Esri verpflichtet sich zur Einhaltung des europäischen Datenschutzgesetzes, der Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist. Die DSGVO beinhaltet neue Vorschriften für Unternehmen, Behörden, gemeinnützige Organisationen und sonstige Einrichtungen außerhalb der Europäischen Union (EU), die im Zuge der Bereitstellung von Waren und Dienstleistungen für EU-Bürger personenbezogene Daten verarbeiten oder das Nutzerverhalten von EU-Bürgern innerhalb der EU aufzeichnen.
Relevante Services von Esri
Esri ist ein Auftragsverarbeiter personenbezogener Daten für andere verantwortliche Organisationen (d. h. unsere Kunden), die uns mit der Verarbeitung personenbezogener Daten betraut haben, die sie verarbeiten. Hierzu gehören Daten in ArcGIS Online, Daten, die im Rahmen von Support Cases erfasst werden, und Kontaktinformationen, die uns von einer Kundenorganisation zur Verfügung gestellt werden.
Maßnahmen von Esri
- Anhang zur Datenverarbeitung: Esri hat einen Anhang zur Datenverarbeitung (Data Processing Addendum, DPA) erstellt, der die Bedingungen für den Datenschutz, die Vertraulichkeit und die Sicherheit personenbezogener Daten aus der EU im Zusammenhang mit Online-Services und -Wartungsleistungen festlegt, die wir Kunden im Rahmen eines Rahmenvertrags, des aktuellen Lizenzvertrags des Kunden mit Esri oder des jeweils aktuellen Click-Through-Vertrags zur Verfügung stellen. Nachdem das Privacy Shield im Jahr 2020 für unzureichend erklärt wurde, hat Esri dem Anhang zur Datenverarbeitung die EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) hinzugefügt. Vor Kurzem, im Jahr 2021, haben wir den Anhang zur Datenverarbeitung um zusätzliche Maßnahmen ergänzt, um den jüngsten EU-Richtlinien gerecht zu werden.
- Cookies und Zustimmung: Esri vermeidet die Verwendung von "Targeting"-Cookies zur Erleichterung von Marketing-/Verkaufsprozessen bei der Nutzung kostenpflichtiger Produkte durch Kunden.
- Datenaufbewahrung: ArcGIS Online-Benutzer sind nicht verpflichtet, personenbezogene Daten innerhalb der Anwendung zu speichern, und die Daten, die sie in ArcGIS Online hochladen, können jederzeit vom Kunden gelöscht werden. In ArcGIS Online-Organisationen gespeicherte Kundendaten werden innerhalb von 60 Tagen nach Beendigung des Service gelöscht. Die Kunden können bei Bedarf die Löschung ihrer Daten vor diesem Zeitraum beantragen. Support-Daten werden, sofern nicht anders vereinbart/angegeben, innerhalb von 90 Tagen nach Beendigung eines Support-Ereignisses gelöscht.
- Datenspeicherort: ArcGIS Online-Kunden, die mit einem Esri Distributor in der EU oder im asiatisch-pazifischen Raum zusammenarbeiten, speichern ihre Organisationsdaten standardmäßig innerhalb der entsprechenden Region in der EU bzw. im asiatisch-pazifischen Raum (regionale Datacenter-Standorte, die im CAIQ angegeben sind). Alle anderen ArcGIS Online-Kundendaten und Metadaten für neue Organisationen werden standardmäßig nur auf dem Boden der USA gespeichert.
- Verschlüsselung: Kundendaten werden für ArcGIS Online bei der Speicherung und Übertragung verschlüsselt.
- Datenschutzexperten: Esri ist Mitglied der International Association of Privacy Professionals (IAPP) und verfügt innerhalb des Esri Teams für Softwaresicherheit und Datenschutz über zertifizierte Datenschutz-Ressourcen, um sicherzustellen, dass die Prinzipien des "Privacy by Design" ständig weiterentwickelt werden.
Kundenmaßnahmen
- Unterzeichnung des Anhangs zur Datenverarbeitung von Esri: Eine Kopie der [PDF] kann vom Kunden heruntergeladen, unterschrieben und zu den eigenen Unterlagen genommen werden. Die Rücksendung des unterschriebenen Exemplars an Esri ist nicht erforderlich.
- Überprüfung der ArcGIS-Datenschutzempfehlungen: Eines der umfangreicheren Dokumente von Esri zum Kundendatenschutz ist das 50-seitige Technical Paper ArcGIS Location Sharing Privacy. Das Dokument enthält High-Level-Leitlinien für die Architektur bis hin zu individuellen Konfigurationseinstellungen. Zahlreiche weitere Präsentationen und Leitfäden zum Thema Datenschutz sind im Abschnitt Dokumente des Trust Centers zu finden.
- Überprüfen: Überprüfen Sie Ihre Bereitstellung regelmäßig anhand der Empfehlungen des Werkzeugs "ArcGIS Security Advisor" (blaue Schaltfläche im oberen Bereich des Trust Centers). Noch umfangreichere Empfehlungen zur Konfiguration von ArcGIS-Produkten sind im Technical Paper zum Thema Datenschutz in Form einer farbcodierten Matrix zusammengefasst (siehe unten).
Ressourcen
- Esri DPA Overview (öffentliche Trust Center-Seite)
- ArcGIS Location Sharing Privacy (öffentliches Trust Center-Dokument)
- Wo sind meine Daten? ArcGIS Online CAIQ (öffentliches Trust Center-Dokument)