Auftragsverarbeitung gemäß Art. 28 DS-GVO

Im Rahmen unserer Datenschutzpolitik möchten wir Sie darüber informieren, wann wir welche Daten speichern und wie wir diese Daten verwenden.

1. Gegenstand dieser Vereinbarung und Laufzeit

1.1. Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gemäß Auftrag, Leistungsbeschreibung und AGB, soweit eine Verarbeitung von personenbezogenen Daten durch uns als Auftragnehmer (Auftragsverarbeiter) für den Auftraggeber gemäß Art. 28 DS-GVO erfolgt. Dies umfasst alle Tätigkeiten, die der Auftragnehmer zur Erfüllung des Auftrags erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Auftrag nicht ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.

 

1.2. Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit der Leistungsvereinbarung.

2. Art und Zweck der vorgesehenen Verarbeitung von Daten

2.1. Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DS-GVO zur Erfüllung des Auftrags.

 

2.1.1. Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistungen im Bereich der Transportdienstleistungen inkl. Nebenleistungen erforderlichen Zwecke.

 

2.1.2. Neben der Pflicht zu regelmäßigen Datensicherungen trägt der Auftraggeber auch Sorge dafür, dass der Auftragnehmer bei der Erbringung der Leistungen möglichst wenig mit Daten des Auftraggebers in Berührung kommt. Allerdings kann bei der Erbringung der Leistungen nicht vollständig ausgeschlossen werden, dass der Auftragnehmer Daten des Auftraggebers zur Kenntnis nehmen kann.

 

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.

 

Datenverarbeitungen in anderen Ländern dürfen nur erfolgen, sofern der Auftraggeber zuvor schriftlich zugestimmt hat und zusätzlich die Voraussetzungen der Art.44 bis 48 DS-GVO erfüllt sind oder eine Ausnahme nach Art.49 DS-GVO vorliegt. Vereinzelt werden Leistungen von Firmen aus dem Drittland bezogen

 

2.2     Bei folgenden Arten von Daten des Auftraggebers kommt in Zusammenhang mit den in Punkt 2.1 beschriebenen Leistungen eine Kenntnisnahme-Möglichkeit des Auftragnehmers in Betracht:

 

Art der personenbezogenen Daten, Kategorien und Kreis von Betroffenen

a) Daten von Kunden des Auftraggebers.

 

b) Daten von Benutzern (Beschäftigten) der Ewals Cargo Care GmbH.

 

c) Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Art der
Anforderung seines Auftrags, und die Übermittlung von Daten.

 

d) Die Kategorien von Betroffenen bestimmt der Auftraggeber durch die Art
des Auftrags.

 

Datenkategorien bei der Ewals Cargo Care GmbH, Kiefersfelden:

  • E-Mail-Adressen,
  • Datensätze jeglicher Art von allen Datenkategorien,
  • Protokollierung der Anrufdaten
  • Firma, Name, Titel, DFÜ-Nummer
  • Telefon, Fax, Kommunikationsdaten
  • Ansprechpartner beider Seiten
  • Sämtliche Kontaktdaten aller Geschäftspartner und Beschäftigten mit Adressdaten
  • Kundengruppen
  • Umsatzdaten
  • Vertragsdaten über Boni, etc.
  • Vertragsstammdaten (Vertragsbeziehung, Vertragsinteresse)
  • Reisedaten
  • Zeiterfassungsdaten
  • Zahlungsdaten, Bankverbindungen
  • Sonstige Papiere und Genehmigungen zur Vertragserfüllung

Kreis der Betroffenen

  • Kunden
  • Lieferanten
  • Interessenten
  • Vertragspartner in Dienstleistungen
  • Beschäftigte
  • Handelsvertreter
  • Ansprechpartner
  • Mitarbeiter von Behörden

 

2.3. Der Kreis der in datenschutzrechtlicher Hinsicht Betroffenen sind Vertragspartner des Auftraggebers (soweit es sich um natürliche Personen handelt) und Mitarbeiter des Auftraggebers.

