Service-Datenschutzbestimmungen

Version 1,0, in Kraft seit 1. Oktober 2005


1 Reichweite

1.1 In diesen Datenschutzbestimmungen ist dargelegt, wie MessageLabs und seine Kunden die Datenschutzbestimmungen in Bezug auf die von MessageLabs angebotenen E-Mail-Security-Services einhalten.

2 Hintergrund und Definitionen

2.1 Vertrag zwischen Kunden und MessageLabs über die Bereitstellung von E-Mail-Security-Services. MessageLabs ist ein Datenverarbeiter, der E-Mails im Auftrag seines Kunden, dem Data Controller (dem für die Verarbeitung Verantwortlichen), verarbeitet.

2.2 Der Begriff „Data Controller“ ist im US-amerikanischen Safe-Harbour-Gesetz und in den Datenschutzvorschriften der EU als eine juristische Person, eine Behörde, ein Organ oder andere Institution definiert, die/das allein oder zusammen mit anderen die Zwecke und Mittel der Verarbeitung persönlicher Daten bestimmt. Der Data Controller trägt gegenüber den betroffenen Individuen die volle Verantwortung für die Daten.

2.3 Der Begriff „Datenverarbeiter“ bezeichnet eine natürliche oder juristische Person, eine Behörde, ein Organ oder eine andere Institution, die/das die persönlichen Daten im Auftrag des Controllers verarbeitet.

2.4 Im US-amerikanischen HIPAA (Health Insurance Portability and Accountability Act) von 1996 werden ähnliche Richtlinien sowie die Begriffe „covered entities“ (verdeckte Instanzen) und „business associate“ (Geschäftspartner) anstelle von Data Controller und Datenverarbeiter verwendet. Ähnlich werden im US-amerikanischen Financial Modernization Act von 1999, auch unter „Gramm-Leach-Bliley Act“ bekannt, die Begriffe „financial institution“ (finanzielle Institution) und „service provider“ (Serviceanbieter) verwendet.

2.5. Bei allen Gesetzen, auf die hier Bezug genommen wurde, ist es erforderlich, dass die Beziehung zwischen einem Data Controller und einem Datenverarbeiter durch einen Vertrag abgedeckt ist, bevor die Weitervergabe der Verarbeitung von persönlichen Daten stattfindet. Der Zweck dieses Vertrags liegt darin, die Interessen des Data Controller (beispielsweise die Person oder Institution, die die Zwecke und Mittel der Verarbeitung bestimmt) zu schützen, der gegenüber den betroffenen Individuen die volle Verantwortung für die Daten trägt. Der Vertrag legt somit die Art der Verarbeitung und jegliche Maßnahmen fest, die erforderlich sind, um sicherzustellen, dass die Daten sicher aufbewahrt sind.

2.6 MessageLabs bietet Kunden seine E-Mail-Security-Services nur über einen Vertrag an, in dem die Datenschutzverpflichtungen von MessageLabs und seinen Kunden definiert sind.

3 Verpflichtungen von MessageLabs

3.1 Die genauen Verpflichtungen von MessageLabs gegenüber unseren Kunden sind in einem Vertrag zwischen dem Kunden und MessageLabs dargelegt und können in Abhängigkeit von der Gerichtsbarkeit des Kunden und dessen Geschäftsbetrieb variieren. In diesem Kapitel sind typische Verpflichtungen aufgelistet, die im Vertrag dargelegt sind, um sicherzustellen, dass die gebräuchlichsten Datenschutzgesetze eingehalten werden.

3.2 Die typischen Verpflichtungen sind:

  • Als Datenverarbeiter die US-amerikanischen Safe-Harbour-Richtlinien, die Datenschutzvorschriften der EU oder andere ähnliche nationale Gesetze einzuhalten.
  • Gewährleistung, dass die Daten nur für die Bereitstellung unseres E-Mail-Security-Services und für Zwecke verwendet werden, die von unserem Kunden genehmigt und angefordert wurden.
  • Gewährleistung, dass die Verarbeitung und die resultierenden Berichte präzise und aktuell sind.
  • Gewährleistung, dass die entsprechenden technischen und organisatorischen Maßnahmen gegen die unerlaubte Verarbeitung persönlicher Daten und gegen den versehentlichen Verlust, die versehentliche Zerstörung oder Beschädigung persönlicher Daten ergriffen werden. (Sicherheit)
  • Geheimhaltung der Daten.
  • Gewährleistung, dass persönliche Daten in kein Land oder Gebiet außerhalb des Europäischen Wirtschaftsraums übertragen werden, es sei denn, dieses Land oder Gebiet gewährleistet einen entsprechenden Grad an Schutz für die Rechte und Freiheiten des Datensubjekts in Bezug auf die Verarbeitung von persönlichen Daten.
  • Zusammenarbeit mit zuständigen Datenschutzbehörden und Ermöglichung entsprechender Kontrollen durch Aufsichtsbehörden.
4 Verpflichtungen des Kunden

4.1 Um sicherzustellen, dass wir persönliche Daten in Einklang mit den entsprechenden Datenschutzbestimmungen verarbeiten, bieten wir unseren Service nur im Rahmen eines Vertrags an, in dem die Verpflichtungen seitens MessageLabs und unseres Kunden entsprechend der anwendbaren Datenschutzgesetze definiert sind. Wir werden als Data Controller von unseren Kunden immer die Einhaltung der entsprechenden Datenschutzgesetze verlangen.

