Auftragsverarbeitungsvertrag (AVV)
Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO
zwischen
dem Kunden
– nachstehend Auftraggeber genannt –
und
ITService Frank Grzbielok, 44229 Dortmund, Dümperstr.16
(ITService-Dortmund)
– nachstehend Auftragnehmer genannt –
Präambel
Der Auftragnehmer stellt dem Auftraggeber die Plattform zur Verfügung und erbringt in diesem Zusammenhang Leistungen auf Grundlage einer zwischen den Parteien geschlossenen Vereinbarung bestehend aus dem Bestellformular und den Allgemeinen Geschäftsbedingungen (nachfolgend „Hauptvertrag“ genannt). Im Rahmen dieser Leistungserbringung ist es erforderlich oder zumindest nicht auszuschließen, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend „Auftragsdaten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftragsdaten zur Durchführung des Hauptvertrags.
§ 1 Anwendungsbereich, Gegenstand und Dauer der Verarbeitung
- Diese Datenschutzvereinbarung findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Auftragsdaten im Rahmen dieser Auftragsverarbeitung in Berührung kommen können.
- Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers bei der Zurverfügungstellung der Online-Plattform und der Erbringung der im Hauptvertrag definierten Leistungen; Details hierzu ergeben sich aus dem Hauptvertrag (Gegenstand der Verarbeitung). Es werden hierbei personenbezogene Daten zum Zweck der Bereitstellung der Anwendung und Dienste entsprechend des Hauptvertrages verarbeitet als auch personenbezogene Daten, welche die Nutzer bei Verwendung der Online-Plattform ITService-Akademie.de und in den Online-Meetings eingeben oder erfassen (Umfang, Art und Zweck der Verarbeitung).
- Dauer der Verarbeitung: Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags.
- Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
- Personenbezogene Daten, welche zur Bereitstellung der Online-Plattform und Herstellung der Kommunikation erforderlich sind, werden im Teilnehmerprofil erfasst und gespeichert: Dazu zählen Zugangsdaten von registrierten Benutzern wie Name und E-Mail-Adresse und Passwort. Optional können die Nutzer im Teilnehmerprofil auch weitere Angaben machen wie etwa Titel, Initialen, Ort, Berufsbezeichnung und Arbeitgeber oder Firmenname und Sitz angegeben werden.
- Personenbezogene Daten, welche von den Nutzern während der Kommunikation in Online-Meetings über die Anwendung TeamViewer® erhoben und verarbeitet werden: Textnachrichten (Chats), Video- und Audiodaten, welche Bildnisse und Stimmen der Nutzer enthalten. Video- und Audiodaten als auch Textnachrichten in Chats können auch weitere, zwischen den Nutzern von TeamViewer®(Online-Meeting) im Rahmen der Kommunikation ausgetauschte Personenstammdaten, Kommunikationsdaten und andere personenbezogene Daten enthalten. Audio-, Video- und Chatnachrichten werden grundsätzlich nicht gespeichert bzw. nur bis zum Ende der Kommunikation zwischengespeichert, es sei denn, der Auftraggeber erstellt manuell eine Aufzeichnung.
- Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen den Auftraggeber, Mitarbeiter oder sonstige nutzungsberechtigte Personen auf Seiten des Auftraggebers (z.B. Mitarbeiter) und die jeweiligen Kommunikationspartner der nutzungsberechtigten Personen sowie Personen, über die kommuniziert wird.
- Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.
§ 1 Anwendungsbereich, Gegenstand und Dauer der Verarbeitung
- Diese Datenschutzvereinbarung findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Auftragsdaten im Rahmen dieser Auftragsverarbeitung in Berührung kommen können.
- Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers bei der Zurverfügungstellung der Online-Plattform und der Erbringung der im Hauptvertrag definierten Leistungen; Details hierzu ergeben sich aus dem Hauptvertrag (Gegenstand der Verarbeitung).
Es werden hierbei personenbezogene Daten zum Zweck der Bereitstellung der Anwendung und Dienste entsprechend des Hauptvertrages verarbeitet als auch personenbezogene Daten, welche die Nutzer bei Verwendung der Online-Plattform ITService-Akademie.de und in den Online-Meetings eingeben oder erfassen (Umfang, Art und Zweck der Verarbeitung). - Dauer der Verarbeitung: Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags.
- Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
- Personenbezogene Daten, welche zur Bereitstellung der Online-Plattform und Herstellung der Kommunikation erforderlich sind, werden im Teilnehmerprofil erfasst und gespeichert: Dazu zählen Zugangsdaten von registrierten Benutzern wie Name und E-Mail-Adresse und Passwort. Optional können die Nutzer im Teilnehmerprofil auch weitere Angaben machen wie etwa Titel, Initialen, Ort, Berufsbezeichnung und Arbeitgeber oder Firmenname und Sitz angegeben werden
- Personenbezogene Daten, welche von den Nutzern während der Kommunikation in Online-Meetings über die Anwendung TeamViewer® erhoben und verarbeitet werden: Textnachrichten (Chats), Video- und Audiodaten, welche Bildnisse und Stimmen der Nutzer enthalten
Video- und Audiodaten als auch Textnachrichten in Chats können auch weitere, zwischen den Nutzern von TeamViewer®(Online-Meeting) im Rahmen der Kommunikation ausgetauschte Personenstammdaten, Kommunikationsdaten und andere personenbezogene Daten enthalten. Audio-, Video- und Chatnachrichten werden grundsätzlich nicht gespeichert bzw. nur bis zum Ende der Kommunikation zwischengespeichert, es sei denn, der Auftraggeber erstellt manuell eine Aufzeichnung.
- Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen den Auftraggeber, Mitarbeiter oder sonstige nutzungsberechtigte Personen auf Seiten des Auftraggebers (z.B. freie Mitarbeiter, Dozenten, Lehrbeauftragte) und die jeweiligen Kommunikationspartner der nutzungsberechtigten Personen sowie Personen, über die kommuniziert wird.
6. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.
§ 2 Verantwortlichkeit für die Datenverarbeitung
Der Auftraggeber ist im Rahmen dieses Vertrages für die Rechtmäßigkeit der Verarbeitung der Auftragsdaten sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Der Auftragnehmer verarbeitet personenbezogene Daten nur im Auftrag des Auftraggebers auf dessen Weisung hin.
§ 4 Pflichten des Auftraggebers
- Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die Auftragsdaten nicht an unbefugte Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
- Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Auftragsdaten gem. Art. 32 DSGVO, insbesondere mindestens die in Anlage 1 aufgeführten Maßnahmen.
- Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
§ 5 Pflichten des Auftragnehmers
- Der Auftragnehmer hat Auftragsdaten nur nach Weisung des Auftraggebers unter Beachtung von § 6 dieser Vereinbarung zu verarbeiten. Der Auftragnehmer hat die Auftragsdaten ausschließlich nach Weisung des Auftraggebers zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten oder Auskunft über die gespeicherten Daten des Auftraggebers wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
- Der Auftragnehmer stellt sicher und kontrolliert regelmäßig, dass die Datenverarbeitung und -nutzung in seinem Verantwortungsbereich, der Unterauftragnehmer nach § 9 dieser Vereinbarung einschließt, in Übereinstimmung mit den Bestimmungen dieser Vereinbarung erfolgt.
- Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber keine Kopien oder Duplikate der Auftragsdaten anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind.
- Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen. Der Auftragnehmer kann für diese Unterstützungsleistung die ihm hierdurch entstehenden, nachzuweisenden Aufwände und Kosten ersetzt verlangen (reiner Aufwandsersatz), es sei denn, die Kontrolle steht in Zusammenhang mit einem Verstoß gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag, welchen der Auftragnehmer zu vertreten hat.
- Der Auftragnehmer teilt dem Auftraggeber die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit und den Ansprechpartner für im Rahmen des Vertrags anfallende Datenschutzfragen.
- Der Auftragnehmer hat die bei der Verarbeitung von Daten des Auftraggebers beschäftigten Personen gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO zur Vertraulichkeit und zur Geheimhaltung entsprechend § 203 StGB zu verpflichten.
- Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen und Verstöße des Auftragnehmers, der bei ihm beschäftigten Personen oder eines eingesetzten Unterauftragnehmers gem. § 9 gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung des Auftraggebers durchführen.
§ 6 Weisungsbefugnis des Auftraggebers
- Der Auftragnehmer verarbeitet die Daten des Auftraggebers ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, wie sie insbesondere in den Bestimmungen dieser Vereinbarung und den Festlegungen des Hauptvertrags Ausdruck finden, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftraggeber kann in schriftlicher Form oder in Textform einzelne Weisungen ändern, ergänzen oder ersetzten (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Ziehen Einzelweisungen Mehrkosten nach sich, insbesondere wenn diese über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind diese dem Auftragnehmer zu vergüten. Eine Vergütungspflicht besteht nicht, wenn die Weisung aufgrund eines Verstoßes gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag notwendig ist, welche der Auftragnehmer zu vertreten hat.
- Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder in Textform (z.B. per E-Mail) bestätigen.
- Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 S. 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
§ 7 Unterstützungspflichten
- Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Informationen oder Auskünfte zur Verarbeitung von Daten dieser Person zu geben oder die Rechte von betroffenen Personen nach Kapitel III (Art. 12 bis 23) der DSGVO zu gewährleisten, wird der Auftragnehmer den Auftraggeber bei der Erfüllung dieser Pflichten mit geeigneten technischen und organisatorischen Maßnahmen entsprechend Art. 28 Abs. 3 lit. e DSGVO unterstützen.
- Der Auftragnehmer unterstützt den Auftraggeber entsprechend Art. 28 Abs. 3 lit. f DSGVO bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten.
- Bei der Erbringung der Unterstützungsleistungen nach Abs. 1 und 2 dem Auftragnehmer entstehende und nachzuweisende Aufwände und Kosten (reiner Aufwandsersatz) sind vom Auftraggeber zu ersetzen, es sei denn, die Unterstützungsleistungen stehen in Zusammenhang mit einem Verstoß gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag, welche der Auftragnehmer zu vertreten hat.
§ 8 Kontrollrechte des Auftraggebers
Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber – grundsätzlich nach Terminvereinbarung, die nur in besonderen Ausnahmefällen entfallen darf – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Die Kosten für die Durchführung der Kontrolle trägt der Auftraggeber, es sei denn, die Kontrolle steht in Zusammenhang mit einem Verstoß gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag, welche der Auftragnehmer zu vertreten hat.
§ 9 Weitere Auftragsverarbeiter nach Art. 28 Abs. 2 & 4 DSGVO)
- Der Auftraggeber erteilt hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter (nachfolgend „Unterauftragnehmer“ genannt) hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen Unterauftragnehmer ergeben sich aus Anlage 2, für welche der Auftragnehmer die Genehmigung mit Abschluss dieser Vereinbarung erteilt. Der Auftragnehmer informiert den Aufraggeber vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen diese Änderung Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). Erfolgt kein Einspruch innerhalb von 14 Tage ab Bekanntgabe, gilt die Zustimmung zur Änderung als gegeben. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 3 Wochen zu kündigen.
- Der Auftragnehmer ist verpflichtet, Unterauftragnehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Unterauftragnehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Unterauftragnehmern wahrnehmen kann. Insbesondere wird der Auftragnehmer solche Unterauftragnehmer zur Geheimhaltung entsprechend §203 StGB verpflichten, welchen Privatgeheimnissen des Auftraggebers gem. §203 StGB offenbart werden könnten.
§ 10 Löschung von Daten und Rückgabe von Datenträgern
Nach Abschluss der vertraglichen Arbeiten, spätestens mit Beendigung des Hauptvertrags – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber nach dessen Wahl auszuhändigen oder datenschutzgerecht zu vernichten. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
§ 11 Haftung
Eine zwischen den Vertragsparteien im Hauptvertrag vereinbarte Haftungsregelung gilt auch für die Auftragsverarbeitung, es sei denn, die Vertragsparteien haben ausdrücklich etwas anderes vereinbart.
§ 12 Schlussbestimmungen
- Soweit in dieser Vereinbarung keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widersprüchen zwischen dieser Vereinbarung und Regelungen aus sonstigen vertraglichen Abreden, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus dieser Vereinbarung vor.
- Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers oder Änderungen der Anlage – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
- Die Rechte und Pflichten des Vertrages bleiben so lange bestehen, wie der Auftragnehmer die Daten des Auftraggebers verarbeitet.
- Ausschließlicher Gerichtsstand für alle aus diesem Vertrag sich ergebenden Streitigkeiten ist der Sitz des Auftragnehmers.
- Es gilt deutsches Recht.
Dortmund, den 06.01.2022
Technische Organisatorische Maßnahmen (TOM)
I Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittkontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen durch Verwendung von:
Alarmanlagen, Videoanlagen; Verwendung sicherer Fenster u. Türen, sorgfältige Auswahl von Reinigungspersonal
- Zugangs- und Zugriffskontrolle
Keine unbefugte Systembenutzung durch Verwendung sicherer und individueller Kennwörter, automatische Sperrmechanismen, Verschlüsselung, Verschlüsselung von Datenträgern, Zuordnung von Benutzerprofilen, Virenschutzsystem, Hard‐ und Software
Firewall, Identifikation und Authentifizierung der Benutzer/ Passwortschutz, Maschinelle Überprüfung der Berechtigungen, Zentrale Vergabestelle von Benutzerrechten
- Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, durch:
Zugriffsberechtigungen für interne Systeme, Zugriffsberechtigungen für interne Systeme, Trennung von Test- und Produktivsystem, Mandantentrennung – Logische Trennung der Daten (z.B. unterschiedliche Dateiverzeichnisse), Einsatz unterschiedlicher Verschlüsselungen
- Pseudonymisierung (Art. 32 Abs. 1 lit. a DS‐GVO; Art. 25 Abs. 1 DS‐GVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
Definition der Pseudonymisierungsregeln für Nutzerdaten und Konden-Kennziffern.
