Datenschutzerklärung

Verantwortliche Stelle im Sinne der Datenschutzgesetze, insbesondere der EU-Datenschutzgrundverordnung (DSGVO), ist:

Petra Decker

Ihre Betroffenenrechte

Unter den angegebenen Kontaktdaten unseres Datenschutzbeauftragten können Sie jederzeit folgende Rechte ausüben:

Auskunft über Ihre bei uns gespeicherten Daten und deren Verarbeitung,

Berichtigung unrichtiger personenbezogener Daten,

Löschung Ihrer bei uns gespeicherten Daten,

Einschränkung der Datenverarbeitung, sofern wir Ihre Daten aufgrund gesetzlicher Pflichten noch nicht löschen dürfen,

Widerspruch gegen die Verarbeitung Ihrer Daten bei uns und Datenübertragbarkeit, sofern Sie in die Datenverarbeitung eingewilligt haben oder einen Vertrag mit uns abgeschlossen haben.

Sofern Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Sie können sich jederzeit mit einer Beschwerde an die für Sie zuständige Aufsichtsbehörde wenden. Ihre zuständige Aufsichtsbehörde richtet sich nach dem Bundesland Ihres Wohnsitzes, Ihrer Arbeit oder der mutmaßlichen Verletzung. Eine Liste der Aufsichtsbehörden (für den nichtöffentlichen Bereich) mit Anschrift finden Sie unter: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.

Zwecke der Datenverarbeitung durch die verantwortliche Stelle und Dritte

Wir verarbeiten Ihre personenbezogenen Daten nur zu den in dieser Datenschutzerklärung genannten Zwecken. Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den genannten Zwecken findet nicht statt. Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:

Sie Ihre ausdrückliche Einwilligung dazu erteilt haben,

die Verarbeitung zur Abwicklung eines Vertrags mit Ihnen erforderlich ist,

die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist,

die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben.

Löschung bzw. Sperrung der Daten

Wir halten uns an die Grundsätze der Datenvermeidung und Datensparsamkeit. Wir speichern Ihre personenbezogenen Daten daher nur so lange, wie dies zur Erreichung der hier genannten Zwecke erforderlich ist oder wie es die vom Gesetzgeber vorgesehenen vielfältigen Speicherfristen vorsehen. Nach Fortfall des jeweiligen Zweckes bzw. Ablauf dieser Fristen werden die entsprechenden Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.

Erfassung allgemeiner Informationen beim Besuch unserer Website

Wenn Sie auf unsere Website zugreifen, werden automatisch mittels eines Cookies Informationen allgemeiner Natur erfasst. Diese Informationen (Server-Logfiles) beinhalten etwa die Art des Webbrowsers, das verwendete Betriebssystem, den Domainnamen Ihres Internet-Service-Providers und ähnliches. Hierbei handelt es sich ausschließlich um Informationen, welche keine Rückschlüsse auf Ihre Person zulassen.

Diese Informationen sind technisch notwendig, um von Ihnen angeforderte Inhalte von Webseiten korrekt auszuliefern und fallen bei Nutzung des Internets zwingend an. Sie werden insbesondere zu folgenden Zwecken verarbeitet:

Sicherstellung eines problemlosen Verbindungsaufbaus der Website,

Sicherstellung einer reibungslosen Nutzung unserer Website,

Auswertung der Systemsicherheit und -stabilität sowie

zu weiteren administrativen Zwecken.

Die Verarbeitung Ihrer personenbezogenen Daten basiert auf unserem berechtigten Interesse aus den vorgenannten Zwecken zur Datenerhebung. Wir verwenden Ihre Daten nicht, um Rückschlüsse auf Ihre Person zu ziehen. Empfänger der Daten sind nur die verantwortliche Stelle und ggf. Auftragsverarbeiter.

Anonyme Informationen dieser Art werden von uns ggfs. statistisch ausgewertet, um unseren Internetauftritt und die dahinterstehende Technik zu optimieren.

SSL-Verschlüsselung

Um die Sicherheit Ihrer Daten bei der Übertragung zu schützen, verwenden wir dem aktuellen Stand der Technik entsprechende Verschlüsselungsverfahren (z. B. SSL) über HTTPS.

