Verantwortlicher im Sinne der Datenschutzgesetze, insbesondere der EU-Datenschutzgrundverordnung (DSGVO), ist:
Yves Feuerbach
Schlesierstraße 27
78315 Radolfzell am Bodensee
Ihre Betroffenenrechte
Unter den angegebenen Kontaktdaten unseres Datenschutzbeauftragten können Sie jederzeit folgende Rechte ausüben:
- Auskunft über Ihre bei uns gespeicherten Daten und deren Verarbeitung (Art. 15 DSGVO),
- Berichtigung unrichtiger personenbezogener Daten (Art. 16 DSGVO),
- Löschung Ihrer bei uns gespeicherten Daten (Art. 17 DSGVO),
- Einschränkung der Datenverarbeitung, sofern wir Ihre Daten aufgrund gesetzlicher Pflichten noch nicht löschen dürfen (Art. 18 DSGVO),
- Widerspruch gegen die Verarbeitung Ihrer Daten bei uns (Art. 21 DSGVO) und
- Datenübertragbarkeit, sofern Sie in die Datenverarbeitung eingewilligt haben oder einen Vertrag mit uns abgeschlossen haben (Art. 20 DSGVO).
Sofern Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
Sie können sich jederzeit mit einer Beschwerde an eine Aufsichtsbehörde wenden, z. B. an die zuständige Aufsichtsbehörde des Bundeslands Ihres Wohnsitzes oder an die für uns als verantwortliche Stelle zuständige Behörde.
Eine Liste der Aufsichtsbehörden (für den nichtöffentlichen Bereich) mit Anschrift finden Sie unter: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.
Erfassung allgemeiner Informationen beim Besuch unserer Website
Art und Zweck der Verarbeitung:
Wenn Sie auf unsere Website zugreifen, d.h., wenn Sie sich nicht registrieren oder anderweitig Informationen übermitteln, werden automatisch Informationen allgemeiner Natur erfasst. Diese Informationen (Server-Logfiles) beinhalten etwa die Art des Webbrowsers, das verwendete Betriebssystem, den Domainnamen Ihres Internet-Service-Providers, Ihre IP-Adresse und ähnliches.
Sie werden insbesondere zu folgenden Zwecken verarbeitet:
- Sicherstellung eines problemlosen Verbindungsaufbaus der Website,
- Sicherstellung einer reibungslosen Nutzung unserer Website,
- Auswertung der Systemsicherheit und -stabilität sowie
- zu weiteren administrativen Zwecken.
Wir verwenden Ihre Daten nicht, um Rückschlüsse auf Ihre Person zu ziehen. Informationen dieser Art werden von uns ggfs. statistisch ausgewertet, um unseren Internetauftritt und die dahinterstehende Technik zu optimieren.
Rechtsgrundlage:
Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Verbesserung der Stabilität und Funktionalität unserer Website.
Empfänger:
Empfänger der Daten sind ggf. technische Dienstleister, die für den Betrieb und die Wartung unserer Webseite als Auftragsverarbeiter tätig werden.
Speicherdauer:
Die Daten werden gelöscht, sobald diese für den Zweck der Erhebung nicht mehr erforderlich sind. Dies ist für die Daten, die der Bereitstellung der Webseite dienen, grundsätzlich der Fall, wenn die jeweilige Sitzung beendet ist.
Bereitstellung vorgeschrieben oder erforderlich:
Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die IP-Adresse ist jedoch der Dienst und die Funktionsfähigkeit unserer Website nicht gewährleistet. Zudem können einzelne Dienste und Services nicht verfügbar oder eingeschränkt sein. Aus diesem Grund ist ein Widerspruch ausgeschlossen.
Erbringung kostenpflichtiger Leistungen
Art und Zweck der Verarbeitung:
Zur Erbringung kostenpflichtiger Leistungen werden von uns zusätzliche Daten erfragt, wie z.B. Zahlungsangaben, um Ihre Bestellung ausführen zu können.
Rechtsgrundlage:
Die Verarbeitung der Daten, die für den Abschluss des Vertrages erforderlich ist, basiert auf Art. 6 Abs. 1 lit. b DSGVO.
Empfänger:
Empfänger der Daten sind ggf. Auftragsverarbeiter.
Speicherdauer:
Wir speichern diese Daten in unseren Systemen bis die gesetzlichen Aufbewahrungsfristen abgelaufen sind. Diese betragen grundsätzlich 6 oder 10 Jahre aus Gründen der ordnungsmäßigen Buchführung und steuerrechtlichen Anforderungen.
Bereitstellung vorgeschrieben oder erforderlich:
Die Bereitstellung Ihrer personenbezogenen Daten erfolgt freiwillig. Ohne die Bereitstellung Ihrer personenbezogenen Daten können wir Ihnen keinen Zugang auf unsere angebotenen Inhalte und Leistungen gewähren.
