VWO Logo
Dashboard
DEMO ANFORDERN

VWO und die DSGVO

VWOs Bekenntnis zu Datenschutz und Datensicherheit

Seit jeher respektiert VWO die Rechte seiner Nutzer auf Datenschutz und Datensicherheit. Im Laufe der Jahre haben wir unser Engagement in diesem Bereich unter Beweis gestellt, indem wir die Industriestandards stets übertroffen haben. Wir müssen die personenbezogenen Daten der Nutzer nicht über das Maß hinaus erfassen und verarbeiten, das für das Funktionieren unserer Produkte erforderlich ist, und das wird sich auch nie ändern. Wir pflegen ein starkes Bewusstsein für Datenschutz, und die DSGVO bestätigt uns in unserer Haltung.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine der größten Gesetzesänderungen seit 1975. Das Hauptziel dieser Änderungen, die am 25. Mai 2018 in Kraft getreten sind, ist der Schutz der personenbezogenen Daten und der Rechte der in der EU ansässigen Personen.

Die DSGVO ist ein EU-weites Gesetz zum Schutz der Privatsphäre und des Datenschutzes, das regelt, wie Unternehmen die Daten von Bürgern schützen müssen und wie die Bürger mehr Kontrolle über ihre personenbezogenen Daten erlangen.

Die DSGVO ist für jedes weltweit tätige Unternehmen relevant und nicht nur für in der EU ansässigen. Die Daten unserer Kunden sind wichtig, unabhängig davon, wo sie sich befinden. Deshalb haben wir die DSGVO-Kontrollen als Basisstandard für alle unsere Tätigkeiten eingeführt. Die DSGVO ist am 25. Mai 2018 in Kraft getreten.

Zertifizierungen für Datenschutz und Informationssicherheit

Folgende Zertifizierungen belegen unsere DSGVO-Konformität:

  1. ISO 27701:2019 Datenschutz Managementsystems (auch bekannt als Privacy Information Management System, PIMS) & Einhaltung der DSGVO-Verordnung:  ISO 27701 ist international anerkannt und wurde als Erweiterung der weit verbreiteten Normen ISO/IEC 27001 und ISO/IEC 27002 für das Informationssicherheitsmanagement entwickelt. Es handelt sich um eine globale Datenschutznorm, die sich auf die Erfassung und Verarbeitung personenbezogener Daten konzentriert. Dieser Standard wurde entwickelt, um Organisationen bei der Einhaltung internationaler Datenschutzrahmen und -gesetze zu unterstützen.
  2. ISO 27001:2013 Informationssicherheits-Managementsysteme (ISMS): ISMS gewährleistet einen systematischen Ansatz für die Verwaltung sensibler Unternehmensinformationen, damit diese sicher bleiben. Es integriert Menschen, Verfahren und IT-Systeme in ein umfassendes Risikomanagement.
  3. System- und Organisationskontrollen 2 Typ II (SOC 2 Typ II): SOC 2 Typ II ist ein strenger Prüfungsstandard, der vom American Institute of CPAs (AICPA) entwickelt wurde. Er gewährleistet, dass Unternehmen effektive Kontrollen zum Schutz der Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und des Datenschutzes von Kundendaten eingerichtet haben und aufrechterhalten.

VWO steht hinter der DSGVO

VWO hat Prozesse und Verfahren eingeführt, um die verschiedenen Bestimmungen der DSGVO einzuhalten: die Rechte der betroffenen Personen, die Grundprinzipien der DSGVO, den Datenschutznachtrag (Data Protection Addendum), die Datenlöschung, die Datenaufbewahrung und die Pseudonymisierung, die mit unseren Grundwerten des Kundenvertrauens und des Datenschutzes übereinstimmen.

Was hat VWO für seine DSGVO-Konformität getan?

Im Laufe der letzten Jahre haben wir viel unternommen, um zu verstehen und zu analysieren, wie sich die DSGVO auf unsere Kunden auswirken wird, und entsprechende Änderungen an unseren Produkten und Prozessen vorgenommen. Ermöglicht wurde dies durch die Unterstützung einer Gruppe von Experten für Unternehmenssicherheit und Compliance sowie Mitgliedern unserer Geschäftsleitung. Im Folgenden erhalten Sie einen Einblick in unsere Analyse und die Schritte, die wir auf dem Weg zur rechtzeitigen DSGVO- Konformität gegangen sind:

Wir haben an zahlreichen Stellschrauben gedreht, um diese neue Verordnung einzuhalten.

