Der Schutz und die Sicherheit von persönlichen Daten hat bei uns eine hohe Priorität. Daher halten wir uns strikt an die Regeln des deutschen Bundesdatenschutzgesetzes (BDSG) und an die (DSGVO) Datenschutz-Grundverordnung (EU). Nachfolgend werden Sie darüber informiert, welche Art von Daten erfasst und zu welchem Zweck sie erhoben werden:
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.
Datenerfassung auf unserer Website
Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Impressum dieser Website entnehmen.
Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z.B. um Daten handeln, die Sie in ein Kontaktformular eingeben.
Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z.B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie unsere Website betreten.
Wofür nutzen wir Ihre Daten?
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden.
Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung, Sperrung oder Löschung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.
Analyse-Tools und Tools von Drittanbietern
Beim Besuch unserer Website kann Ihr Surf-Verhalten statistisch ausgewertet werden. Das geschieht vor allem mit Cookies und mit sogenannten Analyseprogrammen. Die Analyse Ihres Surf-Verhaltens erfolgt in der Regel anonym; das Surf-Verhalten kann nicht zu Ihnen zurückverfolgt werden. Sie können dieser Analyse widersprechen oder sie durch die Nichtbenutzung bestimmter Tools verhindern. Detaillierte Informationen dazu finden Sie in der folgenden Datenschutzerklärung.
Sie können dieser Analyse widersprechen. Über die Widerspruchsmöglichkeiten werden wir Sie in dieser Datenschutzerklärung informieren.
1. Datenübermittlung /Datenprotokollierung
Beim Besuch dieser Seite verzeichnet der Web-Server automatisch Log-Files, die keiner bestimmten Person zugeordnet werden können. Diese Daten beinhalten z. B. den Browsertyp und -version, verwendetes Betriebssystem, Referrer URL (die zuvor besuchte Seite), IP-Adresse des anfragenden Rechners, Zugriffsdatum und -uhrzeit der Serveranfrage und die Dateianfrage des Client (Dateiname und URL). Diese Daten werden nur zum Zweck der statistischen Auswertung gesammelt. Eine Weitergabe an Dritte, zu kommerziellen oder nichtkommerziellen Zwecken, findet nicht statt.
2. Nutzung persönlicher Daten
Persönliche Daten werden nur erhoben oder verarbeitet, wenn Sie diese Angaben freiwillig, z.B. im Rahmen einer Anfrage mitteilen. Sofern keine erforderlichen Gründe im Zusammenhang mit einer Geschäftsabwicklung bestehen, können Sie jederzeit die zuvor erteilte Genehmigung Ihrer persönlichen Datenspeicherung mit sofortiger Wirkung schriftlich (z.B. per E-Mail oder per Fax) widerrufen. Ihre Daten werden nicht an Dritte weitergeben, es sei denn, eine Weitergabe ist aufgrund gesetzlicher Vorschriften erforderlich.
3. Auskunft, Änderung und Löschung Ihrer Daten
Gemäß geltendem Recht können Sie jederzeit bei uns schriftlich nachfragen, ob und welche personenbezogenen Daten bei uns über Sie gespeichert sind. Eine entsprechende Mitteilung hierzu erhalten Sie umgehend.
4. Sicherheit Ihrer Daten
Ihre uns zur Verfügung gestellten persönlichen Daten werden durch Ergreifung aller technischen sowie organisatorischen Sicherheitsmaßnahmen so gesichert, dass sie für den Zugriff unberechtigter Dritter unzugänglich sind. Bei Versendung von sehr sensiblen Daten oder Informationen ist es empfehlenswert, den Postweg zu nutzen, da eine vollständige Datensicherheit per E-Mail nicht gewährleistet werden kann.
5. Kontaktformular
Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.
Die Verarbeitung der in das Kontaktformular eingegebenen Daten erfolgt somit ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.
Die von Ihnen im Kontaktformular eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z.B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.
