Trust Commitment (TC) entsprechend der europäischen Datenschutzverordnung (DSGVO)

der

Kiwigrid GmbH
Kleiststraße 10 a-c
01129 Dresden

- im Folgenden „Kiwigrid“ genannt -

Stand: 1. Oktober 2023

1. Präambel

Die Mitarbeiter von Kiwigrid denken Energiesysteme neu und kreieren Energiedienstleistungen für eine dezentrale und digitale Energiewelt. Um dies zu erreichen, entwickeln und betreibt Kiwigrid eine wegweisende IoT-Plattform mit maximaler Modularität, Interoperabilität, Sicherheit und Skalierbarkeit.

Kiwigrid ist sich der hohen Bedeutung der Themen Datensicherheit und Datenschutz bewusst und hat daher ein Datenschutz- und Informationssicherheitsmanagement-System aufgebaut. Es ist ein Datenschutz- und Informationssicherheits-Team etabliert, welches Maßnahmen im Bereich von Datenschutz und Datensicherheit plant, umsetzt, evaluiert und Anpassungen vornimmt. Das Team besteht aus dem Datenschutzbeauftragten, dem Informationssicherheitsbeauftragten, dem Direktor Engineering Center, dem IT-Administrator, dem Qualitätsmanagementbeauftragten sowie Software-Ingenieuren.

Kiwigrid arbeitet nach den Anforderungen der DIN EN ISO 9001:2015; DIN EN ISO 27001:2013, den Anforderungen der Common Criteria für die Entwicklung des SMGW-Produktes, der Arbeitssicherheit und des Datenschutzes gemäß der EU-Datenschutz-Grundverordnung (DSGVO). Dies wurde gemäß TÜV PROFiCERT-Verfahren für unser Managementsystem nach ISO/IEC 27001:2013 und nach DIN EN ISO 9001:2015 bescheinigt. Die jeweiligen Zertifikate können auf Anfrage vorgelegt werden.

2. Ziele im Unternehmen

Die Ziele und Grundsätze sind in unserem verbindlichen Datenschutzmanagement-Handbuch dokumentiert, welches einen vollständigen Überblick über alle datenschutzrechtlichen Regelungen und Prozesse von Kiwigrid gibt und einen Leitfaden für die Beschäftigten bezüglich des Umgangs mit personenbezogenen Daten darstellt. Nachfolgend werden die wichtigsten Punkte zusammengefasst.

2.1. Ziele

Schutzziele	Anforderungen intern
Vertraulichkeit	Personenbezogene Daten müssen vor unbefugter Kenntnis geschützt werden.
Verfügbarkeit	Personenbezogene Daten und Verfahren zu ihrer Verarbeitung müssen zeitgerecht zur Verfügung stehen und jederzeit ordnungsgemäß verarbeitet werden.
Transparenz	Die Erhebung, Verarbeitung in personenbezogenen Verfahren und die Nutzung muss mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden können
Revisionsfähigkeit	Entwicklung, Einsatz, Wartung, Administration und Anwendung des Verfahrens und Verarbeitung der personenbezogenen Daten müssen nachvollziehbar sein.
Integrität	Personenbezogene Daten müssen während der Verarbeitung unversehrt, vollständig und aktuell bleiben.
Authentizität	Personenbezogene Daten müssen ihrem Ursprung zugeordnet werden können.

Unser Anliegen ist es, den Schutz der personenbezogenen Daten nach den rechtlich geltenden Vorschriften zu regeln und in jeder Phase der Informationsverarbeitung die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität der Daten zu gewährleisten. Dies geschieht durch: die Implementierung des Datenschutzes im Unternehmen zur Beachtung der datenschutzrechtlichen Anforderungen bzw. Umsetzung der Vorschriften der DSGVO/des BDSG, durch die Einrichtung von geeigneten technischen und organisatorischen Maßnahmen und Verfahren und durch die laufende Überwachung der Einhaltung der Vorschriften und Regelungen zum Datenschutz und zur Datensicherheit.

3. Grundsätze der Erhebung, Verarbeitung und Nutzung personenbezogener Daten

Der Umfang und die Verwendung personenbezogener Daten für Kiwigrid ergeben sich im überwiegenden Maß aus den Regelungen der DSGVO, insbesondere aus Art. 5 DSGVO, des Bundesdatenschutzgesetztes (neue Fassung) sowie aus sonstigen Datenschutzvorschriften auf europäischer, Bundes- und Landesebene.

