Datenschutzschild-Datenschutzrichtlinie

Zur Sicherung eines angemessenen Datenschutzes für personenbezogene Daten aus der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EEA) und der Schweiz, hält sich Hyland Software, Inc. („HSI“ oder „die Firma“) an die Grundsätze des sicheren Hafens (Safe Harbor Principles), die von dem U. S. Department of Commerce, der Europäischen Kommission und der Schweiz entwickelt wurden. Die Safe Harbor-Datenschutzrichtlinie (die „Richtlinie“) legt die Datenschutzgrundsätze dar, die HSI bei der Verarbeitung der persönlichen Daten befolgt, die das Unternehmen aus der EU, dem EEA oder der Schweiz erhält. Die Datenschutzgrundsätze in dieser Richtlinie basieren auf den oben genannten Grundsätzen des sicheren Hafens (Safe Harbor Principles). Weitere Informationen zum Safe Harbor-Programm und zur HSI-Zertifizierung finden Sie unter http://www.export.gov/safeharbor/.

Die Rolle von HSI als Dienstanbieter für seine Kunden und potenziellen Kunden

HSI ist ein führender Anbieter von gehosteten und nicht gehosteten Enterprise-Content-Management-Softwareprogrammen und -diensten. Über seine OnBase OnLine-Abteilung bietet HSI seinen Kunden Produktlösungen für die Speicherung und Verwaltung elektronischer Dokumente und Dokument-Metadaten an. HSI bietet seine OnBase OnLine-Lösungen Kunden an, die in der EU, im EEA oder in der Schweiz ansässig sind. Diese Lösungen werden in den Datenzentren von HSI in der EU gehostet. HSI stellt seinen gehosteten und nicht gehosteten Kunden und potenziellen Kunden in der EU, dem EEA und der Schweiz Produktentwicklungsdienste, Dienste für Lösungsentwicklungen, professionelle technische Dienste und technische Support-Dienste für Produkte bereit. Diese Dienste werden entweder von Mitarbeitern in den USA oder in der EU angeboten oder solchen, die sich am Standort des Kunden oder des potenziellen Kunden in der EU, dem EEA oder der Schweiz befinden.

Kunden, die die gehosteten OnBase OnLine-Lösungen nutzen, sind für die Verwaltung der Daten, die sie in den Datenzentren von HSI speichern, verantwortlich. Zu diesen Verantwortlichkeiten gehören die Feststellung, welche Arten von Informationen gespeichert werden, wie diese Informationen verwendet werden, an wen und zu welchem Zweck sie offen gelegt werden. Ebenso sind die Kunden und potenziellen Kunden von gehosteten oder nicht gehosteten Lösungen von HSI, die ihre Daten im Rahmen der angebotenen Dienste mit HSI teilen, dafür verantwortlich, zu entscheiden, welche Daten zur gemeinsamen Nutzung freigegeben werden sollen und zu welchem Zweck.

Wenn HSI Daten verarbeitet, die es von einem Kunden oder potenziellen Kunden („Kundendaten“) erhält, gleich ob für seine gehosteten Lösungen oder in Verbindung mit den bereitgestellten Diensten, handelt HSI lediglich nach den Anweisungen und der vorherigen Autorisierung des Kunden bzw. des potenziellen Kunden.

Die Verantwortung des Kunden oder potenziellen Kunden hinsichtlich seiner persönlichen Daten

Kunden und potenziellen Kunden von HSI steht es offen, ihre persönlichen Daten den Kundendaten hinzuzufügen, die in den Datenzentren von HSI in der EU gespeichert sind oder mit HSI im Zusammenhang mit dessen Bereitstellung von Diensten geteilt werden. Personengebundene Daten sind im Rahmen dieser Richtlinie erkennbare Informationen über eine natürliche Person oder Informationen, die eine Person identifizieren könnten.

