Datenverarbeitung durch Eventmaker

Verarbeitung personenbezogener Daten
Dieser Text wurde maschinell übersetzt. Rechtlich verbindlich ist der Originaltext in Französisch und Englisch: https://www.eventmaker.com/donnees-personnelles

Begriffsbestimmungen


"Veranstaltungen" bezeichnet jede Veranstaltung mit professionellem Charakter (Konferenzen, Abende, Foren, Symposien, Kongresse, Messen, etc...), die vom Veranstalter organisiert wird und an der Gäste teilnehmen;

"Gast" bezieht sich auf jede Person, die vom Veranstalter eingeladen wird, sich anzumelden und über den Service an der Veranstaltung teilzunehmen;
"Veranstalter": bezieht sich auf die juristische Person, die die Veranstaltung organisiert und die Gäste über den Service einlädt;

"Dienst" bezieht sich auf die Online-Software von EVENTMAKER SAS und die damit verbundenen Apps;

"Daten" bezieht sich auf die personenbezogenen Daten der Gäste, die online erfasst und vom Kunden an die Software von EVENTMAKER SAS dank automatisierter Importmittel oder unter Verwendung der API übertragen werden;

"API" bezieht sich auf die Maschine-zu-Maschine-Programmierschnittstelle, die von EVENTMAKER für die Nutzung seiner Software vorgeschlagen und auf http://developers.eventmaker.io/ dokumentiert wird;

"Präsentation" bezieht sich auf die gesamte Dienstleistung, die der Veranstalter bei EVENTMAKER bestellt und die von der TCU abgedeckt wird;

"Verarbeitung" der gesamte Erhebungs- und Nutzungsprozess der personenbezogenen Daten der Gäste auf der EVENTMAKER-Plattform für die Organisation der Veranstaltung durch den Veranstalter.

Zu Informationszwecken ist hier die Liste:
  • Einladen von "Gästen"
  • Importieren von Einladungslisten
  • Versenden von Einladungs-E-Mails
  • Registrierung von "Gästen"
  • Formulare für die Registrierung
  • Importieren der Anwesenheitsliste
  • Registrierung über API
  • Sammeln von Online-Zahlungen
  • Bestätigen von "Gästen"
  • Versenden von Anmeldebestätigungs-E-Mails
  • Veröffentlichung von Anmeldebestätigungen
  • Veröffentlichung von Akkreditierungsunterlagen (Badges) mit Identifikationscodes
  • Kontrolle der "Gäste"
  • Scannen der Identifikationscodes der Gäste zu Identifikationszwecken
  • Überprüfung der Zugangsberechtigung
  • Benachrichtigung des Veranstalters
  • Für jede Gästeregistrierung
  • Für jeden Gastdurchgang
  • Zur Veröffentlichung der persönlichen Daten der Gäste
  • Zur Veröffentlichung der Daten der Gäste auf der Veranstaltungswebsite
  • Um Benutzerbereiche für Gäste zu öffnen
  • Um die veröffentlichten Daten zu ändern
  • Gäste zur Teilnahme zu bewegen
  • Die Kommentare der Gäste zu speichern und zu veröffentlichen
  • Um die Stimmen der Gäste zu speichern und zu veröffentlichen
  • Um die Bilder der Gäste zu speichern und online zu veröffentlichen
  • Um mit Gästen zu diskutieren
  • Die Nachrichten des DoYouBot Chatbots zu sammeln
  • Auf Nachrichten zu antworten
  • Nachrichten zu speichern


Informationen über die Datenverarbeitung


a) Einhaltung der französischen und europäischen Grundsätze zum Schutz personenbezogener Daten
Die Vertragsparteien verpflichten sich, personenbezogene Daten unter Einhaltung der geltenden Vorschriften für die Datenverarbeitung zu erfassen und zu verarbeiten, insbesondere der geänderten Fassung des Gesetzes Nr. 78-17 vom 6. Januar 1978. (GDPR)
In Übereinstimmung mit diesem Gesetz ist der Veranstalter für die im Rahmen des Vertrags vorgenommene Datenverarbeitung verantwortlich.

b) Vorhandensein eines Systems zur Meldung von Sicherheitsverstößen und Beschwerden
Der Anbieter muss den Kunden im Falle von Sicherheitsverletzungen, die direkte oder indirekte Auswirkungen auf die Datenverarbeitung haben, informieren. Darüber hinaus sollte der Provider dem Kunden jede Beschwerde melden, die von einer betroffenen Person über die im Rahmen des Vertrags durchgeführte Datenverarbeitung eingereicht wird. Falls eine Sicherheitsverletzung entdeckt oder eine Beschwerde eingereicht wird, muss der Provider den Kunden so schnell wie möglich und innerhalb von maximal 48 Stunden informieren.