  • Wir haben das Bewusstsein in der Organisation durch häufige interne Diskussionen geschärft und die Mitarbeiter im angemessenen Umgang mit Daten geschult. Sie verstehen nun die Bedeutung der Informationssicherheit und die hohen Standards, die die DSGVO vorgibt.
  • Wir haben alle Wingify-Produkte nacheinander im Hinblick auf die neuen Anforderungen geprüft und neue Funktionen implementiert, die Ihnen mehr Kontrolle über Ihre Daten geben und Ihnen die Einhaltung der DSGVO erleichtern.
  • Wir haben ein Asset Register erstellt, das Informationen über alle Rollen von Wingify enthält, wie z. B. die eines Datenverantwortlichen und eines Datenverarbeiters. Es enthält Einzelheiten zu den verschiedenen Kategorien personenbezogener Daten, die von unserem Unternehmen verarbeitet werden, und dazu, welche Abteilung zu welchem Zweck Zugriff auf welche Daten erhält. Das Asset Register deckt alle unsere Prozesse und Verfahren ab.
  • Wir haben unsere Unterauftragsverarbeiter (Drittdienstleister, Partner) überprüft und den Vertragsprozess mit ihnen gestrafft, um sicherzustellen, dass sie die dringenden Anforderungen in puncto Sicherheit und Datenschutz erfüllen.
  • Alle unsere Teams verfügen über einen Experten für Datenschutz. Außerdem haben wir einen Datenschutzbeauftragten ernannt.
  • Unsere Entwicklungsteams haben sich das Konzept „Privacy by Design“ zu eigen gemacht und bieten Ihnen mehr Kontrolle über die Daten, die Sie in unseren Systemen speichern. Wir sind ständig bemüht, weitere Verbesserungen hinsichtlich Datenvermeidung und Datensparsamkeit einzuführen.
  • Wir haben unseren Datenverarbeitungszusatz (Data Processing Addendum, DPA) verändert, um den Anforderungen der DSGVO an die Datenverarbeitung gerecht zu werden, Klicken Sie hier
  • Wir haben interne Audits unserer Produkte, Verfahren, Abläufe und unseres Managements durchgeführt. Die Ergebnisse wurden an unsere Teams weitergegeben, die Lösungen für die festgestellten Probleme erarbeitet haben.
  • Auf Basis der Datenschutz-Folgenabschätzung (PIAs) und der internen Audits haben wir unsere Datensicherheitsmethoden und -prozesse verbessert. Dazu gehört die Verschlüsselung von Daten im Ruhezustand, je nach Sensibilität und Wahrscheinlichkeit der Risiken.
  • Wir haben unsere Datenbanken bereinigt, um sicherzustellen, dass wir nur die neuesten und genauesten Informationen haben. Dieser Bereinigungsprozess beinhaltet das Entfernen von beendeten und ruhenden Konten gemäß unseren Bedingungen..
  • Falls erforderlich, erfolgt die Benachrichtigung über eine Datenschutzverletzung gemäß unserer internen Richtlinie zur Reaktion auf Datenschutzverletzungen. Die Ansprechpartner des Kunden werden ohne unnötige Verzögerung und innerhalb des Zeitrahmens, der nach den geltenden Datenschutzgesetzen vorgeschrieben ist, über einen Verstoß informiert.
  • Wir haben unsere Datenschutzrichtlinie überarbeitet, um die Anforderungen der geltenden Datenschutzgesetze hinsichtlich unserer Datenbestände, Datenflüsse und Datenverarbeitungspraktiken zu berücksichtigen.

