Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO

Vereinbarung

zwischen

Ihnen als Kunde bei DatenBuddy.de
(soweit gewünscht bitte Anschrift eintragen)

Verantwortlicher (nachstehend Auftraggeber genannt)

und

u-create.it UG (haftungsbeschränkt)
Zwötzener Straße 91
07551 Gera
Deutschland

Auftragsverarbeiter (nachstehend Auftragnehmer genannt)

§ 1 Einleitung

  1. Dieser Vertrag regelt das Auftragsverhältnis zwischen dem Auftraggeber und dem Auftragnehmer über die Verarbeitung personenbezogener Daten durch den Auftragnehmer. Er begründet das Rechtsverhältnis der Auftragsverarbeitung nach Art. 28 DSGVO.
  2. Der Auftragnehmer verarbeitet als Auftragsverarbeiter (Art. 4 Nr. 2 DSGVO) personenbezogene Daten für den Auftraggeber. Diese Dienstleistungen werden auf Grundlage des zwischen den Parteien bestehenden, im folgenden bezeichneten Hauptvertrags erbracht.
  3. Der Vertrag bezieht sich auf alle Tätigkeiten des Auftragnehmers, seiner Mitarbeiter und seiner Subunternehmer, bei denen es zur Verarbeitung von personenbezogenen Daten oder zur Berührung mit solchen personenbezogenen Daten kommt, die der Auftragnehmer vom Auftraggeber zur Verfügung gestellt bekommen hat.

§ 2 Auftragsgegenstand und Auftragsdauer

  1. Der Gegenstand des Auftrags ergibt sich aus Ihrer Datenbuddy.de – Mitgliedschaft zum jeweiligen Registrierungsdatum, auf welchen hierdurch verwiesen wird (nachstehend Hauptvertrag genannt).
  2. Die Dauer der Auftragsverarbeitung bestimmt sich wie folgt:
    Die Dauer der Auftragsverarbeitung richtet sich nach dem Hauptvertrag und/oder diesem Vertrag wegen unbestimmter Laufzeit durch Kündigung des Haupt- oder diesen Vertrags.

§ 3 Auftragsinhalt

  1. Der Zweck der Verarbeitung ist in der Leistungsbeschreibung des Hauptvertrags geregelt: Erstellung und Verwaltung einer individuellen Datenschutzdokumentation, siehe ausführlich unter https://datenbuddy.de/vorteile/
  2. Die Art der vorgesehenen Datenverarbeitung ist im Hauptvertrag und/oder Mitgliederbereich beschrieben. Folgende Verarbeitungsvorgänge gem. Art. 4 Nr. 2 DSGVO personenbezogener Daten finden Anwendung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Abfragen, Verwenden.
  3. Die Dienstleistung ist vom Auftragnehmer in einem Mitgliedstaat der Europäischen Union (EU) oder in einem Vertragsstaats des Abkommens über den Europäischen Wirtschaftsraum (EWR) zu erbringen. Verlagerungen der Datenverarbeitungen oder Teile hiervon in ein Drittland, das weder der EU noch dem EWG angehört, dürfen nur mit vorheriger Zustimmung (Einwilligung) des Auftraggebers erfolgen. Die besonderen Anforderungen der Art. 44 ff. DSGVO sind zu beachten.
  4. Folgende Datenkategorien werden durch den Auftragnehmer verarbeitet: Personenstammdaten, Kommunikationsdaten, Adressdaten, Vertragsdaten, Verhaltensdaten, Standortdaten.
  5. Die Verarbeitung betrifft die Daten folgender Personengruppen des Auftraggebers:
    Beschäftigte, Dienstleister, Interessenten, Kunden, Geschäftspartner, Ansprechpartner, Lieferanten, Weitere/andere Personen wie externe Kontakte, Behördenmitarbeiter und sonstige externe Dienstleister.
  6. Rechtsgrundlage der Verarbeitung ist nach Art. 6 DSGVO:

    Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (Art. 6 I 1 lit. b DSGVO).

    Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (Art. 6 I 1 lit. c DSGVO).

    Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich (Art. 6 I 1 lit. f DSGVO).