6. Vereinbarung zur Auftragsverarbeitung nach Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO).
Desinsect / André Mark Gurka
Hochfeldstr. 41
47198 Duisburg
als Auftraggeber
– nachfolgend Auftraggeber –
und STRATO AG
Pascalstraße 10
10587 Berlin
als Auftragnehmer
– nachfolgend Auftragnehmer –
1. Gegenstand und Dauer der Verarbeitung
1.1. Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gemäß Auftrag, Leistungsbeschreibung und AGB (nachfolgend Hauptvertrag), soweit eine Verarbeitung von personenbezogenen Daten durch den Auftragnehmer als Auftragsverarbeiter für den
Auftraggeber gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten, die der Auftragnehmer zur Erfüllung
des Auftrags erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Auftrag nicht ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.
1.2. Die Dauer der Verarbeitung entspricht der im Auftrag vereinbarten Laufzeit.
2. Art und Zweck der Verarbeitung
2.1. Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO zur Erfüllung des
Auftrags.
2.2. Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung im Bereich CloudDienstleistungen,
Hosting, Software as a Service (SaaS) und IT-Support erforderlichen Zwecke.
3. Art der personenbezogenen Daten und Kategorien von Betroffenen
3.1. Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten.
3.2. Die Kategorien von Betroffenen bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten.
4. Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen
4.1. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der
Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie
für die Rechtmäßigkeit der Datenverarbeitung alleinverantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr.
7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der
Verarbeitung.
4.2. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber
danach in schriftlicher Form oder in einem elektronischen Format (Textform) durch einzelne Weisungen
geändert werden (Einzelweisung). Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu
bestätigen. Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung
behandelt. Bei Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen
sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und
Vergütung ergeben. Ist dem Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der
Auftragnehmer berechtigt, die Verarbeitung zu beenden. Eine Unzumutbarkeit liegt insbesondere vor, wenn
die Leistungen in einer Infrastruktur erbracht werden, die von mehreren Auftraggebern / Kunden des
Auftragnehmers genutzt wird (Shared Services), und eine Änderung der Verarbeitung für einzelne
Auftraggeber nicht möglich oder nicht zumutbar ist.
4.3. Die vertraglich vereinbarte Datenverarbeitung endet ausschließlich in einem Mitgliedsstaat der
Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum statt, soweit nicht etwas anderes vereinbart ist, z.B. über die Produktbeschreibung der
beauftragten Leistung.
4.4. Ist Vertragsbestandteil die Registrierung von Domains bei Registrierungsstellen, die ihren Sitz in einem
Drittland haben (außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums), ist auch
vereinbart, dass der Auftragnehmer personenbezogene Daten – unter Beachtung der zwingend anwendbaren
Vorschriften – an diese Registrierungsstellen übermittelt.
4.5. Die Parteien vereinbaren außerdem, dass der Auftragnehmer berechtigt ist, personenbezogene Daten –
unter Beachtung der zwingend anwendbaren Vorschriften zur Leistungserbringung in einem Drittland zu
übermitteln. Dies ist insbesondere der Fall, wenn Auftragsgegenstand der Dienst eines Drittanbieters ist, der
diesen Dienst ganz oder teilweise in einem Drittland erbringt.
5. Rechte des Auftraggebers, Pflichten des Auftragnehmers
5.1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der
dokumentierten Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des
Artikel 28 Abs. 3 a) DSGVO vor (Verpflichtung nach dem Recht der Europäischen Union oder eines
Mitgliedstaates). Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auassung
ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung
solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
5.2. Der Auftragnehmer unterstützt angesichts der Art der Verarbeitung nach Möglichkeit den Auftraggeber
mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Ansprüche der
betroffenen Personen nach Kapitel III der DSGVO. Der Auftragnehmer ist berechtigt, für diese Leistungen eine
angemessene Vergütung vom Auftraggeber zu verlangen.
5.3. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und
der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO
genannten Pflichten. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung
vom Auftraggeber zu verlangen.
5.4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers
befassten Mitarbeiter und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten
außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur
Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder
einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Gleiches gilt für das
Fernmeldegeheimnis nach § 88 TKG und – in Kenntnis der Strafbarkeit – für die Wahrung von Geheimnissen
der Berufsgeheimnisträger nach § 203 StGB. Die Vertraulichkeits-/ Verschwiegenheitspflicht
besteht auch nach Beendigung des Auftrages fort.
5.5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes
personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen
Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen
Personen.
5.6. Der Auftragnehmer gewährleistet die schriftliche Bestellung eines Datenschutzbeauftragten, der seine
Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Eine Kontaktmöglichkeit wird auf der Webseite des
Auftragnehmers veröffentlicht.
