Datenschutzerklärung
Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten (nachfolgend kurz „Daten“) im Rahmen der Erbringung unserer Leistungen sowie innerhalb unseres Onlineangebotes und der mit ihm verbundenen Webseiten, Funktionen und Inhalte sowie externen Onlinepräsenzen, wie z.B. unser Social Media Profile auf (nachfolgend gemeinsam bezeichnet als „Onlineangebot“). Im Hinblick auf die verwendeten Begrifflichkeiten, wie z.B. „Verarbeitung“ oder „Verantwortlicher“ verweisen wir auf die Definitionen im Art. 4 der Datenschutzgrundverordnung (DSGVO).
Verantwortliche
Harriet Riedel
Bonner Straße 26
80804 München
HR@riedelseminare.de
Impressum: https:/www.riedelseminare.de/impressum
Arten der verarbeiteten Daten
Bestandsdaten (z.B., Personen-Stammdaten, Namen oder Adressen).
• Kontaktdaten (z.B., E-Mail, Telefonnummern).
• Inhaltsdaten (z.B., Texteingaben, Fotografien, Videos).
• Nutzungsdaten (z.B., besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten).
• Meta-/Kommunikationsdaten (z.B., Geräte-Informationen, IP-Adressen). Kategorien betroffener Personen, Besucher und Nutzer des Onlineangebotes (Nachfolgend bezeichnen wir die betroffenen Personen zusammenfassend auch als „Nutzer“). Zweck der Verarbeitung- Zurverfügungstellung des Onlineangebotes, seiner Funktionen und Inhalte.
• Beantwortung von Kontaktanfragen und Kommunikation mit Nutzern.
• Sicherheitsmaßnahmen.
• Reichweitenmessung/Marketing
Verwendete Begrifflichkeiten „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (z.B. Cookie) oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
„Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff reicht weit und umfasst praktisch jeden Umgang mit Daten.
„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
Als „Verantwortlicher“ wird die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, bezeichnet.
„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Maßgebliche RechtsgrundlagenNach Maßgabe des Art. 13 DSGVO teilen wir Ihnen die Rechtsgrundlagen unserer Datenverarbeitungen mit. Für Nutzer aus dem Geltungsbereich der Datenschutzgrundverordnung (DSGVO), d.h. der EU und des EWG gilt, sofern die Rechtsgrundlage in der Datenschutzerklärung nicht genannt wird, Folgendes: Die Rechtsgrundlage für die Einholung von Einwilligungen ist Art. 6 Abs. 1 lit. a und Art. 7 DSGVO; Die Rechtsgrundlage für die Verarbeitung zur Erfüllung unserer Leistungen und Durchführung vertraglicher Maßnahmen sowie Beantwortung von Anfragen ist Art. 6 Abs. 1 lit. b DSGVO; Die Rechtsgrundlage für die Verarbeitung zur Erfüllung unserer rechtlichen Verpflichtungen ist Art. 6 Abs. 1 lit. c DSGVO;
Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
Die Rechtsgrundlage für die erforderliche Verarbeitung zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde ist Art. 6 Abs. 1 lit. e DSGVO.
Die Rechtsgrundlage für die Verarbeitung zur Wahrung unserer berechtigten Interessen ist Art. 6 Abs. 1 lit. f DSGVO.
Die Verarbeitung von Daten zu anderen Zwecken als denen, zu denen sie erhoben wurden, bestimmt sich nach den Vorgaben des Art 6 Abs. 4 DSGVO.
Die Verarbeitung von besonderen Kategorien von Daten (entsprechend Art. 9 Abs. 1 DSGVO) bestimmt sich nach den Vorgaben des Art. 9 Abs. 2 DSGVO.
Sicherheitsmaßnahmen
Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen Zugangs zu den Daten, als auch des sie betreffenden Zugriffs, der Eingabe, Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, Löschung von Daten und Reaktion auf Gefährdung der Daten gewährleisten. Ferner berücksichtigen wir den Schutz personenbezogener Daten bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.
Zusammenarbeit mit Auftragsverarbeitern, gemeinsam Verantwortlichen und Dritten
Sofern wir im Rahmen unserer Verarbeitung Daten gegenüber anderen Personen und Unternehmen (Auftragsverarbeitern, gemeinsam Verantwortlichen oder Dritten) offenbaren, sie an diese übermitteln oder ihnen sonst Zugriff auf die Daten gewähren, erfolgt dies nur auf Grundlage einer gesetzlichen Erlaubnis (z.B. wenn eine Übermittlung der Daten an Dritte, wie an Zahlungsdienstleister, zur Vertragserfüllung erforderlich ist), Nutzer eingewilligt haben, eine rechtliche Verpflichtung dies vorsieht oder auf Grundlage unserer berechtigten Interessen (z.B. beim Einsatz von Beauftragten, Webhostern, etc.).
Sofern wir Daten anderen Unternehmen unserer Unternehmensgruppe offenbaren, übermitteln oder ihnen sonst den Zugriff gewähren, erfolgt dies insbesondere zu administrativen Zwecken als berechtigtes Interesse und darüberhinausgehend auf einer den gesetzlichen Vorgaben entsprechenden Grundlage.
Übermittlungen in Drittländer
Sofern wir Daten in einem Drittland (d.h. außerhalb der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR) oder der Schweizer Eidgenossenschaft) verarbeiten oder dies im Rahmen der Inanspruchnahme von Diensten Dritter oder Offenlegung, bzw. Übermittlung von Daten an andere Personen oder Unternehmen geschieht, erfolgt dies nur, wenn es zur Erfüllung unserer (vor)vertraglichen Pflichten, auf Grundlage Ihrer Einwilligung, aufgrund einer rechtlichen Verpflichtung oder auf Grundlage unserer berechtigten Interessen geschieht. Vorbehaltlich ausdrücklicher Einwilligung oder vertraglich erforderlicher Übermittlung, verarbeiten oder lassen wir die Daten nur in Drittländern mit einem anerkannten Datenschutzniveau, zu denen die unter dem „Privacy-Shield“ zertifizierten US-Verarbeiter gehören oder auf Grundlage besonderer Garantien, wie z.B. vertraglicher Verpflichtung durch sogenannte Standardschutzklauseln der EU-Kommission, dem Vorliegen von Zertifizierungen oder verbindlichen internen Datenschutzvorschriften verarbeiten (Art. 44 bis 49 DSGVO, Informationsseite der EUKommission). Rechte der betroffenen PersonenAuskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
Recht auf Berichtigung: Sie haben, entsprechend den gesetzlichen Vorgaben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht zu verlangen, dass betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe der gesetzlichen Vorgaben eine Einschränkung der Verarbeitung der Daten zu verlangen.