Newsletter
Art und Zweck der Verarbeitung:
Ihre Daten werden ausschließlich dazu verwendet, Ihnen den abonnierten Newsletter per E-Mail zuzustellen. Die Angabe Ihres Namens erfolgt, um Sie im Newsletter persönlich ansprechen zu können und ggf. zu identifizieren, falls Sie von Ihren Rechten als Betroffener Gebrauch machen wollen.
Für den Empfang des Newsletters ist die Angabe Ihrer E-Mail-Adresse ausreichend. Bei der Anmeldung zum Bezug unseres Newsletters werden die von Ihnen angegebenen Daten ausschließlich für diesen Zweck verwendet. Abonnenten können auch über Umstände per E-Mail informiert werden, die für den Dienst oder die Registrierung relevant sind (bspw. Änderungen des Newsletterangebots oder technische Gegebenheiten).
Für eine wirksame Registrierung benötigen wir eine valide E-Mail-Adresse. Um zu überprüfen, dass eine Anmeldung tatsächlich durch den Inhaber einer E-Mail-Adresse erfolgt, setzen wir das „Double-opt-in“-Verfahren ein. Hierzu protokollieren wir die Bestellung des Newsletters, den Versand einer Bestätigungsmail und den Eingang der hiermit angeforderten Antwort. Weitere Daten werden nicht erhoben. Die Daten werden ausschließlich für den Newsletterversand verwendet und nicht an Dritte weitergegeben.
Rechtsgrundlage:
Auf Grundlage Ihrer ausdrücklich erteilten Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), übersenden wir Ihnen regelmäßig unseren Newsletter bzw. vergleichbare Informationen per E-Mail an Ihre angegebene E-Mail-Adresse.
Die Einwilligung zur Speicherung Ihrer persönlichen Daten und ihrer Nutzung für den Newsletterversand können Sie jederzeit mit Wirkung für die Zukunft widerrufen. In jedem Newsletter findet sich dazu ein entsprechender Link. Außerdem können Sie sich jederzeit auch direkt auf dieser Website abmelden oder uns Ihren Widerruf über die am Ende dieser Datenschutzhinweise angegebene Kontaktmöglichkeit mitteilen.
Empfänger:
Empfänger der Daten sind ggf. Auftragsverarbeiter.
Speicherdauer:
Die Daten werden in diesem Zusammenhang nur verarbeitet, solange die entsprechende Einwilligung vorliegt. Danach werden sie gelöscht.
Bereitstellung vorgeschrieben oder erforderlich:
Die Bereitstellung Ihrer personenbezogenen Daten erfolgt freiwillig, allein auf Basis Ihrer Einwilligung. Ohne bestehende Einwilligung können wir Ihnen unseren Newsletter leider nicht zusenden.
Kontaktformular
Art und Zweck der Verarbeitung:
Die von Ihnen eingegebenen Daten werden zum Zweck der individuellen Kommunikation mit Ihnen gespeichert. Hierfür ist die Angabe einer validen E-Mail-Adresse sowie Ihres Namens erforderlich. Diese dient der Zuordnung der Anfrage und der anschließenden Beantwortung derselben. Die Angabe weiterer Daten ist optional.
Rechtsgrundlage:
Die Verarbeitung der in das Kontaktformular eingegebenen Daten erfolgt auf der Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).
Durch Bereitstellung des Kontaktformulars möchten wir Ihnen eine unkomplizierte Kontaktaufnahme ermöglichen. Ihre gemachten Angaben werden zum Zwecke der Bearbeitung der Anfrage sowie für mögliche Anschlussfragen gespeichert.
Sofern Sie mit uns Kontakt aufnehmen, um ein Angebot zu erfragen, erfolgt die Verarbeitung der in das Kontaktformular eingegebenen Daten zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO).
Empfänger:
Empfänger der Daten sind ggf. Auftragsverarbeiter.
Speicherdauer:
Daten werden spätestens 6 Monate nach Bearbeitung der Anfrage gelöscht.
Sofern es zu einem Vertragsverhältnis kommt, unterliegen wir den gesetzlichen Aufbewahrungsfristen nach HGB und löschen Ihre Daten nach Ablauf dieser Fristen.
Bereitstellung vorgeschrieben oder erforderlich:
Die Bereitstellung Ihrer personenbezogenen Daten erfolgt freiwillig. Wir können Ihre Anfrage jedoch nur bearbeiten, sofern Sie uns Ihren Namen, Ihre E-Mail-Adresse und den Grund der Anfrage mitteilen.
Eingebettete YouTube-Videos
Art und Zweck der Verarbeitung:
Auf einigen unserer Webseiten betten wir YouTube-Videos ein. Betreiber der entsprechenden Plugins ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA (nachfolgend „YouTube“). Wenn Sie eine Seite mit dem YouTube-Plugin besuchen, wird eine Verbindung zu Servern von YouTube hergestellt. Dabei wird YouTube mitgeteilt, welche Seiten Sie besuchen. Wenn Sie in Ihrem YouTube-Account eingeloggt sind, kann YouTube Ihr Surfverhalten Ihnen persönlich zuzuordnen. Dies verhindern Sie, indem Sie sich vorher aus Ihrem YouTube-Account ausloggen.
