Datenschutzerklärung

Der Schutz und die Sicherheit von persönlichen Daten hat bei uns eine hohe Priorität. Daher halten wir uns strikt an die Regeln des deutschen Bundesdatenschutzgesetzes (BDSG) und an die (DSGVO) Datenschutz-Grundverordnung (EU). Nachfolgend werden Sie darüber informiert, welche Art von Daten erfasst und zu welchem Zweck sie erhoben werden:

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.

Datenerfassung auf unserer Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Impressum dieser Website entnehmen.

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z.B. um Daten handeln, die Sie in ein Kontaktformular eingeben.

Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z.B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie unsere Website betreten.

Wofür nutzen wir Ihre Daten?

Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden.

Welche Rechte haben Sie bezüglich Ihrer Daten?

Sie haben jederzeit das Recht unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung, Sperrung oder Löschung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.

Analyse-Tools und Tools von Drittanbietern

Beim Besuch unserer Website kann Ihr Surf-Verhalten statistisch ausgewertet werden. Das geschieht vor allem mit Cookies und mit sogenannten Analyseprogrammen. Die Analyse Ihres Surf-Verhaltens erfolgt in der Regel anonym; das Surf-Verhalten kann nicht zu Ihnen zurückverfolgt werden. Sie können dieser Analyse widersprechen oder sie durch die Nichtbenutzung bestimmter Tools verhindern. Detaillierte Informationen dazu finden Sie in der folgenden Datenschutzerklärung.

Sie können dieser Analyse widersprechen. Über die Widerspruchsmöglichkeiten werden wir Sie in dieser Datenschutzerklärung informieren.

1. Datenübermittlung /Datenprotokollierung
Beim Besuch dieser Seite verzeichnet der Web-Server automatisch Log-Files, die keiner bestimmten Person zugeordnet werden können. Diese Daten beinhalten z. B. den Browsertyp und -version, verwendetes Betriebssystem, Referrer URL (die zuvor besuchte Seite), IP-Adresse des anfragenden Rechners, Zugriffsdatum und -uhrzeit der Serveranfrage und die Dateianfrage des Client (Dateiname und URL). Diese Daten werden nur zum Zweck der statistischen Auswertung gesammelt. Eine Weitergabe an Dritte, zu kommerziellen oder nichtkommerziellen Zwecken, findet nicht statt.

2. Nutzung persönlicher Daten
Persönliche Daten werden nur erhoben oder verarbeitet, wenn Sie diese Angaben freiwillig, z.B. im Rahmen einer Anfrage mitteilen. Sofern keine erforderlichen Gründe im Zusammenhang mit einer Geschäftsabwicklung bestehen, können Sie jederzeit die zuvor erteilte Genehmigung Ihrer persönlichen Datenspeicherung mit sofortiger Wirkung schriftlich (z.B. per E-Mail oder per Fax) widerrufen. Ihre Daten werden nicht an Dritte weitergeben, es sei denn, eine Weitergabe ist aufgrund gesetzlicher Vorschriften erforderlich.

3. Auskunft, Änderung und Löschung Ihrer Daten
Gemäß geltendem Recht können Sie jederzeit bei uns schriftlich nachfragen, ob und welche personenbezogenen Daten bei uns über Sie gespeichert sind. Eine entsprechende Mitteilung hierzu erhalten Sie umgehend.

4. Sicherheit Ihrer Daten
Ihre uns zur Verfügung gestellten persönlichen Daten werden durch Ergreifung aller technischen sowie organisatorischen Sicherheitsmaßnahmen so gesichert, dass sie für den Zugriff unberechtigter Dritter unzugänglich sind. Bei Versendung von sehr sensiblen Daten oder Informationen ist es empfehlenswert, den Postweg zu nutzen, da eine vollständige Datensicherheit per E-Mail nicht gewährleistet werden kann.

5. Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Die Verarbeitung der in das Kontaktformular eingegebenen Daten erfolgt somit ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.

Die von Ihnen im Kontaktformular eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z.B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.