5.7. Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des
Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Kunden zurück, sofern nicht nach
dem Unionsrecht oder nach dem anwendbaren Recht eines Mitgliedstaates eine Verpflichtung zur
Speicherung der personenbezogenen Daten besteht oder sich aus jeweiligen vertraglichen Vereinbarungen
etwas anderes ergibt. Macht der Auftraggeber von diesem Wahlrecht keinen Gebrauch, gilt die Löschung als
vereinbart. Wählt der Auftraggeber die Rückgabe, kann der Auftragnehmer eine angemessene Vergütung
verlangen.
5.8. Machen betroffene Personen Schadensersatzansprüche nach Art. 82 DSGVO geltend, unterstützt der
Auftragnehmer den Auftraggeber bei der Abwehr der Ansprüche im Rahmen seiner Möglichkeiten. Der
Auftragnehmer kann hierfür eine angemessene Vergütung verlangen.
6. Pflichten des Auftraggebers
6.1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der
Durchführung des Auftrags Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen
feststellt.
6.2. Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen Daten vor
Vertragsbeendigung zu löschen, die er in den Diensten gespeichert hat.
6.3. Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner in
Datenschutzangelegenheiten.
7. Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO
7.1. Der Auftragnehmer ergreift in seinem Verantwortungsbereich geeignete technische und organisatorische
Maßnahmen, um sicher zu stellen, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und
den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. Der Auftragnehmer ergreift in
seinem Verantwortungsbereich gemäß Art. 32 DSGVO geeignete technische und organisatorische
Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbar keit und Belastbarkeit der Systeme und Dienste im
Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
7.2. Die aktuellen technischen und organisatorischen Maßnahmen sind im Anhang 2 aufgeführt.
7.3. Der Auftragnehmer betreibt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der
technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß
Art. 32 Abs. 1 lit. d) DSGVO.
7.4. Der Auftragnehmer passt die getroffenen Maßnahmen im Laufe der Zeit an die Entwicklungen beim
Stand der Technik und die Risikolage an. Eine Änderung der getroffenen technischen und organisatorischen
Maßnahmen bleibt dem Auftragnehmer vorbehalten, sofern das Schutzniveau nach Art 32 DSGVO nicht
unterschritten wird.
8. Nachweis und Überprüfung
8.1. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der
Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen –
einschließlich Inspektionen -, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer
durchgeführt werden, und trägt dazu bei. Der Auftragnehmer ist berechtigt, eine Verschwiegenheitserklärung
vom Auftraggeber und von dessen beauftragten Prüfer zu verlangen. Der Auftragnehmer stimmt der
Benennung eines unabhängigen externen Prüfers durch den Auftraggeber zu, sofern der Auftraggeber dem
Auftragnehmer eine Kopie des Auditberichts zur Verfügung stellt. Wettbewerber des Auftraggebers oder
Personen, die für Wettbewerber des Auftraggebers tätig sind, kann der Auftragnehmer als Prüfer ablehnen.
8.2. Als Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten reicht dem Auftraggeber die
vorliegende Zertifizierung nach ISO 27001 aus. Das jeweils aktuelle Zertifikat stellt der Auftragnehmer auf
seiner Webseite zur Verfügung.
8.3. Das Inspektionsrecht des Auftraggebers hat das Ziel, die Einhaltung der einem Auftragsverarbeiter
obliegenden Pflichten gemäß der DSGVO und dieses Vertrages zu überprüfen. Der Nachweis der Einhaltung
dieser Pflichten wird durch die Zertifizierung nach vorstehendem Absatz erbracht. Sofern der Auftraggeber
auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass diese Zertifizierungen
zureichend oder zutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DSGVO im
Zusammenhang mit der Durchführung der Auftragsverarbeitung für den Auftraggeber dies rechtfertigen,
kann er Vor-Ort-Kontrollen durchführen. Diese können zu den üblichen Geschäftszeiten ohne Störung des
Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt
werden.
8.4. Für Informationen und Unterstützungshandlungen kann der Auftragnehmer eine angemessene
Vergütung verlangen. Der Aufwand für den Auftragnehmer durch eine Inspektion ist grundsätzlich auf einen
Tag pro Kalenderjahr begrenzt.
