Hier beginnen
Home Privatsphäre
Letzte Aktualisierung: August 04, 2024

monday.com und DSGVO

Letzte Aktualisierung: August 04, 2024
gdprready1

monday.com ist DSGVO-konform

Bei monday.com steht nichts über dem Erfolg unserer Kundinnen und Kunden und dem Schutz ihrer Daten. Da wir Kunden in nahezu jedem Land der Welt betreuen, setzen wir alles daran, die jeweiligen lokalen Datenschutzgesetze einzuhalten.

Als Unternehmen, das Dienstleistungen für Personen in der EU anbietet und deren personenbezogene Daten verarbeitet, hat monday.com ein umfassendes Datenschutzprogramm entwickelt, das den Anforderungen der europäischen Datenschutzgesetze entspricht, einschließlich der Datenschutz-Grundverordnung (DSGVO).

Nach dem Brexit wurde die DSGVO in das nationale britische Recht übernommen und bildet dort nun die sogenannte „UK-DSGVO“. Derzeit enthält die UK-DSGVO weitgehend dieselben Anforderungen wie die EU-DSGVO. Wenn wir im Folgenden von „der DSGVO“ sprechen, beziehen wir uns sowohl auf die EU- als auch auf die UK-Version.

Rollen und Verantwortlichkeiten

Die DSGVO unterscheidet zwischen zwei Rollen bei der Verarbeitung personenbezogener Daten: dem „Verantwortlichen“ (Data Controller) und dem „Auftragsverarbeiter“ (Data Processor). Ein Verantwortlicher (Data Controller) entscheidet über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, während ein Auftragsverarbeiter (Data Processor) die personenbezogenen Daten im Auftrag und nach Anweisung des Verantwortlichen verarbeitet.

Kundinnen und Kunden, die die Dienste von monday.com nutzen, um personenbezogene Daten für eigene Zwecke und nach eigenen Vorgaben zu verarbeiten, gelten in der Regel als „Verantwortliche“ im Sinne der DSGVO und sind in erster Linie dafür verantwortlich, sämtliche anwendbaren Datenschutzanforderungen zu erfüllen. monday.com agiert in diesem Fall als „Auftragsverarbeiter“ und verarbeitet die personenbezogenen Daten im Auftrag seiner Kundschaft, soweit diese auf der monday.com-Plattform übermittelt werden (beispielsweise über Boards). Die genaue Abgrenzung unserer Rollen und Pflichten gegenüber betroffenen Personen und unseren Kundinnen und Kunden ist in unseren Nutzungsbedingungen, der Datenschutzrichtlinie sowie dem Datenverarbeitungsnachtrag beschrieben.

Wie erfüllt monday.com die Anforderungen der DSGVO?

Bei monday.com überprüfen und optimieren wir regelmäßig unsere internen Abläufe, um eine kontinuierliche Einhaltung der DSGVO sicherzustellen. Dazu gehören unter anderem folgende Maßnahmen:

  • Integration eines umfassenden Datenschutzprogramms mit laufender Überprüfung und Aktualisierung der Richtlinien und Verfahren, damit das Programm gezielt und zweckgerecht bleibt.
  • Etablierung eines strukturierten Prüfprozesses für Dienstleister, bei dem alle Anbieter verpflichtet sind, die relevanten Datenschutzanforderungen einzuhalten.
  • Regelmäßige Überprüfung und Stärkung unserer Sicherheitsinfrastruktur und -prozesse, einschließlich Verschlüsselung der Daten während der Übertragung und Speicherung, Backups, Protokollierung und Sicherheitswarnungen.
  • Durchführung regelmäßiger Risikoanalysen und Datenflussanalysen, um sicherzustellen, dass personenbezogene Daten gemäß den Vorgaben der DSGVO verarbeitet und verwaltet werden.
  • Laufende Beobachtung aktueller Leitlinien zur DSGVO-Compliance sowie Sicherstellung der kontinuierlichen Einhaltung der DSGVO durch interne Verfahren, Prozesse, Kontrollmechanismen und regelmäßige interne Schulungen.
  • Beauftragung externer Prüfer mit der jährlichen Überprüfung unserer verschiedenen Compliance-Zertifikate, darunter die SOC 2 Type II Sicherheitszertifizierung des American Institute of Certified Public Accountants (AICPA), das ISO 27001 Informationssicherheits-Managementsystem (ISMS) sowie ISO 27018 für den Schutz personenbezogener Daten in der Cloud.
  • Sicherstellung von Transparenz hinsichtlich der Erhebung, Nutzung und Weitergabe personenbezogener Daten, unter anderem durch unsere Datenschutzrichtlinie und den Datenschutzhinweis für Bewerber.
  • Benachrichtigung unserer Kundinnen und Kunden sowie betroffenen Personen, sobald wesentliche Änderungen an öffentlich zugänglichen Richtlinien vorgenommen werden, um aktualisierte Datenschutzpraktiken und gesetzliche Anforderungen widerzuspiegeln.
  • Umsetzung eines umfassenden Datenverarbeitungsnachtrags (DPA), der den Schutz personenbezogener Daten gemäß branchenüblichen Standards sowie durch geeignete rechtliche Mechanismen und vertragliche Regelungen im Einklang mit der DSGVO sicherstellt. Dieser DPA ermöglicht es uns, unsere Rolle als Auftragsverarbeiter für unsere Kundinnen und Kunden wahrzunehmen. In vergleichbarer Weise kommen entsprechende Vereinbarungen zum Einsatz, wenn wir selbst als Verantwortlicher auftreten und Dienstleister für die Datenverarbeitung beauftragen.
  • Regelmäßige Sicherheits- und Datenschutzprüfungen unserer Subunternehmer, um sicherzustellen, dass diese die Grundsätze der DSGVO einhalten.
  • Abschluss der Standardvertragsklauseln (SCCs) mit Kundinnen und Kunden sowie Dienstleistern für internationale Datenübermittlungen, einschließlich der entsprechenden Versionen für das Vereinigte Königreich und die Schweiz. Ergänzung der SCCs von monday.com durch zusätzliche Schutzmaßnahmen, um die Rechte und Freiheiten betroffener Personen noch weiter zu stärken.
  • Bereitstellung von Funktionen, mit denen unsere Kundinnen und Kunden auf Anfragen betroffener Personen zur Ausübung ihrer Datenschutzrechte reagieren können, sowie ein interner Prozess zur Bearbeitung solcher Anfragen, wenn wir selbst als Verantwortlicher für die betreffenden Daten agieren.
  • Benennung eines Vertreters in der EU und im Vereinigten Königreich sowie Bestellung eines Datenschutzbeauftragten (DPO), der die Einhaltung der Datenschutzvorgaben bei monday.com überwacht, beratend unterstützt und als Ansprechperson für betroffene Personen und Aufsichtsbehörden in Datenschutzangelegenheiten fungiert.
  • Etablierung von Verfahren zum Umgang mit vermuteten Datenschutzverletzungen, zur Einschränkung der Nutzung, Offenlegung und Aufbewahrung personenbezogener Daten sowie regelmäßige Schulungen zum Datenschutz für alle relevanten Mitarbeitenden.