Kontaktformular

Treten Sie bzgl. Fragen jeglicher Art per E-Mail oder Kontaktformular mit uns in Kontakt, erteilen Sie uns zum Zwecke der Kontaktaufnahme Ihre freiwillige Einwilligung. Hierfür ist die Angabe einer validen E-Mail-Adresse erforderlich. Diese dient der Zuordnung der Anfrage und der anschließenden Beantwortung derselben. Die Angabe weiterer Daten ist optional. Die von Ihnen gemachten Angaben werden zum Zwecke der Bearbeitung der Anfrage sowie für mögliche Anschlussfragen gespeichert. Nach Erledigung der von Ihnen gestellten Anfrage werden personenbezogene Daten automatisch gelöscht.

Verwendung von Scriptbibliotheken (Google Webfonts)

Um unsere Inhalte browserübergreifend korrekt und grafisch ansprechend darzustellen, verwenden wir auf dieser Website Scriptbibliotheken und Schriftbibliotheken wie z. B. Google Webfonts (https://www.google.com/webfonts/). Google Webfonts werden zur Vermeidung mehrfachen Ladens in den Cache Ihres Browsers übertragen. Falls der Browser die Google Webfonts nicht unterstützt oder den Zugriff unterbindet, werden Inhalte in einer Standardschrift angezeigt.

Der Aufruf von Scriptbibliotheken oder Schriftbibliotheken löst automatisch eine Verbindung zum Betreiber der Bibliothek aus. Dabei ist es theoretisch möglich – aktuell allerdings auch unklar ob und ggf. zu welchen Zwecken – dass Betreiber entsprechender Bibliotheken Daten erheben.

Die Datenschutzrichtlinie des Bibliothekbetreibers Google finden Sie hier: https://www.google.com/policies/privacy/

Verwendung von Adobe Typekit

Wir setzen Adobe Typekit zur visuellen Gestaltung unserer Website ein. Typekit ist ein Dienst der Adobe Systems Software Ireland Ltd. der uns den Zugriff auf eine Schriftartenbibliothek gewährt. Zur Einbindung der von uns benutzten Schriftarten, muss Ihr Browser eine Verbindung zu einem Server von Adobe in den USA aufbauen und die für unsere Website benötigte Schriftart herunterladen. Adobe erhält hierdurch die Information, dass von Ihrer IP-Adresse unsere Website aufgerufen wurde. Weitere Informationen zu Adobe Typekit finden Sie in den Datenschutzhinweisen von Adobe, die Sie hier abrufen können: www.adobe.com/privacy/typekit.html

Verwendung von Google Maps

Diese Webseite verwendet Google Maps API, um geographische Informationen visuell darzustellen. Bei der Nutzung von Google Maps werden von Google auch Daten über die Nutzung der Kartenfunktionen durch Besucher erhoben, verarbeitet und genutzt. Nähere Informationen über die Datenverarbeitung durch Google können Sie den Google-Datenschutzhinweisen entnehmen. Dort können Sie im Datenschutzcenter auch Ihre persönlichen Datenschutz-Einstellungen verändern.

Ausführliche Anleitungen zur Verwaltung der eigenen Daten im Zusammenhang mit Google-Produkten finden Sie hier.

Eingebettete YouTube-Videos

Auf einigen unserer Webseiten betten wir Youtube-Videos ein. Betreiber der entsprechenden Plugins ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA. Wenn Sie eine Seite mit dem YouTube-Plugin besuchen, wird eine Verbindung zu Servern von Youtube hergestellt. Dabei wird Youtube mitgeteilt, welche Seiten Sie besuchen. Wenn Sie in Ihrem Youtube-Account eingeloggt sind, kann Youtube Ihr Surfverhalten Ihnen persönlich zuzuordnen. Dies verhindern Sie, indem Sie sich vorher aus Ihrem Youtube-Account ausloggen.

Wird ein Youtube-Video gestartet, setzt der Anbieter Cookies ein, die Hinweise über das Nutzerverhalten sammeln.

