Datenschutz- und Sicherheitskonzept

Something we care about

Erklärung zur Verarbeitung personenbezogener Daten

Gerade im Internet ist das Thema Datenschutz natürlich ganz besonders wichtig. Die AviationDataServices GmbH als Qualitätsanbieter legt größten Wert auf den Schutz und die Sicherheit Ihrer Daten. Im Folgenden informieren wir Sie gerne ausführlich darüber, mit welcher Sorgfalt und Gewissenhaftigkeit Ihre Daten in Aircraft Info Desk verarbeitet werden. Zudem stellen wir dar, welche datenschutzrechtliche Verantwortung unsere Vertragskunden gegenüber den Endbenutzern haben.


1  Zweck der Verarbeitung personenbezogener Daten

Die AviationDataServices GmbH erhebt und speichert personenbezogene Daten ausschließlich zur Erfüllung unserer Dienstleistung. Aircraft Info Desk ist eine Software As A Service (SaaS) Applikation und die AviationDataServices GmbH somit Auftragsdatenverarbeiter gemäß §11 BDSG.  

Zweck der Dienstleistung von Aircraft Info Desk ist die Unterstützung der Vertragskunden bei der Organisation ihres Flug- und Ausbildungsbetriebs durch Erbringung von Leistungen zur Datenverarbeitung. Dies geschieht durch die Bereitstellung einer webbasierten Datenverarbeitungslösung.

Zielgruppe für die Nutzung von Aircraft Info Desk sind Flugschulen, Luftsportvereine sowie private Luftfahrzeughalter. Vertragskunden können daher juristische Personen im Falle von Flugschulen und Vereinen sowie private Einzelpersonen im Falle von privaten LFZ Haltern sein, die Aircraft Info Desk für Ihre Zwecke einsetzen.

Neben der Bereitstellung der Applikation zur Erhebung, Verarbeitung und Nutzung von Daten im Auftrag als Hauptzweck werden u. a. personenbezogene Daten im Rahmen der Vertragskundenverwaltung sowie für sonstige Zwecke (z. B. Geschäftspartner- und Interessentenbetreuung) erhoben, verarbeitet oder genutzt.

Die betroffenen Personengruppen ergeben sich aus der Zweckbestimmung. In den folgenden Absätzen beschreiben wir die Datenkategorien, wobei grundsätzlich zu unterscheiden ist zwischen Auftragsdaten und internen Daten, die für eigene Zwecke der AviationDataServices GmbH notwendig sind.

Wir beachten den Grundsatz der zweckgebundenen Daten-Verwendung und erheben, verarbeiten und speichern Ihre personenbezogenen Daten nur für die Zwecke der genannten Dienstleistung. Eine Weitergabe Ihrer persönlichen Daten an Dritte erfolgt ohne Ihre ausdrückliche Einwilligung nicht, sofern dies nicht zur Erbringung der Dienstleistung oder zur Vertragsdurchführung notwendig ist. Auch die Übermittlung an auskunftsberechtigte staatliche Institution und Behörden erfolgt nur im Rahmen der gesetzlichen Auskunftspflichten oder wenn wir durch eine gerichtliche Entscheidung zur Auskunft verpflichtet werden.


2 Auftragsdaten

Die gesamte Auftragsdatenverarbeitung ist aus den Auskunftspflichten ausgenommen, da für diese Daten ausschließlich der Auftraggeber verantwortlich ist.

Aircraft Info Desk ist als Online-Informationsplattform für den Flugbetrieb in der Lage, eine ganze Reihe verschiedener Informationen zu speichern, die im Interresse des Vertragskunden zur Optimierung der Verwaltung seines Flug- und Ausbildungsbetriebs sein können und die mit personen bezogenen Daten verknüpft sind. Dazu gehören Flugdaten, Pilotenlizenzen, social Networking Daten sowie Ausbildungsdaten von Flugschülern etc.

Hier gibt es einen Überblick über das aktuelle Dienstleistungsangebot des Aircraft Info Desk Systems.


3 Daten für eigene Zwecke der AviationDataServices GmbH (interne Daten)

3.1 Kontaktaufnahme

Bei der Kontaktaufnahme mit der AviationDataServices GmbH (zum Beispiel per Kontaktformular auf der Webseite oder E-Mail) werden die Angaben des Nutzers zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert.