Die DSGVO basiert zur Gewährleistung des informationellen Selbstbestimmungsrechts ebenso wie andere Datenschutznormen auf folgenden Grundregeln:

dem präventiven Verbotsprinzip, sprich die Zulässigkeit des Umgangs mit personenbezogenen Daten ist grundsätzlich verboten, außer es liegt eine gesetzliche Erlaubnis oder eine Einwilligung des Nutzers vor
der Zweckbindung, das heißt Daten dürfen nur für den Zweck verarbeitet werden, für den sie auch erhoben wurden
der Transparenz (Informations-, Benachrichtigungs- und Auskunftsanspruch)
den Grundsätzen der Datenminimierung und Datensparsamkeit
dem Bestehen von Korrekturrechten (Berichtigung, Sperrung, Löschung und Widerspruch)
der Datensicherung (Schutz vor Verlust, Sabotage, unbefugtem Zugriff)
der Speicherbegrenzung
der Belastbarkeit der Systeme und Dienste
der Durchführung von Kontrollen (intern/extern)

3.1. Rechtsgrundlagen

Die Zulässigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten richten sich nach der zentralen Vorschrift des Art. 6 DSGVO. Das bezieht sich im Einzelnen, unabhängig vom angewendeten Verfahren, auf:

Speichern, Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung
Verändern, also das inhaltliche Umgestalten gespeicherter personenbezogener Daten
Übermitteln, also das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
- die Daten an den Dritten weitergegeben werden oder
- der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft
Sperren; speziell vorab: das Kennzeichnen gespeicherter personenbezogener Daten zur Einschränkung weiterer Verarbeitung oder Nutzung
Löschen, also das Unkenntlich machen gespeicherter personenbezogener Daten
Nutzen ist jede Verwendung personenbezogener Daten, vom bloßen Einsichtnehmen durch Mitarbeiter der verantwortlichen Stelle bis zum Gebrauch

Die Verarbeitung von Kundendaten als Mittel zur Erfüllung eigener Geschäftszwecke ist zulässig:

wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist,
soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder
wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.

3.2. Zweckbindung und besondere personenbezogene Daten

Personenbezogen Daten werden ausschließlich zu den vorgenannten Zwecken verarbeitet. Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen.

Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO, also Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten, Gesundheit oder Sexualleben) werden von Kiwigrid grundsätzlich nicht automatisiert verarbeitet, es sei denn dies ist aufgrund zwingender gesetzlicher Regelungen geboten (z. B. zur Beachtung von arbeits- und/oder steuerrechtlichen Tatbeständen) bzw. es liegt eine gesonderte Einwilligung der Betroffenen nach Art. 9 Abs. 2 a) DSGVO vor.

3.3. Mögliche Empfänger von Daten

Die Daten des Kunden können bei der Vorlage eines rechtlichen Erlaubnistatbestandes an die folgenden Dritten weitergegeben werden:

Öffentliche Stellen, sofern vorrangige Rechtsvorschriften bzw. Erlaubnissätze existieren (z. B. Ermittlungsbehörden, Finanzbehörden, Sozialversicherungsträger usw.),
Auftragnehmer, insbesondere Auftragsverarbeiter gemäß Art. 28 DSGVO,
Externe Stellen, Dienstleister und interne Abteilungen zur Erfüllung des Verarbeitungszwecks

3.4. Wahrung der Betroffenenrechte

Jeder betroffenen Person stehen laut Gesetz nachfolgende Rechte zu:

Auskunftsrecht, Art. 15 DSGVO
Berichtigungs- und Löschungsrecht, Art. 16 und 17 DSGVO („Das Recht auf Vergessenwerden“)
Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO
Recht auf Datenübertragbarkeit, Art. 20 DSGVO
Widerspruchsrecht bei einwilligungsloser Verarbeitung zur Wahrung berechtigter Interessen, Art. 21 DSGVO
Recht auf Unbetroffenheit von rechtsverbindlichen Entscheidungen mit Grundlage in automatisierten Datenprozessen, Art. 22 DSGVO

Diesen ist in Abstimmung mit dem Datenschutzbeauftragten ausreichend Rechnung zu tragen und unverzüglich nachzukommen.

3.5. Privacy by design, Privacy by default

Art. 25 DSGVO fordert den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen schon durch konstruktive (technische und organisatorische) Maßnahmen beim Design und der Einrichtung von Datenverarbeitungsverfahren.