Wie VWO Unternehmen dabei hilft, DSGVO-bereit zu werden

Bei VWO legen wir größten Wert darauf, dass die Daten unserer Kunden sicher und leicht zugänglich sind. Wir arbeiten beständig daran, dass unsere internen Datenpraktiken DSGVO-fähig sind. Aber wir unterstützen auch unsere Kunden und Partner auf ihrem Weg zur Einhaltung der Vorschriften. In diesem Sinne haben wir die folgenden Aktualisierungen auf der VWO-Plattform eingeführt:

  VWO-Eigenschaften So funktioniert es
Speicherung und Verwaltung der personenbezogenen Daten der Besucher Besucheraufzeichnungen

Standardmäßig anonymisiert VWO alle Tastatureingaben, um zu vermeiden, dass persönliche oder sensible Daten auf den VWO-Servern gespeichert oder übertragen werden. Wir haben neue Funktionen zur Anonymisierung der folgenden Punkte hinzugefügt:

  • Den gesamten Text im HTML-Body ausblenden.
  • Whitelist mit CSS-Selektorpfad: Diese Option kann verwendet werden, um ein Eingabe-/Nicht-Eingabefeld oder Textbeschriftungen gezielt zu anonymisieren oder auf eine Whitelist zu setzen.
  • Anonymisierung eines bestimmten Elements durch „nls_protected class“.

Mehr lesen

Benutzerdefinierte Dimensionen

Wir haben den Prozess der Erstellung benutzerdefinierter Dimensionen aktualisiert, um die folgenden neuen Funktionen einzubeziehen:

Standardmäßig filtert VWO alle eingehenden Daten mit persönlichen Informationen (E-Mail-Adresse, Kreditkartennummer u. a.) heraus.

Usern wird empfohlen, alle eingehenden Daten zu verschlüsseln.

Mehr lesen

Informationen zum Standort

Kunden können nun selbst bestimmen, welche Standortinformationen von Besuchern gespeichert werden, oder die Speicherung von Standortinformationen komplett deaktivieren.

Mehr lesen

Standardmäßig ersetzt VWO das letzte Oktett der IP-Adresse durch Nullen, bevor sie gespeichert wird. Kunden können diese Einstellung nun anpassen und die Speicherung der IP-Adresse deaktivieren.

Mehr lesen

Einholung der Zustimmung On-Page-Befragungen

Wir haben die Option hinzugefügt, den User zu Beginn jeder Umfrage um Zustimmung zu bitten. Die Nachricht kann auch Links zu Richtlinien und anderen Informationen enthalten.

Mehr lesen

Browser-Datenschutzeinstellungen

Kunden können ihre Datenschutzeinstellungen in der VWO-App so konfigurieren, dass keine Daten von Website-Besuchern aufgezeichnet werden, die in ihren Browsern „Do Not Track“ aktiviert haben.

Mehr lesen

Data Subject Rights Sicherheitseinstellungen

Kunden können über die UUID eines Besuchers Daten über die User ihrer Website oder mobilen App anfordern. VWO generiert einen Link, der alle Daten für eine bestimmte UUID oder potenzielle personenbezogene Daten wie URLs und Besucheraufzeichnungen für einen bestimmten Zeitraum sammelt.

Mehr lesen

Sicherheitseinstellungen

Kunden können die Löschung der Daten ihrer Website- oder App-Besucher mittels der UUID eines Users beantragen.

Mehr lesen

Was wir tun, um sicherzustellen, dass Sie das VWO-Produkt in einer DSGVO-konformen Art und Weise nutzen können

Die DSGVO fokussiert auf die Einhaltung der Vorschriften auf Unternehmensebene, nicht auf Produktebene. Wir messen jedoch der Art und Weise, wie wir unsere Produkte entwickeln, größte Bedeutung bei und haben einen „Privacy and Security by Design“-Ansatz gewählt. Unsere Produkte werden unter Berücksichtigung des Datenschutzes und der Sicherheit entwickelt. Sie sind zentrale Bestandteile unseres Entwicklungsprozesses.

Als für die Datenverarbeitung Verantwortlicher müssen Sie sicherstellen, dass Sie Ihren eigenen Verpflichtungen gemäß der DSGVO nachkommen. Wenn Sie jedoch ein VWO-Produkt kaufen, möchten wir sicherstellen, dass Sie unser Produkt in einer DSGVO-kompatiblen Art und Weise nutzen und so Ihre Verpflichtungen gemäß der DSGVO möglichst leicht erfüllen können. Zum Beispiel gestalten wir unsere Produkte so, dass sie die Datenminimierung erleichtern und einen besseren Einblick in und eine bessere Kontrolle über Ihre Datenflüsse bieten.

Ich bin Kunde von VWO Payment Security. Wie kann ich sicher sein, dass die DSGVO-Anforderungen in Bezug auf die Sicherheit eingehalten werden?

