Datenschutz

A – Datenschutzerklärung Mühle Bohle e.V. entsprechend DSGVO

  1. Allgemein
    Nach der DSGVO sind personenbezogene Daten besonders zu schützen. Zu diesen Daten gehören: Name, Anschrift, Geburtsdatum, Familienstand, Zahl der Kinder, Beruf, Telefonnummer, E-Mail Adresse, Datum des Vereinsbeitritts und dergleichen. Der Datenschutz ist bei den Verarbeitungstätigkeiten: Erheben, Verfassen, Verwenden, Offenlegen, Verbreiten, Abgleichen und Löschen der Daten zu gewährleisten.Nach dem DSGVO gilt, dass für diese Daten grundsätzlich ein Verarbeitungsverbot mit Erlaubnisvorbehalt gilt. Somit bedarf jede Verarbeitung personenbezogener Daten einer Rechtsgrundlage und ggf. einer Einwilligung des Betroffenen.  Grundsätzlich beruht die Datenerhebung von Mühle Bohle  auf der Grundlages des berechtigten Vereinsinteresses zur Sicherstellung der Mitgliederverwaltung und des Beitragseinzugs entsprechend des Satzungszwecks des Vereins. Einwilligungserklärungen sind für diese Daten nicht erforderlich.Das DSGVO enthält keine ausdrücklichen Regelungen für den Umgang mit Fotos und Filmen von Personen, diese sind jedoch im Kunsturhebergesetz (KUG) geregelt. Hier gilt als Grundregel: Für die Veröffentlichung eines Fotos, ist die Einwilligung einer der abgebildeten Person erforderlich. Veröffentlichte Bilder von Mühle Bohle e.V. auf Internetseiten oder bei Facebook begründen sich auf der Ausnahme nach §23 KUG nach der Bilder ohne besondere Einwilligung zur Schau gestellt werden dürfen, wenn es sich hier um die Teilnahme von Personen an Versammlungen, Mühlenveranstaltungen und dgl. handelt oder die Darstellung der Zeitgeschichte bzw. der Örtlichkeit dient und die Person als Beiwerk zu sehen ist. Sollte eine einzelne Person, ggf. im Rahmen einer Chronik abgebildet werden, wird hierzu die Einwilligung eingeholt.Mühle Bohle e.V. regelt die Verarbeitung personenbezogener Daten entsprechend der nachfolgenden Datenschutzerklärung.
  1. Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
    Verantwortlicher im Sinne des Art. 13 Abs. 1 l a) DSGVO ist
    Name Verein:   Mühle Bohle e.V.
    Straße:                 Mühlengrund 10
    PLZ, Ort:              49504 Lotte
    Tel.:                       05404 / 2741
    E-Mail:                 info@muehle-bohle.deVorstand:           Werner Schwentker (Vorsitzender), Christian Thies (2. Vorsitzender), Bianka Kunze (Schriftführerin), Dr. Michael Böhme (Kassierer)
  1. Kontaktdaten des Datenschutzbeauftragten

Belange des Datenschutzes können sie an die folgende E-Mail Adresse mitteilen: datenschutz@muehle-bohle.de

  1. Zwecke und Rechtsgrundlage der Verarbeitung

Art. 6 Abs. (1) a) DS-GVO: Einwilligung der betroffenen Person
Art. 6 Abs. (1) b) DS-GVO: bei Datenverarbeitungen zur Erfüllung der Satzung von Mühle Bohle e.V
Art. 6 Abs. (1)  f) DS-GVO: bei Datenverarbeitungen zur Wahrung berechtigter Interessen des Vereins

Mühle Bohle e.V. verarbeitet folgende personenbezogene Daten:

–  Zum Zwecke der Mitgliederverwaltung werden der Name, Vorname, Titel, Adresse, Ort, PLZ, Straße, Hausnummer, Geburtsdatum, Telefonnummer, Funktion im Verein, Datum des Beginns der Mitgliedschaft sowie die Vereinsmitgliedsnummer verarbeitet.
Die Rechtsgrundlage hierfür ist Art. 6 Abs. (1). b) DS-GVO.

