Mai 2021
F‑Secure Elements Vulnerability Management ist eine Plattform für das Schwachstellen-Scanning und -Management, mit der Sie Bedrohungen erkennen und verwalten, Berichte zu Risiken erstellen und einen Überblick über die Sicherheitslage Ihrer IT-Systeme erhalten können. Dieser Service umfasst folgende zentrale Datenschutzaspekte:
Diese servicespezifische Richtlinie konzentriert sich auf diejenigen Aspekte, die für Sie unserer Ansicht nach am wichtigsten sind. Zu diesen Aspekten zählen insbesondere 1) die Art der persönlichen und privaten Daten, die wir mit diesem Service erfassen, 2) die Zwecke, für die wir sie verwenden, 3) unsere Begründungen, 4) typische Offenlegungsszenarien und 5) wie lange wir sie aufbewahren. Weitere Informationen zu diesen Themen sowie zu anderen Aspekten (Rechte betroffener Personen, Kontaktinformationen usw.) im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten sethen auch über die eingebetteten Links zur Verfügung.
Daten im Management-Portal
Wir bitten Sie – als Portalbenutzer – um Abonnentendaten in Form des vollständigen Namens, der E-Mail-Adresse, des Passworts (verschlüsselt) und der Telefonnummer. Diese Angaben dienen als Kennungen für das persönliche Konto des Benutzers im System und werden für die Einstellung der Sprache und Zeitzone verwendet.
Der Service erfasst automatisch die folgenden Daten über Sie, Ihr Gerät und die Nutzung des Services und stellt diese Daten über das Management-Portal zur Verfügung:
Das Portal bietet nur begrenzte Transparenz für Personen, die sich ein Abonnement teilen.
Daten in F‑Secure-Systemen
Zusätzlich zu den Ihnen über den Service zur Verfügung gestellten Ergebnisdaten des Schwachstellenscans erfasst F‑Secure direkt über den Service auch die folgenden Daten auf Unternehmensebene. Diese Daten werden nicht mit dem Kundenunternehmen oder dem Vertriebspartner geteilt.
Diese Daten werden für den Betrieb des Service, die Fehlerbehebung, die Leistungsmessung, für Statistiken, zum Protokollieren und Beheben schädlicher Nutzung und für die Service-Entwicklung verwendet.
Der Service wurde entwickelt, um Schwachstellen in der Hardware und Software des Unternehmensnetzwerks Ihres Arbeitgebers aufzuspüren, damit Sie sie identifizieren und beheben und so Angriffe durch böswillige Dritte verhindern können.
F‑Secure hat ein berechtigtes Interesse daran, seine Portalbenutzer zu identifizieren und deren Portalnutzung wie oben beschrieben zu überwachen, um sicherzustellen, dass nur autorisierte Benutzer den Service nutzen können und dass die Services nur für ihre rechtmäßigen Zwecke genutzt werden. Zu diesem Zweck sind Sie verantwortlich dafür, genaue und wahrheitsgemäße Zugriffsinformationen zur Verfügung zu stellen, damit Sie den Service nutzen können.
Die von dem Service in Form von „Schwachstellesuchergebnissen“ gesammelten Daten werden zu zwei Zwecken verarbeitet: i) um die Netzwerk- und Gerätesicherheit der Kunden von F‑Secure und die Vertraulichkeit und Verfügbarkeit der in den Netzwerken und Geräten enthaltenen Daten zu verbessern, und, ii) um F‑Secure zu ermöglichen, bei allen seinen Kunden neue Bedrohungen und sicherheitsrelevante Trends zu erkennen, so dass die Services von F‑Secure mit neu auftretenden Bedrohungen Schritt halten können. Die Suchergebnisse enthalten standardmäßig keine personenbezogenen Daten.
Um Sie bei der Verwaltung Ihrer Abonnements und Einstellungen zu unterstützen und damit wir Ihnen bei Problemen besser helfen können, sind die folgenden Daten für diejenigen Personen sichtbar, die sich dasselbe Abonnement teilen: E-Mail-Adresse, Vorname und Nachname. Die Sichtbarkeit Ihrer Telefonnummer (sofern angegeben) ist auf Benutzer mit der Rolle des Unternehmensadministrators beschränkt.