VWO verfügt über strenge Sicherheitsrichtlinien, um die DSGVO einzuhalten. Unseren hohen Sicherheitsstandard bestätigen mehrere Validierungen unserer SaaS-Angebote durch Dritte. Die Zahlungssicherheit von VWO entspricht den strengen PCI-Standards, die die Verschlüsselung von Daten in Bewegung und im Ruhezustand beinhalten. Wir verfügen über einen robusten Plan zur Reaktion auf Vorfälle, der monatlich überprüft und jährlich in Form von Table-Top-Übungen geübt wird, um sicherzustellen, dass wir auf alle Sicherheitsvorfälle vorbereitet sind. Sollte es zu einer Verletzung des Schutzes personenbezogener Daten kommen, von der Sie betroffen sind, wird VWO Sie unverzüglich darüber informieren, damit Sie Ihren Verpflichtungen gemäß der Datenschutz-Grundverordnung nachkommen können.

FAQs

Was ist die DSGVO?

Die EU-Datenschutz-Grundverordnung (DSGVO) ist ein Wendepunkt im Bereich des Datenschutzes und der Datenschutzgesetze. Die EU hat erkannt, dass sich die Technologie in den letzten Jahrzehnten zwar drastisch weiterentwickelt hat, nicht aber die Datenschutzgesetze. Im Jahr 2016 beschlossen die EU-Regulierungsbehörden, die derzeitige Datenschutzrichtlinie zu aktualisieren, um sie an die neuen Gegebenheiten anzupassen. Dieses Gesetz enthält eine umfassende Liste von Vorschriften, die die Verarbeitung der personenbezogenen Daten von EU-Bürgern regeln.

Für wen gilt die DSGVO?

Die DSGVO gilt für jede Organisation, die mit den personenbezogenen Daten von in der EU ansässigen Personen arbeitet. Dieses Gesetz führt neue Verpflichtungen für Datenverarbeiter ein und legt gleichzeitig die Verantwortlichkeit der für die Datenverarbeitung Verantwortlichen klar fest.

Wo gilt die DSGVO?

Dieses Gesetz kennt keine territorialen Grenzen. Wo auch immer Ihr Unternehmen seinen Sitz hat – wenn Sie personenbezogene Daten von Personen in der EU verarbeiten, fallen Sie unter das Gesetz.

Was sind die Sanktionen bei Nichteinhaltung?

Ein Verstoß gegen die DSGVO kann mit einer Geldstrafe von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist) geahndet werden.

Wer sind die wichtigsten Stakeholder?

  • Betroffene Person – natürliche Person mit Wohnsitz in der EU, Gegenstand der Daten
  • Datenverantwortlicher – bestimmt den Zweck und die Mittel der Datenverarbeitung
  • Datenverarbeiter – verarbeitet Daten auf Anweisung des Datenverantwortlichen
  • Aufsichtsbehörden – Öffentliche Behörden, die die Anwendung der Verordnung überwachen

Was sind personenbezogene Daten oder persönlich identifizierbare Informationen (PII)?

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es gibt zwei Arten von Identifikatoren: direkte (z. B. Name, E-Mail, Telefonnummer usw.) und indirekte (z. B. Geburtsdatum, Geschlecht usw.).

Was meint die DSGVO mit Datenschutz „by design and by default”?

Datenschutz „by design“ bedeutet, dass nur solche personenbezogenen Daten erhoben werden, die auch wirklich benötigt werden, und dass Datenschutzmerkmale und -funktionen bereits bei der Konzeption von Produkten und Dienstleistungen berücksichtigt werden.

Datenschutz „by default” bedeutet, dass die Unternehmen geeignete Maßnahmen ergreifen müssen, um die Risiken für den Schutz der Privatsphäre zum Zeitpunkt der Datenerhebung zu mindern. Das gilt im Weiteren auch für VWO als Datenverarbeiter.

Auf welche Rechtsgrundlagen kann sich der für die Datenverarbeitung Verantwortliche stützen?

Der für die Datenverarbeitung Verantwortliche kann aus sechs Datenverarbeitungsgrundlagen wählen. Diese sind:

Einwilligung – Auch die Einwilligung ist eine Rechtsgrundlage für die Verarbeitung von Daten. Die Einwilligung der betroffenen Person ist „jede Willensbekundung, die ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich erfolgt und mit der die betroffene Person durch eine Erklärung oder eine eindeutige bestätigende Handlung ihr Einverständnis mit der Verarbeitung sie betreffender personenbezogener Daten zum Ausdruck bringt“.

