Datenverarbeitungsrichtlinie

1 Einführung

1.1 Geltungsbereich

Diese Richtlinie gilt für alle Nutzer, die berechtigterweise auf sensible Daten zugreifen müssen, einschließlich, aber nicht beschränkt auf die Verarbeitung von Daten für Kunden und Kollegen.

1.2 Zweck

Im Zuge der Erbringung von Dienstleistungen kann es vorkommen, dass Sphera sensible Daten erhält, speichert und auf Sphera-Systemen verwaltet. Aufgrund vertraglicher, gesetzlicher und behördlicher Verpflichtungen muss Sphera diese Daten jederzeit streng vertraulich behandeln. In dieser Richtlinie werden die Erwartungen von Sphera in Bezug auf die Übermittlung, Speicherung, Verarbeitung, Aufbewahrung, den Schutz und die Entsorgung sensibler Daten, die Sphera im Rahmen der Geschäftstätigkeit zur Verfügung gestellt werden, dargelegt. Diese mit Wirkung vom 1. Oktober 2019 geltende Richtlinie legt die Grundsätze von Sphera Solutions, Inc., einer Gesellschaft nach dem Recht des Bundesstaates Delaware („Sphera“), in Bezug auf personenbezogene Daten fest.

1.3 Definitionen

Nutzer – Beschäftigte von Sphera, Auftragnehmer, Partner, Bewerber oder Dritte, die mit Sphera Geschäftsbeziehungen unterhalten.

Sensible Daten – alle Daten, die als vertraulich oder als Kundendaten eingestuft werden.

2 Richtlinie

Die Verwendung sensibler Daten sollte immer mit größter Sorgfalt erfolgen und unterliegt den Datenklassifizierungsrichtlinien von Sphera. Da der Schutz sensibler Daten für die Geschäftstätigkeit von Sphera von entscheidender Bedeutung ist, sollten alle Fragen zum richtigen Umgang mit sensiblen Daten an den Datenschutzbeauftragten von Sphera unter dpo@sphera.com gerichtet werden.

3 Sensible Daten

3.1 Datenschutz

Sphera erfüllt die Datenschutzbestimmungen und die Grundsätze der Datenschutzgrundverordnung („DSGVO“). Das bedeutet, dass sensible Daten wie folgt behandelt werden:

  • Sie werden gesetzeskonform, fair und auf transparente Weise verwendet.
  • Sie werden nur für zulässige Zwecke erhoben und nicht in einer Weise verwendet, die mit diesen Zwecken unvereinbar ist.
  • Sie sind korrekt und werden auf dem neuesten Stand gehalten.
  • Sie werden nur so lange wie nötig aufbewahrt.
  • Sie werden sicher aufbewahrt und durch geeignete technische und organisatorische Maßnahmen vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor Verlust oder Zerstörung geschützt.

Sphera hält sich an bewährte Verfahren und hat Abläufe etabliert, die den DSGVO-Richtlinien entsprechen. Alle sensiblen Daten, die im Unternehmen gespeichert sind, unterliegen der Kontrolle der Datenklassifizierungsrichtlinien von Sphera, die den Umgang mit allen internen oder sensiblen Daten innerhalb der Organisation regeln.

3.2 Übermittlung von Daten

Bei der Übermittlung sensibler Daten in Sphera-Systemen werden die folgenden Anforderungen eingehalten, um die Vertraulichkeit der Daten zu wahren:

  • Die Verarbeitung sensibler Daten darf nur zu den ausdrücklich genehmigten Zwecken in strikter Übereinstimmung mit den erbrachten Dienstleistungen und in Übereinstimmung mit den geltenden Rechtsvorschriften für den Datenschutz erfolgen.
  • Vor der Übermittlung an Sphera sollten sensible Daten bereinigt werden, um die Übermittlung von Daten zu verhindern, die für den ursprünglichen Zweck nicht relevant sind.
  • Sensible Daten, die personenbezogene Daten (Personably Identifiable Information, PII) oder Daten der Zahlungskartenindustrie (Payment Card Industry, PCI) enthalten, sollten nur dann an Sphera übermittelt werden, wenn die Verwendung solcher Daten für die Erfüllung einer bestimmten Aufgabe unerlässlich ist.
  • Sensible Daten müssen stets mit vom NIST (National Institute of Standards and Technology) genehmigten Verschlüsselungsalgorithmen und Schlüssellängen verschlüsselt werden.
  • Bei symmetrischer Verschlüsselung muss der Schlüsselaustausch auf sichere Weise über einen Kommunikationskanal erfolgen, der von dem für den Datenaustausch verwendeten Kanal getrennt ist.
  • Für die elektronische Datenübertragung muss ein sicheres Dateiübertragungsprotokoll (z. B. SFTP) verwendet werden.
  • Die Datenübertragung über physische Datenträger muss über einen sicheren Kurier erfolgen und die Daten müssen mit vom NIST (National Institute of Standards and Technology) genehmigten Verschlüsselungsalgorithmen verschlüsselt werden.
  • Sensible Daten, die auf physischen Datenträgern enthalten sind, sollten gemäß der Datenvernichtungsrichtlinien von Sphera vernichtet werden.
  • Kooperation bei jeglicher Ermittlungsarbeit einer Regierungs- oder Aufsichtsbehörde oder einer internen Untersuchung bezüglich der Verarbeitung sensibler Daten.
3.3 Datenspeicherung

Bei Projekten, die die Speicherung sensibler Daten auf Sphera-Systemen erfordern, sollte die Datenspeicherung den folgenden Anforderungen entsprechen:

