Datenschutzerklärungfür Websitebetreiber nach den Vorgaben der Datenschutzgrundverordnung (DSGVO)
I.Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie
sonstiger datenschutzrechtlicher Bestimmungen ist die:
Dr. Martin Heyse
Peter-Paul-Weg 10
88410 Bad Wurzach
Deutschland
Telefon: 07527 954890
rad@dr-heyse.de
www.radverein-eintuernen.de
II.Allgemeines zur Datenverarbeitung
1.Umfang der Verarbeitung personenbezogener Daten
Wir erheben und verwenden personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen
Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Erhebung und Verwendung personenbezogener Daten unserer Nutzer erfolgt
regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.
2.Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-
Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.
Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.
3.Datenlöschung und Speicherdauer
Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.
III.Bereitstellung der Website und Erstellung von Logfiles Datenschutzerklärung des Providers:
Vereinbarung zur Auftragsverarbeitung
Nach Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO).
Version 3.0
zwischen
Reinhold Kathan
Arnacher Str. 23
88410 Bad Wurzach
als Auftraggeber
- nachfolgend Auftraggeber -
und
STRATO AG
Pascalstraße 10
10587 Berlin
als Auftragnehmer
- nachfolgend Auftragnehmer -
1. Gegenstand und Dauer der Verarbeitung
1.1. Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gemäß Auftrag, Leistungsbeschreibung und AGB (nachfolgendHauptvertrag), soweit eine Verarbeitung von personen-
bezogenen Daten durch den Auftragnehmer als Auftragsverarbeiter für den Auftraggeber gemäß Art. 28 DSGVOerfolgt. Dies umfasst alle
Tätigkeiten, die der Auftragnehmer zur Erfüllung des Auftrags
erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Auftrag nichtausdrücklich auf
diese Vereinbarung zur Auftragsverarbeitung verweist.
1.2. Die Dauer der Verarbeitung entspricht der im Auftrag vereinbarten Laufzeit.
2. Art und Zweck der Verarbeitung
2.1. Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO
zur Erfüllung des Auftrags.
2.2. Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung
im Bereich Cloud-Dienstleistungen, Hosting, Software as a Service (SaaS) und IT-Support
erforderlichen Zwecke.
3. Art der personenbezogenen Daten und Kategorien von Betroffenen
3.1. Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Produktwahl, die
Konfiguration, die Nutzung der Dienste und die Ãœbermittlung von Daten.
3.2. Die Kategorien von Betroffenen bestimmt der Auftraggeber durch die Produktwahl,
dieKonfiguration, die Nutzung der Dienste und die Übermittlung von Daten.
4. Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen
4.1. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichenBestimmungen der
Datenschutzgesetze, insbesondere für die Rechtmäßigkeit derDatenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der
Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7
DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke undMittel
der Verarbeitung.
4.2. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können
vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format(Textform) durch einzelne
Weisungen geändert werden (Einzelweisung). MündlicheWeisungen sind unverzüglich schriftlich oder in Textform zu
bestätigen. Weisungen, dieim Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung
behandelt. BeiÄnderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welcheAuswirkungen
sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der
Leistungserbringung, Termine und Vergütung ergeben. Ist dem Auftragnehmer dieUmsetzung der Weisung
nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden. Eine Unzumutbarkeit liegt
insbesondere vor, wenn die Leistungenin einer Infrastruktur erbracht werden, die von mehreren Auftraggebern / Kunden des
Auftragnehmers genutzt wird (Shared Services), und eine Änderung der Verarbeitung für einzelne
Auftraggeber nicht möglich oder nicht zumutbar ist.
4.3. Die vertraglich vereinbarte Datenverarbeitung findet ausschließlich in einem
Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat desAbkommens
über den Europäischen Wirtschaftsraum statt, soweit nicht etwas anderesvereinbart ist,
z.B. über die Produktbeschreibung der beauftragten Leistung .