Bevor HSI Informationen im Auftrag von seinen Kunden oder potenziellen Kunden, die in der EU, dem EEA oder der Schweiz ansässig sind, verarbeitet, geht HSI einen Verarbeitungsvertrag mit dem Kunden bzw. dem potenziellen Kunden ein, der die Einhaltung des geltenden Datenschutzgesetzes für persönliche Daten regelt. In diesem Vertrag erklärt sich der Kunde oder der potenzielle Kunde einverstanden, die geltenden Datenschutzgesetze einzuhalten.

HSI verarbeitet lediglich die persönlichen Daten, die seine Kunden bzw. seine potenziellen Kunden der Firma für diesen Zweck zur Verfügung gestellt haben. HSI hat keine direkte Beziehung oder Vertragsbeziehung mit der betroffenen Person dieser persönlichen Daten (die „betroffene Person“). Wenn in den Kundendaten persönliche Daten enthalten sind, dann ist deshalb der Kunde allein dafür verantwortlich, alle rechtlichen Verpflichtungen zu erfüllen, die er der betroffenen Person gemäß den geltenden Datenschutzgesetzen direkt schuldet.

Der Kunde oder der potenzielle Kunde von HSI hat die Verantwortung, sicherzustellen, dass die persönlichen Daten, die der Kunde gesammelt hat, im Ursprungsland nach bestehendem Gesetz gesammelt werden dürfen. Der Kunde oder potenzielle Kunde ist auch dafür verantwortlich, der betroffenen Person jegliche Hinweise zu übergeben, die nach geltendem Recht erforderlich sind. Der Kunde oder potenzielle Kunde ist zudem verpflichtet, auf Anforderungen der betroffenen Person sachgerecht zu reagieren, wenn diese von ihrem Recht in Zusammenhang auf die personengebundenen Daten Gebrauch machen will. Außerdem ist der Kunde oder potenzielle Kunde dafür verantwortlich, sicherzustellen, dass seine Verwendung der gehosteten OnBase OnLine-Lösungen von HSI oder der Dienste von HSI mit allen Datenschutzrichtlinien, die der Kunde oder potenzielle Kunde eingegangen ist, und mit allen Hinweisen, die er den betroffenen Personen gegeben hat, übereinstimmen.

HSI ist nicht für die Datenschutzrichtlinien oder Datenschutzmethoden seiner Kunden oder potenziellen Kunden oder für deren Einhaltung durch die Kunden bzw. potenziellen Kunden verantwortlich. HSI überprüft, kommentiert oder überwacht nicht die Datenschutzrichtlinien oder die Einhaltung dieser Richtlinien durch die Kunden oder potenziellen Kunden. Ferner überprüft HSI auch nicht an das Unternehmen gerichtete Anweisungen oder Genehmigungen, um festzustellen, ob diese Anweisungen oder Genehmigungen die Bestimmungen der Datenschutzrichtlinien eines Kunden oder potenziellen Kunden oder die den betroffenen Personen gegebenen Hinweise erfüllen oder mit ihnen in Konflikt stehen.

Compliance von HSI mit den Grundsätzen des sicheren Hafens (Safe Harbor Principles)

Während in der EU ansässige Mitarbeiter von HSI die Verantwortung für die Bereitstellung von Diensten für Kunden und potenzielle Kunden von gehosteten OnBase OnLine-Lösungen und auch für die Bereitstellung von Diensten an andere Kunden und potenzielle Kunden tragen, bieten auch HSI-Mitarbeiter, die sich in den Hauptsitzen der Firma und anderswo in den USA befinden, solche Dienste für OnBase OnLine-Kunden, anderen Kunden und potenziellen Kunden an. Für die Bereitstellung solcher Dienste muss HSI ggf. Kundendaten, einschließlich persönlicher Daten, in die USA übertragen.

