Datenschutz


Datenschutzerklärung

Verantwortliche Stelle im Sinne der Datenschutzgesetze, insbesondere der EU-Datenschutzgrundverordnung (DSGVO), ist:

Christian Schaffernicht
Strasse der Einheit 2
99830 Treffurt
info@schaffernicht.com
Tel: 036926-728085

Ihre Betroffenenrechte

Unter den angegebenen Kontaktdaten unseres Datenschutzbeauftragten können Sie jederzeit folgende Rechte ausüben:

  • Auskunft über Ihre bei uns gespeicherten Daten und deren Verarbeitung,
  • Berichtigung unrichtiger personenbezogener Daten,
  • Löschung Ihrer bei uns gespeicherten Daten,
  • Einschränkung der Datenverarbeitung, sofern wir Ihre Daten aufgrund gesetzlicher Pflichten noch nicht löschen dürfen,
  • Widerspruch gegen die Verarbeitung Ihrer Daten bei uns und
  • Datenübertragbarkeit, sofern Sie in die Datenverarbeitung eingewilligt haben oder einen Vertrag mit uns abgeschlossen haben.

Sofern Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Sie können sich jederzeit mit einer Beschwerde an die für Sie zuständige Aufsichtsbehörde wenden. Ihre zuständige Aufsichtsbehörde richtet sich nach dem Bundesland Ihres Wohnsitzes, Ihrer Arbeit oder der mutmaßlichen Verletzung. Eine Liste der Aufsichtsbehörden (für den nichtöffentlichen Bereich) mit Anschrift finden Sie unter: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.

Zwecke der Datenverarbeitung durch die verantwortliche Stelle und Dritte

Wir verarbeiten Ihre personenbezogenen Daten nur zu den in dieser Datenschutzerklärung genannten Zwecken. Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den genannten Zwecken findet nicht statt. Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:

  • Sie Ihre ausdrückliche Einwilligung dazu erteilt haben,
  • die Verarbeitung zur Abwicklung eines Vertrags mit Ihnen erforderlich ist,
  • die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist,

die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben.

Löschung bzw. Sperrung der Daten

Wir halten uns an die Grundsätze der Datenvermeidung und Datensparsamkeit. Wir speichern Ihre personenbezogenen Daten daher nur so lange, wie dies zur Erreichung der hier genannten Zwecke erforderlich ist oder wie es die vom Gesetzgeber vorgesehenen vielfältigen Speicherfristen vorsehen. Nach Fortfall des jeweiligen Zweckes bzw. Ablauf dieser Fristen werden die entsprechenden Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.

Erfassung allgemeiner Informationen beim Besuch unserer Website

Wenn Sie auf unsere Website zugreifen, werden automatisch mittels eines Cookies Informationen allgemeiner Natur erfasst. Diese Informationen (Server-Logfiles) beinhalten etwa die Art des Webbrowsers, das verwendete Betriebssystem, den Domainnamen Ihres Internet-Service-Providers und ähnliches. Hierbei handelt es sich ausschließlich um Informationen, welche keine Rückschlüsse auf Ihre Person zulassen.

Diese Informationen sind technisch notwendig, um von Ihnen angeforderte Inhalte von Webseiten korrekt auszuliefern und fallen bei Nutzung des Internets zwingend an. Sie werden insbesondere zu folgenden Zwecken verarbeitet:

  • Sicherstellung eines problemlosen Verbindungsaufbaus der Website,
  • Sicherstellung einer reibungslosen Nutzung unserer Website,
  • Auswertung der Systemsicherheit und -stabilität sowie
  • zu weiteren administrativen Zwecken.

Die Verarbeitung Ihrer personenbezogenen Daten basiert auf unserem berechtigten Interesse aus den vorgenannten Zwecken zur Datenerhebung. Wir verwenden Ihre Daten nicht, um Rückschlüsse auf Ihre Person zu ziehen. Empfänger der Daten sind nur die verantwortliche Stelle und ggf. Auftragsverarbeiter.

Anonyme Informationen dieser Art werden von uns ggfs. statistisch ausgewertet, um unseren Internetauftritt und die dahinterstehende Technik zu optimieren.

Cookies

Wie viele andere Webseiten verwenden wir auch so genannte „Cookies“. Cookies sind kleine Textdateien, die von einem Websiteserver auf Ihre Festplatte übertragen werden. Hierdurch erhalten wir automatisch bestimmte Daten wie z. B. IP-Adresse, verwendeter Browser, Betriebssystem und Ihre Verbindung zum Internet.

Cookies können nicht verwendet werden, um Programme zu starten oder Viren auf einen Computer zu übertragen. Anhand der in Cookies enthaltenen Informationen können wir Ihnen die Navigation erleichtern und die korrekte Anzeige unserer Webseiten ermöglichen.

In keinem Fall werden die von uns erfassten Daten an Dritte weitergegeben oder ohne Ihre Einwilligung eine Verknüpfung mit personenbezogenen Daten hergestellt.

Natürlich können Sie unsere Website grundsätzlich auch ohne Cookies betrachten. Internet-Browser sind regelmäßig so eingestellt, dass sie Cookies akzeptieren. Im Allgemeinen können Sie die Verwendung von Cookies jederzeit über die Einstellungen Ihres Browsers deaktivieren. Bitte verwenden Sie die Hilfefunktionen Ihres Internetbrowsers, um zu erfahren, wie Sie diese Einstellungen ändern können. Bitte beachten Sie, dass einzelne Funktionen unserer Website möglicherweise nicht funktionieren, wenn Sie die Verwendung von Cookies deaktiviert haben.

Registrierung auf unserer Webseite

Bei der Registrierung für die Nutzung unserer personalisierten Leistungen werden einige personenbezogene Daten erhoben, wie Name, Anschrift, Kontakt- und Kommunikationsdaten wie Telefonnummer und E-Mail-Adresse. Sind Sie bei uns registriert, können Sie auf Inhalte und Leistungen zugreifen, die wir nur registrierten Nutzern anbieten. Angemeldete Nutzer haben zudem die Möglichkeit, bei Bedarf die bei Registrierung angegebenen Daten jederzeit zu ändern oder zu löschen. Selbstverständlich erteilen wir Ihnen darüber hinaus jederzeit Auskunft über die von uns über Sie gespeicherten personenbezogenen Daten. Gerne berichtigen bzw. löschen wir diese auch auf Ihren Wunsch, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Zur Kontaktaufnahme in diesem Zusammenhang nutzen Sie bitte die am Ende dieser Datenschutzerklärung angegebenen Kontaktdaten.