Recht auf Datenübertragbarkeit: Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, nach Maßgabe der gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
Beschwerde bei Aufsichtsbehörde: Sie haben ferner nach Maßgabe der gesetzlichen Vorgaben das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen.
Widerrufsrecht: Sie haben das Recht, erteilte Einwilligungen mit Wirkung für die Zukunft zu widerrufen.
Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Cookies und Widerspruchsrecht bei Direktwerbung: Als „Cookies“ werden kleine Dateien bezeichnet, die auf Rechnern der Nutzer gespeichert werden. Innerhalb der Cookies können unterschiedliche Angaben gespeichert werden. Ein Cookie dient primär dazu, die Angaben zu einem Nutzer (bzw. dem Gerät auf dem das Cookie gespeichert ist) während oder auch nach seinem Besuch innerhalb eines Onlineangebotes zu speichern. Als temporäre Cookies, bzw. „Session-Cookies“ oder „transiente Cookies“, werden Cookies bezeichnet, die gelöscht werden, nachdem ein Nutzer ein Onlineangebot verlässt und seinen Browser schließt. In einem solchen Cookie kann z.B. der Inhalt eines Warenkorbs in einem Onlineshop oder ein Login-Status gespeichert werden. Als „permanent“ oder „persistent“ werden Cookies bezeichnet, die auch nach dem Schließen des Browsers gespeichert bleiben. So kann z.B. der Login-Status gespeichert werden, wenn die Nutzer diese nach mehreren Tagen aufsuchen. Ebenso können in einem solchen Cookie die Interessen der Nutzer gespeichert werden, die für Reichweitenmessung oder Marketingzwecke verwendet werden. Als „Third-Party-Cookie“ werden Cookies bezeichnet, die von anderen Anbietern als dem Verantwortlichen, der das Onlineangebot betreibt, angeboten werden (andernfalls, wenn es nur dessen Cookies sind spricht man von „First-Party Cookies“).
Wir können temporäre und permanente Cookies einsetzen und klären hierüber im Rahmen unserer Datenschutzerklärung auf.
Sofern wir die Nutzer um eine Einwilligung in den Einsatz von Cookies bitten (z.B. im Rahmen einer Cookie-Einwilligung), ist die Rechtsgrundlage dieser Verarbeitung Art. 6 Abs. 1 lit. a. DSGVO. Ansonsten werden die personenbezogenen Cookies der Nutzer entsprechend den nachfolgenden Erläuterungen im Rahmen dieser Datenschutzerklärung auf Grundlage unserer berechtigten Interessen (d.h. Interesse an der Analyse, Optimierung und wirtschaftlichem Betrieb unseres Onlineangebotes im Sinne des Art. 6 Abs. 1 lit. f. DSGVO) oder sofern der Einsatz von Cookies zur Erbringung unserer vertragsbezogenen Leistungen erforderlich ist, gem. Art. 6 Abs. 1 lit. b. DSGVO, bzw. sofern der Einsatz von Cookies für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt erforderlich ist oder in Ausübung öffentlicher Gewalt erfolgt, gem. Art. 6 Abs. 1 lit. e. DSGVO, verarbeitet.
Falls die Nutzer nicht möchten, dass Cookies auf ihrem Rechner gespeichert werden, werden sie gebeten die entsprechende Option in den Systemeinstellungen ihres Browsers zu deaktivieren. Gespeicherte Cookies können in den Systemeinstellungen des Browsers gelöscht werden. Der Ausschluss von Cookies kann zu Funktionseinschränkungen dieses Onlineangebotes führen.
Ein genereller Widerspruch gegen den Einsatz der zu Zwecken des Onlinemarketing eingesetzten Cookies kann bei einer Vielzahl der Dienste, vor allem im Fall des Trackings, über die US-amerikanische Seite http://www.aboutads.info/choices/ oder die EU-Seite http://www.youronlinechoices.com/ erklärt werden. Des Weiteren kann die Speicherung von Cookies mittels deren Abschaltung in den Einstellungen des Browsers erreicht werden. Bitte beachten Sie, dass dann gegebenenfalls nicht alle Funktionen dieses Onlineangebotes genutzt werden können.Löschung von DatenDie von uns verarbeiteten Daten werden nach Maßgabe der gesetzlichen Vorgaben gelöscht oder in ihrer Verarbeitung eingeschränkt. Sofern nicht im Rahmen dieser Datenschutzerklärung ausdrücklich angegeben, werden die bei uns gespeicherten Daten gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. D.h. die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen.
Änderungen und Aktualisierungen der Datenschutzerklärung: Wir bitten Sie sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z.B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.
Registrierfunktion: Nutzer können ein Nutzerkonto anlegen. Im Rahmen der Registrierung werden die erforderlichen Pflichtangaben den Nutzern mitgeteilt und auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO zu Zwecken der Bereitstellung des Nutzerkontos verarbeitet. Zu den verarbeiteten Daten gehören insbesondere die Login-Informationen (Name, Passwort sowie eine E-Mailadresse). Die im Rahmen der Registrierung eingegebenen Daten werden für die Zwecke der Nutzung des Nutzerkontos und dessen Zwecks verwendet.
Die Nutzer können über Informationen, die für deren Nutzerkonto relevant sind, wie z.B. technische Änderungen, per E-Mail informiert werden. Wenn Nutzer ihr Nutzerkonto gekündigt haben, werden deren Daten im Hinblick auf das Nutzerkonto, vorbehaltlich einer gesetzlichen Aufbewahrungspflicht, gelöscht. Es obliegt den Nutzern, ihre Daten bei erfolgter Kündigung vor dem Vertragende zu sichern. Wir sind berechtigt, sämtliche während der Vertragsdauer gespeicherten Daten des Nutzers unwiederbringlich zu löschen.
Im Rahmen der Inanspruchnahme unserer Registrierungs- und Anmeldefunktionen sowie der Nutzung des Nutzerkontos, speichern wir die IP-Adresse und den Zeitpunkt der jeweiligen Nutzerhandlung. Die Speicherung erfolgt auf Grundlage unserer berechtigten Interessen, als auch der Nutzer an Schutz vor Missbrauch und sonstiger unbefugter Nutzung. Eine Weitergabe dieser Daten an Dritte erfolgt grundsätzlich nicht, außer sie ist zur Verfolgung unserer Ansprüche erforderlich oder es besteht hierzu besteht eine gesetzliche Verpflichtung gem. Art. 6 Abs. 1 lit. c. DSGVO. Die IP-Adressen werden spätestens nach 7 Tagen anonymisiert oder gelöscht.