4.4. Ist Vertragsbestandteil die Registrierung von Domains bei Registrierungsstellen,
die ihren Sitz in einem Drittland haben (außerhalb der Europäischen Union und des
Europäischen Wirtschaftsraums), ist auch vereinbart, dass der Auftragnehmer
personenbezogene Daten -unter Beachtung der zwingend anwendbaren Vorschriften -
an diese Registrierungsstellenübermittelt.
4.5. Die Parteien vereinbaren außerdem, dass der Auftragnehmer berechtigt ist,
personenbezogene Daten - unter Beachtung der zwingend anwendbaren Vorschriften zur
Leistungserbringungin einem Drittland zu übermitteln.
Dies ist insbesondere der Fall,wenn Auftragsgegenstand der Dienst eines Drittanbieters ist,
der diesen Dienst ganz oderteilweise in einem Drittland erbringt.
5. Rechte des Auftraggebers, Pflichten des Auftragnehmers
5.1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages
und der dokumentierten Weisungen des Auftraggebers verarbeiten außer es liegt ein
Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor (Verpflichtung nach dem Recht
der Europäischen Union oder eines Mitgliedstaates). Der Auftragnehmer informiert den
Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen
anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisungsolange
aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
5.2. Der Auftragnehmer unterstützt angesichts der Art der Verarbeitung nach Möglichkeit
den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der
Erfüllung der Ansprüche der betroffenen Personen nach Kapitel III der DSGVO. Der
Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung vom
Auftraggeber zu verlangen.
5.3. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der
Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der
in den Artikeln 32 bis 36 DSGVO genannten Pflichten.
Der Auftragnehmer ist berechtigt,
für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen.
5.4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des
Auftraggebers befassten Mitarbeiter und anderen für den Auftragnehmer tätigen Personen
untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der
Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten
Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen
Verschwiegenheitspflicht unterliegen. Gleiches gilt für das Fernmeldegeheimnis nach §88
TKG und - in Kenntnis der Strafbarkeit - für die Wahrung von Geheimnissen der
Berufsgeheimnisträger nach § 203 StGB. Die Vertraulichkeits-/ Verschwiegenheitspflicht
besteht auch nach Beendigung des Auftrages fort.
5.5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm
Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werdenDer Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur
Minderung möglicher nachteiliger Folgen für die betroffenen Personen.
5.6. Der Auftragnehmer gewährleistet die schriftliche Bestellung eines
Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt.Eine
Kontaktmöglichkeit wird auf der Webseite des Auftragnehmers veröffentlicht.
5.7. Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer
nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem
Kunden zurück, sofern nicht nach dem Unionsrecht oder nach dem anwendbaren Recht
eines Mitgliedstaates eine Verpflichtung zur Speicherung der personenbezogenen
Daten besteht oder sich aus jeweiligen vertraglichen Vereinbarungen etwas anderes ergibt.
Machtder Auftraggeber von diesem Wahlrecht keinen Gebrauch, gilt die Löschung als
vereinbart.Wählt der Auftraggeber die Rückgabe, kann der Auftragnehmer eine angemessene
Vergütung verlangen.
5.8. Machen betroffene Person Schadensersatzansprüche nach Art. 82 DSGVO geltend,
unterstützt der Auftragnehmer den Auftraggeber bei der Abwehr der Ansprüche imRahmen seiner
Möglichkeiten. Der Auftragnehmer kann hierfür eine angemesseneVergütung verlangen.
6. Pflichten des Auftraggebers
6.1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu
informieren, wenn er bei der Durchführung des Auftrags Fehler oder
Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
6.2. Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen
personenbezogenen Daten vor Vertragsbeendigung zu löschen, die er in den Diensten
gespeichert hat.
6.3. Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner
in Datenschutzangelegenheiten.
7. Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO
7.1. Der Auftragnehmer ergreift in seinem Verantwortungsbereich geeignete technische
undorganisatorische Maßnahmen, um sicher zu stellen, dass die Verarbeitung gemäß den
Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der
betroffenen Person gewährleistet. Der Auftragnehmer ergreift in seinem
Verantwortungsbereich gemäß Art. 32 DSGVO geeignete technische und
organisatorische Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und
Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer
sicherzustellen.
7.2. Die aktuellen technischen und organisatorischen Maßnahmen sind im Anhang 2
aufgeführt.
7.3. Der Auftragnehmer betreibt ein Verfahren zur regelmäßigen Überprüfung der
Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der
Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 lit. d) DSGVO.
7.4. Der Auftragnehmer passt die getroffenen Maßnahmen im Laufe der Zeit an die
Entwicklungen beim Stand der Technik und die Risikolage an. Eine Änderung der
getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer
vorbehalten, sofern das Schutzniveau nach Art 32 DSGVO nicht unterschritten wird.
8. Nachweis und Überprüfung
8.1. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum
Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügungund ermöglicht Überprüfungen - einschließlich Inspektionen -, die vom Auftraggeber
oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und trägtdazu
bei. Der Auftragnehmer ist berechtigt, eine Verschwiegenheitserklärung vom Auftraggeber und von dessen beauftragten Prüfer zu verlangen. Der Auftragnehmer stimmtder Benennung eines unabhängigen externen Prüfers durch den
Auftraggeber zu, sofernder Auftraggeber dem Auftragnehmer eine Kopie des Auditberichts
zur Verfügung stellt.Wettbewerber des Auftraggebers oder Personen, die für Wettbewerber des Auftraggebers
tätig sind, kann der Auftragnehmer als Prüfer ablehnen.
8.2. Als Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten reicht dem
Auftraggeber die vorliegende Zertifizierung nach ISO 27001 aus. Das jeweils aktuelle
Zertifikat stellt der Auftragnehmer auf seiner Webseite zur Verfügung.
8.3. Das Inspektionsrecht des Auftraggebers hat das Ziel, die Einhaltung der einem
Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO und dieses Vertrages zu
überprüfen. Der Nachweis der Einhaltung dieser Pflichten wird durch die Zertifizierung
nach vorstehendem Absatz erbracht. Sofern der Auftraggeber auf Basis tatsächlicher
Anhaltspunkte berechtigte Zweifel daran geltend macht,
dass diese Zertifizierungen
zureichend oder zutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1DSGVO im Zusammenhang mit der Durchführung der
Auftragsverarbeitung für den
Auftraggeber dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen. Diese könnenzu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung
unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt werden.
8.4. Für Informationen und Unterstützungshandlungen kann der Auftragnehmer eine
angemessene Vergütung verlangen. Der Aufwand für den Auftragnehmer durch eine
Inspektion ist grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
8.5. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige staatliche oder kirchliche
Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gelten die vorstehendenRegeln entsprechend. Eine Unterzeichnung einer
Verschwiegenheitsverpflichtung ist nicht
erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichenVerschwiegenheit unterliegt, bei der ein Verstoß nach dem
Strafgesetzbuch strafbewehrt
ist.
9. Subunternehmer (weitere Auftragsverarbeiter)
9.1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere
Auftragsverarbeiter im Sinne des Art. 28 DSGVO zur Vertragserfüllung einzusetzen.
9.2. Die aktuell eingesetzten weiteren Auftragsverarbeiter sind im Anhang 1 aufgeführt.
Der Auftraggeber erklärt sich mit deren Einsatz einverstanden.
9.3. Der Auftragnehmer informiert den Auftraggeber, wenn er eine Änderung in Bezug auf
die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt. Der
Auftraggeber kann gegen derartige Änderungen Einspruch erheben.