Erbringung kostenpflichtiger Leistungen

Zur Erbringung kostenpflichtiger Leistungen werden von uns zusätzliche Daten erfragt, wie z.B. Zahlungsangaben, um Ihre Bestellung ausführen zu können. Wir speichern diese Daten in unseren Systemen bis die gesetzlichen Aufbewahrungsfristen abgelaufen sind.

SSL-Verschlüsselung

Um die Sicherheit Ihrer Daten bei der Übertragung zu schützen, verwenden wir dem aktuellen Stand der Technik entsprechende Verschlüsselungsverfahren (z. B. SSL) über HTTPS.

Kommentarfunktion

Wenn Nutzer Kommentare auf unserer Website hinterlassen, werden neben diesen Angaben auch der Zeitpunkt ihrer Erstellung und der zuvor durch den Websitebesucher gewählte Nutzername gespeichert. Dies dient unserer Sicherheit, da wir für widerrechtliche Inhalte auf unserer Webseite belangt werden können, auch wenn diese durch Benutzer erstellt wurden.

Kontaktformular

Treten Sie bzgl. Fragen jeglicher Art per E-Mail oder Kontaktformular mit uns in Kontakt, erteilen Sie uns zum Zwecke der Kontaktaufnahme Ihre freiwillige Einwilligung. Hierfür ist die Angabe einer validen E-Mail-Adresse erforderlich. Diese dient der Zuordnung der Anfrage und der anschließenden Beantwortung derselben. Die Angabe weiterer Daten ist optional. Die von Ihnen gemachten Angaben werden zum Zwecke der Bearbeitung der Anfrage sowie für mögliche Anschlussfragen gespeichert. Nach Erledigung der von Ihnen gestellten Anfrage werden personenbezogene Daten automatisch gelöscht.

Verwendung von Scriptbibliotheken (Google Webfonts)

Um unsere Inhalte browserübergreifend korrekt und grafisch ansprechend darzustellen, verwenden wir auf dieser Website Scriptbibliotheken und Schriftbibliotheken wie z. B. Google Webfonts (https://www.google.com/webfonts/). Google Webfonts werden zur Vermeidung mehrfachen Ladens in den Cache Ihres Browsers übertragen. Falls der Browser die Google Webfonts nicht unterstützt oder den Zugriff unterbindet, werden Inhalte in einer Standardschrift angezeigt.

Der Aufruf von Scriptbibliotheken oder Schriftbibliotheken löst automatisch eine Verbindung zum Betreiber der Bibliothek aus. Dabei ist es theoretisch möglich – aktuell allerdings auch unklar ob und ggf. zu welchen Zwecken – dass Betreiber entsprechender Bibliotheken Daten erheben.

Die Datenschutzrichtlinie des Bibliothekbetreibers Google finden Sie hier: https://www.google.com/policies/privacy/

Eingebettete YouTube-Videos

Auf einigen unserer Webseiten betten wir Youtube-Videos ein. Betreiber der entsprechenden Plugins ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA. Wenn Sie eine Seite mit dem YouTube-Plugin besuchen, wird eine Verbindung zu Servern von Youtube hergestellt. Dabei wird Youtube mitgeteilt, welche Seiten Sie besuchen. Wenn Sie in Ihrem Youtube-Account eingeloggt sind, kann Youtube Ihr Surfverhalten Ihnen persönlich zuzuordnen. Dies verhindern Sie, indem Sie sich vorher aus Ihrem Youtube-Account ausloggen.

Wird ein Youtube-Video gestartet, setzt der Anbieter Cookies ein, die Hinweise über das Nutzerverhalten sammeln.

Wer das Speichern von Cookies für das Google-Ad-Programm deaktiviert hat, wird auch beim Anschauen von Youtube-Videos mit keinen solchen Cookies rechnen müssen. Youtube legt aber auch in anderen Cookies nicht-personenbezogene Nutzungsinformationen ab. Möchten Sie dies verhindern, so müssen Sie das Speichern von Cookies im Browser blockieren.

Weitere Informationen zum Datenschutz bei „Youtube“ finden Sie in der Datenschutzerklärung des Anbieters unter: https://www.google.de/intl/de/policies/privacy/

Änderung unserer Datenschutzbestimmungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Fragen an den Datenschutzbeauftragten

Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail oder wenden Sie sich direkt an die für den Datenschutz verantwortliche Person in unserer Organisation:

Die Datenschutzerklärung wurde mit dem Datenschutzerklärungs-Generator der activeMind AG erstellt.

Zusatz:

Folgender Vertrag regelt die Zusammenarbeit mit dem Hoster all-inkl:

