Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten (nachfolgend kurz „Daten“) im Rahmen der Erbringung unserer Leistungen sowie innerhalb unseres Onlineangebotes und der mit ihm verbundenen Webseiten, Funktionen und Inhalte sowie externen Onlinepräsenzen, wie z.B. unser Social Media Profile auf (nachfolgend gemeinsam bezeichnet als „Onlineangebot“). Im Hinblick auf die verwendeten Begrifflichkeiten, wie z.B. „Verarbeitung“ oder „Verantwortlicher“ verweisen wir auf die Definitionen im Art. 4 der Datenschutzgrundverordnung (DSGVO).
Verantwortlicher
Armin Bortolon
Reichenbachstraße 14
80469 München
info@phlegma.eu
Impressum: https:/www.Phlegma.eu/impressum
Arten der verarbeiteten Daten
– Bestandsdaten (z.B., Personen-Stammdaten, Namen oder Adressen).
- Kontaktdaten (z.B., E-Mail, Telefonnummern).
- Inhaltsdaten (z.B., Texteingaben, Fotografien, Videos).
- Nutzungsdaten (z.B., besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten).
- Meta-/Kommunikationsdaten (z.B., Geräte-Informationen, IP-Adressen).Kategorien betroffener PersonenBesucher und Nutzer des Onlineangebotes (Nachfolgend bezeichnen wir die betroffenen Personen zusammenfassend auch als „Nutzer“).
Zweck der Verarbeitung- Zurverfügungstellung des Onlineangebotes, seiner Funktionen und Inhalte. - Beantwortung von Kontaktanfragen und Kommunikation mit Nutzern.
- Sicherheitsmaßnahmen.
- Reichweitenmessung/Marketing
Verwendete Begrifflichkeiten „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (z.B. Cookie) oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
„Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff reicht weit und umfasst praktisch jeden Umgang mit Daten.
„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
Als „Verantwortlicher“ wird die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, bezeichnet.
„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Maßgebliche RechtsgrundlagenNach Maßgabe des Art. 13 DSGVO teilen wir Ihnen die Rechtsgrundlagen unserer Datenverarbeitungen mit. Für Nutzer aus dem Geltungsbereich der Datenschutzgrundverordnung (DSGVO), d.h. der EU und des EWG gilt, sofern die Rechtsgrundlage in der Datenschutzerklärung nicht genannt wird, Folgendes:
Die Rechtsgrundlage für die Einholung von Einwilligungen ist Art. 6 Abs. 1 lit. a und Art. 7 DSGVO;
Die Rechtsgrundlage für die Verarbeitung zur Erfüllung unserer Leistungen und Durchführung vertraglicher Maßnahmen sowie Beantwortung von Anfragen ist Art. 6 Abs. 1 lit. b DSGVO;
Die Rechtsgrundlage für die Verarbeitung zur Erfüllung unserer rechtlichen Verpflichtungen ist Art. 6 Abs. 1 lit. c DSGVO;
Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
Die Rechtsgrundlage für die erforderliche Verarbeitung zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde ist Art. 6 Abs. 1 lit. e DSGVO.
Die Rechtsgrundlage für die Verarbeitung zur Wahrung unserer berechtigten Interessen ist Art. 6 Abs. 1 lit. f DSGVO.
Die Verarbeitung von Daten zu anderen Zwecken als denen, zu denen sie erhoben wurden, bestimmt sich nach den Vorgaben des Art 6 Abs. 4 DSGVO.
Die Verarbeitung von besonderen Kategorien von Daten (entsprechend Art. 9 Abs. 1 DSGVO) bestimmt sich nach den Vorgaben des Art. 9 Abs. 2 DSGVO.
SicherheitsmaßnahmenWir treffen nach Maßgabe der gesetzlichen Vorgabenunter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen Zugangs zu den Daten, als auch des sie betreffenden Zugriffs, der Eingabe, Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, Löschung von Daten und Reaktion auf Gefährdung der Daten gewährleisten. Ferner berücksichtigen wir den Schutz personenbezogener Daten bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.
Zusammenarbeit mit Auftragsverarbeitern, gemeinsam Verantwortlichen und DrittenSofern wir im Rahmen unserer Verarbeitung Daten gegenüber anderen Personen und Unternehmen (Auftragsverarbeitern, gemeinsam Verantwortlichen oder Dritten) offenbaren, sie an diese übermitteln oder ihnen sonst Zugriff auf die Daten gewähren, erfolgt dies nur auf Grundlage einer gesetzlichen Erlaubnis (z.B. wenn eine Übermittlung der Daten an Dritte, wie an Zahlungsdienstleister, zur Vertragserfüllung erforderlich ist), Nutzer eingewilligt haben, eine rechtliche Verpflichtung dies vorsieht oder auf Grundlage unserer berechtigten Interessen (z.B. beim Einsatz von Beauftragten, Webhostern, etc.).
Sofern wir Daten anderen Unternehmen unserer Unternehmensgruppe offenbaren, übermitteln oder ihnen sonst den Zugriff gewähren, erfolgt dies insbesondere zu administrativen Zwecken als berechtigtes Interesse und darüberhinausgehend auf einer den gesetzlichen Vorgaben entsprechenden Grundlage.
