Datenschutzerklärung nach der DSGVO

Dienstleistungen

PDF

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

PDF

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO als Anlage zu einem oder mehreren von dem Auftraggeber genutztem Vertrag oder Verträgen

 

Zwischen der Firma

1&1 IONOS SE

Elgendorfer Straße 57

56410 Montabaur

Deutschland

– Nachfolgend „Auftragnehmer“ genannt –

 

und

 

Firma: Medizinische Fußpflege Knüppel

Name: Rita Knüppel

Straße, Hausnummer:

Föhrenweg 16

Postleitzahl, Ort: 73054 Eislingen

Land: DEUTSCHLAND

Kundennummer: 9604326

– Nachfolgend „Auftraggeber“ genannt –

 

Präambel

 

Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der im Einzelvertrag (nachstehend „Vertrag“) in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers, oder durch den Auftragnehmer Beauftragte personenbezogene Daten (nachstehend „Daten“) des Auftraggebers verarbeiten.

 

Diese Anlage ist nur gültig in Verbindung mit einem aktiven Vertrag über die folgenden Produkte: Managed Cloud, vServer (VPS), Cloud Server, Dedicated Server, Dynamic Cloud Server, Virtual Server Webhosting, WordPress Hosting, MyWebsite, MyWebsite Shop, MyWebsite One, E-Shop, ipayment E-Mail Marketing, Hi Drive Onlinespeicher, Adressbuch

 

§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung (16)

 

(1) Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung. Gegenstand dieser Anlage ist nicht die originäre Nutzung oder Verarbeitung von personenbezogenen Daten durch den Auftragnehmer. Als Hosting Dienstleister und Administrator von Server-Systemen kann auf Seiten des Auftragnehmers ein Zugriff auf personenbezogene Daten allerdings nicht ausgeschlossen werden.

 

2) Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Vertrages, sofern sich aus den Bestimmungen dieser Anlage nicht darüber hinausgehende Verpflichtungen ergeben.

 

§ 2 Anwendungsbereich und Verantwortlichkeit

 

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ i.S.v. Art. 4 Nr.7 DS-GVO).

 

(2) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form, oder in einem elektronischen Format („Textform“) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt, oder ersetzt werden („Einzelweisung“).

 

§ 3 Pflichten des Auftragnehmers

 

(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne von Art. 28 Abs. 3 lit. a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Die Durchführung von rechtswidrigen Weisungen darf der Auftragnehmer ablehnen.

 

(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutzgrundverordnung (Art. 32 DS-GVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.

 

(3) Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen.

 

(4) Die Beschreibung Technischer und Organisatorischen Maßnahmen gemäß Anhang 1 ist Bestandteil dieser Vereinbarung.

 

Der Auftragnehmer wird die Einhaltung der vereinbarten Schutzmaßnahmen und deren geprüfter Wirksamkeit durch Bereitstellung eines Zertifikates zu Datenschutz und Informationssicherheit nachweisen.

 

Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

 

Der Auftragnehmer unterstützt soweit erforderlich den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemäß Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflichten.

 

(5) Der Auftragnehmer stellt sicher, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner stellt der Auftragnehmer sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben, oder einer angemessenen gesetzlichen Schweigepflicht unterliegen. Die Vertraulichkeits- /Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrags fort.

 

(6) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden.

 

(7) Für alle im Rahmen dieser Anlage anfallenden Datenschutzfragen ist der Ansprechpartner: 1&1 IONOS SE

Der Datenschutzbeauftragte

Elgendorfer Str. 57

56410 Montabaur datenschutz@ionos.de

 

(8) Der Auftragnehmer stellt sicher, seinen Pflichten nach Art. 32 Abs.1 lit. d) DS-GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

 

(9) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Lösung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart.

In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart.

 

(10) Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen.

 

(11) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.

 

§ 4 Pflichten des Auftraggebers

 

(1) Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bezgl. datenschutzrechtlicher Bestimmungen feststellt.

 

(2) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, gilt § 3 Abs. 11 dieser Anlage entsprechend.

§ 5 Anfragen betroffener Personen

 

(1) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung, oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet bei Erfüllung seiner Pflichten nicht dafür, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig, oder nicht fristgerecht beantwortet wird.

 

§ 6 Nachweismöglichkeiten

 

(1) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten, ohne Störung des Betriebsablaufs nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer eine Vergütung verlangen. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.

 

(2) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 1 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

 

§ 7 Drittstaatentransfer

 

(1) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet überwiegend in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Ausnahmen sind der Liste gem. § 8 Abs. 2 dieser Anlage zu entnehmen.

 

§ 8 Subunternehmer (weitere Auftragsverarbeiter)

 

(1) Mit der Hinzuziehung von verbundenen und fremden Unternehmen zur Wartung, Pflege der Rechenzentrumsstruktur, Telekommunikationsdienstleistungen und Benutzerservice durch den Auftragnehmer ist der Auftraggeber einverstanden.