Falls diese Daten ausnahmsweise nicht von den Nutzern kommen, stammen diese manuell ausgesuchten Daten aus allgemein verfügbare Quellen, wie z.B. Webseiten von Behörden, wie z.B. des Luftfahrtbundes LBA oder Veröffentlichungen von Adresslisten von Flugschulen, wie z.B. der Zeitschrift Aerokurier oder der Messekatalog der Branchenmesse Aero. Zu diesen aus wirtschaftlichem Interesse erfassten Daten zählen Firmenname, Adresse inklusive Telefon, Mailadresse und Webseite.


3.2 Registrierfunktion für den Testzugang zu Aircraft Info Desk

Die im Rahmen der Registrierung eingegebenen Daten werden für die Zwecke der Nutzung des Angebotes verwendet. Die Interessenten können über angebots- oder registrierungsrelevante Informationen, wie Änderungen des Angebotsumfangs oder technische Umstände per E-Mail informiert werden. Die erhobenen Daten sind aus der Eingabemaske im Rahmen der Registrierung ersichtlich. Dazu gehören Vor und Nachname der Kontaktperson sowie eMailadresse und Telefonnummer und den Namen des Vereins bzw. des Vercharterers.


3.3  Daten zur Auftragsberarbeitung

Bei Vertragsunterschrift erfassen wir die folgenden Daten unseres Vertragspartners:
Name der Firma, des Vereins / Vorname und Nachname des Kontaktpartners / Straße, Hausnummer, Postleitzahl, Ort, Telefon,  E-Mail-Adresse sowie die Bankverbindungsdaten eines SEPA Lastschriftsmandats.
Diese Daten werden bei uns zentral erfasst und für die Abwicklung des Vertragsverhältnisses genutzt.


3.4  Zugriffsdaten/ Server-Logfiles

Wir (beziehungsweise unser Rechenzentrum, domainfactory GmbH, Oskar-Messter-Str. 33, 85737 Ismaning) erheben Daten über jeden Zugriff auf Aircraft Info Desk (so genannte Serverlogfiles). Zu den Zugriffsdaten gehören:

Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider.

Wir verwenden die Protokolldaten nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung des Angebotes. Wir behalten und jedoch vor, die Protokolldaten nachträglich zu überprüfen, wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht.


3.5  Cookies

Cookies sind kleine Dateien, die es ermöglichen, auf dem Zugriffsgerät der Nutzer (PC, Smartphone o.ä.) spezifische, auf das Gerät bezogene Informationen zu speichern. Sie dienen zum einem der Benutzerfreundlichkeit von Webseiten und damit den Nutzern (z.B. Speicherung von Logindaten). Zum anderen dienen sie, um die statistische Daten der Webseitennutzung zu erfassen und sie zwecks Verbesserung des Angebotes analysieren zu können. Die Nutzer können auf den Einsatz der Cookies Einfluss nehmen. Die meisten Browser verfügen eine Option mit der das Speichern von Cookies eingeschränkt oder komplett verhindert wird.

Wir verwenden Cookies um die Sessioninformationen eines am System authentifizierten Endbenutzers zu speichern. Nach dem Beenden der Session wird auch das Cookie ungülig.
Wir weisen allerdings darauf hin, dass die Nutzung des internen geschützen Bereichs eines Kundensystems nicht mehr möglich ist wenn Cookies im Browser deaktiviert werden.

Andere Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen. Diese Cookies ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.

Zu diesen Cookies gehören auch sogenannte Pixel, die wir aus wirtschaftlichen Interesse, also Marketingmaßnahmen, setzen und verarbeiten. Dazu können Facebook-Pixel, Google Analytics oder Pixel von Dienstleistern wie Drip / Leadpages (näheres siehe Punkt 3.6) gehören. Klarstellen möchten wir, dass diese in diesem Absatz genannten Cookies wirtschaftlichen Marketinginteressen dienen und in unseren Kundensystemen nicht eingesetzt werden.


3.6  Newsletterdaten

Wenn Sie sich auf eine Newsletterliste eintragen, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse sind und mit dem Empfang des Newsletters einverstanden sind. Daneben erbitten wir Ihren Vornamen, um unsere Emails bzw. Newsletter personalisieren zu können. Weitere Daten werden nur in bestimmten Fällen erhoben, zum Beispiel wenn Sie sich für einen Demozugang von Aircraft Info Desk interessieren (siehe Ziffer 3.2). Diese Daten verwenden wir für den Versand der angeforderten Informationen bzw. der Bereitstellung der gewünschten Dienste und geben sie nicht an Dritte weiter.