Wird ein YouTube-Video gestartet, setzt der Anbieter Cookies ein, die Hinweise über das Nutzerverhalten sammeln.
Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch YouTube erhalten Sie in den Datenschutzerklärungen des Anbieters, Dort erhalten Sie auch weitere Informationen zu Ihren diesbezüglichen Rechten und Einstellungsmöglichkeiten zum Schutze Ihrer Privatsphäre (https://policies.google.com/privacy). Google verarbeitet Ihre Daten in den USA und hat sich dem EU-US Privacy Shield unterworfen https://www.privacyshield.gov/EU-US-Framework
Rechtsgrundlage:
Rechtsgrundlage für die Einbindung von YouTube und dem damit verbundenen Datentransfer zu Google ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Empfänger:
Der Aufruf von YouTube löst automatisch eine Verbindung zu Google aus.
Speicherdauer und Widerruf der Einwilligung:
Wer das Speichern von Cookies für das Google-Ad-Programm deaktiviert hat, wird auch beim Anschauen von YouTube-Videos mit keinen solchen Cookies rechnen müssen. YouTube legt aber auch in anderen Cookies nicht-personenbezogene Nutzungsinformationen ab. Möchten Sie dies verhindern, so müssen Sie das Speichern von Cookies im Browser blockieren.
Weitere Informationen zum Datenschutz bei „YouTube“ finden Sie in der Datenschutzerklärung des Anbieters unter: https://www.google.de/intl/de/policies/privacy/
Drittlandtransfer:
Google verarbeitet Ihre Daten in den USA und hat sich dem EU_US Privacy Shield unterworfen https://www.privacyshield.gov/EU-US-Framework.
Bereitstellung vorgeschrieben oder erforderlich:
Die Bereitstellung Ihrer personenbezogenen Daten erfolgt freiwillig, allein auf Basis Ihrer Einwilligung. Sofern Sie den Zugriff unterbinden, kann es hierdurch zu Funktionseinschränkungen auf der Website kommen.
SSL-Verschlüsselung
Um die Sicherheit Ihrer Daten bei der Übertragung zu schützen, verwenden wir dem aktuellen Stand der Technik entsprechende Verschlüsselungsverfahren (z. B. SSL) über HTTPS.
Eingesetzte Auftragsverarbeiter
Folgende Organisationen, Unternehmen bzw. Personen wurden vom Betreiber dieser Website mit der Verarbeitung von Daten beauftragt:
Vereinbarung zur Auftragsdatenverarbeitung
(gemäß Art. 28 DSGVO)
-Zwischen-
Yves Feuerbach
Oberdorfstraße 9b
DE – 78465 Konstanz
– im folgenden Auftraggeber (AG) genannt –
Und der
webgo GmbH
Wandsbeker Zollstr. 95
22041 Hamburg
– im folgenden Auftragnehmer (AN) genannt –
Präambel
Der AN führt im Auftrag des AG Tätigkeiten aus, welche weisungsgebundene Verarbeitungen von personenbezogenen Daten beinhalten. Dies stellt eine Auftragsverarbeitung im Sinne des Art. 28 EU Datenschutz-Grundverordnung (DSGVO) dar. Dieser liegen die Regelungen der DSGVO und des Bundesdatenschutzgesetzes (BDSG) zugrunde. Der vorliegende Vertrag zur Auftragsverarbeitung stellt die vertragliche Regelung der ordnungsgemäßen Verarbeitung personenbezogener Daten durch den AN im Auftrag des AG dar. Der Verantwortliche für die Verarbeitung im Sinne des Art. 4 Nr. 7 sowie Art. 28 DSGVO ist der AG. Die Anlage 1 „Weitere Auftragsverarbeiter“ und Anlage 2 „Technische und organisatorische Maßnahmen“ sind Bestandteil dieses Vertrags zur Auftragsverarbeitung.
§1 Grundlage, Gegenstand, Dauer und Kündigung des Vertrags
1. Die Grundlage dieses Auftrags ist die Online-Bestellung
vom 10.02.2020 in Verbindung mit den AGB des AN.
2. Der Gegenstand der Datenverarbeitung ergibt sich aus der oben genannten Grundlage.
3. Die Dauer dieses Auftrags entspricht der Laufzeit der oben genannten Grundlage.
4. Die Möglichkeit zur ordentlichen und fristlosen Kündigung ergibt sich aus dem Vertrag oder, falls nicht vereinbart, aus den einschlägigen gesetzlichen Regelungen. Der AG kann diesen Vertrag zur Auftragsverarbeitung fristlos kündigen, sobald der AN oder dessen rechtmäßig hinzugezogene Auftragsverarbeiter wiederholt gegen die Bestimmungen dieses Vertrags zur Auftragsverarbeitung oder einschlägige datenschutzrechtliche Vorschriften verstoßen.