Die im Service-Portal dargestellten Daten werden dem internen oder externen IT-Administrator Ihres Unternehmens angezeigt. Wenn die IT des Unternehmens durch einen Drittanbieter verwaltet wird, stehen die Daten auch diesem Anbieter („Distributions-/Vertriebspartner“ von F‑Secure) zur Verfügung, damit er Ihrem Unternehmen Support und entsprechende IT-Dienstleistungen für unsere Services bereitstellen kann.
F‑Secure beschäftigt darüber hinaus eigene Tochtergesellschaften und Subunternehmer, damit wir unsere Services global anbieten können.
Wir tauschen (senden und empfangen) einige Ihrer persönlichen Daten mit unseren Distribution-Partnern aus (Betreiber, Webstores usw.), die unsere Services vermarkten, vertreiben, verwalten und Support dafür bieten. Wir ermöglichen diesen Unternehmen Zugriff auf die persönlichen Daten, die sie für die vereinbarten Aktivitäten benötigen. Der Sinn dieser Datenweitergabe ist, Ihnen eine nahtlose Kundenerfahrung zu ermöglichen. Dazu zählen Aktivitäten wie Kundenmanagement, Service-Support, Vorfallsmanagement und Problembehebung, Direkt-Marketing sowie Rechnungsstellung.
Unsere Vertriebspartner haben wahrscheinlich ein bereits bestehendes Kundenverhältnis zu Ihnen. Diese Partner und Unternehmenskunden verarbeiten Ihre personenbezogenen Daten als unabhängige Einheit auf der Grundlage ihrer jeweils geltenden Datenschutzrichtlinien. Unabhängig davon müssen auch unsere Vertriebspartner beim Umgang mit Ihren personenbezogenen Daten die Vereinbarungen und Gesetze einhalten. Jede dieser Einheiten ist standardmäßig selbst für deren Behandlung personenbezogener Daten für ihre eigenen Zwecke verantwortlich.
Wir können einige Ihrer personenbezogenen Daten an Unternehmen der F‑Secure-Gruppe und unsere Subunternehmer, die uns bei der Erstellung der Services unterstützen, übertragen oder weitergeben.
Wenn wir die persönlichen Daten unserer Kunden an unsere Subunternehmen weitergeben oder gegenüber diesen offenlegen müssen, gilt laut unseren Verträgen, dass sie solche Informationen lediglich zur Bereitstellung der vereinbarten Services nutzen dürfen (z. B., um einen Support-Fall zu lösen, um sie an Logistikpartner zur Produktauslieferung zu senden oder um Marketing-E-Mails in unserem Namen zu versenden). Wir verlangen von unseren Subunternehmern, dass sie die Sie betreffenden Daten gemäß der hier ausgeführten Erklärung verarbeiten.
F‑Secure ist weltweit tätig. Daher befinden sich einige unserer Tochtergesellschaften, Subunternehmer, Vertriebspartner und Partner in mehreren Ländern, auch außerhalb des Europäischen Wirtschaftsraums, um die globale Reichweite und Verfügbarkeit unserer Services zu gewährleisten. Je nach dem Umfang Ihrer Interaktionen mit F‑Secure können Ihre personenbezogenen Daten in mehreren Ländern gespeichert oder von dort aus abgerufen werden. Die Standorte der mit F‑Secure verbundenen Unternehmen finden Sie auf den öffentlich zugänglichen Webseiten von F‑Secure.
Wenn wir personenbezogene Daten in andere Rechtsgebiete, darunter auch außerhalb des Europäischen Wirtschaftsraums übertragen, sichern wir diese Übermittlung personenbezogener Daten gemäß den gesetzlichen Bestimmungen. Wir tun dies, indem wir den relevanten Subunternehmern und Unternehmen der F‑Secure-Gruppe angemessene technische und vertragliche Sicherheitsvorkehrungen auferlegen, z. B. durch die Verwendung von Datenübertragungsklauseln, die von der Europäischen Union genehmigt sind. Der feste Inhalt dieser Klauseln ist hier verfügbar.
Wir führen globale oder grenzüberschreitende Datenübertragungen nur aus gutem Grund und nach Abwägung des daraus resultierenden Datenschutzrisiken durch.
