Sicherheitshaken fürs Klettern als Symbol der Datensicherheit bei Nuntius

Vertrauen ist gut, Kontrolle ist besser!

Als Marketingdienstleister ist Datenschutz für uns genauso wichtig wie für den Datenschutzbeauftragten.
Bei dem sind wir gemeldet und von dem werden wir kontrolliert.
Also sicher, ist sicher!

Öffentliches Datenschutzkonzept von Nuntius Marketing Logistik GmbH & Co.KG

Verantwortliche Stelle:
Nuntius Marketing Logistik GmbH & Co. KG
Dietmar Müller (Geschäftsführer)
Kornwestheimer Str. 228
70825 Korntal-Münchingen

Präambel

Nuntius Marketing Logistik GmbH & Co. KG (Nuntius) ist sowohl als Lettershop wie auch als auftragsverarbeitendes Unternehmen tätig.


Aus beiden Tätigkeitsfeldern ergeben sich spezielle gesetzliche datenschutzrechtliche Verpflichtungen.

Außerdem hat sich Nuntius besondere, über die Gesetze hinausgehende Verpflichtungen auferlegt, um seinen Mitarbeiterinnen und Mitarbeitern, seinen Kunden und seinen Partnern/Lieferanten ein besonders hohes Maß an Datenschutz zu gewährleisten.

Naturgemäß hat Nuntius dabei das Verhältnis Listeigner /Listbroker /Werbungtreibender /Auftragsverarbeiter besonders im Focus. Wir fühlen uns aber auch dem Empfänger von Werbung verpflichtet und wirken beratend auf unsere Kunden ein, sich an die Regeln für faires Direktmarketing(https://www.ichhabediewahl.de/) zu halten. Im Folgenden finden Sie das öffentliche Nuntius-Datenschutzkonzept:

1. Zweckbestimmung der Datenerhebung, -Verarbeitung und -Nutzung - Grundsatz der Datenvermeidung und Datensparsamkeit

Nuntius fühlt sich dem Ziel verpflichtet, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Es werden personenbezogene Daten erhoben, um Mitarbeiter, Auftraggeber, Mittler, Lieferanten, Interessenten und Kunden in der EDV zu erfassen mit dem Ziel, die tägliche Zusammenarbeit so effizient wie möglich zu gestalten. Interessentendaten werden erhoben, um potenzielle Kunden im gesetzlich zugelassenen Rahmen werblich anzusprechen. Erlangen wir Kenntnis von der Ungültigkeit von Datensätzen wird im Einzelfall entschieden, ob die Daten gelöscht werden, oder ob ein Kennzeichen gesetzt wird, dass den Datensatz als nicht mehr gültig charakterisiert. Im Kundenauftrag erhobene, verarbeitete oder genutzte Daten werden in Absprache mit unseren Kunden nach dem gleichen Grundsatz behandelt. Überlassene Adressdaten werden ausschließlich zum Zwecke der Selektion der Adressdaten und zur auftragsgemäßen Durchführung der beauftragten Leistung verwendet.

2. Bestellung eines Datenschutzbeauftragten

Gemäß Art. 37 DS-GVO und §38 BDSG sind Unternehmen, in denen regelmäßig nicht mehr als mindestens 20 Personen personenbezogene Daten erheben, verarbeiten oder nutzen nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Nuntius hat dennoch - in Übereinstimmung mit den Anforderungen des unten näher beschriebenen Qualitäts- und Leistungssiegel des Deutschen Dialogmarketing Verbandes e.V. (DDV) - Herrn Holger Hanke (E-Mail: datenschutz@nuntius.net) zum betrieblichen Datenschutzbeauftragten bestellt.

