Über uns

Engagement für Datenschutz bei OpenText

Eine Nachricht von unserem DSB

Wir bei OpenText setzen uns für den Erfolg unserer Kunden und den Schutz ihrer Informationen ein. Wir sind uns darüber im Klaren, dass es bei dieser Verpflichtung nicht nur um die Produkte und Dienstleistungen geht, die wir anbieten, sondern auch darum, wie wir als Unternehmen im Hinblick auf unsere eigene Compliance handeln.

OpenText begrüßte die GDPR als eine Gelegenheit, unser Information-Governance-Programm zu überprüfen und sicherzustellen, dass unsere internen Prozesse, Verfahren, Datensysteme und Dokumentationen bereit sind, wenn die GDPR in Kraft tritt.

Seit 1991 unterstützen wir unsere Kunden bei der Verwaltung und dem Schutz ihrer Unternehmensdaten. Wir nutzen dieselben Technologien, um unsere eigene Reise zur GDPR-Bereitschaft zu unterstützen, wobei unsere eigenen internen Experten den Weg weisen.

Wir möchten die Schritte, die wir unternommen haben, sowie die Initiativen, die in unserem GDPR-Programm in Arbeit sind, vorstellen. Diese Schritte sichern den Erfolg für OpenText und unsere Kunden auf dieser GDPR-Reise.

Pieter J.L. (Berry) Wittenberg
OpenText Globaler Datenschutzbeauftragter


Die Allgemeine Datenschutzverordnung

Die Allgemeine Datenschutzverordnung (GDPR) ist die neue Datenschutzgesetzgebung der Europäischen Union zur Modernisierung und Reform der Gesetze, die sich mit dem Umgang mit personenbezogenen Daten der Einwohner der Europäischen Union befassen. Es handelt sich um die größte Überarbeitung der weltweiten Datenschutzvorschriften seit mehr als 20 Jahren.

Unser Engagement für die GDPR

Als Marktführer im Bereich Enterprise Information Management nimmt OpenText Informationssicherheit und Datenschutz sehr ernst. Wir wenden seit langem branchenübliche Best Practices an, um Datenschutz und Privatsphäre in unsere tägliche Arbeit einzubeziehen, und unterstützen unsere Kunden bei der Implementierung unserer Lösungen und unseres Fachwissens, damit sie ihre eigenen strengen Compliance-Programme aufbauen können.

OpenText hat die GDPR-Anforderungen und ihre Relevanz für uns als Datenverantwortlichen und Datenverarbeiter gründlich analysiert. Als Reaktion darauf hat OpenText eine unternehmensweite GDPR-Compliance-Strategie implementiert, die darauf abzielt, alle Anforderungen der Verordnung zu erfüllen, und an der ein funktionsübergreifendes Team von internen Ressourcen beteiligt ist. Wir sind stolz darauf, dass unser Unternehmen viele dieser Anforderungen und Grundsätze bereits vor dem Inkrafttreten der DSGVO umgesetzt hat. Wie viele andere Organisationen nutzen auch wir die DSGVO als Gelegenheit, unsere Praktiken weiter zu verbessern.

Zusammenfassung unseres Ansatzes

Bewerten Sie

  • Das Executive Leadership Team hat die Entwicklung des GDPR-Programms unterstützt
  • Ernennung eines globalen Datenschutzbeauftragten
  • Durchführung einer unternehmensweiten GDPR-Diagnose unter der Leitung der globalen Risikoberatungsfirma EY LLP

Plan

  • Das Executive Leadership Team hat die Entwicklung des GDPR-Programms unterstützt
  • Ernennung eines globalen Datenschutzbeauftragten

Ausführen

  • Durchführung von Datenermittlungen zu personenbezogenen Informationen im gesamten Unternehmen
  • Inventarisierte und dokumentierte Aufzeichnungen über Verarbeitungstätigkeiten
  • Umsetzung von Aktionsplänen durch jeden betroffenen Geschäftszweig, einschließlich Marketing, HR, Beschaffung und IT

Beibehalten

  • Führen des Registers der Verarbeitungstätigkeiten
  • Regelmäßige Durchführung von Datenschutz-Folgenabschätzungen
  • Regelmäßige Aktualisierung des Risikorahmens
  • Bestätigung der operativen Wirksamkeit der Risikokontrollen