9.4. Der Einspruch gegen die beabsichtigte Änderung kann nur aus einem wichtigen
datenschutzrechtlichen Grund innerhalb einer angemessenen Frist nach Zugang derInformation über die Änderung gegenüber dem Auftrag-nehmer erhoben werden. Im Falldes Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die
beabsichtigte Änderung erbringen oder - sofern die Erbringung der Leistung ohne diebeabsichtigte Änderung für den Auftragnehmer nicht
zumutbar ist - die von derÄnderung betroffene Leistung gegenüber dem Auftraggeber innerhalb einer angemessenen
Frist nach Zugang des Einspruchs einstellen.
9.5. Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter, so obliegt es dem
Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren
Auftragsverarbeiter zu übertragen.
9.6. Als weitere Auftragsverarbeiter im Sinne dieser Regelung sind nur solche
Subunternehmer zu verstehen, die Dienstleistungen erbringen, die sich unmittelbar auf dieErbringung der Hauptleistung beziehen. Nicht hierzu
gehören solche Nebenleistungen, die
sich auf Telekommunikationsleistungen, Druck-/Post-/Transportdienstleistungen, Wartungund Pflege, Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige
Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität undBelastbarkeit der personenbezogenen Daten, Netze, Dienste,
Datenverarbeitungsanlagen und sonstiger IT-Systeme, beziehen. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit in Bezug auf die
Daten des
Auftraggebers auch bei solchen Nebenleistungen angemessene und gesetzeskonforme
vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
10. Haftung und Schadensersatz
10.1. Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene
Person nach Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützenund zur Aufklärung des zugrundeliegenden
Sachverhalts beizutragen.
10.2. Die zwischen den Parteien im Hauptvertrag zur Leistungserbringung vereinbarte
Haftungsregelung gilt auch für Ansprüche aus dieser Vereinbarung zur
Auftragsverarbeitung und im Innenverhältnis zwischen den Parteien für Ansprüche
Dritter nach Art 82 DSGVO, außer soweit ausdrücklich etwas anderes vereinbart ist.
11. Vertragslaufzeit, Sonstiges
11.1. Die Vereinbarung beginnt mit dem Abschluss durch den Kunden. Sie endet mit Ende
des letzten Vertrages unter dem o.g. Auftraggeber. Sollte eine Auftragsverarbeitung nochnach Beendigung dieses Vertrages stattfinden, gelten die Regelungen dieser
Vereinbarungen bis zum tatsächlichen Ende der Verarbeitung.
11.2. STRATO kann die Vereinbarung nach billigem Ermessen mit angemessener
Ankündigungsfrist ändern. Es gilt Ziffer 1.4 AGB.
11.3. Ergänzend gelten die AGB des Auftragnehmers, abrufbar unter
https://www.strato.de/agb/. Bei etwaigen Widersprüchen gehen Regelungen dieser
Vereinbarung zur Auftragsverarbeitung den Regelungen des Hauptvertrags vor.
Sollten einzelne teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit
der Vereinbarungen im Übrigen nicht.
11.4. Ausschließlicher Gerichtsstand für alle Streitigkeitenaus und im Zusammenhang
mit diesem Vertrag ist Berlin. Dieser gilt vorbehaltlich eines etwaigen ausschließlich
gesetzlichen Gerichtsstandes.Dieser Vertrag unterliegt den gesetzlichen Bestimmungen
der Bundesrepublik Deutschland.
11.5. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder
Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige
Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer
den Auftraggeber unverzüglich darüber zu informieren, dass
die Hoheit und das Eigentum an den Daten ausschließlich beim
Auftraggeber als 'Verantwortlicher' im Sinne der DSGVO liegen.