Auftragsverarbeitungsvertrag
nach Art. 28 Abs. 3
Datenschutz-Grundverordnung (DS-GVO)
ALL-INKL.COM - Neue Medien Münnich
Inhaber: René Münnich
Hauptstraße 68, 02742 Friedersdorf, Deutschland
(nachfolgend „Auftragnehmer“ genannt)
übernimmt gegenüber
Kundennummer:
(nachfolgend „Auftraggeber“ genannt)
die nachfolgenden Pflichten mit den nachfolgenden Rechten als Auftragsverarbeiter i.S. von Art. 28 Abs. 3 DS-GVO,
wenn und soweit die Leistungen des Auftragnehmers nach dem Webhosting-Vertrag unter der an den Auftraggeber als
Kunden vergebenen Kundennummer (Hauptvertrag) auch eine Datenverarbeitung im Auftrag und auf Weisung des
Auftraggebers beinhaltet.
1 Gegenstand, Grundsätzliches und Dauer der Vereinbarung
1.1 Nach dem Inhalt des Hauptvertrags über die Leistungen des Auftragnehmers und nach den vom Auftraggeber
vorgenommenen Nutzungen ist es nicht ausgeschlossen, dass der Auftragnehmer dabei personenbezogene Daten für
den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO verarbeitet und dass der Auftragnehmer dabei keine
eigenen Zwecke im Umgang mit diesen Daten des Auftraggebers verfolgt. Wenn dies geschieht, so erfolgt diese
Verarbeitung von personenbezogenen Daten des Auftraggebers „im Auftrag und auf Weisung“ für die Zwecke des
Auftraggebers nach diesem Vertrag.
1.2 Die maßgebliche Konkretisierung der Auftragsverarbeitungsleistungen des Auftragnehmers nach Weisung enthält
Anlage 1.
1.3 „Weisung“ ist die auf einen bestimmten datenschutzmäßigen Umgang des Auftragnehmers mit personenbezogenen
Daten, die der Auftraggeber verarbeitet, gerichtete Anordnung des Auftraggebers (z.B. Daten zu anonymisieren, zu
sperren, zu löschen, herauszugeben). Bereits bestehende Weisungen können vom Auftraggeber danach durch einzelne
Weisungen geändert, ersetzt oder ergänzt werden (Einzelweisungen).
1.4 Der Auftraggeber ist für die Beurteilung der Zulässigkeit der Verarbeitung personenbezogener Daten durch ihn auf
den IT-Systemen des Auftragnehmers sowie für die Wahrung der Rechte der Betroffenen verantwortlich. Der
Auftraggeber hat dafür Sorge zu tragen, dass die gesetzlich oder behördlich vorgeschriebenen Voraussetzungen für
„seine“ Datenverarbeitungen geschaffen werden bzw. Anforderungen erfüllt werden, wie z.B. die Einhaltung von
Löschfristen und zulässiger Speicherdauer, die Einholung von Einwilligungserklärungen. Das gilt insbesondere dann,
wenn der Auftraggeber besonders sensible Daten im Sinne des Art. 9 DS-GVO verarbeiten lässt.
1.5 Der Auftraggeber stellt den Auftragnehmer in seinem Verantwortungsbereich von Ansprüchen Betroffener
gegenüber dem Auftragnehmer frei. (Art. 82 DS-GVO bleibt unberührt).
1.6 Gegenstand, Dauer, Art und Zweck der ggf. erfolgenden Datenverarbeitung ist für den Auftraggeber durch seine
Tarifwahl/Produktwahl zum Hauptvertrag vorgegeben. Die Leistungsinhalte des Auftragnehmers ergeben sich aus den
jeweiligen Leistungsbeschreibungen/Tarifbeschreibungen und ggf. mitgeltenden Dokumenten.
1.7 Im Rahmen der tarifspezifischen/produktspezifischen Möglichkeiten kann der Auftraggeber Art und Umfang seiner
Datenverarbeitung durch Art und Weise der Nutzung des Tarifes/Produktes bestimmen. Im Rahmen dieser Tarife und
Produkte können insbesondere dann Weisungsrechte des Auftraggebers im Falle der Inanspruchnahme von Support-
Dienstleistungen oder im Einzelfall gewünschten Programmierdienstleistungen wahrgenommen werden, wenn der
Auftragnehmer im Einzelfall auf den Datenbestand des Auftragnehmers Zugriff nehmen soll.
1.8 Sämtliche Auftragsverarbeitungsleistungen des Auftragnehmers nach Weisung werden ausschließlich in einem
Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum erbracht. Jede Verlagerung dieser Dienstleistungen oder von Teilarbeiten dazu in ein Drittland bedarf
der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44
ff. DS-GVO erfüllt sind (z. B. ein Angemessenheitsbeschluss der Kommission vorliegt, Standarddatenschutzklauseln
Auftragsverarbeitungsvertrag V20180507 Seite 1 von 5
266518
Christian Schaffernicht
Strasse der Einheit 2, 99831 Schnellmannshausen, Deutschland
verwendet werden oder genehmigte Verhaltensregeln vorliegen).
1.9 Dieser Auftragsverarbeitungsvertrag beginnt mit seinem Zustandekommen und wird auf unbestimmte Zeit
geschlossen. Er endet mit dem Ende der vertraglich vereinbarten Leistungen des Auftragnehmers aus dem Hauptvertrag.
1.10 Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender
Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der
Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte
des Auftraggebers vertragswidrig verweigert.
2 Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen
Die Art der Verarbeitung entsprechend der Definition von Art. 4 Nr. 2 DS-GVO), der Zweck der Verarbeitung, die Art der
personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DS-GVO) sowie die Kategorien
betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO) ergeben sich aus Anlage 1.
3 Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers
3.1 Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte
der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der
Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet
sind, unverzüglich an diesen weiterzuleiten.
3.2 Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber
und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.
3.3 Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten
elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen
Format zu bestätigen.
3.4 Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise
von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in
diesem Vertrag festgelegten Verpflichtungen zu überzeugen.
3.5 Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen
und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung
bleibt auch nach Beendigung dieses Vertrages bestehen.
4 Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragnehmers
4.1 Weisungsberechtigte Personen des Auftraggebers und Weisungsempfänger des Auftragnehmers sind in Anlage 1
enthalten.
4.2 Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner
unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen.
5 Pflichten des Auftragnehmers
5.1 Der Auftragnehmer verarbeitet personenbezogene Daten in der Situation der Auftragsverarbeitung ausschließlich im
Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen
Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist
(z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragnehmer dem
Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche
Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 a DS-GVO).
5.2 Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen,
insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des
Auftraggebers nicht erstellt.
5.3 Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die
vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber
verarbeiteten Daten von sonstigen Datenbeständen getrennt werden.
Auftragsverarbeitungsvertrag V20180507 Seite 2 von 5
5.4 Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders
gekennzeichnet.
5.5 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der
Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen
des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich
angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils
unverzüglich an den Weisungsberechtigten des Auftraggebers gemäß Anlage 1 weiterzuleiten.
5.6 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber
erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der
Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den
Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.
5.7 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren
Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen
des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis
an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den
Auftraggeber erteilen. Gesetzliche Verpflichtungen zur Auskunftserteilung bleiben unberührt.
5.8 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in
Art. 28 DS-GVO niedergelegten Pflichten zur Verfügung. Er ermöglicht Überprüfungen – einschließlich Inspektionen –, die
vom Auftragnehmer oder einem anderen von diesem beauftragten Prüfer durchgeführt werden.
5.9 Der Auftragnehmer verpflichtet sich, auch die Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen.
5.10 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des
Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.
5.11 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor
Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit
ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit
verpflichtet (Art. 28 Abs. 3 Satz 2 b und Art. 29 DS-GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen
Vorschriften in seinem Betrieb.
6 Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes
personenbezogener Daten
Der Auftragnehmer teilt dem Auftraggeber unverzüglich Verletzungen des Schutzes personenbezogener Daten nach Art.
33 Abs. 2 DS-GVO mit. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art.
33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2f DS-GVO). Meldungen nach Art. 33 oder 34 DSGVO
für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages
durchführen.
7 Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)
7.1 Der Auftragnehmer als Auftragsverarbeiter nimmt die weiteren Auftragsverarbeiter (als Subunternehmer) in
Anspruch, die in der Anlage 1 genannt sind. Allgemein darf der Auftragnehmer weitere Subunternehmer einsetzen, wenn
diese Konzernunternehmen im Sinne des Aktienrechts sind. In diesem Fall informiert der Auftragnehmer den
Auftraggeber über eine solche beabsichtigte Änderung, wodurch der Auftraggeber die Möglichkeit erhält, gegen
derartige Änderungen Einspruch zu erheben. Der Auftragnehmer trägt dafür Sorge, dass er den Subunternehmer unter
besonderer Berücksichtigung der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen im
Sinne von Art. 32 DS-GVO sorgfältig auswählt.
7.2 Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen
der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln,
genehmigte Verhaltensregeln).
7.3 Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und
Auftragnehmer auch gegenüber Subunternehmern gelten.
7.4 Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format
erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).
Auftragsverarbeitungsvertrag V20180507 Seite 3 von 5
7.5 Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen
nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.
7.6 Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten
nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt
wurden.
7.7 Der Auftragnehmer informiert den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die
Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält,
gegen derartige Änderungen Einspruch zu erheben (Art. 28 Abs. 2 Satz 2 DS-GVO).
8 Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)
8.1 Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung
betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32
Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in
Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische
und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.
8.2 Das in Anlage 2 beschriebene Datenschutzkonzept (Technische und organisatorische Maßnahmen) stellt die
Auswahl der technischen und organisatorischen Maßnahmen dar. Diese passen zum ermittelten Risiko unter Berücksichtigung
der Schutzziele nach Stand der Technik und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und
Verarbeitungsprozesse beim Auftragnehmer. Unbeschadet bleibt die Verantwortung des Auftraggebers (vgl. Ziffer 8.6).
8.3 Soweit die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen,
benachrichtigt er den Auftraggeber unverzüglich.
8.4 Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen
Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.
8.5 Die technischen und organisatorischen Maßnahmen kann der Auftragnehmer nach eigenem pflichtgemäßen
Ermessen der technischen und organisatorischen Weiterentwicklung anpassen.
8.6 Der Auftraggeber ist als Verarbeiter von personenbezogenen Daten auf dem ihm überlassenen Speicherplatz in
erster Linie selbst verantwortlich, ob und wie er dort personenbezogene Daten verarbeitet. Entsprechend muss der
Auftraggeber selbst für „seine“ Datenverarbeitungsvorgänge technische und organisatorische Maßnahmen ergreifen,
etwa E-Mails verschlüsseln oder seine Webseiten mit SSL-Zertifikaten versehen, um die Schutzziele aus Art. 32 DS-GVO
zu erreichen.
9 Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO
9.1 Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinem Besitz sowie an Subunternehmen
gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit
dem Auftragsverhältnis stehen, datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen.
9.2 Unbeschadet von Ziffer 9.1 bleibt die Verpflichtung des Auftraggebers aus dem Hauptvertrag, den zum Gebrauch
überlassenen Speicherplatz mit Beendigung des Hauptvertrags im gelöschten Zustand an den Auftragnehmer zurückzugeben.
10 Vergütung
10.1 Spezielle Weisungen des Kunden im Hinblick auf die Verarbeitung personenbezogener Daten, die über die vertraglich
