Dieses Dokument erläutert, welche personenbezogenen Daten wir sammeln, wie und wo wir diese Daten einsetzen dürfen, wie wir sie schützen, wer darauf zugreifen kann, mit wem wir sie teilen und wie Sie an den von uns gesammelten Daten Korrekturen vornehmen können. Diese Datenschutzerklärung gilt ausschließlich für die von Bitdefender verwalteten Bitdefender-Unternehmenslösungen; für die Diebstahlschutz- und Human Risk-Dienste gelten zudem weitere Datenschuterklärungen, die in Abschnitt 7 und 8 ausführlich dargelegt werden. Falls Sie ein Privatanwender oder Besucher unserer Website sind, lesen Sie unsere öffentliche Datenschutzerklärung für Informationen, welche personenbezogenen Daten wir verarbeiten dürfen. Sie finden diese auf unserer Website unter https://www.bitdefender.com/site/view/legal-privacy.html.
S.C. BITDEFENDER S.R.L. („Bitdefender“), mit Hauptsitz in Bukarest, 6th District, 15A Sos. Orhideelor, Orhideea Towers Building, 9-12 Floors, eingetragen unter Nr. J40/20427/2005 im Handelsregister Bukarest, Umsatzsteuer-ID RO18189442, E-Mail privacy@bitdefender.com, verarbeitet personenbezogene Daten im Einklang mit den rumänischen Datenschutzgesetzen und der DSGVO – Datenschutz-Grundverordnung (Verordnung 2016/679). Sie können unseren Datenschutzbeauftragten kontaktieren unter: Bitdefender-Datenschutzstelle – dpo@bitdefender.com, Telefon: 4021-206-34-70. Bitdefender vertreibt Lösungen und Dienstleistungen für die Datensicherheit. Unser oberstes Ziel ist es, Informations- und Netzwerksicherheit durch die Bereitstellung qualitativ hochwertiger Lösungen und Dienstleistungen für diese Bereiche sicherzustellen und dabei die Privatsphäre und personenbezogenen Daten von Kunden, Internetnutzern und Geschäftspartnern zu respektieren. Aus diesem Grund erheben wir nach bestmöglichem Bemühen ausschließlich solche personenbezogenen Daten, die für die angegebenen Zwecke benötigt werden. Für die erhobenen Informationen und Daten streben wir stets danach, geeignete Lösungen zur Anonymisierung, zumindest aber zur Pseudonymisierung, einzusetzen. Unser Leitprinzip für den Umgang mit den gesammelten Daten lautet Anonymisierung aller technischen Daten, die von Bitdefender nur für die im Folgenden beschriebenen Zwecke genutzt werden dürfen. In Fällen, in denen eine vollständige Anonymisierung der technischen Daten technisch nicht möglich ist, ist die potenzielle Identifizierung eines Nutzers äußerst unwahrscheinlich. Nach Definition der europäischen Rechtsvorschriften (Verordnung 2016/679) gelten als personenbezogene Daten: "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;". In diesem Zusammenhang verarbeitet Bitdefender personenbezogene Daten aus seinen Bitdefender-Unternehmenslösungen ausschließlich zum Zwecke der Sicherstellung der Netzwerk- und Informationssicherheit durch:
Die Aufzeichnung, Speicherung, Verwendung und Verwaltung aller von Bitdefender gesammelten personenbezogenen Daten erfolgt auf geschützten Servern sowie auf anderen Geräten, die dabei die branchenüblichen Sicherheitsmaßnahmen gewährleisten. Darüber hinaus werden alle Bitdefender-Website auf geschützten Servern gehostet, die die branchenüblichen Sicherheitsmaßnahmen gewährleisten. Bitdefender kann personenbezogene Daten von den betroffenen Personen als Nutzer der Bitdefender-Unternehmenslösungen erfassen. Diese sind beschränkt auf technische und lizenzbezogene Daten, welche unter Umständen auch personenbezogene Daten umfassen können:
- wenn Ihnen eine Lizenz zur Verfügung gestellt wird, kann Ihr Arbeitgeber oder Partner zum Beispiel Ihre Geschäftskontaktdaten, so zum Beispiel E-Mail-Adresse oder Telefonnummer, an uns weitergeben, damit wir Sie zur Bereitstellung von Updates, Benachrichtigungen oder Support-Dienstleistungen kontaktieren können. Wenn Sie das Support Center aufrufen, können wir Sie bitten, eine gültige E-Mail-Adresse oder Telefonnummer und/oder andere technische Informationen anzugeben, damit wir uns zur Bereitstellung der Support-Dienste mit Ihnen in Verbindung setzen können. Derartige Daten werden verwendet, um einen bestimmten Nutzer eine Lizenz für die Nutzung