Anhang 1 zur Vereinbarung zur Auftragsverarbeitung - Genehmigte
Subunternehmer / weitere Auftragsverarbeiter
Stand 2018.03.21
Subunternehmer, Land, Adresse , Kurzbeschreibung der
Leistung
Content ManagementAG,Deutschland,Im Medienpark 6,
50670 Köln,
Entwicklung, Wartung und
Pflege des Hompagebaukastens
ePages GmbH, Deutschland, Pilatuspool 2, 20355
Hamburg,
Entwicklung, Wartung und
Pflege der Webshops
Open-Xchange GmbH, Deutschland, Martinstraße 41,
57462 Olpe,
Entwicklung, Wartung und
Pflege des Communicators
1&1 Internet SE, Deutschland, Elgendorfer Straße 7
56410 Montabaur,
Entwicklung und Betrieb der
STRATO Online Buchhaltung
Seven IT GmbH, Deutschland,Hauptstr. 40,
77652 Offenburg,
Betrieb und Support der
STRATO Online Buchhaltung
Anhang 2 zur Vereinbarung zur Auftragsverarbeitung - Technische und
Organisatorische Sicherheitsmaßnahmen gemäß Art 32 DSGVO
Version 1.0
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
Unbefugten ist der Zutritt zu Räumen zu verwehren, in denen Datenverarbeitungsanlagen
untergebracht sind.
Festlegung von Sicherheitsbereichen
• Realisierung eines wirksamen Zutrittsschutzes
• Protokollierung des Zutritts
• Festlegung Zutrittsberechtigter Personen
• Verwaltung von personengebundenen Zutrittsberechtigungen
• Begleitung von Fremdpersonal
• Überwachung der Räume
1.2 Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden.
• Festlegung des Schutzbedarfs
• Zugangsschutz
• Umsetzung sicherer Zugangsverfahren, starke Authentisierung
• Umsetzung einfacher Authentisierung per Username Passwort
• Protokollierung des Zugangs
• Monitoring bei kritischen IT-Systemen
• Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen• Sperrung bei
Fehlversuchen/Inaktivität und Prozess zur
Rücksetzung gesperrterZugangskennuungen• Verbot Speicherfunktion für Passwörter
und/oder Formulareingaben (Server/Clients)
• Festlegung befugter Personen
• Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien und
Zugangsberechtigungen
• Automatische Zugangssperre und Manuelle Zugangssperre
1.3 Zugriffskontrolle
Es kann nur auf die Daten zugegriffen, für die eine Zugriffsberechtigung besteht. Daten
können bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen,
kopiert, verändert oder entfernt werden.
• Erstellen eines Berechtigungskonzepts
• Umsetzung von Zugriffsbeschränkungen
• Vergabe minimaler Berechtigungen
• Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen
• Vermeidung der Konzentration von Funktionen
1.4 Verwendungszweckkontrolle
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt
verarbeitet werden können.
• Datensparsamkeit im Umgang mit personenbezogenen Daten
• Getrennte Verarbeitung verschiedener Datensätze
• Regelmäßige Verwendungszweckkontrolle und Löschung
• Trennung von Test- und Entwicklungsumgebung
1.5 datenschutzfreundliche Voreinstellungen
• Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich sind, werden die
technischen Voreinstellungen so festgelegt, dass Daten nur durch eine Aktion der betroffenen
Person erhoben, verarbeitet, weitergegeben oder veröffentlicht werden.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
Ziel der Weitergabekontrolle ist es, zu gewährleisten, dass personenbezogene Daten bei
derelektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf
Datenüberträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können,
und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung
personen-bezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
• Festlegung empfangs- /weitergabeberechtigter Instanzen/Personen
• Prüfung der Rechtmäßigkeit der Übermittlung ins Ausland
• Protokollierung von Übermittlungen gemäß Protokollierungskonzept
• Sichere Datenübertragung zwischen Server und Client
• Sicherung der Übertragung im Backend