–  Zum Zwecke der Beitragsverwaltung wird die Bankverbindung durch Kontonummer, Bankleitzahl bzw. IBAN Nummer und der Bankname  verarbeitet.
Die Rechtsgrundlage hierfür ist Art. 6 Abs. (1) b) DS-GVO.

–  Zum Zwecke der Lohnabrechnung werden von den Beschäftigten bzw. ehrenamtlich Tätigen von Mühle Bohle e.V. der Name, der Vorname, die Adresse, die Bankverbindung, ggf. die Religionszugehörigkeit und die Steuernummer verarbeitet.
Die Rechtsgrundlage hierfür ist Art. 6 Abs. (1) b) DS-GVO.

– Zum Zwecke der Außendarstellung werden Fotos der Mitglieder/von Veranstaltungen auf der Vereinswebseite www.muehle-bohle.de  veröffentlicht.
Die Rechtsgrundlage hierfür ist Art. 6 Abs. (1) a) DS-GVO.

–  Zum Zwecke der Eigenwerbung und Information d von Mühle Bohle e.V.  wird Werbung an die E-Mail-Adresse der Mitglieder versendet. Hierzu wird die E-Mail Adresse verarbeitet.
Die Rechtsgrundlage hierfür ist Art. 6 Abs. (1). f) DS-GVO.

  1. Berechtigte Interessen des Vereins

–  Mühle Bohle e.V. übermittelt ohne vertragliche oder sonstige Verpflichtung auf freiwilliger Basis Mitgliederdaten an den Kreisheimatbund oder die Deutsche Gesellschaft für Mühlenerhaltung, um Mitglieder zu Veranstaltungen bei den Organisationen anzumelden.

– Mühle Bohle e.V. hat ein berechtigtes Interesse daran, personenbezogene Daten Dritter, die dem  Verein bekannt sind (von Personen, die regelmäßig Eintrittskarten für Veranstaltungen beziehen), zum Zwecke der Eigenwerbung zu verarbeiten.

  1. Empfänger der personenbezogenen Daten

–  Im Rahmen der Cloud-Mitgliederverwaltung werden die personenbezogenen Daten unserer Mitglieder bei  Buhl Data in einem deutschen Rechenzentrum  gespeichert. Siehe anliegende  Vereinbarung zur Auftragsverarbeitung mit dem  Dienstleister.

6. Drittlandstransfer

Seitens Mühle Bohle e.V. werden Daten für den Web Auftritt und der Mitgliederverwaltung auf Servern der Deutschen Telekom und auf Servern von Buhl Data gespeichert. Beide Vertragspartner erklären Speicherungen nicht in Drittländern vorzunehmen.

7. Speicherdauer

–  Die für die Daten Mitgliederverwaltung werden 2 Jahre nach Beendigung der Vereinsmitgliedschaft gelöscht.

–  Die für die Lohnabrechnung der im Verein beschäftigten Personen notwendigen Daten werden nach 10 Jahren gelöscht (gesetzliche Aufbewahrungsfrist).

–  Die für die die Beitragsverwaltung notwendigen Daten werden nach 10 Jahren gelöscht.

–  Die IP-Adressen, die beim Besuch der Vereinswebseite gespeichert werden, werden nach 30 Tagen gelöscht.

–  Im Falle des Widerrufs der Einwilligung werden die Daten unverzüglich gelöscht.

8. Betroffenenrechte

Dem Vereinsmitglied steht ein Recht auf Auskunft (Art. 15 DS-GVO) sowie ein Recht auf Berichtigung Art. 16 DS-GVO) oder Löschung (Art. 17 DS-GVO) oder auf Einschränkung der Verarbeitung (Art. 18 DS-GVO) oder ein Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO) sowie ein Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) zu.

Das Vereinsmitglied hat das Recht, seine datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Dem Vereinsmitglied steht ferner ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu.

9. Pflicht zur Bereitstellung der Daten

 Üblicherweise erfolgt im Verein die Bereitstellung der Daten für den Vertragsabschluss (Mitgliedsantrag/Satzung). Sollte darüber hinaus die Bereitstellung gesetzlich oder vertraglich vorgeschrieben sein, so wird hierauf gesondert hingewiesen.

10. Automatisierte Entscheidungsfindung einschließlich Profiling

Wird bei Mühle Bohle e.V. nicht angewandt.