3. Technische und organisatorische Maßnahmen

Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen, müssen technische und organisatorische Maßnahmen treffen, um den Bestimmungen des BDSG insbesondere dem §64 und DS-GVO §32 zu entsprechen. Nuntius erfüllt diesen Anspruch durch folgende Maßnahmen:

a. Zutrittskontrolle

Die Zugänge zum Gebäude sind stets geschlossen und können von außen nur mit elektronischen Sicherheitsschlüsseln geöffnet werden, die sich nur im Besitz einiger weniger, ausgesuchter Mitarbeiterinnen und Mitarbeiter befinden. Fremde können sich ausschließlich Zugang verschaffen, in dem sie sich per Klingel und Gegensprechanlage anmelden müssen. Besucher müssen von einer Mitarbeiterin oder einem Mitarbeiter persönlich abgeholt werden. Organisatorisch ist geregelt, dass Fremde sich im Gebäude niemals allein aufhalten oder bewegen dürfen.

b. Zugangskontrolle zu EDV-Systemen

Der Zugang von außen zu unseren EDV-Systemen ist durch eine wirksame Firewall geschützt. Sämtliche PC-Systeme sind passwortgeschützt. Passwörter müssen hohen Ansprüchen genügen und werden regelmäßig zwangsweise erneuert. Alte Passwörter können nicht wiederverwendet werden.

c. Zugriffskontrolle

Der Zugriff auf Netzwerkverzeichnisse, in denen personenbezogene Daten gespeichert werden, ist auf die jeweiligen Personen beschränkt, die mit den Aufträgen beschäftigt sind, für die die Daten verwendet werden sollen. Insbesondere Produktionssysteme haben ausschließlich zu einem einzigen, für sie eingerichteten Netzwerkverzeichnis Zugang. Auf diesen Verzeichnissen werden Daten nur so lange gespeichert, wie sie für den unmittelbaren Produktionsprozess benötigt werden.

d. Weitergabekontrolle

Der Versand personenbezogener Daten erfolgt ausschließlich im gesetzlich vorgesehenen Rahmen. Sofern die Übermittlung von personenbezogenen Daten notwendig sein sollte, erfolgt der Datenaustausch über einen gesicherten FTP-Server. Zur Nutzung des FTP-Servers ist eine vorherige Registrierung erforderlich. Für den einzelnen Abruf wird zusätzlich ein eindeutiges Passwort benötigt, das lediglich dem autorisierten Nutzer, mittels eines anderen Mediums, bekannt gegeben wird. Nach Möglichkeit wird der Versand personenbezogener Daten über PGP-Verschlüsselung oder Passwortgeschützen Dateien abgewickelt. Wünscht der Kunde einen Versand per E-Mail, wird dieser von Seiten Nuntius ausschließlich verschlüsselt erfolgen. Das erforderliche Passwort wird mittels eines anderen Mediums zum Empfänger übertragen.

e. Eingabekontrolle

Es wird in den Auftragsmappen dokumentiert, dass und von wem Adressdaten auf unseren Servern wohin gespeichert wurden. Veränderungen an Adressdaten (z.B. Dubletten entfernen, Adressen qualifizieren) werden durch das Abspeichern unterschiedlicher Fertigungsstufen dokumentiert.

f. Auftragskontrolle

Adressdaten werden nur entsprechend den Weisungen des Auftraggebers verarbeitet.

g. Verfügbarkeitskontrolle

Unsere EDV-Systeme sind durch RAID-Systeme vor Datenverlust geschützt. Tägliche Datensicherungen garantieren, dass bei Verlust der Funktionsfähigkeit von EDV-Systemen keine Daten verloren gehen. Für den Fall von Feuer oder anderen EDV-System schädigenden Ereignissen ist die Datensicherung auch außerhalb des Serverraumes vor Zugriff geschützt gelagert.

h. Getrennte Verarbeitung personenbezogener Daten

Es ist durch die Trennung der Aufträge voneinander sowohl in getrennten Auftragsmappen als auch in voneinander getrennten Datenverzeichnissen gewährleistet, dass zu unterschiedlichen Zwecken erhobene Adressdaten getrennt verarbeitet werden können.