Übermittlungen in DrittländerSofern wir Daten in einem Drittland (d.h. außerhalb der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR) oder der Schweizer Eidgenossenschaft) verarbeiten oder dies im Rahmen der Inanspruchnahme von Diensten Dritter oder Offenlegung, bzw. Übermittlung von Daten an andere Personen oder Unternehmen geschieht, erfolgt dies nur, wenn es zur Erfüllung unserer (vor)vertraglichen Pflichten, auf Grundlage Ihrer Einwilligung, aufgrund einer rechtlichen Verpflichtung oder auf Grundlage unserer berechtigten Interessen geschieht. Vorbehaltlich ausdrücklicher Einwilligung oder vertraglich erforderlicher Übermittlung, verarbeiten oder lassen wir die Daten nur in Drittländern mit einem anerkannten Datenschutzniveau, zu denen die unter dem „Privacy-Shield“ zertifizierten US-Verarbeiter gehören oder auf Grundlage besonderer Garantien, wie z.B. vertraglicher Verpflichtung durch sogenannte Standardschutzklauseln der EU-Kommission, dem Vorliegen von Zertifizierungen oder verbindlichen internen Datenschutzvorschriften verarbeiten (Art. 44 bis 49 DSGVO, Informationsseite der EU-Kommission).Rechte der betroffenen PersonenAuskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
Recht auf Berichtigung: Sie haben, entsprechend den gesetzlichen Vorgaben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht zu verlangen, dass betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe der gesetzlichen Vorgaben eine Einschränkung der Verarbeitung der Daten zu verlangen.
Recht auf Datenübertragbarkeit: Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, nach Maßgabe der gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
Beschwerde bei Aufsichtsbehörde: Sie haben ferner nach Maßgabe der gesetzlichen Vorgaben das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen.
WiderrufsrechtSie haben das Recht, erteilte Einwilligungen mit Wirkung für die Zukunft zu widerrufen.WiderspruchsrechtWiderspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartigr Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.Cookies und Widerspruchsrecht bei DirektwerbungAls „Cookies“ werden kleine Dateien bezeichnet, die auf Rechnern der Nutzer gespeichert werden. Innerhalb der Cookies können unterschiedliche Angaben gespeichert werden. Ein Cookie dient primär dazu, die Angaben zu einem Nutzer (bzw. dem Gerät auf dem das Cookie gespeichert ist) während oder auch nach seinem Besuch innerhalb eines Onlineangebotes zu speichern. Als temporäre Cookies, bzw. „Session-Cookies“ oder „transiente Cookies“, werden Cookies bezeichnet, die gelöscht werden, nachdem ein Nutzer ein Onlineangebot verlässt und seinen Browser schließt. In einem solchen Cookie kann z.B. der Inhalt eines Warenkorbs in einem Onlineshop oder ein Login-Status gespeichert werden. Als „permanent“ oder „persistent“ werden Cookies bezeichnet, die auch nach dem Schließen des Browsers gespeichert bleiben. So kann z.B. der Login-Status gespeichert werden, wenn die Nutzer diese nach mehreren Tagen aufsuchen. Ebenso können in einem solchen Cookie die Interessen der Nutzer gespeichert werden, die für Reichweitenmessung oder Marketingzwecke verwendet werden. Als „Third-Party-Cookie“ werden Cookies bezeichnet, die von anderen Anbietern als dem Verantwortlichen, der das Onlineangebot betreibt, angeboten werden (andernfalls, wenn es nur dessen Cookies sind spricht man von „First-Party Cookies“).
Wir können temporäre und permanente Cookies einsetzen und klären hierüber im Rahmen unserer Datenschutzerklärung auf.
Sofern wir die Nutzer um eine Einwilligung in den Einsatz von Cookies bitten (z.B. im Rahmen einer Cookie-Einwilligung), ist die Rechtsgrundlage dieser Verarbeitung Art. 6 Abs. 1 lit. a. DSGVO. Ansonsten werden die personenbezogenen Cookies der Nutzer entsprechend den nachfolgenden Erläuterungen im Rahmen dieser Datenschutzerklärung auf Grundlage unserer berechtigten Interessen (d.h. Interesse an der Analyse, Optimierung und wirtschaftlichem Betrieb unseres Onlineangebotes im Sinne des Art. 6 Abs. 1 lit. f. DSGVO) oder sofern der Einsatz von Cookies zur Erbringung unserer vertragsbezogenen Leistungen erforderlich ist, gem. Art. 6 Abs. 1 lit. b. DSGVO, bzw. sofern der Einsatz von Cookies für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt erforderlich ist oder in Ausübung öffentlicher Gewalt erfolgt, gem. Art. 6 Abs. 1 lit. e. DSGVO, verarbeitet.
Falls die Nutzer nicht möchten, dass Cookies auf ihrem Rechner gespeichert werden, werden sie gebeten die entsprechende Option in den Systemeinstellungen ihres Browsers zu deaktivieren. Gespeicherte Cookies können in den Systemeinstellungen des Browsers gelöscht werden. Der Ausschluss von Cookies kann zu Funktionseinschränkungen dieses Onlineangebotes führen.
Ein genereller Widerspruch gegen den Einsatz der zu Zwecken des Onlinemarketing eingesetzten Cookies kann bei einer Vielzahl der Dienste, vor allem im Fall des Trackings, über die US-amerikanische Seite http://www.aboutads.info/choices/ oder die EU-Seite http://www.youronlinechoices.com/ erklärt werden. Des Weiteren kann die Speicherung von Cookies mittels deren Abschaltung in den Einstellungen des Browsers erreicht werden. Bitte beachten Sie, dass dann gegebenenfalls nicht alle Funktionen dieses Onlineangebotes genutzt werden können.Löschung von DatenDie von uns verarbeiteten Daten werden nach Maßgabe der gesetzlichen Vorgaben gelöscht oder in ihrer Verarbeitung eingeschränkt. Sofern nicht im Rahmen dieser Datenschutzerklärung ausdrücklich angegeben, werden die bei uns gespeicherten Daten gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. D.h. die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen.Änderungen und Aktualisierungen der DatenschutzerklärungWir bitten Sie sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z.B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.RegistrierfunktionNutzer können ein Nutzerkonto anlegen. Im Rahmen der Registrierung werden die erforderlichen Pflichtangaben den Nutzern mitgeteilt und auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO zu Zwecken der Bereitstellung des Nutzerkontos verarbeitet. Zu den verarbeiteten Daten gehören insbesondere die Login-Informationen (Name, Passwort sowie eine E-Mailadresse). Die im Rahmen der Registrierung eingegebenen Daten werden für die Zwecke der Nutzung des Nutzerkontos und dessen Zwecks verwendet.