Wer das Speichern von Cookies für das Google-Ad-Programm deaktiviert hat, wird auch beim Anschauen von Youtube-Videos mit keinen solchen Cookies rechnen müssen. Youtube legt aber auch in anderen Cookies nicht-personenbezogene Nutzungsinformationen ab. Möchten Sie dies verhindern, so müssen Sie das Speichern von Cookies im Browser blockieren.

Weitere Informationen zum Datenschutz bei „Youtube“ finden Sie in der Datenschutzerklärung des Anbieters unter: https://www.google.de/intl/de/policies/privacy/

Änderung unserer Datenschutzbestimmungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Fragen an den Datenschutzbeauftragten

Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail.

Die Datenschutzerklärung wurde mit dem Datenschutzerklärungs-Generator der activeMind AG erstellt.

Es folgt die Vereinbarung zur Auftragsverarbeitung mit der STRATO AG

Nach Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO).
zwischen
Petra, Decker
Lauterbachstr. 5
82538 Geretsried
als Auftraggeber
– nachfolgend Auftraggeber –
und
STRATO AG
Pascalstraße 10
10587 Berlin
als Auftragnehmer
– nachfolgend Auftragnehmer –
1. Gegenstand und Dauer der Verarbeitung
1.1. Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der
Leistungserbringung gemäß Auftrag, Leistungsbeschreibung und AGB (nachfolgend Hauptvertrag), soweit
eine Verarbeitung von personenbezogenen Daten durch den Auftragnehmer als Auftragsverarbeiter für den
Auftraggeber gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten, die der Auftragnehmer zur Erfüllung
des Auftrags erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Auftrag nicht
ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.
1.2. Die Dauer der Verarbeitung entspricht der im Auftrag vereinbarten Laufzeit.
2. Art und Zweck der Verarbeitung
2.1. Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO zur Erfüllung des
Auftrags.
2.2. Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung im Bereich CloudDienstleistungen,
Hosting, Software as a Service (SaaS) und IT-Support erforderlichen Zwecke.
3. Art der personenbezogenen Daten und Kategorien von Betroenen
3.1. Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die
Nutzung der Dienste und die Übermittlung von Daten.
3.2. Die Kategorien von Betroffenen bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die
Nutzung der Dienste und die Übermittlung von Daten.
4. Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen
4.1. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der
Datenschutzgesetze, insbesondere für die Recht mäßigkeit der Datenweitergabe an den Auftragnehmer sowie
für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr.
7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der
Verarbeitung.
4.2. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber
danach in schriftlicher Form oder in einem elektronischen Format (Textform) durch einzelne Weisungen
geändert werden (Einzelweisung). Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu
bestätigen. Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung
behandelt. Bei Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen
sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und
Vergütung ergeben. Ist dem Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der
Auftragnehmer berechtigt, die Verarbeitung zu beenden. Eine Unzumutbarkeit liegt insbesondere vor, wenn
die Leistungen in einer Infrastruktur erbracht werden, die von mehreren Auftraggebern / Kunden des
Auftragnehmers genutzt wird (Shared Services), und eine Änderung der Verarbeitung für einzelne
Auftraggeber nicht möglich oder nicht zumutbar ist.
4.3. Die vertraglich vereinbarte Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der
Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum statt, soweit nicht etwas anderes vereinbart ist, z.B. über die Produktbeschreibung der
beauftragten Leistung .
4.4. Ist Vertragsbestandteil die Registrierung von Domains bei Registrierungsstellen, die ihren Sitz in einem
Drittland haben (außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums), ist auch
vereinbart, dass der Auftragnehmer personenbezogene Daten – unter Beachtung der zwingend anwendbaren
Vorschriften – an diese Registrierungsstellen übermittelt.
4.5. Die Parteien vereinbaren außerdem, dass der Auftragnehmer berechtigt ist, personenbezogene Daten –