§2 Art und Zweck Der Verarbeitung der Daten
1. Die Art und der Zweck der Verarbeitung der personenbezogenen Daten sind weisungsgebunden und umfassen den Vertrag #119853 der Produktkategorie SSD Webhosting mit der Tarifbezeichnung Platin SSD
2. Zu dem genannten Zweck dürfen die Daten auf den Systemen des AG und des AN gespeichert werden.
§3 Art der personenbezogenen Daten und die Kategorien betroffener Personen
1. Die Arten der von der Verarbeitung erfassten Daten sind:
Namen, E-Mail-Adressen
2. Die Kategorien betroffener Personen der Datenverarbeitung sind:
Besucher Ihrer Website
§4 Zweckbindung und Weisungsbefugnis des AG
1. Die Daten des AG sind von den Daten anderer AG und denen des AN getrennt zu verarbeiten. Ferner ist es dem AN untersagt, die Daten des AG für andere als für die vertragsgemäß festgelegte Aufgabenstellung zu verarbeiten oder zu nutzen. Die Übermittlung von Daten an Dritte darf nur im Rahmen der festgelegten Vertragszwecke erfolgen. Hierzu ist vorab weiterhin die Genehmigung des AG erforderlich.
2. Sollte der AN eine Übermittlung der personenbezogenen Daten an ein Drittland oder eine internationale Organisation vornehmen wollen, die nicht dem Recht der Europäischen Union oder der Mitgliedstaaten unterliegt, so muss dies der AG vorab genehmigen. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen dies und eventuelle rechtliche Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der AN darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des AG berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den AN wendet, wird der AN dieses Ersuchen unverzüglich an den AG weiterleiten. Der AG hat das Recht, dem AN jederzeit, insbesondere hinsichtlich der Art und des Zwecks der Datenverarbeitung, Weisungen zu erteilen. Der AN kann fordern, dass diese in Textform auf elektronischem Weg erteilt werden oder dass mündliche Weisungen durch den AG auf selbigem Wege bestätigt werden.
3. Der AN hat den AG unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Vorschriften der DSGVO oder gegen andere Datenschutzbestimmungen der Europäischen Union oder deren Mitgliedstaaten. Der AN ist dann berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis diese durch den AG bestätigt oder geändert wird.
§5 Datenübermittlung in Drittstaaten
Jede Verlagerung der vereinbarten Datenverarbeitung in ein Drittland bedarf der vorherigen Genehmigung des AG. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet bis dahin ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, es sei denn, der AG gestattet die Datenverarbeitung in einem Drittland vorab und der AN hat sich davon überzeugt, dass bei der datenverarbeitenden Stelle im Drittland ein erforderliches Schutzniveau für die Datenverarbeitung im Sinne des Art. 44 Satz 2 DSGVO vorliegt oder hergestellt wurde. Der AN garantiert für Verlagerungen der vereinbarten Datenverarbeitung in ein Drittland oder Hinzuziehung dort befindlicher Auftragsverarbeiter, dass die Einhaltung der besonderen Voraussetzungen der Art. 44 – 50 DSGVO erfüllt sind. Für die Zulässigkeit der Verlagerung in ein Drittland oder die Einbeziehung von Auftragsverarbeitern in einem Drittland trägt der AN die Verantwortung. Er hat die Zulässigkeit und die Einhaltung der DSGVO auf Verlangen des AG nachzuweisen.
§6 Rückgabe und Löschung der Daten
1. Kopien der Daten dürfen ohne Genehmigung des AG nicht erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit diese zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Der AN erwirbt keinerlei Rechte an den ihm zur Verfügung gestellten Daten, verwendet die Daten für keine anderen Zwecke als die ordnungsgemäße Durchführung des Vertrags und dieser Vereinbarung und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben.
2. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den AG – spätestens nach Kündigung oder Erfüllung des Auftrags – hat der AN sämtliche in seinen Besitz gelangten digitalen Daten und Informationen sowie selbige in Papierform, die erstellten Verarbeitungs- und Nutzungsergebnisse sowie Daten und Informationen, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem AG auszuhändigen oder nach vorheriger Genehmigung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist dem AG anschließend vorzulegen oder alternativ die Löschung in Textform zu bestätigen.
3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den AN entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem AG übergeben.
§7 Datenschutzbeauftragter des AN
Der AN gewährleistet, dass er einen Datenschutzbeauftragten benannt hat, insofern dieser gemäß § 38 Abs. 1 BDSG oder Art. 37 Abs. 1 DSGVO dazu verpflichtet ist, und dass der Datenschutzbeauftragte seine Tätigkeit gemäß § 38 Abs. 2 BDSG und Art. 38 und 39 DSGVO ausüben kann. Dessen Kontaktdaten werden dem AG oder dessen Datenschutzbeauftragten zum Zweck der direkten Kontaktaufnahme auf Anfrage unverzüglich mitgeteilt. Ein Wechsel des Datenschutzbeauftragten bzw. dessen Abberufung ist dem AG unverzüglich mitzuteilen.