Kiwigrid implementiert diese Anforderungen während der gesamten Entwicklungsphase bis zum fertigen Produkt sowie bei der Anschaffung/dem Einrichten von Software.

3.6. Vermeidung von Rechtsverletzungen und daraus resultierenden Folgen

Kiwigrid legt Wert darauf, dass die Mitarbeiter und/oder die für sie tätigen Dritten im ausreichenden Maß über die datenschutzrelevanten Bestimmungen informiert und in regelmäßigen Abständen hierüber in regelmäßigem Turnus geschult werden.

Neben den ausdrücklichen, in den Arbeitsverträgen enthaltenen, datenschutzrechtlichen Regelungen sowie den Bestimmungen zur Wahrung der Vertraulichkeit, sind die Mitarbeiter von Kiwigrid in ihrer praktischen Arbeit auf die Wahrung des Datenschutzes und der Datensicherheit sensibilisiert. Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis).

Alle Mitarbeiter sind zur Wahrung der Vertraulichkeit und Beachtung des Datenschutzes verpflichtet; Mitarbeiter mit Administratorentätigkeit zusätzlich zur Wahrung des Fernmeldegeheimnisses. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

Im Falle einer Verletzung des Schutzes personenbezogener Daten sind Meldepflichten an die Aufsichtsbehörde zu erfüllen und die verantwortliche Stelle sowie die Betroffenen nach den Art. 33, 34 DSGVO zu benachrichtigen. Zu diesem Zweck wurden entsprechende Meldeprozesse aufgesetzt und ein Reaktionsplan etabliert.

3.7. Löschung von Daten

Die Löschung von Daten erfolgt unverzüglich, sofern ein derartiges Verlangen bei Kiwigrid eingeht und nach den jeweils geltenden Bestimmungen legitim ist, nach den Vorgaben des Art. 17 Abs. 1 DSGVO.

Sofern einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, erfolgt anstatt einer Löschung eine Einschränkung der Verarbeitung gemäß Art. 18 DSGVO. Relevante Aufbewahrungsfristen ergeben sich insbesondere aus den folgenden Regelungen:

Aufbewahrungsfrist: 10 bzw. 6 Jahre (§ 147 Abs. 3 AO, § 14 b UStG bzw. § 257 Abs. 4 HGB)
Aufbewahrungsfrist: für die Dauer gemäß vertraglicher Vereinbarung und sonstigen Regelungen (z.B. § 8 GwG)
Aufbewahrungsfrist: grundsätzlich 3 Jahre (§ 195 BGB)
Personenbezogene Daten sind ferner zu sperren, wenn ihre Richtigkeit vom Betroffenen rechtmäßig und nachweislich bestritten wird, Art. 18 Abs. 1 a) DSGVO.

4. Regelungen zur IT- und Datensicherheit

Informationsverarbeitung und Datenschutz spielen eine Schlüsselrolle für die Aufgabenerfüllung von Kiwigrid. Alle wesentlichen strategischen und operativen Funktionen und Aufgaben werden durch Informationstechnik (IT) maßgeblich unterstützt. Ein Systemausfall muss insgesamt kurzfristig kompensiert werden können.

Alle Mitarbeiter von Kiwigrid halten die einschlägigen Gesetze (z.B. Strafgesetzbuch, Telekommunikationsgesetz, Handelsgesetzbuch, Sozialgesetzbuch, Gesetze und Regelungen zum Datenschutz) und vertraglichen Regelungen ein. Negative finanzielle und immaterielle Folgen für den Kunden sowie für die Mitarbeiter durch Gesetzesverstöße sind zu vermeiden. Alle Mitarbeiter und die Geschäftsführung sind sich ihrer Verantwortung beim Umgang mit den Dienstleistungen bewusst und unterstützen die Sicherheitsstrategie nach besten Kräften.

Kiwigrid-Richtlinien zu den folgenden Themen sind für alle Mitarbeiter verbindlich:

IT-Richtlinie zur Informationssicherheit
Behandlung von Informationssicherheitsvorfällen (inkl. Datensicherheitsvorfällen), Notfallmanagement
Zugangs-, Zutrittsreglungen und Sicherheitsbereiche, Besucherregelung
Informationsklassifizierung, Kommunikation
Methodik der Risikoeinschätzung
Sichere Passwörter
Home Office
Clean Desk
On- und Offboarding von Mitarbeitern
Kryptografischen Anforderungen
Sichere Entwicklung
Whitelist Software/Tool-Owner
Sichere Entsorgung oder Wiederverwendung von Geräten

5. Technische und organisatorische Maßnahmen

Nach Art. 32 DSGVO müssen für die Verarbeitung personenbezogener Daten entsprechende technische und organisatorische Maßnahmen umgesetzt werden, welche den Stand der Technik, die Implementierungskosten und das Risiko für die Rechte und Freiheiten der Betroffenen berücksichtigen und dabei ein angemessenes Schutzniveau gewährleisten.