c) Mittel der Datenverarbeitung
Zur Erfüllung des Vertrages verarbeitet der Anbieter die Daten mit den folgenden Verarbeitungsmitteln:
  • Die Online-Software Eventmaker.io (Einladung, Registrierung, Badges, Zugangskontrolle)
  • Die Online-Software Voxevent (Veröffentlichung, persönliche Bereiche, Teilnahme von Gästen)
  • Die Online-Software invitations (Partnerschaftseinladungen)
  • Die Online-Software doyoubot

Die verschiedenen Software sind Web Apps, die in Ruby on Rails mit MongoDB Datenbanken entwickelt wurden:
  • Eventmaker Checkin IOS App (Anwesenheitsliste und Zugangskontrolle)
  • MobilNetwork IOS und Android App (Kontaktverwaltung für Partner)

d) Auslagerung
Vorbehaltlich der Zustimmung des Kunden informiert der Anbieter den Kunden über das Outsourcing der Vertragsdurchführung durch folgende Subunternehmer:
  • Amazon Web Service (Infrastruktur as a Service, Cloud)
  • Mailjet (E-Mail-Versand)
  • Zoho (Rechnungsstellung, CRM)
  • Ingenico (Zahlung)
  • Stripe (Zahlung)
  • Twilio (SMS)
  • Intercom (Live-Chat)
  • Essendex (SMS)
Der Provider bleibt gegenüber dem Kunden allein verantwortlich für die Erfüllung der vertraglichen Verpflichtungen, die sich aus diesem Dokument ergeben.

e) Vorhandensein einfacher Verfahren zur Wahrung der Rechte auf den Schutz personenbezogener Daten
Der Provider muss mit dem Kunden zusammenarbeiten, um ihn bei der Erfüllung seiner gesetzlichen Verpflichtungen zum Schutz personenbezogener Daten zu unterstützen, damit die Rechte der Personen gemäß den Artikeln 38 bis 43 des geänderten Gesetzes Nr. 78-17 vom 6. Januar 1978 respektiert werden.

f) Dauer und Ende der Verarbeitung personenbezogener Daten
Die Dauer der Datenspeicherung ist begrenzt und angemessen im Hinblick auf den Zweck, für den die Daten erhoben wurden.
Der Provider gibt dem Kunden die Möglichkeit, die auf seiner Schnittstelle gespeicherten Daten jederzeit zu löschen.

Der Anbieter darf die Daten nicht länger als 30 Monate nach dem Ende der Veranstaltung aufbewahren, oder früher, wenn der Veranstalter dies verlangt.

g) Datenvernichtung und Datenwiederherstellung
Der Anbieter gibt dem Veranstalter zu jeder Zeit während der Vertragslaufzeit und für die Dauer von 3 Monaten nach Beendigung des Vertrages die Möglichkeit, seine Daten gemäß den in der EVENTMAKER-Software verfügbaren API- und Exportformaten zu sammeln.

h) Pflicht zur Zusammenarbeit mit den zuständigen Datenschutzbehörden
Die Parteien arbeiten mit den für den Datenschutz zuständigen Stellen zusammen, insbesondere im Falle von Kontrollen, bei denen Auskunftsersuchen an sie gerichtet werden können.

i) Audits
Der Kunde ist berechtigt, jede Überprüfung vorzunehmen, die er für sinnvoll hält, um die Einhaltung der vertraglichen Verpflichtungen des Anbieters zu beurteilen, einschließlich der Durchführung eines Audits. Der Dienstleister muss auf die vom Kunden gestellten Audit-Fragen antworten, entweder durch den Kunden selbst oder durch eine dritte Person, die ihn unterstützt. Die dritte Person wird vom Kunden selbst ausgewählt, der ihre Unabhängigkeit vom Dienstleister und ihre ausreichende Qualifikation bestätigt. Es steht der dritten Person somit frei, dem Kunden die Einzelheiten ihrer Bemerkungen und die Schlussfolgerung ihres Audits mitzuteilen. Das Audit soll eine Analyse des besagten Vertrages und der Einhaltung des Gesetzes über Informatik und Freiheiten ermöglichen, insbesondere durch die Überprüfung der vom Provider implementierten allgemeinen Sicherheitsmaßnahmen; durch die Überprüfung der Protokolle für die Datenlokalisierung, -kopie und -löschung; durch die Überprüfung der Maßnahmen, die zur Datenlöschung implementiert wurden, um eine illegale Datenübermittlung an nicht autorisierte Gerichtsbarkeiten oder eine Datenübermittlung in ein Land, das vom Kunden nicht genehmigt wurde, zu verhindern. Im Rahmen des Audits wird überprüft, ob die implementierten Vertraulichkeits- und Sicherheitsmaßnahmen nicht umgangen werden können, ohne dass dies entdeckt und gemeldet wird.