vereinbarten Leistungen und Tarif- bzw. Produktparameter hinausgehen und zu einem Mehraufwand für den
Auftraggeber führen, sind entsprechend gesondert zu vergüten. Die Vergütung der Auftragsverarbeitungsleistungen des
Auftragnehmers ist - nicht abschließend - in Anlage 1 geregelt.
10.2 Bei speziellen Weisungen, deren Umsetzung für den Auftragnehmer nicht oder nur mit unverhältnismäßig hohem
Mehraufwand möglich ist, kann der Auftragnehmer den Hauptvertrag und diesen Auftragsverarbeitungsvertrag zum
Ende eines laufenden Kalendermonats mit einer Frist von 20 Kalendertagen kündigen.
Auftragsverarbeitungsvertrag V20180507 Seite 4 von 5
11 Haftung
Auf Art. 82 DS-GVO wird verwiesen.
12 Sonstiges
12.1 Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen
(auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle
Kalenderjahre aufzubewahren.
12.2 Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.
12.3 Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer
durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren
oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu
verständigen.
12.4 Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im
Übrigen nicht.
12.5 Diese Vereinbarung unterliegt deutschem Recht.
12.6 Ab dem Zeitpunkt des Zustandekommens dieser Vereinbarung werden Verträge über die Auftrags(daten)vereinbarung,
die zwischen den Parteien bis zu diesem Zeitpunkt bestehen, durch diese Vereinbarung mit Wirkung für die
Zukunft ersetzt.
Anlagen:
Anlage 1 - Individuelle Vertragsbestandteile
Anlage 2 - Technische und organisatorische Maßnahmen Auftragsverarbeitung
Datum
- Auftraggeber -
ALL-INKL.COM - Neue Medien Münnich
Inhaber: René Münnich
Hauptstraße 68, 02742 Friedersdorf, Deutschland
- Auftragnehmer -
Auftragsverarbeitungsvertrag V20180507 Seite 5 von 5
25.05.2018
Christian Schaffernicht
Strasse der Einheit 2, 99830 Treffurt / Schnellmannshausen, Deutschland
Auftragsverarbeitungsvertrag - Anlage 1
Individuelle Vertragsbestandteile
zum Auftragsverarbeitungsvertrag
Teil A (Angaben zum Auftraggeber - Kunden)
1 Name, Vorname (ggf. Unternehmen) des
Auftraggebers (Kunden):
Kundennummer:
Auftragsverarbeitungsvertrag vom:
2 Vereinbarte Auftragsverarbeitungsleistungen nach
Weisung des Auftraggebers (Kunden):
Der Gegenstand einer Auftragsverarbeitung ergibt sich
aus den Tarifinhalten, die der Kunde im jeweiligen
Webhosting-Tarif (Hauptvertrag) gewählt hat und aus
den zugrunde liegenden Allgemeinen
Geschäftsbedingungen. Neben der regelmäßigen
Prüfung und Wartung der Speichermedien erfolgen
Zugriffe des Auftragnehmers auf (ggf.
personenbezogene) Daten des Kunden ggf. im Rahmen
von technischen Hilfestellungen (Supportleistungen),
die der Auftraggeber hinsichtlich der auf seine
Veranlassung auf den ihm überlassenen
Speicherplätzen erzeugten (personenbezogenen) Daten
durch Abruf/Weisung beim Auftragnehmer verlangt.
Dies betrifft insbesondere Weisungen zur Löschung
oder zur Sicherung von Daten.
Der Auftragnehmer bietet standardisierte Produkte des
Webhosting an und stellt dem Kunden die technische
Umgebung und Anbindung an das Internet zur
Verfügung. Der Kunde ist als Verarbeiter von
personenbezogenen Daten auf dem ihm überlassenen
Speicherplatz in erster Linie selbst verantwortlich, ob
und wie er dort personenbezogene Daten verarbeitet.
Entsprechend muss der Kunde selbst für „seine“
Datenverarbeitungsvorgänge technische und
organisatorische Maßnahmen ergreifen, etwa E-Mails
verschlüsseln oder seine Webseiten mit SSLZertifikaten
versehen, um die Schutzziele aus Art. 32
DS-GVO zu erreichen.
Der Kunde behält sich Weisungen im Einzelfall vor,
insbesondere im Fall der beim Auftragnehmer
angefragten Supportleistungen.
3 Die Art der Verarbeitung (entsprechend der
Definition von Art. 4 Nr. 2 DS-GVO) im Auftrag des
Auftraggebers (Kunden) ist:
Die Art der Verarbeitung der personenbezogenen
Daten wird durch den Kunden bestimmt. Art und
Umfang hängen von den durch den Kunden auf seinem
Speicherplatz durch ihn installierten Diensten und von
der hierzu durch ihn benutzten Software ab.
Die mit den Webhosting-Dienstleistungen verbundenen
Verarbeitungsarten betreffen regelmäßig die
Speicherung und die Löschung von Daten sowie die
Anbindung der Daten an das Internet.
Anlage 1 Auftragsverarbeitung V20180507 Seite 1 von 3
25.05.2018
266518
Christian Schaffernicht
4 Der Zweck der Verarbeitung, der durch den
Auftraggeber (Kunden) bestimmt wurde, ist:
Der Zweck der Verarbeitung von „seinen“, d.h. durch
den Kunden auf seinem Speicherplatz verarbeiteten
personenbezogenen Daten wird durch den Kunden
bestimmt. Je nach den von ihm auf seinen
Speicherplätzen installierten Diensten und der hierfür
zur Verfügung stehenden Software, wozu auch E-Mail-
Server-Funktionalitäten gehören, bestimmt der Kunde
diese Zwecke alleine.
Die mit den Webhosting-Dienstleistungen durch den
Kunden verbundenen Verarbeitungszwecke betreffen
regelmäßig die Veröffentlichung von Webseiten, die
Datenhaltung in Datenbanken und die Benutzung von
E-Mail-Funktionalitäten.
5 Die Art der personenbezogenen Daten
(entsprechend der Definition von Art. 4 Nr. 1, 13, 14
und 15 DS-GVO), die im Auftrag verarbeitet werden
sollen, sind:
Der Kunde bestimmt mit den von ihm verfolgten
Zwecken auch die Art der personenbezogenen Daten,
die aufgrund seiner Tätigkeit mit den ihm möglichen
Nutzungen auf seinem Speicherplatz verarbeitet
werden können.
Die mit den Webhosting-Dienstleistungen betroffenen
Datenarten betreffen regelmäßig Protokolldateien
(Server-Logfiles), Online-Kennungen, E-Mail-Adressen
sowie Bestands-, Nutzungs-, Rechnungs- und
Inhaltsdaten von Benutzern der kundeneigenen
Webseiten und Datenbanken.
6 Die Kategorien der von der Datenverarbeitung
betroffenen Personen (entsprechend der Definition
von Art. 4 Nr. 1 DS-GVO) sind:
Der Kunde bestimmt mit den von ihm verfolgten
Zwecken auch die Kategorien (Betroffenenkreise)
derjenigen natürlichen Personen, deren Daten durch
ihn verarbeitet werden.
Die mit den Webhosting-Dienstleistungen betroffenen
Personenkategorien sind regelmäßig Webseitennutzer,
Datenbankennutzer und E-Mail-Nutzer.
7 Die weisungsberechtigte Person auf Seiten des
Auftraggebers (Kunden) ist:
Der Kunde bzw. der gesetzliche Vertreter selbst oder
eine von ihm namhaft gemachte und autorisierte
Person.
Teil B (Angaben zum Auftragnehmer)
8 Auftragnehmer: ALL-INKL.COM - Neue Medien Münnich
Inhaber: René Münnich
Hauptstraße 68, 02742 Friedersdorf
Deutschland
9 Zurzeit tätige Subunternehmer des Auftragnehmers
in der Auftragsverarbeitung
(Vertragsbetreuung, Support und Rechenzentrum):
Neue Medien Münnich GmbH
v.d.d. Geschäftsführer René Münnich
Hauptstraße 68, 02742 Friedersdorf
Deutschland
YASDA Online GmbH
