DSGVO

Gäste und Teilnehmer DSGVO konform managen/verwalten

Datenschutz stand schon bei der Konzeption von guestoo an erster Stelle. Mit Bekanntwerden der DSGVO haben wir mit unserem Anwalt alles notwendige getan, um ein DSGVO-konformes Gäste- oder Teilnehmendenmanagement zu ermöglichen.
Alle Informationen auf dieser Seite ersetzen keine Rechtsberatung und haben nicht den Anspruch auf Vollständigkeit!

Du kannst für das guestoo Back-End zwischen zwei Darstellungsoptionen wählen. Die Screenshots in der Doku basieren auf dem "Klassischen Design".
Hier siehst Du die Unterschiede, damit Du dich auch im "Modernen Design" zurecht findest: » guestoo Back-End-Design

Deine Daten & die Daten Deiner Gäste sind bei uns in guten Händen:

  • Server in Deutschland
  • Vertrag zur Auftragsdatenverarbeitung nach DSGVO
  • ISO 27001 zertifiziertes Rechenzentrum
  • technische & organisatorische Maßnahmen
  • Jährlicher Penetrationstest durch einen externen Dienstleister

Generelles zu guestoo und der DSGVO

Das solltest Du nach dem 25. Mai 2018 bei der Gäste- oder Teilnehmendenverwaltung beachten.

Hier ein paar generelle aber für den Bereich wichtige Informationen zum Thema Gästeverwaltung / Teilnehmendenmanagement und der Datenschutzgrundverordnung.

  • Zum Erheben und Verarbeiten von personenbezogene Daten bedarf es einer gesetzlichen Erlaubnis oder Einwilligung des Betroffenen.
  • Jedes Unternehmen ist für die Datenerhebung vollumfänglich verantwortlich.
  • Bei Zusammenarbeit mit Subunternehmen, welche mit der Verarbeitung von personenbezogenen Daten beauftragt werden, ist ein sogenannter Vertrag zur Auftragsverarbeitung notwendig.
    Wie Du diesen für guestoo abschließen kannst, erfährst Du weiter unten auf dieser Seite.
  • Für das Sammeln von Gast-Daten benötigst Du von den Adressaten eine ausdrückliche Einwilligung oder eine gesetzliche Erlaubnis.
  • Das Einladen von Gästen darf ebenfalls nur mit gesetzeskonformer Einwilligung der Adressaten erfolgen.
  • Die zu erfassenden Daten müssen dem Zweck dienlich sein. Es dürfen nicht mehr Daten gesammelt werden, als zur Zweckerfüllung notwendig sind.
    Bei guestoo kannst Du pro Event bestimmen, welche Daten vom Gast benötigt werden.
  • Der Gast muss jederzeit Einblick in die über ihn gesammelten Daten haben und kann u. a. eine Löschung dieser verlangen.
    Bei guestoo hat der Gast ganz einfach die Möglichkeit über das Gäste-Dashboard seine Daten einzusehen, zu ändern oder zu löschen. Steuerrechtlich relevante Informationen bleiben erhalten, der Rest wird gelöscht.
  • Der Datenverarbeitende muss eine umfassende, dem Art. 13 der DSGVO entsprechende, Datenschutzerklärung formulieren und die Adressaten über die Datenverarbeitungsvorgänge informieren.
    Bei guestoo hast Du die Möglichkeit allgemein oder pro Event Datenschutzbestimmungen, Bedingungen/AGB und ein Impressum zu hinterlegen, welches der Gast bei der Anmeldung akzeptieren muss und in der DoubleOptIn E-Mail mitgesendet bekommt.
  • Nach Zweckerfüllung müssen die Daten gelöscht werden, es sei denn der Gast hat der dauerhaften Speicherung zugestimmt.
    Bei guestoo gibt es eine Bereinigungsfunktion, die Dir alle nicht mehr relevanten Gäste anzeigt und Dir die Möglichkeit zur Löschung gibt. Steuerrechtlich relevante Informationen bleiben am Event gespeichert.
  • Zusätzlich bietet guestoo Dir die Möglichkeit ordentlich protokollierte und mit DOI abgesicherte, individuelle Einverständniserklärungen bei der Anmeldung zum Event abzufragen. So kann sich ein Gast z. B. zu Deinem Newsletter anmelden oder muss einer Verzichtserklärung zustimmen (z. B. bei Fahrtrainings).
  • Deine Daten gehören Dir. Wir bieten Excel-Exporte und eine API an. So hast Du jederzeit die Möglichkeit die Daten auch außerhalb von guestoo zu nutzen (Einwilligung der Gäste oder gesetzliche Erlaubnis vorausgesetzt).