Der Zeitaufwand des Dienstleisters für die Überwachung des Audits wird von Eventmaker berechnet und dem Veranstalter mit 800€ pro Tag exkl. Steuern in Rechnung gestellt.


Standort und Transfers


a) Empfänger
Der Dienstleister muss dem Kunden alle nützlichen Informationen über die Datenempfänger geben, damit er die von der Datenverarbeitung Betroffenen informieren und ihre Anfragen nach Zugang zu den Daten gemäß Artikel 32 und 39 der geänderten Fassung des Gesetzes Nr. 78-17 vom 6. Januar 1978 beantworten kann.

b) Klare und umfassende Angaben zu den Ländern, in denen sich die Server des Providers befinden
Der Provider informiert den Kunden, dass seine Daten auf Servern in den folgenden Ländern gehostet werden: Irland.


Formalitäten mit der CNIL


Der Kunde muss die Formalitäten für die Datenverarbeitung bei den zuständigen Datenschutzbehörden erfüllen. Der Provider wird ihm alle nützlichen Informationen zur Erledigung dieser Formalitäten geben.

Sicherheit und Vertraulichkeit
a) Hinweise auf die Verpflichtungen des Anbieters in Bezug auf die Datensicherheit und Hinweis darauf, dass er nur auf Ersuchen des Kunden tätig werden kann

Im Rahmen des Vertrages wird der Provider ausschließlich auf Anfrage des Kunden tätig. Der Dienstleister darf daher die Daten nicht zu seinem persönlichen Vorteil oder zum Vorteil Dritter verwenden. In Übereinstimmung mit Artikel 34 der geänderten Fassung des Gesetzes über Informatik und Freiheiten trifft der Dienstleister alle notwendigen Vorkehrungen, um die Sicherheit der Daten zu gewährleisten, insbesondere zum Schutz vor unrechtmäßiger oder zufälliger Zerstörung, vor zufälligem Verlust, Veränderung, Verbreitung oder unberechtigtem Zugriff, insbesondere wenn die Verarbeitung die Übertragung der Daten in einem Netzwerk beinhaltet, sowie vor jeder anderen Form der unrechtmäßigen Verarbeitung oder Weitergabe an Unbefugte.

b) Sicherheitspolitik und -maßnahmen
Der Provider stellt dem Kunden die Sicherheitspolitik für die von ihm implementierten Informationssysteme zur Verfügung. Der Provider informiert den Kunden auch über die Entwicklung seiner Sicherheitspolitik. Der Provider stellt dem Kunden alle datenschutzrelevanten Dokumente zur Verfügung, insbesondere die technische Dokumentation und die detaillierte Liste der implementierten Sicherheitsmaßnahmen. Die vom Provider an den Kunden gelieferten Datenträger und sonstigen Unterlagen bleiben Eigentum des Kunden. Die auf diesen Datenträgern und in diesen Unterlagen enthaltenen Daten unterliegen dem Berufsgeheimnis (Artikel 226-13 Strafgesetzbuch), ebenso wie alle Daten, von denen der Dienstleister aufgrund der Ausführung des Vertrages Kenntnis erhält. 

Der Dienstleister und sein Personal sind verpflichtet, die folgenden Verpflichtungen einzuhalten:
  • Keine Kopien von Dokumenten oder Informationsträgern in seinem Besitz anzufertigen, außer denjenigen, die für die Ausführung der vertraglichen Dienstleistung erforderlich sind, vorbehaltlich der vorherigen Zustimmung des Auftraggebers;
  • keine Dokumente oder Informationsträger für andere als die im Vertrag festgelegten Zwecke zu verwenden;
  • diese Unterlagen oder Informationsträger nicht an andere Personen weitergeben, unabhängig davon, ob es sich um private oder öffentliche, natürliche oder juristische Personen handelt.
  • alle erforderlichen Maßnahmen zu ergreifen, um eine missbräuchliche oder rechtswidrige Nutzung von Computerdateien während der Laufzeit des Vertrags zu verhindern