Gibt es bei melibo einen Datenschutzbeauftragten?
melibo setzt in der Beratung von Datenschutzfrage auf die NOTOS Xperts GmbH.
NOTOS Xperts GmbH
Heidelberger Straße 6
64283 Darmstadt
Bei allen Fragen rund um das Thema Datenschutz wende dich bitte an legal@melibo.de
Kann mit melibo ein Auftragsverarbeitungsvertrag(AVV) geschlossen werden?
Ja, wir bieten an, einen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Die Einzelheiten dieses Vertrags stellen wir gerne zur Verfügung, sobald Sie offiziell eine Anfrage diesbezüglich bei uns einreichen.
Wenn Sie daran interessiert sind, einen AVV mit uns abzuschließen, bitten wir Sie höflich, uns offiziell zu kontaktieren, damit wir Ihnen die relevanten Informationen und Dokumente bereitstellen können. Wir sind bestrebt, diesen Prozess so reibungslos wie möglich für Sie zu gestalten und stehen Ihnen bei etwaigen Fragen gerne zur Verfügung.
Habt ihr technische und organisatorische Maßnahmen getroffen?
Ja, das haben wir. Wir haben ein ausführliches TOMs Dokument, welche alle Maßnahmen beschreibt. Das Dokument stellen wir nach Rückfrage gerne zur Verfügung.
Wo werden die Daten in melibo gespeichert?
Beim Hosting unserer Software setzen wir bei melibo auf Microsoft Azure Open AI, Serverstandort Frankfurt.
Wurde sichergestellt, dass die Unter-Auftragsverarbeiter von melibo mit der aktuellen Rechtslage vertraut sind und sich entsprechend verhalten?
Mit allen Sub-Unternehmern wurden Auftragsverarbeitungsvereinbarungen oder sogenannte SCCs (Standard Contractual Clauses) der EU abgeschlossen. Bis zum EuGH-Urteil vom 16.07.2020 gab es auch Dienstleister in den USA, die basierend auf dem EU US Privacy Shield mit uns kooperiert haben. Diese Verträge werden nun auf SCC umgestellt.
Zusätzlich achten wir darauf, dass die TOM (technische und organisatorische Maßnahmen) unserer Sub-Unternehmen auf dem hohen, von uns geforderten, Standard liegen.
Wie geht melibo mit dem ungültigen EU-US Privacy Shield um?
Bei unserer Standard-Vertragsvariante kommen Sub-Unternehmen aus Drittländern wie bspw. den USA zum Einsatz, da wir hierdurch Ihnen, unseren Kunden, eine noch bessere und umfangreichere Beratungs- und Servicequalität bieten können.
Wie du sicherlich der medialen Berichterstattung entnommen hast, hat der EuGH in der Rechtssache C 311/18 zur Frage der Übermittlung von personenbezogenen Daten in Drittländer am 16.07.2020 eine weitreichende Entscheidung getroffen.
In dem Urteil geht es um die Rahmenbedingungen, mit denen eine Übermittlung personenbezogener Daten an ein Unternehmen mit Firmensitz in den USA zulässig ist. Häufig wurde in der Vergangenheit mit amerikanischen Unternehmen basierend auf den bis zu dem Urteil gültigen Zertifikat EU US Privacy Shield kooperiert.
Gerne wurde dieses Zertifikat von amerikanischen Unternehmen erworben, um so ein angemessenes europäisches Datenschutzniveau ausweisen zu können.
Gegenstand des EuGH-Urteils ist nun, dass die Übermittlung personenbezogener Daten auf Basis des EU US Privacy Shields gänzlich als unzulässig eingestuft wird. Die Verwendung von Standardvertragsklauseln oder Binding Corporate Rules BCR wird noch als Möglichkeit eines DSGVO-konformen Datenaustausches angesehen, allerdings muss hierfür sichergestellt sein, dass ein angemessenes europäisches Datenschutzniveau vorliegt. Im Rahmen unserer Kooperation mit Partnerunternehmen stellen wir an alle nationalen wie internationalen Partner gleich hohe Sicherheitsanforderungen, um einen einheitlichen Standard zu gewährleisten.