6. Vereinbarung zur Auftragsverarbeitung nach Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO).
Desinsect / André Mark Gurka
Hochfeldstr. 41
47198 Duisburg
als Auftraggeber
– nachfolgend Auftraggeber –
und
STRATO AG
Pascalstraße 10
10587 Berlin
als Auftragnehmer
- nachfolgend Auftragnehmer –
1. Gegenstand und Dauer der Verarbeitung
1.1. Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gemäß Auftrag, Leistungsbeschreibung und AGB (nachfolgend Hauptvertrag), soweit eine Verarbeitung von personenbezogenen Daten durch den Auftragnehmer als Auftragsverarbeiter für den
Auftraggeber gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten, die der Auftragnehmer zur Erfüllung
des Auftrags erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Auftrag nicht ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.
1.2. Die Dauer der Verarbeitung entspricht der im Auftrag vereinbarten Laufzeit.
2. Art und Zweck der Verarbeitung
2.1. Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO zur Erfüllung des
Auftrags.
2.2. Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung im Bereich CloudDienstleistungen,
Hosting, Software as a Service (SaaS) und IT-Support erforderlichen Zwecke.
3. Art der personenbezogenen Daten und Kategorien von Betroffenen
3.1. Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten.
3.2. Die Kategorien von Betroffenen bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten.
4. Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen
4.1. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der
Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie
für die Rechtmäßigkeit der Datenverarbeitung alleinverantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr.
7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der
Verarbeitung.
4.2. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber
danach in schriftlicher Form oder in einem elektronischen Format (Textform) durch einzelne Weisungen
geändert werden (Einzelweisung). Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu
bestätigen. Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung
behandelt. Bei Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen
sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und
Vergütung ergeben. Ist dem Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der
Auftragnehmer berechtigt, die Verarbeitung zu beenden. Eine Unzumutbarkeit liegt insbesondere vor, wenn
die Leistungen in einer Infrastruktur erbracht werden, die von mehreren Auftraggebern / Kunden des
Auftragnehmers genutzt wird (Shared Services), und eine Änderung der Verarbeitung für einzelne
Auftraggeber nicht möglich oder nicht zumutbar ist.
4.3. Die vertraglich vereinbarte Datenverarbeitung endet ausschließlich in einem Mitgliedsstaat der
Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum statt, soweit nicht etwas anderes vereinbart ist, z.B. über die Produktbeschreibung der
beauftragten Leistung.
4.4. Ist Vertragsbestandteil die Registrierung von Domains bei Registrierungsstellen, die ihren Sitz in einem
Drittland haben (außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums), ist auch
vereinbart, dass der Auftragnehmer personenbezogene Daten - unter Beachtung der zwingend anwendbaren
Vorschriften – an diese Registrierungsstellen übermittelt.
4.5. Die Parteien vereinbaren außerdem, dass der Auftragnehmer berechtigt ist, personenbezogene Daten -
unter Beachtung der zwingend anwendbaren Vorschriften zur Leistungserbringung in einem Drittland zu
übermitteln. Dies ist insbesondere der Fall, wenn Auftragsgegenstand der Dienst eines Drittanbieters ist, der
diesen Dienst ganz oder teilweise in einem Drittland erbringt.
5. Rechte des Auftraggebers, Pflichten des Auftragnehmers
5.1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der
dokumentierten Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des
Artikel 28 Abs. 3 a) DSGVO vor (Verpflichtung nach dem Recht der Europäischen Union oder eines
Mitgliedstaates). Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auassung
ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung
solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
5.2. Der Auftragnehmer unterstützt angesichts der Art der Verarbeitung nach Möglichkeit den Auftraggeber
mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Ansprüche der
betroffenen Personen nach Kapitel III der DSGVO. Der Auftragnehmer ist berechtigt, für diese Leistungen eine
angemessene Vergütung vom Auftraggeber zu verlangen.
5.3. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und
der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO
genannten Pflichten. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung
vom Auftraggeber zu verlangen.
5.4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers
befassten Mitarbeiter und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten
außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur
Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder
einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Gleiches gilt für das
Fernmeldegeheimnis nach § 88 TKG und – in Kenntnis der Strafbarkeit – für die Wahrung von Geheimnissen
der Berufsgeheimnisträger nach § 203 StGB. Die Vertraulichkeits-/ Verschwiegenheitspflicht
besteht auch nach Beendigung des Auftrages fort.
5.5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes
personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen
Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen
Personen.
5.6. Der Auftragnehmer gewährleistet die schriftliche Bestellung eines Datenschutzbeauftragten, der seine
Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Eine Kontaktmöglichkeit wird auf der Webseite des
Auftragnehmers veröffentlicht.
5.7. Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des
Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Kunden zurück, sofern nicht nach
dem Unionsrecht oder nach dem anwendbaren Recht eines Mitgliedstaates eine Verpflichtung zur
Speicherung der personenbezogenen Daten besteht oder sich aus jeweiligen vertraglichen Vereinbarungen
etwas anderes ergibt. Macht der Auftraggeber von diesem Wahlrecht keinen Gebrauch, gilt die Löschung als
vereinbart. Wählt der Auftraggeber die Rückgabe, kann der Auftragnehmer eine angemessene Vergütung
verlangen.
5.8. Machen betroffene Personen Schadensersatzansprüche nach Art. 82 DSGVO geltend, unterstützt der
Auftragnehmer den Auftraggeber bei der Abwehr der Ansprüche im Rahmen seiner Möglichkeiten. Der
Auftragnehmer kann hierfür eine angemessene Vergütung verlangen.
6. Pflichten des Auftraggebers
6.1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der
Durchführung des Auftrags Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen
feststellt.
6.2. Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen Daten vor
Vertragsbeendigung zu löschen, die er in den Diensten gespeichert hat.
6.3. Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner in
Datenschutzangelegenheiten.
7. Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO
7.1. Der Auftragnehmer ergreift in seinem Verantwortungsbereich geeignete technische und organisatorische
Maßnahmen, um sicher zu stellen, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und
den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. Der Auftragnehmer ergreift in
seinem Verantwortungsbereich gemäß Art. 32 DSGVO geeignete technische und organisatorische
Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbar keit und Belastbarkeit der Systeme und Dienste im
Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
7.2. Die aktuellen technischen und organisatorischen Maßnahmen sind im Anhang 2 aufgeführt.
7.3. Der Auftragnehmer betreibt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der
technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß
Art. 32 Abs. 1 lit. d) DSGVO.
7.4. Der Auftragnehmer passt die getroffenen Maßnahmen im Laufe der Zeit an die Entwicklungen beim
Stand der Technik und die Risikolage an. Eine Änderung der getroffenen technischen und organisatorischen
Maßnahmen bleibt dem Auftragnehmer vorbehalten, sofern das Schutzniveau nach Art 32 DSGVO nicht
unterschritten wird.
8. Nachweis und Überprüfung
8.1. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der
Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen -
einschließlich Inspektionen -, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer
durchgeführt werden, und trägt dazu bei. Der Auftragnehmer ist berechtigt, eine Verschwiegenheitserklärung
vom Auftraggeber und von dessen beauftragten Prüfer zu verlangen. Der Auftragnehmer stimmt der
Benennung eines unabhängigen externen Prüfers durch den Auftraggeber zu, sofern der Auftraggeber dem
Auftragnehmer eine Kopie des Auditberichts zur Verfügung stellt. Wettbewerber des Auftraggebers oder
Personen, die für Wettbewerber des Auftraggebers tätig sind, kann der Auftragnehmer als Prüfer ablehnen.
8.2. Als Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten reicht dem Auftraggeber die
vorliegende Zertifizierung nach ISO 27001 aus. Das jeweils aktuelle Zertifikat stellt der Auftragnehmer auf
seiner Webseite zur Verfügung.
8.3. Das Inspektionsrecht des Auftraggebers hat das Ziel, die Einhaltung der einem Auftragsverarbeiter