  • Die Installation von sensiblen Daten auf Systemen, die nicht Eigentum von Sphera sind, muss vom Chief Information Security Officer von Sphera genehmigt werden.
  • Falls dies nicht vor der Übermittlung erfolgt, sollten sensible Daten unmittelbar nach der Speicherung bereinigt werden, um die Speicherung von Daten zu verhindern, die nicht mit dem ursprünglichen Zweck der Verarbeitung in Zusammenhang stehen.
  • Sensible Daten müssen so gespeichert werden, dass sie ausreichend von anderen Daten getrennt sind, um eine angemessene Zugriffskontrolle zu gewährleisten.
  • Festplatten, die sensible Daten enthalten, müssen mit einer Verschlüsselung auf Festplattenebene versehen werden, die den aktuellen branchenüblichen Verfahren entspricht.
  • Alle Systeme, auf denen sensible Daten gespeichert sind, müssen über einen aktiven Virenschutz verfügen und die Sphera-Richtlinien zum Schwachstellenmanagement einhalten.
  • Mitarbeitende von Sphera dürfen keine sensiblen Daten auf ihren Firmencomputern oder mobilen Geräten speichern.
3.4 Datenschutz

Sphera stellt sicher, dass es nur Dritte und andere Beschäftigte einsetzt, die:

  • zur Wahrung des Daten- und Fernmeldegeheimnisses nach den geltenden Datenschutzgesetzen verpflichtet sind,
  • eine angemessene Schulung hinsichtlich ihrer Verantwortlichkeiten erhalten haben,
  • verpflichtet sind, sensible Daten streng vertraulich zu behandeln und Vertraulichkeitsverpflichtungen unterliegen, die über die Beendigung der Tätigkeit der Beauftragten und des sonstigen Personals hinaus bestehen. Sphera darf keiner Person die Verarbeitung sensibler Daten gestatten, die nicht einer solchen Geheimhaltungspflicht unterliegt.
  • Sphera darf ohne vorherige schriftliche Zustimmung keine sensiblen Daten an Dritte weitergeben.
  • Sphera darf ohne vorherige Benachrichtigung keine Dritten oder Subunternehmer beauftragen oder ihnen gestatten, auf sensible Daten zuzugreifen oder diese zu verarbeiten. Eine Ausnahme hiervon ist, dass Sphera die genannten Sphera-Vertreter und Subunternehmer einsetzen darf, um Sphera in Übereinstimmung mit den Bestimmungen dieser Richtlinie zu beliefern und zu unterstützen.
3.5 Datenzugriff

Um die Vertraulichkeit der von Sphera verarbeiteten sensiblen Daten zu gewährleisten, muss der Zugriff auf sensible Daten jederzeit streng kontrolliert werden.

  • Der Zugriff auf sensible Daten darf nur Mitarbeitenden von Sphera gewährt werden, die einen berechtigten Grund für einen solchen Datenzugriff haben.
  • Der Zugriff auf sensible Daten ist so zu gewähren, dass nur die Mindestzugriffsrechte gewährt werden, die für die Erfüllung einer zugewiesenen Aufgabe oder Rolle erforderlich sind.
  • Mitarbeitende von Sphera, die auf sensible Daten zugreifen, müssen eindeutige Zugangsdaten verwenden und sich an die Passwort-Richtlinien von Sphera halten.
  • Mitarbeitende von Sphera sollten ihre Computer nicht unbeaufsichtigt lassen, wenn sie eine offene Verbindung zu einem System mit sensiblen Daten haben.
  • Mitarbeitende von Sphera müssen Verbindungen zu Systemen mit sensiblen Daten sofort nach Beendigung ihrer Arbeit schließen.
  • Jeder Zugriff auf PII-Daten und PCI-Daten muss protokolliert werden.
3.6 Datenaufbewahrung und -vernichtung

Sphera trägt der Tatsache Rechnung, dass eine effiziente Verwaltung seiner Daten und Aufzeichnungen notwendig ist, um seine Kerngeschäftsfunktionen zu unterstützen, seine gesetzlichen, satzungsmäßigen und behördlichen Verpflichtungen zu erfüllen, den Schutz personenbezogener Daten zu gewährleisten und eine effektive Verwaltung des Unternehmens zu ermöglichen.

Diese Richtlinie und die zugehörigen Dokumente erfüllen die Standards und Erwartungen, die in den vertraglichen und gesetzlichen Anforderungen festgelegt sind, und wurden gemäß den bewährten Verfahren für die Verwaltung von Geschäftsunterlagen entwickelt, um einen strukturierten Ansatz für die Dokumentenkontrolle zu gewährleisten.
Eine effektive und angemessene Dokumenten- und Datenverwaltung ist für folgende Zwecke erforderlich:

  • Sicherstellung einer strukturierten, effizienten und rechenschaftspflichtigen Geschäftsabwicklung
  • Sicherstellung, dass das Unternehmen durch Verbesserungen der Qualität und des Informationsflusses sowie durch eine bessere Koordinierung der Aufzeichnungs- und Speichersysteme einen optimalen Nutzen erzielt
  • Unterstützung der Kerngeschäftsfunktionen und Erbringung von Nachweisen für das ordnungsgemäße Vorgehen und die angemessene Pflege von Systemen, Instrumenten, Ressourcen und Prozessen
  • Erfüllung der rechtlichen, gesetzlichen und behördlichen Anforderungen
  • Erbringung von Dienstleistungen für die Nutzer und Schutz von deren Interessen auf konsistente und ausgewogene Weise
  • Unterstützung bei der Erstellung von Dokumentenrichtlinien und bei der Entscheidungsfindung auf Führungsebene
  • Gewährleistung der Kontinuität im Katastrophenfall oder bei Sicherheitsverletzungen
  • Schutz personenbezogener Informationen und der Rechte der betroffenen Personen
  • Vermeidung von ungenauen oder irreführenden Daten und Minimierung der Risiken für personenbezogene Daten
  • Löschung von Daten in Übereinstimmung mit den gesetzlichen und behördlichen Anforderungen

Informationen, die länger als nötig aufbewahrt werden, bergen zusätzliche Risiken und Kosten und können gegen die Datenschutzvorschriften und -grundsätze verstoßen. Das Unternehmen bewahrt Aufzeichnungen und Informationen nur aus berechtigten oder gesetzlich vorgeschriebenen geschäftlichen Gründen auf und beachtet stets die Datenschutzgesetze, Leitlinien und bewährten Verfahren.