8.5. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige staatliche oder kirchliche Aufsichtsbehörde
des Auftraggebers eine Inspektion vornehmen, gelten die vorstehenden Regeln entsprechend. Eine
Unterzeichnung einer Verschwiegenheitsverpichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde
einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem
Strafgesetzbuch strafbewehrt ist.
9. Subunternehmer (weitere Auftragsverarbeiter)
9.1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung
10. Haftung und Schadensersatz
10.1. Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person nach Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
10.2. Die zwischen den Parteien im Hauptvertrag zur Leistungserbringung vereinbarte Haftungsregelung gilt auch für Ansprüche aus dieser Vereinbarung zur Auftragsverarbeitung und im Innenverhältnis zwischen den Parteien für Ansprüche Dritter nach Art 82 DSGVO, außer soweit ausdrücklich etwas anderes vereinbart ist.
11. Vertragslaufzeit, Sonstiges
11.1. Die Vereinbarung beginnt mit dem Abschluss durch den Kunden. Sie endet mit Ende des letzten
Vertrages unter der o.g. Kundennummer. Sollte eine Auftragsverarbeitung noch nach Beendigung dieses
Vertrages stattfinden, gelten die Regelungen dieser Vereinbarungen bis zum tatsächlichen Ende der
Verarbeitung.
11.2. STRATO kann die Vereinbarung nach billigem Ermessen mit angemessener Ankündigungsfrist ändern. Es
gilt Ziffer 1.4 AGB.
11.3. Ergänzend gelten die AGB des Auftragnehmers, abrufbar unter https://www.strato.de/agb/. Bei etwaigen
Widersprüchen gehen Regelungen dieser Vereinbarung zur Auftragsverarbeitung den Regelungen des
Hauptvertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die
Wirksamkeit der Vereinbarungen im Übrigen nicht.
11.4. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist
Berlin. Dieser gilt vorbehaltlich eines etwaigen ausschließlich gesetzlichen Gerichtsstandes. Dieser Vertrag
unterliegt den gesetzlichen Bestimmungen der Bundesrepublik Deutschland.
11.5. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch
ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet
werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der
Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass
die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher « im Sinne
der DSGVO liegen.
Anhang 1 zur Vereinbarung zur Auftragsverarbeitung – Genehmigte Subunternehmer /
weitere Auftragsverarbeiter
Stand 20180321
Subunternehmer Land Adresse Kurzbeschreibung der Leistung
Content Management
AG
Deutschland Im Medienpark 6, 50670
Köln
Entwicklung, Wartung und Pege
des Hompagebaukastens
ePages GmbH Deutschland Pilatuspool 2, 20355
Hamburg
Entwicklung, Wartung und Pege
der Webshops
Open-Xchange GmbH Deutschland Martinstraße 41, 57462
Olpe
Entwicklung, Wartung und Pege
des Communicators
1&1 Internet SE Deutschland Elgendorfer Straße 7,
56410 Montabaur
Entwicklung und Betrieb der
STRATO Online Buchhaltung
Seven IT GmbH Deutschland SevenIT, Hauptstraße
40, 77652 Oenburg
Betrieb und Support der STRATO
Online Buchhaltung
Anhang 2 zur Vereinbarung zur Auftragsverarbeitung – Technische und Organisatorische
Sicherheitsmaßnahmen gemäß Art 32 DSGVO
Version 1.0
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
Unbefugten ist der Zutritt zu Räumen zu verwehren, in denen Datenverarbeitungsanlagen untergebracht
sind.
Festlegung von Sicherheitsbereichen
• Realisierung eines wirksamen Zutrittsschutzes
• Protokollierung des Zutritts
• Festlegung Zutrittsberechtigter Personen
• Verwaltung von personengebundenen Zutrittsberechtigungen
• Begleitung von Fremdpersonal
• Überwachung der Räume
1.2 Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden.