Ohne vorherige schriftliche Genehmigung des Kunden oder des potenziellen Kunden handelt es sich bei dem Transfer ausschließlich um Remote-Zugriff von HSI-Mitarbeitern, die in den USA ansässig sind, auf persönliche Daten, die sich physisch in der EU, dem EEA oder der Schweiz befinden (entweder in den Datenzentren von HSI in der EU – wie im Falle eines OnBase OnLine-Kunden oder potenziellen OnBase OnLine-Kunden – oder im eigenen Datenzentrum des Kunden oder potenziellen Kunden). HSI führt ohne vorherige schriftliche Genehmigung des Kunden bzw. des potenziellen Kunden keine physische Übertragung von persönlichen Daten durch, die in der EU, dem EEA oder der Schweiz gespeichert sind.

HSI wendet die folgenden Grundsätze des sicheren Hafens auf persönliche Daten an, die entweder physisch oder über Remote-Zugriff in die USA übertragen werden:

Weiterleitung

HSI wird keine persönlichen Daten an Dritte weitergeben. Ausgenommen davon sind Subunternehmer und Vertreter von Drittparteien, die HSI bei der Bereitstellung von gehosteten OnBase OnLine-Lösungen oder anderen Diensten an seine Kunden und potenziellen Kunden unterstützen.

HSI gibt persönliche Daten an einen Subunternehmer oder Vertreter einer Drittpartei nur dann weiter, nachdem es den Kunden oder potenziellen Kunden informiert und seine Genehmigung für die Offenlegung eingeholt hat. Vor der Übertragung von persönlichen Daten an einen Subunternehmer oder Vertreter einer Drittpartei verlangt HSI vom Empfänger die Bestätigung, dass er die persönlichen Daten in Übereinstimmung mit dieser Datenschutzrichtlinie schützt. Sollte HSI erfahren, dass ein Empfänger persönliche Daten auf eine Weise verwendet oder offen legt, die gegen diese Datenschutzrichtlinie verstößt, wird HSI angemessene Schritte unternehmen, eine solche Offenlegung zu verhindern.

HSI kann auch persönliche Daten weitergeben, wenn dies vom Gesetz gefordert wird, z. B. im Falle eines Gerichtsbeschlusses oder einer Zwangsvorladung. Vor einer solchen Offenlegung wird HSI den Kunden oder potenziellen Kunden unverzüglich benachrichtigen, damit dieser die nötigen Schritte zum Schutze der Rechte der betroffenen Person unternehmen kann.

Sicherheit der persönlichen Daten

HSI verpflichtet sich, die persönlichen Daten, die es von der EU, dem EEA und der Schweiz erhält, zu schützen. Zwar kann HSI den Schutz der persönlichen Daten nicht garantieren, doch unternimmt die Firma entsprechende Vorsichtsmaßnahmen, um besagte, sich im Besitz der Firma befindlichen Daten, vor Verlust, widerrechtlicher Verwendung, unzulässigem Zugriff, Offenlegung und Vernichtung zu schützen.

HSI setzt eine Kombination von Online- und Offline-Sicherheitstechnologien, Verfahren und organisatorischen Maßnahmen zum Schutze der persönlichen Daten ein. Zum Beispiel bestehen Sicherheitsvorkehrungen für das Gebäude, um unerlaubten Zugriff auf die Computer der Firma zu verhindern. Elektronische Sicherheitsmaßnahmen, wie Netzwerkzugriffskontrollen, Kennwörter und Zugriffsprotokollierung, schützen vor Hacking und anderem unerlaubten Zugriff. HSI schützt persönliche Daten auch mit Firewalls, rollenbasierten Einschränkungen und, wo erforderlich, Verschlüsselungstechnologie. HSI beschränkt den Zugriff auf persönliche Daten auf Mitarbeiter, Subunternehmer und Vertreter von Drittparteien, die einen bestimmten Geschäftsgrund für den Zugriff haben. Personen, denen der Zugriff auf persönliche Daten gewährt wurde, werden auf ihre Verantwortung für den Schutz solcher Informationen aufmerksam gemacht und erhalten Training und Anweisungen für diese Aufgabe.