§8 Technische und organisatorische Maßnahmen zum Schutz der Daten
1. Der AN gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 und Art. 5 Abs. 1 und 2 DSGVO. Diese hat der AN in der Anlage 2 zu diesem Vertrag zur Auftragsverarbeitung ausführlich darzulegen. Bei Akzeptanz durch den AG werden die dokumentierten Maßnahmen Grundlage des Auftrags.
2. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um solche der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der involvierten Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen gemäß Art. 32 Abs. 1 DSGVO zu berücksichtigen. Hierzu hat der AN insbesondere die Räume, in denen sich die Daten des AG befinden, so zu sichern, dass Unbefugten der Zutritt verwehrt wird, und sicherzustellen, dass der Zugriff auf die personenbezogenen Daten Unbefugten verwehrt wird. Er muss auch verhindern, dass die Unterlagen des AG von Unbefugten gelesen, verändert, kopiert oder entfernt werden können, und seine innerbetriebliche Organisation so gestalten, dass diese den besonderen Ansprüchen des Datenschutzes gerecht wird und die Daten nur im Rahmen der Weisungen des AG verarbeitet werden und während einer Übertragung ausreichend geschützt sind. Den für die Auftragsverarbeitung zuständigen Mitarbeitern des AN müssen diese Weisungen bekannt gemacht werden.
3. Der AN kontrolliert regelmäßig seine internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.
4. Der AN gewährleistet die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem AG im Rahmen seiner Kontrollbefugnisse dieses Vertrags und wird dem AG diese, bei längerer Beauftragung, nach jährlicher Aufforderung erneut darlegen bzw. zusichern, dass sich keine Änderungen ergeben haben.
5. Soweit die Prüfung oder ein Audit des AG oder dessen Datenschutzbeauftragter oder ein Kontrollverfahren der zuständigen Aufsichtsbehörde einen Anpassungsbedarf der getroffenen Maßnahmen aufzeigt, ist dieser einvernehmlich umzusetzen.
6. Die getroffenen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem AN gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das vorherige Sicherheitsniveau nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
§9 Einbeziehung weiterer Auftragsverarbeiter
1. Der AN setzt den AG darüber in Kenntnis, sofern er beabsichtigt, weitere als die in Anlage 1 ausgewiesenen Auftragsverarbeiter hinzuzuziehen, welche direkt mit der Verarbeitung von personenbezogenen Daten des AG beauftragt sind. Erfolgt innerhalb von 4 Wochen kein Widerspruch des AG, gilt die Beauftragung der weiteren Auftragsverarbeiter als genehmigt.
2. Als hinzugezogene Auftragsverarbeiter im Sinne dieser Regelung sind solche Dienstleister zu verstehen, die sich unmittelbar ganz oder teilweise auf die Erbringung der beauftragten Datenverarbeitung beziehen. Nicht hierzu gehören Nebenleistungen, die der AN z. B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder zur Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der AN ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des AG auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
3. Zieht es der Auftragsverarbeiter in Erwägung, die Dienste eines weiteren Auftragsverarbeiters hinzuzuziehen, um bestimmte Verarbeitungstätigkeiten im Namen des AG auszuführen, so wird der AN diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Europäischen Union oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegen, die in diesem vorliegendem Vertrag zwischen AG und dem AN vereinbart sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so umgesetzt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Sämtliche Änderungen dieses Vertrags zur Auftragsverarbeitung hat der AN auch hinzugezogenen Auftragsverarbeitern fortwährend aufzuerlegen. Kommt der hinzugezogene Auftragsverarbeiter seinen Pflichten nicht nach oder verstößt dieser gegen die DSGVO, so haftet der AN gegenüber dem AG oder den betroffenen Personen für die Schäden, die dadurch entstanden sind.
4. Die Weitergabe von personenbezogenen Daten des AG an durch den AN hinzugezogene Auftragsverarbeiter ist erst mit Vorliegen der Genehmigung des AG über die Hinzuziehung und die Erfüllung aller Voraussetzungen aus § 9 des vorliegenden Vertrags erlaubt. Der AG erhält vom AN auf Aufforderung Einblick in die relevanten Vertragsunterlagen mit dem hinzugezogenen Auftragsverarbeiter, wobei der AN berechtigt ist, Preise und Vergütungen o. Ä. unkenntlich zu machen.
5. Soll der hinzugezogene Auftragsverarbeiter außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums tätig werden, stellt der AN die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Diese weist der AN dem AG unaufgefordert nach.
6. Der AN hat die Auftragsverarbeiter, welche er hinzuzuziehen gedenkt, in Anlage 1 aufzulisten und die dort abgefragten Angaben zu beantworten. Durch Unterschrift dieses Vertrags zur Auftragsverarbeitung durch den AG wird deren Hinzuziehung genehmigt.
