Adobe & GDPR

Adobe & GDPR.

Adobe & Datenschutzgrundverordnung (GDPR/DSGVO).

Die Datenschutzgrundverordnung (DSGVO) trat am 25. Mai 2018 in Kraft. Im Rahmen eines Projekts „Bereit für die DSGVO“, verbessert Adobe soweit es nötig war, seine Produkte, Services und Prozesse. Compliance liegt bekanntlich in der Verantwortung aller Beteiligten. Daher freuen wir uns auf eine Zusammenarbeit mit Ihnen, um gemeinsam jegliche neuen Anforderungen hinsichtlich Data Governance und eingebauter Datenschutzfunktionen angehen zu können.

Adobe liefert Produkte und Services: Ist Adobe dann für die Daten verantwortlich oder werden sie lediglich von Adobe verarbeitet?

Bei der Lieferung und Bereitstellung von Software und Dienstleistungen an ein Unternehmen handelt Adobe im Hinblick auf die personenbezogenen Daten, die im Rahmen der Dienstleistung verarbeitet und gespeichert werden, als Datenverarbeiter. In dieser Rolle verarbeitet Adobe personenbezogene Daten nur im Rahmen der Vorgaben und Genehmigungen, die von ihrem Unternehmen erteilt wurden (z.B. gemäß den Einwilligungen, die Sie in ihrer Vereinbarung Adobe erteilt haben).

Welche personenbezogenen Daten werden von Adobe verarbeitet?

Sie sind für Ihre Daten verantwortlich und legen daher selbst fest, welche personenbezogenen Daten Adobe zu Ihrem Unternehmen verarbeitet und speichert. Wenn Sie im Rahmen von Adobe Creative Cloud oder Adobe Document Cloud gehostete Dienstleistungen nutzen, laden Sie womöglich Inhalte hoch, die personenbezogene Daten enthalten - z.B. Formulare, Verträge, Fotos oder Vorlagen, auf denen Personen zu sehen sind. Die gehosteten Dienstleistungen von Adobe Creative Cloud und Document Cloud beinhalten die Speicherung dieser personenbezogenen Daten.

Wenn Sie unsere Adobe Experience Cloud-Lösungen nutzen, hostet Adobe möglicherweise personenbezogene Daten für Sie, abhängig davon, welche Lösungen Sie nutzen und welche Informationen Sie an Ihr Adobe Experience Cloud-Konto senden. Detaillierte Beispiele finden Sie hier.

WAS UNTERNIMMT ADOBE, UM DIE DSGVO EINZUHALTEN?

GDPR

Eingebauter Datenschutz

Bei der Entwicklung unserer Produkte und Dienstleistungen ist eingebauter Datenschutz seit langem gängige Praxis. So ist es bei Adobe Analytics, Adobe Audience Manger und Adobe Target beispielsweise möglich, IP Adressen zu anonymisieren und individuelle Ausnahmeregelungen (Opt-outs) zu ermöglichen.

 

Sicherheitsmassnahmen

Adobe befolgt allgemein anerkannte und branchenübliche Standards, Zertifizierungen und gesetzliche Vorschriften. Außerdem wurden geeignete technische und organisatorische Maßnahmen ergriffen (TOMs), sowie hunderte Sicherheitsprozesse und Kontrollmechanismen implementiert (Link).

Wir haben das Adobe Common Controls Framework entwickelt. Hierbei handelt es sich um eine Reihe grundlegender Sicherheitsmaßnahmen und Compliance-Kontrollen zum Schutz der Adobe Infrastruktur, Programme und Services. Mehr Informationen zum Adobe Common Controls Framework finden Sie hier.

Datentransfer
Adobe hat sich für das EU-U.S. Privacy Shield (EU-US-Datenschutzschild) und das Schweizer-U.S. Privacy Shield (Schweizer-US-Datenschutzschild) in Bezug auf die Übermittlung personenbezogener Daten zertifizieren lassen. Kunden haben so die Wahl, ob Sie Ihre Daten gemäß diesen Zertifizierungen oder gemäß den Standardvertragsklauseln (auch: EU-Musterklauseln) von der EU aus an Adobe US übertragen möchten. Weitere Informationen zum Thema finden Sie im Adobe Datenschutzzentrum. Hier erfahren Sie auch, wie Sie sich die Standardvertragsklauseln zusenden lassen können.
Vertragsbedingungen / Vereinbarung zur Datenverarbeitung
Adobe hat die Vereinbarung zur Datenverarbeitung aktualisiert und sie um die Anforderungen der DSGVO ergänzt.
Datentransfer
Oracle Cloud
Datenschutzbeauftragter
Aktuell gibt es bei Adobe einen leitenden Datenschutzbeauftragten (Chief Privacy Officer), einen Datenschutzbeauftragten für Irland und ein spezielles Datenschutzteam. 
Aufzeichungen von Datenverarbeitungsvorgängen
Um den neuen, erweiterten Aufzeichnungspflichten gerecht zu werden, arbeitet Adobe gerade an einer formaleren Dokumentation der bestehenden Datenschutzpraktiken.