obliegenden Pflichten gemäß der DSGVO und dieses Vertrages zu überprüfen. Der Nachweis der Einhaltung
dieser Pflichten wird durch die Zertifizierung nach vorstehendem Absatz erbracht. Sofern der Auftraggeber
auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass diese Zertifizierungen
zureichend oder zutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DSGVO im
Zusammenhang mit der Durchführung der Auftragsverarbeitung für den Auftraggeber dies rechtfertigen,
kann er Vor-Ort-Kontrollen durchführen. Diese können zu den üblichen Geschäftszeiten ohne Störung des
Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt
werden.
8.4. Für Informationen und Unterstützungshandlungen kann der Auftragnehmer eine angemessene
Vergütung verlangen. Der Aufwand für den Auftragnehmer durch eine Inspektion ist grundsätzlich auf einen
Tag pro Kalenderjahr begrenzt.
8.5. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige staatliche oder kirchliche Aufsichtsbehörde
des Auftraggebers eine Inspektion vornehmen, gelten die vorstehenden Regeln entsprechend. Eine
Unterzeichnung einer Verschwiegenheitsverpichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde
einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem
Strafgesetzbuch strafbewehrt ist.
9. Subunternehmer (weitere Auftragsverarbeiter)
9.1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung
10. Haftung und Schadensersatz
10.1. Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person nach Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
10.2. Die zwischen den Parteien im Hauptvertrag zur Leistungserbringung vereinbarte Haftungsregelung gilt auch für Ansprüche aus dieser Vereinbarung zur Auftragsverarbeitung und im Innenverhältnis zwischen den Parteien für Ansprüche Dritter nach Art 82 DSGVO, außer soweit ausdrücklich etwas anderes vereinbart ist.
11. Vertragslaufzeit, Sonstiges
11.1. Die Vereinbarung beginnt mit dem Abschluss durch den Kunden. Sie endet mit Ende des letzten
Vertrages unter der o.g. Kundennummer. Sollte eine Auftragsverarbeitung noch nach Beendigung dieses
Vertrages stattfinden, gelten die Regelungen dieser Vereinbarungen bis zum tatsächlichen Ende der
Verarbeitung.
11.2. STRATO kann die Vereinbarung nach billigem Ermessen mit angemessener Ankündigungsfrist ändern. Es
gilt Ziffer 1.4 AGB.
11.3. Ergänzend gelten die AGB des Auftragnehmers, abrufbar unter https://www.strato.de/agb/. Bei etwaigen
Widersprüchen gehen Regelungen dieser Vereinbarung zur Auftragsverarbeitung den Regelungen des
Hauptvertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die
Wirksamkeit der Vereinbarungen im Übrigen nicht.
11.4. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist
Berlin. Dieser gilt vorbehaltlich eines etwaigen ausschließlich gesetzlichen Gerichtsstandes. Dieser Vertrag
unterliegt den gesetzlichen Bestimmungen der Bundesrepublik Deutschland.
11.5. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch
ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet
werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der
Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass
die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher « im Sinne
der DSGVO liegen.
Anhang 1 zur Vereinbarung zur Auftragsverarbeitung - Genehmigte Subunternehmer /
weitere Auftragsverarbeiter
Stand 20180321
Subunternehmer Land Adresse Kurzbeschreibung der Leistung
Content Management
AG
Deutschland Im Medienpark 6, 50670
Köln
Entwicklung, Wartung und Pege
des Hompagebaukastens
ePages GmbH Deutschland Pilatuspool 2, 20355
Hamburg
Entwicklung, Wartung und Pege
der Webshops
Open-Xchange GmbH Deutschland Martinstraße 41, 57462
Olpe
Entwicklung, Wartung und Pege
des Communicators
1&1 Internet SE Deutschland Elgendorfer Straße 7,
56410 Montabaur
Entwicklung und Betrieb der
STRATO Online Buchhaltung
Seven IT GmbH Deutschland SevenIT, Hauptstraße
40, 77652 Oenburg
Betrieb und Support der STRATO
Online Buchhaltung
Anhang 2 zur Vereinbarung zur Auftragsverarbeitung - Technische und Organisatorische
Sicherheitsmaßnahmen gemäß Art 32 DSGVO
Version 1.0
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
Unbefugten ist der Zutritt zu Räumen zu verwehren, in denen Datenverarbeitungsanlagen untergebracht
sind.
Festlegung von Sicherheitsbereichen
• Realisierung eines wirksamen Zutrittsschutzes
• Protokollierung des Zutritts
• Festlegung Zutrittsberechtigter Personen
• Verwaltung von personengebundenen Zutrittsberechtigungen
• Begleitung von Fremdpersonal
• Überwachung der Räume
1.2 Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden.
• Festlegung des Schutzbedarfs
• Zugangsschutz