Es ist wichtig, dass sensible Daten nach Abschluss des Projekts, für das die Daten verarbeitet wurden, ordnungsgemäß entsorgt werden.

  • Alle Kopien von sensiblen Daten müssen sicher gelöscht werden.
  • Alle auf Wechseldatenträgern gespeicherten sensiblen Daten müssen gemäß der Datenvernichtungsrichtlinien von Sphera gelöscht werden.
3.7 Welche Arten von Informationen werden von Sphera verarbeitet?

Je nachdem, wie Sie mit uns in Kontakt treten, verarbeiten wir unterschiedliche Arten von Informationen. Zu diesen Daten gehören personenbezogene Daten, Nutzungsdaten und nutzergenerierte Daten.

  • Personenbezogene Daten sind alle Daten, die Sie oder eine andere Person identifizieren oder beschreiben. Personenbezogene Daten beziehen sich oft auf Informationen über die Person selbst, die Kommunikation, die Bewegungen und die Umgebung einer Person sowie ihr Verhalten im Internet und in der realen Welt. Diese Informationen müssen nicht zwangsläufig mit einer bekannten oder identifizierbaren Person in Verbindung gebracht werden. Daten, die stellvertretend für Personen stehen, wie z. B. die Seriennummer eines Geräts oder eine Kontonummer, können ebenfalls personenbezogene Daten sein, wenn sie die Person, die Kommunikation, die Bewegungen und die Umgebung sowie das Verhalten der Person oder der Personen, die das Gerät, das Konto oder eine andere stellvertretende Einrichtung nutzen, beschreiben oder sich anderweitig darauf beziehen. Einige Beispiele für personenbezogene Daten, die wir verarbeiten können, sind Ihr Name und Ihre Kontaktinformationen, Ihre staatlichen Ausweisnummern, Ihre Zahlungskarten- oder Bankdaten, Fotos von Ihnen usw. Wir erhalten personenbezogene Daten, indem wir sie direkt von Ihnen erheben, z. B. über Online-Formulare auf unseren Websites oder über unsere Produktregistrierungs- und Benutzerservicesysteme, über Berichte, die mit unseren Produkten und Dienstleistungen erstellt werden, über automatisierte Methoden, die in unsere Produkte, Dienstleistungen und Websites integriert sind, und von Dritten, mit denen wir Verträge abgeschlossen haben.
  • Nutzungsdaten sind Daten, die durch Ihre Nutzung eines Sphera-Produkts, -Dienstes oder einer Website generiert werden. Wenn Sie eine Sphera-Website besuchen, werden durch Ihr Internetverhalten Daten wie Protokolle erzeugt, die Informationen darüber enthalten, welche Seiten Sie besucht haben, mit welchen Inhalten Sie interagiert haben und wann Sie Seiten besuchen und mit Elementen auf diesen interagieren. Sphera-Produkte und -Dienstleistungen und die dazugehörige Software wie Webportale, mobile Anwendungen und andere Tools können ebenfalls Informationen generieren, wenn Sie diese nutzen. Wir sind berechtigt, diese Informationen zu erheben und sie wie in dieser Richtlinie beschrieben zu verwenden. Diese Informationen können Daten darüber enthalten, wie oft Sie unsere Produkte nutzen, leistungsbezogene Informationen wie Abstürze und Speicherverbrauch, Informationen darüber, wie Sie mit unseren Benutzeroberflächen interagieren, und andere Informationen über die Leistung unserer Produkte und Dienstleistungen.
  • Unsere Websites, Produkte und Dienste sowie die mit ihnen verbundenen Tools, Anwendungen und Software gestatten es Ihnen möglicherweise, eigene Inhalte zu erstellen und auf Ihre Sphera-Produkte hochzuladen oder in Arbeitsprodukte zu integrieren, die durch Ihre Nutzung der Sphera-Dienste entstehen. Diese nutzergenerierten Informationen variieren je nach den Produkten, Diensten oder Websites, mit denen Sie interagieren. Einige Beispiele sind Nachrichten, die Sie über unsere Websites an uns senden, Suchanfragen, Fotos, Videos und Tonaufnahmen, die Sie mit unseren mobilen Anwendungen erstellen, sowie Berichte, Diagramme und andere Dokumente, die Sie mit unseren Produkten erstellen, und die Arbeitsprodukte, die durch die Nutzung von Sphera-Dienstleistungen entstehen. Zu den nutzergenerierten Informationen können auch personenbezogene Daten gehören, z. B. wenn ein Nutzer eines unserer Produkte einen Bericht über einen Vorfall einreicht, an dem Sie und andere möglicherweise beteiligt waren.
3.8 Was geschieht mit den von uns verarbeiteten Informationen?

