HomeAuftrags­verarbeitungs­vereinbarung

Auftrags­verarbeitungs­vereinbarung

zwischen

Auftraggeber entsprechend Hauptvertrag

– nachstehend „Auftraggeber“ genannt –

und der

Werbeboten Media GmbH

Leipziger Straße 126

10117 Berlin

– nachstehend „Auftragnehmer“ genannt –

§Gegenstand der Auftragsverarbeitung

(1) Die Bestimmungen dieser Vereinbarung finden sowohl Anwendung auf den Fall, dass der Auftragnehmer durch den zwischen den Parteien geschlossenen Hauptvertrag vom Auftraggeber explizit mit der Verarbeitung personenbezogener Daten beauftragt wurde, als auch auf den Fall, dass im Zusammenhang mit den von ihm gemäß dem Hauptvertrag zu erbringenden Tätigkeiten nicht ausgeschlossen werden kann, dass ihm ein Zugriff auf personenbezogene Daten des Auftraggebers möglich ist.

(2) Der Gegenstand sowie Art und Zweck der Verarbeitung personenbezogener Daten ergeben sich aus dem Hauptvertrag, jeweils einschließlich evtl. hierzu geschlossener Nachträge und Ergänzungsvereinbarungen, auf den hier verwiesen wird.

(3) Betroffen von der Verarbeitung sind die in Annex 1 genannten Datenarten/-kategorien und Kategorien betroffener Personen.

(4) Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen dieser Vereinbarung nicht darüberhinausgehende Verpflichtungen ergeben.

§2 Verantwortlichkeit, Weisungsrecht

(1) Sowohl dem Auftragnehmer als auch dem Auftraggeber obliegt die Einhaltung der jeweils einschlägigen datenschutzrechtlichen Bestimmungen.

(2) Die Verarbeitung personenbezogener Daten durch den Auftragnehmer erfolgt im Auftrag des Auftraggebers nach den Vorgaben des Hauptvertrages. Der Auftraggeber ist im Zusammenhang mit diesem Vertrag für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich, d. h. er ist „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO.

(3) Die Datenverarbeitung wird vom Auftragnehmer ausschließlich nach den Vorgaben (Weisungen) des Auftraggebers, wie sie sich aus dem Hauptvertrag ergeben, vorgenommen. Der Auftraggeber kann die vertraglich erteilten Weisungen jederzeit ändern, ergänzen oder ersetzen. Mündliche Weisungen werden vom Auftraggeber unverzüglich schriftlich oder in Textform bestätigt.

§3 Pflichten des Auftragnehmers

(1) Der Auftragnehmer darf – vorbehaltlich der Regelung in Art. 28 Abs. 3 a) DSGVO – Daten der von der Verarbeitungstätigkeit betroffenen Personen (Annex 1) ausschließlich im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten.

(2) Der Auftragnehmer ist verpflichtet sicherzustellen, dass für Datenverarbeitung im Auftrag des Auftraggebers nach diesem Vertrag außerhalb der Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) eine gesetzliche Rechtsgrundlage vorliegt (z.B. nach Art. 45, Art. 46, Art. 49 DSGVO).

(3) Der Auftragnehmer wird seinen mit der Verarbeitung der Daten des Auftraggebers befassten Beschäftigten sowie sonstigen von ihm hierfür eingesetzten Personen untersagen, die Daten anders als nach den Weisungen des Auftraggebers zu verarbeiten. Ferner wird er alle mit der Verarbeitung der Daten befassten Beschäftigten auf die Wahrung der Vertraulichkeit und des Datengeheimnisses verpflichten und über die wesentlichen datenschutzrechtlichen Bestimmungen aufklären.

(4) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine ihm erteilte Weisung gegen zwingende gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, ist er berechtigt, die weitere Verarbeitung bis zu einer endgültigen Klärung der Haftung zwischen den Parteien auszusetzen.