Die erteilte Einwilligung zur Speicherung der Daten, der E-Mail-Adresse sowie deren Nutzung zum Versand des Newsletters können Sie jederzeit widerrufen, etwa über den „Abmelden“-Link im Newsletter.

Neben einem deutschen Anbieter (Cleverreach) setzen wir auch den US-Anbieter Drip sowie die verbundene Firma Leadpages als (Versand-)Dienstleister ein. Die gemeinsame entsprechende Datenschutzerklärung von Drip und Leadpages können Sie hier einsehen. Wichtig ist für Sie der Hinweis, dass wir über die Tools in der Lage sind auch diverse statistische Daten zu erheben, die es z.B. ermöglichen, Newsletterabonnenten nach Ihren Interessen, genauer nach ihrem Verhalten (z.B. durch Klicks auf Links), zu segmentieren. Dies machen wir auch in Ihrem Interesse, da wir, und sicher Sie auch, daran interessiert sind, Ihnen nur für Sie relevante Inhalte zu vermitteln. Der guten Ordnung halber verweisen wir auch an dieser Stelle noch einmal darauf, dass Sie sich jederzeit aus den Newslettern abmelden können.

Wir vertrauen auf die Zuverlässigkeit und die IT- sowie Datensicherheit von Drip. Drip ist unter dem US-EU-Datenschutzabkommen „Privacy Shield“ zertifziert und verpfichtet sich damit, die EU-Datenschutzvorgaben einzuhalten. Des Weiteren haben wir mit Drip ein „Data-Processing-Agreement“ abgeschlossen. Dabei handelt es sich um einen Vertrag, in dem sich Drip dazu verpflichtet, die Daten unserer Nutzer zu schützen, entsprechend dessen Datenschutzbestimmungen in unserem Auftrag zu verarbeiten und insbesondere nicht an Dritte weiter zu geben.

Statistische Erhebung und Analysen
Die Newsletter enthalten einen sogenannten „web-beacon“, das heißt eine pixelgroße Datei, die beim Öffnen des Newsletters von dem Server von Drip abgerufen wird. Im Rahmen dieses Abrufs werden zunächst technische Informationen wie Informationen zum Browser und Ihrem System, als auch Ihre IP-Adresse und Zeitpunkt des Abrufs erhoben. Diese Informationen werden zur technischen Verbesserung der Services anhand der technischen Daten oder der Zielgruppen und ihres Leseverhaltens anhand derer Abruforte (die mit Hilfe der IP-Adresse bestimmbar sind) oder der Zugriffszeiten genutzt.

Zu den statistischen Erhebungen gehört ebenfalls die Feststellung, ob die Newsletter geöffnet werden, wann sie geöffnet werden und welche Links geklickt werden. Diese Informationen können aus technischen Gründen zwar den einzelnen Newsletter-Empfängern zugeordnet werden. Es ist jedoch weder unser Bestreben noch das von Drip, einzelne Nutzer zu beobachten. Die Auswertungen dienen uns vielmehr dazu, die Lesegewohnheiten unserer Nutzer zu erkennen und unsere Inhalte auf sie anzupassen oder unterschiedliche Inhalte entsprechend den Interessen unserer Nutzer zu versenden.

Online-Aufruf und Datenmanagement
Es gibt Fälle, in denen wir die Newsletterempfänger auf die Webseiten von Drip leiten. Zum Beispiel enthalten unsere Newsletter einen Link, mit dem die Newsletter-Empfänger die Newsletter online abrufen können (etwa bei Darstellungsproblemen im E-Mailprogramm). Ferner können Newsletterempfänger ihre Daten wie beispielsweise die E-Mailadresse nachträglich korrigieren. Ebenso ist die Datenschutzerklärung von Drip nur auf deren Seite abrufbar. In diesem Zusammenhang wiesen wir darauf hin, dass auf den Webseiten von Drip Cookies eingesetzt und damit personenbezogene Daten durch Drip, deren Partner und eingesetzte Dienstleister (zum Beispiel Google Analytics) verarbeitet werden. Auf diese Datenerhebung haben wir keinen Einfluss. Weitere Informationen können Sie der Datenschutzerklärung von Drip entnehmen. Wir weisen Sie zusätzlich auf die Widerspruchsmöglichkeiten in die Datenerhebung zu Werbezwecken auf den Webseiten http://www.aboutads.info/choices/ und http://www.youronlinechoices.com/ (für den Europäischen Raum) hin.