Kommentare und Beiträge: Wenn Nutzer Kommentare oder sonstige Beiträge hinterlassen, können ihre IP-Adressen auf Grundlage unserer berechtigten Interessen im Sinne des Art. 6 Abs. 1 lit. f. DSGVO für 7 Tage gespeichert werden. Das erfolgt zu unserer Sicherheit, falls jemand in Kommentaren und Beiträgen widerrechtliche Inhalte hinterlässt (Beleidigungen, verbotene politische Propaganda, etc.). In diesem Fall können wir selbst für den Kommentar oder Beitrag belangt werden und sind daher an der Identität des Verfassers interessiert.
Des Weiteren behalten wir uns vor, auf Grundlage unserer berechtigten Interessen gem. Art. 6 Abs. 1 lit. f. DSGVO, die Angaben der Nutzer zwecks Spamerkennung zu verarbeiten.
Auf derselben Rechtsgrundlage behalten wir uns vor, im Fall von Umfragen die IP-Adressen der Nutzer für deren Dauer zu speichern und Cookies zu verwenden, um Mehrfachabstimmungen zu vermeiden. Die im Rahmen der Kommentare und Beiträge mitgeteilte Informationen zur Person, etwaige Kontaktsowie Websiteinformationen als auch die inhaltlichen Angaben, werden von uns bis zum Widerspruch der Nutzer dauerhaft gespeichert.
Kommentarabonnements: Die Nachfolgekommentare können durch Nutzer mit deren Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO abonniert werden. Die Nutzer erhalten eine Bestätigungsemail, um zu überprüfen, ob sie der Inhaber der eingegebenen Emailadresse sind. Nutzer können laufende Kommentarabonnements jederzeit abbestellen. Die Bestätigungsemail wird Hinweise zu den Widerrufsmöglichkeiten enthalten. Für die Zwecke des Nachweises der Einwilligung der Nutzer, speichern wir den Anmeldezeitpunkt nebst der IP-Adresse der Nutzer und löschen diese Informationen, wenn Nutzer sich von dem Abonnement abmelden. Sie können den Empfang unseres Abonnements jederzeit kündigen, d.h. Ihre Einwilligungen widerrufen. Wir können die ausgetragenen E-Mailadressen bis zu drei Jahren auf Grundlage unserer berechtigten Interessen speichern, bevor wir sie löschen, um eine ehemals gegebene Einwilligung nachweisen zu können. Die Verarbeitung dieser Daten wird auf den Zweck einer möglichen Abwehr von Ansprüchen beschränkt. Ein individueller Löschungsantrag ist jederzeit möglich, sofern zugleich das ehemalige Bestehen einer Einwilligung bestätigt wird.
Kontaktaufnahme: Bei der Kontaktaufnahme mit uns (z.B. per Kontaktformular, E-Mail, Telefon oder via sozialer Medien) werden die Angaben des Nutzers zur Bearbeitung der Kontaktanfrage und deren Abwicklung gem. Art. 6 Abs. 1 lit. b. (im Rahmen vertraglicher-/vorvertraglicher Beziehungen), Art. 6 Abs. 1 lit. f. (andere Anfragen) DSGVO verarbeitet. Die Angaben der Nutzer können in einem Customer- Relationship-Management System („CRM System“) oder vergleichbarer Anfragenorganisation gespeichert werden.
Wir löschen die Anfragen, sofern diese nicht mehr erforderlich sind. Wir überprüfen die Erforderlichkeit alle zwei Jahre; Ferner gelten die gesetzlichen Archivierungspflichten.
ADV/AV mit united-domains AG (Hoster):
Vertrag über die Verarbeitung von Daten im Auftrag zwischen
_
Harriet Riedel
Bonner Straße 26
80804 München
Deutschland
_
und
united-domains AG
Gautinger Straße 10
82319 Starnberg
1. Allgemeines
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz- Grundverordnung (DSGVO). Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten.
(2) Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder »Verarbeitung« (von Daten) benutzt wird, wird die Definition der »Verarbeitung« im Sinne von Art. 4 Nr. 2 DSGVO zugrunde gelegt.
2. Gegenstand des Auftrags
Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und/ oder Leistungen auf Grundlage des bestehenden Domain-Hostingvertrages und gegebenenfalls gesondert abgeschlossenen E-Mail- und/oder Webspace-Hostingvertrages:
Der Auftragnehmer stellt dem Auftraggeber Domain-Hosting zur Verfügung, bei dem bei dem für kurze Zeit aus sicherheitstechnischen Gründen IP-Logs von Besuchern der Kunden-Domains gespeichert werden.
Der Auftragnehmer stellt dem Auftraggeber E-Mail- und/oder Webspace-Services (Shared Hosting, nicht zur exklusiven Nutzung) zur Verfügung, auf denen Kundenkommunikation (E-Mails) und Kundendaten gelagert werden, die über vom Auftraggeber eingerichtete E-Mail-Konten ein- und ausgehen und/oder auf dem Webspace gespeichert werden. Der Auftragnehmer erbringt im Fall von technischen Schwierigkeiten hinsichtlich der vorbenannten Services Supportleistungen durch die eigenen Mitarbeiter.
Die zu verarbeitenden Daten sind diejenigen, die sich aufgrund von Besuchen der Kunden-Domain(s), der Kundenkommunikation per elektronischer Post (E-Mail) in den E-Mail-Accounts des Auftraggebers und durch gespeicherte Daten auf dem Webspace ergeben; sie umfassen Nutzungs- und Bestandsdaten, die sich aus E-Mails, IP-Logs und anderen gespeicherten Daten ergeben. Zum Kreis der Betroffenen zählen Kunden der Auftraggeberin, sowie die Auftraggeberin, Ihre Mitarbeiter und Dritte.
3. Rechte und Pflichten des Auftraggebers
(1) Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch den Auftragnehmer. Die Beurteilung der Zulässigkeit der Datenverarbeitung obliegt allein dem Auftraggeber. Dem Auftragnehmer darf den Auftraggeber auf seiner Meinung nach rechtlich unzulässige Datenverarbeitungen hinweisen.
(2) Der Auftraggeber ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Der Auftragnehmer informiert den Auftraggeber, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragnehmer geltend machen.
(3) Der Auftraggeber kann ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gegenüber dem Auftragnehmer erteilen. Weisungen können in Text- form (z.B. E-Mail) erfolgen. Die bei einverständlicher Umsetzung der Weisungen entstehende Vergütung bei Mehraufwänden richtet sich nach Ziffer 10 (2) dieses Vertrages.
(4) Der Auftraggeber kann weisungsberechtigte Personen in schriftlich oder in Textform benennen. Für den Fall, dass sich die weisungsberechtigten Personen beim Auftraggeber ändern, wird der Auftraggeber dies dem Auftragnehmer schriftlich oder in Textform mitteilen.