Wenn wir Informationen verarbeiten, tun wir dies, um unsere berechtigten Geschäftszwecke zu erfüllen. Dazu gehören:

  • Bereitstellung der angeforderten Funktionen. Viele Funktionen unserer Produkte, Dienstleistungen und Websites verarbeiten Informationen als Reaktion auf Ihre Anfragen. Wenn Sie beispielsweise ein Konto erstellen, erheben wir personenbezogene Daten wie Ihre E-Mail-Adresse, Ihr Passwort und Profilinformationen, damit Sie sich bei unseren Websites anmelden und unsere Produkte und Dienstleistungen nutzen können. Wenn Sie unsere Websites nutzen, um mit uns zu kommunizieren, erheben wir personenbezogene Daten und nutzergenerierte Daten wie Ihren Namen, Ihre Kontaktinformationen und den Inhalt Ihrer Nachricht und stellen sie den Personen zur Verfügung, die Ihnen antworten. Wenn Sie auf unseren Websites navigieren oder unsere Tools, Anwendungen und andere Software verwenden, erheben wir nutzergenerierte Informationen, die Sie uns zur Verfügung stellen, um sie in Berichte und andere Dokumente, die Sie erstellen möchten, einzubinden (die wiederum selbst nutzergenerierte Informationen sind). Wenn Sie EasyApply von LinkedIn nutzen, um sich auf eine offene Stelle zu bewerben, erhalten wir einen Link zu Ihrem Profil. Dieser wird von unserem HR- und Personalbeschaffungsteam verwendet, damit wir Ihre Fähigkeiten und Qualifikationen für die Stelle, auf die Sie sich beworben haben, effizient beurteilen können.
  • Schutz unserer Rechte. Wenn wir Softwareprodukte an Sie lizenzieren, behalten wir uns das Recht vor, personenbezogene Daten wie Ihre Kontoanmeldedaten und Informationen über die Computer und Mobilgeräte, die Sie für den Zugriff auf lizenzierte Produkte verwenden, sowie Nutzungsdaten wie die Anzahl der einzelnen Nutzer, die sich bei unserer Software anmelden, zu erheben, um die Einhaltung der Bedingungen unserer Lizenzverträge mit unseren Nutzern zu überwachen.
  • Unterstützung unserer Nutzer. Wir erheben Nutzungsdaten wie Fehler, die bei der Nutzung unserer Produkte, Dienstleistungen und Websites auftreten, sowie Protokolle, die beschreiben, wann und wie Sie mit unseren Benutzeroberflächen interagieren, damit wir technische Probleme, die bei Ihnen auftreten, besser diagnostizieren und beheben können.
  • Verbesserung unserer Produkte, Dienstleistungen und Websites. Wir sind berechtigt, die von uns erhobenen personenbezogenen Daten zu verwenden, um Sie zur Teilnahme an Umfragen, Fokusgruppen und anderen Foren aufzufordern, in denen wir Feedback zu Ihren Nutzererfahrungen einholen. Wir sind außerdem berechtigt, anonyme Nutzungsdaten über Fehler und Interaktionen mit unseren Benutzeroberflächen und Auszüge aus nutzergenerierten Daten wie Support- und Serviceanfragen zu erheben und zu verwenden. Wir verwenden diese Informationen, um Patches, Erweiterungen und andere Verbesserungen für unsere Produkte, Dienstleistungen und Websites zu identifizieren, zu priorisieren und zu entwickeln sowie um neue Produkte und Dienstleistungen zu entwickeln, die den Bedürfnissen unserer Nutzer entsprechen.
  • Werbung für unsere Produkte und Dienstleistungen.Wir verwenden personenbezogene Daten, die wir auf unseren Websites, bei von uns gesponserten Online- und persönlichen Veranstaltungen sowie beim Herunterladen von Publikationen, die wir selbst oder über Partner zur Verfügung stellen, erheben, um potenzielle Nutzer unserer Produkte und Dienstleistungen zu identifizieren und sie zu kontaktieren, um Verkaufsaktivitäten in die Wege zu leiten. Wir verwenden auch personenbezogene Daten, die wir von bestehenden Nutzern erhoben haben, zusammen mit Nutzungsdaten darüber, wie ihre Nutzer mit unseren Produkten und Dienstleistungen interagieren, sowie nutzergenerierte Daten, wie z. B. Fragen, die Sie an unsere Support-Teams gerichtet haben, um andere Sphera-Produkte und -Dienstleistungen zu identifizieren, an denen unsere Nutzer interessiert sein könnten, und um sie zu kontaktieren, um neue Geschäftsbeziehungen zu besprechen. Wir sind berechtigt, die von uns erhobenen personenbezogenen Daten mit Informationen zu ergänzen, die wir von Dritten erhalten haben, um unsere Daten über potenzielle Kunden zu ergänzen.
3.9 Wie sichern wir die von uns verarbeiteten Informationen?

Bei der Erhebung und Speicherung von Informationen auf unseren Systemen, wie in dieser Richtlinie beschrieben, wenden wir angemessene und geeignete administrative, physische und technische Sicherheitsvorkehrungen an, um unbefugten Zugriff, Offenlegung, Verwendung und Verlust von personenbezogenen und nutzergenerierten Informationen zu erkennen und zu verhindern. Zu diesen Sicherheitsvorkehrungen gehören die Überwachung und Prüfung unserer IT-Infrastruktur, die Verschlüsselung von Dateien bei der Übertragung und im Ruhezustand, strenge Passwortrichtlinien, die Beschränkung des Zugriffs auf nutzergenerierte und personenbezogene Daten auf Beschäftigte, die einen berechtigten Geschäftszweck verfolgen, und gegebenenfalls Datenschutzschulungen für unsere Beschäftigten. Wenn unsere Nutzer sich dafür entscheiden, unsere Produkte in ihren eigenen Netzwerken zu hosten, stehen die personenbezogenen und nutzergenerierten Daten vollständig unter der Kontrolle des Nutzers und unterliegen dessen individuellen Sicherheitsrichtlinien.
Sollten wir feststellen oder den begründeten Verdacht haben, dass ein unbefugter Zugriff, eine unbefugte Offenlegung, eine unbefugte Nutzung, ein unbefugter Verlust oder eine unbefugte Verarbeitung Ihrer personenbezogenen oder nutzergenerierten Daten stattgefunden hat (ein „Sicherheitsvorfall“), werden wir Sie innerhalb eines angemessenen Zeitraums über die bei uns gespeicherte E-Mail-Adresse informieren.