OpenText als Datenverantwortlicher

Als Unternehmen, das personenbezogene Daten von Kunden, Partnern und Mitarbeitern sammelt und verarbeitet, haben wir wichtige Initiativen zur Vorbereitung auf die GDPR umgesetzt:

Verwaltung von Einwilligungen - Die Standards für Einwilligungen wurden durch die DSGVO erhöht. OpenText hat jedoch bereits ähnliche Anforderungen innerhalb der Datenschutzbestimmungen anderer Länder, einschließlich der europäischen Länder, erfüllt. Unsere Vertriebs- und Marketing-Organisationen haben ihre Zustimmungsmanagement-Praktiken gründlich überprüft und sie mit der DSGVO in Einklang gebracht. Dazu gehört die aktive Zustimmung, weiterhin Mitteilungen von uns zu erhalten, sowie die Einbeziehung von Datenschutzerklärungen, wenn wir persönliche Daten sammeln, z. B. zum Austausch von Forschungsunterlagen.

Als bestehender oder potenzieller Kunde haben Sie vielleicht schon einige dieser Änderungen bei Ihren Interaktionen mit unseren Webseiten, Veranstaltungseinladungen und E-Mails bemerkt. Vorab angekreuzte oder stillschweigende Opt-Ins sind unzureichend - der Einzelne muss wissen, wozu er seine Zustimmung gibt und dass er sie jederzeit zurückziehen kann. Wir bei OpenText sind bestrebt, personalisierte und ansprechende Erlebnisse für unsere Kunden zu schaffen und den Wert jeder Interaktion zu maximieren, wobei wir dieses Ziel mit Sicherheit, Vertrauen und Respekt in Einklang bringen.

Human Resources - Die GDPR betrifft nicht nur unsere Kunden. Obwohl sich die Bemühungen der GDPR auf externe Daten konzentrieren, erstreckt sich die neue Verordnung auch auf die personenbezogenen Daten, die wir über unsere Bewerber und Mitarbeiter speichern. Unsere Personalabteilung hat mehrere Initiativen zur Einhaltung der DSGVO umgesetzt und arbeitet weiter daran:

  • Optimierung unserer HR-Systeme zur Verwaltung von Bewerber- und Mitarbeiterdaten in Übereinstimmung mit der GDPR.
  • Überprüfung der Personalsysteme, um die von uns gespeicherten Informationen besser zu verwalten, zu erklären, warum wir sie speichern, wer Zugang zu ihnen hat und wie lange wir sie speichern.
  • Entwicklung von Einwilligungserklärungen und Datenschutzhinweisen, um für unsere Bewerber und Mitarbeiter transparent zu machen, welche Daten wir speichern, warum wir sie speichern, wer Zugang zu ihnen hat und wie lange wir sie speichern.
  • Überprüfung der HR-bezogenen Strategien und Verfahren, um die Einhaltung der neuen Rechtsvorschriften zum Datenschutz zu gewährleisten.

Records Management - Wir arbeiten daran, sicherzustellen, dass unsere Records Management Policy Aufbewahrungszeitpläne enthält, die die Entsorgung von Kundendaten erlauben, wenn diese inaktiv, veraltet oder nicht mehr benötigt werden. Dies unterstützt den Grundsatz der Datenminimierung und hilft uns, die personenbezogenen Daten unserer Kunden nicht länger als nötig zu speichern.

Sicherheit - Datenschutz und Datensicherheit sind zwei gleich wichtige Bestandteile einer umfassenden Datenschutzstrategie. OpenText hält sich bereits an die branchenweit besten Praktiken für Informationssicherheit und Risikomanagement, wie sie in unserem globalen Informationssicherheits-Managementsystem (ISMS) nach ISO 27001:2013 definiert sind. Wir sind uns jedoch der neuen und erhöhten Sicherheitsstandards bewusst, die durch die DSGVO eingeführt werden, und werden unsere Praktiken weiterhin bewerten und aktualisieren, um sicherzustellen, dass sie mit den Branchenstandards übereinstimmen. Unser ISMS bietet kontinuierliche und strenge Risikomanagement-Prozesse, um die Vertraulichkeit, Integrität und Verfügbarkeit aller von OpenText verwahrten Informationen zu gewährleisten.