§ 4 Umgang mit den Daten, Weisungsrecht des Auftraggebers

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich gemäß dieser vertraglichen Vereinbarung oder nach Weisungen des Auftraggebers. Etwas anderes gilt bei einer gesetzlichen oder behördlichen Verpflichtung des Auftragnehmers zu einer anderweitigen Verarbeitung. Dann hat der Auftragnehmer den Auftraggeber unverzüglich darüber in Kenntnis zu setzen. Eine Verarbeitung personenbezogener Daten des Auftraggebers zu eigenen Zwecken des Auftragnehmers ist ausgeschlossen.
  2. Der Auftragnehmer verpflichtet sich, die Anforderungen des Auftragsverarbeiters nach Art. 28 und 32 DSGVO sicherzustellen und den diesbezüglichen Nachweis dem Auftraggeber zu erbringen.
  3. Der Auftragnehmer verpflichtet sich, diesen Grundsätzen auch dadurch zu genügen, dass er sein Personal ausreichend in Fragen des Datenschutzes schult und entsprechend nur fachkundiges Personal in Kontakt mit den Daten des Auftraggebers treten lässt. Die Vereinbarung von Geheimhaltungspflichten des Personals sind möglich.
  4. Der Auftragnehmer verpflichtet sich zur Einhaltung der Regeln zum Datenschutz und bestätigt die Kenntnis dieser einschlägigen Regelungen zur ordnungsgemäßen Verarbeitung personenbezogener Daten. Er ergreift die erforderlichen technisch-organisatorischen Maßnahmen, um eine ordnungsgemäße Verarbeitung sicherzustellen (siehe § 7).
  5. Der Auftragnehmer darf personenbezogene Daten, die er im Auftrag des Auftraggebers verarbeitet, nicht eigenmächtig und nur nach dessen Anweisungen berichtigen, löschen oder beauskunften oder deren Verarbeitung einschränken. Dies gilt auch dann, wenn eine betroffene Person einen entsprechenden Antrag stellt.
  6. Die dem Auftragnehmer vom Auftraggeber zur Verfügung gestellten Daten sind unter strikter Trennung von anderen Datenbeständen zu verarbeiten.
  7. Der Auftragnehmer darf keine Kopien der zur Verfügung gestellten Daten ohne Wissen des Auftraggebers erstellen. Eine Ausnahme gilt für technisch notwendige und im Rahmen einer ordnungsgemäßen Verarbeitung erforderliche Vervielfältigungen, bei denen eine Gefährdung der Rechte der betroffenen Personen und eine Absenkung des Datenschutzniveaus ausgeschlossen ist.
  8. Der Auftraggeber stellt die Erfüllung der Rechte auf Auskunft, Berichtigung, Einschränkung Löschung sowie Datenportabilität sicher, soweit dies dem Leistungsumfang des Vertrags entspricht.

§ 5 Sonstige Pflichten des Auftragnehmers und Qualitätssicherung

  1. Der Auftragnehmer hat zusätzlich gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; darüber hinaus gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
    1. Die Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO ist zu wahren. Beschäftigte des Auftragnehmers, die er zur Durchführung der Verarbeitung bestellt, müssen zur Vertraulichkeit verpflichtet und mit den für sie zu beachtenden Vorschriften zum Datenschutz vertraut gemacht werden. Der Auftragnehmer und alle ihm unterstellten Personen, die Zugang zu personenbezogenen Daten des Auftraggebers haben, verarbeiten diese ausschließlich gemäß den Weisungen des Auftraggebers und den Bestimmungen dieses Vertrags, sofern gesetzlich keine anderweitigen vorgaben bestehen. Die Vertraulichkeitsregeln gelten nach Beendigung des Vertrags fort.
    2. Die Einhaltung der für diesen Auftrag erforderlichen organisatorischen und technischen Maßnahmen nach Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO [Einzelheiten in Anlage 1].
    3. Der Auftragnehmer informiert den Auftragnehmer unverzüglich über Kontrollen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf Gegenstände dieses Vertrags beziehen. Dies gilt auch bei Ermittlungen der zuständigen Aufsichtsbehörde in einem Straf- oder Ordnungswidrigkeitsverfahrens, das die Verarbeitung personenbezogener Daten aufgrund dieses Vertragsverhältnisses betrifft.
    4. Auftraggeber und Auftragnehmer verpflichten sich zur Zusammenarbeit mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben.
    5. Der Auftragnehmer ist verpflichtet, in regelmäßigen Abständen die internen Prozesse und die technischen und organisatorischen Maßnahmen zu kontrollieren. Dadurch soll gewährleistet werden, dass sich die Verarbeitung stets im Einklang mit dem geltenden Datenschutzrecht befindet und die Rechte der betroffenen Person geschützt sind.
    6. Unterliegt der Auftraggeber einer Kontrolle oder Maßnahme der Aufsichtsbehörde, einem Straf- oder Ordnungswidrigkeitsverfahren, Haftungsansprüchen oder anderen Ansprüchen betroffener oder dritter Personen im Zusammenhang mit der Auftragsverarbeitung im Rahmen dieses Vertragsverhältnisses, ist der Auftraggeber verpflichtet, den Auftragnehmer nach besten Kräften zu unterstützen.
    7. Der Auftragnehmer hat die getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber nach dessen Kontrollbefugnissen nach § 8 dieses Vertrags nachzuweisen.