4.2 Die typischen Verpflichtungen eines Data Controller sind:

  • Als Data Controller die US-amerikanischen Safe-Harbour-Richtlinien, die Datenschutzvorschriften der EU und andere ähnliche nationale Gesetze einzuhalten.
  • Gewährleistung, dass persönliche Daten unparteiisch und gesetzestreu verarbeitet werden. Dazu zählt, die Zustimmung des Datensubjekts einzuholen oder zumindest dieses über die stattfindende Verarbeitung und deren Zwecke zu benachrichtigen. Dazu kann außerdem zählen, eine Registrierung gemäß dem US-amerikanischen Safe-Harbour-Gesetz oder bei den zuständigen nationalen Datenschutzbehörden bzw. Datenschutzbehörden der EU vorzunehmen.
  • Gewährleistung, dass persönliche Daten für bestimmte, explizite und legitime Zwecke erfasst werden und nicht in einer Art verarbeitet werden, die mit diesen Zwecken nicht vereinbar ist.
  • Gewährleistung, dass die Verarbeitung der Daten adäquat und sachbezogen ist und nicht die Zwecke überschreitet, für die sie erfasst und/oder weiter verarbeitet werden.
  • Gewährleistung, dass die Daten korrekt sind und, wo erforderlich, aktualisiert werden.
  • Gewährleistung, dass die Daten in einer Form aufbewahrt werden, bei der die Identifizierung der Datensubjekte nicht länger möglich ist, als es für die Zwecke, für die die Daten erfasst oder weiter verarbeitet werden, erforderlich ist.
  • Gewährleistung, dass das Recht des Datensubjekts auf Zugriff auf die Daten respektiert wird. Dazu zählt, dem Datensubjekt eine Kopie der gespeicherten Informationen bereitzustellen und jegliche Fehler zu korrigieren.
5 Weitergeben von Informationen

5.1 MessageLabs kontrolliert nicht die Weitergabe persönlicher Informationen in Bezug auf unseren Service. Dies wird durch unseren Kunden, den Data Controller, in Einklang mit der Kundendatenschutzerklärung und den anwendbaren Datenschutzgesetzen geregelt.

5.2 Wenn wir durch unseren Kunden dazu autorisiert werden, kann MessageLabs die auf den Dienst bezogene Datenverarbeitung Datenverarbeitern, Bevollmächtigten oder Serviceanbietern überlassen. Wir tun dies nur für einen bestimmten Zweck und im Rahmen eines Vertrags, durch den der Dritte nur auf unsere Anweisungen hin agieren darf, sich an entsprechende Datenschutzgesetze halten sowie die Daten sicher und vertraulich aufbewahren muss.

5.3 MessageLabs gibt keine persönlichen Daten an andere Instanzen weiter, ohne dazu von unserem Kunden autorisiert oder aufgefordert worden zu sein, es sei denn, MessageLabs wird juristisch dazu aufgefordert, beispielsweise durch ein Gericht oder eine Zwangsmaßnahme.

6 Persönliche Informationen des Endbenutzers

6.1 Wenn Sie ein Endbenutzer unseres Services sind, sollten Sie sich für jegliche Informationen in Bezug auf gespeicherte Informationen über Sie selbst und die Datenschutzerklärung, mit der die Beziehung zwischen Ihnen und unseren Kunden geregelt werden, an unseren Kunden wenden.

6.2 In vielen Fällen ist unser Kunde Ihr Arbeitgeber. Wenn Sie unseren Kunden nicht ermitteln können, empfiehlt es sich, „whois“ zu verwenden, um den Eigentümer einer Domäne zu ermitteln. Wenn dies nicht gelingt, können Sie uns über die unten angegebene Adresse kontaktieren, sodass wir Sie dabei unterstützen können, einen Kontakt zu dem Kunden herzustellen, der der Data Controller Ihrer persönlichen Informationen ist.

7 Safe Harbour und Datenschutzvorschriften der EU

7.1 Wie in diesem Dokument beschrieben, wird MessageLabs seinen Verpflichtungen als Datenverarbeiter gemäß dem US-amerikanischen Safe-Harbour-Gesetz und den Datenschutzvorschriften der EU nachkommen, wenn wir dazu durch einen Vertrag mit unserem Kunden verpflichtet sind.

7.2 MessageLabs arbeitet mit dem US-Handelsministerium (U.S. Department of Commerce) und den Datenschutzbehörden der EU zusammen.

8 Änderungen

8.1 MessageLabs behält sich das Recht auf Änderungen an dieser Erklärung vor. Falls dies der Fall ist, wird die neue Erklärung auf dieser Site veröffentlicht.

9 Kontaktinformationen

9.1 Jegliche Rückfragen bezüglich dieser Erklärung richten Sie bitte an: The Legal Department, MessageLabs Inc. 512 Seventh Avenue, 6th Floor, New York, NY 10018 USA, Telefon: +1 646 519 8100 oder The Legal Department, MessageLabs Limited, 1240 Lansdowne Court, Gloucester Business Park, Gloucester, GL3 4AB, United Kingdom, Telefon: +44 1452 627600.