(5) Der Auftraggeber informiert den Auftragnehmer, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer feststellt.
(6) Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO besteht, ist der Auftraggeber für deren Einhaltung verantwortlich.
4. Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten auf Grundlage der bestehen- den gesonderten Domain-, E-Mail und Webspace-Hostingverträge im Rahmen der getroffenen Vereinbarungen. Zweck, Art und Umfang der Datenverarbeitung richten sich nach diesem Vertrag.
(2) Nicht mehr benötigte Unterlagen mit personenbezogenen Daten und Dateien dürfen erst nach vorheriger Zustimmung durch den Auftraggeber datenschutzgerecht vernichtet werden, vorbehaltlich gerichtlicher oder behördlicher Weisungen und gesetzlicher Bestimmungen, die dieser Bestimmung vorgreifen.
(3) Der Auftragnehmer bestätigt, dass er einen betrieblichen Datenschutzbeauftragten i.S.d. § 4f BDSG bestellt bzw. nach Art. 37 DSGVO benannt hat. Zum Zeitpunkt des Vertragsschlusses ist Rechtsanwalt Daniel Dingeldey, Cosimaplatz 2, 12159 Berlin, datenschutzbeauftragter@united-domains.de, Telefon 08151-36867-0 als betrieblicher Datenschutzbeauftragter bestellt.
(4) Der Auftragnehmer sorgt im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten für die vertragsmäßige Abwicklung aller vereinbarten Maßnahmen.
(5) Der Auftragnehmer gestaltet sein Unternehmen und seine Betriebsabläufe so, dass die Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind.
(6) Der Auftragnehmer informiert den Auftraggeber, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.
(7) Der Auftragnehmer informiert den Auftraggeber – soweit notwendig – über Verstösse gegen datenschutzrechtliche Vorschriften oder gegen die hier getroffenen vertraglichen Vereinbarungen, die im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt und zur Kenntnis gelangt sind.
(8) Für den Fall, dass der Auftragnehmer feststellt oder Tatsachen die Annahme begründen, dass von ihm für den Auftraggeber verarbeitete besondere Arten personenbezogener Daten (Art. 9 DSGVO) oder personenbezogene Daten, die einem Berufsgeheimnis unterliegen oder personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen oder (auch i.S.v. Art. 10 DSGVO) personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, informiert der Auftragnehmer den Auftraggeber über Zeitpunkt, Art und Umfang des Vorfalls in Schriftoder Textform (Fax/E-Mail). Die Information umfasst soweit möglich eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und eine Darlegung möglicher nachteiliger Folgen sowie darüber, welche Maßnahmen getroffen wurden, um die unrechtmäßige Übermittlung bzw. unbefugte Kenntnisnahme durch Dritte künftig zu verhindern. Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei entsprechenden Meldepflichten unterstützen.
(9) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32—36 DSGVO genannten Pflichten.
(10) An der Erstellung der Verzeichnisse von Verarbeitungen (Verfahrensverzeichnisse) durch den Auftraggeber wirkt der Auftragnehmer mit, indem er gegebenenfalls dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitteilt.
(11) Der Auftragnehmer benennt dem Auftraggeber die Personen, die zum Empfang von Weisungen des Auftraggebers berechtigt sind. Weisungsempfangsberechtigte Personen des Auftragnehmers sind: Der Justiziar: zum Zeitpunkt des Vertragsschlusses Herr Steffen Hamann Der CEO: zum Zeitpunkt des Vertragsschlusses Herr Maximilian Burianek
5. Kontrollbefugnisse
(1) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/ oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer im erforderlichen Umfang zu kontrollieren. Hierfür kann er Selbstauskünfte des Auftragnehmers einholen.
(2) Der Auftragnehmer gibt dem Auftraggeber auf dessen schriftliche Anforderung die Auskünfte, die zur Durchführung einer Kontrolle erforderlich sind.
(3) Der erforderliche Umfang erstreckt sich angesichts der vertraglich vereinbarten Leis- tung des Auftragnehmers auf eine Selbstauskunft hinsichtlich der vom Auftragnehmer für den Auftraggeber verarbeiteten Daten nicht aber über die verwendeten Datenverarbeitungssysteme und -programme.
(4) Der Auftragnehmer erteilt, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber im Sinne des Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber und ermöglicht der jeweils zuständigen Aufsichtsbehörde eine Kontrolle.
(5) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.
(6) Der Auftraggeber stimmt der Benennung eines unabhängigen externen Prüfers durch den Auftragnehmer zu, sofern der Auftragnehmer eine Kopie des Auditberichts zur Verfügung stellt.
(7) Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer eine Vergütung verlangen; sie ist in Ziffer 10 geregelt. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
6. Unterauftragsverhältnisse
(1) Der Auftragnehmer ist berechtigt, die in den TOMs genannten Unterauftragnehmer für die Verarbeitung von Daten im Auftrag einzusetzen. Der Auftragnehmer darf – nach sorgfältiger Auswahl – Subunternehmen beauftragen, bzw. ersetzen, wobei er regelmäßig auf die Einhaltung der Datenschutzbestimmungen durch diese zu achten hat. Der Auftragnehmer stellt vertraglich sicher, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. Der Auftragnehmer informiert den Auftraggeber rechtzeitig über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer. Damit erhält der Auftraggeber die Möglichkeit, gegen eine solche Änderungen Einspruch zu erheben.
(2) Nicht als Unterauftragsverhältnisse verstehen sich Dienstleistungen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, Telekommunikationsleistungen, Bewachungs- und Wartungsdienste, Reinigungskräfte und Entsorgung von Datenträgern. Der Auftragnehmer vereinbart mit Dienstleistern, die Nebenleistungen für ihn erbringen, angemessene und gesetzteskonforme vertragliche Vereinbarungen und ergreift Kontrollmaßnahmen, um den Schutz und die Sicherheit der Daten des Auftraggebers gewährleisten zu können.
7. Vertraulichkeitsverpflichtung
(1) Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit über Daten, die er im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer vor Vertragsschluss etwaige besondere Geheimnisschutzregeln mitzuteilen.
(2) Der Auftragnehmer bestätigt, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist. Der Auftragnehmer bestätigt hiermit, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut macht und diese zur Vertraulichkeit verpflichtet werden. Sofern der Auftragnehmer im Zusammenhang mit Leistungen für den Auftraggeber an der Erbringung geschäftsmäßiger Telekommunikationsdienste mitwirkt, verpflichtet er die hieran beteiligten Beschäftigten schriftlich auf das Fernmeldegeheimnis i.S.d. § 3 TTDSG.