unserer Bitdefender-Unternehmenslösungen bereitzustellen; von Ihnen an uns gerichtete Anfragen oder Beschwerden zu bearbeiten oder technischen Support zu leisten. Bitdefender kann Sie zudem bitten, weitere Daten anzugeben, die als personenbezogenen Daten angesehen werden könnten, wenn diese für die Lösung eines von Ihnen an uns herangetragenen Problems im Zusammenhang mit der Informationssicherheit erforderlich werden. Weitere Details werden bei der Nutzung eines bestimmten Kommunikationstools mit uns geteilt. Die für Lizenzinformationen genutzten Daten werden für die Dauer des Vertrages und weitere fünf Jahre nach dessen Beendigung aufbewahrt, um uns gegen etwaige Rechtsansprüche im Zusammenhang mit Vertragsfragen verteidigen zu können.Die für Support-Dienste genutzten Daten werden über verschiedene Zeiträume hinweg aufbewahrt, die sich insbesondere danach richten, ob das Problem gelöst wurde und welche Form der Kommunikation konkret im Zusammenhang mit den Support-Diensten genutzt wurde. In keinem Fall werden die Daten für mehr als fünf Jahre nach der letzten Kommunikation aufbewahrt, um uns gegen etwaige Rechtsansprüche im Zusammenhang mit Vertragsfragen verteidigen zu können.
– bei der Nutzung von Bitdefender-Unternehmenslösungen ist es möglich, bestimmte technische Details an uns weiterzugeben, so zum Beispiel Informationen zur eindeutigen Identifizierung eines Geräts (UDID), eine von Ihnen gemeldete infizierte URL oder IP-Adressen. Falls Sie eine Bitdefender-Unternehmenslösung nutzen, die mit Ihrem E-Mail-Server integriert ist, können gewisse technische Daten zu infizierten Dateien an uns übertragen werden, darunter auch Daten wie Absender, Empfänger, Betreff oder Anhang. In den meisten Fällen sind diese technischen Daten nicht geeignet, Sie direkt oder indirekt persönlich zu identifizieren, jedoch kann es in ganz besonderen Fällen möglich sein, dass ein IT-Experte einen bestimmten Computer identifiziert. Aus diesem Grund behandeln wir derartige Informationen grundsätzlich wie personenbezogene Daten und schützen sie dementsprechend. Diese Informationen dienen ausschließlich der Absicherung der Informationen und Netzwerke durch die Sicherstellung des ordnungsgemäßen und effizienten Betriebs unserer Lösungen und Dienste entsprechend den technischen Spezifikationen und ihrer Verbesserung, einschließlich der Analyse von gemeldeten Sicherheitsproblemen. Dies umfasst auch die Bereitstellung und Individualisierung der zugehörigen Dienstleistungen. Darüber hinaus können diese Informationen für statistische Zwecke und zur Verbesserung der Lösungsqualität eingesetzt werden. Diese Daten werden für einen begrenzten Zeitraum gespeichert, der sich nach der Nützlichkeit dieser Daten im Zusammenhang mit aktuellen Anforderungen hinsichtlich der Informationssicherheit richtet. Angesichts der aktuellen Geschwindigkeit des technologischen Wandels werden wir diese nicht länger als zehn Jahre nach dem Zeitpunkt der Erfassung benötigen.
Bitdefender verarbeitet personenbezogene Daten aus seinen Bitdefender-Unternehmenslösungen auf Grundlage der berechtigten Interessen von Bitdefender, aber auch der berechtigten Interessen der betroffenen Personen, die es schützen möchte, ausschließlich zum Zwecke der Sicherstellung der Netzwerk- und Informationssicherheit, wie in Erwägungsgrund 47 der DSGVO angeführt. Die Art und Weise der Verwaltung dieser Daten wird die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erforderlich machen, nicht beeinträchtigen. Wie oben erläutert, folgen wir im Zusammenhang mit den erfassten Daten dem Grundsatz der Datensparsamkeit, damit alle erfassten Daten standardmäßig anonymisiert werden. Als führender Anbieter von Diensten für die Informationssicherheit sind Vertraulichkeit und Datenschutz für uns von zentraler Bedeutung. Der Zugriff auf die gesammelten personenbezogenen Daten bleibt ausschließlich Bitdefender-Mitarbeitern und Datenverarbeitern vorbehalten, die den Zugriff auf diese Informationen benötigen, wie im Folgenden erläutert. Alle Bitdefender-Richtlinien zur Informationssicherheit sind nach ISO 27001 zertifiziert.