v.d.d. Geschäftsführer René Münnich
Hauptstraße 68, 02742 Friedersdorf
Deutschland
Anlage 1 Auftragsverarbeitung V20180507 Seite 2 von 3
10 Weisungsempfänger beim Auftragnehmer:
10.1 Vorname, Name: Jeweils nach Schichtplan zuständige
Mitarbeiterin/zuständiger Mitarbeiter im Kundensupport
bzw. in der technischen Abteilung.
10.2 Genaue postalische Adresse: ALL-INKL.COM - Neue Medien Münnich
Hauptstraße 68, 02742 Friedersdorf, Deutschland
10.3 Telefon (Support): +49 35872 353-10
10.4 Telefax (Support): +49 35872 353-30
10.5 E-Mail (Support): support@all-inkl.com
11 Kontaktdaten des Datenschutzbeauftragten des
Auftragnehmers:
ALL-INKL.COM - Neue Medien Münnich
- Der Datenschutzbeauftragte -
Hauptstraße 68, 02742 Friedersdorf
Deutschland
Teil C (Vergütung für Auftragsverarbeitungsleistungen)
12 Abschluss des Auftragsverarbeitungsvertrags: Kostenfrei, sofern das Vertragsmuster des
Auftragnehmers verwendet wird. Kostenpflichtig nach
Vereinbarung, sofern der Vertrag individuell verhandelt
werden soll.
Kostenfrei, sofern das Vertragsmuster des
Auftragnehmers und der online zur Verfügung gestellte
Vertragstext (PDF-Dokument) verwendet werden. Der
Auftragnehmer ist berechtigt, dem Auftraggeber eine
Aufwandspauschale in Höhe von 10,00 Euro (inkl. der
gesetzlichen Umsatzsteuer) zu berechnen, wenn der
Kunde ein im Original unterschriebenes
Vertragsdokument über den Postverkehr oder per
Telefax erhalten möchte. Soweit der Kunde den Text
des Auftragsverarbeitungsvertrags verhandeln möchte,
behält sich der Auftragnehmer die Vereinbarung einer
aufwandsbezogenen Vergütung vor.
13 Für Tätigkeiten nach Ziffer 2 (Ausführung spezieller
Weisungen):
Erfolgen Tätigkeiten der Verarbeitung des
Auftragnehmers im Datenbestand des Kunden durch
technische Zugriffe auf ausdrücklichen Wunsch und
nach Weisung des Kunden, so weist der Auftragnehmer
den Kunden auf eine eventuelle Kostenpflicht vor
Annahme und Durchführung des Auftrags hin und
vereinbart die Vergütung hierfür. Alle übrigen
Leistungen des Kunden-Support sind in der Vergütung
des Tarifs gemäß Hauptvertrag inbegriffen.
14 Für Tätigkeiten nach Ziffer 5.9 des
Auftragsverarbeitungsvertrags (Überprüfungen/
Inspektionen):
Für die Mitwirkung eines Beschäftigten bei
Überprüfungen/Inspektionen beim Auftragnehmer vor
Ort ist der Auftragnehmer berechtigt, dem Kunden eine
zeitaufwandsabhängige Vergütung nach einem
Stundensatz in Höhe von 220,00 Euro (inkl. der
gesetzlichen Umsatzsteuer) zu berechnen.
Anlage 1 Auftragsverarbeitung V20180507 Seite 3 von 3
Auftragsverarbeitungsvertrag - Anlage 2
Technische und organisatorische Maßnahmen
Auftragsverarbeitungsvertrag
Art. 32 Abs. 2 DS-GVO
0 Auftragsverarbeiter
0.1 Auftragsverarbeiter ist
ALL-INKL.COM - Neue Medien Münnich
Inhaber: René Münnich
Hauptstraße 68, 02742 Friedersdorf, Deutschland
0.2 Der Auftragsverarbeiter (Auftragnehmer des Auftragsverarbeitungsvertrags) hat unter Berücksichtigung des Stands
der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie
der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der
betroffenen Personen die für eine Auftragsverarbeitung erforderlichen technischen und organisatorischen Maßnahmen
getroffen, um bei der (Auftrags-)Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu
gewährleisten, insbesondere im Hinblick auf die (Auftrags-)Verarbeitung besonderer Kategorien personenbezogener
Daten.
0.3 Die nachstehenden entsprechend dem Katalog aus § 64 BDSG (2017) beschriebenen Maßnahmen beziehen sich auf
ergriffene Maßnahmen, die im Rahmen der Auftragsverarbeitung erforderlich sind. Aus Sicherheitsgründen erfolgt
nachstehend nur eine allgemeine Beschreibung.
0.4 Sämtliche getroffenen Maßnahmen bauen auf der Mitverantwortung des Kunden (Auftraggeber des Auftragsverarbeitungsvertrags)
auf, weil der Kunde im Rahmen der Webhosting-Dienstleistungen einen an das Internet angebundenen
Speicherplatz zur Ablage von Informationen/ personenbezogenen Daten für Zwecke deren Verarbeitung erhält, der
zunächst „leer“ ist. Die Zwecke des „ob“ und des „wie“ der Nutzung bestimmt ausschließlich der Kunde. Entsprechendes
gilt für den zur Verfügung gestellten E-Mail-Server und die sonstigen technischen Dienste. Demzufolge hat der Auftragsverarbeiter
zunächst originär keine vertragliche Befugnis, auf diese Daten des Kunden zuzugreifen, selbst wenn dies
technisch möglich ist. Die erforderliche Software zur Datenverarbeitung wird durch den Kunden auf dem ihm
zugewiesenen Speicherplatz hochgeladen bzw. dort aktiviert. Der Auftragsverarbeiter sorgt lediglich für die technische
Einsatzbereitschaft der IT-Systeme entsprechend den vertraglichen Vereinbarungen. Der Kunde ist folglich im Rahmen
der durch ihn durchgeführten Datenverarbeitungen der „Herr der Daten“.
0.5. Ausnahmsweise jedoch nimmt der Auftragsverarbeiter im Rahmen der getroffenen Vereinbarung zur Auftragsverarbeitung
Weisungen des Kunden entgegen und verarbeitet nur dann personenbezogene Daten des Kunden auf den
diesem zur Nutzung überlassenen IT-Systemen in dessen Auftrag und aufgrund dessen Weisung.
V e r t r a u l i c h k e i t
1 Zutrittskontrolle
Gewährleistungsziel: Verwehrung des Zutritts zu Verarbeitungsanlagen, mit denen die (Auftrags-) Verarbeitung
durchgeführt wird, für Unbefugte.
Getroffene Maßnahmen:
1.1 Das Rechenzentrum und das Servicezentrum befinden sich in Deutschland (Dresden und Friedersdorf). Das
Webhosting erfolgt ausschließlich auf Datenspeichern, die physikalisch in Deutschland gelegen sind.
1.2 Elektronische Zutrittskontrollsysteme und Personal überwachen und gewährleisten den autorisierten Zutritt zum
Rechenzentrum, in welchem die IT-Systeme für den Kunden vorgehalten werden, sowie zum Servicezentrum aus
welchem die IT-Systeme administriert werden.
1.3 Zutritte von Besuchern werden stets durch Beschäftigte des Auftragsverarbeiters begleitet. Das Rechenzentrum ist
24/7 durch Beschäftigte besetzt. Unbegleitete Zutritte sind nicht möglich.
Anlage 2 Auftragsverarbeitung V20180507 Seite 1 von 6
1.4 Es sind Videokameras zur Überwachung des Zutritts und Einbruchs- bzw. Kontaktmelder im Einsatz.
1.5 Zutrittsberechtigte Beschäftigte sind organisatorisch festgelegt, Magnetkarten bzw. Schlüssel werden nur
entsprechend einer Organisationsanweisung vergeben. Über den Zutritt von Besuchern des Rechenzentrums werden
Anwesenheitslisten geführt, Regelungen für Fremdpersonal und zur Begleitung von Gästen sind vorhanden.
2 Zugangskontrolle
Gewährleistungsziel: Verwehrung des Zugangs zu Datenverarbeitungssystemen, mit denen die (Auftrags-) Verarbeitung
durchgeführt wird, für Unbefugte.
Getroffene Maßnahmen:
2.1 Der Zugang zu Datenverarbeitungssystemen ist nur durch Authentifizierung möglich, wenigstens durch ein System
von Benutzername und Passwort.
2.2. Im Übrigen sind Zugänge durch ein Berechtigungskonzept (abgestufte Zugriffsberechtigungen) nur besonders autorisierten
Beschäftigten vorbehalten.
3 Datenträgerkontrolle
Gewährleistungsziel: Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern.
Getroffene Maßnahmen:
3.1 S.o. Ziffer 2.1 und 2.2.
3.2 Soweit auf Weisung des Kunden Daten im Auftrag verarbeitet und personenbezogene Daten auf Festplatten-
Speicherplätzen als Datenträger gespeichert sind, erfolgen Zugriffe des Auftragsverarbeiters durch ein System von
Befugnissen abgestufter Zugriffsberechtigungen durch die Beschäftigten in den Abteilungen Technik (Administration),
Support, Domainverwaltung und Kundenbuchhaltung. Berechtigungsbewilligung (organisatorisch) und Berechtigungsvergabe
(technisch) sind getrennt. Der Zugriff entsprechend Berechtigung wird auch bei Verfahren zur Wiederherstellung
von Daten aus Backups gewahrt. Test- und Produktionsumgebung sind getrennt.
3.3 Es ist Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des
Vertrages durch geeignete Techniken (Software) zu verschlüsseln.
4 Speicherkontrolle
Gewährleistungsziel: Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten
Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten.
Getroffene Maßnahmen:
4.1 Die Bereitstellung der dem Kunden zur Nutzung überlassenen IT-Systeme des Auftragsverarbeiters und die
Anbindungen des Kunden an das Internet erfolgt außerhalb eines Weisungsrechts des Kunden ausschließlich in Verantwortung
des Auftragsverarbeiters.
4.2 Der Zugang des Kunden auf die Datenspeicher des Auftragsverarbeiters, mit welchen die Webhosting-Dienstleistungen
erbracht werden, erfolgt ausschließlich von außerhalb der Betriebsgebäude über Datenleitungen bzw. das
Internet durch ein System der Anmeldung des Kunden mit einem ihm vergebenem Benutzernamen und einem Passwort.
4.3 Je nach den Nutzungshandlungen, die der Kunde auf dem ihm zur Nutzung überlassenen Datenspeichern vornimmt,
ist es alleine seine Verantwortung zu verhindern, dass eine unbefugten Eingabe von personenbezogenen Daten sowie
eine unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten erfolgt.
4.4. Soweit jedoch der Auftragsverarbeiter auf Weisung des Kunden tätig wird, personenbezogene Daten des Kunden
auf den ihm überlassenen Datenspeichern zu verarbeiten, hat nur ausgewähltes technisches Personal Zugangsrechte
auf die betroffenen IT-Systeme.
4.5. Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die
Dauer des Vertrages einer geeigneten Speicherkontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B.
Webagenturen, Administratoren) Zugang und Zugriff zu gewähren.
Anlage 2 Auftragsverarbeitung V20180507 Seite 2 von 6
5 Benutzerkontrolle
Gewährleistungsziel: Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur
Datenübertragung durch Unbefugte.
Getroffene Maßnahmen:
5.1 Soweit im Rahmen der Auftragsverarbeitung durch den Auftragsverarbeiter „Einrichtungen zur Datenübertragung“ in
den IT-Systemen des Auftragsverarbeiters genutzt werden, werden diese Einrichtungen durch ein dem Stand der
Technik entsprechendes Verschlüsselungsverfahren betrieben, wenn der Schutzbedarf eine Verschlüsselung erfordert.
5.2 Sämtliche Beschäftigte des Auftragsverarbeiters sind zum Personendatenschutz geschult und entsprechend zur
Vertraulichkeit verpflichtet.
5.3 Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer
des Vertrages einer geeigneten Benutzerkontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B.
Webagenturen, Administratoren) Zugang und Zugriff zu gewähren.
6 Übertragungskontrolle
Gewährleistungsziel: Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene
Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden
können.
Getroffene Maßnahmen:
6.1 Soweit der Auftragsverarbeiter Übermittlungen oder Zurverfügungstellungen auf Weisung des Kunden vornimmt,
werden die betroffenen Übermittlungsstellen dokumentiert.
6.2 Soweit erforderlich werden die Daten gegen Zugriffe auf Netzwerkebene geschützt und Schnittstellen gegen
unbefugten Datenexport gesichert.
6.3 Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die
Dauer des Vertrages einer geeigneten Übertragungskontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B.
Webagenturen, Administratoren) Zugang und Zugriff zu gewähren und durch eine Verschlüsselung, z.B. SSL/TSL, dafür
zu sorgen, dass die von ihm zu übertragenen Daten für Dritte nicht lesbar sind.
7 Zugriffskontrolle
Gewährleistungsziel: Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten
ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben.
Getroffene Maßnahmen:
Es ist Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages
einer geeigneten Zugriffskontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren)
Zugang und Zugriff zu gewähren.
8 Eingabekontrolle
Gewährleistungsziel: Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen
Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert
worden sind.
Getroffene Maßnahmen:
8.1 Es ist Sache des Kunden, ggf. personenbezogene Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für
die Dauer des Vertrages einzugeben und dazu, insbesondere nur geeignete Dritte einzusetzen (z.B. Webagenturen,
Administratoren). Die Beschäftigten des Auftragsverarbeiters dürfen grundsätzlich nicht auf diese Daten zugreifen bzw.
Daten eingeben, verändern oder löschen.
Anlage 2 Auftragsverarbeitung V20180507 Seite 3 von 6
8.2 Das Verarbeiten von personenbezogenen Daten erfolgt somit grundsätzlich durch den Kunden, so dass durch den
Auftragsverantwortlichen nicht nachträglich überprüft werden und festgestellt werden kann, welche personenbezogenen
Daten der Kunde zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder
verändert hat.
8.3 Nur im Rahmen seiner Tätigkeiten nach Weisung protokolliert der Auftragsverarbeiter diese Eingaben und Veränderungen
in angemessener Weise und dokumentiert die Uhrzeit und den Eingebenden.
8.4 Muss der Auftragsverarbeiter aus gesetzlichen Gründen Informationen entfernen oder den Zugang zu ihnen sperren
(etwa im Falle der Nutzung vom Kunden auf den IT-Systemen für Dritte bereit gehaltenen Telemediendiensten bzw.
elektronischen Kommunikationsdiensten), wird die Sperrung bzw. die Entfernung von Inhalten protokolliert. Die
Protokolldaten werden aufbewahrt und enthalten die Mitarbeiterkennung. Die Löschung erfolgt nach dem Vertragsende
automatisiert und wird protokolliert.
9 Transportkontrolle
Gewährleistungsziel: Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von
Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.