 

2.4. Der Auftragnehmer nimmt die in Punkt 2.2. o.g. Daten des Auftraggebers zur Erbringung der Leistungen und nach den in dieser Vereinbarung festgelegten Weisungen des Auftraggebers zur Kenntnis. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, ihm ggf. überlassenen Daten des Auftraggebers ohne Zustimmung des Auftraggebers an Dritte weiterzugeben, soweit nicht die Leistungsvereinbarung mit dem Auftraggeber etwas anderes vorsieht.

3. Grundsätze zu technischen und organisatorischen Sicherheitsmaßnahmen

3.1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Auftraggeber und der Auftragnehmer geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

 

3.2. Die vom Auftragnehmer zu treffenden technischen und organisatorischen Sicherheitsmaßnahmen sind im Anhang 1 dieser Vereinbarung geregelt, insbesondere auch Verfahrensanweisungen des Auftragnehmers zur Gewährleistung der betrieblichen IT-Sicherheit und des Datenschutzes festgelegt. Der Auftraggeber hat die technischen und organisatorischen Maßnahmen zu prüfen und dem Auftragnehmer Änderungswünsche mitzuteilen. Der Auftragnehmer ist berechtigt, Änderungswünsche abzulehnen und/oder unter Vorbehalt der Kostenübernahme durch den Auftraggeber zu stellen.

 

3.3. Der Auftraggeber hat dafür Sorge zu tragen, dass seine Datenverarbeitungssysteme in ihrer Gesamtheit so gestaltet sind, dass auch bei der Durchführung der Leistungen folgende Prinzipien sichergestellt sind:

  • Vertraulichkeit (Schutz vor unbefugtem Zugriff),
  • Integrität (Schutz vor unbefugten Veränderungen, Verlust, Zerstörung),
  • Verfügbarkeit,
  • Wiederherstellung,
  • Revisionsfähigkeit und Transparenz.

 

Insbesondere hat der Auftraggeber seine Datenverarbeitungssysteme untereinander dermaßen zu gestalten und die Systemumgebungen so voneinander abzuschotten, dass bei der Wartung durch den Auftragnehmer zu wartender Datenverarbeitungssysteme nicht auf Daten anderer Datenverarbeitungssysteme zugegriffen werden kann.

 

Eine Sicherheitsmaßnahme ist insbesondere, wenn der Auftraggeber seine Daten mit einem dem Stand der Technik entsprechenden Verfahren verschlüsselt. Verschlüsselung ist das Ersetzen von Klartextbegriffen oder Zeichen durch andere in der Weise, dass der Klartext nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft wieder lesbar gemacht werden kann.

 

3.4. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung, Einschränkung und Löschung von Daten gemäß nach Art.15 bis 20 DS-GVO

4.1. Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten und nicht direkt beantworten. Die Prüfung der Anfrage obliegt ausschließlich dem Auftraggeber.

 

Sie haben folgende Rechte als „betroffene Person“, deren Daten wir verarbeiten:

  • Recht auf Auskunft und Einsicht nach Art. 15 DS-GVO
  • Recht auf Berichtigung nach Art. 16 DS-GVO
  • Recht auf Löschung („Recht auf Vergessenwerden“) nach Art. 17 DS-GVO
  • Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO
  • Recht auf Übertragung Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format nach Art. 20 DS-GVO
  • Recht auf Änderung Ihrer Daten
  • Recht, auf Widerspruch der Verarbeitung Ihrer personenbezogenen Daten. (z.B.: für Direktmarketingzwecke zu widersprechen)

 

Soweit wir die Verarbeitung für bestimmte Zwecke Ihrer personenbezogenen Daten auf Grundlage Ihrer Einwilligung durchführen, haben Sie nach Art.7 Abs. 3 DS-GVO das Recht, Ihre Einwilligung jederzeit zu widerrufen. Nach Erhalt Ihres Widerrufs werden wir die Datenverarbeitung für die Zwecke einstellen, für die Sie uns die Einwilligung erteilt haben. Die Rechtmäßigkeit der Verarbeitung vor Erhalt Ihres Widerrufs bleibt unberührt.