Wir speichern die sensibleren Kundendaten in Finnland und im Europäischen Wirtschaftsraum und behalten selbst die Kontrolle darüber.
Es kann Fälle geben, die nicht durch diese Datenschutzrichtlinie abgedeckt sind, und in denen die Verwendung oder Offenlegung von persönlichen Daten gerechtfertigt oder zulässig sein kann oder in denen wir durch geltende Gesetze verpflichtet sind, die Informationen offenzulegen, ohne Ihre Zustimmung einzuholen oder unabhängig von der Servicebereitstellung.
Beispiele sind das Befolgen eines Gerichtsbeschlusses oder einer von den zuständigen Behörden erlassenen Anordnung, um die Herausgabe von Daten zu erzwingen.
Ebenso kann es andere Umstände geben, bei denen ein begründetes und rechtmäßiges Interesse daran besteht, begrenzte Mengen von Informationen an Dritte weiterzugeben. Beispiele für solche Offenlegungen sind Fälle, in denen wir uns vor Haftungsrisiken schützen oder betrügerische Aktivitäten verhindern müssen, in denen wir Ihre Nutzungsweise unserer Produkte analysieren, um ein Ihren Erwartungen entsprechendes Funktionieren unserer Produkte zu gewährleisten und auf unerwünschte Ereignisse reagieren zu können, in denen dies notwendig ist, um ein anhaltendes Problem zu beheben oder einzudämmen, oder in denen wir der rechtmäßigen Informationspflicht gegenüber unseren Versicherern oder staatlichen Aufsichtsbehörden nachkommen müssen. Im Falle solcher Maßnahmen handeln wir in Übereinstimmung mit den geltenden Gesetzen.
Möglicherweise müssen wir Ihre personenbezogenen Daten auch im Rahmen einer Unternehmenstransaktion weitergeben, wie z. B. bei einem Verkauf, einer Fusion, einer Ausgliederung oder einer anderen Unternehmensreorganisation von F‑Secure. In diesem Fall werden die Informationen im Rahmen des normalen Geschäftsbetriebs an die neue Kontrollinstanz übergeben. Die F‑Secure-Gruppe legt Daten intern offen und überträgt diese, wie es unser zu dem Zeitpunkt gültiges Betriebsmodell erfordert. Wir beschränken die interne Offenlegung jedoch auf diejenigen Unternehmen, Einheiten, Teams und Einzelpersonen der Gruppe, die diese Informationen für die beabsichtigten Zwecke der Verarbeitung benötigen.
Wir wägen jede Offenlegungspflicht sorgfältig ab und ziehen die Möglichkeit solcher Offenlegungsanfragen in Betracht, wenn wir darüber entscheiden, wo und wie wir Ihre personenbezogene Daten speichern.
Während wir den Großteil der zuvor genannten Daten direkt von Ihrem Gerät beziehen, erhalten wir Daten auch von unseren Tochtergesellschaften, Vertriebspartnern (wie z. B. Betreibern und Einzelhändlern) und Gesellschaften, bei denen Sie den jeweiligen Service erworben haben. Bei solchen Gesellschaften kann es sich sowohl um unsere Vertriebspartner als auch unsere externen Webstore-Partner handeln. Zudem kaufen wir allgemeine persönliche Daten (Bestelldaten bei Käufen) und erfassen Analysedaten von App Stores, bei denen unsere Services verkauft werden. Zu diesen anderen Quellen können auch Subunternehmer, die Ihnen die Support für unsere Services bereitgestellt haben, und Werbepartner, die uns bei unseren Marketingaktivitäten unterstützt haben, gehören.
Wir möchten so eine nahtlose Benutzererfahrung schaffen und die nötigen Informationen sammeln, um Supportfragen lösen zu können.
Typische Beispiele für Drittanbieterquellen sind:
Unsere Services werden in Verbindung mit unseren Partnern erbracht, und unsere Services und Websites können Services von Drittanbietern integrieren oder mit diesen interagieren. Dieses Datenschutzdokument gilt für personenbezogene Daten nur solange, wie sich diese Daten im Einflussbereich von F‑Secure befinden. Wenn Ihre personenbezogenen Daten von anderen Einheiten für deren unabhängige Zwecke verarbeitet werden, ist diese andere Partei dafür verantwortlich, Ihre personenbezogenen Daten in gerechtfertigter Weise in Übereinstimmung mit deren Richtlinien zu verarbeiten und Ihre datenschutzrechtlichen Rechte zu erfüllen.