§10 Kontrollbefugnisse des AG
1. Der AG ist gesetzlich verpflichtet, sich von der Einhaltung der Weisungen und der technischen und organisatorischen Maßnahmen im Sinne des § 7 beim AN zu überzeugen. Der AG hat das Recht, im Benehmen mit dem AN Überprüfungen durchzuführen oder durch die im Einzelfall zu benennenden Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieses Vertrags zur Auftragsverarbeitung durch den AN in dessen Geschäftsbetrieb zu überzeugen. Zu diesem Zweck darf das Betriebsgelände des AN im Beisein eines Beauftragten des AN zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs durch den AG oder dessen Datenschutzbeauftragten betreten werden, damit sich von der Einhaltung der Weisungen und Umsetzung der Maßnahmen überzeugt werden kann.
2. Der AN stellt sicher, dass sich der AG oder dessen Datenschutzbeauftragter von der Erfüllung der datenschutzrechtlichen Pflichten des AN überzeugen kann. Der AN verpflichtet sich, dem AG auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
3. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO erfolgen. Wenn dem AG ausreichend, können hierzu auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. von Wirtschaftsprüfern, Revision, Datenschutzbeauftragten, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits verwendet werden.
4. Der AG kann bei Verstößen gegen den Datenschutz zusätzliche technische und organisatorische Maßnahmen fordern.
§11 Unterstützungspflichten des AN
1. Der AG und der AN arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Soweit der AG seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim AN ausgesetzt ist, hat ihn der AN nach besten Kräften zu unterstützen.
2. Der AN unterstützt den AG angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Der AN wird entsprechende Anträge nicht selbst bearbeiten bzw. beantworten, sondern diese unverzüglich an den AG weiterleiten.
3. Der AN stellt dem AG auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
4. Der AN unterstützt den AG bei der Einhaltung der in den Art. 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgenabschätzungen und vorherigen Konsultationen. Hierzu gehören insbesondere:
die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, welche die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen,
die Verpflichtung, Verletzung des Schutzes personenbezogener Daten unverzüglich an den AG zu melden,
die Verpflichtung, den AG im Rahmen seiner Informationspflicht gegenüber den betroffenen Personen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich zur Verfügung zu stellen,
die Unterstützung des AG bei der Erstellung von dessen Verzeichnis der Verarbeitungstätigkeiten, insofern sich dies auf die beauftragte Datenverarbeitung bezieht,
die Unterstützung des AG für dessen Datenschutz-Folgenabschätzung und
die Unterstützung des AG im Rahmen vorheriger Konsultationen der Aufsichtsbehörde. Hierzu wird der AN dem AG auf Anforderung den Auszug seines Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zur Verfügung stellen, das sich auf die beauftragte Datenverarbeitung bezieht.
§12 Informationspflichten des AN
1. Der AN gewährleistet die unverzügliche Information des AG über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim AN ermittelt.
2. Sollten die Daten des AG bei dem AN durch Pfändung oder Beschlagnahmung, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AN den AG unverzüglich darüber zu informieren. Der AN wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die „Hoheit und das Eigentum“ an den Daten ausschließlich beim AG als Verantwortlichem im Sinne der DSGVO liegen.
3. Der AN hat dem AG unverzüglich – auch bei bloßem Verdacht – alle Verletzungen der Sicherheit in seinem Haus, soweit diese Auswirkungen auf die Verarbeitung von personenbezogenen Daten des AG gehabt haben bzw. haben könnten, zu melden. Gemeldet werden müssen ferner alle Vorkommnisse, die Einfluss auf den Datenbestand des AG haben können (z. B. Einbrüche, Diebstähle, Feuerschäden usw.).
4. Der AN meldet dem AG unverzüglich alle Verstöße gegen diesen Vertrag zur Auftragsverarbeitung und gegen datenschutzrechtliche Vorschriften.
§13 Verschwiegenheit und Wahrung von Betriebs- und Geschäftsgeheimnissen
1. Der AN hat sich mit der Geheimhaltung von Betriebs- und Geschäftsgeheimnissen im Sinne des § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) vertraut gemacht und sichert deren Einhaltung für sich und das durch ihn eingesetzte Personal sowie hinzugezogene Auftragsverarbeiter zu. Dies gilt auch für die sich aus dem vorliegenden Vertragsverhältnis ergebenden Folgeaufträge oder Auftragserweiterungen sowie andere künftige Geschäftsbeziehungen und bezieht sich auf alle Leistungen des AN gegenüber dem AG und ggf. dessen verbundene Unternehmen wie Mutter-, Tochter- und Schwestergesellschaften unabhängig davon, an welchem Ort diese erbracht werden. Sie erstrecken sich auf sämtliche personenbezogene Daten, Unternehmensdaten und -informationen, gleich in welcher Form diese vorliegen und gleich ob sie ausdrücklich als vertraulich bezeichnet sind oder nicht.