Sicherheitsvorkehrungen sind niemals zu 100 Prozent wirksam. Obwohl unsere Sicherheitsvorkehrungen ein angemessenes und geeignetes Maß an Schutz für die von uns verarbeiteten Daten bieten, können wir nicht garantieren, dass die von uns verarbeiteten Daten niemals von einem Sicherheitsvorfall betroffen sein werden.

3.10 Wie verwenden wir Cookies und andere Online-Tracking-Technologien?

Cookies, Web-Beacons und ähnliche lokale Objekte sind kleine Dateien, die Informationen aufzeichnen oder erheben. Cookies, Web-Beacons und ähnliche lokale Objekte sind kleine Dateien, die Informationen aufzeichnen oder sammeln. Unsere Websites legen sie auf Ihrem Computer ab, wenn Sie sie aufrufen. Unsere Dienstleistungsanbieter erheben Informationen, die diese lokalen Objekte auf Ihrem Computer ablegen, und verwenden diese Informationen wie in dieser Richtlinie beschrieben. Wir verwenden lokale Objekte auch, um personalisierte Einstellungen zu speichern, z. B. Ihre Anmeldeinformationen für Ihren nächsten Besuch auf unserer Website oder um Spracheinstellungen vorzunehmen. Weitere Informationen über die Verwendung lokaler Objekte finden Sie in unserer Cookie-Richtlinie.

3.11 Wie gehen wir mit den personenbezogenen Daten von Kindern um?

Unsere Produkte, Dienstleistungen und Websites sind nicht für die Nutzung durch Kinder bestimmt. Wir erheben niemals vorsätzlich Informationen von Kindern. Wenn wir feststellen, dass wir die personenbezogenen Daten eines Kindes vorsätzlich erhoben haben, werden diese gelöscht.

3.12 Mit wem teilen wir Informationen?

Wir geben die von uns erhobenen Informationen unter den folgenden Umständen an Dritte weiter:

  • Wenn dies gesetzlich vorgeschrieben ist. Wir übermitteln Informationen an Regierungsbehörden, die sich im Rahmen eines rechtsgültigen Verfahrens an uns wenden. Wenn diese Informationen personenbezogene Daten oder Ihre geschützten nutzergenerierten Daten umfassen, informieren wir Sie über behördliche Anfragen nach diesen Informationen, sofern dies gesetzlich zulässig ist.
  • Wenn wir Beziehungen zu Dienstleistern unterhalten. Wir sind berechtigt, im Rahmen unserer normalen Geschäftstätigkeit mit Dritten zusammenzuarbeiten, um in unserem Namen Dienstleistungen zu erbringen oder Produktfunktionen bereitzustellen. Beispiele hierfür sind Anbieter von Rekrutierungssoftware, Zahlungsabwickler, Hosting-Anbieter, Marketing- und Marktforschungsanbieter, Wiederverkäufer unserer Produkte und Dienstleistungen, Datenmakler, die uns dabei helfen, unsere Datensätze mit öffentlich zugänglichen Informationen zu ergänzen, sowie Call-Center und andere Dienstleister, die unsere Beschäftigten im Kundendienst unterstützen. Unsere Verträge mit Dienstleistern verpflichten diese, angemessene und geeignete Sicherheitsvorkehrungen für die von uns an sie weitergegebenen Informationen zu ergreifen und ihre Rechte zur Nutzung dieser Informationen auf Zwecke zu beschränken, die mit dieser Richtlinie in Einklang stehen.
  • Um unsere Rechte oder die Rechte von Dritten zu schützen. Wir sind berechtigt, Informationen an Rechtsberater, Wirtschaftsprüfer und zugehörige Dienstleister weiterzugeben, wenn es um die Bewertung oder Verfolgung potenzieller Ansprüche geht, die mit der Durchsetzung unserer vertraglichen oder sonstigen gesetzlichen Rechte oder der Rechte Dritter verbunden sind. Wir stellen durch entsprechende Maßnahmen sicher, dass wir nur die für diesen Zweck erforderlichen Informationen weitergeben und unterliegen gegebenenfalls Vertraulichkeitsverpflichtungen und Nutzungsbeschränkungen im Einklang mit dieser Richtlinie.
  • An die Partnerunternehmen von Sphera weltweit. Wir haben Beschäftigte und Betriebe in Ländern auf der ganzen Welt, die zusammenarbeiten, um Produkte und Dienstleistungen zu liefern und Informationen wie in dieser Richtlinie beschrieben zu verarbeiten. Diese Partnerunternehmen können sich in einem anderen Land als dem befinden, in dem Sie ansässig sind, einschließlich der Vereinigten Staaten von Amerika. Die Gesetze, die die Verarbeitung von Informationen, einschließlich personenbezogener Daten, regeln, sind von Land zu Land unterschiedlich und können sich von den Gesetzen in Ihrem Heimatland unterscheiden. Alle Partnerunternehmen und Beschäftigten von Sphera halten sich bei der Verarbeitung von Daten an die Bestimmungen dieser Richtlinie. Mit der Nutzung unserer Produkte, Dienstleistungen und Websites erklären Sie sich damit einverstanden, dass wir Informationen uneingeschränkt an unsere Partnerunternehmen weitergeben dürfen.
3.13 Daten besonderer Kategorien

Aufgrund der Produkte, Dienstleistungen oder Behandlungen, die wir anbieten, muss Sphera manchmal sensible personenbezogene Daten (sogenannte Daten einer besonderen Kategorie) verarbeiten, um einen Vertrag im Namen des für die Verarbeitung Verantwortlichen erfüllen zu können. Wenn solche Daten verarbeitet werden, tun wir dies nur im Auftrag des für die Verarbeitung Verantwortlichen und nur zu dem angegebenen Zweck.

