13
Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach §11 BDSG sowie nach Art. 28 und Art. 29 DSGVO zwischen Unternehmensname Musterstraße 1 12345 Musterstadt Deutschland - Auftraggeber - und App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer -

Vereinbarung zum Datenschutz und zur ... - App-Arena.com · App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer - ... 3.1.1 Hosting und

  • Upload
    others

  • View
    7

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Vereinbarung zum Datenschutz und zur ... - App-Arena.com · App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer - ... 3.1.1 Hosting und

Vereinbarung zum Datenschutz und zur Datensicherheit in

Auftragsverhältnissen nach §11 BDSG sowie nach Art. 28 und Art. 29

DSGVO

zwischen

Unternehmensname

Musterstraße 1

12345 Musterstadt

Deutschland

- Auftraggeber -

und

App-Arena GmbH

Moltkestraße 123

50674 Köln

Handelsregister HRB 69676 (AG Köln)

- Auftragnehmer -

Page 2: Vereinbarung zum Datenschutz und zur ... - App-Arena.com · App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer - ... 3.1.1 Hosting und

Gegenstand der Vereinbarung Seite 1

Inhaltsverzeichnis 1 Gegenstand der Vereinbarung ........................................................................................2

2 Rechte und Pflichten des Auftraggebers .........................................................................3

3 Pflichten des Auftragnehmers .........................................................................................4

3.1 Beauftragte Subunternehmer ...................................................................................5

4 Verarbeitungstätigkeit nach Art. 30 DSGVO ....................................................................6

4.1 Registrierung innerhalb der Applikation ....................................................................6

4.2 Versand von E-Mail Nachrichten ..............................................................................7

4.3 Verarbeitung bei Aktivierung von Dritt-Anbieter Integrationenen ..............................7

5 Technische und organisatorische Maßnahmen ...............................................................7

5.1 Zutrittskontrolle .........................................................................................................8

5.2 Zugangskontrolle ......................................................................................................8

5.3 Zugriffskontrolle ........................................................................................................9

5.4 Weitergabekontrolle .................................................................................................9

5.5 Eingabekontrolle .................................................................................................... 10

5.6 Verfügbarkeitskontrolle ........................................................................................... 10

5.7 Trennungskontrolle ................................................................................................ 11

5.8 Maßnahmen zur Datenlöschung ............................................................................ 11

5.9 Schutzmaßnahmen für sichere Softwareentwicklung ............................................. 12

6 Abschlussklausel ........................................................................................................... 12

6.1 Sonstiges ............................................................................................................... 12

6.2 Wirksamkeit der Vereinbarung ............................................................................... 12

Page 3: Vereinbarung zum Datenschutz und zur ... - App-Arena.com · App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer - ... 3.1.1 Hosting und

Gegenstand der Vereinbarung Seite 2

1 Gegenstand der Vereinbarung

1. Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene Daten im Auftrag des

Auftraggebers.

2. Der Auftrag umfasst Folgendes:

2.1 Gegenstand des Auftrages (Definition der Aufgaben):

Durchführung von kleinen Online-Spielen auf den Servern von App-Arena (z. B.

Pairs, etc.)

Dies umfasst das Hosting dieser Spiele sowie die Bereitstellung einer

Weboberfläche zur Gestaltung, Bereitstellung und Pflege der Spiele, sowie die

Nutzerverwaltung der Spieler (in der Regel Kunden des Auftraggebers).

2.2 Dauer des Auftrages

2.2.1 Dieser Vertrag wird auf unbestimmte Zeit geschlossen. Die Laufzeit dieses

Vertrages richtet sich nach der Laufzeit der vom Auftragnehmer bereitgestellten

Online-Spiele.

2.2.2 Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist

kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die

Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des

Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des

Auftraggebers vertragswidrig verweigert.

2.3 Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung

Die Verarbeitung und Nutzung personenbezogener Daten im Auftrag erfolgt

ausschließlich zweckgebunden nach Maßgabe des BDSG, den dieser Vereinbarung

zu Grunde liegenden Bestellungen, den Regelungen dieser Vereinbarung und den

Weisungen des Auftraggebers.