B – Verzeichnis von Verarbeitungs-tätigkeiten bei Mühle Bohle e.V:

 

Verabeitungs-tätigkeit Zweck der Verarbeitung Betroffene Personen Kategorien personen-bezogener
Daten
Rechtsgrundlage
zur Verarbeitung
Empfänger Übermittlung an Drittland Löschfunktion
 

Mitgliederverwaltung

 

Mitglieder-verwaltung

 

 

Mitglieder

 

Name, Vorname, Titel, PLZ, Ort, Straße, Haus Nr., Geburtsdatum, Telefonnummer, Beginn der Mitgliedschaft, Funktion im Verein, Vereinsmitglieds-nummer

 

 

Art. 6 DSGVO (1) b

 

Cloud-speicherung bei Buhl Data

 

Nein

 

2 Jahre nach Beendigung Mitgliedschaft-

 

Mitgliederbetreuung

 

 

Mitglieder-information / Einladungen

 

 

Mitglieder

 

E-Mail Adresse

 

Art. 6 DSGVO (1) b

Art. 6 DSGVO (1) f

 

keine

 

Nein

 

Nach Beendigung Mitgliedschaft

 

Beitragsverwaltung

 

Einzug Vereinsbeiträge

 

 

Mitglieder

 

Bankverbindung, Kontonummer, BLZ, IBAN, Vereinsbeitrag, Buchungsdaten

 

Art. 6 DSGVO (1) b

 

Cloud-speicherung bei Buhl Data

 

Nein

 

gesetzl. Aufbewahrungsfrist 10 Jahre

 

Lohnabrechnung

 

Auszahlung von Gehältern

 

 

Beschäftigte

 

Name, Adresse, Religion,
Steuernummer,
Buchungsdaten,
Gehalt,
Steuer

 

Art. 6 DSGVO (1) b

 

keine

 

Nein

 

gesetzl. Aufbewahrungsfrist 10 Jahre

 

Veröffentlichung von Fotos auf Website / Facebook

 

Außendarstellung

Mitgliederwerbung

Veranstaltungs-Information

 

Mitglieder

Besucher

 

Personenfotos

Veranstaltungs-fotos

IP-Adressen

 

Art. 6 DSGVO (1) b

 

§23 KUG

 

Website Telekom RZ

 

Nein

 

– Fotos bei Widerruf der Einwilligung

-IP-Adressen nach 30 Tagen

 

Auszahlung von Ehrenamtsent-schädigungen

 

 

Auszahlung von Entschädigungen

 

Mitglieder

 

Buchungsdaten

Entschädigungs-betrag

 

Art. 6 DSGVO (1) b

 

Cloud-speicherung bei Buhl Data

 

Nein

 

gesetzl. Aufbewahrungsfrist 10 Jahre

 

C  – Vereinbarung zur Auftragsverarbeitung mit Buhl Data

Vereinbarung zur Auftragsverarbeitung nach EU-Datenschutz-Grundverordnung (DS-GVO) (Elektronischer Abschluss)

Zwischen

 Mühle Bohle e.V.
Mühlengrund 10
49504 Lotte

– Auftraggeber –

und

Buhl Data Service GmbH
Am Siebertsweiher 3/5
57290 Neunkirchen

– Auftragnehmer –

über Auftragsverarbeitung i.S.d. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO). Etwaige zwischen den Parteien zur alten Rechtslage geschlossenen Verträge (Auftragsdatenverarbeitung gemäß § 11 BDSG) werden beendet und durch diesen Vertrag ersetzt.

Präambel

Diese Vereinbarung konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der im Hauptvertrag zur Leistungserbringung in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag zur Leistungserbringung in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten (»Daten«) des Auftraggebers verarbeiten. Bei mehreren Hauptverträgen umfasst die Vereinbarung alle Auftragsverarbeitungen des Auftragnehmers, für die ein jeweiliger Vertrag zur Leistungserbringung mit dem Auftraggeber besteht (nach Login abrufbar im Kundenkonto des Auftraggebers unter www.buhl.de).