§ 6 Unterauftragsverhältnisse

  1. Der Auftragnehmer wird Subunternehmer als weitere Auftragsverarbeiter in einem Unterauftragsverhältnis einsetzen. Ein Unterauftragsverhältnis liegt vor, wenn der Auftragnehmer den Dritten mit der vollständigen oder teilweisen Erfüllung dieses Vertrags beauftragt. Erforderlich ist, dass die Tätigkeiten des Subunternehmers in unmittelbarem Zusammenhang mit der Hauptleistung dieses Vertrags stehen. Nebenleistungen wie der Transport, die Bewachung oder die Reinigung stellen keine Unterauftragsverhältnisse in diesem Sinn dar.
  2. Die Auswahl des Subunternehmers ist unter Berücksichtigung der Voraussetzungen des Art. 28 DSGVO und den Standards dieses Vertrags durch den Auftragnehmer zu treffen. Die Eignung des Subunternehmers zur ordnungsgemäßen Datenverarbeitung und zur Einhaltung der technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO ist zu gewährleisten.
  3. Der Auftragnehmer stellt sicher, dass dem Subunternehmer im Hinblick auf das Schutzniveau der personenbezogenen Daten solche Verpflichtungen auferlegt werden, die mit den in diesem Vertrag begründeten Anforderungen vergleichbar sind. Der Auftraggeber hat das Recht, die Einhaltung dieser Anforderungen durch Einsichtnahme in die mit dem Subunternehmer geschlossenen Verträge beim Subunternehmer nachzuprüfen. Der Auftragnehmer hat dem Auftraggeber die Kontaktdaten des Subunternehmers zu übermitteln.
  4. Der Auftragnehmer stellt sicher, dass die aus diesem Vertrag oder dem Gesetz folgenden Rechte des Auftraggebers auch im Verhältnis zum Subunternehmer wirksam ausgeübt werden können.
  5. Die Kontrolle des Subunternehmers durch den Auftragnehmer gestaltet sich nach den in diesem Vertrag geregelten Grundsätzen zur Kontrolle des Auftragnehmers durch den Auftraggeber. Der Auftragnehmer hat regelmäßige Kontrollen durchzuführen und die Ergebnisse zu dokumentieren und dem Auftraggeber auf Verlangen vorzulegen. Der Nachweis der Kontrollmaßnahmen kann erfolgen durch:
    1. die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
    2. aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
    3. die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO;
    4. eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
  6. Der Beauftragung folgender Subunternehmer in der nachfolgenden Liste stimmt der Auftraggeber unter Einhaltung der vorstehenden Voraussetzungen zu:
FirmaAnschriftLeistung
netcup GmbHDaimlerstr. 25
76185 Karlsruhe
Deutschland		Hosting

§ 7 Technische und organisatorische Maßnahmen (TOMs)

  1. Der Auftragnehmer hat bei seinen Verarbeitungstätigkeiten ein Schutzniveau zu gewährleisten, dass eine Gefährdung für die Rechte und Freiheiten der betroffenen Personen ausschließt. Alle Tätigkeiten des Auftragnehmers müssen sich im Einklang mit der des Art. 28 i.V.m. Art. 5 I DSGVO sowie des Art. 32 DSGVO zur Sicherheit der Verarbeitung halten. Dafür verpflichtet sich der Auftragnehmer verpflichtet sich, die in der Anlage aufgeführten technisch-organisatorischen Maßnahmen, die in seinem Verantwortungsbereich liegen, einzuhalten.
  2. Die vereinbarten technisch-organisatorischen Maßnahmen unterliegen der durch den technischen Fortschritt bedingten Weiterentwicklung. Insofern darf der Auftragnehmer in der Zukunft alternative adäquate Maßnahmen ergreifen, wenn damit keine Absenkung des Sicherheitsniveaus der festgelegten Maßnahmen verbunden ist.
  3. Der Auftragnehmer ist über Anpassungen an den Stand der Technik und alle anderen wesentlichen Änderungen unverzüglich zu informieren.
  4. Wesentliche Änderungen sind durch den Auftragnehmer zu dokumentieren, zudem ist der Auftraggeber unverzüglich darüber zu informieren.

§ 8 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber ist kann, die Einhaltung der Vorschriften über den Datenschutz und der Vorgaben dieses Vertrags durch Kontrollen feststellen. Die Kontrollen können auch von Dritten durchgeführt werden, die der Auftraggeber nach seinem Ermessen bestimmt. Der Auftragnehmer hat das Recht, die Kontrolle durch den Dritten bei Vorliegen besonderer Umstände abzulehnen, insbesondere wenn er nach § 6 (5) dieses Vertrages dort genannte Nachweise erbringt (oder z.B. Bestehen eines Wettbewerbsverhältnisses zwischen Auftragnehmer und Drittem).
  2. Bei Ermöglichung der Kontrollen durch den Auftraggeber wird der Auftragnehmer einen Vergütungsanspruch nach seinem üblichen Stundensatz bei Individualberatungen in Datenschutzsachen geltend machen.
  3. Der Auftraggeber muss die Kontrollen in einem angemessenen zeitlichen Abstand ankündigen. Sie sind in einem angemessenen Rahmen und mit Rücksicht auf die Interessen des Auftragnehmers durchzuführen, soweit der Auftragnehmer nicht nach § 6 (5) dieses Vertrages die Kontrollen durch dort genannte Nachweise abwendet. Dies schließt ein, dass sie zu den gewöhnlichen Geschäftszeiten des Auftragnehmers stattfinden und den ordentlichen Geschäftsablauf nicht stören.