Dies gilt überwiegend in folgenden Szenarien:
Die Daten über die Schwachstellescanergebnisse werden gemäß den Service-Einstellungen gespeichert, die vom Kunden eingestellt werden können.
Andernfalls werden diese personenbezogenen Daten werden für die Zeitdauer gespeichert, die der Service unserem Kundenunternehmen bereitgestellt wird, und sind für die gleiche Zeitdauer im Portal sichtbar. Nach Ablauf des Abonnements bleiben diese Daten acht Monate lang gespeichert, bevor sie endgültig gelöscht werden.
Unabhängig von der oben genannten Löschung behält F‑Secure weiterhin bestimmte Anwendungsprotokolle, die eine begrenzte Teilmenge der oben genannten Daten enthalten, um einen eventuellen Missbrauch der Services zu beheben.
Dieser Text ergänzt die servicespezifischen Aufbewahrungsfristen. Laut gesetzlicher Vorgabe sind personenbezogene Daten zu löschen oder zu anonymisieren, wenn sie für ihren Zweck nicht mehr benötigt werden.
Einige personenbezogene Daten müssen jedoch aus unterschiedlichen Gründen für längere Zeit und mit unterschiedlicher Dauer gespeichert werden.
Typische Gründe, aus denen wir von den primären Aufbewahrungsfristen abweichen, sind beispielsweise:
Die endgültige Löschung Ihres Kontos kann sich verzögern, um Ihre anderen Interaktionen mit uns nicht zu stören. Dies ist der Fall, wenn Sie ein F‑Secure-Konto haben (z. B. wenn Sie unsere Verbraucherservices mit Ihrer E-Mail-Adresse abonniert haben) und darüber hinaus i) ein F‑Secure Community-Konto haben oder ii) wenn Sie unsere Marketingnachrichten weiterhin abonnieren. Die Richtlinien zur Löschung von F‑Secure Community-Konten sind in den einschlägigen Nutzungsbedingungen festgelegt. Sie können die Zustellung unserer Marketingnachrichten jederzeit widersprechen.
Wenn Sie den Service über unsere Betreiberpartner erworben haben, wird die Kontolöschung durch den jeweiligen Betreiberpartner kontrolliert. Wenn der Partner uns benachrichtigt, dass Ihr Abonnement beendet wurde, entfernt F‑Secure anschließend das Konto. Dadurch werden jegliche zu dem Konto gehörigen personenbezogenen Daten gelöscht oder anonymisiert.
Wenn wir Ihre Informationen bei der Bereitstellung von technischem Support erhalten haben, werden die Informationen so lange gespeichert, bis der jeweilige Supportfall gelöst wird. Nach der Lösung werden die Informationen innerhalb von zwei Jahren nach Abschluss des Falles schrittweise gelöscht oder anonymisiert.
Die mit Einwilligung des Benutzers erfassten Analysedaten werden zu statistischen Zwecken gespeichert und nicht gelöscht, wenn persönliche Daten und das Benutzerkonto gelöscht werden. Nach der Auflösung des Kontos können die Analysedaten nicht mit einem persönlich identifizierbaren Benutzer verknüpft werden.
Daten, die keine persönlichen Informationen enthalten (z. B. zusammengefasste analytische Daten), werden so lange wie nötig aufbewahrt und so lange sie für den Zweck, für den sie erfasst wurden, dienlich sind.
Informationen zu den Sicherheitsverfahren, die wir anwenden, um Ihre Daten zu schützen.
Bei der Übertragung, Speicherung oder Verarbeitung Ihrer persönlichen Daten richten wir uns nach strengen Sicherheitsmaßgaben, um die Vertraulichkeit, Integrität und Verfügbarkeit dieser Daten zu wahren.
Wir richten uns nach physischen, administrativen und technischen Sicherheitsmaßgaben, um das Risiko von Verlust, Missbrauch, unberechtigtem Zugriff, Offenlegung oder Modifizierung Ihrer persönlichen Daten zu verringern.