Der Zweck besteht in der Durchführung von kurzen, einfachen Online-Spielen durch

Kunden/Geschäftspartner des Auftraggebers.

2.4 Art der Daten

Neben der IP-Adresse, E-Mail-Adresse sowie einem personenbezogenen Anmelde-

Cookies (Session-Cookie) werden weitere personenbezogene Daten erfasst. Die Art

der erhobenen Daten wird durch den Auftraggeber eigenständig konfiguriert.

Das können sein:

• E-Mail-Adresse

• Vorname, Name (optional)

• Kontaktdaten (optional)

• Facebook-ID (optional bei Registrierung/Anmeldung über das Facebook-

Account)

Page 4: Vereinbarung zum Datenschutz und zur ... - App-Arena.com · App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer - ... 3.1.1 Hosting und

Rechte und Pflichten des Auftraggebers Seite 3

• Systemprotokolldaten (IP-Adresse, Timestamp, Standortdaten etc.)

2.5 Kreis der Betroffenen

Webseiten- und Facebook Fanpage-Besucher des Auftraggebers, Besucher der

Kampagnen-Seite der Web-Applikation

2 Rechte und Pflichten des Auftraggebers

1. Für die Beurteilung der Zulässigkeit der Datenerhebung / -verarbeitung / -nutzung sowie

für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich.

2. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des

Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen

und schriftlich festzulegen.

3. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Die schriftliche

Bestätigung der mündlichen Weisungen sollte von Auftraggeber und Auftragnehmer

zusammen mit der Mustervereinbarung so aufbewahrt werden, dass alle maßgeblichen

Regelungen jederzeit verfügbar sind.

Weisungsberechtigte Personen des Auftraggebers sind:

Max Mustermann, Beispielunternehmen GmbH, Musterstr. 123, 12345 Musterstadt

Weisungsempfänger beim Auftragnehmer sind:

Dr. Hubertus Porschen, App-Arena GmbH, Moltkestraße 123, 50674 Köln

Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist

dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter

mitzuteilen. Falls Weisungen dieses Vertrages getroffene Festlegungen ändern,

aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue

Festlegung erfolgt.

4. Der Auftraggeber ist berechtigt, sich vor Beginn der Datenverarbeitung und sodann

regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und

organisatorischen Maßnahmen zu überzeugen. Der dem Auftragsnehmer entstehende

Arbeitsaufwand durch die Kontrollen, wird dem Auftraggeber mit einem angemessenen

Stundensatz in Rechnung gestellt.

5. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder

Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

6. Der Auftraggeber und der Auftragnehmer sind verpflichtet, alle im Rahmen des

Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und

Datensicherheitsmaßnahmen der anderen Partei vertraulich zu behandeln. Die

Page 5: Vereinbarung zum Datenschutz und zur ... - App-Arena.com · App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer - ... 3.1.1 Hosting und

Pflichten des Auftragnehmers Seite 4

Vertragspartner legen die von ihnen eingegangenen Verpflichtungen zur Geheimhaltung

und zum Datenschutz auch allen Personen oder Gesellschaften auf, die von ihnen im

Rahmen der Zusammenarbeit beauftragt werden.

3 Pflichten des Auftragnehmers

1. Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag

verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener

sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten

wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den

Auftraggeber weiterleiten. Der Auftragnehmer verwendet die zur Datenverarbeitung

überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien

oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Explizit

ausgenommen sind Datensicherungen.

2. Der Auftragnehmer hat insbesondere folgende Kontrollen durchzuführen:

Die unter „§5 Technische und organisatorische Maßnahmen“ genannten

Kontrollhandlungen.

3. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt

werden, werden besonders gekennzeichnet und unterliegen der laufenden -

automatisierten - Verwaltung. Eingang und Ausgang werden dokumentiert.

4. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von

personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten

Maßnahmen zu.

5. Der Auftragnehmer macht den Auftraggeber unverzüglich darauf aufmerksam, wenn eine

vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften

verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden

Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber

bestätigt oder geändert wird.