§ 9 Mitteilungs- und Unterstützungspflichten des Auftragnehmers

  1. Der Auftragnehmer hat den Auftraggeber im Fall einer vertragswidrigen, gesetzeswidrigen oder anderweitig rechtswidrigen Verarbeitung durch den Auftragnehmer oder durch bei ihm beschäftigte Personen unverzüglich zu informieren. Das weitere Vorgehen wird vom Auftraggeber und Auftragnehmer einvernehmlich bestimmt.
  2. Der Auftragnehmer hat den Auftraggeber bei der Erfüllung seiner datenschutzrechtlichen Pflichten insbesondere nach den Art. 32-36 DSGVO zu unterstützen.

§ 10 Weisungsbefugnisse des Auftraggebers

  1. Der Auftraggeber hat im Hinblick auf die durchzuführenden Verarbeitungstätigkeiten ein umfassendes Weisungsrecht. Die Erteilung einer Weisung ist vom Auftragnehmer unverzüglich zu bestätigen.
  2. Ausschließlich die folgenden Personen sind zur Erteilung und zur Annahme von Weisungen befugt. Ein Wechsel der Personen ist der jeweils anderen Vertragspartei unverzüglich mitzuteilen.
    1. Erteilung von Weisungen: Name und E-Mail-Adresse des Auftraggeberkontos in Stammdaten
    2. Annahme von Weisungen: Supportmitarbeiter des Auftragnehmers unter hilfe@datenbuddy.de
  3. Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen Datenschutzvorschriften oder Vorschriften dieses Vertrags verstößt, hat er den Auftraggeber unverzüglich darüber zu informieren. Er darf die Durchführung der Weisung so lange unterlassen, wie der Auftraggeber sie nicht bestätigt, geändert oder widerrufen hat. Mündliche Weisungen sind ausgeschlossen.

§ 11 Beendigung des Vertrags

  1. Die Laufzeit dieses Vertrags endet bei Vereinbarung einer auflösenden Befristung oder Bedingung mit Eintritt der Befristung oder Bedingung z.B. Kündigung des Hauptvertrages.
  2. Beiden Vertragsparteien steht das Recht zur ordentlichen Kündigung unter Einhaltung folgender Kündigungsfrist zu: ergibt sich aus der Website unter den AGB zu finden.

§ 12 Verpflichtungen nach Beendigung des Auftragsverhältnisses

  1. Die Verpflichtungen ergeben sich aus den AGB des Auftragnehmers und ggf. dem Gesetz.

§ 13 Haftung

  1. Auf die Haftungsregelungen in Art. 82 DSGVO wird verwiesen.
  2. Der Auftraggeber haftet dem Auftragnehmer nach den AGB des Auftragnehmers.

§ 14 Vertragsstrafe

  1. Es gelten zwischen den Parteien die AGB des Auftragnehmers.

§ 15 Vergütung

  1. Regelungen über die Vergütung des Auftragnehmers sind im Hauptvertrag geregelt. Auf diese wird hierdurch Bezug genommen

§ 16 Telearbeit beim Auftragnehmer

  1. Der Auftragnehmer ist berechtigt, seinen Beschäftigten Telearbeit anzubieten. Er schließt mit ihnen eine betriebliche Vereinbarung über die Telearbeit, die die Einhaltung aller Vorschriften zum Datenschutz und zur Datensicherheit sicherstellt.
  2. Eine Gefährdung der Daten muss ausgeschlossen sein. Die Sicherheit der Daten ist insbesondere durch einen sicheren Dienstrechner und das Einrichten einer verschlüsselten Verbindung zu gewährleisten.