Alle personenbezogenen Daten werden auf sicheren Servern gespeichert, die von F‑Secure oder unseren Partnern betrieben werden und deren Zugriff auf autorisiertes Personal beschränkt ist.
Informationen zu Ihren gesetzlichen Rechten und dazu, wie Sie uns erreichen können.
Sie haben das Recht an den Daten, die wir von Ihnen erhoben haben. Insbesondere haben Sie folgende Rechte an den personenbezogenen Daten, die wir über Sie gespeichert haben:
Über unsere Kundenbetreuungsfunktion können Sie Ihre Rechte in Anspruch nehmen. Die Links zur Kontaktaufnahme mit uns finden Sie im Abschnitt „Kontaktinformationen“.
Beachten Sie, dass es Situationen geben kann, in denen unsere Vertraulichkeitsverpflichtungen, unser Recht auf Berufsgeheimnis und/oder unsere Verpflichtungen zur Erbringung unserer Services (z. B. gegenüber Ihrem Arbeitgeber) uns die Offenlegung oder Löschung Ihrer personenbezogenen Daten verbieten oder Sie anderweitig an der Ausübung Ihrer Rechte hindern können. Ihre oben genannten Rechte sind auch von den rechtlichen Grundlagen abhängig, gemäß denen wir Ihre personenbezogenen Daten verarbeiten.
Wenn Sie Beschwerden bezüglich der Verarbeitung Ihrer personenbezogenen Daten haben oder weitere Informationen wünschen, wenden Sie sich jederzeit an uns. Wenn Sie der Meinung sind, dass wir Ihre gesetzlichen Rechte nicht wahrnehmen, haben Sie das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen. In den meisten Fällen ist diese Behörde der finnische Datenschutzbeauftragte (www.tietosuoja.fi).
Bei Fragen und Anmerkungen zu unseren Datenschutzrichtlinien helfen wir Ihnen gerne hier weiter:
F‑Secure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finnland
So können Sie uns kontaktieren:
Informationen zu Definitionen und zum Veränderungsmanagement.
Darauf beziehen wir uns, wenn wir in dieser Richtlinie bestimmte Begriffe verwenden.
„Kunde“ bzw. „Sie“ bezieht sich auf jegliche betroffene Personen, die unsere Services erwerben, sich für deren Nutzung registrieren oder unsere Services nutzen, deren Geräte und Datenverkehr durch unsere Services geschützt sind, oder die personenbezogene Informationen an uns weitergeben. Diese Informationen können durch Nutzung unserer Services, über Websites, per Telefon, E‑Mail oder Registrierungsformular oder über andere, ähnliche Kanäle an uns weitergegeben worden sein.
„Personenbezogene Daten“ bezieht sich auf Informationen zu Privatpersonen, die Rückschlüsse auf diese Personen, ihre Familien oder die in ihrem Haushalt lebenden Personen zulassen. In diesen Daten, die wir während der Bereitstellung unserer Services verarbeiten, können Namen, E‑Mail-Adressen und Postanschriften, Telefonnummern, Rechnungs- und Kontodaten sowie weitere, eher technische Informationen enthalten sein, die mit Ihnen, Ihrem Gerät oder Ihrem/dessen Verhalten verknüpft werden können.
„Services“ bezieht sich auf Services oder Produkte, die von F‑Secure hergestellt oder vertrieben werden, einschließlich Software, Web-Lösungen, Tools und zugehörige Support-Services.
„Website“ bezieht sich auf die Website f-secure.com oder eine andere von F‑Secure gehostete oder kontrollierte Website, einschließlich der zugehörigen Unter-Websites und browserbasierten Serviceportale.
Diese Version der Richtlinie präzisiert, aktualisiert und ersetzt die vorherige Version. Um dieses Dokument immer auf dem neuesten Stand zu halten, werden wir es auch in Zukunft von Zeit zu Zeit ändern und ergänzen.
Wir veröffentlichen Änderungen am Richtliniendokument auf unserer Website oder auf jedem Interaktionspunkt, auf dem sie zuvor zur Verfügung gestellt wurde. Wenn es sich um bedeutende Änderungen handelt, benachrichtigen wir Sie gegebenenfalls auch anderweitig. Jegliche Änderungen sind ab dem Datum gültig, an dem das geänderte Richtliniendokument veröffentlicht wird.