So schützen wir Deine Daten

Deine Daten sind Dein Eigentum

Die von Dir in unseren (Code Piraten GmbH) Tools (guestoo, persoo, clientoo, jodoos) gespeicherten Daten sind Dein Eigentum und so werden diese von uns auch behandelt. So lange Du Nutzer dieser Tools bist, sind auch Deine Daten in vollem Umfang sicher in guestoo gespeichert und für Dich zugänglich.
Als Kunde bist Du die verantwortliche Stelle im Sinne der DSGVO. Das bedeutet, dass Du für die Wahrung der Betroffenenrechte verantwortlich bist. Die Code Piraten GmbH agiert als Auftragsverarbeiter und verarbeitet Deine Daten damit ausschließlich im Rahmen der Softwarebereitstellung, auf Deine Weisung und zu den im Rahmen des Vertrages zur Auftragsverarbeitung geregelten Zwecke. Deine Daten werden für keine anderen Zwecke genutzt und insbesondere nicht an Dritte weitergegeben.

Zugriffskontrolle durch Rollen & Berechtigungen

Der Datenschutz beginnt bereits beim Softwaredesign. Ein integriertes Rollen- und Berechtigungskonzept regelt im Detail, welcher Mitarbeitende in Deinem Unternehmen auf welche Datensätze zugreifen kann.

Zugriff auf Deine Daten

Nur im Support-Fall greifen wir auf Deine Daten zu. Um Einblick in Deinen Account zu haben, kannst Du unsere Support-Mitarbeiter entsprechend dem oben genannten Rechte- und Rollen-Prinzip als Manager-User hinzufügen.
Zusätzlich liegen sensible Daten wie LogIn-Daten verschlüsselt in unserer Datenbank, auf die nur wenige ausgewählte Mitarbeiter Zugriff haben.


Login und Zwei-Faktor-Authentifizierung

Der Login erfolgt via OAuth2-Authentifizierung mit Bearer Token.
Mit der optionalen Zwei-Faktor-Authentifizierung kannst Du Deinen Account zusätzlich vor unbefugten Zugriffen schützen. Bei dieser Bestätigung in zwei Schritten ist neben dem persönlichen Passwort des Nutzers ein zusätzlicher, zweiter Faktor zur Authentifizierung notwendig. Der zweite Faktor zur Anmeldung erfolgt per OTP. Hierzu kannst Du jede beliebige OTP-App nutzen.

Tägliche Datensicherung

Keine Angst vor Datenverlust, denn mit uns bist Du auf der sicheren Seite. Die Datensicherung erfolgt mindestens einmal pro Tag (die Datenbank wird sogar öfter gesichert) und wird verschlüsselt auf einem separaten Server gespeichert.

Serverstandort innerhalb der EU bei einem deutschen Anbieter

Unsere Server stehen in einem Server-Zentrum innerhalb der EU in einem ISO 27001-zertifizierten Rechenzentrum der deutschen Hetzner Online GmbH. Details: https://www.hetzner.de/unternehmen/rechenzentrum/

Verschlüsselung der Daten

Sichere Übertragung
Für die Übertragung der Daten vom Server zum User nutzen wir das aktuelle Verschlüsselungsverfahren (SSL Verschlüsselung). Wie beim Onlinebanking kannst Du unsere Tools so auf Basis des Sicherheitsprotokolls Secure Sockets Layer (SSL) unter maximalen Sicherheitsbedingungen verwenden.

Zusätzliche Sicherung von Passwörtern, Downloads & Dateien
Um Passwörter zusätzlich zu sichern, werden diese als Hashwert gespeichert. Der Hashwert ist selbst im Falle eines Diebstahls sicher, da aus einem Hashwert keine Passwörter errechnet werden können. Die Sicherheit beim Hashen der Passwörter wird darüber hinaus durch den Einsatz von sogenannten "Salts" verstärkt.
Die erzeugten Downloads (z. B. von Excellisten der Besucher), sowie alle hochgeladenen Dateien werden per AES/CBC/PKCS5Padding verschlüsselt.

Löschung der Daten

Du kannst jederzeit die Daten Deiner Gäste löschen. Sowohl die eventbezogenen Informationen, als auch die Stammdaten. Je nach Tarif kann die Löschung auch automatisiert nach der Zweckerfüllung erfolgen.
Backups werden rollierend gelöscht, so dass nach spätestens 3 Monaten die Daten auch physikalisch gelöscht werden.