Die Nutzer können über Informationen, die für deren Nutzerkonto relevant sind, wie z.B. technische Änderungen, per E-Mail informiert werden. Wenn Nutzer ihr Nutzerkonto gekündigt haben, werden deren Daten im Hinblick auf das Nutzerkonto, vorbehaltlich einer gesetzlichen Aufbewahrungspflicht, gelöscht. Es obliegt den Nutzern, ihre Daten bei erfolgter Kündigung vor dem Vertragsende zu sichern. Wir sind berechtigt, sämtliche während der Vertragsdauer gespeicherten Daten des Nutzers unwiederbringlich zu löschen.
Im Rahmen der Inanspruchnahme unserer Registrierungs- und Anmeldefunktionen sowie der Nutzung des Nutzerkontos, speichern wir die IP-Adresse und den Zeitpunkt der jeweiligen Nutzerhandlung. Die Speicherung erfolgt auf Grundlage unserer berechtigten Interessen, als auch der Nutzer an Schutz vor Missbrauch und sonstiger unbefugter Nutzung. Eine Weitergabe dieser Daten an Dritte erfolgt grundsätzlich nicht, außer sie ist zur Verfolgung unserer Ansprüche erforderlich oder es besteht hierzu besteht eine gesetzliche Verpflichtung gem. Art. 6 Abs. 1 lit. c. DSGVO. Die IP-Adressen werden spätestens nach 7 Tagen anonymisiert oder gelöscht.
Kommentare und BeiträgeWenn Nutzer Kommentare oder sonstige Beiträge hinterlassen, können ihre IP-Adressen auf Grundlage unserer berechtigten Interessen im Sinne des Art. 6 Abs. 1 lit. f. DSGVO für 7 Tage gespeichert werden. Das erfolgt zu unserer Sicherheit, falls jemand in Kommentaren und Beiträgen widerrechtliche Inhalte hinterlässt (Beleidigungen, verbotene politische Propaganda, etc.). In diesem Fall können wir selbst für den Kommentar oder Beitrag belangt werden und sind daher an der Identität des Verfassers interessiert.
Des Weiteren behalten wir uns vor, auf Grundlage unserer berechtigten Interessen gem. Art. 6 Abs. 1 lit. f. DSGVO, die Angaben der Nutzer zwecks Spamerkennung zu verarbeiten.
Auf derselben Rechtsgrundlage behalten wir uns vor, im Fall von Umfragen die IP-Adressen der Nutzer für deren Dauer zu speichern und Cookies zu verwenden, um Mehrfachabstimmungen zu vermeiden.
Die im Rahmen der Kommentare und Beiträge mitgeteilte Informationen zur Person, etwaige Kontakt- sowie Websiteinformationen als auch die inhaltlichen Angaben, werden von uns bis zum Widerspruch der Nutzer dauerhaft gespeichert.KommentarabonnementsDie Nachfolgekommentare können durch Nutzer mit deren Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO abonniert werden. Die Nutzer erhalten eine Bestätigungsemail, um zu überprüfen, ob sie der Inhaber der eingegebenen Emailadresse sind. Nutzer können laufende Kommentarabonnements jederzeit abbestellen. Die Bestätigungsemail wird Hinweise zu den Widerrufsmöglichkeiten enthalten. Für die Zwecke des Nachweises der Einwilligung der Nutzer, speichern wir den Anmeldezeitpunkt nebst der IP-Adresse der Nutzer und löschen diese Informationen, wenn Nutzer sich von dem Abonnement abmelden.
Sie können den Empfang unseres Abonnements jederzeit kündigen, d.h. Ihre Einwilligungen widerrufen. Wir können die ausgetragenen E-Mailadressen bis zu drei Jahren auf Grundlage unserer berechtigten Interessen speichern bevor wir sie löschen, um eine ehemals gegebene Einwilligung nachweisen zu können. Die Verarbeitung dieser Daten wird auf den Zweck einer möglichen Abwehr von Ansprüchen beschränkt. Ein individueller Löschungsantrag ist jederzeit möglich, sofern zugleich das ehemalige Bestehen einer Einwilligung bestätigt wird.KontaktaufnahmeBei der Kontaktaufnahme mit uns (z.B. per Kontaktformular, E-Mail, Telefon oder via sozialer Medien) werden die Angaben des Nutzers zur Bearbeitung der Kontaktanfrage und deren Abwicklung gem. Art. 6 Abs. 1 lit. b. (im Rahmen vertraglicher-/vorvertraglicher Beziehungen), Art. 6 Abs. 1 lit. f. (andere Anfragen) DSGVO verarbeitet.. Die Angaben der Nutzer können in einem Customer-Relationship-Management System („CRM System“) oder vergleichbarer Anfragenorganisation gespeichert werden.
Wir löschen die Anfragen, sofern diese nicht mehr erforderlich sind. Wir überprüfen die Erforderlichkeit alle zwei Jahre; Ferner gelten die gesetzlichen Archivierungspflichten.