Getroffene Maßnahmen:
9.1 Die Gewährleistung der Vertraulichkeit der Übermittlung von personenbezogenen Daten wird durch SSL/TSLVerschlüsselungen
über die Webseiten des Auftragsverarbeiters gewährleistet. Soweit nach der Art des personenbezogenen
Datums eine Integritätswahrung erforderlich ist, setzt der Auftragsverarbeiter ein Prüfsummenverfahren ein.
9.2 Die Datenträgerentsorgung geschieht durch zertifizierte Entsorgungsdienstleister.
9.3 Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer
des Vertrages einer geeigneten Transportkontrolle zu unterziehen und geeignete Verschlüsselungstechniken
einzusetzen.
10 Pseudonymisierung
Getroffene Maßnahmen:
Es ist Sache des Kunden, personenbezogene Daten auf dem ihm überlassenen Speicherplatz selbst zu pseudonymisieren,
soweit dies gesetzlich erforderlich ist.
11 Klassifikationsschema für Daten
Getroffene Maßnahmen:
Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim, vertraulich, intern, öffentlich, normaler Schutzbedarf,
durchschnittlicher Schutzbedarf, hoher Schutzbedarf, sensibles Datum).
I n t e g r i t ä t
12 Datenintegrität
Gewährleistungsziel: Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des
Systems beschädigt werden können.
Getroffene Maßnahmen:
12.1 Es erfolgt die Anfertigung von Sicherheitskopien von Daten, Prozesszuständen, Konfigurationen, Datenstrukturen
und Transaktionshistorien sowie die Dokumentation der Syntax von Daten.
12.2 Es bestehen Reparaturstrategien und Ausweichprozesse.
12.3 Schreib- und Änderungsrechte sind eingeschränkt.
Anlage 2 Auftragsverarbeitung V20180507 Seite 4 von 6
12.4 Erforderlichenfalls erfolgt der Einsatz von Prüfsummen, elektronischen Siegeln und Signaturen in Datenverarbeitungsprozessen
gemäß eines Kryptografiekonzepts.
12.5 Es erfolgt ein Monitoring des Sollverhaltens von Prozessen. Es werden regelmäßig Tests zur Feststellung und
Dokumentation der Funktionalität, von Risiken sowie Sicherheitslücken und Nebenwirkungen von Prozessen
durchgeführt.
12.6 Das Sollverhalten von Abläufen bzw. Prozessen wird festgelegt. Es erfolgt eine regelmäßige Durchführung von
Tests zur Feststellbarkeit bzw. Feststellung der Ist-Zustände von Prozessen.
12.7 Über die Maßnahmen Ziffer 12.1 bis 12.6 hinaus, die der Auftragsverarbeiter für seine Daten und Systeme ergreift,
ist es Sache des Kunden, für die Datenintegrität des Datenbestandes auf dem ihm überlassenen Speicherplatz selbst
Sorge zu tragen.
V e r f ü g b a r k e i t u n d B e l a s t b a r k e i t
13 Verfügbarkeitskontrolle
Gewährleistungsziel: Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind.
Getroffene Maßnahmen:
13.1 Die Stromversorgung der Rechenzentren erfolgt über eigene Trafostationen. Die Stromversorgung und Netzersatzanlagen
garantieren höchste Ausfallsicherheit.
13.2 Die unmittelbare Stromversorgung der Server ist typenabhängig, so dass bei der Verwendung entsprechender
Typen zusätzlich eine redundante Stromversorgung über ein redundantes Netzteil (2 Netzteile) gewährleistet ist.
13.3 Der gesamte Energieverbrauch der Rechenzentren wird über unterbrechungsfreie Stromversorgungen (USV) sichergestellt.
Im Falle eines Stromausfalls garantieren die USV-Anlagen eine unterbrechungsfreie Umschaltung auf eines der
Notstrom-Dieselaggregate. Daneben filtern die USV-Anlagen vollständig alle Unregelmäßigkeiten oder Störungen des
Stromversorgungsnetzes.
13.4 Leistungsstarke Netzersatzanlagen (Dieselaggregate) versorgen bei Stromausfall die Rechenzentren und die
Kühlsysteme mit konstanter Energie.
13.5 Es erfolgt eine gerätegestützte Überwachung der Temperatur und der Feuchtigkeit im Rechenzentrum.
13.6 Es ist ein flächendeckendes Brand- und Frühwarnsystem im Einsatz.
14 Wiederherstellbarkeit
Gewährleistungsziel: Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.
Getroffene Maßnahmen:
Die eingesetzten Systeme sind technisch redundant vorhanden. Der Datenbestand unterliegt einer regelmäßigen
Sicherung. Es ist Sache des Kunden, seinen Datenbestand auf dem ihm überlassenen Speicherplatz selbst durch
geeignete Sicherungsmaßnahmen vor Datenverlust zu schützen.
15 Trennbarkeit
Gewährleistungsziel: Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt
verarbeitet werden können.
Getroffene Maßnahmen:
15.1 Es erfolgt eine getrennte Verarbeitung und/oder Lagerung von Daten mit unterschiedlichen Verarbeitungszwecken.
15.2 Es ist ein System von Befugnissen abgestufter Zugriffsberechtigungen durch die Beschäftigten in den Abteilungen
Technik (Administration), Support, Domainverwaltung und Kundenbuchhaltung errichtet.
Anlage 2 Auftragsverarbeitung V20180507 Seite 5 von 6
15.3 Es ist Sache des Auftraggebers, für die Trennung von personenbezogenen Daten auf dem ihm überlassenen
Speicherplatz, selbst Sorge zu tragen.
16 Zuverlässigkeit
Gewährleistungsziel: Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende
Fehlfunktionen gemeldet werden.
Getroffene Maßnahmen:
Die Verfügbarkeit der IT-technischen Systeme unterliegt einem 24/7 Monitoring.
A u f t r a g s v e r a r b e i t u n g
17 Auftragskontrolle
Gewährleistungsziel: Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur
entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Getroffene Maßnahmen:
17.1 Es erfolgt eine Kennzeichnung des Auftragsverarbeitungs-Status gegenüber dem Status der weisungsfreien
Datenverarbeitung mit hinterlegtem Auftragsverarbeitungsvertrag und den dazugehörigen Anlagen in der Kundenmaske.
Beschäftigte - insbesondere im Rahmen des Telefon-Support - haben somit ständig Kenntnis über das
Vorliegen/Nichtvorliegen eines Auftragsverarbeitungsvertrags.
17.2 Es erfolgt eine Verarbeitung im Auftrag mit standardisierten Vertragsformularen des Auftragsverarbeiters, um eine
gleichbleibende Qualität der Auftragsverarbeitung zu gewährleisten. Davon ggf. abweichende Formulare des Auftraggebers
werden ggü. den betroffenen Beschäftigten des Auftragsverarbeiters besonders gekennzeichnet, um
Abweichungen in den Standards der Arbeitsabläufe zu erfassen.
V e r f a h r e n z u r r e g e l m ä ß i g e n
Üb e r p r ü f u n g, B e w e r t u n g u n d E v a l u i e r u n g
18 Prüfung, Bewertung Evaluierung
Gewährleistungsziel: Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der
technischen und organisatorischen Maßnahmen zur Gewährleistung der datenschutzkonformen Verarbeitung.
Getroffene Maßnahmen:
18.1 Datenschutz-Management
18.2 Regelmäßige Schulung der Beschäftigten.
18.3 Der Auftragsverarbeiter setzt einen Kernbestand an langjährig und dauerhaft beschäftigtem Technikerpersonal mit
DV-technischer Erfahrung und Expertise ein.
- - -
Anlage 2 Auftragsverarbeitung V20180507 Seite 6 von 6