Vertrag – Dies ist der Fall, wenn Sie die personenbezogenen Daten des Kunden verarbeiten müssen, um Ihre vertraglichen Verpflichtungen zu erfüllen oder um eine Maßnahme auf der Grundlage der Anfrage des Kunden zu ergreifen (z. B. die Zusendung eines Angebots oder einer Rechnung).

Rechtliche Verpflichtung – Dies gilt, wenn Sie einer Verpflichtung nach geltendem Recht nachkommen müssen (z. B. Bereitstellung von Informationen bei berechtigten Anfragen, wie z. B. eine behördliche Untersuchung).

Lebenswichtige Interessen – Dies gilt für dringende Angelegenheiten, bei denen es um Leben und Tod geht, insbesondere in Bezug auf Gesundheitsdaten.

Öffentliche Aufgabe – Dies gilt für Aktivitäten von Behörden.

Berechtigte Interessen – Zu den berechtigten Interessen können kommerzielle Interessen, wie z. B. Direktmarketing, individuelle Interessen oder allgemeiner gesellschaftlicher Nutzen gehören. Der für die Datenverarbeitung Verantwortliche muss die Entscheidungen in Form einer Bewertung der berechtigten Interessen dokumentieren und aufbewahren.

Was ist LIA?

  • LIA steht für Legitimate Interests Assessment. Es handelt es sich um eine Begründung, warum eine Organisation die personenbezogenen Daten eines Kunden verarbeiten möchte. LIA dient dem Nachweis, dass die Verarbeitung notwendig ist.

  • Die Beurteilung, ob ein berechtigtes Interesse vorliegt. Die Feststellung der Notwendigkeit der Verarbeitung.

Wo befinden sich meine Daten?

Als Kunde von VWO können Sie wählen, wo wir die Benutzer-/Besucherdaten Ihres Kontos speichern sollen, und eines der folgenden drei Rechenzentren auswählen:

  • Das Europe-West1-Rechenzentrum von GCP befindet sich in Belgien / EU
  • Das us-east4-Rechenzentrum von GCP befindet sich in Nord-Virginia/USA
  • Das asia-south1 Rechenzentrum von GCP befindet sich in Mumbai / Indien

Wenn Sie sich für ein EU-Rechenzentrum entscheiden, werden alle Ihre Besucher-/Benutzerdaten ausschließlich in der EU gespeichert und nicht in ein Land übertragen, das nicht Mitglied der EU ist.

 

Wo finde ich zusätzliche Informationen zur DSGVO?

Hier finden Sie einige Links zu weiteren Informationen über die DSGVO:

Wann tritt die DSGVO in Kraft?

Die DSGVO wurde im April 2016 vom EU-Parlament gebilligt und angenommen. Sie trat nach einer zweijährigen Übergangszeit am 25. Mai 2018 in Kraft.

Wen betrifft die DSGVO?

Die DSGVO gilt nicht nur für Organisationen innerhalb, sondern auch für Organisationen außerhalb der EU, wenn sie den betroffenen Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten überwachen. Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von betroffenen Personen mit Wohnsitz in der Europäischen Union verarbeiten und speichern, unabhängig vom eigenen Standort.

Was ist der Unterschied zwischen einem Datenverarbeiter und einem Datenverantwortlichen?

Der Datenverantwortliche legt die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten fest, während ein Datenverarbeiter die personenbezogenen Daten im Auftrag des Datenverantwortlichen verarbeitet.

Gerne können Sie uns Ihre Fragen und Bedenken unter privacy@wingify.com mitzuteilen

Zuletzt aktualisiert am: 11.01.2022

Dies ist nur eine Übersetzung der englischen Seite zum Datenschutz für Lokalisierungs- und Referenzzwecke und darf nicht als Grundlage für rechtliche Zwecke verwendet werden. Die tatsächlich geltenden Bedingungen sind auf der englischen Seite zu finden.

Vertrauen Sie auf Datensicherheit auf Enterprise-Niveau

Mit Zertifizierungen wie ISO 27001:2013, ISO 27701:2019 und SOC 2 Typ II erfüllt VWO ein hohes Maß an Datenschutz und -sicherheit, wie es von Weltklasse-Unternehmen erwartet wird.

GDPR Icon