(3) Der Auftragnehmer wird alle Beschäftigten, die Leistungen im Zusammenhang mit dem Auftrag des Auftraggebers erbringen, verpflichten, alle Daten des Auftraggebers, insbesondere die für den Auftraggeber verarbeiteten personenbezogenen Daten – auch über deren Dienst- und Beschäftigungsverhältnis hinaus – vertraulich zu behandeln.
8. Wahrung von Betroffenenrechten
(1) Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich.
(2) Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrechten – insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung – durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen.
9. Geheimhaltungspflichten
(1) Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden, auch über das Ende des Vertragsverhältnisses hinaus. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu ma- chen, es sei denn, es läge eine gerichtliche Entscheidung oder eine rechtmäßige Anfrage der Strafverfolgungsbehörden vor oder es besteht aufgrund gesetzlicher Regelung eine Auskunftspflicht.
(2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.
10. Vergütung
(1) Der Auftraggeber hat dem Auftragnehmer dessen Aufwände für Tätigkeiten, die neben dem Domain-, Webspace- und E-Mail-Hostingvertrag und im Zusammenhang mit seinen und den Kontrollbefugnissen der Aufsichtsbehörden entstehen, zu ersetzen, sofern diese durch den Auftraggeber mittel- und unmittelbar veranlasst sind und über eine bloße, ein- fach gelagerte Auskunftserteilung, Berichtigung, Löschung oder vergleichbare Leistung hinausgehen.
(2) Für diese Aufwände berechnet die Auftragnehmerin einen Betrag von € 1.200,00 pro Manntag (8 Arbeitszeitstunden), wobei die kleinste Abrechnungseinheit 15 Minuten be- trägt. Im Falle von Reisekosten werden diese zusätzlich abgerechnet und zwar für Bahnfahrten in der 2. Klasse, Flugreisen in der Economy Class und bei Reisen mit Kraftfahrzeugen nach den gesetzlichen Bestimmungen. Die hier genannten Entgelte sind Netto- preise und verstehen sich zuzüglich der gesetzlichen Umsatzsteuer.
11. Technische und organisatorische Maßnahmen zur Datensicherheit
(1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind.
(2) Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage zu diesem Vertrag beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Dies Anpassungen dürfen aber nicht das bei Vertragsabschluss vereinbarte Schutzniveau unterschreiten. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern.
12. Dauer des Auftrags
(1) Der Vertrag wird auf unbestimmte Zeit geschlossen.
(2) Er ist mit einer Frist von einem Monat kündbar.
(3) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.
(4) Der Vertrag endet automatisch, wenn kein gesonderter Dienstleistungsvertrag über Domain-, E-Mailund/ oder Webspace-Hosting mehr besteht.
(5) Das Recht auf außerordentliche Kündigung bleibt unberührt.
13. Beendigung
(1) Nach Beendigung des Vertrages löscht der Auftragnehmer auf Anforderung des Auftraggebers und unter Einhaltung gesetzlicher Vorgaben die angefallenen Daten auf Datenträgern. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer.
(2) Im Falle von E-Mail- und Webspace-Hosting werden mit Beendigung des jeweiligen Vertrages die Daten unmittelbar automatisiert gelöscht. Etwaige Datensicherungen beim Auftragnehmer werden in der Regel binnen spätestens vierzehn Tage nach Beendigung des Vertrages, bzw. nach Löschung der Ursprungsdaten ebenfalls automatisiert gelöscht.
14. Schlussbestimmungen
(1) Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.
(2) Die Geltendmachung eines Zurückbehaltungsrechtes i.S.d. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten ausgeschlossen
(3) Für Nebenabreden ist die Schriftform erforderlich.
(4) Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.
München, den 15.08.23 München, den 15.08.23
Harriet Riedel – Auftraggeber – united-domains AG – Auftragnehmer –
Anlagen:
Anlage 1 – Unterauftragnehmer
Anlage 2 – technische und organisatorische Maßnahmen
Anlage 1 – Unterauftragnehmer
Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftraggebers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten (»Unterauftragnehmer«). Dabei handelt es sich um nachfolgende(s) Unternehmen:
IP Exchange GmbH (vormals q.beyond AG, davor QSC AG)
Am Tower 5
90475 Nürnberg
T +49 911 30950 50
F +49 911 30950 089
info@ip-exchange.de https://ip-exchange.de
Bei der IP Exchange GmbH liegen eigene Server des Auftragnehmers, auf denen Webspace und E-Mails der Kunden gespeichert werden.
1&1 IONOS SE
Elgendorfer Straße 57
56410 Montabaur
T +49 (0) 721 96 00
info@1und1.de https://1und1.de Über die 1&1 Internet SE betreibt der Auftragnehmer Webspace-Server und Webseiten-Baukästen.
Open-Xchange GmbH
Olper Hütte 5f
57462 Olpe
T +49 2761 75252 00
https://open-xchange.com Über die Open-Xchange GmbH betreibt der Auftragnehmer teilweise E-Mail-Dienstleistungen
ipcom GmbH (RcodeZero)
Karlsplatz 1/2/9 1010
Wien +43 1 294 00 40 -510
rcodezero@ipcom.at www.rcodezero.at
Bei der ipcom GmbH (Anycast Service RcodeZero DNS) liegen Domain Name Server des Auftragnehmers.
Akamai Technologies GmbH
Parkring 20–22
85748 Garching
privacy@akamai.com http://akamai.com
Zugriffe auf Kundendomains können im Falle von DDos-Angriffen auf Server des Auftragnehmers umgeleitet werden.
Anlage 2
Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.
1. Vertraulichkeit
1.1 Zutrittskontrolle
Die Büroräume der united-domains AG befinden sich in einem Bürohaus in Starnberg. Die Büroräume sowie der Kellerraum sind durch eine Schließanlage mit Sicherheitsschlössern gesichert. Die Ablageräume sind zusätzlich durch ein PinPad gesichert. Es gibt zwei Serverräume, deren einer durch eine Schließanlage und der andere durch eine Schließanlage und ein PinPad gesichert ist. Die Schlüsselvergabe an Mitarbeiter und das Schlüsselmanagement erfolgt nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Übergabe und den Entzug von Schlüsseln und Zutrittsberechtigungen für die Büro- und andere Räume regelt.
Zutrittsberechtigungen zu den Serverräumen und der Ablage werden einem Beschäftigten erst erteilt, wenn dies durch den jeweiligen Vorgesetzten angefordert wurde. Bei der Vergabe von Berechtigungen wird dem Grundsatz der Erforderlichkeit Rechnung getragen.