Rechtsgrundlagen Datenschutzgrundverordnung
Entsprechend den Vorgaben der ab dem 25. Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) informieren wir Sie, dass die Einwilligungen in den Versand der E-Mailadressen auf Grundlage der Art. 6 Abs. 1 lit. a, 7 DSGVO sowie § 7 Abs. 2 Nr. 3, bzw. Abs. 3 UWG eingeholt werden. Der Einsatz des Versanddienstleisters Drip, die Durchführung der statistischen Erhebungen und Analysen sowie die Protokollierung des Anmeldeverfahrens erfolgen auf Grundlage unserer berechtigten Interessen gem. Art. 6 Abs. 1 lit. f DSGVO. Unser Interesse richtet sich auf den Einsatz eines nutzerfreundlichen sowie sicheren Newsletter-Systems, das sowohl unseren geschäftlichen Interessen dient, als auch den Erwartungen der Nutzer entspricht. Wir weisen Sie ferner darauf hin, dass Sie der künftigen Verarbeitung Ihrer personenbezogenen Daten entsprechend den gesetzlichen Vorgaben gem. Art. 21 DSGVO jederzeit widersprechen können. Der Widerspruch kann insbesondere gegen die Verarbeitung für Zwecke der Direktwerbung erfolgen.


3.7  Auskunftsmöglichkeit

Der Nutzer hat das Recht, auf Antrag unentgeltlich Auskunft zu erhalten über die personenbezogenen Daten, die über ihn gespeichert wurden. Zusätzlich hat der Nutzer das Recht auf Berichtigung unrichtiger Daten, Sperrung und Löschung seiner personenbezogenen Daten, soweit dem keine gesetzliche Aufbewahrungspflicht entgegensteht.


4  Einsatz von Analysetools

Wir verwenden in den AID Kundensystemen Piwik zur Optimierung unserer Dienstleistung und der Benutzererfahrung. Dabei handelt es sich um einen sogenannten Webanalysedienst. Piwik verwendet sog. „Cookies“, das sind Textdateien, die auf Ihrem Computer gespeichert werden und die unsererseits eine Analyse der Benutzung der des Kundensystems ermöglichen. Zu diesem Zweck werden die durch den Cookie erzeugten Nutzungsinformationen (einschließlich Ihrer gekürzten IP-Adresse) an unseren Server übertragen und zu Nutzungsanalysezwecken gespeichert, was der Webseitenoptimierung unsererseits dient. Ihre IP-Adresse wird bei diesem Vorgang umge­hend anony­mi­siert, so dass Sie als Nutzer für uns anonym bleiben. Die durch den Cookie erzeugten Informationen über Ihre Benutzung des Kundensystems werden ausschließlich auf unserem Server gespeichert und nicht an Dritte weitergegeben.

Sie unterstützen uns hiermit, Aircraft Info Desk kontinuierlich zu verbessern. Die Nutzungsdaten sind anonymisiert und lassen keine Rückschlüsse auf konkrete Personen zu.

Sie können die Verwendung der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern, es kann jedoch sein, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website voll umfänglich nutzen können. Wenn Sie mit der Spei­che­rung und Aus­wer­tung die­ser Daten aus Ihrem Besuch nicht ein­ver­stan­den sind, dann kön­nen Sie der Spei­che­rung und Nut­zung nachfolgend per Maus­klick jederzeit wider­spre­chen. In diesem Fall wird in Ihrem Browser ein sog. Opt-Out-Cookie abgelegt, was zur Folge hat, dass Piwik kei­ner­lei Sit­zungs­da­ten erhebt. Achtung: Wenn Sie Ihre Cookies löschen, so hat dies zur Folge, dass auch das Opt-Out-Cookie gelöscht wird und ggf. von Ihnen erneut aktiviert werden muss.


5  Datenschutzrechtliche Verantwortung unserer Vertragskunden gegenüber den Endbenutzern

Gemäß §11 BDSG sind wir als AviationDataServices GmbH Auftragsdatenverarbeiter. Unsere Vertragskunden sind als Auftragsnehmer selbst für die durch sie oder ihre Erfüllungsgehilfen erfassten personenbezogenen Daten und die Einhaltung der Rechtsvorschriften selbst verantwortlich.


