Allgemeine Datenschutzgrundverordnung

Wir von Lucca haben nicht auf die DSGVO gewartet, um die Vertraulichkeit und Sicherheit Ihrer Daten zu gewährleisten. Diese Verordnung stärkt jedoch einige unserer Verpflichtungen. Wir haben daher die notwendigen Schritte unternommen, um die Anforderungen zu erfüllen. Die Einzelheiten finden Sie nachstehend.

Die Lösungen von Lucca verwalten Informationen (Urlaub, Spesenabrechnungen, Entgeltabrechnungen, Personalakten…) bei denen es sich um „personenbezogene Daten“ im Sinne der seit dem 25. Mai 2018 geltenden Allgemeinen Datenschutzgrundverordnung (DSGVO) handelt.

Wenn Sie einer unserer Kunden sind, unterliegen Sie daher in zweifacher Hinsicht den Bestimmungen der DSGVO:

  • In ihrer Beziehung zu uns, da wir als Ihr Auftrags‑verarbeiter (gem. Artikel 28 der DSGVO) handeln;
  • In ihren Beziehungen zu Ihren Mitarbeitern, da Sie der Verantwortliche für die Verarbeitung ihrer personenbezogenen Daten mittels unserer Lösungen sind (gem. Artikel 24 der DSGVO).

Zudem verwalten wir personenbezogene Informationen, um mit den Administratoren unserer Lösungen sowie mit unseren potenziellen Kunden zu kommunizieren, insbesondere per E-Mail. In diesem Zusammenhang sind wir der Verantwortliche für die Verarbeitung.

Definitionen der wichtigsten Konzepte

Die DSGVO ist ein umfangreiches und komplexes Dokument, dessen Bestimmungen mitunter Interpretationsspielräume lassen oder abstrakt erscheinen können. Dennoch ist es wichtig, die folgenden vier Definitionen zu kennen, um sie besser zu verstehen.

Personenbezogene Daten

Jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht. Häufig wird auch der abgekürzte Ausdruck „persönliche Daten“ benutzt.

In Lucca sind die Daten eines Mitarbeiters, ein Abwesenheitsantrag und eine Beurteilung daher personenbezogene Daten, genau wie fast alle sonstigen Informationen, die Sie in unseren Lösungen verwalten.

Verarbeitung personenbezogener Daten

Dies ist jede Operation oder Reihe von Operationen, die mit personenbezogenen Daten durchgeführt werden, wie z. B. das Sammeln, Speichern, Aufbewahren, Ändern, Zugreifen, Löschen usw.

Lucca führt verschiedene Verarbeitungen von personenbezogenen Daten im Auftrag der Kunden durch. Zum Beispiel speichert Lucca während der gesamten Dauer des Vertrags mit seinen Kunden die personenbezogenen Daten der Mitarbeiter und löscht diese innerhalb von 30 Tagen nach Beendigung des Vertrags.

Verantwortlicher für die Verarbeitung

Jede juristische oder natürliche Person, die die Zwecke und Mittel einer Verarbeitung personenbezogener Daten festlegt. Der Verantwortliche für die Verarbeitung ist für die Einhaltung der DSGVO innerhalb seiner Organisation verantwortlich, insbesondere für die Einhaltung der Rechte der Mitarbeiter (Recht auf Zugang, Recht auf Löschung usw.).

Alle Kunden unserer Lösungen sind daher als die für die Verarbeitung Verantwortlichen anzusehen.

Auftragsverarbeiter

Eine juristische oder natürliche Person, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Lucca hat für alle seine Kunden den Status eines Auftragsverarbeiters inne.

Die Pflichten von Lucca als Auftragsverarbeiter

Wenn Sie ein Kunde von Lucca sind, dann sind wir Ihr Auftragsverarbeiter. In diesem Zusammenhang verpflichten wir uns, unsere Verpflichtungen gemäß Artikel 28 der DSGVO zu erfüllen. Dementsprechend haben wir unter anderem einen Data Protection Officer (DPO) ernannt, den Sie über rgpd@lucca.fr kontaktieren können.