Besucher melden sich beim Empfang und erhalten durch diese Zutritt zu Büroräumen. Der Empfang kann die Eingangstür zum Büro einsehen und trägt Sorge dafür, dass jeder Besucher sich beim Empfang meldet. united-domains nutzt für die unterschiedlichen Dienstleistungen, die sie erbringt, unterschiedliche Dienstleister und Rechenzentren.
Datenzentren:
IP Exchange GmbH Niederlassungen in Nürnberg und München
Die Rechenzentren der IP Exchange GmbH befinden sich auf eingezäuntem Gelände. Die Gebäude oder Gebäudeteile sind videoüberwacht und zum Teil mit Bewegungsmeldern und einer Einbruchsmeldeanlage überwacht.
Die Maßnahmen zur Zutrittssicherheit sind abhängig vom Einsatzzweck der Räumlichkeiten und dem Schutzbedarf der Systeme, die sich in ihnen befinden. Sensible Datenverarbeitungsanlagen befinden sich immer in entsprechend geschützten Räumlichkeiten des Anbieters.
Es existieren technische und organisatorische Maßnahmen zur Beschränkung des Zutritts zu geschützten Bereichen für interne und externe Personen. Für den Zutritt zu den Rechenzentren existiert ein Rechtesystem. Die Zutrittssteuerung an den Rechenzentren erfolgt über ein Zutrittskontrollsystem. Das System regelt und kontrolliert den Zutritt zum Grundstück und zu den Gebäuden. Es besteht ein Protokoll geführtes Schlüsselmanagement. Die Rechenzentren werden rund um die Uhr (24X7) von einem Wachdienst überwacht. Es bestehen zudem technische Überwachungssysteme.
Open-Xchange GmbH in Olpe
Der Dienstleister ist nach ISO/IEC 27001:2013 zertifiziert. Das Rechenzentrum erlaubt den Zutritt nur für Mitarbeiter. Es besteht ein Protokoll geführtes Schlüsselmanagement.
Darüber hinaus ist der Zutritt über elektronische und biometrische Kontrollen gesichert. Serverräume sind nochmals gesondert geschützt. Es gibt besondere zutrittsbegrenzte Bereiche.
1&1 Internet SE
Das Rechenzentrum wird tagsüber von einem Pförtner überwacht und außerhalb der Geschäftszeiten von einem Sicherheitsdienst, der regelmäßige Kontrollgänge macht. Es gibt eine Einbruchmeldeanlage. Mitarbeiter haben die Pflicht, Ausweise zu tragen. Besucher werden innerhalb der Gebäude von autorisierten Mitarbeitern begleitet. Es gibt eine Ausweisrichtlinie, ein Ausweisbuch und eine nur per Passwörtern von Autorisierten nutzbare Verwaltungssoftware. Darüber hinaus gibt es ein Zutrittskontrollsystem und Schlüsselvergaberichtlinien, die unter anderem die Protokollierung von vergebenen Zutrittskarten vorsieht. Es gibt ein Videoüberwachungssystem, Sicherheitstüren und eine Bereichswechselkontrolle. Die Türen sind mit Sicherheitsschleusen versehen, die einen elektronischem Schlüssel zusammen mit PIN-Eingabe benötigen. Sämtliche Türen sind mit digitalen Schließzylindern versehen. Die Zugänge zum Rechenzentrum sind videoüberwacht.
1.2 Zugangskontrolle
Für die Zugangskontrolle sind nachfolgende Maßnahmen von united-domains AG getroffen worden: Um Zugang zu IT-Systemen zu erhalten, müssen Nutzer über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von Administratoren oder zur Vergabe von Zugangsdaten Berechtigte vergeben, je nachdem auf welche Systeme Zugriff notwendig ist. Je nach System und Notwendigkeit findet eine Protokollierung der Erteilung von Berechtigungen statt. Darüber hinaus wird bei einigen Systemen protokolliert, wer die letzte Rechteänderung pro Tool und Mitarbeiter durchgeführt hat. Bei sensiblen Systemen wird die Berechtigung mehrmals im Jahr überprüft. Der Benutzer erhält in der Regel einen Benutzernamen und ein Initialpasswort, das bei erster Anmeldung geändert werden muss. Es gibt eine Passwortrichtlinie. Das Werkzeug, das Mitarbeitern zur Erstellung von Passwörtern zur Verfügung steht, zeigt zudem anschaulich die Qualität des gewählten Passworts und lässt nur solche mit hoher Qualität überhaupt zu. Es enthält eine Anleitung zur Erstellung sicherer Passwörter.
Bei besonders sensiblen Systemen erfolgt die Zugriffsrechtevergabe über Administratoren. Bei weniger kritischen Systemen erfolgt die Vergabe von Zugriffsrechten über Abteilungs- oder Teamleiter. Die Rechtevergabe erfolgt auf Anfrage eines Mitarbeiters gegenüber sei- nem direkten Vorgesetzten, wenn er Zugriffe benötigt. Dieser entscheidet ob der Zugriff notwendig ist und unterscheidet nach Lese- und Schreibrecht. Die Rechte werden granular vergeben und können auf Tool- und Flag-Ebene eingeschränkt vergeben werden. Der Zugriff auf Datenbanken unterliegt besonderen Regeln und wird nur stufenweise nach Überprüfung der Notwendigkeit und nach bestimmten zeitlichen Abläufen durch den jeweiligen Teamleiter freigegeben. Fernzugriffe auf IT-Systeme der united-domains erfolgen ausschließlich über verschlüsselte Verbindungen und von Administratoren freigeschaltete Geräte.
Datenzentren:
IP Exchange GmbH Niederlassungen in Nürnberg und München
Zum Zugang zu Systemen muss sich der Nutzer grundsätzlich mittels eines Verfahrens auf dem aktuellen Stand der Technik authentifizieren. Bei Systemen mit besonders hohem Schutzbedarf bzw. kritischen Zugriffswegen sind zusätzliche Verfahren, wie z. B. eine Zwei-Faktor-Authentifizierung, etabliert. Der Zugang zu Applikationen und zu Informationen erfolgt auf Basis von Rollen und dem konkreten geschäftlichen Bedarf der Benutzer. Es gilt das “Need To Know”-Prinzip. Das Passwortverfahren ist in einer Passwortrichtlinie dokumentiert, in der hohe Anforderungen an die Erstellung von Passworten gestellt wird und über die nur sehr sichere Passworte zugelassen werden. Fehlerhafte Anmeldungen werden soweit sinnvoll und technisch machbar protokolliert und bei Bedarf ausgewertet.
Unsichere Netze werden durch Security Gateways separiert und überwacht. Der Zugang über mobile Geräte bzw. deren Einsatz wird über eine Richtlinie und über die “Regeln für mobile Devices” reglementiert und gesteuert.