(5) Im Rahmen seiner Möglichkeiten und Verantwortlichkeiten unterstützt der Auftragnehmer den Auftraggeber ferner bei der Erfüllung ihrer datenschutzrechtlichen Verpflichtungen, insb. derjenigen gegenüber betroffenen Personen.

Dies gilt entsprechend, sollte der Auftraggeber wegen etwaiger Verletzungen datenschutzrechtlicher Pflichten in Anspruch genommen werden (s. Art. 82 DSGVO): Der Auftragnehmer wird den Auftraggeber auch bei der Abwehr solcher Ansprüche im Rahmen seiner Möglichkeiten unterstützen.

§4 Maßnahmen zur Herstellung der Datensicherheit

(1) Der Auftragnehmer wird in seinem Verantwortungsbereich seine innerbetriebliche Organisation so ausgestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird daher zum angemessenen Schutz der Daten technische und organisatorische Maßnahmen treffen, die den Anforderungen des Art. 32 DSGVO genügen, indem sie die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der hier in Rede stehenden Verarbeitung sicherstellen.

(2) Die angemessenen Maßnahmen hat der Auftragnehmer unter Berücksichtigung von Stand der Technik, Implementierungskosten, Art, Umfang, Umständen und Zwecken der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen natürlichen Personen (s. § 1 Abs. 3) festzulegen. Eine Übersicht technischer und organisatorischer Maßnahmen zur Sicherstellung der Datensicherung ist dieser Vereinbarung als Annex 2 beigefügt.

(3) Die Parteien sind sich darüber einig, dass während der Vertragslaufzeit Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Insoweit ist es dem Auftragnehmer gestattet, jederzeit alternative adäquate Maßnahmen umzusetzen.
Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personen-bezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus (mind. 14 Tage) mit dem Auftraggeber abstimmen. Vorgenommene wesentliche Änderungen sind zu doku-mentieren und dem Auftraggeber umgehend in geeigneter Form zur Verfügung stellen.

(4) Maßnahmen, die lediglich geringfügige oder aufgrund technischer Entwicklungen zwingende technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Eine Abstimmung ist ebenfalls nicht erforderlich, wenn die Änderungen der technischen und organisatorischen Maßnahmen auf Seiten des Auftragnehmers dazu geeignet sind, eine Verbesserung der Integrität, Vertraulichkeit oder Verfügbarkeit personenbezogener Daten herbeizuführen.

§5 Pflichten des Aufraggebers

(1) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er im Rahmen der Auftragserfüllung durch den Auftragnehmer Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

(2) Im Falle einer Inanspruchnahme des Auftragnehmers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO gilt § 3 Abs. 5 entsprechend.

(3) Der Auftraggeber nennt dem Auftragnehmer einen Ansprechpartner für alle im Rahmen dieser Auftragsverarbeitung anfallenden Fragen des Datenschutzes.

§6 Informationspflichten des Auftragnehmers

(1) Der Auftragnehmer wird den Auftraggeber bei Auftreten schwerwiegender Störungen seines Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder bei anderen Unregelmäßigkeiten bei der Verarbeitung der Daten, sowie sobald ihm Verletzungen des Schutzes personenbezogener Daten im Rahmen seiner Verarbeitungstätigkeit bekannt werden, unverzüglich informieren.

Der Auftragnehmer trifft in diesen Fällen die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

(2) Ferner wird der Auftragnehmer den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde gemäß Art. 58 DSGVO ihm gegenüber tätig wird und diese Untersuchungen auch die von ihm im Auftrag des Auftraggebers vorgenommene Verarbeitungstätigkeit betreffen können.

(3) Bei der Erfüllung seiner Unterstützungspflichten gemäß § 3 Abs. 5 wird der Auftragnehmer die zeitlichen Vorgaben im Zusammenhang mit den dem Auftraggeber nach Art. 33 DSGVO auferlegten Meldepflichten berücksichtigen und daher dem Auftraggeber jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, spätestens 36 Stunden nach Kenntniserlangung mitteilen.