Datenintegrität

Die Kunden und potenziellen Kunden von HSI sind dafür verantwortlich, dass nur die persönlichen Daten gesammelt werden, die für die Zwecke verwendet werden, welche der betroffenen Person mitgeteilt wurden. Sie sind auch verpflichtet, HSI Anweisungen für die Verarbeitung der persönlichen Daten zu geben, die den im Hinweis angegebenen Zweck erfüllen. HSI verarbeitet persönliche Daten lediglich gemäß den Anweisungen des Kunden oder potenziellen Kunden.
Die Kunden und potenziellen Kunden von HSI müssen auch sicherstellen, dass (a) die von ihnen gesammelten Daten korrekt, vollständig, aktuell und für den vorgesehenen Zweck verlässlich sind; und (b) dass die persönlichen Daten nur so lange aufbewahrt werden, bis der legitime Geschäftszweck des Kunden bzw. des potenziellen Kunden erfüllt ist oder so lange es nach dem geltenden Gesetz erlaubt oder erforderlich ist. HSI wird mit seinen Kunden oder potenziellen Kunden zusammenarbeiten, um ihren angemessenen Anforderungen um Hilfe bei der Erfüllung ihrer Verpflichtungen nachzukommen.

Zugriff/Korrektur

Wenn HSI persönliche Daten erhält, geschieht dies im Auftrag seiner Kunden oder potenziellen Kunden. Betroffene Personen müssen sich an den Kunden oder den potenziellen Kunden von HSI wenden, der die persönlichen Daten gesammelt hat, um Zugriff auf dieselben oder deren Korrektur, Abänderung oder Löschung zu verlangen. HSI wird mit seinen Kunden oder potenziellen Kunden zusammenarbeiten in Bezug auf deren angemessenen Anforderungen um Hilfe, indem es den betroffenen Personen erlaubt, von ihren Rechten nach geltenden Datenschutzgesetzen Gebrauch zu machen.

Durchsetzung

HSI wird regelmäßige Selbsteinschätzungen ihrer relevanten Methoden durchführen, um die Einhaltung dieser Datenschutzrichtlinie und der Grundlagen des sicheren Hafens (Safe Harbor Principles) zu bestätigen. Mitarbeiter, die diese Richtlinie vorsätzlich verletzen, müssen mit arbeitsrechtlichen Konsequenzen rechnen, bis zur und einschließlich der Beendigung des Arbeitsverhältnisses. Eine betroffene Person, die eine Beanstandung in Bezug auf die Verarbeitung der persönlichen Daten durch HSI hat, sollte sich per E-Mail an die Rechtsabteilung von HSI unter [email protected] oder per Telefon unter der Nummer +1-440-788-5000 wenden oder den Kunden bzw. potenziellen Kunden von HSI, der die persönlichen Daten der betroffenen Person gesammelt hat, kontaktieren.

Betroffene Personen, die mit der internen Lösung einer Beschwerde nicht zufrieden sind, können sich mit einer Schadensersatzklage an das Council of Better Business Bureaus, Inc. wenden. Besuchen Sie die BBB EU SAFE HARBOR-Website unter www.bbb.org/us/safe-harbor-complaints,  wenn Sie weitere Informationen für das Einreichen einer Beschwerde benötigen.

Weitere Informationen

Betroffene Personen, die Fragen zur Verarbeitung von persönlichen Daten durch HSI haben, sollten sich zuerst an den Kunden oder potentiellen Kunden von HSI wenden, der die Informationen gesammelt hat. Die rechtliche Kontaktstelle von HSI kann per E-Mail unter [email protected] oder per Telefon unter der Nummer +1-440-788-5000 erreicht werden.

Änderungen an dieser Datenschutzrichtlinie

HSI kann diese Richtlinie jederzeit ändern. Falls die Firma eine wesentliche Änderung an dieser Richtlinie vornehmen will, wird sie die überarbeitete Richtlinie an dieser Stelle veröffentlichen.
Datum des Inkrafttretens: 31. März 2011