6. Die Verarbeitung von Daten in Privatwohnungen ist nur mit Zustimmung des

Auftraggebers im Einzelfall und nur durch die vertretungsberechtigten Geschäftsführer

des Auftragnehmers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet

werden, ist der Zugang zur Wohnung durch den Auftraggeber vorher mit dem

Auftragnehmer abzustimmen. Der Auftragnehmer sichert zu, dass auch die anderen

Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.

7. Die Speicherung der Daten findet ausschließlich im Gebiet der Bundesrepublik

Deutschland statt. Die Datenspeicherung in einem Mitgliedsstaat der Europäischen

Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen

Wirtschaftsraum bedarf der vorherigen Zustimmung des Auftraggebers. Jede

Verlagerung in ein Drittland hängt ebenfalls von der Zustimmung des Auftraggebers ab

und darf nur dann erfolgen, wenn zusätzlich die besonderen Voraussetzungen der §§ 4b,

Page 6: Vereinbarung zum Datenschutz und zur ... - App-Arena.com · App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer - ... 3.1.1 Hosting und

Pflichten des Auftragnehmers Seite 5

4c BDSG erfüllt sind.

8. Zum Datenschutzbeauftragten bestellt wurde Valentin Klein.

9. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der

personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren.

10. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen

Vorschriften des BDSG sowie der DSGVO bekannt sind.

Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten

beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden

Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis

schriftlich verpflichtet. Der Auftragnehmer überwacht die Einhaltung der hier

angegebenen datenschutzrechtlichen Vorschriften.

11. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger

schriftlicher Zustimmung durch den Auftraggeber erteilen.

3.1 Beauftragte Subunternehmer

Die Beauftragung von Subunternehmern ist dem Auftraggeber in Textform mitzuteilen und

darf nur nach vorheriger Zustimmung des Auftraggebers in Textform erfolgen. Der

Auftragnehmer sichert zu, dass alle beauftragten Subunternehmer, welche Daten im Auftrag

erheben, verarbeiten oder speichern, ebenfalls die Verpflichtungen nach §11 BDSG oder

EU-Richtlinie 95/46/EG (durch Anwendung der EU-Standardvertragsklauseln bei

Unterauftragnehmern in Drittländern) erfüllen. Der Auftragnehmer sichert weiterhin zu, dass

die vereinbarten Regelungen zwischen ihm und dem Auftraggeber uneingeschränkt auch

gegenüber den Subunternehmern gelten.

Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen

zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der

Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen,

Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Der Auftragnehmer ist

jedoch verpflichtet, zur Sicherstellung des Schutzes und der Sicherheit der Daten des

Auftraggebers Contact auch bei fremd vergebenen Nebenleistungen angemessene und

gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu

ergreifen.

Zurzeit sind folgende Subunternehmer mit der Erhebung, Speicherung oder Verarbeitung

von Daten beauftragt

3.1.1 Hosting und Server-Infrastruktur

1) Amazon Web Services (siehe §5.6 Verfügbarkeitskontrolle)

Beauftragt für: Bereitstellen der Server-Infrastruktur (Hosting)

Page 7: Vereinbarung zum Datenschutz und zur ... - App-Arena.com · App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer - ... 3.1.1 Hosting und

Verarbeitungstätigkeit nach Art. 30 DSGVO Seite 6

3.1.2 E-Mail Versand

1) Optivo GmbH, Wallstraße 16, 10179 Berlin

Beauftragt für: Versand von E-Mails

2) Amazon Web Services (siehe §5.6 Verfügbarkeitskontrolle)

Beauftragt für: Versand von E-Mails

3.1.3 Optionale Integrationen von Drittanbietern-Systemen

Der Auftraggeber hat innerhalb des Einrichtungsprozesses seiner Web-Applikation die

Möglichkeit Integrationen zur Datenweitergabe zu Drittanbietern zu aktivieren (z.B.

Mailchimp, Salesforce, …). Diese Integrationen sind gemäß Art. 25 DSGVO standardmäßig

deaktiviert (“Privacy by default”). Aktiviert der Auftraggeber eine solche Integration werden

personenbezogene Daten an Drittanbieter weitergereicht und dort verarbeitet.