§ 17 Betroffenenrechte

  1. Macht eine betroffene Person Rechte gegenüber dem Auftragnehmer geltend, hat dieser die Person unverzüglich an den Auftraggeber zu verweisen und den Antrag an diesen weiterzuleiten. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Ansprüchen betroffener Personen in angemessenem Umfang (Art. 28 III lit. e, f DSGVO).
  2. Der Auftragnehmer verpflichtet sich, Weisungen des Auftragnehmers Folge zu leisten, die den Inhalt haben, dass Daten aus dem Auftragsverhältnis zu löschen, zu berichtigen, deren Verarbeitung einzuschränken ist. Dies gilt nicht, wenn berechtigte Interessen des Auftragnehmers entgegenstehen.
  3. Auskünfte über personenbezogene Daten darf der Auftragnehmer nicht ohne vorherige Zustimmung oder Weisung des Auftraggebers an Dritte erteilen.
  4. Als Rechte des Betroffenen gemäß dieses Abschnitts kommen die folgenden in Betracht:
  • Art. 7 III, 8 DSGVO bzw. § 7 UWG und/oder § 203 StGB: Widerruflichkeit der Einwilligung
  • Art. 15 DSGVO: Recht auf Auskunft über die verarbeiteten personenbezogenen Daten
  • Art. 16 DSGVO: Recht auf Vervollständigung bzw. Berichtigung der verarbeiteten personenbezogenen Daten
  • Art. 17 DSGVO: Recht auf Löschung der verarbeiteten personenbezogenen Daten (Recht auf Vergessenwerden)
  • Art. 18 DSGVO: Verlangen auf Einschränkung der Verarbeitung personenbezogener Daten
  • Art. 20 DSGVO: Recht auf Datenportabilität
  • Art. 77 DSGVO: Recht auf Beschwerde bei einer Aufsichtsbehörde
  • § 8 UWG: Anspruch auf Beseitigung und Unterlassung
  • Art. 34 DSGVO: Recht auf Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten
  • Art. 13, 14 DSGVO: Recht auf Information über die Erhebung personenbezogener Daten, die bei der betroffenen Person und nicht bei der betroffenen Person erhoben werden
  • Art. 19 DSGVO: Recht auf Mitteilung im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
  • Art. 38 IV DSGVO: Recht auf Konsultation des Datenschutzbeauftragten
  • § 41 BDSG: Recht auf Konsultation der zuständigen Staatsanwaltschaft
  • Art. 82 DSGVO bzw. §§ 280 ff., 823 ff. BGB: Anspruch auf Schadensersatz bei Rechtsverletzung in Bezug auf personenbezogene Daten
  • Art. 22: Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden, das für eine rechtliche oder in ähnlicher Weise erhebliche Beeinträchtigung sorgt
  • Art. 12: Recht auf Information über die Rechte nach Art. 13-22, 34 in transparenter Weise

§ 18 Sonstiges

  1. Wenn Daten des Auftraggebers oder seines Kunden beim Auftragnehmer oder Subauftragnehmer durch Beschlagnahme oder Pfändung, durch ein Insolvenz- oder Vergleichsverfahren oder sonstige Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich hierzu zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich hierzu informieren, dass die Hoheit an den Daten beim Auftraggeber vorliegt.
  2. Die Vertragspartner behandeln alle im Rahmen dieses Vertragsverhältnisses erlangten Kenntnisse vertraulich, auch nach Beendigung des Vertragsverhältnisses.
  3. Nebenabreden müssen in schriftlicher oder elektronisch dokumentierter Form (z.B. E-Mail) unter Bezugnahme auf diesen Vertrag getroffen werden. Dasselbe gilt für Änderungen und Ergänzungen dieses Vertrags. Diese müssen die geänderte Regelung ausdrücklich bezeichnen.
  4. Sind einzelne Bestandteile dieses Vertrags unwirksam, berührt dies die Wirksamkeit des Vertrags im Übrigen nicht. Bei Vorliegen einer unwirksamen Regelung oder eine Lücke sind diese durch die Regelung zu ersetzen, die die Parteien in Kenntnis der Unwirksamkeit oder der Lücke vereinbart hätten und die der fehlerhaften Regelung möglichst nahekommt.
  5. Der Gerichtsstand ist Gera.
  6. Es gilt deutsches Recht.

Dieser Vertrag gilt ohne Unterschriften der Parteien als Teil der AGB des Auftragnehmers.

Anlage 1

Technische und organisatorische Maßnahmen der u-create.it UG nach Art. 5, 12, 17, 24, 25, 28, 32 DSGVO

Informationen zum Standort von Datenverarbeitungsanlagen und Rechenzentren

Der Standort des Auftragnehmers des Rechenzentrums (hauptsächlich Hosting und E-Mail-Server) liegt bei der netcup GmbH, wir verweisen zudem auf deren TOMs. Alle Serverstandorte der u-create.it UG befinden sich in Deutschland. Weitere Datenverarbeitungen finden in-House am Unternehmensstandort statt. Ein eigenes Rechenzentrum wird allerdings nicht betrieben. Berücksichtigung finden in den nachfolgenden TOMs Art. 5, 12, 17, 24, 25, 28, 32 DSGVO.