ADV/AV mit webgo (Hoster):
Vereinbarung zur Auftragsdatenverarbeitung
(gemäß Art. 28 DSGVO)
-Zwischen-
Frau
Ines Bortolon
Reichenbachstraße 14
DE – 80469 München
im folgenden Auftraggeber (AG) genannt –
Und der
webgo GmbH
Wandsbeker Zollstr. 95
22041 Hamburg
im folgenden Auftragnehmer (AN) genannt –
Präambel
Der AN führt im Auftrag des AG Tätigkeiten aus, welche weisungsgebundene Verarbeitungen von personenbezogenen Daten beinhalten. Dies stellt eine Auftragsverarbeitung im Sinne des Art. 28 EU Datenschutz-Grundverordnung (DSGVO) dar. Dieser liegen die Regelungen der DSGVO und des Bundesdatenschutzgesetzes (BDSG) zugrunde. Der vorliegende Vertrag zur Auftragsverarbeitung stellt die vertragliche Regelung der ordnungsgemäßen Verarbeitung personenbezogener Daten durch den AN im Auftrag des AG dar. Der Verantwortliche für die Verarbeitung im Sinne des Art. 4 Nr. 7 sowie Art. 28 DSGVO ist der AG. Die Anlage 1 „Weitere Auftragsverarbeiter“ und Anlage 2 „Technische und organisatorische Maßnahmen“ sind Bestandteil dieses Vertrags zur Auftragsverarbeitung.
webgo GmbH · Wandsbeker Zollstr. 95 · 22041 Hamburg // Handelsregister · HRB 132905 // Steuer · St. Nr.: 44/767/00561 · Ust-ID: DE296224196 //
Bankverbindung · Deutsche Bank · IBAN DE61 2007 0024 0186 5880 00 · BIC DEUTDEDBHAM // Geschäftsführer · Sebastian Angermeyer //
Kontakt · info@webgo.de · webgo.de
§1 Grundlage, Gegenstand, Dauer und Kündigung des
Vertrags
Die Grundlage dieses Auftrags ist die Online-Bestellung vom 19.03.2019 in Verbindung mit den AGB des AN.
Der Gegenstand der Datenverarbeitung ergibt sich aus der oben genannten Grundlage.
Die Dauer dieses Auftrags entspricht der Laufzeit der oben genannten Grundlage.
Die Möglichkeit zur ordentlichen und fristlosen Kündigung ergibt sich aus dem Vertrag oder, falls nicht vereinbart, aus den einschlägigen gesetzlichen Regelungen. Der AG kann diesen Vertrag zur Auftragsverarbeitung fristlos kündigen, sobald der AN oder dessen rechtmäßig hinzugezogene Auftragsverarbeiter wiederholt gegen die Bestimmungen dieses Vertrags zur Auftragsverarbeitung oder einschlägige datenschutzrechtliche Vorschriften verstoßen.
§2 Art und Zweck Der Verarbeitung der Daten
Die Art und der Zweck der Verarbeitung der personenbezogenen Daten sind weisungsgebunden und umfassen den Vertrag #99836 der Produktkategorie SSD Webhosting mit der Tarifbezeichnung Webhosting SSD Profi 2016.
Zu dem genannten Zweck dürfen die Daten auf den Systemen des AG und des AN gespeichert werden.
§3 Art der personenbezogenen Daten und die Kategorien betroffener Personen
Die Arten der von der Verarbeitung erfassten Daten sind:
Namen, Adressen, Telefonnummern, E-Mail-Adressen, Fotos / Videos, Authentifizierungsdaten, Mitarbeiterdaten, IP – Adressen
Die Kategorien betroffener Personen der Datenverarbeitung sind:
Besucher Ihrer Website, Geschäftspartner, Mitarbeiter, Interessenten, Kunden, Mitglieder, Nutzer
§4 Zweckbindung und Weisungsbefugnis des AG
Die Daten des AG sind von den Daten anderer AG und denen des AN getrennt zu verarbeiten. Ferner ist es dem AN untersagt, die Daten des AG für andere als für die vertragsgemäß festgelegte Aufgabenstellung zu verarbeiten oder zu nutzen. Die Übermittlung von Daten an Dritte darf nur im Rahmen der festgelegten Vertragszwecke erfolgen. Hierzu ist vorab weiterhin die Genehmigung des AG erforderlich.
Sollte der AN eine Übermittlung der personenbezogenen Daten an ein Drittland oder eine internationale Organisation vornehmen wollen, die nicht dem Recht der Europäischen Union oder der Mitgliedstaaten unterliegt, so muss dies der AG vorab genehmigen. In einem solchen
Fall teilt der Auftragsverarbeiter dem Verantwortlichen dies und eventuelle rechtliche Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der AN darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des AG berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den AN wendet, wird der AN dieses Ersuchen unverzüglich an den AG weiterleiten. Der AG hat das Recht, dem AN jederzeit, insbesondere hinsichtlich der Art und des Zwecks der Datenverarbeitung, Weisungen zu erteilen. Der AN kann fordern, dass diese in Textform auf elektronischem Weg erteilt werden oder dass mündliche Weisungen durch den AG auf selbigem Wege bestätigt werden.
Der AN hat den AG unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Vorschriften der DSGVO oder gegen andere Datenschutzbestimmungen der Europäischen Union oder deren Mitgliedstaaten. Der AN ist dann berechtigt, die Durchführung
der entsprechenden Weisung so lange auszusetzen, bis diese durch den AG bestätigt oder geändert wird.
§5 Datenübermittlung in Drittstaaten
Jede Verlagerung der vereinbarten Datenverarbeitung in ein Drittland bedarf der vorherigen Genehmigung des AG. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet bis dahin ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, es sei denn, der AG gestattet die Datenverarbeitung in einem Drittland vorab und der AN hat sich davon überzeugt, dass bei der datenverarbeitenden Stelle im Drittland ein erforderliches Schutzniveau für die Datenverarbeitung im Sinne des Art. 44 Satz 2 DSGVO vorliegt oder hergestellt wurde. Der AN garantiert für Verlagerungen der vereinbarten Datenverarbeitung in ein Drittland oder Hinzuziehung dort befindlicher Auftragsverarbeiter, dass die Einhaltung der besonderen Voraussetzungen der Art. 44 – 50 DSGVO erfüllt sind. Für die Zulässigkeit der Verlagerung in ein Drittland oder die Einbeziehung von Auftragsverarbeitern in einem Drittland trägt der AN die Verantwortung. Er hat die Zulässigkeit und die Einhaltung der DSGVO auf
Verlangen des AG nachzuweisen.