• Festlegung des Schutzbedarfs
• Zugangsschutz
• Umsetzung sicherer Zugangsverfahren, starke Authentisierung
• Umsetzung einfacher Authentisierung per Username Passwort
• Protokollierung des Zugangs
• Monitoring bei kritischen IT-Systemen
• Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen
• Sperrung bei Fehlversuchen/Inaktivität und Prozess zur Rücksetzung gesperrter Zugangskennungen
• Verbot Speicherfunktion für Passwörter und/oder Formulareingaben (Server/Clients)
• Festlegung befugter Personen
• Verwaltung und Dokumentation von personengebundenen Authentizierungsmedien und Zugangsberechtigungen
• Automatische Zugangssperre und Manuelle Zugangssperre
1.3 Zugriffskontrolle
Es kann nur auf die Daten zugegriffen, für die eine Zugriffsberechtigungbesteht. Daten können bei der
Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt
werden.
• Erstellen eines Berechtigungskonzepts
• Umsetzung von Zugriffsbeschränkungen
• Vergabe minimaler Berechtigungen
• Verwaltung und Dokumentation von personengebundenen Zugrffisberechtigungen
• Vermeidung der Konzentration von Funktionen
1.4 Verwendungszweckkontrolle
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden
können.
• Datensparsamkeit im Umgang mit personenbezogenen Daten
• Getrennte Verarbeitung verschiedener Datensätze
• Regelmäßige Verwendungszweckkontrolle und Löschung
• Trennung von Test- und Entwicklungsumgebung
1.5 datenschutzfreundliche Voreinstellungen
• Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich sind, werden die technischen
Voreinstellungen so festgelegt, dass Daten nur durch eine Aktion der Betroffenen Person erhoben,
verarbeitet, weitergegeben oder veröffentlicht werden.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
Ziel der Weitergabekontrolle ist es, zu gewährleisten, dass personenbezogene Daten bei der elektronischen
Übertragung oder während ihres Transports oder ihrer Speicherung auf Daten träger nicht unbefugt gelesen,
kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche
Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen
ist.
• Festlegung empfangs- /weitergabeberechtigter Instanzen/Personen
• Prüfung der Rechtmäßigkeit der Übermittlung ins Ausland
• Protokollierung von Übermittlungen gemäß Protokollierungskonzept
• Sichere Datenübertragung zwischen Server und Client
• Sicherung der Übertragung im Backend
• Sichere Übertragung zu externen Systemen
• Risikominimierung durch Netzseparierung
• Implementation von Sicherheitsgateways an den Netzübergabepunkten
• Härtung der Backendsysteme
• Beschreibung der Schnittstellen
• Umsetzung einer Maschine-Maschine-Authentisierung
• Sichere Ablage von Daten, inkl. Backups
• Gesicherte Speicherung auf mobilen Datenträgern
• Einführung eines Prozesses zur Datenträgerverwaltungen
• Prozess zur Sammlung und Entsorgung
• Datenschutzgerechter Lösch- und Zerstörungsverfahren
• Führung von Löschprotokollen
2.2 Eingabekontrolle
Zweck der Eingabekontrolle ist es, zu gewährleisten, dass nachträglich überprüft und festgestellt werden
kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder
entfernt worden sind.
• Protokollierung der Eingaben
• Dokumentation der Eingabeberechtigungen
3. Verfügbarkeit, Belastbarkeit, Desaster Recovery
3.1 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
• Brandschutz
• Redundanz der Primärtechnik
• Redundanz der Stromversorgung
• Redundanz der Kommunikationsverbindungen
• Monitoring
• Resourcenplanung und Bereitstellung
• Abwehr von systembelastendem Missbrauch
• Datensicherungskonzepte und Umsetzung
• Regelmäßige Prüfung der Notfalleinrichtungen
3.2 Desaster Recovery – Rasche Wiederherstellung nach Zwischenfall Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO)
• Notfallplan
• Datensicherungskonzepte und Umsetzung
4. Datenschutzorganisation
• Festlegung von Verantwortlichkeiten
• Umsetzung und Kontrolle geeigneter Prozesse
• Melde- und Freigabeprozess
• Umsetzung von Schulungsmaßnahmen
• Verpichtung
auf Vertraulichkeit
• Regelungen zur internen Aufgabenverteilung
• Beachtung von Funktionstrennung und –zuordnung
• Einführung einer geeigneten Vertreterregelung
5. Auftragskontrolle
Ziel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet
werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
• Auswahl weiterer Auftragnehmer nach geeigneten Garantien
• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern
• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit STRATO
6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art.
