, Werbungtreibenden und anderen Auftragsverarbeitern besonders im Focus.

 

Darüber hinaus fühlt sich Trebbau aber auch den Empfängern von Werbung gegenüber verpflichtet und berät seine Kunden umfassend bei der Erfüllung ihrer datenschutzrechtlichen Verpflichtungen. 

  1. Technisch-organisatorische Maßnahmen (TOMs)

VERTRAULICHKEIT

Zutrittskontrolle

Organisatorisch ist geregelt, dass Fremde sich im Gebäude niemals allein aufhalten oder frei bewegen dürfen. Mitarbeiter werden regelmäßig entsprechend geschult.

Die Zugänge zum Gebäude sind stets geschlossen und können von außen nur mit Sicherheitsschlüsseln oder zu den üblichen Geschäftszeiten durch an die Mitarbeiter ausgehändigte Zeiterfassungskarten geöffnetwerden. Betriebsfremde melden sich am zentralen Empfang oder im Falle von Anlieferungen beider Warenannahme. Besucher werden von einem Mitarbeiter persönlich am Empfang abgeholt, in einem Besucherbuch erfasst und erhalten einen Besucherausweis. Der Aufenthalt von Besuchern in sensiblenBereichen ist nur in Begleitung von Mitarbeitern, die eine Verpflichtungserklärung auf die Wahrung der Vertraulichkeit abgeben haben, gestattet. Außerhalb der Arbeitszeiten erfolgt die Überwachung der Räumlichkeiten durch eine Alarmanlage gemäß VDE-Norm. Meldungen der Anlage werden durch einen Sicherheitsdienst überwacht und nach einem dokumentierten Interventionsplan verfolgt. Fenster im Erdgeschoß sind teilweise vergittert oder mit Metallrollos geschützt. Seite 2 zum Datenschutz- und Datensicherheitskonzept der Trebbau direct media GmbH

Zugangskontrolle

Unbefugten wird der Zugang zu Datenverarbeitungssystemen nicht gewährt. Der Zugang über Außenschnittstellen zu unseren EDV-Systemen ist durch eine Firewall geschützt. Öffentlich erreichbare Systeme, wie Bastion Hosts mit E-Mail oder Internetzugang werden über entsprechende Trennungen vom internen Netz gesichert (DMZ). Sämtliche PC-Systeme sind passwortgeschützt. Passwörter müssen hohen Ansprüchen genügen und werden regelmäßig zwangsweise erneuert. Alte Passwörter können nicht wiederverwendet werden. Nach zehn fehlerhaften Anmeldeversuchen wird der entsprechende Benutzerzugang automatisch gesperrt. Ein auf wenige Mitarbeiter begrenzter Kreis verfügt über externe Zugriffsmöglichkeiten über VPN-Tunnel auf unsere Systeme, die ausschließlich über eine Zwei-Faktor-Authentifizierung erreichbar sind.

Zugriffskontrolle

Der Zugriff auf Netzwerkverzeichnisse, in denen personenbezogene Daten gespeichert werden, ist auf die jeweiligen Personen beschränkt, die mit den Aufträgen beschäftigt sind, für die solche Daten verwendet werden sollen. Diese Personen müssen sich gegenüber dem System identifizieren. Insbesondere Produktionssysteme haben ausschließlich zu einem einzigen, für sie eingerichteten Netzwerkverzeichnis Zugang. Auf diesen Verzeichnissen werden Daten nur so lange gespeichert, wie sie für den unmittelbaren Produktionsprozess benötigt werden. Die Programmnutzung wird ebenso protokolliert, wie das Abrufen von Daten aus Beständen über Selektionen. Das Booten des Servers ist nur über eine Passworteingabe möglich. Datenträger werden verschlossen gelagert.

Trennungsgebot

Durch die Trennung der Aufträge voneinander, die sowohl in getrennten Auftragsmappen als auch in voneinander getrennten Netzwerkverzeichnissen erfolgt, ist gewährleistet, dass zu unterschiedlichen Zwecken erhobene Adressdaten getrennt verarbeitet werden.

 

INTEGRITÄT

Weitergabekontrolle

Sofern die Übermittlung von personenbezogenen Daten notwendig sein sollte, erfolgt der Datenaustausch über unseren Datenaustausch-Server (DataStore). Zur Nutzung des DataStore ist eine vorherige Registrierung erforderlich. Für den einzelnen Abruf wird zusätzlich ein eindeutiges Passwort benötigt, das lediglich dem autorisierten Nutzer, mittels eines anderen Mediums, bekannt gegeben wird. Der Versand personenbezogener Daten erfolgt ausschließlich im gesetzlich vorgesehenen Rahmen. Der Datenaustausch erfolgt verschlüsselt. Die Übertragungswege sind passwortgeschützt.