2. Der AN sichert zu, dass das von ihm eingesetzte Personal sämtliche während der Erfüllung des Auftrags auch zufällig zugänglich gewordenen Daten geheim hält, sich weder Aufzeichnungen darüber macht noch Kopien anfertigt, entsprechende Daten nicht an Dritte weitergibt oder für eigene Zwecke nutzt.
3. Sollte der AN bzw. dessen zur Vertragserfüllung eingesetztes Personal das E-Mail-System, das Internet/Intranet bzw. die IT-Systeme des AG nutzen wollen, so wird sich der AN bzw. das entsprechende Personal vorab die ausdrückliche Erlaubnis einholen und vor deren Nutzung beim AG über die internen Regelungen des AG zum Umgang mit diesen Systemen und Medien informieren und diesen entsprechen. Der AG behält sich vor, auf alle zur Verfügung gestellten Systeme sowie Daten und Informationen ohne Vorankündigung zuzugreifen. Der AN ist dann seinerseits verpflichtet, das von ihm eingesetzte Personal über die Einhaltung der genannten internen Regelungen des AG regelmäßig zu informieren und deren Einhaltung sicherzustellen.
4. Für eine Unterrichtung, Verpflichtung und Schulung des durch den AN eingesetzten Personals ist der AN verantwortlich. Der AN sichert zu, dass dieser nur Personal einsetzt, das mit den Anforderungen der DSGVO und allen nationalen sowie anderen einschlägigen Datenschutzbestimmungen, der Wahrung von Betriebs- und Geschäftsgeheimnissen im Sinne des § 17 UWG, den Pflichten aus dieser Verpflichtungserklärung und zur Vertraulichkeit im Sinne des Art. 28 Abs. 3 Satz 2 lit. b) DSGVO vertraut ist.
§14 Schlussbestimmungen
1. Der AN ist sich bewusst, dass die Verletzung dieses Vertrags zur Auftragsverarbeitung einen Verstoß gegen die DSGVO, das BDSG, das UWG oder eine sonstige datenschutzrechtliche Vorschrift darstellen kann und dies eine Ordnungswidrigkeit oder Straftat darstellen kann und dass er für diese Verletzungen selbst verantwortlich sowie haftbar ist.
2. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt. An die Stelle der unwirksamen Bestimmungen wird eine andere treten, die wirksam ist und die nach Inhalt und Zweck der unwirksamen Bestimmung am nächsten kommt.
Anlage 1: Weitere Auftragsverarbeiter
Folgende Auftragsverarbeiter dürfen durch den AN im Rahmen der Tätigkeit, die in dem zu dieser Anlage gehörenden Vertrag zur Auftragsverarbeitung beschrieben ist, hinzugezogen werden:
Weiterer Auftragsverarbeiter Nr.1:
Name:
First Colo GmbH
Anschrift inklusive Land:
Hanauer Landstraße 291b, 60314 Frankfurt am Main, Deutschland
Umfang, Art und Zweck der Tätigkeit:
Rechenzentrum (Standort Frankfurt), hat theoretisch Zugriff auf die Hardware / Daten, wird in der Praxis jedoch nicht genutzt!
Weiterer Auftragsverarbeiter Nr.2:
Name:
CenturyLink Communications Europe Limited
Anschrift inklusive Land:
10 Fleet Place, London, EC4M 7RB, Großbritannien
Umfang, Art und Zweck der Tätigkeit:
Rechenzentrum (Standort Hamburg), hat theoretisch Zugriff auf die Hardware / Daten, wird in der Praxis jedoch nicht genutzt. Die Daten bleiben physikalisch in Deutschland!