• Umsetzung sicherer Zugangsverfahren, starke Authentisierung
• Umsetzung einfacher Authentisierung per Username Passwort
• Protokollierung des Zugangs
• Monitoring bei kritischen IT-Systemen
• Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen
• Sperrung bei Fehlversuchen/Inaktivität und Prozess zur Rücksetzung gesperrter Zugangskennungen
• Verbot Speicherfunktion für Passwörter und/oder Formulareingaben (Server/Clients)
• Festlegung befugter Personen
• Verwaltung und Dokumentation von personengebundenen Authentizierungsmedien und Zugangsberechtigungen
• Automatische Zugangssperre und Manuelle Zugangssperre
1.3 Zugriffskontrolle
Es kann nur auf die Daten zugegriffen, für die eine Zugriffsberechtigungbesteht. Daten können bei der
Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt
werden.
• Erstellen eines Berechtigungskonzepts
• Umsetzung von Zugriffsbeschränkungen
• Vergabe minimaler Berechtigungen
• Verwaltung und Dokumentation von personengebundenen Zugrffisberechtigungen
• Vermeidung der Konzentration von Funktionen
1.4 Verwendungszweckkontrolle
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden
können.
• Datensparsamkeit im Umgang mit personenbezogenen Daten
• Getrennte Verarbeitung verschiedener Datensätze
• Regelmäßige Verwendungszweckkontrolle und Löschung
• Trennung von Test- und Entwicklungsumgebung
1.5 datenschutzfreundliche Voreinstellungen
• Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich sind, werden die technischen
Voreinstellungen so festgelegt, dass Daten nur durch eine Aktion der Betroffenen Person erhoben,
verarbeitet, weitergegeben oder veröffentlicht werden.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
Ziel der Weitergabekontrolle ist es, zu gewährleisten, dass personenbezogene Daten bei der elektronischen
Übertragung oder während ihres Transports oder ihrer Speicherung auf Daten träger nicht unbefugt gelesen,
kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche
Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen
ist.
• Festlegung empfangs- /weitergabeberechtigter Instanzen/Personen
• Prüfung der Rechtmäßigkeit der Übermittlung ins Ausland
• Protokollierung von Übermittlungen gemäß Protokollierungskonzept
• Sichere Datenübertragung zwischen Server und Client
• Sicherung der Übertragung im Backend
• Sichere Übertragung zu externen Systemen
• Risikominimierung durch Netzseparierung
• Implementation von Sicherheitsgateways an den Netzübergabepunkten
• Härtung der Backendsysteme
• Beschreibung der Schnittstellen
• Umsetzung einer Maschine-Maschine-Authentisierung
• Sichere Ablage von Daten, inkl. Backups
• Gesicherte Speicherung auf mobilen Datenträgern
• Einführung eines Prozesses zur Datenträgerverwaltungen
• Prozess zur Sammlung und Entsorgung
• Datenschutzgerechter Lösch- und Zerstörungsverfahren
• Führung von Löschprotokollen
2.2 Eingabekontrolle
Zweck der Eingabekontrolle ist es, zu gewährleisten, dass nachträglich überprüft und festgestellt werden
kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder
entfernt worden sind.
• Protokollierung der Eingaben
• Dokumentation der Eingabeberechtigungen
3. Verfügbarkeit, Belastbarkeit, Desaster Recovery
3.1 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
• Brandschutz
• Redundanz der Primärtechnik
• Redundanz der Stromversorgung
• Redundanz der Kommunikationsverbindungen
• Monitoring
• Resourcenplanung und Bereitstellung
• Abwehr von systembelastendem Missbrauch
• Datensicherungskonzepte und Umsetzung
• Regelmäßige Prüfung der Notfalleinrichtungen
3.2 Desaster Recovery – Rasche Wiederherstellung nach Zwischenfall Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO)
• Notfallplan
• Datensicherungskonzepte und Umsetzung
4. Datenschutzorganisation
• Festlegung von Verantwortlichkeiten
• Umsetzung und Kontrolle geeigneter Prozesse
• Melde- und Freigabeprozess
• Umsetzung von Schulungsmaßnahmen
• Verpichtung
auf Vertraulichkeit
• Regelungen zur internen Aufgabenverteilung
• Beachtung von Funktionstrennung und –zuordnung
• Einführung einer geeigneten Vertreterregelung
5. Auftragskontrolle
Ziel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet
werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
• Auswahl weiterer Auftragnehmer nach geeigneten Garantien
• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern
• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit STRATO
6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art.
25 Abs. 1 DSGVO)
• Informationssicherheitsmanagement nach ISO 27001
• Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen
• Prozess Sicherheitsvorfall-Management
• Durchführung von technischen Überprüfungen