1. Grundsätze für die Datenverarbeitung (Art. 5 DSGVO)

Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a DSGVO

Es wurden folgende Maßnahmen getroffen:

  • Erstellung von Datenschutzdokumentationen
  • Siehe unter 1. Rechenschafts- & Wirksamkeitsnachweise
  • Siehe unter 2. Pflichten des Verantwortlichen

Zweckbindungsgrundsatz nach Art. 5 Abs. 1 lit. b DSGVO

Es wurden folgende Maßnahmen getroffen:

  • Darstellung der Verarbeitungszecke im Verzeichnis der Verarbeitungstätigkeiten (VV)
  • ausschließlich schriftliche (bzw. in Textform E-Mail) Weisungen im AV
  • Erlass von Dienstanweisungen insbesondere zu Telearbeit
  • Mitarbeiterverpflichtung zur Verschwiegenheit

Datenminimierungsgrundsatz nach Art. 5 Abs. 1 lit. c DSGVO

Es wurden folgende Maßnahmen getroffen:

  • siehe ausführlich unter 6. insbesondere Umsetzung des Löschkonzepts manuell / automatisch
  • siehe ausführlich unter 7. datenschutzfreundliche Systemgestaltung

Datenminimierungsgrundsatz nach Art. 5 Abs. 1 lit. d DSGVO

Es wurden folgende Maßnahmen getroffen:

  • Identifikationsverfahren
  • siehe ausführlich unter 3. Vertraulichkeit
  • unverzügliche Korrektur- & Löschverfahren unrichtiger Daten

Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO

Es wurden folgende Maßnahmen getroffen:

  • siehe unter 6. insbesondere Umsetzung des Löschkonzepts
  • anonymisierte bzw. pseudonyme Auswertung von Nutzerstatistiken

Vertraulichkeitsgrundsatz nach Art. 5 Abs. 1 lit. f DSGVO

Es wurden folgende Maßnahmen getroffen:

  • siehe unter 3. ausführlich, insbesondere Umsetzung der ErwGr 39 und 83 zur DSGVO

Integritätsgrundsatz nach Art. 5 Abs. 1 lit. f DS

Es wurden folgende Maßnahmen getroffen:

  • siehe unter 4. und 5. ausführlich

Rechenschaft- & Wirksamkeitsnachweise Art. 5 Abs. 1 lit. f DSGVO

Es wurden folgende Maßnahmen getroffen:

  • siehe auch unter 7., insbesondere Umsetzung von ErwGr 87 zur DSGVO
  • Erstellung von Datenschutzdokumentation wie z.B. Verarbeitungsverzeichnis (VV)
  • Dokumentation zu getroffenen Sicherheitsmaßnahmen (TOMs) siehe auch 5.
  • Datenschutzorganisation mit oder ohne Datenschutzbeauftragten (DSB)
  • dokumentierte Mitarbeiterschulungen zum Unternehmensdatenschutz
  • Dokumentation zum Rechtemanagement
  • Protokollauswertung (KVP)
  • Dokumentation der Schutzbedarfe der (IT-) Infrastruktur (IT-Sicherheit)
  • siehe 8. Dokumentation des Datenschutzes von Auftrag- & Unterauftragnehmer (AV)
  • Protokollierung Lösch- & Anmeldevorgänge, DSB-/Admin-tätigkeiten, Zugriffstätigkeiten
  • PDCA-Zyklus im Datenschutzmanagementsystem kontinuierlich umsetzen

2. Pflichten des Verantwortlichen (Art. 12, 24 DSGVO)

Es wurden folgende Maßnahmen getroffen:

  • siehe oben 1. insbesondere Rechenschafts- & Wirksamkeitsnachweise
  • Dokumentation der Pflichten nach Art. 13 bis 34 DSGVO (insbesondere in der DSE)

3. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

Es findet eine Zutrittskontrolle (kein Betreten der Datenverarbeitungsanlagen durch Unbefugte) statt. Dies umfasst die folgenden Maßnahmen:

  • Zutrittskontrollsystem (Ausweisleser / Magnetkarte / Chipkarte)
  • Schlüssel / Schlüsselvergabe
  • Türsicherung (Elektrische Türöffner / Sicherheitscode / Sicherheitsschlösser)
  • Gebäudesicherung (Zäune / Pforten)
  • Werkschutz / Pförtner / Sicherheitsdienst
  • Überwachungseinrichtung (Überwachungskamera, Video- / Fernsehmonitor
  • Tragepflicht von Berechtigungsausweisen / Ausweissystem
  • Begleitung von Besuchern durch Mitarbeiter
  • Begleitung von ext. Dienstleistern durch Mitarbeiter
  • Bewegungsmelder / Lichtschranken
  • Sorgfältige Auswahl von Reinigungspersonal / Sicherheitspersonal
  • Türen mit Knauf auf Außenseite

Zugangskontrolle

Es findet eine Zugangskontrolle (keine Systembenutzung durch Unbefugte) statt. Dies umfasst die folgenden Maßnahmen:

  • Verwendung von Passwörtern
  • Passwortverfahren (z.B. Sonderzeichen / Mindestlänge / regelmäßiger Wechsel des Passworts)
  • Zwei-Faktor-Authentifizierung
  • Automatische Sperrung / Abmeldung bei Inaktivität (Pausenschaltung)
  • Abmeldepflicht bei Verlassen des Arbeitsplatzes
  • Einrichtung von Benutzerkonten / Benutzerprofilen pro Benutzer
  • Verschlüsselung von Datenträgern / Datensätzen in mobilen Geräten wie Notebooks / Smartphones
  • Verschlüsselung von externen Datenträgern wie ext. Festplatten / USB-Sticks
  • Firewall (Software)
  • Firewall (Hardware)
  • Einsatz von Antivirus-Software / Virenscanner
  • Einsatz von zentraler Administrations-Software für mobile Endgeräte (z.B. zum externen Sperren und Löschen von Daten)
  • PC-Gehäuseverriegelungen
  • Authentifizierung mit biometrischen Merkmalen
  • Vergabe von unterschiedlichen Benutzerrechten
  • Vergabe von BIOS-Passwörtern
  • Aktenablage: Verschlossene Aktenschränke / Verschlossener Aktenraum
  • Sichere Aufbewahrung von Administrationspasswörtern (z.B. Passwortmanager, Tresor)
  • Protokollierung der Systemnutzung
  • Sperrung bei falscher Passworteingabe
  • Sperren von externen Schnittstellen (z.B. USB)
  • Einsatz von VPN-Technologie

Zugriffskontrolle

Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassen personenbezogenen Daten Zugang haben (Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems). Maßnahmen:

  • Benutzername mit Passwort
  • Ausgabe von Zertifikaten zur Authentifizierung
  • Sicherung von Schnittstellen (USB, Firewire usw.)
  • Virenschutz / Firewall
  • Einschränkung der Nutzung von mobilen Datenträgern / sonstigen Geräten (z.B. USB-Sticks)
  • Regelmäßige Updates der Systeme
  • Klassische Rollenvergabe (Auswertungen, Kenntnisnahme, Veränderung, Löschung)
  • Protokollierung von Zugriffen in Logs, insbesondere bei der Eingabe, Änderung und Löschung von Daten
  • Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte (Profile, Rollen, Transaktionen und Objekte)
  • Festlegung von sicheren Aufbewahrungsorten für Datenträger
  • Zugriffseinschränkung der Nutzer auf Software
  • Verschlüsselung von externen Datenträgern
  • Sichere Löschung von Datenträgern vor deren Wiederverwendung
  • Anzahl der Administratoren auf das „Notwendigste“ reduziert
  • Einsatz von Aktenvernichtern bzw. Dienstleistern
  • Ordnungsgemäße Vernichtung von Datenträgern (DIN 32757)
  • Verwaltung der Rechte durch Systemadministrator
  • dem Sicherheitsrisiko angemessener Datenschredder

Trennungs- bzw. Verwendungszweckkontrolle

Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden). Maßnahmen:

  • Logische Mandantentrennung (softwareseitig)
  • Kontrolle der Zweckbindung
  • Separierung von Datenbanken
  • Separierung von Dateien
  • Trennung von Produktiv- und Testsystemen
  • Unterscheidung von Kunden, Lieferanten und Personal
  • Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
  • Abtrennung von Netzwerktechnik
  • Getrennte Ordnerstrukturen
  • Erstellung eines Berechtigungskonzepts
  • Versehen der Datensätze mit Zweckattributen / Datenfeldern
  • Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden
  • Festlegung von Datenbankrechten

Pseudonymisierung Art. 25 Abs. 1, 32 Abs. 1 lit. a DSGVO

Hierbei wird der Name oder anderes Identifikationsmerkmal durch ein Alternativmerkmal (z.B. als Code in Zahlen- Buchstabenkombination) ersetzt, die Identität des Betroffenen soll hierdurch verborgen bleiben bzw. wesentlich erschwert feststellbar werden. Maßnahmen:

  • Es wird weitestgehend mit Kundennummern statt Namen gearbeitet
  • Identifizierung von Datensätzen mit IDs anstatt Klarnamen und anderen persönlichen Daten
  • Automatische Pseudonymisierungsverfahren bei neuen Datensätzen

Verschlüsselung Art. 32 Abs. 1 lit. a DSGVO

Unter Verschlüsselung versteht man Verfahren bei denen ein „Klartext“, also ein klar lesbarer Text, in einen „Geheimtext“, also in eine unverständliche Zeichenfolge umgewandelt wird. Dieser kann nur unter Verwendung eines geheimen Schlüssels wiedergewonnen werden. Es wurden folgende Maßnahmen getroffen:

  • Angebot zum Emailverkehr mit PGP-Verschlüsselung
  • Websiteangebote nur mit SSL/TLS-Verschlüsselung
  • E-Mail-Verkehr (IMAP/SMTP) nur mit SSL/TLS-Verschlüsselung
  • Datenaustausch verschlüsselt zwischen Büro und Rechenzentren wie FTPS
  • Einsatz von verschlüsselten VPN-Verbindungen
  • Verschlüsselung von Backups

4. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Übertragungs-,Transport- und Weitergabekontrolle

Verfahren mit dem überprüft und festgestellt werden kann, an welcher Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport von Daten unterbinden) Dies umfasst die folgenden Maßnahmen:

