Datenschutzerklärung für MXDR

Mit G DATA MXDR (Managed Extended Detection and Response) bieten wir eine umfassende Sicherheitslösung zum Schutz vor Cyberangriffen. G DATA tritt dabei in der Regel als Auftragsverarbeiter im Sinne der DSGVO auf und verarbeitet personenbezogene Daten im Auftrag seiner Kunden.

Diese Datenschutzerklärung informiert über die typischen produktbezogenen Verarbeitungen im Rahmen von G DATA MXDR, erläutert, welche Daten zu welchen Zwecken verarbeitet werden, und beschreibt die Rechte der betroffenen Personen.

1. Verantwortliche Stelle und Datenschutzbeauftragter

Der Verantwortliche für die nachfolgend dargestellte Datenverarbeitung im Sinne datenschutzrechtlicher Vorschriften ist die:

G DATA CyberDefense AG

Königsallee 178 a

44799 Bochum

Deutschland

E-Mail: info@remove-this.gdata.de

Weitere Fragen zum Datenschutz können Sie auch per E-Mail stellen an: dsgvo@remove-this.gdata.de

Unser externer Datenschutzbeauftragter ist:

Ali Tschakari

Bitkom Servicegesellschaft mbH

Albrechtstraße 10

10117 Berlin

Anfragen können Sie an folgende E-Mail-Adresse stellen: datenschutz@remove-this.bitkom-consult.de

2. Allgemeines zur Datenverarbeitung

a) Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur soweit dies zur Bereitstellung unserer Dienstleistung bzw. zur Nutzung unserer Software erforderlich ist.

b) Keine automatisierte Entscheidungsfindung

Eine automatisierte Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen, findet im Rahmen der beschriebenen Datenverarbeitung nicht statt.

3. Zwecke und Rechtsgrundlagen der Datenverarbeitung

Die Verarbeitung personenbezogener Daten im Rahmen von G DATA MXDR variiert je nach gebuchter Leistungsklasse. In den folgenden Abschnitten wird erläutert, welche Daten in welcher MXDR-Klasse verarbeitet werden und zu welchen Zwecken dies geschieht.

a) MXDR G3 – Erkennung von Cyberangriffen und Reaktionen auf Cyberangriffe

Im Rahmen der Nutzung von MXDR G3 verarbeitet G DATA verschiedene sicherheitsrelevante Daten, um Cyberangriffe frühzeitig zu erkennen und angemessen darauf zu reagieren. Hierbei werden insbesondere verdächtige Aktivitäten im Netzwerk und auf Endgeräten analysiert.

Zu diesem Zweck verarbeiten wir folgende Daten:

Log-Daten zu verdächtigen Aktivitäten
Metadaten über Netzwerkverbindungen
System- und Ereignisdaten von Endgeräten
Informationen über erkannte Bedrohungen

Diese Daten werden genutzt, um Anomalien zu identifizieren und entsprechende Gegenmaßnahmen einzuleiten. Dabei erfolgt keine automatisierte Entscheidungsfindung ohne menschliches Eingreifen.

Die Verarbeitung dieser Daten erfolgt zur Erfüllung unseres Vertrags mit Ihnen gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO. Zudem liegt ein berechtigtes Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO an der Gewährleistung der IT-Sicherheit und der Abwehr von Cyberangriffen vor.

b) MXDR G5 und G7 – Erweiterte Sicherheitsanalysen und Incident Response

Die MXDR-Dienste der Klassen G5 und G7 bieten erweiterte Sicherheitsfunktionen zur präventiven Erkennung und Reaktion auf Bedrohungen. Zusätzlich zur Erkennung von Cyberangriffen umfasst dies die Analyse von Sensormeldungen, tiefergehende Untersuchungen im Verdachtsfall sowie die Durchführung und Verwaltung der gesamten MXDR-Lösung.