Einsatz von Google-Analytics mit Anonymisierungsfunktion

Wir setzen auf unserer Seite Google-Analytics, einen Webanalysedienst der Firma Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043 USA, nachfolgend „Google“ ein. Google-Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und hierdurch eine Analyse der Benutzung der Website durch Sie ermöglichen.

Die durch diese Cookies erzeugten Informationen, beispielsweise Zeit, Ort und Häufigkeit Ihres Webseiten-Besuchs einschließlich Ihrer IP-Adresse, werden an Google in den USA übertragen und dort gespeichert.

Wir verwenden auf unserer Website Google-Analytics mit einer IP-Anonymisierungsfunktion. Ihre IP-Adresse wird in diesem Fall von Google schon innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt und dadurch anonymisiert.

Google wird diese Informationen benutzen, um Ihre Nutzung unserer Seite auszuwerten, um Reports über die Websiteaktivitäten für uns zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten.

Google wird, nach eigenen Angaben, in keinem Fall Ihre IP-Adresse mit anderen Daten von Google in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen unserer Website vollumfänglich nutzen können.

Des Weiteren bietet Google für die gängigsten Browser eine Deaktivierungsoption an, welche Ihnen mehr Kontrolle darüber gibt, welche Daten von Google erfasst und verarbeitet werden. Sollte Sie diese Option aktivieren, werden keine Informationen zum Website-Besuch an Google Analytics übermittelt. Die Aktivierung verhindert aber nicht, dass Informationen an uns oder an andere von uns gegebenenfalls eingesetzte Webanalyse-Services übermittelt werden. Weitere Informationen zu der von Google bereitgestellten Deaktivierungsoption sowie zu der Aktivierung dieser Option, erhalten Sie über nachfolgenden Link: https://tools.google.com/dlpage/gaoptout?hl=de

Einsatz von Google+-Empfehlungs-Komponenten

Wir setzen auf unserer Seite die „+1“-Schaltfläche des Anbieters Google+ der Firma Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043 USA, nachfolgend „Google“, ein.
Bei jedem einzelnen Abruf unserer Webseite, die mit einer solchen „+1“-Komponente ausgestattet ist, veranlasst diese Komponente, dass der von Ihnen verwendete Browser eine entsprechende Darstellung der Komponente von Google herunterlädt. Durch diesen Vorgang wird Google darüber in Kenntnis gesetzt, welche konkrete Seite unseres Internetauftrittes gerade besucht wird.
Entsprechend den Angaben von Google erfolgt eine weitergehende Auswertung Ihres Besuchs nicht für den Fall, dass Sie nicht in Ihrem Google-Konto eingeloggt sind.

Wenn Sie unsere Seite aufrufen und währenddessen bei Google eingeloggt sind, kann Google bei dem Bestätigen des „+1″-Buttons Informationen über Ihren Google-Account, die von Ihnen weiterempfohlene Webseite sowie Ihre IP-Adresse und andere browserbezogene Informationen erfassen.

So kann Ihre „+1“-Empfehlung gespeichert und öffentlich zugänglich gemacht werden. Ihre somit abgegebene Google „+1“-Empfehlung kann dann als Hinweis zusammen mit Ihrem Accountnamen und gegebenenfalls mit Ihrem bei Google hinterlegten Foto in Google-Diensten, wie etwa in Suchergebnissen oder in Ihrem Google-Konto oder an sonstigen Stellen, wie z.B. auf Webseiten und Anzeigen im Internet, eingeblendet werden. Des Weiteren kann Google Ihren Besuch auf unserer Seite mit Ihren bei Google gespeicherten Daten verknüpfen. Google zeichnet diese Informationen auch auf, um die Google-Dienste weiter zu verbessern.
Wollen Sie daher vorgenannte Erfassung durch Google bestmöglich verhindern, müssen Sie sich vor dem Besuch unseres Internetauftrittes aus Ihrem Google-Konto abmelden.

Die Datenschutzhinweise von Google zur „+1“-Schaltfläche mit allen weiteren Informationen zur Erfassung, Weitergabe und Nutzung von Daten durch Google, zu Ihren diesbezüglichen Rechten sowie zu Ihren Profileinstellungsmöglichkeiten können Sie hier abrufen: https://developers.google.com/+/web/buttons-policy

Einsatz von facebook-Komponenten

Wir setzen auf unserer Seite Komponenten des Anbieters facebook.com ein. Facebook ist ein Service der facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA.
Bei jedem einzelnen Abruf unserer Webseite, die mit einer solchen Komponente ausgestattet ist, veranlasst diese Komponente, dass der von Ihnen verwendete Browser eine entsprechende Darstellung der Komponente von facebook herunterlädt. Durch diesen Vorgang wird facebook darüber in Kenntnis gesetzt, welche konkrete Seite unserer Internetpräsenz gerade durch Sie besucht wird.
Wenn Sie unsere Seite aufrufen und währenddessen bei facebook eingeloggt sind, erkennt facebook durch die von der Komponente gesammelte Information, welche konkrete Seite Sie besuchen und ordnet diese Informationen Ihrem persönlichen Account auf facebook zu. Klicken Sie z.B. den  „Gefällt mir“-Button an oder geben Sie entsprechende Kommentare ab, werden diese Informationen an Ihr persönliches Benutzerkonto auf facebook übermittelt und dort gespeichert. Darüber hinaus wird die Information, dass Sie unsere Seite besucht haben, an facebook weiter gegeben. Dies geschieht unabhängig davon, ob Sie die Komponente anklicken oder nicht.
Wenn Sie diese Übermittlung und Speicherung von Daten über Sie und Ihr Verhalten auf unserer Webseite durch facebook unterbinden wollen, müssen Sie sich bei facebook ausloggen und zwar bevor Sie unsere Seite besuchen. Die Datenschutzhinweise von facebook geben hierzu nähere Informationen, insbesondere zur Erhebung und Nutzung der Daten durch facebook, zu Ihren diesbezüglichen Rechten sowie zu den Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre: https://de-de.facebook.com/about/privacy/
Zudem sind am Markt externe Tools erhältlich, mit denen Facebook-Social-Plugins mit Add-ons für alle gängigen Browser blockiert werden können http://webgraph.com/resources/facebookblocker/
Eine Übersicht über die Facebook-Plugins finden Sie unter https://developers.facebook.com/docs/plugins/

Einsatz der Twitter-Empfehlungs-Komponenten

Wir setzen auf unserer Seite Komponenten des Anbieters Twitter ein. Twitter ist ein Service der Twitter Inc., 795 Folsom St., Suite 600, San Francisco, CA 94107, USA.