II. Integrität (Art. 32 Abs. 1 lit. b DS‐GVO)
- Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung
oder Transport, durch:
Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur, Sicherung des Übertragungswegs.
- Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, durch:
Protokollierung, Vergabe von Rechte zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts.
II. Integrität (Art. 32 Abs. 1 lit. b DS‐GVO)
- Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung
oder Transport, durch:
Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur, Sicherung des Übertragungswegs.
- Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, durch:
Protokollierung, Vergabe von Rechte zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts.
III. Verfügbarkeit, Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.
IV. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS‐GVO; Art. 25 Abs. 1 DS‐GVO
- Datenschutz‐Management
Löschen nicht mehr benötigter Daten durch:
Löschung veraltete Daten, Testumgebungen, Evaluierung, Sichere Entsorgung von Dokumenten - Incident‐Response‐Management
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS‐GVO)
- Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS‐GVO ohne entsprechende Weisung des Auftraggebers durch:
Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsdatenverarbeitungsvertrag) i.S.d. § 11 Abs. 2
BDSG, Vorabüberzeugungspflicht, Nachkontrollen, Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis (§ 5 BDSG), Abschluss von AV‐Verträgen mit Dienstleistern, Partnern und Kunden, Auswahl geeigneter Dienstleister und Partner unter Datenschutzaspekten.
Anlage 2 - Übersicht über die, die vom Auftragnehmer eingesetzten Unterauftragnehmer gem. § 10 Abs. 2
Firma / Auftragnehmer |
Anschrift | Beschreibung der Teilliestung | Betroffene /Betroffene Personengruppen |
ITService Grzbielok | Dümperstr.16 44229 Dortmund |
Bereitstellung der Infrastruktur, Support und Entwicklung | Mitarbeiter |
domainfactory GmbH | Oskar-Messter-Str. 33 85737 Ismaning |
Bereitstellung von Online-Speicherplatz, Tracking von anonymisierten IP-Adressen, Beim Versand transaktionaler E-Mails, die für die Herstellung der Kommunikation notwendig sind, werden personenbezogene Daten verarbeitet. Im Einzelnen sind das: – E-Mail zur Kontoerstellung: Name, E-Mail-Adresse, Firmenname – E-Mail zur Benutzereinladung: Name, E-Mail-Adresse, Firmenname des Gastgebers – Versand personalisierter Gastlinks: Name, E-Mail-Adresse – E-Mail, wenn Passwort vergessen wurde: Name, E-Mail-Adresse |
Mandanten, Kunden, Teilnehmer |
All Inkl.com | Hauptstraße 68 02742 Friedersdorf |
Bereitstellung von Online-Speicherplatz, Tracking von anonymisierten IP-Adressen; Beim Versand transaktionaler E-Mails, die für die Herstellung der Kommunikation notwendig sind, werden personenbezogene Daten verarbeitet. Im Einzelnen sind das: – E-Mail zur Kontoerstellung: Name, E-Mail-Adresse, Firmenname – E-Mail zur Benutzereinladung: Name, E-Mail-Adresse, Firmenname des Gastgebers – Versand personalisierter Gastlinks: Name, E-Mail-Adresse – E-Mail, wenn Passwort vergessen wurde: Name, E-Mail-Adresse |
Mandanten, Kunden, Teilnehmer |
IONOS | Bereitstellung von Online-Speicherplatz, Tracking von anonymisierten IP-Adressen. Derzeit nicht aktiv. Bei Bedarf wird dieser Dienst für dieselben Dienste wie domainfactory und all-inkl.com eingesetzt. |
Mandanten, Kunden, Teilnehmer | |
PayPal | PayPal (Europe) S.à r.l. et Cie, S.C.A. 22-24 Boulevard Royal L-2449 Luxembourg |
Abwicklung von Online-Zahlungen. Beim Bezahlvorgang werden personenebezogene Daten übermittelt: -Name und Anschrift – E-Mail Adresse |
Mandanten, Kunden, Teilnehmer |
Finanzamt Dortmund | Niederhofenerstr.3 44263 Dortmund |
Übermittlung der notwendigen Nutzerdaten für die steuerliche Auswertung: Name, Anschrift, Kundennummer |
Mandanten, Kunden, Teilnehmer |
Speicherung der IP-Adresse, der besuchten Unterseiten und der Verweildauer durch die Tracking Software beim Besuch der Webseite. Darüber hinaus Einsatz des Analysetool „Google Analytics“ zur Optimierung des Webauftritts. | Mandanten, Kunden, Teilnehmer, Interessenten | ||