Auftragsverarbeitung

Wenn Sie einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO mit uns abschließen möchten, stellen wir Ihnen diesen Vertrag gerne kostenfrei zur Verfügung. Des Weiteren finden Sie die Übersicht der technischen und organisatorischen Maßnahmen sowie die Liste der eingesetzten Subdienstleister.

Vertrag zur Auftragsverarbeitung

Für Auftraggeber bieten wir folgenden Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO an. Bitte senden Sie diesen (unterschrieben) an Datenschutz@datenschutzev.de.

Technische und organisatorische Maßnahmen (Anlage B)

Eingesetzte technische und organisatorische Maßnahmen

KategorieMaßnahmen
AllgemeinesGrundsätzliche Maßnahmen, die der Wahrung der Betroffenenrechte, unverzüglichen Reaktion in Notfällen, den Vorgaben der Technikgestaltung und dem Datenschutz auf Mitarbeiterebene dienen:
-Es besteht ein betriebsinternes Datenschutz-Management, dessen Einhaltung ständig überwacht wird sowie anlassbezogenen und mindestens jährlich evaluiert wird.
-Es besteht ein Konzept, welches die Wahrung der Rechte der Betroffenen (Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datentransfer, Widerrufe & Widersprüche) innerhalb der gesetzlichen Fristen gewährleistet.
-Es umfasst Formulare, Anleitungen und eingerichtete
Umsetzungsverfahren sowie die Benennung der für die Umsetzung zuständigen Personen.
-Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Verletzungen des Schutzes personenbezogener Daten (Prüfung, Dokumentation, Meldung) gewährleistet. Es umfasst Formulare, Anleitungen und eingerichtete Umsetzungsverfahren sowie die Benennung der für die Umsetzung zuständigen Personen.
-Der Schutz von personenbezogenen Daten wird unter
Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch  Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt (Art. 25 DSGVO).
-Die eingesetzte Software wird stets auf dem aktuell verfügbaren Stand gehalten, ebenso wie Virenscanner und Firewalls.
-Beschäftigte und Mitglieder werden im Hinblick auf den Datenschutz auf Verschwiegenheit verpflichtet, belehrt und instruiert, als auch auf mögliche Haftungsfolgen hingewiesen. Sofern Mitarbeiter außerhalb betriebsinterner Räumlichkeiten tätig werden oder Privatgeräte für
betriebliche Tätigkeiten einsetzen, existieren spezielle Regelungen zum Schutz der Daten in diesen Konstellationen und der Sicherung der Rechte von Auftraggebern einer Auftragsverarbeitung.
-Die an Beschäftigte und Mitglieder ausgegebene Schlüssel, Zugangskarten oder Codes sowie im Hinblick auf die Verarbeitung personenbezogener Daten erteilte Berechtigungen, werden nach deren Ausscheiden aus
dem Verein, bzw. Wechsel der Zuständigkeiten eingezogen, bzw. entzogen.
-Das Reinigungspersonal und übrige Dienstleister, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden, werden sorgfältig ausgesucht und es wird sichergestellt, dass sie den Schutz
personenbezogener Daten beachten.
-Beschäftigte und Mitglieder werden auf Datenschutz,
Informationssicherheit und Compliance sensibilisiert.  
 