Hierbei verarbeiten wir insbesondere folgende Daten:

Logs und Sensordaten zur Analyse von potenziellen Angriffen
Auswertungen und Statistiken zu erkannten Bedrohungen
Daten zur Durchführung und Verwaltung der MXDR-Lösung
Ergebnisse aus Incident Compromise Checks zur Bewertung vergangener Sicherheitsvorfälle Die Datenverarbeitung erfolgt zur
Bereitstellung und Optimierung der MXDR-Lösung
Identifizierung und Abwehr von Cyberbedrohungen
Durchführung forensischer Analysen zur Nachverfolgung und Behebung von Sicherheitsvorfällen

Die Verarbeitung dieser Daten erfolgt zur Erfüllung unseres Vertrags mit Ihnen gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO. Darüber hinaus basiert die statistische Auswertung von Sensordaten und die Verbesserung unserer Erkennungsmechanismen auf unserem berechtigten Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO an der kontinuierlichen Verbesserung der Sicherheit unserer Dienste.

c) Incident Compromise Checks (nur G5 und G7)

G DATA führt im Rahmen von MXDR G5 und G7 sogenannte Incident Compromise Checks durch. Dabei werden Daten aus vergangenen Sicherheitsvorfällen ausgewertet, um mögliche kompromittierte Systeme zu identifizieren und zukünftige Angriffe besser abzuwehren. Dies beinhaltet:

Untersuchung von Log-Dateien und Systemereignissen
Abgleich mit bekannten Angriffsmustern
Identifikation betroffener Endgeräte

Diese Analysen erfolgen ausschließlich zur Verbesserung der Sicherheitsmaßnahmen und zur frühzeitigen Erkennung neuer Bedrohungen.

Die Verarbeitung dieser Daten erfolgt im Rahmen der Vertragserfüllung gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO sowie aufgrund unseres berechtigten Interesses gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO an der Verbesserung der Cyberabwehrmechanismen.

d) Addon Mobile Device Management (MDM)

Insofern der Kunde MDM erworben hat führt G DATA eine Kontrolle von Mobilgeräten durch, um mögliche kompromittierte Systeme zu identifizieren und zukünftige Angriffe besser abzuwehren. Hierbei werden:

Nutzungsdaten: (z.B. Vor- und Nachname, Endgerät, Abteilung, Telefonnummer, IMEI, AppVersion, Betriebssystem-Version, zugelassene und installierte Apps, Zeitpunkt des letzten Zugriffs auf das Mobilgerät) und
Standortdaten bei Aktivierung der Ortung verarbeitet.

e) Addon Policy Control (PC)

Insofern der Kunde PC erworben hat führt G DATA eine Kontrolle von BUS-Schnittstellen durch, um mögliche kompromittierte Datenträger zu identifizieren und zukünftige Angriffe besser abzuwehren. Hierbei werden Nutzungsdaten: z.B. Benutzername, Organisationseinheit, Gerät, Geräteklasse, Hardware ID, Zeitstempel des Events, Endpunkt, verarbeitet.

4. Datenempfänger und deren Rolle in der Verarbeitung

G DATA übermittelt personenbezogene Daten im Rahmen der MXDR-Dienste an folgende Empfänger bzw. Kategorien von Empfängern:

Supportdienstleistungen für alle Produkte:

G DATA Service GmbH
Adresse: Königsallee 178 a, 44799 Bochum
Zweck der Datenübermittlung: Support-Dienstleistungen

MXDR G5 und G7 und Policy Control:

IONOS SE

Adresse: Elgendorfer Str. 57, 56410 Montabaur, Deutschland

Zweck der Datenübermittlung: Hosting der Infrastruktur, Services und Daten

Mobile Device Management:

Google Ireland Limited

Adresse: Google Building Gordon House, 4 Barrow St, Grand Canal Dock, Dublin 4, D04 V4X7, Irland

Zweck der Datenübermittlung: Senden von Pushbenachrichtigungen bei Mobilgeräten mit Android Betriebssystem

Soweit personenbezogene Daten an Dienstleister der G DATA übermittelt werden, erfolgt dies auf Grundlage von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO, die regelmäßig überprüft werden.

G DATA verkauft keine personenbezogenen Daten.

5. Drittlandübermittlung

Drittländer sind alle Länder außerhalb des Europäischen Wirtschaftsraumes (EWR). Zum Europäischen Wirtschaftsraum gehören alle Länder der Europäischen Union sowie die Länder der Europäischen Freihandelszone (Norwegen, Island und Liechtenstein).