Dokumente mit Personenbezug werden in verschlossenen Containern eines spezialisierten und zertifizierten Unternehmens für Daten- und Aktenvernichtung gesammelt und von diesem anschließend datenschutzgerecht vernichtet. Die Vernichtung wird protokolliert. Das gilt auch für Makulatur im Lettershop (personalisierte Werbebriefe und Kataloge). Neben der Dokumente-Entsorgung übernimmt der beauftragte Dienstleister auch die Vernichtung von Datenbändern. CDs und DVDs werden geschreddert.

Eingabekontrolle

Das verwendete EDV-System verfügt über eine automatische Protokollierung der User-Aktivitäten. Darüber hinaus wird bei den Aufträgen in schriftlicher Form dokumentiert, dass und von wem Adressdaten auf unseren Servern wohin gespeichert wurden. Veränderungen an Adressdaten (Dubletten entfernen, Adressen qualifizieren) werden durch das Abspeichern unterschiedlicher Fertigungsstufen dokumentiert.

VERFÜGBAR- UND BELASTBARKEIT

Verfügbarkeitskontrolle / Wiederherstellbarkeit

Unsere EDV-Systeme sind durch RAID-Systeme vor Datenverlust geschützt. USV-Systeme, Virenschutz und Firewall sowie tägliche Datensicherungen garantieren, dass bei Verlust der Funktionsfähigkeit von EDV-Systemen keine Daten verloren gehen. Für den Fall von Feuer oder anderen EDV-System schädigenden Ereignissen ist die Datensicherung auch außerhalb des Serverraumes brandsicher gelagert. Um das Ausmaß möglicher Brandschäden zu minimieren, ist unser Unternehmen mit einer Brandmeldeanlage ausgestattet. Meldungen der Anlage werden durch einen Sicherheitsdienst überwacht und nach einem dokumentierten Interventionsplan verfolgt.

VERFAHREN ZUR REGELMÄSSIGEN ÜBERPRÜFUNG

Auftragskontrolle

Weisungen des Auftraggebers werden schriftlich dokumentiert. Aufträge werden über eine eigene Software verwaltet und dokumentiert. Organisatorisch ist geregelt, dass Aufträge nach dem 4-Augen-Prinzip kontrolliert werden. Es finden Nachkontrollen statt.

Schulungen

Sämtliche Mitarbeiter werden in jährlichen Schulungen auf ihre Verpflichtungen auf die Wahrung der Vertraulichkeit hingewiesen und bezeugen dies durch ihre Unterschrift. Die Unterweisung erfolgt insbesondere zu den Grundsätzen des Datenschutzes (insbesondere die Voraussetzungen der Auftragsverarbeitung), dem Einsatz der Robinsonliste, der Pflicht zur Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse, dem sorgfältigen Umgang mit Datenträgern und Dateien, dem Fernmeldegeheimnis und den Qualitäts- und Leistungsstandards des DDV (QuLS + SVE).

Kontrolle der getroffenen Maßnahmen zum Datenschutz
Halbjährlich finden Meetings des Trebbau-Datenschutz-Teams statt. Dabei werden die laufenden Verar-beitungen und die zum Schutz der Daten getroffenen Maßnahmen kontrolliert und auf Verbesserungspo-tenzial überprüft.

Siegel Qualitäts- und Leistungsstandards (QuLS) des Deutschen Dialogmarketing Verbandes (DDV) / Lettershop, Datenverarbeitung und Listbroking

Trebbau gibt gegenüber dem DDV jährlich eine Selbstverpflichtungserklärung (SVE) ab. In mehr als 70 Punkten und Unterpunkten werden dort die Maßnahmen, die das Unternehmen getroffen hat, um den Bestimmungen der Gesetze zu entsprechen, überprüft. In der SVE erklärt Trebbau darüber hinaus die getroffenen Maßnahmen, um die über die Gesetze hinaus gehenden Verpflichtungen des DDV-Qualitäts- und Leistungssiegels darzulegen.

Die Einhaltung der in der SVE abgegebenen Verpflichtung wird von unabhängigen Gutachtern überwacht. Als Zeichen der besonderen Güte der von Trebbau erbrachten Leistungen verlieh uns der DDV das DDV-Qualitäts- und Leistungssiegel (QuLS) 2018/2019.

  1. Verhalten gegenüber Adresseignern

Trebbau hat die Verpflichtungserklärung des DDV unterschrieben und sie zur Veröffentlichung dem Verband überlassen.

  1. Unterbeauftragung

Sofern sonstige Dienstleister bzw. Unterauftragsnehmer von Trebbau beauftragt werden und die Beauftragung den Umgang mit personenbezogenen Daten erforderlich macht, ist es unerlässlich, dass seitens des beauftragten Unternehmens eine unterzeichnete Datenschutzverpflichtungserklärung nach DDV-Standard vorliegt. Sofern die Erteilung solcher Auftragsverhältnisse die Zustimmung eines Dritten erfordert, wird Trebbau diese Zustimmung über den Auftraggeber einholen.

Stand: Januar 2019