25 Abs. 1 DSGVO)
• Informationssicherheitsmanagement nach ISO 27001
• Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen
• Prozess Sicherheitsvorfall-Management
• Durchführung von technischen Überprüfungen
Einsatz von Google-Analytics mit Anonymisierungsfunktion
Wir setzen auf unserer Seite Google-Analytics, einen Webanalysedienst der Firma Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043 USA, nachfolgend „Google“ ein. Google-Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und hierdurch eine Analyse der Benutzung der Website durch Sie ermöglichen.
Die durch diese Cookies erzeugten Informationen, beispielsweise Zeit, Ort und Häufigkeit Ihres Webseiten-Besuchs einschließlich Ihrer IP-Adresse, werden an Google in den USA übertragen und dort gespeichert.
Wir verwenden auf unserer Website Google-Analytics mit einer IP-Anonymisierungsfunktion. Ihre IP-Adresse wird in diesem Fall von Google schon innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt und dadurch anonymisiert.
Google wird diese Informationen benutzen, um Ihre Nutzung unserer Seite auszuwerten, um Reports über die Websiteaktivitäten für uns zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten.
Google wird, nach eigenen Angaben, in keinem Fall Ihre IP-Adresse mit anderen Daten von Google in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen unserer Website vollumfänglich nutzen können.
Des Weiteren bietet Google für die gängigsten Browser eine Deaktivierungsoption an, welche Ihnen mehr Kontrolle darüber gibt, welche Daten von Google erfasst und verarbeitet werden. Sollte Sie diese Option aktivieren, werden keine Informationen zum Website-Besuch an Google Analytics übermittelt. Die Aktivierung verhindert aber nicht, dass Informationen an uns oder an andere von uns gegebenenfalls eingesetzte Webanalyse-Services übermittelt werden. Weitere Informationen zu der von Google bereitgestellten Deaktivierungsoption sowie zu der Aktivierung dieser Option, erhalten Sie über nachfolgenden Link: https://tools.google.com/dlpage/gaoptout?hl=de
Wir setzen auf unserer Seite die „+1“-Schaltfläche des Anbieters Google+ der Firma Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043 USA, nachfolgend „Google“, ein.
Bei jedem einzelnen Abruf unserer Webseite, die mit einer solchen „+1“-Komponente ausgestattet ist, veranlasst diese Komponente, dass der von Ihnen verwendete Browser eine entsprechende Darstellung der Komponente von Google herunterlädt. Durch diesen Vorgang wird Google darüber in Kenntnis gesetzt, welche konkrete Seite unseres Internetauftrittes gerade besucht wird.
Entsprechend den Angaben von Google erfolgt eine weitergehende Auswertung Ihres Besuchs nicht für den Fall, dass Sie nicht in Ihrem Google-Konto eingeloggt sind.
Wenn Sie unsere Seite aufrufen und währenddessen bei Google eingeloggt sind, kann Google bei dem Bestätigen des „+1″-Buttons Informationen über Ihren Google-Account, die von Ihnen weiterempfohlene Webseite sowie Ihre IP-Adresse und andere browserbezogene Informationen erfassen.
So kann Ihre „+1“-Empfehlung gespeichert und öffentlich zugänglich gemacht werden. Ihre somit abgegebene Google „+1“-Empfehlung kann dann als Hinweis zusammen mit Ihrem Accountnamen und gegebenenfalls mit Ihrem bei Google hinterlegten Foto in Google-Diensten, wie etwa in Suchergebnissen oder in Ihrem Google-Konto oder an sonstigen Stellen, wie z.B. auf Webseiten und Anzeigen im Internet, eingeblendet werden. Des Weiteren kann Google Ihren Besuch auf unserer Seite mit Ihren bei Google gespeicherten Daten verknüpfen. Google zeichnet diese Informationen auch auf, um die Google-Dienste weiter zu verbessern.
Wollen Sie daher vorgenannte Erfassung durch Google bestmöglich verhindern, müssen Sie sich vor dem Besuch unseres Internetauftrittes aus Ihrem Google-Konto abmelden.