  • 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

Aus dem Hauptvertrag zur Leistungserbringung ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung. Im Einzelnen sind insbesondere die folgenden Daten Bestandteil der Datenverarbeitung:

(1) Art der Daten:

Art der personenbezogenen Daten sind alle Arten personenbezogener Daten, die der Auftragnehmer im Auftrag des Kunden verarbeitet. Insbesondere sind dies:

  1. Personenstammdaten (z.B. Name und Anschrift, Bild)
  2. Kommunikationsdaten (z.B. Telefon, E-Mail)
  3. Vertragsstammdaten (z.B. Abrechnungs- und Zahlungsdaten, Bankverbindung)
  4. Kundenhistorie
  5. Nutzungsdaten
  6. Kenndaten (z.B. Steueridentifikationsnummer, Ausweisnummer)

Hiervon umfasst sein können auch besondere Kategorien personenbezogener Daten.

(2) Art und Zweck der Datenverarbeitung

Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DS-GVO.

Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung erforderlichen Zwecke. Dies sind insbesondere:

  1. Bereitstellung von IT-Infrastruktur, sowie Speicherung und Sicherung der Daten im Rahmen der Cloud-Hosting-Dienste des Auftragnehmers
  2. Diagnose und Wartung per Fernzugriff, bei denen eine Zugriffsmöglichkeit auf personenbezogene Daten nicht ausgeschlossen werden kann.

(3) Kategorien betroffener Personen

Kategorien betroffener Personen sind insbesondere

  1. Kunden, Interessenten des Auftraggebers
  2. Beschäftigte des Auftraggebers (z.B. Ansprechpartner)
  3. Personen, deren Daten der Auftragnehmer im Auftrag verarbeitet (z.B. Mieter, Vereinsmitglieder, Lieferanten)

Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages zur Leistungserbringung, sofern sich aus den Bestimmungen dieser Vereinbarung nicht darüberhinausgehende Verpflichtungen ergeben.

  • 2 Anwendungsbereich und Verantwortlichkeit
  1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Hauptvertrag zur Leistungserbringung und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DS-GVO).
  2. Die Weisungen werden anfänglich durch den Hauptvertrag zur Leistungserbringung festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Hauptvertrag zur Leistungserbringung nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
  • 3 Pflichten des Auftragnehmers
  1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
  2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz- Grundverordnung (Art. 32 DS-GVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.
    Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
    Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
  3. Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten.
  4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
  5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
  6. Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Hauptvertrages zur Leistungserbringung anfallende Datenschutzfragen.
  7. Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
  8. Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Hauptvertrag zur Leistungserbringung bereits vereinbart.
    In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Hauptvertrag zur Leistungserbringung bereits vereinbart.
  9. Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen.
    Im Falle von Test- und Ausschussmaterialien ist eine Einzelbeauftragung nicht erforderlich.
    Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.
  10. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
  • 4 Pflichten des Auftraggebers
  1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
  2. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, gilt §3 Abs. 10 entsprechend.
  3. Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Hauptvertrages zur Leistungserbringung anfallende Datenschutzfragen.
  • 5 Anfragen betroffener Personen

Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

  • 6 Nachweismöglichkeiten
  1. Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten mit geeigneten Mitteln nach. Zum Nachweis der Einhaltung der vereinbarten Pflichten, kann der Auftragnehmer, dem Auftraggeber insbesondere folgende Informationen zur Verfügung vorlegen:
  2. Durchführung eines Selbstaudits
  3. unternehmensinterne Verhaltensregeln einschließlich eines externen Nachweises über deren Einhaltung
  4. Zertifikat zu Datenschutz und/oder Informationssicherheit (z. B. ISO 27001)
  5. genehmigte Verhaltensregeln nach Art. 40 DS-GVO
  6. Zertifikate nach Art. 42 DS-GVO
  7. Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer eine Vergütung verlangen, wenn dies im Hauptvertrag zur Leistungserbringung vereinbart ist. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
  8. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
  • 7 Subunternehmer (weitere Auftragsverarbeiter)
  1. Der Einsatz von Subunternehmern als weiteren Auftragsverarbeiter ist nur zulässig, wenn der Auftraggeber vorher zugestimmt hat.
  2. Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn der Auftragnehmer weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Hauptvertrag zur Leistungserbringung vereinbarten Leistung beauftragt. Der Auftragnehmer wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. für Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software in Anspruch nimmt, sofern ein Zugriff auf personenbezogene Daten ausgeschlossen werden kann.
  3. Vor der Hinzuziehung weiterer oder der Ersetzung aufgeführter Subunternehmer informiert der Auftragnehmer den Auftraggeber. Der Auftraggeber kann der Änderung – innerhalb einer angemessenen Frist – aus wichtigem Grund – gegenüber der vom Auftraggeber bezeichneten Stelle widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben.
  4. Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus dieser Vereinbarung dem Subunternehmer zu übertragen.
  • 8 Informationspflichten, Schriftformklausel, Rechtswahl
  1. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher « im Sinne der Datenschutz-Grundverordnung liegen.
  2. Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
  3. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Hauptvertrages zur Leistungserbringung vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
  4. Es gilt deutsches Recht.
  • 9 Haftung und Schadensersatz
  1. Eine zwischen den Parteien im Leistungsvertrag (Hauptvertrag zur Leistungserbringung) vereinbarte Haftungsregelung gilt auch für die Auftragsverarbeitung, außer soweit ausdrücklich etwas anderes vereinbart wurde.
  2. Soweit keine Haftungsregelung vereinbart wurde, haften Auftraggeber und Auftragnehmer gegenüber betroffenen Personen entsprechend der in Art. 82 DS-GVO getroffenen Regelung.