§6 Rückgabe und Löschung der Daten
Kopien der Daten dürfen ohne Genehmigung des AG nicht erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit diese zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Der AN erwirbt keinerlei Rechte an den ihm zur Verfügung gestellten Daten, verwendet die Daten für keine anderen Zwecke als die ordnungsgemäße Durchführung des Vertrags und dieser Vereinbarung und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben.
Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den AG – spätestens nach Kündigung oder Erfüllung des Auftrags – hat der AN sämtliche in seinen Besitz gelangten digitalen Daten und Informationen sowie selbige in Papierform, die erstellten Verarbeitungs- und Nutzungsergebnisse sowie Daten und Informationen, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem AG auszuhändigen oder nach vorheriger Genehmigung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist dem AG anschließend vorzulegen oder alternativ die Löschung in Textform zu bestätigen.
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen
Datenverarbeitung dienen, sind durch den AN entsprechend den jeweiligen
Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem AG übergeben.
§7 Datenschutzbeauftragter des AN
Der AN gewährleistet, dass er einen Datenschutzbeauftragten benannt hat, insofern dieser gemäß § 38 Abs. 1 BDSG oder Art. 37 Abs. 1 DSGVO dazu verpflichtet ist, und dass der Datenschutzbeauftragte seine Tätigkeit gemäß § 38 Abs. 2 BDSG und Art. 38 und 39 DSGVO ausüben kann. Dessen Kontaktdaten werden dem AG oder dessen Datenschutzbeauftragten zum Zweck der direkten Kontaktaufnahme auf Anfrage unverzüglich mitgeteilt. Ein Wechsel des Datenschutzbeauftragten bzw. dessen Abberufung ist dem AG unverzüglich mitzuteilen.
§8 Technische und organisatorische Maßnahmen zum Schutz der Daten
Der AN gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 und Art. 5 Abs. 1 und 2 DSGVO. Diese hat der AN in der Anlage 2 zu diesem Vertrag zur Auftragsverarbeitung ausführlich darzulegen. Bei Akzeptanz durch den AG werden die dokumentierten Maßnahmen Grundlage des Auftrags.
Insgesamt handelt es sich bei den zu treffenden Maßnahmen um solche der
Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der involvierten Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen gemäß Art. 32 Abs. 1 DSGVO zu berücksichtigen. Hierzu hat der AN insbesondere die Räume, in denen sich die Daten des AG befinden, so zu sichern, dass Unbefugten der Zutritt verwehrt wird, und sicherzustellen, dass der Zugriff auf die personenbezogenen Daten Unbefugten verwehrt wird. Er muss auch verhindern, dass die Unterlagen des AG von Unbefugten gelesen, verändert, kopiert oder entfernt werden können, und seine innerbetriebliche Organisation so gestalten, dass diese den besonderen Ansprüchen des Datenschutzes gerecht wird und die Daten nur im Rahmen der Weisungen des AG verarbeitet werden und während einer Übertragung ausreichend geschützt sind. Den für die Auftragsverarbeitung zuständigen Mitarbeitern des AN müssen diese Weisungen bekannt gemacht werden.
Der AN kontrolliert regelmäßig seine internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.
Der AN gewährleistet die Nachweisbarkeit der getroffenen technischen und
organisatorischen Maßnahmen gegenüber dem AG im Rahmen seiner Kontrollbefugnisse dieses Vertrags und wird dem AG diese, bei längerer Beauftragung, nach jährlicher Aufforderung erneut darlegen bzw. zusichern, dass sich keine Änderungen ergeben haben.
Soweit die Prüfung oder ein Audit des AG oder dessen Datenschutzbeauftragter oder ein Kontrollverfahren der zuständigen Aufsichtsbehörde einen Anpassungsbedarf der getroffenen Maßnahmen aufzeigt, ist dieser einvernehmlich umzusetzen.
Die getroffenen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem AN gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das vorherige Sicherheitsniveau nicht unterschritten werden.
Wesentliche Änderungen sind zu dokumentieren.
§9 Einbeziehung weiterer Auftragsverarbeiter
Der AN setzt den AG darüber in Kenntnis, sofern er beabsichtigt, weitere als die in Anlage 1 ausgewiesenen Auftragsverarbeiter hinzuzuziehen, welche direkt mit der Verarbeitung von personenbezogenen Daten des AG beauftragt sind. Erfolgt innerhalb von 4 Wochen kein Widerspruch des AG, gilt die Beauftragung der weiteren Auftragsverarbeiter als genehmigt.
Als hinzugezogene Auftragsverarbeiter im Sinne dieser Regelung sind solche Dienstleister zu verstehen, die sich unmittelbar ganz oder teilweise auf die Erbringung der beauftragten Datenverarbeitung beziehen. Nicht hierzu gehören Nebenleistungen, die der AN z. B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder zur Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der AN ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des AG auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
Zieht es der Auftragsverarbeiter in Erwägung, die Dienste eines weiteren
Auftragsverarbeiters hinzuzuziehen, um bestimmte Verarbeitungstätigkeiten im Namen des AG auszuführen, so wird der AN diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Europäischen Union oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegen, die in diesem vorliegendem Vertrag zwischen AG und dem AN vereinbart sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so umgesetzt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Sämtliche Änderungen dieses Vertrags zur Auftragsverarbeitung hat der AN auch hinzugezogenen Auftragsverarbeitern fortwährend aufzuerlegen. Kommt der hinzugezogene Auftragsverarbeiter seinen Pflichten nicht nach oder verstößt dieser gegen die DSGVO, so haftet der AN gegenüber dem AG oder den betroffenen Personen für die Schäden, die dadurch entstanden sind.