Kiwigrids Datensicherheitsmanagement ist in das Informations- und IT-Sicherheitsmanagement integriert. Die Maßnahmen zur Informationssicherheit aus dem ISO/IEC 27001-Katalog dienen ebenfalls dem Schutz personenbezogener Daten. Auf Basis einer Risikobewertung sind Maßnahmen für die Datensicherheit zu ergreifen. Eine Übersicht sowie ausführliche Beschreibung der von Kiwigrid ergriffenen Technischen und Organisatorischen Maßnahmen kann auf Anfrage überreicht werden.

6. Verzeichnis von Verarbeitungstätigkeiten

Kiwigrid führt aufgrund der Verpflichtung aus Art. 30 Abs. 5 DSGVO ein Verzeichnis über alle Verarbeitungstätigkeiten entsprechend dem Art. 30 Abs. 1 DSGVO.

7. Externe Dienstleister

Zur Erfüllung ihrer Aufgaben nutzt Kiwigrid teilweise sorgfältig ausgewählte, externe Dienstleister. Dies betrifft insbesondere die Bereiche Datenverarbeitung und IT-Infrastruktur, wodurch auch kundenspezifische Anwendungen betroffen sind. Mit den entsprechenden Dienstleistern sind, respektive werden vertragliche Regelungen schriftlich festgehalten. Kiwigrid verpflichtet seine Dienstleister zur Wahrung des Datengeheimnisses und der Vertraulichkeit.

Sofern es sich bei der Datenverarbeitung um eine Auftragsdatenverarbeitung handelt, schließen die Parteien eine gesonderte Vereinbarung nach Art. 28 DSGVO ab.

8. Verarbeitung (personenbezogener) Daten in Drittländern

9. Kontinuierliche Verbesserung des Datenschutzmanagementsystems

Wir entwickeln unser Datenschutzmanagementsystem kontinuierlich weiter, um eine fortlaufende Verbesserung des Schutzes personenbezogener Daten bei Kiwigrid zu gewährleisten. So werden regelmäßige Audits durchgeführt, die Mitarbeiter sensibilisiert, getroffene Maßnahmen überprüft und alle entsprechenden Dokumente auf Notwendigkeit, Angemessenheit und Aktualität kontrolliert.

Um unser Datenschutzmanagement an den jeweils geltenden gesetzlichen Anforderungen auszurichten und stetig zu verbessern, können sich unsere Datenschutzhinweise von Zeit zu Zeit ändern. Über wesentliche Änderungen werden wir auf unseren einschlägigen Kanälen informieren.

10. Verantwortlichkeiten

Der Datenschutz wie auch die Sicherheit informationstechnischer Systeme stellen elementare, unternehmensbezogene Erfordernisse an den täglichen Betrieb. Hierfür sind die Geschäftsleitung sowie deren maßgebende Leitungspersonen unmittelbar verantwortlich:

Kiwigrid GmbH geschäftsansässig in 01129 Dresden, Kleiststraße 10 a-c Tel.: +49 351 50 1950 0 Fax: +49 351 50 1950 101 info‍kiwigrid.com www.kiwigrid.com	Chief Executive Officer (CEO): Frank Schlichting Chief Finance Officer (CFO): Janek Schuffenhauer	info‍kiwigrid.com
Servicedienstleistungen	Für unsere Kunden stehen als Ansprechpartner für administrative, leistungsbezogene sowie finanzielle Angelegenheiten Mitarbeiter der nachfolgenden Abteilungen zur Verfügung: Vice President Service & Quality	info‍kiwigrid.com
Sales	Teamlead Sales	info‍kiwigrid.com
Betrieblicher Datenschutz	Datenschutzbeauftragter	privacy‍kiwigrid.com
Informationssicherheitsbeauftragter	Datenschutzbeauftragter	privacy‍kiwigrid.com
IT Risiko Management	IT-Risikobeauftragter	privacy‍kiwigrid.com
Qualitätsmanagement	Qualitätsmanagementbeauftragter	privacy‍kiwigrid.com