Der Auftragnehmer hat mit diesen Drittanbietern keine Auftragsdatenverarbeitungsverträge

gemäß dieser Vereinbarung, weshalb der Auftragnehmer für die Wahrung der Vorschriften

dieser Vereinbarung bei Aktivierung von Integrationen mit Drittanbietern keine Gewähr

übernimmt und diese ab Übermittlung der Daten an den Drittanbieter nicht mehr garantiert.

4 Verarbeitungstätigkeit nach Art. 30 DSGVO

Bei Benutzung der Applikationen des Auftragnehmers werden die im Folgenden gelisteten

Datenverarbeitungstätigkeiten durchgeführt:

1. Registrierung innerhalb der Applikation

2. Versand von E-Mail Nachrichten

3. Verarbeitung bei Aktivierung von Dritt-Anbieter Integrationenen

4.1 Registrierung innerhalb der Applikation

Registriert ein Besucher sich zur Teilnahme in einer Applikation, werden personenbezogene

Daten des Besuchers abgefragt und verarbeitet.

Datenkategorien Siehe §1 Abs. 2.4 Art der Daten Betroffene Personen Siehe §1 Abs. 2.5 Kreis der Betroffenen Zwecke Siehe §1 Abs. 2.3 Umfang, Art und Zweck der

Datenerhebung, -verarbeitung oder -nutzung Rechtsgrundlage Art. 6 Abs. 1 lit. a, § 7 Abs. 2 Nr. 3 UWG (Einwilligung) Datenquelle: Registrierung zur Teilnahme, ausdrückliche Einwilligung,

DOI-Verfahren bei aktiver Newsletter-Registrierung. Information der Betroffenen:

Datenschutzerklärung innerhalb der Applikation (wenn vom Auftraggeber aktiviert)

Empfänger: Siehe §3.1.1 Hosting und Server-Infrastruktur Löschung: Siehe §5.9 Schutzmaßnahmen für sichere

Softwareentwicklung Schutzmaßnahmen Siehe §5 Technische und organisatorische Maßnahmen

Page 8: Vereinbarung zum Datenschutz und zur ... - App-Arena.com · App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer - ... 3.1.1 Hosting und

Technische und organisatorische Maßnahmen Seite 7

4.2 Versand von E-Mail Nachrichten

Nach einer Registrierung des Besuchers innerhalb der Applikation kann ein für die

Applikation notwendiger E-Mail Versand erforderlich werden (z.B. Aktivierung des

registrierten Benutzerkontos, Versand einer Double-Opt-In E-Mail, …). Für den Versand von

E-Mails wird

Datenkategorien Siehe §1 Abs. 2.4 Art der Daten Betroffene Personen Siehe §1 Abs. 2.5 Kreis der Betroffenen Zwecke Siehe §1 Abs. 2.3 Umfang, Art und Zweck der

Datenerhebung, -verarbeitung oder -nutzung Rechtsgrundlage Art. 6 Abs. 1 lit. a, § 7 Abs. 2 Nr. 3 UWG (Einwilligung) Datenquelle: Anmeldung zum Newsletter, Ausführung von App-

Aktionen (z.B. Foto hochgeladen, Aktivieren der Erinnerungsfunktion, …)

Information der Betroffenen:

Datenschutzerklärung innerhalb der Applikation (wenn vom Auftraggeber aktiviert)

Empfänger: Siehe §3.1.2 E-Mail Versand Löschung: Siehe §5.9 Schutzmaßnahmen für sichere

Softwareentwicklung Schutzmaßnahmen Siehe §5 Technische und organisatorische Maßnahmen

4.3 Verarbeitung bei Aktivierung von Dritt-Anbieter Integrationenen

Die aktivierten Integrationen werden durch den Auftraggeber eigenständig aktiviert. Die

Sicherstellung der Verarbeitung personenbezogener Daten gemäß den Bedingungen dieser

Vereinbarung wird durch den Auftragnehmer nicht übernommen, da keine Rahmenverträge

mit Drittanbietern außerhalb der aufgefährten Liste unter §3.1 Beauftragte Subunternehmer

existieren.