  • Verschlüsselte Tunnelverbindungen (z.B. VPN)
  • Prüfung der Rechtmäßigkeit der Weitergabe von Daten
  • Regelungen zum datenschutzkonformen Vernichten von Datenträgern
  • Elektronische Signaturen
  • sichere Transportbehälter/-verpackungen (Transportsicherung)
  • Weitergabe an Dritte in anonymisierter oder pseudonymisierter Form
  • Kontrolle der Verwendung von SSL-/TLS-Verschlüsselung bei Datenübertragung im Internet
  • E-Mail Verschlüsselung

Eingabekontrolle

Es findet eine Kontrolle der Datenverarbeitung in einem System (Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind) statt. Dies umfasst die folgenden Maßnahmen:

  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen
  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Personenbezogene Zugriffsrechte zur Nachvollziehbarkeit der Zugriffe
  • Dokumentenmanagement, Dokumentenlenkung
  • Protokollierungs- und Protokollauswertungssysteme
  • Plausibilitätskontrollen
  • Sicherung von Protokolldaten gegen Verlust oder Veränderung
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
  • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind

5. Belastbarkeit und Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle

Es findet eine Verfügbarkeitskontrolle (Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust) statt. Dies umfasst die folgenden Maßnahmen:

  • Virenschutz / Firewall
  • Schutzsteckdosenleisten
  • Überspannungsschutz
  • Backup-Strategie (offline, z.B. externe Datenträger)
  • Backup-Strategie (online, z.B. Cloud)
  • Aufbewahrung von Datensicherungen
  • Unterbrechungsfreie Stromversorgung (USV)
  • Schutz vor Diebstahl
  • Feuer- und Rauchmeldeanlagen
  • Redundante Datenhaltung (z.B. RAID-System)
  • Getrennte Aufbewahrung
  • Nutzung eines Backup- und Recoverykonzepts
  • Erstellung und Anwendung von IT-Notfallplänen
  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
  • Feuerlöschgeräte in Serverräumen

Wiederherstellbarkeit

Zügige Zurückgewinnung von Originaldaten nach einem Datenverlust (nach Verlust durch Störungsfall werden Daten zurückgewonnen) auf einem Datenträger ggf. auch die Erkennung fehlerhaft übertragener Dateneinheiten. Dies umfasst folgende Maßnahmen:

  • IT-Dienstleister auf Abruf verfügbar
  • Regelmäßige Sicherungen und Test der Datensicherung
  • Festplattenspiegelungen
  • Testen der Wiederherstellungssysteme
  • IT-Notfallpläne und Wiederanlaufpläne
  • Incident Management: Insbesondere organisatorische und technische Prozesse als Reaktion auf erkannte oder vermutete Sicherheitsvorfälle
  • Notfall- und Szenarioübungen
  • Regelmäßige und dokumentierte Datenwiederherstellungen

6. Technische und organisatorische Umsetzung des Rechts auf Löschung, “Recht auf Vergessenwerden” (Art. 17 DSGVO)

Zur Umsetzung des Rechts auf Löschung (sichere möglichst nicht wiederherstellbare Beseitigung von Daten) wurden folgende Maßnahmen getroffen:

  • Einfache Datenlöschung (ohne Überschreiben)
  • Randomisiertes Überschreiben von Datensätzen
  • Implementierung von Fernlöschung, z.B. auf mobilen Endgeräten
  • Zerstörung von Datenträgern vor der Entsorgung
  • Schreddern / mechanische Deformierung von Datensätzen auf Papier / DVD / CD oder sonstigen Datenträgern
  • Entmagnetisierung von physischen Datenträgern (Festplatten / Datenbändern)
  • Automatische Löschung von Datensätzen nach einem festgelegten Ablaufdatum
  • Klassifikation der Daten in Schutzklassen
  • Umsetzung der DIN-EN 15713 “Sichere Vernichtung von vertraulichen Unterlagen – Verfahrensregeln”
  • Protokollierung von Löschvorgängen

7. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 lit. d, 25 DSGVO) PDCA-Zyklus

Datenschutzmanagement

Regelmäßige Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen zum Datenschutz, Maßnahmen:

  • Vorfallreaktionsplan ist vorhanden (Incident-Response-Management) = Notfälle und Lösungen um System lauffähig zu halten
  • Datenschutzmanagementsystem vorhanden = Datenschutz systematisch zu planen, zu organisieren, zu steuern & zu kontrollieren

Datenschutzfreundliche Einstellung (Art. 25 Abs. 2 DSGVO)

Strategien und Maßnahmen, die den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen entsprechen. Maßnahmen:

  • Privacy by default eingehalten = Vor- bzw. Werkeinstellungen nach DSGVO
  • Privacy by Design eingehalten = Technikaufbau- und Gestaltung nach DSGVO

8. Auftragskontrolle (Art. 28 DSGVO)

  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
  • Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart
  • schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsverarbeitungsvertrag) i.S.d. Art. 28 ff. EU-DSGVO
  • Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis
  • laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

Aktueller Stand: 30.01.2021