Die Weitergabe von personenbezogenen Daten des AG an durch den AN hinzugezogene Auftragsverarbeiter ist erst mit Vorliegen der Genehmigung des AG über die Hinzuziehung und die Erfüllung aller Voraussetzungen aus § 9 des vorliegenden Vertrags erlaubt. Der AG erhält vom AN auf Aufforderung Einblick in die relevanten Vertragsunterlagen mit dem hinzugezogenen Auftragsverarbeiter, wobei der AN berechtigt ist, Preise und Vergütungen o. Ä. unkenntlich zu machen.
Soll der hinzugezogene Auftragsverarbeiter außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums tätig werden, stellt der AN die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Diese weist der AN dem AG unaufgefordert nach.
Der AN hat die Auftragsverarbeiter, welche er hinzuzuziehen gedenkt, in Anlage 1 aufzulisten und die dort abgefragten Angaben zu beantworten. Durch Unterschrift dieses Vertrags zur Auftragsverarbeitung durch den AG wird deren Hinzuziehung genehmigt.
§10 Kontrollbefugnisse des AG
Der AG ist gesetzlich verpflichtet, sich von der Einhaltung der Weisungen und der technischen und organisatorischen Maßnahmen im Sinne des § 7 beim AN zu überzeugen. Der AG hat das Recht, im Benehmen mit dem AN Überprüfungen durchzuführen oder durch die im Einzelfall zu benennenden Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieses Vertrags zur Auftragsverarbeitung durch den AN in dessen Geschäftsbetrieb zu überzeugen. Zu diesem Zweck darf das Betriebsgelände des AN im Beisein eines Beauftragten des AN zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs durch den AG oder dessen Datenschutzbeauftragten betreten werden, damit sich von der Einhaltung der Weisungen und Umsetzung der Maßnahmen überzeugt werden kann.
Der AN stellt sicher, dass sich der AG oder dessen Datenschutzbeauftragter von der Erfüllung der datenschutzrechtlichen Pflichten des AN überzeugen kann. Der AN verpflichtet sich, dem AG auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO erfolgen. Wenn dem AG ausreichend, können hierzu auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. von Wirtschaftsprüfern, Revision, Datenschutzbeauftragten, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits verwendet werden.
Der AG kann bei Verstößen gegen den Datenschutz zusätzliche technische und organisatorische Maßnahmen fordern.
§11 Unterstützungspflichten des AN
Der AG und der AN arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Soweit der AG seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim AN ausgesetzt ist, hat ihn der AN nach besten Kräften zu unterstützen.
Der AN unterstützt den AG angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Der AN wird entsprechende Anträge nicht selbst bearbeiten bzw. beantworten, sondern diese unverzüglich an den AG weiterleiten.
Der AN stellt dem AG auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
Der AN unterstützt den AG bei der Einhaltung der in den Art. 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgenabschätzungen und vorherigen Konsultationen. Hierzu gehören insbesondere: die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, welche die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen, die Verpflichtung, Verletzung des Schutzes personenbezogener Daten unverzüglich an den AG zu melden, die Verpflichtung, den AG im Rahmen seiner Informationspflicht gegenüber den betroffenen Personen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich zur Verfügung zu stellen, die Unterstützung des AG bei der Erstellung von dessen Verzeichnis der Verarbeitungstätigkeiten, insofern sich dies auf die beauftragte Datenverarbeitung bezieht, die Unterstützung des AG für dessen Datenschutz-Folgenabschätzung und die Unterstützung des AG im Rahmen vorheriger Konsultationen der Aufsichtsbehörde. Hierzu wird der AN dem AG auf Anforderung den Auszug seines Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zur Verfügung stellen, das sich auf die beauftragte Datenverarbeitung bezieht.
§12 Informationspflichten des AN
Der AN gewährleistet die unverzügliche Information des AG über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim AN ermittelt.
Sollten die Daten des AG bei dem AN durch Pfändung oder Beschlagnahmung, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AN den AG unverzüglich darüber zu informieren. Der AN wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die „Hoheit und das Eigentum“ an den Daten ausschließlich beim AG als Verantwortlichem im Sinne der DSGVO liegen.
Der AN hat dem AG unverzüglich – auch bei bloßem Verdacht – alle Verletzungen der Sicherheit in seinem Haus, soweit diese Auswirkungen auf die Verarbeitung von personenbezogenen Daten des AG gehabt haben bzw. haben könnten, zu melden. Gemeldet werden müssen ferner alle Vorkommnisse, die Einfluss auf den Datenbestand des AG haben können (z. B. Einbrüche, Diebstähle, Feuerschäden usw.).
Der AN meldet dem AG unverzüglich alle Verstöße gegen diesen Vertrag zur Auftragsverarbeitung und gegen datenschutzrechtliche Vorschriften.
§13 Verschwiegenheit und Wahrung von Betriebs- und Geschäftsgeheimnissen
Der AN hat sich mit der Geheimhaltung von Betriebs- und Geschäftsgeheimnissen im Sinne des § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) vertraut gemacht und sichert deren Einhaltung für sich und das durch ihn eingesetzte Personal sowie hinzugezogene Auftragsverarbeiter zu. Dies gilt auch für die sich aus dem vorliegenden Vertragsverhältnis ergebenden Folgeaufträge oder Auftragserweiterungen sowie andere künftige Geschäftsbeziehungen und bezieht sich auf alle Leistungen des AN gegenüber dem AG und ggf. dessen verbundene Unternehmen wie Mutter-, Tochter- und Schwestergesellschaften unabhängig davon, an welchem Ort diese erbracht werden. Sie erstrecken sich auf sämtliche personenbezogene Daten, Unternehmensdaten und -informationen, gleich in welcher Form diese vorliegen und gleich ob sie ausdrücklich als vertraulich bezeichnet sind oder nicht.