Zugangskontrolle– Absicherung des Gebäudes, Fenster und Türen
– Absicherung bei Homeoffice/ Telearbeit-Arbeitsplätzen
– Zwei-Faktor-Benutzeranmeldung
– Firewalls
– Schutz vor Schadsoftware
– Bildschirmsperre
– aktuelle Nutzerverwaltung  
Datenträgerkontrolle– Verschlüsselung von Daten und Datensystemen
– Verschlüsselung von Datenträgern
– Kontrollierte Vernichtung von Datenträgern
– Absicherung der Daten / Datenträger bei Versand
Speicherkontrolle– Kennwortrichtlinie
– Nutzerprofile und Rollenkonzept entsprechend des Sicherheits- und Berechtigungskonzepts  
Benutzerkontrolle– Kennwortrichtlinie
– Nutzerstammdatensatz
– Sperrung von Systemen
– Kontrolle der Verbindungen
– Verwaltung der Zugriffsrechte durch den Systemadministrator
– Richtlinie Homeoffice/ Telearbeit
– EDV-Nutzungsvereinbarung  
Zugriffskontrolle– Festlegung und Prüfung der Zugriffsberechtigungen
– Protokollierung von Zugriffen
– zeitliche Begrenzung von Zugriffen
– Firewall (Software)
– Stets aktueller Virenschutz
– Mindestpasswortlängen und Passwortmanager
– Ordnungsgemäße Vernichtung von Datenträgern
– Begrenzung der Administratorenzugänge auf das notwendige Minimum
– Bildschirm- und Computersperre bei Verlassen des Gerätes
– Clean Desk Policy
– Verschlüsselung von Festplatten
Eingabekontrolle– Datenträger mit geeigneten Schutzmechanismen (Verschlüsselung)
– E-Mails mit Transportverschlüsselung
– VPN-Tunnel  
Organisationskontrolle– Protokollierung von inhaltlichen Änderungen und bei Änderungen in bestimmten Systemen
-Klare Zuständigkeiten für Löschungen
-Vergabe von Rechten  
Transportkontrolle– Verschlüsselung von Datenträgern (USB, Festplatten, Bänder…)
– Verschlüsselung von Datensystemen (Laptop, Mobiltelefon…)
– Verschlüsselung von Übertragungsverbindungen (SSL, TSL…)  
Wiederherstellbarkeit– Regelmäßige Backup-Verfahren nach dem Backup-Konzept
– Daten-Spiegelung in externe Systeme
Zuverlässigkeit– Systemanalysen
– Netzüberwachung  
Datenintegrität– Zeitstempel
– Signaturen
– Protokolle  
AuftragskontrolleAuswahl von Auftragnehmern unter Sorgfaltsgesichtspunkten, schriftliche Festlegung der Weisungen, Kontrolle der Einhaltung bei Auftragnehmern, Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags sowie:
– Abschluss von Auftragsverarbeitungsverträgen
– Bewertung von Geschäftspartnern
– Regelmäßige Überprüfung von Auftragsverarbeitern
– Schriftliche Weisungen an Auftragsverarbeiter
– Vereinbarung wirksamer Kontrollrechte gegenüber
Auftragsverarbeitern
– Vorherige Prüfung von Auftragsverarbeitern  
Verfügbarkeitskontrolle– Regelmäßige Backup-Verfahren nach dem Backup-Konzept
– Aktuelle Firewall-Lösung auf allen betriebenen Systemen
– Aktueller Virenschutz auf allen betriebenen Systemen  
Trennungsgebot– Trennung von Produktiv- und Testsystem
– Berechtigungs-/Zugriffskonzepts
– Festlegung von Datenbankrechten
– Logische Mandantentrennung (Softwareseitig)  
Informationssicherheit-Leitlinie zur Informationssicherheit -Richtlinie zur sicheren Nutzung von IT und Internet -Sensibilisierung auf Informationssicherheit für Beschäftigte und Mitglieder  

Eingesetzte Subunternehmer (Anlage C)

Zugelassene Unterauftragnehmer / Subdienstleister

NameZweckAdresseDrittland
Strato AGHosting, E-Mail, Server, CloudPascalstraße 10, 10587 Berlin  Nein
Ionos SEHosting, E-Mail, Server, CloudElgendorfer Str. 57, 56410 MontabaurNein
Provenexpert (Expert Systems AG)  BewertungenQuedlinburger Straße 1,
10589 Berlin
Nein
SendInBlue GmbHNewsletter VersandKöpenicker Str. 126, 10179 BerlinNein
Lexoffice (Haufe-Lexware GmbH & Co. KG)Buchhaltung & LohnbuchhaltungMunzinger Straße 9 79111 FreiburgNein
Easy-LMS (Quizworks B.V.)Durchführung und Verwaltung von online Schulungen und NutzerOude Delft 48, 2611 CD, Delft NetherlandsNein
DSM Online (DSM-Online GmbH)DatenschutzmanagementFraunhoferstraße 9
85221 Dachau
Nein
Zoho App (Zoho Corporation B.V.)Projekte, CRM, Kontaktverwaltung, Dokumentenverwaltung, allgemeine VerwaltungBeneluxlaan 4B, 3527 HT Utrecht, NiederlandeDer Standort der Server liegt in Europa. Bei einem Ausfall der Server in Europa können Daten in Drittländer übermittelt werden.  Für alle Serverstandorte existieren EU-Standardvertragsklausen. Alle Server sind ISO 27001 zertifiziert
TeamViewer (TeamViewer Germany GmbH)Fernwartung, VideokonferenzenBahnhofsplatz 2
73033 Göppingen
Nein
Concluster (CIC eBusiness GmbH)WikiLinzer Tuchfabrik Schörgenhubstraße 41,  4030 LinzNein
Vimeo (Vimeo LLC)Video-PlattformLegal Department, 555 West 18th Street New York, New York 10011, USAUSA, Abschluss der EU-Standardvertragsklausen. Alle Server sind ISO 27001 zertifiziert