(4) Die Mitteilungen nach Absatz 1 und 3 haben insbesondere folgende Informationen zu enthalten:

  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. eine Darstellung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

§7 Umgang mit Anfragen betroffener Personen

(1) Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Wahrung von Betroffenenrechten – insbesondere dem Recht auf Auskunft, Berichtigung, Sperrung oder Löschung – zu unterstützen (§ 3 Abs. 5).

(2) Wendet sich eine betroffene Person mit der Geltendmachung von Betroffenenrechten an ihn, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen sowie dem Auftraggeber den Antrag der betroffenen Person unverzüglich weiterleiten.

(3) Soweit zur Wahrung von Betroffenenrechten durch den Auftraggeber konkrete Mitwirkungshandlungen des Auftragnehmers erforderlich sind (z. B. Löschung, Sperrung), wird der Auftragnehmer die jeweils erforderlichen Handlungen nach Weisung des Auftraggebers vornehmen.

§8 Einschaltung von Subunternehmern

(1) Sofern der Hauptvertrag dies nicht ausdrücklich ausschließt, wird dem Auftragnehmer die Einschaltung von Subunternehmern grundsätzlich gestattet. Der Auftragnehmer hat stets eine aktuelle Übersicht entsprechend Annex 3 über die mit diesem Auftrag in Zusammenhang stehenden Subunternehmer zu pflegen und dem Auftraggeber in angemessener Form zur Verfügung zu stellen.

(2) Es obliegt dem Auftragnehmer, den Subunternehmer entsprechend den in dieser Vereinbarung niedergelegten datenschutzrelevanten Anforderungen zu verpflichten. Der Auftragnehmer hat insb. sicherzustellen, dass dem Subunternehmer dieselben Pflichten zum Schutz personenbezogener Daten obliegen, die zwischen dem Auftraggeber und dem Auftragnehmer festgelegt sind, und dass die dem Auftraggeber eingeräumten Kontrollrechte auch gegenüber dem Subunternehmer bestehen.

(3) Der Auftraggeber ist berechtigt, vom Auftragnehmer Auskunft über die wesentlichen Vertragsinhalte und die Umsetzung der datenschutzrechtlichen Anforderungen durch den Subunternehmern zu verlangen, sowie Einsicht in die relevanten Vertragsunterlagen zu nehmen.

(4) Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 3 sind Dienstleistungen anzusehen, die der Auftragnehmer von Dritten als reine Nebenleistungen ohne konkreten Bezug zu seinen Leistungen für den Auftraggeber erbringen lässt, um seine geschäftliche Tätigkeit auszuüben. Der Auftragnehmer ist gleichwohl verpflichtet, auch bei solchen Nebenleistungen Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten.

§9 Kontrollrechte des Auftragnehmers

(1) Der Auftraggeber hat während der Laufzeit dieser Vereinbarung das Recht, die Einhaltung der datenschutzrechtlichen Bestimmungen, die Einhaltung der Regelungen dieser Vereinbarung sowie die Einhaltung ihrer Weisungen durch den Auftragnehmer und insb. die von diesem getroffenen technischen und organisatorischen Maßnahmen jederzeit im erforderlichen Umfang zu kontrollieren oder durch Dritte kontrollieren zu lassen.

(2) Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrollen nach Absatz 1 erforderlich ist.

(3) Der Auftraggeber kann im Rahmen der Ausübung seiner Kontrollrechte eine Einsichtnahme in die vom Auftragnehmer für ihn verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.

(4) Der Auftraggeber kann ferner nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Absatzes 1 auch vor Ort beim Auftragnehmer bzw. in den vom Auftragnehmer zur Durchführung der Verarbeitungstätigkeit genutzten Räumlichkeiten zu den jeweils üblichen Geschäftszeiten vornehmen. Er wird dabei dafür Sorge tragen, dass die Kontrollen die Betriebsabläufe des Auftragnehmers nicht unverhältnismäßig stören.