3.14 Welche Rechte habe ich im Rahmen dieser Richtlinie?

Sie haben das Recht, Auskunft über die von uns erhobenen personenbezogenen Daten zu erhalten, diese zu berichtigen und Widerspruch gegen deren Verarbeitung einzulegen. Ihre personenbezogenen Daten können Sie einsehen, indem Sie sich bei Ihrem Konto anmelden. Sie können Ihre Daten jederzeit aktualisieren. Sie haben auch das Recht, die von uns verarbeiteten Daten zu sperren und andere Änderungen vorzunehmen oder Ihr Konto und die damit verbundenen personenbezogenen Daten zu löschen, indem Sie sich über das Kundennetzwerk von Sphera an uns wenden.

Sie haben das Recht, personenbezogene Daten und kundengenerierte Daten, die wir für Sie als Kunden verarbeiten, zu exportieren. Ihr Kundenbetreuer kann Ihnen bei diesen Anfragen behilflich sein.

Sie haben das Recht, die Zusendung von Marketingmitteilungen von uns abzulehnen oder zu akzeptieren. Wenn wir personenbezogene Daten erheben, geben wir Ihnen die Möglichkeit zu entscheiden, ob Sie Marketingmitteilungen von uns erhalten möchten oder nicht. Unabhängig davon, wie Sie sich entscheiden, haben Sie die Möglichkeit, Ihre Entscheidung später zu ändern. Ihre Entscheidung in Bezug auf Marketingmitteilungen hat keinen Einfluss auf Ihre Fähigkeit, Mitteilungen zu erhalten, die auf bestehenden Geschäftsbeziehungen basieren, wie z. B. Kontaktaufnahme bezüglich der Kundenzufriedenheit, Bestätigung von Transaktionen, Nachfassaktionen des Kundendienstes und so weiter.

Sie haben das Recht, bei der zuständigen Aufsichtsbehörde eine Beschwerde einzureichen.

Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen.

Sie haben das Recht, über Änderungen an dieser Richtlinie informiert zu werden. Wenn wir wesentliche Änderungen vornehmen, die sich auf die in dieser Richtlinie beschriebenen Rechte und/oder Pflichten auswirken, veröffentlichen wir eine Mitteilung über die Änderungen auf unserer Website. Sphera-Nutzer werden auch über das Kundennetzwerk von Sphera benachrichtigt. Wenn Sie unsere Produkte, Dienstleistungen oder Websites weiterhin nutzen, gehen wir davon aus, dass Sie die Änderungen akzeptieren.

3.15 Datenanforderung

Auf Anforderung und sofern Sphera solche Informationen zur Verfügung stehen, wird Sphera in angemessenem Umfang kooperieren und Unterstützung leisten, um die Verpflichtungen gemäß der DSGVO zu erfüllen und Datenschutz-Folgenabschätzungen im Zusammenhang mit der Nutzung von Dienstleistungen durchzuführen.

3.16 Kundenverantwortung

Der Kunde ist als Voraussetzung für die Verarbeitung sensibler Daten durch Sphera verpflichtet,

  • alle betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten im Rahmen der Vereinbarung(en) zu informieren und, sofern dies nach den geltenden Datenschutzgesetzen erforderlich ist, sicherzustellen, dass die betroffenen Personen ihre eindeutige Zustimmung zu dieser Verarbeitung in Übereinstimmung mit den geltenden Datenschutzgesetzen erteilt haben.
  • den Beauftragten von Sphera und den untergeordneten Auftragsverarbeitern das Recht einzuräumen, sensible Daten im Einklang mit den erbrachten Dienstleistungen zu verarbeiten.

4 Nutzerdaten

Sphera verpflichtet sich zum Schutz und zur Achtung der Privatsphäre seiner Nutzer. In diesem Abschnitt (zusammen mit allen anderen erwähnten Dokumenten) wird dargelegt, wie sensible Daten erhoben werden, auf welche Weise sie bereitgestellt werden und wie sensible Daten innerhalb von Sphera weitergegeben werden. Bitte lesen Sie den folgenden Abschnitt sorgfältig durch.

4.1 Die Kategorien der von Sphera erhobenen Daten

Sphera erhebt, verwendet und speichert die folgenden Kategorien personenbezogener Daten, die für die Beschäftigung bei Sphera Solutions erforderlich sind:

  • Alle Informationen im eingereichten Lebenslauf
  • Daten, die Sphera über das Online-Stellenportal zur Verfügung gestellt werden
  • Einstellungsunterlagen
    • Persönliche Informationen wie z. B. Vor- und Nachname
    • Kontaktdaten wie z. B. Telefonnummer
    • Informationen zur Adresse
    • Informationen über die derzeitige Stelle und Beschäftigung, z. B. die aktuelle Berufsbezeichnung
    • Kontaktpersonen für Notfälle
  • Steuerformulare und relevante Belege
4.2 Wie erhebt Sphera personenbezogene Daten?