 

Wenn Sie der Meinung sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt, haben Sie das Recht zur Beschwerde nach Art. 77 Abs.1 DS-GVO bei einer Aufsichtsbehörde für den Datenschutz.

Die Beschwerde kann insbesondere bei der Aufsichtsbehörde eingelegt werden, die am Ort Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des mutmaßlichen verstoßes zuständig ist. Am Sitz unserer Spedition ist folgende Aufsichtsbehörde für den Datenschutz zuständig:

 

Bayerisches Landesamt für Datenschutz (BAYLDA), Promenade 27, 95122 Ansbach

 

4.2. Der Auftragnehmer verpflichtet sich, den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen in Anbetracht der Art der Verarbeitung dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in der Datenschutz-Grundverordnung genannten Rechte der betroffenen Person nachzukommen.

 

4.3. Der Auftraggeber fordert den Auftragnehmer in Textform zur Mitwirkung auf, insofern eine Mitwirkung des Auftragnehmers erforderlich ist. Für alle sich daraus ergebenden Tätigkeiten beim Auftragnehmer – soweit sie keiner gesetzlichen Verpflichtung entsprechen – wird ein angemessenes Entgelt vereinbart, soweit erkennbar wird, dass das übliche Maß überschritten wird.

5. Qualitätssicherung und sonstige Pflichten des Auftraggebers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Vertrages gesetzliche Pflichten und gewährleistet insbesondere die Einhaltung folgender Vorgaben:

a) Der Auftragnehmer hat einen fachkundigen Datenschutzbeauftragten schriftlich bestellt. Der Datenschutzbeauftragte und die Kontaktmöglichkeiten zu diesem können in der Datenschutzerklärung der Website des Auftragnehmers eingesehen werden, bzw. stehen unter Punkt 12. dieser Vereinbarung.

 

b) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass diese gesetzlich zur Verarbeitung verpflichtet sind

 

c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen (siehe Anhang1).

 

d) Auftraggeber und Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

 

e) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung bei dem Auftragnehmer ermittelt.

 

f) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

 

g) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

 

h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

6. Unterauftragnehmer

6.1. Als Unterauftragsverhältnisse im Sinne der Regelung sind solche Dienstleistungen zu verstehen, welche sich unmittelbar auf die Erbringung der Hauptleistung beziehen.

 

6.2. Der Auftragnehmer ist berechtigt, Unterauftragnehmer einzusetzen.

 

6.3. Wenn und soweit den Unterauftragnehmern des Auftragnehmers personenbezogene Daten des Auftraggebers zugänglich sind bzw. werden, verpflichtet der Auftragnehmer den jeweiligen Unterauftragnehmer zu geeigneten technischen und organisatorischen Maßnahmen. Die Weiterleitung von
personenbezogenen Daten des Auftraggebers durch den Auftragnehmer an den Unterauftragnehmer erfolgt erst, nachdem der Unteraufragnehmer entsprechend verpflichtet wurde.

7. Kontrollrechte des Auftraggebers

Der Auftraggeber hat vor der Aufnahme der Datenverarbeitung den Auftragnehmer auch anhand der Geeignetheit der technischen und organisatorischen Maßnahmen des Auftragnehmers sorgfältig ausgewählt.

 

7.1. Der Auftragnehmer kann dem Auftraggeber die Einhaltung und Umsetzung seines internen Sicherheitskonzepts z.B. durch qualifizierte Selbstauskünfte und ggf. Testate von Sachverständigen auf schriftliche Anforderung des Auftraggebers nachweisen.