Beendigung der Zusammenarbeit

Du hast jederzeit die Möglichkeit, Deine Daten selbst als Excel-Datei oder über unsere API zu exportieren. Das gilt selbstverständlich auch im Falle einer Kündigung. Durch diverse Exportfunktionen, wie zum Beispiel dem Export der Kontakte oder der Gästeliste eines Events, ist die Sicherung und die Möglichkeit der "Mitnahme" Deiner Daten gewährleistet. Zum Ende der Geschäftsbeziehung erfolgt die logische Löschung Deines Zugangs und der im Account enthaltenen Daten. Backups werden rollierend gelöscht, so dass nach spätestens 3 Monaten die Daten auch physikalisch gelöscht werden.

Bereinigung von nicht notwendigen Daten (automatisch oder manuell)

Datensparsamkeit in guestoo

In guestoo hast Du die Möglichkeit, die Daten Deiner Gäste manuell oder ab dem Pro-Tarif auch automatisch zu löschen.

Manuelles Löschen

Du kannst die nicht mehr benötigten Daten Deiner Gäste ganz einfach mit Hilfe der Bereinigungsfunktion im Adressbuch löschen. Hier werden Dir alle Gastdaten angezeigt, die keinem aktiven Event mehr zugeordnet sind. Ein Klick und die Daten werden restlos gelöscht. Das Einzige was bleibt, ist ein kleiner Datensatz am Event, der für den Nachweis beim Finanzamt dient. 

Löschst Du das Event, sind auch alle Daten, die im Event gespeichert wurden, aus guestoo gelöscht.

Automatisches Löschen

Ab dem Pro-Tarif kannst Du automatische Bereinigungsjobs einstellen, die Events und nicht benötigte Gastdaten nach einer von Dir festgelegten Anzahl an Tagen löschen. Der Bereinigungsjob läuft jede Nacht und funktioniert analog zur manuellen Löschung. Richte hier die von Deinem Datenschutzbeautragten geforderte Frequenz ein und guestoo erledigt den Rest für Dich.

 

Cookies, die guestoo speichert

Nur notwendige Cookies

Wir nutzen auf guestoo Cookies, welche auf dem Rechner der Gäste gespeichert werden, um die Funktion von guestoo zu gewährleisten.

Cookies sind Textdateien, die der Anbieter einer Website auf dem Computer des Nutzers der Website speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder bei Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen.

Wir setzen auf unserer Webseite lediglich für den Betrieb unserer Webseite technisch notwendige Cookies auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. b DSGVO zur Durchführung erforderlicher vorvertraglicher Maßnahmen, welche auf Deine Anfrage erfolgen, ein, um Dir die Nutzung der von Dir abgerufenen Internetseiten und Funktionen überhaupt zu ermöglichen und/oder den von Dir gewünschten Vertrag mit Dir zu schließen. Nachfolgend findest Du eine Liste der Cookies, welche auf unserer Seite eingesetzt werden:

JESSSIONID (Session-ID)
Name: JSESSIONID oder PHPSESSION
Anbieter: Code Piraten GmbH 
Gültigkeit: 7 Tage
Funktion: Dieser Cookie speichert die aktuelle Sitzung mit Bezug auf die Anwendungen und gewährleistet so, dass alle Funktionen der Seite vollständig angezeigt werden können.

XRSF-TOKEN (XRSF-Sicherheitstoken)
Name: XRSF-TOKEN
Anbieter: Code Piraten GmbH 
Gültigkeit: Bis die Sitzung beendet wird
Funktion: Dieses Cookie speichert den XRSF-Token. Ein geheimer Schlüssel, der genutzt wird, um Cross-Site-Request-Forgery (Website-übergreifende Anfragenfälschung) zu verhindern.

Veraltet

CPCookieInfo (Cookie-Hinweis)
Name: CPCookieInfo
Anbieter: Code Piraten GmbH
Gültigkeit: 12 Monate
Funktion: Dieser Cookie speichert, ob der Cookiebanner weggeklickt wurde.

Hinweis zu Zahlungsprovidern (PayPal / Stripe)

Falls Ihr Zahlungsprovider (Stripe / PayPal) in guestoo einbindet, so können diese ebenfalls Cookies setzen. Bitte informiert Euch hier direkt beim Zahlungsprovider.