Als Auftragsverarbeiter gehen wir auch die folgenden Verpflichtungen ein:

  • Die personenbezogenen Daten Ihrer Mitarbeiter nur im Zusammenhang mit der Durchführung und Ausführung der von Ihnen abonnierten Lucca Online-Dienste zu verarbeiten. Wir werden die Daten Ihrer Mitarbeiter niemals für Marketingzwecke verkaufen oder verwenden.

Informationsmailing für Administratoren

  • Unser Online-Service umfasst den Versand von E-Mails, die ausschließlich an die Administratoren der Lösungen unserer Kunden gerichtet sind und über Neuheiten und Entwicklungen der Lucca-Produkte informieren sollen. In diesem Zusammenhang sind wir der Verantwortliche für die Verarbeitung dieser Daten.
  • Ihre Daten nicht außerhalb der EU zu übertragen, es sei denn, Sie entscheiden sich für ein Hosting der Daten in der Schweiz.
  • Sie über Änderungen bei den Auftragsverarbeitern, die wir zur Verarbeitung einiger Ihrer personenbezogenen Daten einsetzen, zu informieren und sicherzustellen, dass diese Auftragsverarbeiter die DSGVO einhalten.

Hosting-Anbieter 

Für in der Schweiz domizilierte Kunden beauftragen wir zwei Auftragsverarbeiter mit dem Hosting unserer Anwendungen und damit auch mit dem Hosting der personenbezogenen Daten der Mitarbeiter:

  • Microsoft Azure auf Servern in der Schweiz;
  • Das Unternehmen GCP, auf Servern in der Schweiz, die nur für verschlüsselte Back-ups verwendet werden
  • Den Zugang zu Ihren personenbezogenen Daten auf die dazu ordnungsgemäß befugten Mitarbeiter von Lucca zu beschränken, insbesondere um Ihnen bei Inanspruchnahme des Help Desk Unterstützung zukommen zu lassen.
  • Ihnen ein hohes Maß an Sicherheit und Schutz Ihrer Daten zu garantieren.
  • Sensibilisierung unserer Mitarbeiter für den vertraulichen Charakter personenbezogener Daten, die Herausforderungen bei der Datensicherheit und die geltenden Vorschriften zum Schutz dieser Daten.
  • Sie innerhalb von 48 Stunden nach Kenntnisnahme von Datenschutzverletzung zu benachrichtigen.

Frage

Welche Maßnahmen hat Lucca in Bezug auf die Datensicherheit und den Datenschutz ergriffen?

Lucca hat Sicherheitsvorkehrung getroffen, um die Integrität und Vertraulichkeit der uns anvertrauten personenbezogenen Daten zu gewährleisten. In diesem Zusammenhang hat Lucca im Juli 2022 die ISO 27001-Zertifizierung erhalten, die unser Engagement für die Informationssicherheit belegt:

  • Systematische Verschlüsselung von Daten, die über das öffentliche Netz übertragen werden,
  • Duplizierung von Produktionsdaten an einem geografisch getrennten Standort,
  • Offsite-Backups, stündlich und verschlüsselt (AES 256) bei GCP Storage (Zürich),
  • Löschung der personenbezogenen Daten, wenn die Daten den Produktionsbereich verlassen,
  • Regelmäßige Audits der Sicherheit und Eindringtests,
  • Sichere Entwicklungspolitik mit blockierenden Controls.

Schließlich bewerten wir regelmäßig die Risiken und passen das Niveau unserer Sicherheit entsprechend an.

Ihre Pflichten als Verantwortlicher für die Verarbeitung

Sie verwalten mit Hilfe unserer Lösungen die personenbezogenen Daten Ihrer Mitarbeiter.

Dementsprechend haben Ihre Mitarbeiter Rechte an diesen Daten. Es obliegt Ihrer Verantwortung, ihnen die Ausübung dieser Rechte zu ermöglichen. Die Lösungen von Lucca helfen Ihnen, dieser Verpflichtung nachzukommen.