Der AN sichert zu, dass das von ihm eingesetzte Personal sämtliche während der Erfüllung des Auftrags auch zufällig zugänglich gewordenen Daten geheim hält, sich weder Aufzeichnungen darüber macht noch Kopien anfertigt, entsprechende Daten nicht an Dritte weitergibt oder für eigene Zwecke nutzt.
Sollte der AN bzw. dessen zur Vertragserfüllung eingesetztes Personal das E-Mail-System, das Internet/Intranet bzw. die IT-Systeme des AG nutzen wollen, so wird sich der AN bzw. das entsprechende Personal vorab die ausdrückliche Erlaubnis einholen und vor deren Nutzung beim AG über die internen Regelungen des AG zum Umgang mit diesen Systemen und Medien informieren und diesen entsprechen. Der AG behält sich vor, auf alle zur Verfügung gestellten Systeme sowie Daten und Informationen ohne Vorankündigung zuzugreifen. Der AN ist dann seinerseits verpflichtet, das von ihm eingesetzte Personal über die Einhaltung der genannten internen Regelungen des AG regelmäßig zu informieren und deren Einhaltung sicherzustellen.
Für eine Unterrichtung, Verpflichtung und Schulung des durch den AN eingesetzten Personals ist der AN verantwortlich. Der AN sichert zu, dass dieser nur Personal einsetzt, das mit den Anforderungen der DSGVO und allen nationalen sowie anderen einschlägigen Datenschutzbestimmungen, der Wahrung von Betriebs- und Geschäftsgeheimnissen im Sinne des § 17 UWG, den Pflichten aus dieser Verpflichtungserklärung und zur Vertraulichkeit im Sinne des Art. 28 Abs. 3 Satz 2 lit. b) DSGVO vertraut ist.
§14 Schlussbestimmungen
Der AN ist sich bewusst, dass die Verletzung dieses Vertrags zur Auftragsverarbeitung einen Verstoß gegen die DSGVO, das BDSG, das UWG oder eine sonstige datenschutzrechtliche Vorschrift darstellen kann und dies eine Ordnungswidrigkeit oder Straftat darstellen kann und dass er für diese Verletzungen selbst verantwortlich sowie haftbar ist.
Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt. An die Stelle der unwirksamen Bestimmungen wird eine andere treten, die wirksam ist und die nach Inhalt und Zweck der unwirksamen Bestimmung am nächsten kommt.
Hamburg, 03.05.2019
Ort, Datum
München, 03.05.2019
Ort, Datum
Auftragnehmer Auftraggeber
webgo GmbH · Wandsbeker Zollstr. 95 · 22041 Hamburg // Handelsregister · HRB 132905 // Steuer · St. Nr.: 44/767/00561 · Ust-ID: DE296224196 //
Bankverbindung · Deutsche Bank · IBAN DE61 2007 0024 0186 5880 00 · BIC DEUTDEDBHAM // Geschäftsführer · Sebastian Angermeyer //
Kontakt · info@webgo.de · webgo.de
Vereinbarung zur Auftragsdatenverarbeitung (gemäß Art. 28 DSGVO)
Anlage 1: Weitere Auftragsverarbeiter
Folgende Auftragsverarbeiter dürfen durch den AN im Rahmen der Tätigkeit, die in dem zu dieser Anlage gehörenden Vertrag zur Auftragsverarbeitung beschrieben ist, hinzugezogen werden:
Weiterer Auftragsverarbeiter Nr.1:
Name:
First Colo GmbH
Anschrift inklusive Land:
Hanauer Landstraße 291b, 60314 Frankfurt am Main, Deutschland
Umfang, Art und Zweck der Tätigkeit:
Rechenzentrum (Standort Frankfurt), hat theoretisch Zugriff auf die Hardware / Daten, wird in der Praxis jedoch nicht genutzt!
Weiterer Auftragsverarbeiter Nr.2:
Name:
CenturyLink Communications Europe Limited
Anschrift inklusive Land:
10 Fleet Place, London, EC4M 7RB, Großbritannien
Umfang, Art und Zweck der Tätigkeit:
Rechenzentrum (Standort Hamburg), hat theoretisch Zugriff auf die Hardware / Daten, wird in der Praxis jedoch nicht genutzt. Die Daten bleiben physikalisch in Deutschland!