Open-Xchange GmbH in Olpe:
Der Dienstleister ist nach ISO/IEC 27001:2013 zertifiziert. Der Zugang zu Systemen und Netzwerk ist benutzer- und passwortgeschützt. Es besteht eine Passwortregelung, die die Anforderungen für die Komplexität für Passwörter und deren regelmäßige Erneuerung beschreibt. Sensible Systeme sind nur über gezielte zusätzliche Freigaben benutzbar. Benutzer werden nach mehreren Zugriffsfehlversuchen automatisch blockiert. Systeme sperren sich automatisiert nach einem definierten Zeitablauf ohne Aktivität des Nutzers (Bildschirmschonersperre).
1&1 Internet SE
Der Zugriff auf Systeme erfolgt nach einem formalen Benutzer- und Berechtigungsprozess gemäß der internen Sicherheitsrichtlinie. Die Berechtigungsvergabe wird dokumentiert. Jeder berechtigte Benutzer ist auf eine eigene Benutzer-ID auf dem Zielsystem be- schränkt. Die Zugangsberechtigungen sind feingranular konfigurierbar. Alle Systeme sind durch ein zweistufiges Identifizierungsverfahren geschützt. Fernzugriffe sind nur in authentifizierter Form über VPN möglich und werden protokolliert. Es können nur authorisierte Geräte auf die Systeme zugreifen. Daten mit hohem Schutzbedarf werden nur nach BSIStandards verschlüsselt gespeichert.
1.3 Zugriffskontrolle
Berechtigungen für IT-Systeme und Applikationen der united-domains AG werden von Administratoren und bestimmten Mitarbeitern eingerichtet.
Berechtigungen werden grundsätzlich nach dem Need-to-Know-Prinzip vergeben. Es er- halten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind. Voraussetzung ist eine entsprechende Anforderung der Berechtigung für einen Mitarbeiter durch einen Vorgesetzten. Es gibt für bestimmte Systeme ein rollenbasiertes Berechtigungskonzept mit der Möglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das sicherstellt, dass Beschäftigte abhängig von ihrem jeweiligen Aufgabengebiet und ggf. projektbasiert Zugriffs- rechte auf Applikationen und Daten erhalten.
Die Vernichtung von Datenträgern und Papier erfolgt durch einen Dienstleister, der eine Vernichtung nach DIN 66399 gewährleistet.
Alle Mitarbeiter der united-domains AG sind angewiesen, Informationen mit personenbezogenen Daten in die hierfür ausgewiesenen Vernichtungsbehältnisse einzuwerfen. In den unterschiedlichen Büros gibt es, je nach Datensensibilität Aktenvernichter (Schredder) mit unterschiedlichen Sicherheitsstufen. Papiere mit personenbezogenen Daten werden aus- schließlich in Schreddern mit der höchsten Sicherheitsstufe vernichtet.
Alle Server- und Client-Systeme werden regelmäßig mit Sicherheits-Updates aktualisiert.
Datenzentren:
IP Exchange GmbH Niederlassungen in Nürnberg und München
Zum Zweck der Zugriffskontrolle erfolgt die Autorisierung von Benutzern über ein Rechte- bzw. Berechtigungssystem. Besondere Zugriffsberechtigungen bedürfen der Genehmigung durch Beauftragte. Vergabe und Entzug von Zugriffsberechtigungen werden durch einen elektronischen Workflow unterstützt und dokumentiert. Der Berechtigungsprozess beinhaltet den Entzug von Zugriffsberechtigungen. Eine Kontrolle der Berechtigungsvergaben erfolgt anlassbezogen und regelmäßig im Rahmen interner und externer Audits.
Die kontrollierte Vernichtung von Daten und Ausdrucken erfolgt durch spezialisierte, zertifizierte Dienstleister.
Open-Xchange GmbH in Olpe
Der Dienstleister ist nach ISO/IEC 27001:2013 zertifiziert. Die Zugriffsrechte werden aus- schließlich von Administratoren vergeben. Die Berechtigung ist granular und wird nach Notwendigkeit vergeben. Die Berechtigungsvergabe wird protokolliert, die Berechtigungen mehrmals im Jahr überprüft. Zugriffe auf die Systeme werden beim Login protokolliert.
1&1 Internet SE
Aufgrund der Systemkonfiguration sind reguläre Zugriffe nur mit administrativen Rechten für autorisierte Mitarbeiter nach dem Need-to-Know Prinzip möglich. Zugriffe auf System- IDs und auffällige Zugriffsversuche werden protokolliert. Bei auffälligen Zugriffen findet eine Alarmierung der autorisierten Administratoren statt. Weiteres ist in einer Sicherheitsrichtlinie geregelt.
1.4 Trennung
Alle von der united-domains AG und deren Dienstleistern für Kunden eingesetzten IT-Systeme sind jeweils getrennt, je nach Verarbeitungszweck, aufgesetzt. Die Trennung von Da- ten von verschiedenen Kunden innerhalb der einzelnen Systeme ist stets gewährleistet. Testsysteme und Livesystem der united-domains AG sind hart getrennt: Zugriffe untereinander sind aufgrund physischer Trennung ausgeschlossen. Darüber hinaus bestehen Firewall-Regeln.
1.5 Pseudonymisierung & Verschlüsselung
Ein administrativer Zugriff auf Serversysteme erfolgt bei der united-domains AG wie auch bei deren Dienstleistern grundsätzlich über verschlüsselte Verbindungen. Die Kommunikation zwischen sensiblen Systemen erfolgt immer verschlüsselt. Passwörter von Kunden werden im gesamten System verschlüsselt gespeichert. Zugriffe von Kunden auf Systeme (z.B. Webspace) erfolgen verschlüsselt. Logs werden teilweise pseudonymisiert (IP verkürzt) oder nach 7 Tagen gelöscht. Darüber hinaus werden Daten auf mobilen Geräten (Notebooks) und externen Datenträgern verschlüsselt gespeichert. Es besteht eine entsprechende Handlungsrichtlinie.
2. Integrität
2.1 Eingabekontrolle
Die Eingabe, Änderung und Löschung von personenbezogenen Daten, die von der united- domains AG im Auftrag verarbeitet werden, unterliegt alleine den Auftraggebern. Nur nach gesonderter Beauftragung durch den jeweiligen Auftraggeber nehmen Mitarbeiter der united-domains AG Einblick in Daten (Webspace, E-Mail) der Auftraggeber. Mitarbeiter sind verpflichtet, stets mit ihren eigenen Accounts zu arbeiten. Benutzeraccounts dürfen nicht mit anderen Personen geteilt bzw. gemeinsam genutzt werden. Die Zugriffe über bestimmte Tools werden in einem User-Log vermerkt, inklusive eindeutigem Identifizierungsmerkmals des eingeloggten Mitarbeiters. Die Protokolle bestehen solange die zweckgebundene Notwendigkeit gegeben ist. Der Zugriff auf diese Protokolle unterliegt der jeweiligen Berechtigung des Mitarbeiters.