Richtlinien, Verfahren und Schulungen - Wir überprüften die relevanten Richtlinien und Verfahren und aktualisierten sie, um alle neuen Datenschutzanforderungen zu berücksichtigen, einschließlich derjenigen, die sich auf Sicherheit, IT, Datenschutz und HR beziehen. Diese Überprüfungen sind noch nicht abgeschlossen. Sie können unsere OpenText Datenschutz- und Sicherheitsrichtlinie und Cookie-Richtlinie auf unserer Website lesen. OpenText hat eine langjährige Praxis der obligatorischen Corporate Information Security and Compliance and Ethics Schulung für alle Mitarbeiter. Die Lehrpläne wurden überarbeitet, um neue Inhalte einzubeziehen, die notwendig sind, um das Bewusstsein zu schärfen und die Mitarbeiter über ihre Pflichten im Rahmen der DSGVO aufzuklären.

OpenText als Datenverarbeiter

Es ist wichtig, dass wir unsere Verpflichtungen gemäß der DSGVO als Datenverarbeiter gegenüber unseren Kunden, den für die Datenverarbeitung Verantwortlichen, erfüllen, die einen Dritten wie uns mit der Verarbeitung personenbezogener Daten beauftragen. Einige unserer wichtigsten Aktivitäten in diesem Bereich sind:

Rechte der betroffenen Personen - Die DSGVO gibt Einzelpersonen das Recht auf Zugang zu den Daten, die dem für die Verarbeitung Verantwortlichen zur Verfügung gestellt und von diesem verarbeitet wurden, und zwar zu Zwecken wie Löschung, Berichtigung, Übertragung an einen anderen für die Verarbeitung Verantwortlichen und Widerspruch gegen die Verarbeitung. Die Daten, die wir im Namen unserer Kunden aufbewahren, sind Eigentum des Kunden, der der für die Datenverarbeitung Verantwortliche ist. Unsere Kunden behalten auch die Zugriffskontrolle auf ihre Daten, was in den meisten Fällen bedeutet, dass sie als für die Datenverarbeitung Verantwortliche auf Anfragen ihrer betroffenen Personen reagieren und Maßnahmen ergreifen können. Als Datenverarbeiter reagieren wir nicht direkt auf Anfragen von betroffenen Personen. Wir arbeiten weiter an der Verbesserung unserer Prozesse und Anwendungen, um unsere Kunden besser in die Lage zu versetzen, auf rechtmäßige Anfragen ihrer betroffenen Personen zu reagieren.

Vertragliche Verpflichtungen - Wir arbeiten mit unseren Kunden zusammen, um sicherzustellen, dass die GDPR-Verpflichtungen in den vertraglichen Verpflichtungen für unsere Cloud-Dienste zur Zufriedenheit der Kunden enthalten sind, einschließlich der Verwendung und Verwaltung von Unterauftragsverarbeitern, rechtzeitiger Sicherheitsunterstützung und Benachrichtigungen über Datenschutzverletzungen in Übereinstimmung mit den neuen Anforderungen. Die Vereinbarungen über Cloud-Dienste enthalten Aussagen darüber, wie mit den Daten umzugehen ist, während wir die Daten verwahren, und wie sie nach Beendigung der Dienste an den Kunden zurückgegeben werden können. Wir haben auch unsere Datenverarbeitungsverträge (DPA) überprüft, um die Einbeziehung der GDPR-Anforderungen zu standardisieren. OpenText hat intensiv mit EU-Rechtsanwälten zusammengearbeitet, um sicherzustellen, dass unsere Verträge angemessene Bestimmungen für die rechtmäßige Verarbeitung personenbezogener Daten enthalten.

Cloud-Sicherheit - Unternehmen vertrauen OpenText bei der Verwaltung ihrer geschäftskritischen Anwendungen und Informationen, nicht zuletzt aufgrund unseres Engagements und unserer Expertise in Sachen Cloud-Sicherheit, Datenschutz und Compliance. Alle unsere Cloud-Services verfügen über einen grundlegenden Datenschutz- und Sicherheitsstandard mit technischen und organisatorischen Sicherheitskontrollen, die von branchenüblichen Drittanbietern durchgeführt und durch unabhängige Zertifizierungen nachgewiesen werden.

OpenText hat alle Ebenen zertifiziert (Rechenzentrum, Infrastruktur, Plattform-, Anwendungs- und Service-Zertifizierungen können variieren), um unsere Kunden von den Sicherheitskontrollen, Prozessen, Verfahren und Richtlinien zu überzeugen, die wir einsetzen. Im Laufe der Zeit werden weitere Zertifizierungen hinzukommen, entweder um den Abdeckungsbereich zu erweitern oder um Zertifizierungen hinzuzufügen, die von der Industrie und unseren Kunden gefordert werden.