i. Löschung personenbezogener Daten Dritter

Personenbezogene Daten Dritter (gelieferte Bestände, Bestände, die bei der Verarbeitung entstehen, Markierungen auf Beständen etc.) werden nach Vereinbarung mit dem Eigner der Daten, frühestens nach drei Wochen, spätestens sechs Monate nach Beendigung des Auftrages, für die die Daten gespeichert wurden, physikalisch gelöscht. Wünscht der Kunde eine Speicherung der Daten über diesen Zeitpunkt hinaus, muss dies schriftlich angewiesen und von uns bestätigt werden. Ein Löschprotokoll kann vom Kunden angefordert werden.

4. Verhalten gegenüber Adresseignern

Nuntius hat die "Verpflichtungserklärung des Deutschen Dialogmarketing Verbandes e.V. (DDV)" unterschrieben und sie zur Veröffentlichung dem Verband überlassen. Sie finden die Verpflichtungserklärung beim DDV unter (https://www.ddv.de/downloads/ Verpflichtungserklaerung/ nuntiusmarketinglogistik.pdf)

5. Verpflichtung der Mitarbeiterinnen und Mitarbeiter auf die Einhaltung der datenschutzrechtlichen Bestimmungen

Sämtliche Mitarbeiterinnen und Mitarbeiter werden in jährlichen Schulungen auf ihre Verpflichtungen zur Wahrung des Postgeheimnisses und des Datengeheimnisses hingewiesen und bezeugen dies durch ihre Unterschrift. Sie werden auf die Themen "Postgeheimnis und Datenschutz" sensibilisiert. Außerdem werden ihnen die wesentlichen Inhalte der Vorschriften der DS-GVO, des BDSG, des Postgesetzes und der Postdienste-Datenschutzverordnung (PDSV) erläutert. Sie bekommen zudem eine schriftliche Zusammenfassung der wichtigsten Regelungen übergeben.

6. Die Online-Selbstverpflichtungserklärung

Nuntius gibt gegenüber dem DDV alle zwei Jahre eine online erhobene Selbstverpflichtungserklärung (SVE) ab, die in mehr als 100 Punkten und Unterpunkten die Maßnahmen, die das Unternehmen getroffen hat, um den Bestimmungen der Gesetze zu entsprechen, erläutert werden. In der SVE erklärt Nuntius darüber hinaus die getroffenen Maßnahmen, um die über die Gesetze hinaus gehenden Verpflichtungen des DDV-Qualitäts- und Leistungssiegels (QuLS) darzulegen.

7. Das Qualitätssiegel QuLS 2020/2021 Lettershop

Die Einhaltung der in der SVE abgegebenen Verpflichtung wird von unabhängigen Gutachtern überwacht. Als Zeichen der besonderen Güte der von Nuntius erbrachten Leistungen verleiht uns der DDV das QuLS 2020/2012 erneut im Januar 2020. Seit Beginn der Mitgliedschaft im Jahr 2009 im DDV ist Nuntius ununterbrochener Siegelinhaber und Mitglied im Kompetenz-Center DirectMail Services und hat sich dadurch dem Ehrenkodex des Kompetenz-Center DirectMail Services verpflichtet. (Link: https://www.ddv.de/fileadmin// user_upload/pdf/ Verband/ Kompetenz-Center/ DirectMail_Services/ Regularien/ Ehrenkodex_DMS_2017.pdf)

8. Umgang mit Makulatur

Material, das personenbezogene Daten (Adressen) enthält, und das aus verschiedensten Gründen nicht einem Distributor (z.B. Deutsche Post AG, o.a.) übergeben wurde, wird in einem verschlossenen Behälter gesammelt und einem auf den Datenschutz verpflichteten Unternehmen zur Vernichtung übergeben.


Ein ausführliches Datenschutzkonzept kann per E-Mail unter datenschutz@nuntius.net angefordert werden.


Korntal-Münchingen, 1. Juli 2020