 

7.2. Bei begründetem Verdacht eines schwerwiegenden Verstoßes des Auftragnehmers gegen Anhang 1 ist der Auftraggeber berechtigt, durch seinen betrieblichen Datenschutzbeauftragten eine angekündigte Vor-Ort-Kontrolle zu den üblichen Bürozeiten vorzunehmen. Die Ankündigung durch den Auftraggeber hat schriftlich zu erfolgen und die Verdachtsgründe zu nennen. Der Auftragnehmer ist verpflichtet, bei der Vor-Ort-Kontrolle gemeinsam mit dem betrieblichen Datenschutzbeauftragten des Auftraggebers eine Begehung der Räumlichkeiten durchzuführen. Der dem Auftragnehmer durch die Vor-Ort-Kontrolle entstehende Mehraufwand ist vom Auftraggeber zu vergüten, es sei denn die Vor-Ort-Kontrolle ergibt, dass sich der Verdacht einer schwerwiegenden Verletzung des Auftragnehmers gegen Anhang 1 nachweislich bestätigt. Der Auftraggeber ist insoweit nachweispflichtig.

 

7.3. Der Auftraggeber ist berechtigt, alle Zugriffe, die für die Erbringung der Leistungen erfolgen, in seinem System zu verfolgen und zu protokollieren. Der Auftragnehmer verpflichtet sich, eine auftraggeberseitige Protokollierung nicht abzuschalten oder technisch zu unterbinden.

 

7.4. Auch bei seinen Kontrollen berücksichtigt der Auftraggeber seine Pflichten hinsichtlich Geheimhaltung zum Schutz des Auftragnehmers. Insbesondere ist der Auftraggeber verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen des Auftragnehmers und Auftragnehmer eigenem Knowhow, auch soweit technische und organisatorische Sicherheitsmaßnahmen betroffenen sind, vertraulich zu behandeln.

 

7.5. Der Auftragnehmer verpflichtet sich, im Falle einer Kontrolle durch die für den Auftraggeber zuständige Datenschutzbehörde der prüfenden Datenschutzaufsichtsbehörde (nachfolgend „Behörde”) im gesetzlich erforderlichen Umfang Zugang zu den Arbeitsräumen zu gewähren und/oder Auskünfte zu erteilen. Er benachrichtigt den Auftraggeber, möglichst bevor eine solche angekündigte behördliche Kontrolle stattfindet. Ist die behördliche Kontrolle durch den Auftraggeber veranlasst, etwa weil bei der Behörde eine Datenschutzbeschwerde über den Auftraggeber eingegangen ist, und entsteht dem Auftragnehmer durch die behördliche Kontrolle oder durch sonstige aufsichtsrechtliche Maßnahmen Mehraufwand, so ist dieser dem Auftragnehmer zu vergüten.

8. Mitteilung bei Verstößen des Auftragnehmers

8.1. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgenabschätzungen und vorherigen Konsultationen.

 

8.2. Bei unrechtmäßiger Kenntniserlangung von Daten durch Dritte, insbesondere Daten zu Bank- und Kreditkartenkonten, ist ausschließlich der Auftraggeber verpflichtet, eine unverzügliche Mitteilung an die zuständige Datenschutzaufsichtsbehörde und an die Betroffenen zu machen. Vor Abgabe dieser Mitteilung informiert der Auftraggeber den Auftragnehmer über den Inhalt. Auf Anfrage unterstützt der Auftragnehmer den Auftraggeber bei der Mitteilung gegen ggf. gesonderte Vergütung.

 

8.3. Stellt der Auftragnehmer mehr als nur unwesentliche Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen die Festlegungen dieses Vertrages oder gegen Datenschutzvorschriften fest welche diese Datenverarbeitung im Auftrag unmittelbar betreffen (siehe Punkt 2.), informiert der Auftragnehmer den Auftraggeber.