• Sichere Übertragung zu externen Systemen
• Risikominimierung durch Netzseparierung
• Implementation von Sicherheitsgateways an den Netzübergabepunkten
• Härtung der Backendsysteme
• Beschreibung der Schnittstellen
• Umsetzung einer Maschine-Maschine-Authentisierung
• Sichere Ablage von Daten, inkl. Backups
• Gesicherte Speicherung auf mobilen Datenträgern
• Einführung eines Prozesses zur Datenträgerverwaltungen
• Prozess zur Sammlung und Entsorgung
• Datenschutzgerechter Lösch- und Zerstörungsverfahren
• Führung von Löschprotokollen
2.2 Eingabekontrolle
Zweck der Eingabekontrolle ist es, zu gewährleisten, dass nachträglich überprüft und
festgestellt werden kann, ob und von wem personenbezogene Daten in
Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
• Protokollierung der Eingaben
• Dokumentation der Eingabeberechtigungen
3. Verfügbarkeit, Belastbarkeit, Desaster Recovery
3.1 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
• Brandschutz
• Redundanz der Primärtechnik
• Redundanz der Stromversorgung
• Redundanz der Kommunikationsverbindungen
• Monitoring
• Resourcenplanung und Bereitstellung
• Abwehr von systembelastendem Missbrauch
• Datensicherungskonzepte und Umsetzung
• Regelmäßige Prüfung der Notfalleinrichtungen
3.2 Desaster Recovery - Rasche Wiederherstellung nach Zwischenfall (Art.32 Abs. 1 lit.
c DSGVO)
• Notfallplan
• Datensicherungskonzepte und Umsetzung
4. Datenschutzorganisation
• Festlegung von Verantwortlichkeiten
• Umsetzung und Kontrolle geeigneter Prozesse
• Melde- und Freigabeprozess
• Umsetzung von Schulungsmaßnahmen
• Verpflichtung auf Vertraulichkeit
• Regelungen zur internen Aufgabenverteilung
• Beachtung von Funktionstrennung und -zuordnung
• Einführung einer geeigneten Vertreterregelung
5. Auftragskontrolle
Ziel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im
Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers
verarbeitet werden können.
• Auswahl weiterer Auftragnehmer nach geeigneten Garantien
• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern
• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit STRATO
6. Verfahren zur regelmäßgen Überprüfung, Bewertung und Evaluierung (Art.
32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
• Informationssicherheitsmanagement nach ISO 27001
• Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen
• Prozess Sicherheitsvorfall-Management
• Durchführung von technischen Überprüfungen
IV.Kontaktformular und E-Mail-Kontakt
1.Beschreibung und Umfang der Datenverarbeitung
Auf unserer Internetseite ist die Möglichkeit der Kontaktaufnahme über die bereitgestellte
E-Mail-Adresse möglich. In diesem Fall werden die mit der E-Mail übermittelten personen-
bezogenen Daten des Nutzers gespeichert.
Es erfolgt in diesem Zusammenhang keine Weitergabe der Daten an Dritte. Die Daten
werden ausschließlich für die Verarbeitung der Konversation verwendet.
2.Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung des
Nutzers Art. 6 Abs. 1 lit. a DSGVO.
Rechtsgrundlage für die Verarbeitung der Daten, die im Zuge einer Übersendung einer
E-Mail übermittelt werden, ist Art. 6 Abs. 1 lit. f DSGVO. Zielt der E-Mail-Kontakt auf den
Abschluss eines Vertrages ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung
Art. 6 Abs. 1 lit. b DSGVO.
3.Zweck der Datenverarbeitung
Die Verarbeitung der personenbezogenen Daten aus der Eingabemaske dient uns allein
zur Bearbeitung der Kontaktaufnahme. Im Falle einer Kontaktaufnahme per E-Mail liegt
hieran auch das erforderliche berechtigte Interesse an der Verarbeitung der Daten.
Die sonstigen während des Absendevorgangs verarbeiteten personenbezogenen Daten
dienen dazu, einen Missbrauch des Kontaktformulars zu verhindern und die Sicherheit
unserer informationstechnischen Systeme sicherzustellen.