unter Beachtung der zwingend anwendbaren Vorschriften zur Leistungserbringung in einem Drittland zu
übermitteln. Dies ist insbesondere der Fall, wenn Auftragsgegenstand der Dienst eines Drittanbieters ist, der
diesen Dienst ganz oder teilweise in einem Drittland erbringt.
5. Rechte des Auftraggebers, Pichten
des Auftragnehmers
5.1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftra ges und der
dokumentierten Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des
Artikel 28 Abs. 3 a) DSGVO vor (Verpflichtung nach dem Recht der Europäischen Union oder eines
Mitgliedstaates). Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist,
dass eine Weisung gegen anwend bare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung
solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
5.2. Der Auftragnehmer unterstützt angesichts der Art der Verarbeitung nach Möglichkeit den Auftraggeber
mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Ansprüche der
betroffenen Personen nach Kapitel III der DSGVO. Der Auftragnehmer ist berechtigt, für diese Leistungen eine
angemessene Vergütung vom Auftraggeber zu verlangen.
5.3. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und
der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO
genannten Pflichten. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung
vom Auftraggeber zu verlangen.
5.4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers
befassten Mitarbeiter und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten
außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur
Verarbeitung der personenbezoge nen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder
einer ange messenen gesetzlichen Verschwiegenheitspflicht unterliegen. Gleiches gilt für das
Fernmeldegeheimnis nach § 88 TKG und – in Kenntnis der Strafbarkeit – für die Wahrung von Geheimnissen
der Berufsgeheimnisträger nach § 203 StGB. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch
nach Beendigung des Auftrages fort.
5.5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzun gen des Schutzes
personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen
Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen
Personen.
5.6. Der Auftragnehmer gewährleistet die schriftliche Bestellung eines Datenschutzbeauftragten, der seine
Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Eine Kontaktmöglichkeit wird auf der Webseite des
Auftragnehmers veröffentlicht.
5.7. Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des
Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Kunden zurück, sofern nicht nach
dem Unionsrecht oder nach dem anwendbaren Recht eines Mitgliedstaates eine Verpflichtung zur
Speicherung der personenbezogenen Daten besteht oder sich aus jeweiligen vertraglichen Vereinbarungen
etwas anderes ergibt. Macht der Auftraggeber von diesem Wahlrecht keinen Gebrauch, gilt die Löschung als
vereinbart. Wählt der Auftraggeber die Rückgabe, kann der Auftragnehmer eine angemessene Vergütung
verlangen.
5.8. Machen betroffene Person Schadensersatzansprüche nach Art. 82 DSGVO geltend, unterstützt der
Auftragnehmer den Auftraggeber bei der Abwehr der Ansprüche im Rahmen seiner Möglich keiten. Der
Auftragnehmer kann hierfür eine angemessene Vergütung verlangen.
6. Pichten
des Auftraggebers
6.1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der
Durchführung des Auftrags Fehler oder Unregelmäßigkeiten bzgl. daten schutzrechtlicher Bestimmungen
feststellt.
6.2. Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen Daten vor
Vertragsbeendigung zu löschen, die er in den Diensten gespeichert hat.
6.3. Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner in
Datenschutzangelegenheiten.
7. Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO
7.1. Der Auftragnehmer ergreift in seinem Verantwortungsbereich geeignete technische und organisatorische
Maßnahmen, um sicher zu stellen, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und
den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. Der Auftragnehmer ergreift in
seinem Verantwortungsbereich gemäß Art. 32 DSGVO geeignete technische und organisatorische
Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbar keit und Belastbarkeit der Systeme und Dienste im
Zusammenhang mit der Verarbei tung auf Dauer sicherzustellen.
7.2. Die aktuellen technischen und organisatorischen Maßnahmen sind im Anhang 2 aufgeführt.