(5) Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber, alle erforderlichen Auskünfte zu erteilen und der jeweils zuständigen Aufsichtsbehörde auch eine Vor-Ort-Kontrolle in seinem Betrieb zu ermöglichen.

§10 Geheimhaltungspflichten

(1) Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieser Vereinbarung erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur für die Zwecke der vertragsgegenständlichen Verarbeitungstätigkeit zu verwenden.

(2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.

§11 Löschung und Rückgabe

(1) Mit Beendigung der Verarbeitungstätigkeit bzw. des Hauptvertrages oder früher nach Aufforderung durch den Auftraggeber hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit der Auftragsverarbeitung für den Auftraggeber stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzkonform zu vernichten. Das Protokoll der Löschung ist dem Auftraggeber auf Anforderung vorzulegen.

(2) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

§ 12 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für die Änderung dieser Schriftformklausel.

(2) Sollte eine Bestimmung dieser Vereinbarung unwirksam oder undurchführbar sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, in diesem Fall die unwirksame oder undurchführbare Bestimmung durch eine wirksame bzw. durchführbare Bestimmung zu ersetzen, die dem mit der unwirksamen oder undurchführbaren Bestimmung verfolgten rechtlichen oder wirtschaftlichen Zweck so nahe wie möglich kommt. Entsprechendes gilt im Falle einer Regelungslücke.

Annex 1

Arten personenbezogener Daten, Kreis der Betroffenen und Zweck der Verarbeitung

 

Art der DatenZweck der Datenerhebung,
-verarbeitung oder -nutzung
Kreis der Betroffenen
- Personenstammdaten
- Kommunikationsdaten
(z.B. Telefon, E-Mail)
- Vertragsstammdaten
(Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
- Kundenhistorie
- Technische Daten (IP-Adresse, Geräteinformationen)
- Neukundenakquise
- Bestandskundenausbau
- Kunden
- potentielle Kunden
- Nutzer eines Dienstes


Annex 2

Technische und organisatorische Maßnahmen

[Auftragnehmer]

Technische und organisatorische Maßnahmen der

Firma:       Werbeboten Media GmbH
Standort: Leipziger Straße 126, 10117 Berlin

zur Umsetzung und Einhaltung der datenschutzrechtlichen Vorgaben.

  1. Zutrittskontrolle

Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Dies wird an dem oben genannten Standort mittels folgender Maßnahmen sichergestellt:

  • Sicherheitsschlösser mit Schlüsselregelung.
  • Zutrittsberechtigungsregelungen für Mitarbeiter sowie Wartungs- und Reinigungspersonal.
  • Nachvollziehbarkeit, wer und zu welchem Zeitpunkt seitens des Wartungs- und Reinigungspersonals Zutritt zu Räumen erlangt, in denen sich Datenverarbeitungsanlagen befinden.
  • Regelung, dass sich Besucher und andere Dritte wie Lieferdienste nur in Begleitung eines Mitarbeiters in den Räumlichkeiten des Unternehmens aufhalten dürfen.
  • Sicherer Verwahrung von Terminals nach Dienstschluss in abschließbarer Vorrichtung.
  1. Zugangskontrolle

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden.

Dies wird an dem oben genannten Standort mittels folgender Maßnahmen sichergestellt:

  • Identifizierung und Authentifizierung bei Zugriff auf EDV-Anlagen und Terminals.
  • Protokollierung von Zugriffen.
  • Verwendung von sicheren Passwort-Verfahren (zufälliges Kennwort, bestehend aus allen möglichen Zeichen und Sonderzeichen einer Tastatur und mit mindestens 8 Stellen).
  • Firewall und Malwareschutz auf allen Terminals und zentralen Systemen im Netzwerk.
  • Verpflichtung der Mitarbeiter, sich bei Terminals bei Verlassen des Arbeitsplatzes abzumelden.
  • Nutzer werden auf Terminals bei längerer Nicht-Nutzung automatisch abgemeldet.
  1. Zugriffskontrolle

Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Dies wird an dem oben genannten Standort mittels folgender Maßnahmen sichergestellt:

  • Zuordnung der Benutzer zu bestimmten Terminals (inkl. Festlegung der Befugnisse, die den Benutzern dieser Terminals zustehen).
  • Mitarbeiter sind verpflichtet, sich bei Terminals bei Verlassen des Arbeitsplatzes abzumelden.
  • Nutzer werden auf Terminals bei längerer Nicht-Nutzung automatisch abgemeldet.
  • Verschlüsselung von Backup-Daten und ausschließlicher Zugriffsmöglichkeit für die Geschäftsleitung und Server-Admins.
  1. Weitergabekontrolle

Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Weiterhin muss überprüft und festgestellt werden können, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Dies wird an dem oben genannten Standort mittels folgender Maßnahmen sichergestellt:

  • Protokollierung von Datenübertragungen.
  • Verschlüsselung der jeweils übertragenen Daten unter Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.
  • Ausgabe und Verwaltung von Datenträgern nur unter Einbindung der Geschäftsführung.
  • Führung von Aufzeichnungen über den Verbleib von Datenträgern mit Kontrollen.
  • Verbot der Verwendung privater Datenträger am Arbeitsplatz.
  • Sicheres Löschen nicht mehr benötigter Daten (mindestens mehrfaches Überschreiben).
  • Sichere Vernichtung überflüssiger Ausdrucke und Fehldrucke.
  1. Eingabekontrolle

Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Dies wird an dem oben genannten Standort mittels folgender Maßnahmen sichergestellt:

  • Protokollierung von Eingaben, Änderungen und Löschen von auftragsrelevanten Daten.
  • Festlegung der Zuständigkeiten für die Eingabe.
  1. Auftragskontrolle

Es ist zu gewährleisten, dass der Auftragnehmer den Auftraggeber bei der Durchführung der in dem Vertrag geregelten Kontrollen unterstützt. Dabei sind u.a. entsprechende Vereinbarungen mit den Unterauftragnehmern zu schließen.

Dies wird an dem oben genannten Standort mittels folgender Maßnahmen sichergestellt:

  • Protokollierung der jeweiligen Anweisungen.
  • Abgleich der jeweiligen Verarbeitung mit den darauf bezogenen Anweisungen.
  • Schriftliche Festlegung von Weisungen der Auftraggeber (Textform genügt).
  1. Verfügbarkeitskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung und/oder Verlust geschützt sind.

Dies wird an dem oben genannten Standort mittels folgender Maßnahmen sichergestellt:

  • Regelmäßige Erstellung von vollwertigen Sicherungskopien.
  • Auslagerung von Sicherheitskopien.
  • Brandmelder
  1. Zweckbindungskontrolle

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Dies wird an dem oben genannten Standort mittels folgender Maßnahmen sichergestellt:

  • Je nach Kritikalität und Bedarf physische oder virtuelle Mandanten-/Kundentrennung.
  • Datenseparierung bei Anwendung von Datenbanken.
  • Trennung über Zugriffsregelungen.
  1. Pseudonymisierung

Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

  • Soweit und sofern personenbezogene Daten nicht im Klartext erforderlich sind, werden Daten pseudonymisiert verarbeitet. Das ist z.B. der Fall bei Tracking von Webseitenbesuchern für statistische Zwecke. Hierbei erfolgt das Tracking ausschließlich auf Basis von pseudonymen Cookie-IDs und umgehender Löschung von Teilen der IP-Adresse (Löschung der letzten 8 Bit). Soweit ohne negative Beeinträchtigung der Erreichung des legitimen Zwecks möglich werden darüber hinaus hierbei personenbezogene Daten anonymisiert (durch Kumulation von Daten) oder gelöscht.
  1. Datenschutz-Management

Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:

  • Bestellung eines Datenschutzbeauftragten
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis und ggf. bei Bedarf Bankgeheimnis
  • Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten
  • Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)
  1. Incident-Response-Management

Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

  • Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
  • Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO
  1. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

Die Default Einstellungen sind sowohl bei den standardisierten Voreinstellungen von Systemen und Apps als auch bei der Einrichtung der Datenverarbeitungsverfahren zu berücksichtigen. In dieser Phase werden Funktionen und Rechte konkret konfiguriert, wird im Hinblick auf Datenminimierung die Zulässigkeit bzw. Unzulässigkeit bestimmter Eingaben bzw. von Eingabemöglichkeiten (z. B. von Freitexten) festgelegt und über die Verfügbarkeit von Nutzungsfunktionen entschieden (z. B. hinsichtlich des Umfangs der Verarbeitung). Ebenso werden die Art und der Umfang des Personenbezugs bzw. der Anonymisierung (z. B. bei Selektions-, Export- und Auswertungsfunktionen, die festgelegt und voreingestellt oder frei gestaltbar zur Verfügung gestellt werden können) oder die Verfügbarkeit von bestimmten Verarbeitungsfunktionen, Protokollierungen etc. festgelegt.

Bei der Nutzung unserer Dienstleitungen werden stets nur so viele personenbezogene Daten erhoben/verarbeitet, wie für die Vertragserfüllung sowie die Wahrung berechtigter Interessen oder gesetzlicher Verpflichtungen zwingend erforderlich sind. Soweit und sofern der Nutzer/Kunde selbst Eingaben vornehmen kann, bleibt es ihm dabei selbst überlassen, welche weitergehenden Informationen er preisgeben möchte.

Annex 3

Verzeichnis Subunternehmer

[Auftragnehmer]

Bei sämtlichen Aufträgen:

  1. Google LLC, Mountain View, Kalifornien, Vereinigte Staaten: Dateiablage GDrive & ggf. Werbeschaltung, sofern Bestandteil des Hauptvertrages

Sofern der Hauptvertrag Dienstleistungen in Bezug auf die unten genannten Anbieter beinhaltet:

  1. Facebook Inc., Menlo Park, Kalifornien, Vereinigte Staaten: Werbeschaltung
  2. Amazon.com Inc. & Amazon LLC, Seattle, Washington, Vereinigte Staaten: Werbeschaltung
  3. Mailchimp, The Rocket Science Group LLC, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, Georgia, Vereinigte Staaten: Newsletterdienste
  4. Twitter Inc., San Francisco, Kalifornien, Vereinigte Staaten: Vereinigte Staaten
  5. LinkedIn Inc., Sunnyvale, Kalifornien, Vereinigte Staaten: Werbeschaltung
  6. Snap Inc., Venice, Kalifornien, Vereinigte Staaten: Werbeschaltung
  7. Xing SE, Dammtorstraße 30, 20354 Hamburg, Deutschland: Werbeschaltung
  8. CleverReach GmbH & Co. KG, Mühlenstraße 43, 26180 Rastede, Deutschland: Newsletterdienste
  9. Christian Kiewaldt und Benjamin Braun GbR, Betriebsweg 4, 51645 Gummersbach, Deutschland: Technische Entwicklung von Landingpages
  10. millepondo services GmbH & Co. KG, Rhönorfer Str. 9, 50939 Köln, Deutschland: Projektmanagmentsoftware
  11. commehr gmbh, Nürnberger str. 38, 10777 Berlin, Deutschland: Technische Infrastruktur
  12. uphill GmbH, Oranienstr. 188, 10999 Berlin, Deutschland: Analyse Social Media
  13. HubSpot Germany GmbH, Unter den Linden 26, 10117 Berlin, Deutschland: CRM
  14. DomainFactory GmbH, Oskar-Messter-Straße 33, 85737 Ismaning, Deutschland: Webhosting
  15. Zapier, Inc. 548 Market St. #62411. San Francisco, CA 94104-5401, USA: IT Dienstleister

Stand: Berlin, November 2020

  • Strategy
  • Content & Community
  • Performance Marketing
  • About