Wir informieren über die Beauftragung eines weiteren Subunternehmens gem. Auftragsdatenverarbeitungs-Vertrag und Art. 28 EU-DSGVO, denn wir arbeiten kontinuierlich daran, die Qualität unserer Dienstleistungen zu verbessern.

Wir arbeiten kontinuierlich daran, die Qualität unserer Dienstleistungen zu verbessern und unsere hohen Datenschutz- und Informationssicherheitsanforderungen weiter zu stärken. Hierfür müssen wir moderne und aktuelle Werkzeuge einsetzen, welche uns dabei helfen die immer komplexeren Prozesse und Betriebsabläufe der Versicherungsbranche weiter zu optimieren und unsere Leistungsfähigkeit an die stetig wachsenden Skalierungsanforderungen anzupassen.

Gemäß der zwischen unseren Häusern vereinbarten Verträge möchten wir Sie daher heute ausführlich über den Einsatz eines neuen Subunternehmens informieren. Ein Handlungsbedarf besteht für Sie nicht – das aktuelle Verzeichnis der eingesetzten Dienstleister finden Sie auch jederzeit online unter www.zeitsprung.digital/dienstleisterverzeichnis.

Was ist der Zweck der Beauftragung?

Zweck der Verarbeitung ist es, unsere internen Kommunikations- und Verwaltungssysteme für den administrativen Betrieb in unserem Unternehmen über effiziente und noch sichere Cloudsysteme zu betreiben. Dies betrifft unsere interne und externe E-Mailkommunikation, Chat, Kalender, Benutzer- und Gruppenmanagement, internes Filemanagement und die interne Anwendungssoftwareverteilung sowie unser MDM.

Die genannten Verarbeitungen wurden bisher über eigene Anwendungssysteme aus der Microsoft-Produktfamilie auf On-Prem Infrastrukturen in eigener Betreuung durch unsere IT-Systemadministratoren und IT-Servicepersonal durchgeführt.

Mit der Beauftragung von Microsoft als Subunternehmen im Bereich des cloudbasierten Betriebes von Microsoft 365, One-Drive for Business, Sharepoint 365, Office 365, Intune und Microsoft Compliance-Center E5 werden die genannten Verarbeitungen in unserer Cloudstrategie zukünftig ausgelagert durchgeführt.

Welche Datenkategorien sind betroffen?

Betroffen sind sämtliche Datenkategorien, die beim Datentransfer zwischen Datenlieferanten und -Abnehmern gemäß unserer geschlossenen Verträge entstehen. Es handelt sich z.B. um eingehende und ausgehende E-Mails sowie Chats, deren Dateianlagen, Terminvereinbarungen, Gesprächsprotokolle, Abrechnungen und z.B. Belege.

Die entsprechenden jeweils mit Ihnen konkret vereinbarten Datenkategorien entnehmen Sie der mit uns geschlossenen Vereinbarung zur Auftragsverarbeitung. Es ergeben sich keine Änderungen am Umfang der verarbeiteten Datenkategorien. Daten die Sie innerhalb von zeitsprung beauftragten Softwareprodukten beziehen, verwalten, bearbeiten, empfangen, verarbeiten, bewegen oder löschen bleiben hiervon unberührt.

Die Verarbeitung von Daten im Rahmen der Nutzung der durch Sie von zeitsprung bezogenen Softwaredienstleistungen werden nicht von Microsoft verarbeitet und es ergeben sich keinerlei Änderungen an den bisherigen Vertragsvereinbarungen hinsichtlich der Datenverarbeitung nach EU-DSGVO.

‍Wie lange werden die Daten beim Subunternehmen gespeichert?

Es gelten die gesetzlichen Aufbewahrungspflichten für geschäftliche Korrespondenz, Rechnungswesen und Finanzinformationen entsprechend der vorgeschriebenen Regelungen gemäß Handelsgesetzbuch, maximal jedoch 10 Jahre.

Um welches Subunternehmen handelt es sich konkret?