5 Technische und organisatorische Maßnahmen

Die hier aufgeführten Maßnahmen richten sich nach §9 BDSG, sowie Art. 5 Abs. 1 f)

DSGVO, Art. 24 DSGVO, Art. 25 DSGVO, Art. 32 DSGVO, Art. 35 DSGVO, Art. 36 DSGVO

1. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er

gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen

Datensicherheitsmaßnahmen.

2. Die technischen und organisatorischen Maßnahmen können im Laufe des

Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung

angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren.

3. Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen

des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.

Page 9: Vereinbarung zum Datenschutz und zur ... - App-Arena.com · App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer - ... 3.1.1 Hosting und

Technische und organisatorische Maßnahmen Seite 8

4. Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des

Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche

Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf

Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung

personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle

Informationspflichten des Auftraggebers nach § 42a BDSG sowie Art. 4 DSGVO, Art. 12

DSGVO, Art. 33 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber bei seinen

Pflichten nach § 42a BDSG sowie Art. 4 DSGVO, Art. 12 DSGVO, Art. 33 DSGVO zu

unterstützen.

5.1 Zutrittskontrolle

Jedem Mitarbeiter des Auftragnehmers werden ein Schlüssel für das Gebäude sowie ein

Schlüssel zu seinem jeweiligen Büro ausgehändigt. Jeder einzelne unterschreibt bei Erhalt

der Schlüssel, dass er keinen der Schlüssel an Dritte weiterreicht und es unverzüglich

meldet, sollte er seine Schlüssel verlieren. Unbefugten wird der Zutritt zu

Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt

werden, somit nicht ermöglicht.

Das Rechenzentrum von Amazon erfüllt die DIN ISO/IEC 27001 und 27018-Zertifizierung

und ermöglich Zutritt nur für autorisiertes Fachpersonal des Rechenzentrums.

5.1.1 Physische Zutrittskontrolle zum Rechenzentrum

Der Zutritt zum Rechenzentrum wird durch physische Kontrollen mittels elektronischer Foto-

ID Ausweise sowie durch Sicherheitspersonal durchgeführt. Alle Zutrittspunkte des

Rechenzentrums sind videoüberwacht und jeder Zutritt wird aufgezeichnet. Besucher

erhalten nur nach ausreichender Identifizierung und mit ausreichendem Anlass Zutritt und

werden zu jeder Zeit in den Räumlichkeiten des Rechenzentrums durch einen

Sicherheitsmitarbeiter eskortiert.

Weitere Informationen zu den Sicherheitsprozessen des Amazon Webservices

Rechenzentrums finden Sie hier:

• http://aws.amazon.com/de/security/

• https://d0.awsstatic.com/whitepapers/aws-security-whitepaper.pdf

• https://cert.webtrust.org/pdfs/soc3_amazon_web_services.pdf

• https://d0.awsstatic.com/whitepapers/compliance/AWS_Risk_and_Compliance_White

paper.pdf

5.2 Zugangskontrolle

Die Übertragung von Passwort und Nutzerdaten erfolgt ausschließlich über verschlüsselte

https-Verbindungen. Der Zugriff auf den Server erfolgt via verschlüsselter SSH-Verbindung

und privater Schlüsseldatei. Der Zugang zur Datenbank wird ebenfalls über die

verschlüsselte SSH-Verbindung hergestellt.

Page 10: Vereinbarung zum Datenschutz und zur ... - App-Arena.com · App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer - ... 3.1.1 Hosting und

Technische und organisatorische Maßnahmen Seite 9

Der Zugang zur Datenverarbeitungsanlage ist durch das Rechenzentrum von Amazon

Webservices geregelt. Weiter Informationen zum DIN ISO/IEC 27001 zertifizierten

Rechenzentrum finden Sie hier:

http://aws.amazon.com/de/security/

Und ein Whitepaper hier:

https://d0.awsstatic.com/whitepapers/aws-security-whitepaper.pdf

5.3 Zugriffskontrolle

Sollte innerhalb der genutzten Applikation eine Schnittstelle zum Export von

personenbezogenen Daten bestehen, ist der Zugriff durch einen oder mehrere im

Konfigurationsprozess der Applikation festgelegte Administratoren zugänglich - nur bei

Bedarf für den zuständigen Mitarbeiter. Die Export-Funktion wird in diesem Fall nur für

Nutzer freigeschaltet, die explizit durch Mitarbeiter des Auftraggebers aufgeführt sind.