Weiterer Auftragsverarbeiter Nr.3:
Name:
Mesos, Inh. Ralf Dreibrodt
Anschrift inklusive Land:
Olpener Str. 143, 51103 Köln, Deutschland
Umfang, Art und Zweck der Tätigkeit:
Externer Linuxsystemadministrator, pflegt den webgo Webspace-Admin
Ort, Datum
Hamburg, 06.05.2019
Auftragnehmer
webgo GmbH · Wandsbeker Zollstr. 95 · 22041 Hamburg // Handelsregister · HRB 132905 // Steuer · St. Nr.: 44/767/00561 · Ust-ID: DE296224196 //
Bankverbindung · Deutsche Bank · IBAN DE61 2007 0024 0186 5880 00 · BIC DEUTDEDBHAM // Geschäftsführer · Sebastian Angermeyer //
Kontakt · info@webgo.de · webgo.de
Vereinbarung zur Auftragsdatenverarbeitung (gemäß Art. 28 DSGVO)
Anlage 2: Technische und Organisatorische Maßnahmen
§1 Vertraulichkeit
§1.1 Zutrittskontrolle
Zutrittskontrollsystem, Chipkarte, Türsicherung (elektrische Türöffner, Gegensprechanlage), Videoüberwachung des Geländes, Vermeidung von Datenverarbeitungen im Erdgeschoss, Überwachung und Begleitung von Dienstleistern und Besuchern und zugehörige Stichprobenkontrollen
§1.2 Zugangskontrolle
Schriftliche Fixierung der Zugangsberechtigungen, restriktive Vergabe von Zugangsberechtigungen, Einrichtung und Pflege einer elektronischen Benutzerverwaltung, Ausgestaltung der Passwörter möglichst nach Vorgaben des BSI (u. a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts), Erstellung einer Passwortrichtlinie in Form einer Dienstanweisung, automatische Sperrung (z. B. Kennwort, Pausenschaltung oder bei mehrfachen Fehlversuchen der Nutzung), Verwendung von Firewalls/Antivirensoftware §1.3 Zugriffskontrolle Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte), Protokollierung und Auswertung der Zugriffe und Zugriffsversuche, technische Einschränkung der Abfrageund Zugriffsmöglichkeiten, Regelung der Datenlöschung bzw. Datenträgervernichtung, Verwendung von Magnet- oder Chipkarten/biometrischen Verfahren zur Authentifikation
§1.4 Trennungskontrolle
„Interne Mandantenfähigkeit“ (Kunden- bzw. Mandantentrennung), Dokumentation von Zwecken, zu denen die Daten erhoben wurden, Vergabe unterschiedlicher Rollen in Systemen, Trennung von Test- und Produktivdaten
§1.5 Pseudonymisierung
Erstellung und Aktualisierung einer Übersicht über die ergriffenen technischen und organisatorischen Maßnahmen, Abschluss eines schriftlichen Vertrags zur Auftragsverarbeitung mit den gesetzlichen Mindestinhalten sowie darüber hinausgehenden Informationen zur genauen Auftragsgestaltung, Zugänglichmachung des Vertrags zur Auftragsverarbeitung und der Weisungen für die involvierten Beschäftigten, Schulung der Mitarbeiter auf die Anforderungen an den Datenschutz in Auftragsverarbeitungsverhältnissen, Verpflichtung der Beschäftigten auf Einhaltung des Datenschutzes, Verschlüsselung von Daten während der Übermittlung, Trennung der Daten
§1.6 Datenschutzfreundliche Voreinstellungen
Alle personenbezogenen Daten werden nur für den vorgegebenen Zweck verarbeitet.
§2 Integrität
§2.1 Weitergabekontrolle
Aufzeichnung und Dokumentation aller durchgeführten und geplanten Übermittlungen mit Nennung des Empfängers, der Datenkategorien, des Übermittlungszwecks, des Absenders und des Datums sowie der Uhrzeit der Übermittlung, Erlass von Arbeitsanweisungen bzw. Richtlinien zur Datenträgernutzung und Datenübermittlung, Führen einer Übersicht der wiederkehrenden bzw. regelmäßigen Übermittlungen und deren Ablauf, Nutzung eines VPN, Nutzung eines Content-Filters/einer Firewall, Verbot der Mitnahme oder des Mitbringens von privaten Datenträgern, datensichere Entsorgung von Daten und Datenträgern, Nutzung sicherer Transportfahrzeuge, Nutzung von Übertragungsprotokollen wie TLS/SSL oder SSH
§2.2 Eingabekontrolle
Protokollierungs- und Protokollauswertungssysteme, Erlass von Dienstanweisungen und Schulung zur Eingabe/Veränderung/Entfernung von personenbezogenen Daten sowie deren Zulässigkeit, Protokollierung der Benutzeranmeldungen an Datenverarbeitungsanlagen, Protokollierung von erfolgreichen und gescheiterten Software-Log-ins, Protokollierung der Aktivitäten auf Servern und der Systemverwalter sowie Benutzer
§2.3 Verfügbarkeit und Belastbarkeit
Back-up-Verfahren, Spiegeln von Festplatten (RAID), unterbrechungsfreie Stromversorgung (USV), Installierung von Schutzsteckdosenleisten, Brandschutztüren, Alarmanlagen, Blitzableiter, Bereitstellung von Feuerlöschern, Installierung von Brandmeldern, Durchführung von Brandschutzbegehungen, Installierung von Brandfrüherkennungsanlagen
§2.4 Organisatorische Maßnahmen
Regelmäßige Mitarbeiterschulungen mit Nachweis, schriftlich unterschriebene Verpflichtung auf das Datengeheimnis, schriftliche Arbeitsanweisungen, Dokumentation von Auskunftsersuchen, Anliegen, Berichtigungen, Löschungen oder Sperrungen von personenbezogenen Daten, Verpflichtung aller Dienstleister auf den Datenschutz, IT-Sicherheitsbeauftragten, etablierte Meldeprozesse für Datenschutzverstöße und Incident-Response-Management für IT-Sicherheitsvorfälle
§2.5 Kontrollen der technischen und organisatorischen Maßnahmen
Anlassbezogene Kontrollen, Sichtung und Auswertung von Protokoll- und Logdateien, Sichtung von manuellen Protokollen und Listen, Prüfungen durch den Datenschutzbeauftragten
Ort, Datum
Hamburg, 06.05.2019
Auftragnehmer
webgo GmbH · Wandsbeker Zollstr. 95 · 22041 Hamburg // Handelsregister · HRB 132905 // Steuer · St. Nr.: 44/767/00561 · Ust-ID: DE296224196 //
Bankverbindung · Deutsche Bank · IBAN DE61 2007 0024 0186 5880 00 · BIC DEUTDEDBHAM // Geschäftsführer · Sebastian Angermeyer //
Kontakt · info@webgo.de · webgo.de
Die Adresse unserer Website ist: https://phlegma.eu.