Nach einer intensiven Evaluierungsphase haben wir uns für die Zusammenarbeit mit Microsoft Corporation One Microsoft Way Redmond, WA 98052-6399 USA entschieden. Bei diesem Unternehmen handelt es sich um den führenden Anbieter der Branche mit einzigartigen Produkten. Der Datenschutzbeauftragte für Europa ist OneMicrosoft Place South County Business Park, Leopardstown, Dublin 18, D18 P521 Irland Telefon: +353 (1) 706-3117.

Wo findet die Verarbeitung statt?

Die Verarbeitung der Daten beim Subunternehmen findet ausschließlich innerhalb der europäischen Union statt (zur Zeit ausschließlich in der „Region Frankfurt“). Um den Anforderungen der EU-DSGVO nachzukommen wurden mit Microsoft die EU-Standardvertragsklauseln (https://docs.microsoft.com/de-de/compliance/regulatory/offering-eu-model-clauses), der Nachtrag zum Datenschutz (https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA) und geeignete SLA-Bedingungen (https://www.microsoft.com/licensing/docs/view/Service-Level-Agreements-SLA-for-Online-Services) geschlossen.

Die von der Datenschutz Arbeitsgruppe DKI festgelegten, datenschutzfreundlichen Einstellungen von Microsoft 365 Diensten, wurden nach den Anforderungen der europäischen Union umgesetzt. Die Übertragung von Daten in Drittstaaten wurde durch technische und organisatorische Maßnahmen unterbunden. Die Übermittlung wird durch den expliziten Einsatz von Verschlüsselung, sowie kundeneigenen Kryptographie Schlüsseln abgesichert, sodass ein Zugriff von Drittstaaten, Microsoft und deren Subunternehmern eingeschränkt ist.

Nähere Angaben zur Verschlüsselung, vor der Übermittlung an die Microsoft Cloud, finden Sie in den Beschreibungen unseres eingesetzten Subunternehmers sowie IT-Dienstleisters Hornet Security GmbH, mit Sitz und Verarbeitungsstandort in Deutschland, unter https://www.hornetsecurity.com/de/services/365-total-encryption/.

Wie wurde sichergestellt, dass das Subunternehmen die hohen Anforderungen von zeitsprung an IT-Sicherheit und Datenschutz erfüllt?

Die Auswahl eines Subunternehmens erfolgt stets unter den strengen Auflagen unserer internen Datenschutz- und IT-Security-Richtlinie. Subunternehmen haben daher mindestens das von zeitsprung gegenüber Ihnen zugesicherte Schutzniveau, gemäß unseren geschlossenen Verträgen und Darstellungen in den technisch organisatorischen Maßnahmen, zu erfüllen.

Microsoft konnte seine Eignung u.A. durch ISO/IEC-Zertifizierungen (9001, 27701, 20000, 22301, 27001, 27017, 27018, SOC1, SOC2, SOC3, PCI-DSS) nachweisen. Ferner hat Microsoft länderspezifische Eignungsprüfungen nachgewiesen, darunter unter Anderem durch IT-Grundschutz (https://docs.microsoft.com/de-de/azure/compliance/offerings/offering-germany-it-grundschutz-workbook) und dem BSI Kriterienkatalog C5 (https://docs.microsoft.com/de-de/azure/compliance/offerings/offering-germany-c5).

Die Zusammenfassung der Eignungsprüfungen, länderspezifischen Compliance-Unterlagen und die damit verbundenen Berichte finden Sie gesammelt unter https://docs.microsoft.com/de-de/compliance/regulatory/offering-home.

Einen ausführlichen allgemeinen Überblick zur Sicherheit und datenschutzrechtlichen Rahmenbedingungen beim Einsatz von Microsoft Produkten erhalten Sie unter https://docs.microsoft.com/de-de/compliance/regulatory/gdpr sowie einen Leitfaden für die Datenschutz-Folgenabschätzung unter https://docs.microsoft.com/de-de/compliance/regulatory/gdpr-dpia-prof-services, welche wir auf freiwilliger Basis für Sie vorausschauend durchgeführt haben.

Haben Sie weitere Fragen?

Wenden Sie sich gerne an unseren Datenschutzbeauftragten, Herrn Julian Vogel (j.vogel@zeitsprung.digital).