9. Weisungsbefugnis des Auftraggebers

9.1. Die Beurteilung der Zulässigkeit der Datenverarbeitung sowie die Wahrung der Rechte der Betroffenen obliegt allein dem Auftraggeber. Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gemäß den Regelungen der Leistungsvereinbarung zu erteilen. Aufgrund dieser Verantwortlichkeit kann der Auftraggeber auch während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe von seinen personenbezogenen Daten verlangen. Entsteht dem Auftragnehmer dabei Mehraufwand, ist dieser dem Auftragnehmer zu vergüten.

 

9.2. Die datenschutzrechtlichen Weisungen des Auftraggebers beschränken sich im Prinzip auf die Regelungen in dieser Vereinbarung und dem Anhang 1 „Technische und organisatorische Maßnahmen”. Der Auftraggeber erteilt alle darüber hinausgehenden Aufträge oder Teilaufträge und Weisungen schriftlich (postalisch oder per E-Mail) und dokumentiert diese. Entsteht dem Auftragnehmer durch darüber hinausgehende Weisungen Mehraufwand, ist dieser dem Auftragnehmer zu vergüten.

 

9.3. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn dieser der Meinung ist, eine Weisung verstößt gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

10. Löschung und Rückgabe von personenbezogenen Daten

10.1. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, welche im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

 

10.2. Nach Beendigung der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens aber mit Beendigung der Leistungsvereinbarung – wird der Auftragnehmer vom Auftraggeber überlassene Datenträger zurückgeben und Daten des Auftraggebers sowie davon erstellte Kopien löschen.

 

10.3. Von der Lösch- bzw. Rückgabepflicht ausgenommen sind Sicherheitskopien zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung, zur Erfüllung von gesetzlichen Auskunfts- oder Aufbewahrungspflichten oder zu Beweissicherungszwecken. Dies betrifft v.a. die Daten, welche der Auftragnehmer zum Nachweis seiner Leistungen benötigt. Diese Daten wird der Auftragnehmer löschen, sobald die entsprechenden Speicherfristen abgelaufen sind.

11. Weitere Bestimmungen, Salvatorische Klausel, Gerichtsstand

11.1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

 

11.2. Sollte Eigentum des Auftraggebers bei dem Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren.

 

11.2. Jegliche Nebenabreden, Änderungen und Ergänzungen dieses Auftrages und all ihrer Bestandteile bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingung handelt.

 

11.3. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

 

11.4. Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.

 

11.5. Der folgende Anhang 1 ist Vertragsbestandteil:

12. Datenschutzbeauftragter:

Name: Stefan Werther

Telefon: +43 664 883 886 91

E-Mail: dsb@ecckie.de

 

Anhang 1

Technische und Organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO

Version 2.0

1. Maßnahmen zur Gewährleistung der Vertraulichkeit der Systeme und Dienste (Art. 32 Abs. 1 lit. b DSGVO):

1.1. Zutrittskontrolle:

Unbefugten ist der Zutritt zu verwehren, in denen Datenverarbeitungsanlagen untergebracht sind:

 

  • Stets abgesperrter Serverschränke.
  • Festlegung zutrittsberechtigter Personen.
  • Verwaltung von personengebundenen Zutrittsberechtigungen.
  • Begleitung von Fremdpersonal.
  • Zutrittskontrolle physikalisch durch Zutrittssystem im Büro (nur mit RFID-Chip möglich).