Es werden keine personenbezogenen Daten auf Facebook-Servern gespeichert.

Personenbezogene Daten werden – wenn vom Nutzer der Applikationen gewünscht – vom

Facebook Account des Nutzers ausgelesen und in die Datenverarbeitungsanlagen unter

Kontrolle des Auftragnehmers über eine verschlüsselte Verbindung übertragen.

Zugriff auf den Server

Der Zugriff auf den Server ist ausschließlich Mitarbeitern der App-Arena GmbH vorenthalten.

Der Zugriff auf den Server erfolgt über eine private Schlüsseldatei (Private Key File). Jeder

Mitarbeiter des Auftragnehmers erhält eine eigene Schlüsseldatei. Schlüsseldateien werden

ausschließlich an Mitarbeiter des Auftragnehmers vergeben.

Zugriff auf die Datenbank

Der Zugriff auf die Datenbank ist durch Nutzername und Kennwort geschützt. Jede App hat

einen eigenen Nutzernamen und ein eigenes Kennwort, sodass der Zugriff ausschließlich

durch den vorgesehenen Nutzer erfolgt. Nutzername und Kennwort der Datenbank sind,

soweit nicht anders vereinbart, nur den zuständigen Mitarbeitern des Auftragnehmers

zugänglich.

5.4 Weitergabekontrolle

Die Identifizierung und Authentifizierung von Nutzern erfolgt über die Facebook Schnittstelle.

Facebook nutzt die zeitgemäße OAuth 2.0 Technik, um die Nutzerdaten bei der

Datenübertragung an den Servern des Auftragnehmers zu verschlüsseln und eine

Authentifizierung sicherzustellen. Der Nutzer wird über seine Facebook User Id, seine E-

Mail-Adresse oder Telefonnummer identifiziert. Sämtliche Applikationen werden mit einem

SSL-Zertifikat angeboten, sodass die Datenübertragung mit den Servern des

Auftragnehmers verschlüsselt abläuft. Die Daten werden im Falle einer Verwendung

verschlüsselt an den Server des Auftragnehmers übertragen und gespeichert, soweit der

oben genannte Betriebszweck der Applikation dies erfordert.

Eine Übertragung personenbezogener Daten erfolgt aufgrund folgender Aktionen:

Page 11: Vereinbarung zum Datenschutz und zur ... - App-Arena.com · App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer - ... 3.1.1 Hosting und

Technische und organisatorische Maßnahmen Seite 10

• Der Nutzer authentifiziert sich über E-Mail-Adresse und Passwort. Die Daten werden

verschlüsselt an den Server des Auftragnehmers übertragen.

• Der Nutzer authentifiziert die Facebook App zum Zugriff auf personenbezogene

Daten. Die Daten werden im Falle einer Verwendung verschlüsselt an den Server des

Auftragnehmers übertragen und gespeichert, soweit der Betriebszweck der

Applikation dies erfordert.

• Eine als Administrator der Applikation gekennzeichnete Person fordert

personenbezogene Teilnehmerdaten über einen zugriffsgeschützten Mechanismus

innerhalb der Applikation an. Diese werden verschlüsselt vom Server an den

Administrator übermittelt.

5.5 Eingabekontrolle

Durch die eingesetzte Applikation werden Nutzer- wie auch Administrator-Aktivitäten auf

Benutzerebene protokolliert. Die Abfrage personenbezogener Daten sowie Aktivitäten

innerhalb der Applikation werden vom Server protokolliert. Es werden die IP-Adresse sowie

der Zeitpunkt der getätigten Systemaktivität gespeichert. Die genaue Systemaktivität des

Nutzers hängt von der eingesetzten Applikation sowie von den vom Auftraggeber getätigten

Einstellungen der Applikation ab.