Grundsätzlich gibt Bitdefender keine persönlichen Daten der betroffenen Personen an Dritte weiter, mit Ausnahme der im Folgenden und in Abschnitt 6 genannten Ausnahmen.
Bitdefender kann zur Verarbeitung der gesammelten personenbezogenen Daten unter Umständen auf andere Unternehmen zurückgreifen, jedoch nur bei Bedarf und ausschließlich zum Zwecke der Durchführung der durch Bitdefender beauftragten Tätigkeiten. Diese Unternehmen gelten als Datenverarbeiter und sind vertraglich verpflichtet, die Vertraulichkeit der verarbeiteten Daten und mindestens das gleiche Sicherheitsniveau wie Bitdefender zu gewährleisten. Datenverarbeiter sind verpflichtet, Dritten eine Verarbeitung der personenbezogenen Daten im Namen von Bitdefender nur mit vorhergehender Genehmigung durch Bitdefender und nur gemäß den Anweisungen von Bitdefender zu gestatten und Sicherheit und Vertraulichkeit der Daten zu gewährleisten, wenn sie diese aufrufen, verwenden und/oder aufbewahren.
Bitdefender kann personenbezogene Daten sowohl in Rumänien, Irland als auch in Ländern der Europäischen Union sowie in anderen Rechtsräumen hosten oder übermitteln, die einen angemessenen Schutz personenbezogener Daten gemäß EU-Standards (Art. 45 DSGVO) oder anderer angemessener Schutzmaßnahmen, einschließlich Standardvertragsklauseln (Art. 46.2 DSGVO) gewährleisten.
Im Falle der Bitdefender-Unternehmenslösungen wird der Großteil der Daten intern gehostet und verwaltet. Für gewisse Daten setzen wir jedoch unter Umständen die folgenden Arten von Datenverarbeitern für Dienste mit Sitz in der EU und den USA ein:
Aufgrund von Geheimhaltungsverpflichtungen werden konkrete Informationen zu eingesetzten Verarbeitern den zuständigen Behörden mitgeteilt.
Bitdefender kann jedoch personenbezogene Daten an zuständige Behörden weitergeben, wenn diese gemäß den geltenden Gesetzen darum ersuchen oder wenn dies zum Schutz der Rechte und Interessen unserer Kunden und von Bitdefender erforderlich ist.
Laut DSGVO sind die betroffenen Personen berechtigt, auf die Daten zuzugreifen, die Daten richtigzustellen, die Daten löschen zu lassen und keiner individuellen Entscheidung unterworfen zu werden. Betroffene Personen sind zudem berechtigt, die Verarbeitung ihrer personenbezogenen Daten einzuschränken, die Löschung ihrer erfassten personenbezogenen Daten zu verlangen und ihre Daten zu übertragen.
Bei Datenverarbeitungen, die auf einer Einwilligung beruhen, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen.
Zur Ausübung dieser Rechte können Sie eine schriftliche, datierte und unterschriebene Anfrage an den Bitdefender-Datenschutzbeauftragten oder per E-Mail an privacy@bitdefender.com senden.
Die betroffenen Personen sind keinen Entscheidungen unterworfen, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhen und die Rechtswirkungen entfalten können oder die betroffenen Personen in ähnlicher Weise erheblich beeinträchtigen.
Betroffene Personen sind zudem berechtigt, eine Beschwerde bei einer Aufsichtsbehörde einzureichen und sich an ein Gericht zu wenden.
Falls Sie ein Nutzer der Bitdefender-Unternehmenslösungen sind, ist es möglich, dass ein weiteres Unternehmen (in der Regel Ihr Arbeitgeber als unser Unternehmenskunde oder ein Partner, der unsere Dienste anbietet) ebenfalls als gemeinsamer Verantwortlicher für die Verarbeitung einiger der durch die Bitdefender-Unternehmenslösungen erfassten Daten auftritt, insbesondere für solche Daten, die in der Bitdefender GravityZone Console zum Zwecke der Informationssicherheit vorliegen. Gemäß unserer mit den gemeinsamen Datenverantwortlichen getroffenen Vereinbarung tragen diese Unternehmen die volle Verantwortung für die von ihnen verarbeiteten personenbezogenen Daten und müssen Sie über alle Aspekte ihrer Verarbeitung personenbezogener Daten informieren, so auch über die Rechtsgrundlage für die Verarbeitung der Daten und alle Erhebungszwecke einschließlich dem Zwecke der Informationssicherheit.