 

(2) Eine Liste der aktuell eingesetzten Unterauftragnehmer steht dem Auftraggeber im Kundenportal stets zum Abruf zur Verfügung. Diese Liste wird quartalsweise aktualisiert.

 

(3) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen. Die volle Verantwortung für die vom Auftragnehmer eingeschalteten Subunternehmer bleibt beim Auftragnehmer.

 

§ 9 Informationspflichten, Schriftformklausel, Rechtswahl

 

(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren, oder durch sonstige Ereignisse, oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich drüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im Sinne der DS-GVO liegen.

 

(2) Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit dieser Anlage zum Datenschutz im Übrigen nicht.

 

(3) Es gilt deutsches Recht.

 

(4) Diese Anlage ersetzt alle vorangegangenen Vereinbarungen dieser Art

 

§ 10 Haftung und Schadensersatz

 

(1) Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DS-GVO getroffenen Regelung.

 

––––––––––––––––––––––––––––––––––––––––––––––––––––––

 

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Informationen zum Dokument

 

Version: 1.0

 

Datum: 07.02.2019

Dokumentenklassifikation: Öffentlich

Genehmigungsstatus: Genehmigt

Ursprungsversion freigegeben durch: Datenschutzbeauftragter 1&1

Aktuelle Version freigegeben durch: Konzerndatenschutzbeauftragter United Internet AG

 

Freigegeben am: 07.02.2019

 

Hinweis

 

Dieses Dokument enthält Informationen, welche Geschäftspartnern, Kunden sowie weiteren externen Stellen, die ein gesetzliches oder sonstig begründetes Einsichtsrecht haben, zur Verfügung gestellt werden.

 

Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.

 

Präambel

Der Verantwortliche hat geeignete Maßnahmen zur Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sowie Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung implementiert.

 

Der allgemeine Teil beschreibt technische und organisatorische Maßnahmen die unabhängig von den jeweiligen Dienstleistungen und Services, Standorten und Kunden gelten. In den Anhängen sind Maßnahmen beschrieben, die über die im allgemeinen Teil dokumentierten Maßnahmen hinaus gelten.

 

1. Vertraulichkeit

Vertraulichkeit ist die Eigenschaft, dass personenbezogene Daten unberechtigten Personen, Einheiten oder Prozessen nicht verfügbar gemacht oder enthüllt werden.

 

Zutrittskontrolle

  • Empfangs- und Sicherheitsdienst
  • Individuelle, dokumentierte und rollenabhängige Zutrittsberechtigungen (Karten, Transponder und Schlüssel)
  • Mitarbeiter- und Besucherausweise
  • Besucher dürfen sich grundsätzlich nur in Begleitung eines Mitarbeiter im Gebäude aufhalten
  • Alarm- und Einbruchmeldeanlage
  • Büroräume sind außerhalb der Arbeitszeit verschlossen
  •  

Zugangskontrolle

  • Formale Benutzer- und Berechtigungsverfahren
  • Login nur mit Benutzername, Passwort und wo erforderlich 2-Faktor-Authentifizierung
  • Systemisch forcierte Passwortrichtlinien
  • VPN bei Remotezugriff und durch vom Verantwortlichen verwaltete Geräte
  • Mobile Device Management
  • Mobile Datenträger sind verschlüsselt
  • Automatische Sperre von Desktops nach wenigen Minuten Inaktivität
  • Clean Desk-Policy

 

Zugriffskontrolle

  • Führen von Assetregistern und Ableitung von Maßnahmen anhand der Datenklassifikation
  • Nutzung kryptografischer Verfahren (z.B. Verschlüsselung)
  • Umsetzung von Berechtigungskonzepten nach dem Need-to-Know-Prinzip
  • Trennung von Anwendungs- und Administrationszugängen
  • Protokollierung von Zugriffsversuchen
  • Einrichtung von Administratorarbeitsplätzen
  • Minimale Anzahl an Administratoren
  • Nutzung von Dokumentenvernichtung

 

Pseudonymisierung

  • Sofern möglich oder erforderlich werden personenbezogene Daten pseudonymisiert verarbeitet (Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem System) Trennungskontrolle
  • Trennung von Entwicklungs-, Test- und Produktivumgebung
  • Personenbezogene Daten dürfen nicht für Testzwecke verwendet werden
  • Mandantenfähigkeit / logische Trennung von Daten bei relevanten Anwendungen: Separate Datenbanken, Schema-Trennung in Datenbanken, Berechtigungskonzepte und/oder strukturierte Dateiablage
  •  

2. Integrität

Die Integrität personenbezogener Daten ist dann gewahrt, wenn sie richtig, unverändert und vollständig sind.