Sphera erhebt personenbezogene Daten von Nutzern aus den folgenden Quellen:

  • Direkt vom Nutzer
  • Aus öffentlich zugänglichen Quellen wie LinkedIn usw., wo Sphera den vollständigen Namen, die E-Mail-Adresse, den beruflichen Werdegang und andere Daten aus dem Social-Media-Profil eines Nutzers erfasst
4.3 Wie verwendet Sphera personenbezogene Daten?

Sphera verwendet die personenbezogenen Daten zu folgenden Zwecken:

  • Beurteilung, ob die Fähigkeiten des Nutzers ausreichen, um die angestrebte Rolle zu erfüllen.
  • Durchführung von Hintergrund- und Referenzüberprüfungen, falls erforderlich.
  • Übermittlung relevanter Angaben zum Einstellungsprozess per E-Mail oder Telefon.
  • Überprüfung der Einstellungsvoraussetzungen.
  • Anmeldung zu Sozialleistungen und Gehaltsabrechnung.
  • Verwendung für zukünftige Stellenausschreibungen.

Es liegt im berechtigten Interesse von Sphera, über die Einstellung eines Nutzers zu entscheiden, da die Auswahl eines geeigneten Kandidaten für die betreffende Stelle sinnvoll ist.

4.4 Daten besonderer Kategorien

Aufgrund der Produkte, Dienstleistungen oder Anwendungen, die wir anbieten, ist es manchmal erforderlich, dass Sphera sensible personenbezogene Daten (sogenannte Daten einer besonderen Kategorie) über Sie verarbeitet, damit Sie bei Sphera angestellt werden können. Wenn wir solche Daten erheben, erfragen und verarbeiten wir nur das Minimum, das für den angegebenen Zweck erforderlich ist, und weisen eine konforme Rechtsgrundlage dafür aus

4.5 Wie kontaktiere ich Sie bei Fragen oder Anliegen im Zusammenhang mit dieser Richtlinie?

Wenn Sie registrierter Sphera-Nutzer sind, kontaktieren Sie uns am besten über das Kundennetzwerk von Sphera. Unser Kundendienstteam wird eine Fallnummer einrichten und Ihre Frage oder Ihr Anliegen an die richtigen Mitarbeiter weiterleiten, die Sie beraten können. Die Mitarbeiter werden auch den Fortschritt Ihres Falles verfolgen, um sicherzustellen, dass eine Lösung gefunden wird. Wenn Sie kein Konto im Sphera-Kundennetzwerk haben, können Sie das „Kontakt“-Formular auf der Startseite verwenden.

Außerdem erreichen Sie uns per E-Mail in unseren Datenschutzbüros: dpo@sphera.com.

Was sind lokale Objekte?

Lokale Objekte sind kleine Dateien, die unsere Websites auf Ihr Gerät herunterladen, wenn Sie diese besuchen. Sie sind mit Ihrem Browser verknüpft und speichern eine kleine Menge an Informationen darüber, wie Sie mit unseren Websites interagieren.

Was geschieht damit

Wir verwenden lokale Objekte für die in unseren Datenverarbeitungsrichtlinien beschriebenen Zwecke. Hier sind einige Beispiele.

  • Zur Speicherung Ihrer Präferenzen und Einstellungen. Auf Wunsch können Sie bestimmte Website-Einstellungen entsprechend Ihren Präferenzen speichern. Dazu gehören beispielsweise die Speicherung Ihres Benutzernamens und Ihres Passworts, um künftige Anmeldungen zu erleichtern, und die Speicherung anderer Einstellungen. Diese Objekte sind an Ihren Browser gebunden. Wenn Sie Cookies und andere lokale Objekte mit Ihren Browser-Einstellungen löschen, verlieren Sie alle eventuell von Ihnen gespeicherten Einstellungen.
  • Zur Auswertung der Funktionsweise unserer Websites. Wir erheben Informationen darüber, welche Seiten Sie besuchen, wie lange Sie sich auf unseren Seiten aufhalten und wie Sie mit den Inhalten interagieren. Wir verwenden diese Informationen zur Verbesserung unserer Websites und zur Darstellung der besten Inhalte.
  • Zur Unterstützung Ihrer Kommunikation mit uns. Lokale Objekte ermöglichen es uns, Sie mit Chat-Operatoren zu verbinden, um Antworten auf Ihre Fragen zu unseren Produkten und Dienstleistungen zu erhalten. Diese Objekte stellen sicher, dass wir Ihren Namen und Ihre Kontaktinformationen haben, falls wir Folgemaßnahmen ergreifen müssen.
  • Zur Vermarktung unserer Produkte und Dienstleistungen. Wenn Sie eine unserer Websites besuchen, können wir ein lokales Objekt auf Ihrem Gerät platzieren, das es uns ermöglicht, Werbung für unsere Produkte und Dienstleistungen auf anderen von Ihnen besuchten Websites anzuzeigen.
What third parties do you work with?

We rely on third party service providers to manage local objects and the information they collect.