 

1.2. Zugangskontrolle:

Es ist zu verhindern, dass Datenverarbeitungssystem von Unbefugten genutzt werden:

 

  • Umsetzung sicherer Zugangsverfahren, starke Authentisierung.
  • Umsetzung einfacher Authentisierung per Username Passwort.
  • Monitoring bei kritischen IT-Systemen.
  • Vertrauliche Akten mit personenbezogenen Daten werden in Schränken stets verschlossen gehalten. Die Schlüssel verwalten nur die berechtigten Sachbearbeiter.
  • Festlegung befugter Personen.
  • Protokollierung des Zugangs.
  • Der Server und alle Systeme die eine Wiederherstellung der Daten ermöglicht, sind in abgeschlossenen Serverschränken untergebracht. Der Schlüssel wird von der IT-Abteilung, bzw. der Geschäftsleitung verwaltet.
  • Es wird der Zugang zu den verschlossenen Servern immer protokolliert.
  • Weiters ist der Zugang zum PC-System mittels individuellem Passwort geschützt.
  • Automatische Zugangssperre und manuelle Zugangssperre.

 

1.3. Zugriffskontrolle:

Es kann nur auf die Daten zugegriffen, für die eine Zugriffsberechtigung besteht. Daten können bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden:

 

  • Nur berechtigte Sachbearbeiter haben Schlüssel für Schränke und IT-Systeme wo personenbezogene Daten abgelegt werden.
  • Erstellen eines Berechtigungskonzepts.
  • Umsetzung von Zugriffsbeschränkungen.
  • Vergabe minimaler Berechtigungen.
  • Vermeidung der Konzentration von Funktionen.
  • Zugriffskontrolle erfolgt durch ein Berechtigungssystem in der IT.
  • Trennungskontrolle durch getrennte Speicherorte und Laufwerke.
  • Protokollierung von Zugriffen.

 

1.4. Verwendungszweckkontrolle und Trennungskontrolle:

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

 

  • Datensparsamkeit mit Umgang personenbezogener Daten.
  • Getrennte Verarbeitung verschiedener Datensätze.
  • Regelmäßige Verwendungszweckkontrolle und Löschung.
  • Trennung von Test- und Entwicklungsumgebung.

 

1.5. Datenschutzfreundliche Voreinstellungen: (Art25 Abs.2 DS-GVO)

Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich sind, werden die technischen Voreinstellungen so festgelegt, dass Daten nur durch eine Aktion der betroffenen Person erhoben, verarbeitet, weitergegeben oder veröffentlicht werden.

2. Maßnahmen zur Gewährleistung der Integrität der Systeme und Dienste (Art. 32 Abs. 1 lit. b DSGVO):

2.1. Weitergabekontrolle:

Ziel der Weitergabekontrolle ist es zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

 

  • Protokollierung von Übermittlungen gemäß Protokollierungskonzept.
  • Sichere Datenübertragung zwischen Server und Client.
  • Sicherung der Übertragung im Backend.
  • Sichere Datenübertragung zu externen Systemen.
  • Risikominimierung durch Netzseparierung.
  • Implementation von Sicherheitsgateways an Netzübergabepunkten.
  • Beschreibung der Schnittstellen.
  • Sichere Ablage von Daten, inkl. Backups.
  • Datenschutzgerechte Lösch- und Zerstörungsverfahren.
  • Weitergabekontrolle erfolgt ebenso über ein Berechtigungssystem in der IT.
  • VPN-System.

 

2.2. Eingabekontrolle:

Zweck der Eingabekontrolle ist es, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

 

  • Protokollierung der Eingaben.

3. Maßnahmen zur Gewährleistung der Verfügbarkeit, Belastbarkeit, Desaster Recovery der Systeme und Dienste (Art. 32 Abs. 1 lit. b DSGVO):

3.1. Verfügbarkeitskontrolle und Belastbarkeit:

  • Redundanz der Primärtechnik.
  • Redundanz der Stromversorgung.
  • Redundanz der Kommunikationsverbindungen.
  • Monitoring
  • Ständiges softwarebasierendes Monitoring aller Ressourcen um mögliche Engpässe sofort zu identifizieren und gegen zu wirken.
  • Resourcenplanung und Bereitstellung.
  • Abwehr von systembelastendem Missbrauch.
  • Datensicherungskonzepte und Umsetzung.
  • Regelmäßige Prüfungen der Notfalleinrichtungen.