7.3. Der Auftragnehmer betreibt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der
technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß
Art. 32 Abs. 1 lit. d) DSGVO.
7.4. Der Auftragnehmer passt die getroffenen Maßnahmen im Laufe der Zeit an die Entwicklungen beim
Stand der Technik und die Risikolage an. Eine Änderung der getroffenen technischen und organisatorischen
Maßnahmen bleibt dem Auftragnehmer vorbehalten, sofern das Schutzniveau nach Art 32 DSGVO nicht
unterschritten wird.
8. Nachweis und Überprüfung
8.1. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der
Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen –
einschließlich Inspektionen -, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer
durchgeführt werden, und trägt dazu bei. Der Auftragnehmer ist berechtigt, eine Verschwiegenheitserklärung
vom Auftraggeber und von dessen beauftragten Prüfer zu verlangen. Der Auftragnehmer stimmt der
Benennung eines unabhängigen externen Prüfers durch den Auftraggeber zu, sofern der Auftraggeber dem
Auftragnehmer eine Kopie des Audit berichts zur Verfügung stellt. Wettbewerber des Auftraggebers oder
Personen, die für Wettbewerber des Auftraggebers tätig sind, kann der Auftragnehmer als Prüfer ablehnen.
8.2. Als Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten reicht dem Auftraggeber die
vorliegende Zertifizierung nach ISO 27001 aus. Das jeweils aktuelle Zertifikat stellt der Auftragnehmer auf
seiner Webseite zur Verfügung.
8.3. Das Inspektionsrecht des Auftraggebers hat das Ziel, die Einhaltung der einem Auftragsverarbeiter
obliegenden Pflichten gemäß der DSGVO und dieses Vertrages zu überprüfen. Der Nachweis der Einhaltung
dieser Pflichten wird durch die Zertifizierung nach vorstehendem Absatz erbracht. Sofern der Auftraggeber
auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass diese Zertifizierungen
zureichend oder zutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DSGVO im
Zusammenhang mit der Durchführung der Auftragsverarbeitung für den Auftraggeber dies rechtfertigen,
kann er Vor-Ort-Kontrollen durchführen. Diese können zu den üblichen Geschäftszeiten ohne Störung des
Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt
werden.
8.4. Für Informationen und Unterstützungshandlungen kann der Auftragnehmer eine angemessene
Vergütung verlangen. Der Aufwand für den Auftragnehmer durch eine Inspek tion ist grundsätzlich auf einen
Tag pro Kalenderjahr begrenzt.
8.5. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige staatliche oder kirchliche Aufsichtsbehörde
des Auftraggebers eine Inspektion vornehmen, gelten die vorstehenden Regeln entsprechend. Eine
Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde
einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem
Strafgesetzbuch strafbewehrt ist.
9. Subunternehmer (weitere Auftragsverarbeiter)
9.1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter
im Sinne des Art. 28 DSGVO zur Vertragserfüllung einzusetzen.
9.2. Die aktuell eingesetzten weiteren Auftragsverarbeiter sind im Anhang 1 aufgeführt. Der Auftraggeber
erklärt sich mit deren Einsatz einverstanden.
9.3. Der Auftragnehmer informiert den Auftraggeber, wenn er eine Änderung in Bezug auf die Hinzuziehung
oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt. Der Auftraggeber kann gegen derartige
Änderungen Einspruch erheben.
9.4. Der Einspruch gegen die beabsichtigte Änderung kann nur aus einem wichtigen datenschutzrechtlichen
Grund innerhalb einer angemessenen Frist nach Zugang der Information über die Änderung gegenüber dem
Auftragnehmer erhoben werden. Im Fall des Einspruchs kann der Auftragnehmer nach eigener Wahl die
Leistung ohne die beabsichtigte Änderung erbringen oder – sofern die Erbringung der Leistung ohne die
beabsichtigte Änderung für den Auftragnehmer nicht zumutbar ist – die von der Änderung betroffene
Leistung gegenüber dem Auftraggeber innerhalb einer angemessenen Frist nach Zugang des Einspruchs
einstellen.
9.5. Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter, so obliegt es dem Auftragnehmer,
seine datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren Auftragsverarbeiter zu
übertragen.
9.6. Als weitere Auftragsverarbeiter im Sinne dieser Regelung sind nur solche Subunternehmer zu verstehen,
die Dienstleistungen erbringen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht
hierzu gehören solche Nebenleistungen, die sich auf Telekommunikationsleistungen,
Druck-/Post-/Transportdienstleistungen, Wartung und Pflege, Benutzerservice oder die Entsorgung von
Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und
Belastbarkeit der personenbezogenen Daten, Netze, Dienste, Datenverarbeitungsanlagen und sonstiger ITSysteme,
beziehen. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der
Datensicherheit in Bezug auf die Daten des Auftraggebers auch bei solchen Nebenleistungen angemessene
und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
10. Haftung und Schadensersatz
10.1. Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person nach Art. 82
DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des
zugrundeliegenden Sachverhalts beizutragen.
10.2. Die zwischen den Parteien im Hauptvertrag zur Leistungserbringung vereinbarte Haftungsregelung gilt
auch für Ansprüche aus dieser Vereinbarung zur Auftragsverarbeitung und im Innenverhältnis zwischen den
Parteien für Ansprüche Dritter nach Art 82 DSGVO, außer soweit ausdrücklich etwas anderes vereinbart ist.
11. Vertragslaufzeit, Sonstiges
11.1. Die Vereinbarung beginnt mit dem Abschluss durch den Kunden. Sie endet mit Ende des letzten
Vertrages unter der o.g. Kundennummer. Sollte eine Auftragsverarbeitung noch nach Beendigung dieses
Vertrages stattfinden, gelten die Regelungen dieser Vereinbarungen bis zum tatsächlichen Ende der
Verarbeitung.
11.2. STRATO kann die Vereinbarung nach billigem Ermessen mit angemessener Ankündigungsfrist ändern. Es
gilt Ziffer 1.4 AGB.
11.3. Ergänzend gelten die AGB des Auftragnehmers, abrufbar unter https://www.strato.de/agb/. Bei etwaigen
Widersprüchen gehen Regelungen dieser Vereinbarung zur Auftragsverarbeitung den Regelungen des
Hauptvertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die
Wirksamkeit der Vereinbarungen im Übrigen nicht.
11.4. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist
Berlin. Dieser gilt vorbehaltlich eines etwaigen ausschließlich gesetzlichen Gerichtsstandes. Dieser Vertrag
unterliegt den gesetzlichen Bestimmungen der Bundesrepublik Deutschland.
11.5. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch
ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet
werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der
Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass
die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verant wortlicher « im Sinne
der DSGVO liegen.
Anhang 1 zur Vereinbarung zur Auftragsverarbeitung – Genehmigte Subunternehmer /
weitere Auftragsverarbeiter
Stand 20180321
Subunternehmer Land Adresse Kurzbeschreibung der Leistung
Content Management
AG
Deutschland Im Medienpark 6, 50670
Köln
Entwicklung, Wartung und Pflege
des Hompagebaukastens
ePages GmbH Deutschland Pilatuspool 2, 20355
Hamburg
Entwicklung, Wartung und Pflege
der Webshops
Open-Xchange GmbH Deutschland Martinstraße 41, 57462
Olpe
Entwicklung, Wartung und Pflege
des Communicators
1&1 Internet SE Deutschland Elgendorfer Straße 7,
56410 Montabaur
Entwicklung und Betrieb der
STRATO Online Buchhaltung
Seven IT GmbH Deutschland SevenIT, Hauptstraße
40, 77652 Offenburg
Betrieb und Support der STRATO
Online Buchhaltung
Anhang 2 zur Vereinbarung zur Auftragsverarbeitung – Technische und Organisatorische
Sicherheitsmaßnahmen gemäß Art 32 DSGVO
Version 1.0
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
Unbefugten ist der Zutritt zu Räumen zu verwehren, in denen Datenverarbeitungsanlagen untergebracht
sind.
Festlegung von Sicherheitsbereichen
• Realisierung eines wirksamen Zutrittsschutzes
• Protokollierung des Zutritts
• Festlegung Zutrittsberechtigter Personen
• Verwaltung von personengebundenen Zutrittsberechtigungen
• Begleitung von Fremdpersonal
• Überwachung der Räume
1.2 Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbe fugten genutzt werden.
• Festlegung des Schutzbedarfs
• Zugangsschutz
• Umsetzung sicherer Zugangsverfahren, starke Authentisierung
• Umsetzung einfacher Authentisierung per Username Passwort
• Protokollierung des Zugangs
• Monitoring bei kritischen IT-Systemen
• Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen
• Sperrung bei Fehlversuchen/Inaktivität und Prozess zur Rücksetzung gesperrter Zugangskennungen
• Verbot Speicherfunktion für Passwörter und/oder Formulareingaben (Server/Clients)
• Festlegung befugter Personen
• Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien und
Zugangsberechtigungen
• Automatische Zugangssperre und Manuelle Zugangssperre
1.3 Zugriffskontrolle
Es kann nur auf die Daten zugegriffen, für die eine Zugriffsberechtigung besteht. Daten können bei der
Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt ge lesen, kopiert, verändert oder entfernt
werden.
• Erstellen eines Berechtigungskonzepts
• Umsetzung von Zugriffsbeschränkungen
• Vergabe minimaler Berechtigungen
• Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen
• Vermeidung der Konzentration von Funktionen
1.4 Verwendungszweckkontrolle
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden
können.
• Datensparsamkeit im Umgang mit personenbezogenen Daten
• Getrennte Verarbeitung verschiedener Datensätze
• Regelmäßige Verwendungszweckkontrolle und Löschung
• Trennung von Test- und Entwicklungsumgebung
1.5 datenschutzfreundliche Voreinstellungen
• Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich sind, werden die technischen
Voreinstellungen so festgelegt, dass Daten nur durch eine Aktion der Betroffenen Person erhoben,
verarbeitet, weitergegeben oder veröffentlicht werden.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
Ziel der Weitergabekontrolle ist es, zu gewährleisten, dass personenbezogene Daten bei der elektronischen
Übertragung oder während ihres Transports oder ihrer Speicherung auf Daten träger nicht unbefugt gelesen,
kopiert, verändert oder entfernt werden können, und dass über prüft und festgestellt werden kann, an welche
Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen
ist.
• Festlegung empfangs- /weitergabeberechtigter Instanzen/Personen
• Prüfung der Rechtmäßigkeit der Übermittlung ins Ausland
• Protokollierung von Übermittlungen gemäß Protokollierungskonzept
• Sichere Datenübertragung zwischen Server und Client
• Sicherung der Übertragung im Backend
• Sichere Übertragung zu externen Systemen
• Risikominimierung durch Netzseparierung
• Implementation von Sicherheitsgateways an den Netzübergabepunkten
• Härtung der Backendsysteme
• Beschreibung der Schnittstellen
• Umsetzung einer Maschine-Maschine-Authentisierung
• Sichere Ablage von Daten, inkl. Backups
• Gesicherte Speicherung auf mobilen Datenträgern
• Einführung eines Prozesses zur Datenträgerverwaltungen
• Prozess zur Sammlung und Entsorgung
• Datenschutzgerechter Lösch- und Zerstörungsverfahren
• Führung von Löschprotokollen
2.2 Eingabekontrolle
Zweck der Eingabekontrolle ist es, zu gewährleisten, dass nachträglich überprüft und festgestellt werden
kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder
entfernt worden sind.
• Protokollierung der Eingaben
• Dokumentation der Eingabeberechtigungen
3. Verfügbarkeit, Belastbarkeit, Desaster Recovery
3.1 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
• Brandschutz
• Redundanz der Primärtechnik
• Redundanz der Stromversorgung
• Redundanz der Kommunikationsverbindungen
• Monitoring
• Resourcenplanung und Bereitstellung
• Abwehr von systembelastendem Missbrauch
• Datensicherungskonzepte und Umsetzung
• Regelmäßige Prüfung der Notfalleinrichtungen
3.2 Desaster Recovery – Rasche Wiederherstellung nach Zwischenfall Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO)
• Notfallplan
• Datensicherungskonzepte und Umsetzung
4. Datenschutzorganisation
• Festlegung von Verantwortlichkeiten
• Umsetzung und Kontrolle geeigneter Prozesse
• Melde- und Freigabeprozess
• Umsetzung von Schulungsmaßnahmen
• Verpflichtung auf Vertraulichkeit
• Regelungen zur internen Aufgabenverteilung
• Beachtung von Funktionstrennung und –zuordnung
• Einführung einer geeigneten Vertreterregelung
5. Auftragskontrolle
Ziel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet
werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
• Auswahl weiterer Auftragnehmer nach geeigneten Garantien
• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern
• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit STRATO
6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art.
25 Abs. 1 DSGVO)
• Informationssicherheitsmanagement nach ISO 27001
• Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen
• Prozess Sicherheitsvorfall-Management
• Durchführung von technischen Überprüfungen
Sie haben am 21.05.2018 erfolgreich eine Vereinbarung zur Auftragsverarbeitung mit STRATO
abgeschlossen.