 

Weitergabekontrolle

  • Bereitstellung von Daten über verschlüsselte Verbindungen (z.B. SFTP)
  • Weitergabe von personenbezogenen Daten im Sinne des Need-to-Know / Need-to-Do-Prinzips
  • Personenbezogene Daten werde nach ihrem Schutzbedarf klassifiziert, wobei vertrauliche Daten nur über sichere Kommunikationswege übertragen werden dürfe
  • Wo möglich wird E-Mailverschlüsselung eingesetzt
  • Wo möglich werden personenbezogene Daten nur in pseudonymisierter oder anonymisierter Form übermittelt
  • Dokumentation der Weitergabe von physischen Speichermedien
  • Weitergabe von Papierdokumenten mit personenbezogenen Daten in einem verschlossenen undurchsichtigen Umschlag
  •  

Eingabekontrolle

  • Technische Protokollierung der Eingabe, Änderung und Löschung von personenbezogenen Daten sowie Kontrolle der Protokolle
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen)
  • Rollenbasiertes Berechtigungskonzept (Lese-, Schreib-, und Löschrechte)
  • Protokollierung von administrativen Änderungen

 

3. VerfügbarkeitundBelastbarkeit

Die Verfügbarkeit von personenbezogenen Daten ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können

 

  • Einsatz von Hardware- und Softwarefirewalls
  • Intrusion Detection Systeme
  • Überspannungsschutz der Gebäudeaußenhaut gegen Blitzeinschlag
  • Unterbrechungsfreie-Stromversorgung (USV)
  • Notfallhandbücher für die Datenwiederherstellung, Schutz gegen versehentliche Zerstörung und Verlust
  • Durchführung von Wiederherstellungstests
  • Wo notwendig Nutzung redundanter Systeme (z.B. RAID)
  • Regelmäßiger Test von Datensicherungen
  • Externe Audits und Sicherheitstests

 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Wie wird gewährleistet, dass die genannten Datensicherungsmaßnahmen regelmäßig überprüft werden?

 

Datenschutz-Management

  • Datenschutzbeauftragte und ein Informationssicherheitsbeauftragter sind benannt
  • Etablierung einer Datenschutz- und Informationssicherheitsorganisation
  • Alle Mitarbeiter sind auf die Vertraulichkeit im Umgang mit personenbezogenen Daten
  • Mitarbeiter sind im Umgang mit personenbezogenen Daten sensibilisiert
  • Neue Mitarbeiter erhalten Informationsmaterial bezüglich dem Umgang mit
  • Ein Verzeichnis von Verarbeitungstätigkeiten wird gepflegt und
  • Prozesse zur Wahrnehmung von Betroffenenrechten sind etabliert

 

Auftragskontrolle

  • Daten die im Auftrag verarbeitet werden, werden nur nach Weisungen des Auftraggebers verarbeitet
  • Auftragnehmer werden im Hinblick auf getroffene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten sorgfältig ausgewählt
  • Weisungen zum Umgang mit personenbezogenen Daten werden in Textform dokumentiert
  • Sofern erforderlich werden Auftragsverarbeitungsvereinbarungen bzw. geeignete Garantien

 

Datenschutzfreundliche Voreinstellungen

  • Es wird prozessual sichergestellt, dass Systeme und Produkte datenschutzfreundlich entwickelt werden
  • Es werden nur diejenigen personenbezogenen Daten erhoben, die für den jeweiligen Zweck erforderlich sind

 

Incident-Response-Management

  • Dokumentierter Prozess zur Erkennung, Meldung und Dokumentation von Datenschutzverletzungen unter Einbindung des Datenschutzbeauftragten
  • Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen unter Einbindung des Informationssicherheitsbeauftragten

 

Anhang 1: Besondere technische und organisatorische Maßnahmen für Rechenzentren

  • Alle Rechenzentren sind nach dem ISO 27001 Standard zertifiziert
  • Elektronische Zutrittskontrollsysteme überwachen und gewährleisten den Zutritt zum jeweiligen Rechenzentrum nur für autorisierte Personen
  • Sicherheitsschleuse
  • Videokameras sowie Einbruch- und Kontaktmelder überwachen die Außenhaut des Gebäudes
  • Definierte Sicherheitszonen
  • Hochredundante Netzwerkinfrastruktur
  • Feuer und/oder Rauchmelder verfügt über eine direkte Aufschaltung bei der örtlichen Feuerwehr
  • Kühlsystem im Rechenzentrum / Serverraum
  • Serverraumüberwachung Temperatur und Feuchtigkeit
  • Keine sanitären Anschlüsse im oder oberhalb von Rechenzentren
  • Alarmmeldung bei unberechtigtem Zutritt zu Rechenzentren

Datenschutz