4.Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung
nicht mehr erforderlich sind. Für die personenbezogenen Daten aus der Eingabemaske des
Kontaktformulars und diejenigen, die per E-Mail übersandt wurden, ist dies dann der Fall,
wenn die jeweilige Konversation mit dem Nutzer beendet ist. Beendet ist die Konversation
dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt
abschließend geklärt ist.
Die während des Absendevorgangs zusätzlich erhobenen personenbezogenen Daten
werden spätestens nach einer Frist von sieben Tagen gelöscht.
5.Widerspruchs- und Beseitigungsmöglichkeit
Der Nutzer hat jederzeit die Möglichkeit, seine Einwilligung zur Verarbeitung der
personenbezogenen Daten zu widerrufen. Nimmt der Nutzer per E-Mail Kontakt mit uns
auf, so kann er der Speicherung seiner personenbezogenen Daten jederzeit widersprechen.
In einem solchen Fall kann die Konversation nicht fortgeführt werden.
Widerruf bzw. Widerspruch gegen die Speicherung der Daten müssen in Schriftform
geschehen
Alle personenbezogenen Daten, die im Zuge der Kontaktaufnahme gespeichert wurden,
werden in diesem Fall gelöscht.
V.Rechte der betroffenen Person
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener i. S. d.
DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu:
1.Auskunftsrecht
Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob
personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.
Liegt eine solche Verarbeitung vor, können Sie über folgende Informationen Auskunft
verlangen:
(1)die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
(2)die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
(3)die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie
betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden:
(4)die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen
Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung
der Speicherdauer;
(5)das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden
personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den
Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
(6)das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
(7)alle verfügbaren Informationen über die Herkunft der Daten, wenn die
personenbezogenen Daten nicht bei der betroffenen Person erhoben werden.
Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden
personenbezogenen Daten in ein Drittland oder an eine internationale Organisation
übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten
Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu
werden.
2.Recht auf Berichtigung
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem
Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen,
unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich
vorzunehmen.
3.Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung
der Sie betreffenden personenbezogenen Daten verlangen:
(1)wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer
bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen
Daten zu überprüfen;
(2)die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen
Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen
Daten verlangen;
(3)der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung
nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung
von Rechtsansprüchen benötigen, oder
(4)wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO
eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen
gegenüber Ihren Gründen überwiegen.
Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt,
dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder
zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum
Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen
eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet
werden.
Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt,
werden Sie von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben
wird.
4.Recht auf Löschung a)Löschungspflicht
Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden
personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist
verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe
zutrifft:
(1)Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie
erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
(2)Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit.
a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen
Rechtsgrundlage für die Verarbeitung.
(3)Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und
es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen
gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
(4)Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
(5)Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung
einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten
erforderlich, dem der Verantwortliche unterliegt.
(6)Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf
angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
b)Information an Dritte
Hat der Verantwortliche die Sie betreffenden personenbezogenen Daten öffentlich gemacht
und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter
Berücksichtigung der verfügbaren Technologie und der Implementierungskosten
angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung
Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren,
dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen
personenbezogenen Daten oder von Kopien oder Replikationen dieser personen-
bezogenen Daten verlangt haben.
c)Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
(1)zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
(2)zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht
der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur
Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung
öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
(3)aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
(4)für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder
historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO,
soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der
Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
(5)zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
5.Recht auf Unterrichtung
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen
Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden,
diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung
mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem
unverhältnismäßigen Aufwand verbunden.
Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger
unterrichtet zu werden.
6.Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem
Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und
maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht, diese Daten
einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die
personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
(1)die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder
Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht
und
(2)die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie
betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen
Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und
Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener
Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen
Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen
übertragen wurde.
7.Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben,
jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die
aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt
auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht
mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung
nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung
dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu
betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie
betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen;
dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie
betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der
Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht
mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen
verwendet werden.
8.Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu
widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund
der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
9.Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen
Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde,
insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des
Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung
der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den
Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich
der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.