6  Maßnahmen zur Abdeckung der Anforderungen an den Datenschutz

Die Verschlüsselung der Strecke zwischem dem Webbrowser des Endbenutzers und des Servers erfolgt per Secure Socket Layer (SSL) bzw. HTTPS.

Endbenutzer, deren Daten von uns im Auftrag durch den Vertragskunden verarbeitet werden, erhalten ausschließlich Zugriff auf die Daten ihres betreffenden Kundensystems. Der Zugang dazu ist mit Benutzername und Passwort für jeden Endbenutzer geschützt.

Die Aircraft Info Desk Kundensysteme sind datenbanktechnisch so von einander getrennt, dass keine Vermischung von Daten verschiedener Kunden vorkommen kann.

Die Passwörter der Zugangsdaten der Endbenutzer werden verschlüsselt in der Datenbank abgelegt. Ein Ausspähen der Datenbank ließe dadurch keine Rückschlüsse auf die durch die Endbenutzer verwendeten Passwörter zu.

Die Benutzerverwaltung unserer Kundensysteme beinhaltet eine Rechtevergabe sodass dem einzelnen Benutzer duch einen Administrator unterschiedliche Möglichkeiten zur Einsicht von Daten gegeben werden kann.

Speichert ein Endbenuter seine pc_met Zugangsdaten für den Flugwetterdienst pc_met in seinem Profil, so werden diese Zugangsdaten unverschlüsselt in unserer Datenbank gespeichert. Dies ist technisch bedingt notwendig, damit Aircraft Info Desk in der Lage ist, den Benutzer am Server des deutschen Wetterdienstes zu authentifizieren.


7  Verwaltung und Handhabung von personenbezogenen Daten auf Datenträgern und Servern

Unser Server befindet sich in einem Hochleistungs-Rechenzentrum in München, das professionellen Anforderungen entspricht. Dort werden die Daten nach den strengen, deutschen Datenschutzgesetzen sicher gespeichert. Neben obligatorischen Sicherheitsmerkmalen wie Video-Überwachung und Zugangskontrollen verfügt das Rechenzentrum über eine geschützte Lage unter der Erde, Klimatisierung, unterbrechungsfreie Stromversorgung (USV) und den Einsatz präventiver Brandschutzsicherungen.

Die Daten werden ausschließlich auf RAID-Systemen gespeichert. Hierbei werden Ihre Daten auf mehreren Festplatten gespiegelt und sind somit bei einem etwaigen Hardwaredefekt weitgehend vor Datenverlust geschützt. Servicetechniker überwachen die Anlage 24h am Tag und greifen bei Hardwaredefekten umgehend ein.


8  Backups und Disaster Recovery

Wir führen täglich ein Backup der Datenbanken sowie der über die Uploadfunktionen hochgeladenen Kundendateien aus. Wir halten diese Backups 14 Tage lang vor.  Bis 14 Tage nach einem Schadensereignis können wir somit einen alten Datenbestand restaurieren.

Wöchentlich wird das Backup auf einen RAID-Datenspeicher an unserem Standort Wedemark gespeichert. Die Daten werden verschlüsselt übertragen und dort ebenfalls verschlüsselt abgelegt.
Monatlich archivieren wir diesen Datenspeicher rollierend in einem Bankschließfach.

Mit diesem Konzept arbeiten wir konform der Forderungen an die Datensicherung in Approved Training Organizations (ATOs) gemäß der EASA Vorgaben.


9  Dauer der Datenspeicherung

Die Bestandsdaten werden spätestens mit Ablauf des auf die Beendigung des Vertragsverhältnisses folgenden Kalenderjahres gelöscht, sofern dem im Einzelfall nicht besondere Gründe entgegen stehen. Soweit Kunden gegen die Höhe der in der Rechnung gestellten Leistungsentgelte Einwendungen erhoben haben, dürfen die Abrechnungsdaten gespeichert werden, bis die Einwendungen abschließend geklärt sind.
Ferner können Bestandsdaten bis zum Ablauf von zwei Jahren gespeichert bleiben, sofern Beschwerdebearbeitungen sowie sonstige Gründe einer ordnungsgemäßen Abwicklung des Vertragsverhältnisses dies erfordern. Im Übrigen darf die Löschung von Bestands- und Abrechnungsdaten unterbleiben, soweit dies gesetzliche Regelungen vorsehen oder die Verfolgung von Ansprüchen dies erfordert.