Die Datenschutzhinweise von Google zur „+1“-Schaltfläche mit allen weiteren Informationen zur Erfassung, Weitergabe und Nutzung von Daten durch Google, zu Ihren diesbezüglichen Rechten sowie zu Ihren Profileinstellungsmöglichkeiten können Sie hier abrufen: https://developers.google.com/+/web/buttons-policy
Wir setzen zur Bewerbung unserer Website ferner das Google Werbetool „Google-Adwords“ ein. Im Rahmen dessen verwenden wir auf unserer Website den Analysedienst „Conversion-Tracking“ der Firma Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043 USA, nachfolgend „Google“. Sofern Sie über eine Google-Anzeige auf unsere Webseite gelangt sind, wird ein Cookie auf Ihrem Rechner abgelegt. Cookies sind kleine Textdateien, die Ihr Internet-Browser auf Ihrem Rechner ablegt und speichert. Diese sog. „Conversion- Cookies“ verlieren nach 30 Tagen ihre Gültigkeit und dienen nicht Ihrer persönlichen Identifikation. Besuchen Sie bestimmte Seiten unserer Website und das Cookie ist noch nicht abgelaufen, können wir und Google erkennen, dass Sie als Nutzer auf eine unserer bei Google platzierten Anzeigen geklickt haben und zu unserer Seite weitergeleitet wurden.
Die mit Hilfe der „Conversion-Cookies“ eingeholten Informationen dienen Google dazu, Besuchs-Statistiken für unsere Website zu erstellen. Wir erfahren durch diese Statistik die Gesamtanzahl der Nutzer, die auf unsere Anzeige geklickt haben und zudem welche Seiten unserer Website vom jeweiligen Nutzer im Anschluss aufgerufen wurden. Wir bzw. andere über „Google-Adwords“ Werbende erhalten jedoch keinerlei Informationen, mit denen sich Nutzer persönlich identifizieren lassen.
Sie können die Installation der „Conversion-Cookies“ durch eine entsprechende Einstellung Ihres Browsers verhindern, etwa per Browser-Einstellung, die das automatische Setzen von Cookies generell deaktiviert oder speziell nur die Cookies von der Domain „googleadservices.com“ blockiert.
Die diesbezügliche Datenschutzerklärung von Google erhalten Sie unter nachfolgendem Link: https://services.google.com/sitestats/de.html
Auf unserer Webseite haben wir das werkenntdenBESTEN-Bewertungssiegel („Bewertungssiegel“) und proven expert eingebunden, das Ihnen angezeigt wird und Ihnen ermöglicht, gesammelte Kundenmeinungen über unsere Leistungen einzusehen. Das Bewertungssiegel und die damit beworbenen Dienste sind ein Angebot der 11880 Internet Services AG, Hohenzollernstr. 24, 45128 Essen. Weitere Informationen zum Datenschutz finden Sie unter https://www.werkenntdenbesten.de/datenschutz bzw. für proven expert unter https://www.provenexpert.com/de-de/datenschutzbestimmungen/. Für die Einbindung des Bewertungssiegels und das Abfragen der Kundenmeinungen ist eine Verarbeitung Ihrer IP-Adresse technisch notwendig, damit die Inhalte an Ihren Browser gesendet werden können. Ihre IP-Adresse wird daher an die 11880 Internet Services AG / proven expert übermittelt. Die 11880 Internet Services AG setzt innerhalb des Plugins keine Trackingcookies oder vergleichbare Technologien ein. Ihre IP-Adresse wird spätestens 24 Stunden nach Ihrer Erhebung durch die 11880 Internet Services AG automatisiert gelöscht. Diese Datenverarbeitung erfolgt zur Wahrung unseres berechtigten Interesses an der Optimierung und dem wirtschaftlichen Betrieb unserer Webseite und ist zur Einbindung des Bewertungssiegels technisch notwendig. Rechtsgrundlage ist Art. 6 Abs. 1 Buchst. f) DSGVO.
Sie können sich aufgrund des Bundesdatenschutzgesetzes bei Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten und deren Berichtigung, Sperrung, Löschung oder einem Widerruf einer erteilten Einwilligung unentgeltlich an uns wenden. Wir weisen darauf hin, dass Ihnen ein Recht auf Berichtigung falscher Daten oder Löschung personenbezogener Daten zusteht, sollte diesem Anspruch keine gesetzliche Aufbewahrungspflicht entgegenstehen.
KONTAKT