2.2 Weitergabekontrolle
Eine Weitergabe von personenbezogenen Daten, die im Auftrag von Kunden von der united-domains AG erfolgt, darf jeweils nur in dem Umfang, erfolgen, wie dies mit dem Kunden abgestimmt oder soweit dies zur Erbringung der vertraglichen Leistungen für den Kunden erforderlich ist. Alle Mitarbeiter der united-domains AG werden im Hinblick auf die zulässige Nutzung von Daten und die Modalitäten einer Weitergabe von Daten instruiert. Soweit möglich werden Daten verschlüsselt an Empfänger übertragen. Alle Mitarbeiter der united-domains AG werden regelmäßig zu Datenschutzthemen geschult. Alle Mitarbeiter sind zu einem vertraulichen Umgang mit personenbezogenen Daten verpflichtet worden.
3. Verfügbarkeit und Belastbarkeit
Daten auf den Systemen von united-domains AG werden mindestens täglich gesichert. Die Sicherungen werden verschlüsselt an physisch getrennten Orten gespeichert. Es gibt ein Backupprozedere. Das Einspielen von Backups wird regelmäßig getestet. Die IT-Systeme verfügen über eine unterbrechungsfreie Stromversorgung. In den Server- räumen befinden sich Brandmeldeanlagen. Alle Serversysteme unterliegen einem Monitoring, das im Falle von Störungen unverzüglich Meldungen an einen Administrator auslöst. Die Daten werden auf ihre Integrität hin überprüft, um sie vor Schäden bei Fehlfunktionen von System zu schützen. Der Zugriff darauf unterliegt einer Freigabe für bestimmte Mitarbeiter. Es gibt bei der united-domains AG einen Notfallplan, der auch einen Wiederanlaufplan beinhaltet.
Datenzentren:
IP Exchange GmbH Niederlassungen in Nürnberg und München Gesetzliche Vorgaben zum Brand- und Wasserschutz werden in allen Gebäuden eingehalten. Die Rechenzentren sind ISO27001 und nach weiteren TÜV Standards zertifiziert und entsprechen hohen Anforderungen an Brand- und Wasserschutz. Die Rechenzentren des Anbieters sind durch getrennte USV-Anlagen mit Batteriepufferung und Dieselgeneratoren gegen Stromausfälle gesichert. Die Hauseinführungen sind redundant implementiert. Notfallplan und entsprechende Handbücher zur Aufrechterhaltung der Kernprozesse im Notfall und zur möglichst raschen Wiederherstellung des Normalbetriebs sind vorhanden und etabliert. Die für die Erfüllung des Notfallplans notwendigen Übungen und Tests sind definiert, werden durchgeführt und die Durchführung sowie Verbesserungsmaßnahmen werden dokumentiert.
Open-Xchange GmbH in Olpe
Es bestehen Backupregeln. Server und Festplatten werden gespiegelt. Es bestehen unterbrechungsfreie Stromversorgungen. Backups werden an physisch getrennte Orte verbracht. Es gibt Notfallpläne. Die Serverräume verfügen über Klimanalagen.
1&1 Internet SE
Es bestehen Notfallhandbücher mit Wiederanlaufverfahren und ein Backup-Verfahren. Da- ten werden in regelmäßigen Abständen in einem sicheren Ort innerhalb des Rechenzentrums gesichert. Es werden Funktionstests von Backups vorgenommen. Die Systeme sind über Firewalls geschützt und werden täglich durch autorisierte Systemadministratoren gewartet und aktualisiert. Es besteht ein zentrales Systemmanagementsystem. Das Rechenzentrum ist mit einer unterbrechungsfreien Stromzufuhr ausgestattet und an ein gesondertes Netz angeschlossen. Darüber hinaus gibt es eine Brandschutzfrüherkenungsanlage sowie eine Feuerlöschanlage.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Die united-domains AG hat ein Datenschutzmanagement implementiert. Es gibt eine Leitlinie zu Datenschutz und Datensicherheit und Richtlinien, mit denen die Umsetzung der Ziele der Leitlinie gewährleistet wird. Es sind ein Datenschutzbeauftragter und ein Informationssicherheitsbeauftragter benannt. Diese ergreifen in Abstimmung Maßnahmen im Bereich von Datenschutz und Datensicherheit, die im Wege eines Datenschutzmanagementsystems umgesetzt werden. In regelmässigen Abständen finden Datenschutzschulungen durch den Datenschutzbeauftragten statt. Es wird erfasst, wer an der Schulung teilgenommen hat. Die Schulungsunter- lagen stehen allen Mitarbeitern zur Einsicht zur Verfügung. Bei Beginn des Arbeitsverhältnisses und unter anderem im Rahmen der Datenschutzschulungen werden die Mitarbeiter der united-domains AG zur Verschwiegenheit und Vertraulichkeit verpflichtet. Es ist unter anderem über Schulungen sichergestellt, dass Datenschutzvorfälle von allen Mitarbeitern erkannt und unverzüglich gemeldet und untersucht werden. Soweit Daten be- troffen sind, die im Auftrag von Kunden verarbeitet werden, wird Sorge dafür getragen, dass diese über Art und Umfang des Vorfalls informiert werden. Bei der Verarbeitung von Daten für eigene Zwecke erfolgt im Falle des Vorliegens der Voraussetzungen des Art. 33 DSGVO eine Meldung an die Aufsichtsbehörde. Es existiert ein Verzeichnis der Verarbeitungstätigkeiten.
4.1 Auftragskontrolle
Die Verarbeitung der im Auftrag verarbeiteten Daten erfolgt ausschließlich in der Europäischen Union. Die united-domains AG hat einen betrieblicher Datenschutzbeauftragter benannt. Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vor- gaben jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag nach zuvor durchgeführter Prüfung durch den Datenschutzbeauftragten abgeschlossen.
4.2 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Die Mitarbeiter von united-domains AG tragen bei der Planung und Entwicklung der Software und Systeme Sorge dafür, dass dem Grundsatz der Erforderlichkeit Rechnung getragen wird. Kritische Fragen werden mit dem Datenschutzbeauftragten abgestimmt. Berechtigungen auf Daten oder Applikationen können flexibel und granular gesetzt werden.