Weiterer Auftragsverarbeiter Nr.3:
Name:
Mesos, Inh. Ralf Dreibrodt
Anschrift inklusive Land:
Olpener Str. 143, 51103 Köln, Deutschland
Umfang, Art und Zweck der Tätigkeit:
Externer Linuxsystemadministrator, pflegt den webgo Webspace-Admin
Anlage 2: Technische und Organisatorische Maßnahmen
§1 Vertraulichkeit
§1.1 Zutrittskontrolle
Zutrittskontrollsystem, Chipkarte, Türsicherung (elektrische Türöffner, Gegensprechanlage), Videoüberwachung des Geländes, Vermeidung von Datenverarbeitungen im Erdgeschoss, Überwachung und Begleitung von Dienstleistern und Besuchern und zugehörige Stichprobenkontrollen
§1.2 Zugangskontrolle
Schriftliche Fixierung der Zugangsberechtigungen, restriktive Vergabe von Zugangsberechtigungen, Einrichtung und Pflege einer elektronischen Benutzerverwaltung, Ausgestaltung der Passwörter möglichst nach Vorgaben des BSI (u. a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts), Erstellung einer Passwortrichtlinie in Form einer Dienstanweisung, automatische Sperrung (z. B. Kennwort, Pausenschaltung oder bei mehrfachen Fehlversuchen der Nutzung), Verwendung von Firewalls/Antivirensoftware
§1.3 Zugriffskontrolle
Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte), Protokollierung und Auswertung der Zugriffe und Zugriffsversuche, technische Einschränkung der Abfrage- und Zugriffsmöglichkeiten, Regelung der Datenlöschung bzw. Datenträgervernichtung, Verwendung von Magnet- oder Chipkarten/biometrischen Verfahren zur Authentifikation
§1.4 Trennungskontrolle
„Interne Mandantenfähigkeit“ (Kunden- bzw. Mandantentrennung), Dokumentation von Zwecken, zu denen die Daten erhoben wurden, Vergabe unterschiedlicher Rollen in Systemen, Trennung von Test- und Produktivdaten
§1.5 Pseudonymisierung
Erstellung und Aktualisierung einer Übersicht über die ergriffenen technischen und organisatorischen Maßnahmen, Abschluss eines schriftlichen Vertrags zur Auftragsverarbeitung mit den gesetzlichen Mindestinhalten sowie darüber hinausgehenden Informationen zur genauen Auftragsgestaltung, Zugänglichmachung des Vertrags zur Auftragsverarbeitung und der Weisungen für die involvierten Beschäftigten, Schulung der Mitarbeiter auf die Anforderungen an den Datenschutz in Auftragsverarbeitungsverhältnissen, Verpflichtung der Beschäftigten auf Einhaltung des Datenschutzes, Verschlüsselung von Daten während der Übermittlung, Trennung der Daten
§1.6 Datenschutzfreundliche Voreinstellungen
Alle personenbezogenen Daten werden nur für den vorgegebenen Zweck verarbeitet.
§2 Integrität
§2.1 Weitergabekontrolle
Aufzeichnung und Dokumentation aller durchgeführten und geplanten Übermittlungen mit Nennung des Empfängers, der Datenkategorien, des Übermittlungszwecks, des Absenders und des Datums sowie der Uhrzeit der Übermittlung, Erlass von Arbeitsanweisungen bzw. Richtlinien zur Datenträgernutzung und Datenübermittlung, Führen einer Übersicht der wiederkehrenden bzw. regelmäßigen Übermittlungen und deren Ablauf, Nutzung eines VPN, Nutzung eines Content-Filters/einer Firewall, Verbot der Mitnahme oder des Mitbringens von privaten Datenträgern, datensichere Entsorgung von Daten und Datenträgern, Nutzung sicherer Transportfahrzeuge, Nutzung von Übertragungsprotokollen wie TLS/SSL oder SSH
§2.2 Eingabekontrolle
Protokollierungs- und Protokollauswertungssysteme, Erlass von Dienstanweisungen und Schulung zur Eingabe/Veränderung/Entfernung von personenbezogenen Daten sowie deren Zulässigkeit, Protokollierung der Benutzeranmeldungen an Datenverarbeitungsanlagen, Protokollierung von erfolgreichen und gescheiterten Software-Log-ins, Protokollierung der Aktivitäten auf Servern und der Systemverwalter sowie Benutzer
§2.3 Verfügbarkeit und Belastbarkeit
Back-up-Verfahren, Spiegeln von Festplatten (RAID), unterbrechungsfreie Stromversorgung (USV), Installierung von Schutzsteckdosenleisten, Brandschutztüren, Alarmanlagen, Blitzableiter, Bereitstellung von Feuerlöschern, Installierung von Brandmeldern, Durchführung von Brandschutzbegehungen, Installierung von Brandfrüherkennungsanlagen
§2.4 Organisatorische Maßnahmen
Regelmäßige Mitarbeiterschulungen mit Nachweis, schriftlich unterschriebene Verpflichtung auf das Datengeheimnis, schriftliche Arbeitsanweisungen, Dokumentation von Auskunftsersuchen, Anliegen, Berichtigungen, Löschungen oder Sperrungen von personenbezogenen Daten, Verpflichtung aller Dienstleister auf den Datenschutz, IT-Sicherheitsbeauftragten, etablierte Meldeprozesse für Datenschutzverstöße und Incident-Response-Management für IT-Sicherheitsvorfälle
§2.5 Kontrollen der technischen und organisatorischen Maßnahmen
Anlassbezogene Kontrollen, Sichtung und Auswertung von Protokoll- und Logdateien, Sichtung von manuellen Protokollen und Listen, Prüfungen durch den Datenschutzbeauftragten
Änderung unserer Datenschutzbestimmungen
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.
Fragen an den Datenschutzbeauftragten
Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail oder wenden Sie sich direkt an die für den Datenschutz verantwortliche Person in unserer Organisation:
Yves Feuerbach
Schlesierstraße 27
78315 Radolfzell am Bodensee
Die Datenschutzerklärung wurde mithilfe der activeMind AG erstellt, den Experten für externe Datenschutzbeauftragte (Version #2019-04-10).