Unsere EIM-Produkte und -Dienstleistungen sind nach zahlreichen Branchen- und Regionalstandards zertifiziert. HIPAA, FDA 21 CFR Teil 11, FINRA. Wir werden unsere Kontrollen mit den sich ändernden Industriestandards weiterentwickeln. Einige der aktuellen Cloud-Zertifizierungen sind die folgenden:

Unternehmens-Cloud

  • ISO 27001:2013
  • SOC 1 Typ II
  • SOC 2 Typ II
  • SOC 3

Business Network

  • ISO 27001:2013
  • SOC 1 Typ II
  • SOC 2 Typ II
  • SOC 3
  • HIPAA

Unternehmensnetzwerk - EasyLink

  • SOC 1 Typ II
  • SOC 2 Typ II
  • SOC 3

Documentum (DaaS) Cloud

  • SOC 2 Typ I
  • SOC 2 Typ II

Meldung von Sicherheitsverletzungen - Die Verwaltung von Sicherheitsvorfällen und die Einhaltung der 72-Stunden-Frist für die Meldung von Sicherheitsverletzungen ist und bleibt eine Herausforderung für alle Unternehmen. Das globale Informationssicherheitsteam von OpenText verfügt über einen gut etablierten Prozess zur Reaktion auf Datenschutzverletzungen, der von dem Zeitpunkt, an dem eine mutmaßliche Verletzung aufgetreten ist, bis hin zu den Reaktionsschritten nach dem Vorfall reicht. Die Verfahren von OpenText bei Datenschutzverletzungen bestehen aus fünf Schritten: Entdeckung, Bewertung, Reaktion, Schutz und Wiederherstellung. In der Phase "Reaktion" werden die Meldepflichten und -fristen für Verstöße festgelegt. OpenText hat die Gesetze zur Meldung von Datenschutzverletzungen in allen Regionen, in denen wir tätig sind, überprüft, einschließlich der Anforderungen der Datenschutz-Grundverordnung, und verpflichtet sich zur Einhaltung dieser Gesetze.

Hilfe für unsere Kunden auf dem Weg zur GDPR

Technologien für das Unternehmensinformationsmanagement (EIM) sind der Schlüssel zu einer wirksamen und soliden Strategie für die Einhaltung der Datenschutzbestimmungen und den Schutz der Daten. Als führender Anbieter von EIM ist OpenText bestrebt, seine Kunden auf ihrem Weg zur GDPR-Bereitschaft und Compliance zu unterstützen. Es ist jedoch wichtig zu erkennen, dass die Einhaltung der Vorschriften eine gemeinsame Verantwortung ist. Die Einhaltung von Vorschriften erfordert eine Kombination aus Prozessen, Richtlinien, Fachwissen, Aus- und Weiterbildung sowie den richtigen technologischen Instrumenten. Wir glauben, dass der Weg zur Einhaltung der Vorschriften ein gemeinsames Verständnis und eine gemeinsame Kultur in Bezug auf den Datenschutz erfordert.

Wie wir unsere Kunden bei der Vorbereitung auf die GDPR unterstützen:

  • GDPR-Ressourcen - Wir haben Whitepapers, Videos, Webinare auf Abruf und Blog-Beiträge veröffentlicht, in denen wir erklären, wie Unternehmen die wichtigsten GDPR-Grundsätze mithilfe von EIM und unseren Diensten einhalten können.
  • OpenText Product Security Assurance Program (PSAP) - Lange vor der GDPR hat OpenText unser Product Security Assurance Program eingeführt. Der PSAP soll gewährleisten, dass unsere Produkte, Lösungen und Dienstleistungen unter Berücksichtigung der Sicherheit konzipiert, entwickelt und gewartet werden.
  • Datenschutz durch Design und durch Standardeinstellungen - Gemäß der Datenschutz-Grundverordnung sollte der Datenschutz bewusst eingebaut und standardmäßig in die Verarbeitungssysteme aufgenommen werden. Bei OpenText überprüfen wir ständig die Prinzipien des "Privacy by Design", wie z.B. End-to-End-Sicherheit, um sie nicht nur in unsere Geschäftsprozesse und Systeme, sondern auch in die von uns entwickelte Software einzubauen.