Zum Inhalt springen

EU-Datenschutz-Grundverordnung

DSGVO-konforme Workflow-Automatisierungsinfrastruktur

Automatisierungsplattformen verarbeiten Daten im Auftrag Ihres Unternehmens, verbinden Apps, transformieren Datensätze und lösen Workflows aus. Wenn diese Daten personenbezogene Informationen enthalten, ist Ihre Automatisierungsinfrastruktur ein DSGVO-Auftragsverarbeiter. Wir sorgen dafür, dass Ihrer konform ist.

Was ist die DSGVO?

Workflow-Automatisierungsplattformen befinden sich an der Schnittstelle Ihres gesamten Software-Stacks. Jeder empfangene Webhook, jeder API-Aufruf, jeder transformierte Datensatz kann personenbezogene Daten enthalten. Die DSGVO gilt nicht nur für die Datenbank, in der Daten ruhen, sondern für jedes System, das sie in der Übertragung verarbeitet, einschließlich Ihrer Automatisierungsplattform.

In Kraft seit

25. Mai 2018

Geltungsbereich

Jede Org., die EU-Personendaten verarbeitet

Höchststrafe

20 Mio. € oder 4 % des Jahresumsatzes

Meldepflicht

72 Stunden

Zentrale DSGVO-Pflichten für Automatisierungsplattformen

Automatisierungsplattformen sind Auftragsverarbeiter: Sie behandeln personenbezogene Daten, die zwischen Ihren Geschäftssystemen fließen. Diese sechs Artikel regeln, welche Pflichten das erzeugt.

1

Art. 5: Grundsätze der Verarbeitung

Automatisierungs-Workflows dürfen Daten nur für die Zwecke verarbeiten, für die sie erhoben wurden. Die Protokollierung personenbezogener Daten in Workflow-Ausführungen sollte minimiert und Aufbewahrungsgrenzen unterliegen. Wir unterstützen konfigurierbare Ausführungslog-Aufbewahrung.

2

Art. 6: Rechtmäßigkeit der Verarbeitung

Die Verarbeitung personenbezogener Daten über Automatisierung erfordert eine gültige Rechtsgrundlage, typischerweise dieselbe, die für die ursprünglichen Daten gilt (Vertrag, berechtigtes Interesse). Automatisierung ist eine Verarbeitungstätigkeit und sollte im Verarbeitungsverzeichnis (Art. 30) erscheinen.

3

Art. 17: Recht auf Löschung

Wenn eine betroffene Person Löschung beantragt, müssen Sie sicherstellen, dass personenbezogene Daten aus Workflow-Ausführungsprotokollen und etwaigem Zwischenspeicher entfernt werden. Wir unterstützen konfigurierbare Log-Aufbewahrungsfenster und das Löschen des Ausführungsverlaufs.

4

Art. 28: Auftragsverarbeiter

Wir handeln als Ihr Auftragsverarbeiter für personenbezogene Daten, die durch verwaltete Workflows verarbeitet werden. Unser AVV deckt Activepieces, Kestra und Flowise ab, einschließlich der beteiligten Infrastruktur-Unterauftragsverarbeiter.

5

Art. 32: Sicherheit der Verarbeitung

Automatisierungsplattformen benötigen dieselbe Sicherheit wie jeder Auftragsverarbeiter. Unsere Deployments verwenden verschlüsselte Speicherung, isolierte Mandantenumgebungen und Zugriffskontrollen, damit durch Workflows verarbeitete personenbezogene Daten angemessen geschützt sind.

6

Art. 33: Meldung von Datenschutzverletzungen

Wenn unsere verwaltete Automatisierungsinfrastruktur in eine Verletzung personenbezogener Daten verwickelt ist, benachrichtigen wir Sie innerhalb von 72 Stunden, damit Sie Ihrer Meldepflicht nachkommen können.

Art. 30: Automatisierung als dokumentierte Verarbeitungstätigkeit

Gemäß DSGVO Art. 30 müssen Verantwortliche ein Verarbeitungsverzeichnis (VVT) führen. Ihre Automatisierungsplattform ist wahrscheinlich eine davon, denn sie verarbeitet personenbezogene Daten aus CRMs, Support-Systemen, Marketing-Tools und mehr.

  • Dokumentieren Sie Ihre Automatisierungs-Workflows im VVT: welche Daten durch jeden Workflow fließen, zu welchem Zweck und auf welcher Rechtsgrundlage
  • Datensparsamkeit in der Automatisierung: Workflows sollten nur die Felder anfordern, die sie benötigen. Vermeiden Sie die Weitergabe vollständiger Datensätze, wenn nur ein Attribut erforderlich ist
  • Ausführungsprotokolle: Konfigurieren Sie Aufbewahrungsgrenzen, damit personenbezogene Daten in Workflow-Ausführungsprotokollen nach Ihrer definierten Aufbewahrungsfrist gelöscht werden

Was wir für DSGVO-Compliance bereitstellen

  • Auftragsverarbeitungsvertrag (AVV) auf Anfrage
  • EU-Datenspeicherung: Nürnberg (primär) + Falkenstein (DR)
  • Audit-Logs aufbewahrt und exportierbar
  • Datenexport auf Anfrage (Art. 20 Übertragbarkeit)
  • Datenlöschung auf Anfrage (Art. 17 Löschrecht)
  • 72-Stunden-Benachrichtigung an Sie (Art. 33)
  • Verschlüsselte Backups innerhalb der EU gespeichert
  • Liste der Unterauftragsverarbeiter auf Anfrage

Automatisierungsplattform verarbeitet personenbezogene Daten?

Fordern Sie unseren AVV für Ihre verwaltete Automatisierungsinfrastruktur an und besprechen Sie, wie Sie Ihre Workflows im Verarbeitungsverzeichnis dokumentieren.

AVV anfordern