DSGVO & Datenverarbeitung
Betreut von: Aether365 Team Zielgruppe: Datenschutzbeauftragte und Rechtsabteilungen Umfang: DSGVO-Rollen, Betroffenenrechte und Compliance-Verpflichtungen von Aether365
Aether365 ist darauf ausgelegt, Organisationen bei ihren DSGVO-Verpflichtungen zu unterstützen, verarbeitet als SaaS-Plattform aber auch personenbezogene Daten in Ihrem Auftrag. Diese Seite erläutert die Rechtsgrundlage der Verarbeitung, Ihre Rechte und wie Sie diese ausüben können.
Rollen nach DSGVO
| Rolle | Partei | Umfang |
|---|---|---|
| Verantwortlicher | Ihre Organisation | Sie bestimmen die Zwecke und Mittel der Verarbeitung (Sie haben Ihren M365 Tenant mit Aether365 verbunden) |
| Auftragsverarbeiter | Aether365 | Wir verarbeiten Daten nach Ihren Weisungen (Durchführung von Sicherheitsprüfungen Ihres Tenants) |
| Unterauftragsverarbeiter | Unser Cloud-Infrastrukturanbieter, Stripe usw. | Verarbeiten Daten im Auftrag von Aether365 - siehe Datenresidenz |
Rechtsgrundlage der Verarbeitung
Aether365 verarbeitet personenbezogene Daten auf folgenden Rechtsgrundlagen:
| Verarbeitungstätigkeit | Rechtsgrundlage | Hinweise |
|---|---|---|
| Kontoerstellung und -verwaltung | Vertragserfüllung (Art. 6 Abs. 1 lit. b) | Zur Erbringung des Dienstes erforderlich |
| Prüfung der Microsoft 365-Konfiguration | Vertragserfüllung (Art. 6 Abs. 1 lit. b) | Kernfunktion des Dienstes |
| Lesen von Microsoft Graph-Daten | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) | Sicherheitsscans erfordern das Lesen von Konfigurationsdaten |
| Versand von Scan-Bericht-E-Mails | Vertragserfüllung | Sie haben E-Mail-Benachrichtigungen konfiguriert |
| Abrechnung und Zahlungsabwicklung | Vertragserfüllung | Für kostenpflichtige Pläne erforderlich |
Verarbeitete personenbezogene Daten
Wenn Aether365 Ihren Microsoft 365 Tenant scannt, werden möglicherweise Konfigurationsdaten gelesen, die personenbezogene Identifikatoren enthalten:
- Benutzerprinzipalnamen (UPNs) - E-Mail-Adressen, die als Identifikatoren in Richtlinienzuweisungen verwendet werden
- Objekt-IDs - Microsoft Entra-IDs für Benutzer, Gruppen und Dienstprinzipale
- Anzeigenamen - Benutzer- und Gruppenanzeigenamen im Kontext von Rollenzuweisungen
Diese Daten werden ausschließlich zur Auswertung von Sicherheitsprüfungen verwendet und als Teil der Scan-Ergebnisse gespeichert. Sie werden für keinen anderen Zweck genutzt.
Keine AI-Verarbeitung oder automatisierte Profilerstellung
Aether365 setzt keine künstliche Intelligenz oder maschinelles Lernen ein, um die aus Ihrem Tenant gelesenen personenbezogenen Daten zu verarbeiten. Ihre Konfigurationsdaten und Scan-Ergebnisse werden niemals an einen AI- oder Large-Language-Model-Dienst übermittelt, zum Training von AI-Modellen verwendet oder einer automatisierten Entscheidungsfindung oder Profilerstellung im Sinne von Art. 22 DSGVO unterzogen.
Betroffenenrechte
Als Verantwortlicher ist Ihre Organisation für die Beantwortung von Anfragen betroffener Personen Ihrer Microsoft 365-Benutzer zuständig. Aether365 speichert nur Konfigurationsdaten - individuelle E-Mail-Inhalte, persönliche Dokumente oder persönliche Korrespondenz werden nie verarbeitet.
Als betroffene Person Ihres eigenen Aether365-Kontos (Ihre E-Mail-Adresse und Kontodaten) haben Sie folgende Rechte nach der DSGVO:
| Recht | Ausübung |
|---|---|
| Auskunft (Art. 15) | E-Mail an privacy@aether365.io |
| Berichtigung (Art. 16) | Aktualisieren Sie Ihr Konto in den Einstellungen oder kontaktieren Sie uns per E-Mail |
| Löschung (Art. 17) | E-Mail an privacy@aether365.io zur vollständigen Kontolöschung |
| Datenübertragbarkeit (Art. 20) | Exportieren Sie Ihre Scan-Daten per CSV oder API, oder fordern Sie per E-Mail einen vollständigen Datenexport an |
| Einschränkung (Art. 18) | E-Mail an privacy@aether365.io |
| Widerspruch (Art. 21) | E-Mail an privacy@aether365.io |
Wir beantworten alle Anfragen betroffener Personen innerhalb von 30 Tagen.
Auftragsverarbeitungsvertrag
Ein Auftragsverarbeitungsvertrag (AVV) steht Kunden mit Pro- und Enterprise-Plan zur Verfügung. Der AVV:
- Dokumentiert die Pflichten von Aether365 als Auftragsverarbeiter
- Legt technische und organisatorische Sicherheitsmaßnahmen fest
- Listet Unterauftragsverarbeiter und deren Standorte auf
- Definiert Verfahren für Betroffenenanfragen, Datenschutzverletzungen und Prüfungsrechte
Um den AVV zu erhalten, senden Sie eine E-Mail an privacy@aether365.io. Enterprise-Kunden erhalten den AVV als Bestandteil ihres Vertrages; Pro-Kunden können ihn ohne zusätzliche Kosten anfordern.
Benachrichtigung bei Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die Ihre Daten betrifft, wird Aether365 Sie unverzüglich und spätestens 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen, gemäß DSGVO Art. 33.
Benachrichtigungen werden an die E-Mail-Adresse des Kontoinhabers gesendet. Enterprise-Kunden können eine separate Sicherheitskontaktadresse angeben.
Um einen Sicherheitsvorfall zu melden: security@aether365.io
Aufsichtsbehörde
Aether365 ist in der EU registriert. Unsere federführende Aufsichtsbehörde ist die schwedische Datenschutzbehörde (IMY - Integritetsskyddsmyndigheten).
Sie haben das Recht, eine Beschwerde bei Ihrer lokalen Aufsichtsbehörde einzureichen, wenn Sie der Ansicht sind, dass wir Ihre Daten unrechtmäßig verarbeitet haben.