DSGVO-Konformitätserklärung

Version 1.0 – Genehmigt am 1. Februar 2025

1 Verantwortlichkeitserklärung

Vetnio AB bekennt sich vollumfänglich zur Einhaltung der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – „DSGVO“) sowie aller anwendbaren schwedischen Datenschutzgesetze. Der Vorstand übernimmt die letztendliche Verantwortung und kann die Einhaltung der DSGVO über sämtliche Verarbeitungstätigkeiten personenbezogener Daten nachweisen. Insbesondere verpflichtet sich Vetnio AB dazu:

Die sieben Datenschutzgrundsätze – Rechtmäßigkeit, Fairness & Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität & Vertraulichkeit; sowie Rechenschaftspflicht – in die Gestaltung und den Betrieb jeder Verarbeitungstätigkeit zu integrieren.
Vollständige und genaue Verzeichnisse von Verarbeitungstätigkeiten (ROPA) zu führen und Datenschutz-Folgenabschätzungen (DPIA) durchzuführen, sofern eine Verarbeitung voraussichtlich ein hohes Risiko für betroffene Personen zur Folge hat.
Angemessene technische und organisatorische Maßnahmen (TOMs) zu implementieren, die dem Risiko jeder Verarbeitungstätigkeit angemessen sind.
Sicherzustellen, dass der Datenschutzbeauftragte (DPO) und benannte Privacy Champions über ausreichende Autonomie, Ressourcen und Befugnisse verfügen.
Regelmäßige, rollenbasierte Schulungen bereitzustellen, sodass alle Mitarbeiter ihre datenschutzrechtlichen Verantwortlichkeiten verstehen.
Die Einhaltung mittels Audits, Kennzahlen und Management-Reviews zu überwachen und bei Bedarf unverzüglich Abhilfemaßnahmen zu ergreifen.

Diese Erklärung wird mindestens jährlich oder umgehend nach wesentlichen organisatorischen, technologischen oder regulatorischen Änderungen überprüft.

2 Organisationsprofil

Rechtsträger	Vetnio AB
Handelsregisternummer	559494-6807
Registrierte Adresse	Grev Magnigatan 10, 114 55 Stockholm, Schweden
Wichtigste IT-Standorte / Rechenzentren	Schweden (primär), Deutschland (sekundär)
Aufsichtsbehörde	Schwedische Datenschutzbehörde (Integritetsskyddsmyndigheten – IMY)
Datenschutzbeauftragter	Max Henry Xie – max@vetnio.com

3 Datenschutz-Governance

3.1 Rollen & Verantwortlichkeiten

Vorstand – Sorgt für strategische Aufsicht und genehmigt diese Erklärung.
Technischer Leiter (CTO) – Verantwortlicher Manager für die technische Compliance; beschränkt den Zugriff auf Aufnahmen und Transkriptionen auf den CTO und leitende technische Mitarbeiter nach dem Need-to-know-Prinzip.
Datenschutzbeauftragter (DPO) – Unabhängige Funktion mit Berichtslinie an den Vorstand; berät und überwacht die DSGVO-Compliance.
Privacy Champions – Lokale Ansprechpartner, eingebunden in leitende technische Teams:
- Emil Franzell
- Arvid Norström
- Rakin Ali

Alle Mitarbeiter müssen die Multi-Faktor-Authentifizierung (MFA) verwenden; Berechtigungen werden nach dem Prinzip der minimalen Rechte vergeben.

3.2 Richtlinien & Verfahren

4 Grundsätze der Verarbeitung & Rechtsgrundlagen

Vetnio AB verarbeitet personenbezogene Daten nur, wenn mindestens eine Rechtsgrundlage gemäß Art. 6 DSGVO vorliegt (z. B. Vertrag, Einwilligung, berechtigte Interessen). Besondere Kategorien personenbezogener Daten (Art. 9) werden ausschließlich mit ausdrücklicher Ausnahmeregelung verarbeitet.

5 Verzeichnis von Verarbeitungstätigkeiten (ROPA)

Ein vollständiges ROPA wird gemäß Art. 30 DSGVO geführt und der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt. Erfasste Kernelemente sind u. a.:

Kategorien betroffener Personen & personenbezogener Daten.
Zwecke der Verarbeitung.
Empfänger & internationale Übermittlungen.
Technische und organisatorische Schutzmaßnahmen.

6 Technische & organisatorische Maßnahmen (TOMs)

Zugangskontrolle: Rollenbasierter Zugriff; MFA für alle privilegierten Konten.
Verschlüsselung: AES-256 im Ruhezustand; TLS 1.3 während der Übertragung.
Protokollierung & Überwachung: Zentralisierte, manipulationssichere Protokolle mit SIEM-Korrelation.
Resilienz & Backups: Tägliche verschlüsselte Backups mit vierteljährlichen Wiederherstellungstests.
Physische Sicherheit: Rechenzentrums-Kontrollen gemäß ISO 27001.
Lieferantenprüfung: Risikobasierte Aufnahme und jährliche Überprüfung von Auftragsverarbeitern.

7 Management der Betroffenenrechte

Verfahren bestehen, um alle Rechte gemäß Art. 12–23 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch und automatisierte Entscheidungen) zu gewährleisten. Anfragen werden protokolliert und innerhalb der gesetzlichen Fristen bearbeitet.

8 Drittlandübermittlungen & Auftragsverarbeiter

Internationale Übermittlungen erfolgen nur in Länder mit Angemessenheitsbeschluss oder unter geeigneten Garantien (z. B. Standardvertragsklauseln). Ein Verzeichnis genehmigter Auftragsverarbeiter wird veröffentlicht unter https://vetnio.com/sub-processors.

9 Meldung von Datenschutzverletzungen

Alle Vorfälle werden innerhalb von 24 Stunden bewertet. Ist eine Beeinträchtigung von Rechten natürlicher Personen wahrscheinlich, wird IMY innerhalb von 72 Stunden benachrichtigt, und betroffene Personen werden unverzüglich informiert – gemäß Art. 33–34 DSGVO.

10 Schulung & Sensibilisierung

Alle Mitarbeiter müssen bei Eintritt und danach jährlich Schulungen zu DSGVO und Informationssicherheit absolvieren.

11 Überprüfung & kontinuierliche Verbesserung

Diese Erklärung wird zusammen mit unterstützenden Richtlinien mindestens jährlich und nach wesentlichen Änderungen der Gesetzgebung, Verarbeitungstätigkeiten oder Organisationsstruktur überprüft.

12 Genehmigung

Diese DSGVO-Konformitätserklärung wurde am 1. Februar 2025 vom Vorstand der Vetnio AB genehmigt.

Im Namen des Vorstands unterzeichnet

Name	Funktion	Unterschrift	Datum
Max Henry Xie	Chief Technology Officer	(signed)	01-02-2025