Dabei stellen wir sicher, dass die besonderen Anforderungen der Art. 44 ff. DSGVO eingehalten werden. Eine Datenübermittlung erfolgt nur, wenn im jeweiligen Drittland ein angemessenes Datenschutzniveau gewährleistet ist oder wenn durch geeignete Garantien – etwa durch den Abschluss der von der EUKommission bereitgestellten Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) oder andere anerkannte Instrumente – ein hinreichender Schutz Ihrer personenbezogenen Daten sichergestellt ist.

Sofern keine der genannten Garantien vorliegt und keine ausdrückliche Einwilligung Ihrerseits erteilt wurde, findet keine Übermittlung personenbezogener Daten in Drittländer statt.

Eine Kopie der entsprechenden Garantien oder weiterführende Informationen zur rechtlichen Absicherung der Datenübermittlung können Sie bei uns unter den in dieser Datenschutzerklärung angegebenen Kontaktdaten anfordern.

6. Speicherdauern Ihrer Daten

Personenbezogene Daten werden so lange gespeichert, wie es zur Erfüllung des jeweiligen Zwecks erforderlich ist und im Einklang mit den gesetzlichen Aufbewahrungsfristen steht. Nach Ablauf dieser Fristen oder sobald die Daten nicht mehr benötigt werden, erfolgt eine Löschung oder Einschränkung der Verarbeitung gemäß den gesetzlichen Vorgaben.

7. Ihre Rechte als betroffene Person

Als betroffene Person stehen Ihnen gemäß der Datenschutz-Grundverordnung (DSGVO) verschiedene Rechte zu, die Sie gegenüber uns geltend machen können:

Recht auf Auskunft (Art. 15 DSGVO) - Sie können eine Bestätigung darüber verlangen, ob und welche personenbezogenen Daten wir von Ihnen verarbeiten. Auf Wunsch erhalten Sie eine Kopie der gespeicherten Daten.

Recht auf Berichtigung (Art. 16 DSGVO) - Falls Ihre personenbezogenen Daten fehlerhaft oder unvollständig sind, können Sie deren Berichtigung verlangen.

Recht auf Löschung (Art. 17 DSGVO) - Sie haben das Recht, unter bestimmten Voraussetzungen die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) - Sie können unter bestimmten Bedingungen verlangen, dass Ihre Daten nur eingeschränkt verarbeitet werden, z. B. wenn die Richtigkeit der Daten von Ihnen bestritten wird.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO) - Sie haben das Recht, Ihre personenbezogenen Daten in einem gängigen, maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.

Recht auf Widerspruch (Art. 21 DSGVO) - Sie können der Verarbeitung Ihrer personenbezogenen Daten widersprechen, wenn diese auf einem berechtigten Interesse beruht. In diesem Fall prüfen wir, ob unsere Interessen überwiegen oder ob wir die Verarbeitung einstellen. Ein Widerspruch gegen die Verarbeitung Ihrer Daten zu Zwecken der Direktwerbung ist jederzeit möglich.

Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) - Falls die Verarbeitung Ihrer Daten auf einer Einwilligung beruht, können Sie diese jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.

Recht auf eine nicht ausschließlich automatisierte Entscheidung (Art. 22 DSGVO) - Falls eine automatisierte Verarbeitung Ihrer Daten stattfindet, die zu einer rechtlichen oder erheblichen Beeinträchtigung führt, haben Sie das Recht auf menschliches Eingreifen.

Beschwerderecht (Art. 77 DSGVO) - Falls Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, können Sie eine Beschwerde bei einer Datenschutzaufsichtsbehörde einreichen. Zuständige Aufsichtsbehörde: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Kavalleriestrasse 2 – 4, 40213 Düsseldorf

Für die Geltendmachung Ihrer Rechte können Sie uns jederzeit unter den in dieser Datenschutzerklärung angegebenen Kontaktdaten kontaktieren.

8. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit zu aktualisieren, um sie an geänderte gesetzliche Bestimmungen oder technische Entwicklungen anzupassen. Dies kann insbesondere bei der Einführung neuer Services, der Erweiterung bestehender Funktionen oder zur Umsetzung neuer regulatorischer Anforderungen erforderlich sein. Die jeweils aktuelle Version der Datenschutzerklärung finden Sie jederzeit auf unserer Website.