Recht auf Zugang (Artikel 15 DSGVO)

Die betroffene Person hat das Recht, von dem für die Verantwortlichen für die Verarbeitung den Zugang zu ihren personenbezogenen Daten zu erhalten.

Je nach Parametrierung der Lösung haben die Mitarbeiter Zugang zu den sie betreffenden Informationen (oder können den Zugang bei ihrem Administrator beantragen). Sie allein, als der Verantwortliche für die Verarbeitung, müssen Ihren Mitarbeitern diese Möglichkeit einräumen oder nicht.

Recht auf Berichtigung (Artikel 16 DSGVO)

Die betroffene Person hat das Recht, von dem Verantwortlichen für die Verarbeitung so schnell wie möglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Die Lösung Poplee HR Grundlagen (Mitarbeiter-Selbstverwaltung) ermöglicht es aufgrund seiner Natur den Mitarbeitern, alle oder einen Teil ihrer personenbezogenen Daten selbst zu ändern.

Recht auf Vergessenwerden (Artikel 17 DSGVO)

Die betroffene Person hat das Recht, von dem Verantwortlichen für die Verarbeitung zu verlangen, dass die sie betreffenden personenbezogenen Daten so schnell wie möglich gelöscht werden.

Wir stellen unseren Kunden ein Modul zur Verfügung, das speziell dem Recht auf Vergessenwerden gewidmet ist. Diese Funktion ist den Administratoren unserer Lösungen vorbehalten und ermöglicht es ihnen, personenbezogene Daten zu löschen, insbesondere von Mitarbeitern, die aus dem Unternehmen ausgetreten sind. Weitere Informationen zu diesem Modul

Frage

Muss ich vor der Nutzung von Lucca-Lösungen die Zustimmung der Mitarbeiter einholen? 

Angesichts des nicht gleichgestellten Charakters des Arbeitgeber-Arbeitnehmer-Verhältnisses ist es selten, dass Arbeitnehmer ihre Zustimmung frei erteilen können, es sei denn, die Zustimmung oder Ablehnung hat keine negativen Auswirkungen auf ihre Stellung als Arbeitnehmer.

Die Zustimmung ist nur eine der sechs Rechtsgrundlagen, die der Art. 6 der DSGVO vorsieht, um die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu gewährleisten. Abhängig von den Zwecken, die Sie zuvor für Ihre Verarbeitung festgelegt haben, müssen Sie die entsprechende Rechtsgrundlage bestimmen.

Die Verpflichtungen von Lucca als Verantwortlicher für die Verarbeitung von Daten

Wir können personenbezogene Daten sammeln und verarbeiten, um unsere Kunden, Lieferanten und Interessenten zu verwalten und zu pflegen, und um unsere Verträge mit unseren Kunden zu erfüllen.

Insbesondere verwenden wir bestimmte personenbezogene Daten der Administratoren unserer Lösungen (Name, Vorname, geschäftliche E-Mail-Adresse, Rolle), um mit ihnen zu kommunizieren und ihnen Wartungs- und Hilfsdienste für Funktionen sowie Informationen über die Entwicklung und Neuigkeiten unserer Lösungen zur Verfügung zu stellen.

Wir haben für Administratoren die Möglichkeit vorgesehen, den Empfang dieser Informationen zu deaktivieren. In diesem Fall besteht jedoch die Gefahr, dass sie nicht über alle Funktionen und/oder Entwicklungen der Lucca-Lösungen vollständig informiert werden.

  • Beschränkung der Datenerhebung auf das absolut Notwendige.
  • Die erhobenen Daten werden nicht für andere Zwecke als die verwendet, für die sie erhoben wurden.
  • Den Administratoren unserer Lösungen das Recht auf Zugang, Berichtigung oder Löschung ihrer personenbezogenen Daten geben.
  • Geeignete technische und organisatorische Maßnahmen umzusetzen, um ein hohes Maß an Sicherheit zu gewährleisten.