Als beauftragter Dienstleister können wir mit personenbezogenen Daten unserer Auftraggeber in Berührung kommen. Deshalb ist es stets unser Anliegen, größtmögliche Datensicherheit in Verbindung mit sehr guter Performance und einfacher, kundenfreundlicher und intuitiver Bedienbarkeit in Einklang zu bringen.
Wir wählen unsere Kooperationspartner mit Bedacht aus und schließen mit ihnen entsprechende datenschutzrechtliche Verträge ab, um eine sichere Verarbeitung der Daten zu gewährleisten. Eine gänzliche Vermeidung eines transatlantischen Datenverkehrs lässt sich ist nach unserer Auffassung derzeit nicht realisieren.
Ob und inwieweit US-amerikanische Unternehmen den hier abgefragten Gesetzen unterliegen und zur Datenherausgabe im Einzelfall herangezogen werden, können wir als europäisches Unternehmen mit Sitz in Bensheim nicht beurteilen. Allerdings ist nach unserer Auffassung, die Wahrscheinlichkeit eines tatsächlichen Datenzugriffs durch die US-amerikanischen Ermittlungsbehörden, auf Daten, die wir als Ihr Auftragsverarbeiter verarbeiten, als äußerst gering einzustufen. Die von uns verarbeiteten personenbezogenen Daten werden vermutlich von den US-amerikanischen Ermittlungsbehörden nicht als signifikante und somit erhebungsrelevante Daten eingestuft.
Wir bieten mit der „EU“ Variante eine Lösung an, die die Verarbeitung der personenbezogenen Daten auf Sub-Unternehmern innerhalb des EU-Raumes konzentriert.
Wir als melibo-Team machen uns stark für ein sicheres und performantes Produkt, bei dem die Datenspeicherung innerhalb der EU liegt. Wir werden weiterhin täglich hart daran arbeiten, unser Produkt noch besser zu machen und betrachten dabei die Themen Datenschutz und Datensicherheit als essenzielle Bausteine unserer Unternehmensstrategie.
Gibt es eine ISO-Zertifizierung?
Melibo ist selbst nicht ISO zertifiziert. Aber Azure als ein Sub-Unternehmer ist mehrfach zertifiziert.
Azure besitzt folgende ISO-Zertifizierungen: ISO20000-1, ISO22301, ISO27001, ISO27017, ISO27018, ISO27701, ISO9001
Um eine sichere Datenverarbeitung zu gewährleisten, führen wir regelmäßige Pentests durch und überprüfen unsere Systeme, mittels externer Untersuchungen, auf Schwachstellen.
Gibt es einen Passus, den ich für meine Website benutzen kann?
Ja, den gibt es:
Auf unserer Webseite nutzen wir den Chatbot melibo des Unternehmens ThinkingTech GmbH & Co. KG (Darmstädter Str. 5, 64625 Bensheim, Deutschland). Bei der Nutzung dieses Dienstes werden folgende personenbezogene Daten zu Ihrer Person verarbeitet:
· erforderliche Verbindungsdaten (bspw. IP-Adresse);
· der Inhalt der über den Chatbot geführten Unterhaltung; und
· Hintergrundinformationen, die der Chatbot zum Beantworten der Anfragen verarbeitet.
Der Dienst verarbeitet erst dann personenbezogene Daten zu Ihrer Person, sobald Sie das Widget über das „Akzeptieren“-Feld aktivieren. Mit dieser Aktivierung erteilen Sie Ihre ausdrückliche Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten über den Chatbot. Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie legal@melibo eine Mail schreiben. Die Verarbeitung beruht auf Ihrer Einwilligung in die Verarbeitung gem. Art. 6 Abs.1 lit. a DSGVO.
Nach Beendigung Ihrer Kommunikation mit dem Chatbot werden die Dialoge in anonymisierten Protokolldateien gespeichert und für die Verbesserung des Chatbots genutzt. Ab diesem Zeitpunkt ist eine Identifizierung ihrer Person nur noch möglich, wenn sie personenbezogene Daten in Ihrer Kommunikation mit dem Chatbot weitergegeben haben.
Die Übertragung der Fragen und Analysedaten erfolgt sicher durch eine SSL-Verschlüsselung. Der Zugriff ist weiterhin durch mehrere Firewalls geschützt, die unberechtigte Zugriffe von außen verhindern.