Beispiel-Formulierung für die eigene Datenschutzinformation

Dies ist keine Rechtsberatung, nur ein Beispiel wie andere Kunden die Nutzung von guestoo in ihrer Datenschutzinformation einbinden:

Zur Verwaltung unserer Webinare, Schulungen und Kundenveranstaltungen nutzen wir das Tool guestoo des deutschen Unternehmens "Code Piraten GmbH". Die Code Piraten GmbH wurde von uns als Auftragsverarbeiter vertraglich nach Art. 28 DSGVO verpflichtet.

Hinweise zu Cookies:

Bitte beachte, dass Du die technisch notwendigen Cookies (siehe oben) nicht über ein Cookie-Banner angezeigt werden und Du diese ggf. ebenfalls in Deine Datenschutzinformation aufnehmen solltest.

Daten, die guestoo über die Gäste speichert / Einsicht der Gäste in die Daten

Was kann wie gelöscht werden?

Die Daten, die im Rahmen Deiner guestoo-Nutzung entstehen, gehören Dir. Wir (die Code Piraten UG) treten nur als Auftragsdatenverarbeiter auf.

guestoo speichert die Stammdaten der Gäste in Deinem Account-Adressbuch und die eventbezogenen Daten am Event mit der Verknüpfung ins Adressbuch zu den Gast-Stammdaten. Beides kann der Gast über das Gäste-Dashboard einsehen, ändern oder löschen.

Löschst Du ein Event, werden alle eventbezogenen Daten des Gastes mit gelöscht.

Löschst Du die Stammdaten eines Gastes aus dem Account-Adressbuch, werden alle Daten des Gastes gelöscht mit Ausnahme von:

  • protokollierten Einverständniserklärungen, die durch den Gast erteilt wurden
  • einem Datensnippet an den Events, zu denen der Gast erschienen ist, für den Nachweis beim Finanzamt. Gespeichert werden der Name und die Adresse des Gastes + der Name der Begleitperson/en (löschst Du das Event, werden diese Daten auch gelöscht)

Auftragsdatenverarbeitungsvertrag

Wie schließe ich einen neuen Vertrag zur Auftragsdatenverarbeitung nach Art. 28 EU-DSGVO für guestoo ab?

Um der DSGVO zu entsprechen ist es zwingend notwendig (mit wenigen Ausnahmen), dass Du einen Vertrag zur Auftragsverarbeitung nach Art. 28 EU-DSGVO mit uns als Auftragsdatenverarbeiter abschließt. So gehts:

  1. Logge Dich in guestoo als Agenturinhaber ein
  2. Menüpunkt finden
    1. Desktop: Klicke oben rechts auf Deinen Namen
    2. Mobil: Klicke unten rechts auf "… Mehr"
  3. Wähle im Menü "Datenverarbeitung (AVV)"
  4. Wähle deine Art der Datenverarbeitung
    1. Ich teste das Tool des Anbieters nur und verwende keine personenbezogenen Daten
    2. Ich nutze das Tool des Anbieters ausschließlich zu privaten Zwecken
    3. Ich speichere keine personenbezogenen Daten Dritter im Tool des Anbieters
    4. Ich versichere hiermit bereits einen AVV mit der Code Piraten GmbH geschlossen zu haben
    5. Ich speichere personenbezogene Daten Dritter im Tool des Anbieters und akzeptiere den AVV
  5. Klicke auf speichern ODER wenn ein AVV notwendig ist, fülle die notwendigen Informationen aus und klicke dann auf AVV-Schließen
    1. Auftraggeber-Daten
      1. Name
      2. Straße Nr.
      3. Postleitzahl
      4. Ort
      5. Land
      6. Weisungsberechtigte Personen
    2. Erhobene Daten
      1. Kategorien von betroffenen Personen
        z.B. Beschäftigte, Kunden, Lieferanten
      1. Art der personenbezogenen Daten
        z.B. Name, Anschrift, E-Mail-Adresse, Telefonnummer, Handynummer, Firma, Position

Wie sieht der Vertrag aus?

Ein Muster des Vertrags kann hier heruntergeladen werden: Code Piraten GmbH AVV (download als PDF)

 

 

Häufige Fragen & deren Antworten zum diesem Bereich (FAQ)

  • Kann ich meinen Account wieder löschen?

    Ja, Du kannst Deinen Account jederzeit vollständig löschen. Gehe dafür einfach in Dein Profil und klicke auf "Account löschen".

  • Kann ich die Daten auch aus guestoo exportieren?

    Ja! Wir haben großen Wert auf Exportmöglichkeiten gelegt und es gibt zusätzlich eine Event- und Gast-API.