 

3.2. Desaster Recovery – Rasche Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall:

  • Notfallplan
  • Datensicherungskonzepte und Umsetzung
  • Ständige Verfügbarkeit wird durch eine virtuelle Arbeitsumgebung realisiert. Hier haben wir einen redundanten Speicherplan wo alle Systeme und Daten hausintern gespiegelt werden. Zudem sind alle Systeme mittels einer USV abgesichert.
  • Mittels Mirroring (Spiegelung) keine Ausfallzeit und keinen Datenverlust. Zweimal täglich Backup aller Daten und System auf hausinterne Speichermedien. Zudem tägliche Sicherung aller Daten in eine abgesicherte Cloud mit Serverstandort Deutschland.

4. Datenschutzorganisation:

  • Festlegung von Verantwortlichkeiten
  • Umsetzung und Kontrolle geeigneter Prozesse
  • Melde- und Freigabeprozess
  • Umsetzung von Schulungsmaßnahmen
  • Verpflichtung auf Vertraulichkeit
  • Regelung zur internen Aufgabenverteilung
  • Beachtung von Funktionstrennung und -zuordnung
  • Einführung einer geeigneten Vertreterregelung

5. Auftragskontrolle:

Ziel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:

 

  • Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern/gebern.
  • Eindeutige Vertragsgestaltung.
  • Strenge Auswahl des Dienstleisters.
  • Vorabüberzeugungspflicht mit Dritten.
  • Audits
  • Auswahl weiterer Auftragnehmer nach geeigneter Garantien.

6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen (Art. 32 Abs. 1 lit. b DSGVO; Art. 25 Abs. 1 DS-GVO):

  • Prozess zur Evaluation der technisch organisatorischen Maßnahmen.
  • Prozess Sicherheitsvorfall-Management.
  • Durchführung von technischen Überprüfungen, sowie Überprüfung aller elektrischen Zuleitungen durch autorisierte Fachbetriebe.
  • Durchführung von technischen Prüfungen intern und extern.
  • Entwicklung eines Sicherheitskonzepts.
  • Prüfung des DSB, der IT Revision.
  • Externe Prüfungen, Audits, Zertifizierungen.
  • Einführung eines Desaster Recovery Plans mit monatlichem Test des Ernstfalls.
  • Regelmäßige Meetings mit dem DSB zwecks Neubeurteilung zusätzlicher Risiken.
  • ISO 9001 Zertifizierung.

7. Übermittlungen in Drittländer

ÜBERMITTLUNG PERSONENBEZOGENER DATEN AUSSERHALB DER EU/EWR:

Im Falle einer internationalen Datenübermittlung an ein Land, für das die zuständige Behörde bestätigt hat, dass es ein angemessenes Datenschutzniveau bietet, kann die Übermittlung Ihrer personenbezogenen Daten auf dieser Grundlage erfolgen.

 

Im Falle der Datenübermittlung an ein Land, in dem das Schutzniveau von der zuständigen Behörde nicht als ‚angemessen‘ bestätigt wurde, stützen wir uns entweder auf eine Ausnahmeregelung für die konkrete Situation (z. B. falls die Übermittlung für die Erfüllung unseres Vertrages mit Ihnen erforderlich ist, etwa bei der Durchführung eines internationalen Transportes), oder wir führen von dem zuständigen Geschäftspartnern genehmigte Standardvertragsklauseln ein, um den Schutz Ihrer personenbezogenen Daten sicherzustellen

 

8. Anmerkung

Diese Hinweise entsprechen dem Rechtsstand vom 25. Mai 2018. Wir behalten uns vor, unsere Datenschutzhinweise an Änderungen in Vorschriften oder in der Rechtsprechung anzupassen.

ewals-unternehmen
Unternehmen
ewals-leistungen
Leistungen
ewals-equipment
Equipment

Geben Sie Ihren Suchbegriff ein