Hinweis: Diese Vereinbarung erfolgt mittels elektronischer Zustimmung.

 

Anhang über technische und organisatorische Maßnahmen nach Art. 32 DS-GVO

Kontrollziele 

 

Beschreibung der technischen und/oder organisatorischen Sicherungsmaßnahmen
Pseudonymisierung und Verschlüsselung personenbezogener Daten ·         HTTPS-Verschlüsselung in der Webkommunikation (Data-at-Transport)

·         RDP-Verschlüsselung der Remotedesktopkommunikation (Data-at-Transport)

 

Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen

·

·         Zugang zu Systemen nur mit individuellen Benutzernamen und Kennwörtern,

·         Berechtigte können nur auf für sie berechtigte Daten zugreifen,

·         personenbezogene gespeicherte Daten können nur im Rahmen der Berechtigungsstufen gelesen,

·         kopiert, verändert oder entfernt werden,

·         Einsatz eines Firewallsystems,

·         Ausschließliche Verwendung der vom Hersteller der Hardware und Virtualisierungssoftware

·          freigegebenen Software,

·         Verpflichtung der Mitarbeiter auf das Datengeheimnis

·         Klimaanlagen, USV in Serverräumen

·         Alert-Meldung bei Ausfällen der Serversysteme

·         Virtualisierung/Dynamische Zuteilung der Anwendung auf getrennte Serverräumen

·         Kein Zugang für Unbefugte zu den Datenverarbeitungsanlagen des Rechenzentrums,

·         Besucher der Rechenzentren (z.B. für Wartungszwecke) werden zwingend begleitet

·         Festlegung der berechtigten Personen für die sensiblen Bereiche der Rechenzentren,

·         Einbruchschutzmaßnahmen, Alarmanlage mit Aufschaltung auf Wachdienst

·         Protokollierung des Zutritts zu den Rechenzentren über entsprechende Transponder

·         Sichere Löschung von Datenträgern.

·         Videoüberwachung (Empfang und RZs),

·         Regelungen zur Kontrolle von externer Wartung und Fernwartung

·         Brandmeldeanlage mit Aufschaltung auf Feuerwehrleitstelle

Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen ·         Doppelt- oder Mehrfachvorhaltung aller Komponenten bei der Datenverarbeitung (z. B. Datensicherung

·          und Spiegelung von Hardwarekomponenten);

·         Datensicherungs- und Recoverykonzept

·         besonders geschützte Rechenzentrumsabschnitte,

·         unterbrechungsfreie Stromversorgung,

·         Überwachungs- und Meldesysteme,

 

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Verarbeitung

·

·         Regelmäßige Prüfung, ob/in welchem Umfang Zugangsrechte noch erforderlich sind,

·         Regelmäßige Prüfung, ob/in welchem Umfang Zugriffsrechte noch erforderlich sind,

·         Incident-Response-Management

·         Auftragskontrolle bei Auftragsverarbeitung

v1.0.50