Dieser Abschnitt ergänzt die Datenschutzerklärung um konkrete Informationen zur Verarbeitung von Informationen, bei denen es sich um personenbezogene Daten handeln kann und die von Bitdefender im Zusammenhang mit seinen Diebstahlschutzdiensten gesammelt werden, falls diese in den von Ihnen genutzten Bitdefender-Unternehmenslösungen aktiv sind. Einige der Bitdefender-Unternehmenslösungen umfassen eine Diebstahlschutzoption sowohl für Mobiltelefonlösungen als auch für Tablets und Laptops. Nach Aktivierung und Konfiguration kann über die Diebstahlschutzoption der Standort eines verlorenen oder gestohlenen Gerätes in Echtzeit nachverfolgt werden. Dieser Bitdefender-Dienst bietet neben der Option zur Standortbestimmung eine Reihe weiterer damit verbundener Optionen an, so zum Beispiel die Fernsperrung des Gerätes, die Löschung sämtlicher Geräteinhalte oder das Fotografieren von Personen, die unautorisiert auf das Gerät zugreifen. Weitere Informationen dazu finden Sie hier. Werden diese Diebstahlschutzdienste aktiviert, können personenbezogene Daten wie zum Beispiel Standortdaten per GPS, Funkzellen, WLAN-Nutzung oder IP-Adresse an Bitdefender übermittelt werden. Die Verarbeitung dieser Daten dient ausschließlich dem Zweck, die Informationssicherheit über den Bitdefender-Diebstahlschutzdienst zu gewährleisten. Für eine präzise Standortermittlung greifen wir unter Umständen auf Drittverarbeiter zurück. Sämtliche Daten werden zum Großteil im EU-Raum gehostet. Es ist jedoch auch möglich, dass gewisse Daten in den USA durch Verarbeiter gehostet werden, die persönliche Daten gemäß EU-Standards in angemessenem Maße schützen (Art. 45 DSGVO) oder andere geeignete Garantien bieten, z. B. Standardvertragsklauseln (Art. 46.2 DSGVO). Alle Standortinformationen werden für die Dauer der Aktivierung des Diebstahlschutzdienstes aufbewahrt und werden bei Deaktivierung des Dienstes wieder gelöscht. Demnach kann der Administrator einer Bitdefender-Lösung über die Administratorrechte für Bitdefender-Dienste und -Lösungen verfügen. Auf Geräten, auf denen die Diebstahlschutzdienste installiert sind, kann er oder sie dadurch Befehle per Fernzugriff ausführen. In diesem Zusammenhang obliegt es dem Administrator sicherzustellen, dass er oder sie gesetzlich berechtigt ist, diese Aktionen durchzuführen, und dass er oder sie berechtigt ist, den Standort zu kennen, per Fernzugriff Fotos aufzunehmen, die Geräteinhalte zu blockieren oder zu löschen oder auf irgendeine andere Weise mit ihm zu interagieren.
Dieser Abschnitt ergänzt die Datenschutzerklärung um konkrete Informationen zur Verarbeitung von Informationen, bei denen es sich um personenbezogene Daten handeln kann und die von Bitdefender im Zusammenhang mit seinen Human Risk Analytics-Diensten gesammelt werden, sofern diese in den von Ihnen genutzten Bitdefender-Unternehmenslösungen aktiv sind. Der einzige Zweck dieser Datenerfassung besteht darin, Benutzeraktionen und -verhaltensweisen zu identifizieren, die ein Sicherheitsrisiko für das Unternehmen darstellen. Dies wird mit einer datenschutzfreundlichen Lösung umgesetzt, indem Daten ausschließlich auf den lokalen Endpoints verarbeitet werden, um potenzielle Sicherheitsrisiken durch den Faktor Mensch zu identifizieren. Das generische Ergebnis wird in der GravityZone-Konsole angezeigt, die nur dem Administrator der Lösung zugänglich ist, zusammen mit einer allgemeinen Bewertung des Risikofaktors Mensch. Die Daten werden von Bitdefender nicht für andere Zwecke verwendet. Weitere technische Daten über die Verarbeitung der Daten finden Sie in der technischen Dokumentation der Unternehmenslösungen und auf unserer Website.
Die Datenschutzerklärung wurde an dem im Titel des Dokuments genannten Datum verabschiedet und wird bei Bedarf geändert, ohne vorherige oder nachträgliche Benachrichtigung über die Änderungen. Die neue Version tritt mit der Veröffentlichung auf der Website in Kraft und wird entsprechend gekennzeichnet. Das vorliegende Dokument ist verfügbar unter https://www.bitdefender.com/site/view/legal-privacy.html.