Bei jedem einzelnen Abruf unserer Webseite, die mit einer solchen Komponente ausgestattet ist, veranlasst diese Komponente, dass der von Ihnen verwendete Browser eine entsprechende Darstellung der Komponente von Twitter herunterlädt. Durch diesen Vorgang wird Twitter darüber in Kenntnis gesetzt, welche konkrete Seite unserer Internetpräsenz gerade besucht wird.
Wir haben weder Einfluss auf die Daten, die Twitter hierdurch erhebt, noch über den Umfang dieser durch Twitter erhobenen Daten. Nach unserem Kenntnisstand wird von Twitter die URL der jeweiligen aufgerufenen Webseite sowie IP-Adresse des Nutzers erhoben, jedoch nicht für andere Zwecke, als die Darstellung der Twitter- Komponente, genutzt. Weitere Informationen hierzu finden sich in der Datenschutzerklärung von Twitter unter http://twitter.com/privacy.

Ihre Datenschutzeinstellungen können Sie in den Konto-Einstellungen unter http://twitter.com/account/settingsändern.

Einsatz der Xing-Empfehlungs-Komponenten

Wir setzen auf unserer Seite Komponenten des Netzwerks XING.com ein. Diese Komponenten sind ein Service der XING AG, Dammtorstraße 29-32, 20354 Hamburg, Deutschland.
Bei jedem einzelnen Abruf unserer Webseite, die mit einer solchen Komponente ausgestattet ist, veranlasst diese Komponente, dass der von Ihnen verwendete Browser eine entsprechende Darstellung der Komponente von XING herunterlädt.

Nach unserem Kenntnisstand werden von XING keine personenbezogenen Daten des Nutzers über den Aufruf unserer Webseite gespeichert. Ebenfalls speichert XING keine IP-Adressen. Zudem findet auch keine Auswertung des Nutzungsverhaltens über die Verwendung von Cookies im Zusammenhang mit dem “XING Share-Button” statt. Weitere Informationen hierzu finden sich in den Datenschutzhinweisen für den XING Share-Button unter: https://www.xing.com/app/share?op=data_protection

Einsatz der LinkedIn-Empfehlungs-Komponenten

Wir setzen auf unserer Seite Komponenten des Netzwerks LinkedIn ein. LinkedIn ist ein Service der LinkedIn Corporation, 2029 Stierlin Court, Mountain View, CA 94043, USA. Bei jedem einzelnen Abruf unserer Webseite, die mit einer solchen Komponente ausgestattet ist, veranlasst diese Komponente, dass der von Ihnen verwendete Browser eine entsprechende Darstellung der Komponente von LinkedIn herunterlädt.

Durch diesen Vorgang wird LinkedIn darüber in Kenntnis gesetzt, welche konkrete Seite unserer Internetpräsenz gerade besucht wird. Wenn Sie den LinkedIn „Recommend-Button“ anklicken während Sie in Ihrem LinkedIn-Account eingeloggt sind, können Sie die Inhalte unserer Seiten auf Ihrem LinkedIn-Profil verlinken. Dadurch ist LinkedIn in der Lage, den Besuch unserer Seiten Ihrem LinkedIn-Benutzerkonto zuordnen.

Wir haben weder Einfluss auf die Daten, die LinkedIn hierdurch erhebt, noch über den Umfang dieser durch LinkedIn erhobenen Daten. Auch haben wir keine Kenntnis vom Inhalt der an LinkedIn übermittelten Daten. Details zur Datenerhebung durch LinkedIn sowie zu Ihren Rechten und Einstellungsmöglichkeiten können Sie den Datenschutzhinweisen von LinkedIn entnehmen. Diese Hinweise finden Sie unter http://www.linkedin.com/legal/privacy-policy

Einsatz von YouTube-Komponenten mit erweitertem Datenschutzmodus

Auf unserer Webseite setzen wir Komponenten (Videos) des Unternehmens YouTube, LLC 901 Cherry Ave., 94066 San Bruno, CA, USA, einem Unternehmen der Google Inc., Amphitheatre Parkway, Mountain View, CA 94043, USA, ein.

Hierbei nutzen wir die von YouTube zur Verfügung gestellte Option “ – erweiterter Datenschutzmodus – „.