  • Salesforce Pardot is our primary digital marketing automation platform for email marketing, form captures, and analytics. All our web forms use Pardot to collect and store data. Pardot also stores data collected by a number of our other service providers who place local objects on our web pages.
  • Google Analytics is our primary web analytics tool. It collects “clickstream” information when you use our websites that consists of information about the pages you visit, how long you spend there, and what you do on each page.
  • Olark lets you chat with people on our sales team and discuss our products and services. It uses local objects to gather information about you from the open Internet to help our representatives better answer your questions.
  • On24 hosts our webinars and lets you register for them. On24 uses local objects to store your information so we can send you reminders about upcoming events. The platform also tracks user activity during webinars like logging whether you attended, what materials you downloaded, and how long you stayed logged in.
  • Wistia hosts our videos. It uses local objects to collect information about your device and monitor how long you spend watching our videos.
  • AdRoll uses a cookie to let us display ads for our products and services on other sites you visit.
  • Crazy Egg collects information on what you click and how much you scroll on our websites. We use this information to determine how engaging our website content is.
  • Local objects from Facebook, Linkedin, and Twitter let you share Sphera website content with others via social media and interact with other social media users. They also provide information about how you interact with Sphera websites to those social networks so they can display more relevant advertising to you based on what you did on our websites.
  • 6sense uses website data on how you interact with the Sphera website as a buyer to help us improve your customer journey and purchase experience. Collected data may be used for advertisements and targeted campaigns.
  • Bombora is a third-party intent data tool that informs Sphera about which companies are researching topics related to Sphera
  • Rev is a captions & transcriptions tool that shows text over all of the videos available on the website. They provide information about how you interact with the videos.
  • Semrush scans google search engines to analyze search data of customers to provide reporting on website performance & trends. Semrush data is used for paid ads to improve the website customer journey.
  • Simplecast is a podcast tool that shows audio files available on our website. Data collected from the app is used to show visits on the audio files and reporting purposes on the podcasts.
  • Zapier connects our website with third party applications mentioned in this list and lets us improve the customer experience by filling out forms and connecting personal data. We use this information for paid ads, email campaigns and to store data.
  • Salesforce stores data based on customer-relationship management. It helps us improve our offerings, sales cycles and customer interaction by using the data provided on our website forms.
  • Bizible is a marketing attribution software that tracks and reports on channel performance. A Bizible javascript is on all pages of sphera.com tracking and storing data on user touchpoints in order to calculate multi-touch attribution.
  • Google Tag Manager is a cookie-less domain that does not itself collect any personal data. However, the Google Tag Manager may trigger other tags that collect personal data. Collected data is used for tracking page visits, page clicks and customer acquisition on the website.
  • Salesforce stores data based on customer-relationship management. It helps us improve our offerings, sales cycles and customer interaction by using the data provided on our website forms.
  • Some pages use the web fonts provided by Google.  Your browser loads the required web fonts into its browser cache to display texts and fonts correctly. Google fonts do not store any personal information or a digital footprint.
  • WPML plugin including the extensions WPML SEO, WPML String Translation, WPML Multilingual CMS host the regionalization project which includes a copy of the website in 5 languages. The plugin collects visitor data regarding any interactions that happen on any of the additional translated sites.
  • Yoast SEO collects user data based on search engine information regarding page visits that have been optimized through meta-tags, excerpts, and exclusions of content. The data is used for page ads, page optimization and new content.
  • Smart Slider 3 is a pop-up plugin that displays on landing pages and promotes newly created content. The plugin tracks user visits and clicks that are used for reporting and analytics.
  • Salient Core is the main website theme that is used for the front end of the website. All pages and content is created using the theme. Data from the theme is used for A/B testing, heatmaps and customer journey tracking.
  • Nelio A/B testing plugin tracks visits and conversions on predetermined pages on the website. User data is used to determine content and form preferences for users and to improve the visibility of important sections on the website.
  • Event Custom Post Type plugin is used to create the event templates on our website. The event pages collect pageviews and page clicks and are also used to redirect to third-party event registration tools.
  • Calculated Fields Form is a plugin that is used for our risk calculators and collects personal data to provide special email reports to customers that would outline how our services would be useful.
Welche Entscheidungsmöglichkeiten habe ich?

Sie können jederzeit die Einstellungen Ihres Browsers und andere von Ihnen installierte Tools verwenden, um zu kontrollieren, wie Ihre Geräte mit Cookies und anderen lokalen Objekten interagieren. Ihr Browser kann Ihnen auch die Möglichkeit bieten, eine „Nicht verfolgen“-Einstellung vorzunehmen. Wenn Sie lokale Objekte wie Cookies blockieren, können Sie möglicherweise bestimmte Funktionen unserer Websites nicht nutzen. Unsere Websites können möglicherweise nicht auf die „Nicht verfolgen“-Einstellungen aller Browser reagieren. Wenn Sie mehr darüber erfahren möchten, wie Sie verschiedene Arten von lokalen Objekten kontrollieren können, rufen Sie einen der folgenden Links auf.

Wie lange speichern Sie die Daten?

Wir speichern die von lokalen Objekten erfassten Daten unterschiedlich lange, je nachdem, um welche Daten es sich handelt und welche Art von Objekt sie erfasst hat. Einige werden nur für die Dauer eines Besuchs auf einer Sphera-Website gespeichert. Andere werden für einige Wochen bis zu mehreren Monaten oder auf unbestimmte Zeit gespeichert.

Wie kontaktiere ich Sie bei Fragen oder Anliegen im Zusammenhang mit dieser Richtlinie?

Wenn Sie registrierter Sphera-Kunde sind, kontaktieren Sie uns am besten über das Kundennetzwerk von Sphera. Unser Kundendienstteam wird eine Fallnummer einrichten und Ihre Frage oder Ihr Anliegen an die richtigen Mitarbeiter weiterleiten, die Sie beraten können. Die Mitarbeiter werden auch den Fortschritt Ihres Falles verfolgen, um sicherzustellen, dass eine Lösung gefunden wird. Wenn Sie kein Konto im Sphera-Kundennetzwerk haben, können Sie das „Kontakt“-Formular auf der Startseite verwenden.

Sie erreichen uns auch per Post unter:

Sphera Solutions, Inc.
ATTN: Legal Department
130 E Randolph Street #1900
Chicago, IL 60601

Sind Sie bereit, mehr zu erfahren?

Lassen Sie uns wissen, wie wir helfen können.