Datenübermittlungen gemäß DSGVO

monday.com hat seinen Hauptsitz in Israel, einem Staat, dem die Europäische Kommission, der britische Secretary of State sowie der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ein angemessenes Schutzniveau für personenbezogene Daten aus dem EWR, dem Vereinigten Königreich bzw. der Schweiz bescheinigt haben. Daher erfolgen Übermittlungen personenbezogener Daten aus Europa an monday.com in Israel auf Grundlage dieses Angemessenheitsbeschlusses als zulässigem Übermittlungsmechanismus, ohne dass zusätzliche Schutzmaßnahmen erforderlich sind.

Das Emergency-Response-Team monday.com, Inc. ist nach dem Data Privacy Framework (DPF) des US-Handelsministeriums zertifiziert, um Datenübertragungen aus dem EWR, Großbritannien und der Schweiz in die USA zu empfangen. Übertragungen aus dem EWR, Großbritannien und der Schweiz an unsere US-Tochtergesellschaft monday.com, Inc. erfolgen hauptsächlich auf Grundlage dieser Zertifizierung im Rahmen des Data Privacy Frameworks.

monday.com stellt sicher, dass jede Übermittlung personenbezogener Daten, die der DSGVO oder dem Schweizer Bundesgesetz über den Datenschutz unterliegt, in ein Land, das weder von der Europäischen Kommission noch vom britischen Secretary of State oder vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) als ein Land mit angemessenem Datenschutzniveau anerkannt wurde, durch geeignete vertragliche Schutzmaßnahmen abgesichert ist. In solchen Fällen stützen wir uns auf die Standardvertragsklauseln (SCCs), die wir in die jeweiligen Vereinbarungen einbinden. Die SCCs sind hier und hier abrufbar. Zusätzlich zu den Schutzmaßnahmen der SCCs ergänzen wir unsere vertraglichen Verpflichtungen durch weitere Sicherheitsvorkehrungen, die darauf abzielen, die Rechte und Freiheiten betroffener Personen über das in den SCCs vorgesehene Maß hinaus zu stärken. Außerdem enthalten unsere Verträge mit Kundinnen und Kunden sowie Dienstleistern zusätzliche Klauseln, um zu verhindern, dass personenbezogene Daten im Falle von staatlichen Überwachungsanfragen übermittelt oder offengelegt werden müssen.

Bei Fragen zum Datenschutzprogramm von monday.com oder zur Einhaltung der DSGVO können Sie sich jederzeit an unseren Datenschutzbeauftragten und das Privacy Team unter dpo@monday.com wenden.

 

HAFTUNGSAUSSCHLUSS: Bei dieser Version handelt es sich um eine Übersetzung des englischen Originals, die nur zur Vereinfachung bereitgestellt wird. Das englische Original ist die offizielle und rechtlich verbindliche Version und hat im Falle einer Abweichung Vorrang.

Wir befähigen Teams, gemeinsam mehr zu erreichen

14-tägige kostenlose Testversion | Keine Kreditkarte erforderlich