Wenn Sie eine Seite aufrufen, die über ein eingebettetes Video verfügt, wird eine Verbindung zu den YouTube-Servern hergestellt und dabei der Inhalt durch Mitteilung an Ihren Browser auf der Internetseite dargestellt.

Laut den Angaben von YouTube werden im “ – erweiterten Datenschutzmodus -“ nur Daten an den YouTube-Server übermittelt, insbesondere welche unserer Internetseiten Sie besucht haben, wenn Sie das Video anschauen. Sind Sie gleichzeitig bei YouTube eingeloggt, werden diese Informationen Ihrem Mitgliedskonto bei YouTube zugeordnet. Dies können Sie verhindern, indem Sie sich vor dem Besuch unserer Website von Ihrem Mitgliedskonto abmelden.

Weitere Informationen zum Datenschutz von YouTube werden von Google unter dem folgenden Link bereitgestellt:

https://www.google.de/intl/de/policies/privacy/

Einsatz von Instagram

Wir setzen auf unserer Website den Dienst Instagram ein. Instagram ist ein Service der Instagram Inc. Durch den eingebundenen „Insta“-Button auf unsere Seite erhält Instagram die Information, dass Sie die entsprechende Seite unseres Internetauftritts aufgerufen haben. Sind Sie bei Instagram eingeloggt, kann Instagram diesen Besuch auf unserer Seite Ihrem Instagram -Konto zuordnen und die Daten somit verknüpfen. Die durch Anklicken des „Insta“-Buttons übermittelten Daten werden von Instagram gespeichert. Zu Zweck und Umfang der Datenerhebung, deren Verarbeitung und Nutzung sowie Ihren diesbezüglichen Rechten und Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre erhalten Sie weitere Informationen in den Instagram -Datenschutzhinweisen, die Sie über https://help.instagram.com/155833707900388 abrufen können.

Um zu verhindern, dass Instagram den Besuch unserer Seite Ihrem Instagram-Konto zuordnen kann, müssen Sie sich vor dem Besuch unserer Seite von Ihrem Instagram-Account abmelden.

Einsatz von Google-Adwords

Wir setzen zur Bewerbung unserer Website ferner das Google Werbetool „Google-Adwords“ ein. Im Rahmen dessen verwenden wir auf unserer Website den Analysedienst „Conversion-Tracking“ der Firma Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043 USA, nachfolgend „Google“. Sofern Sie über eine Google-Anzeige auf unsere Webseite gelangt sind, wird ein Cookie auf Ihrem Rechner abgelegt. Cookies sind kleine Textdateien, die Ihr Internet-Browser auf Ihrem Rechner ablegt und speichert. Diese sog. „Conversion- Cookies“ verlieren nach 30 Tagen ihre Gültigkeit und dienen nicht Ihrer persönlichen Identifikation. Besuchen Sie bestimmte Seiten unserer Website und das Cookie ist noch nicht abgelaufen, können wir und Google erkennen, dass Sie als Nutzer auf eine unserer bei Google platzierten Anzeigen geklickt haben und zu unserer Seite weitergeleitet wurden.

Die mit Hilfe der „Conversion-Cookies“ eingeholten Informationen dienen Google dazu, Besuchs-Statistiken für unsere Website zu erstellen. Wir erfahren durch diese Statistik die Gesamtanzahl der Nutzer, die auf unsere Anzeige geklickt haben und zudem welche Seiten unserer Website vom jeweiligen Nutzer im Anschluss aufgerufen wurden. Wir bzw. andere über „Google-Adwords“ Werbende erhalten jedoch keinerlei Informationen, mit denen sich Nutzer persönlich identifizieren lassen.

Sie können die Installation der „Conversion-Cookies“ durch eine entsprechende Einstellung Ihres Browsers verhindern, etwa per Browser-Einstellung, die das automatische Setzen von Cookies generell deaktiviert oder speziell nur die Cookies von der Domain „googleadservices.com“ blockiert.

Die diesbezügliche Datenschutzerklärung von Google erhalten Sie unter nachfolgendem Link: https://services.google.com/sitestats/de.html

Auskunft/Widerruf/Löschung

Sie können sich aufgrund des Bundesdatenschutzgesetzes bei Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten und deren Berichtigung, Sperrung, Löschung oder einem Widerruf einer erteilten Einwilligung unentgeltlich an uns wenden. Wir weisen darauf hin, dass Ihnen ein Recht auf Berichtigung falscher Daten oder Löschung personenbezogener Daten zusteht, sollte diesem Anspruch keine gesetzliche Aufbewahrungspflicht entgegenstehen.