5.6 Verfügbarkeitskontrolle

Wo liegen die Daten?

Die erhobenen Daten werden auf den Systemen der Amazon Web Services (AWS) LLC,

P.O. Box 81226, Seattle, WA 98108-1226, in der AWS Verfügbarkeitszone „Frankfurt /

Deutschland“ gespeichert. Amazon garantiert, die Daten nicht außerhalb der

Verfügbarkeitszone zu transferieren (http://aws.amazon.com/de/agreement/ §3.2). Die

Rechte an den gehaltenen Daten liegen beim Auftragnehmer und nicht bei Amazon gemäß

http://aws.amazon.com/de/agreement/ §8.1.

Die Amazon Web Services LLC erfüllt EU adäquate Standard- und Datenschutz

Bedingungen (http://aws.amazon.com/de/privacy/ und

http://aws.amazon.com/de/compliance/eu-data-protection/).

Personenbezogene Daten werden nur für die Dauer der Durchführung, Nutzung und

Auswertung des Betriebs der Applikation gespeichert und im Anschluss auf Anforderung des

Auftraggebers gelöscht.

Die Daten werden physisch in Deutschland gespeichert und nicht in Drittländer übertragen.

Amazon hat sich dem Auftragnehmer gegenüber innerhalb einer Datenverarbeitungs-

Vereinbarung zur Wahrung von Datenschutzstandards nach EU Recht verpflichtet. Diese

Verpflichtung unterliegt allerdings der Geheimhaltung. Eine Datenhaltung aller

personenbezogenen Daten innerhalb der Europäischen Union wird von Amazon

Webservices LLC durch das EU-U.S. Privacy Shield oder über Verträge nach EU-

Standardvertragsklauseln garantiert. Zusätzliche Informationen finden Sie hier:

https://blogs.aws.amazon.com/security/post/Tx3QAALRNBIK9K1/Customer-Update-AWS-

and-EU-Safe-Harbor

Page 12: Vereinbarung zum Datenschutz und zur ... - App-Arena.com · App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer - ... 3.1.1 Hosting und

Technische und organisatorische Maßnahmen Seite 11

Weitere Informationen zur AWS Compliance finden Sie hier:

https://aws.amazon.com/de/compliance/

Weitere Informationen zum Rechenzentrum finden Sie hier:

http://aws.amazon.com/de/security/

Automatische Feuerschutzmechanismen und Verhinderungsequipment sind installiert, um

das Risiko zu reduzieren. Die Feuerschutz-Anlage verwendet Rauch Detektoren in allen

Datenverarbeitungs-Umgebungen, mechanischen und elektrischen Infrastruktur Bereichen,

Kühlräumen und Generator und Ausrüstungsräumen. Diese Räume sind durch Wasser-

Leitungen oder Gas-Sprenkleranlagen geschützt. Weitere Details befinden sich im

Sicherheits Whitepaper von Amazon Webservices unter dem Punkt „Physical and

Environmental Security“:

https://d0.awsstatic.com/whitepapers/aws-security-whitepaper.pdf

Welche Datensicherungen werden durchgeführt?

Der komplette Server wird mittels inkrementeller Backups täglich und redundant gesichert.

Alle Sicherungen werden als „Snapshots“ in der Amazon Cloud abgelegt. Im Falle eines

Ausfalls des Servers, kann jederzeit ein Backup des letzten Tages wiederhergestellt werden.

Durch die redundante Sicherung werden die Daten auf mehreren Festplatten parallel

gehalten, weshalb der gleichzeitige physische Defekt von bis zu zwei Festplatten nicht zum

Datenverlust führen wird. Die Backups umfassen sämtliche Code-Dateien sowie alle Daten

der Datenbank.

5.7 Trennungskontrolle

Jede Applikation des Servers verwendet eine getrennte Datenbank, sowie getrennte

Zugriffskonten. Dies garantiert eine erhöhte Sicherheit, da ein unbefugter Dritter, der in

Besitz der Zugriffsdaten einer Applikation gerät, keine Zugriffsrechte für weitere

Applikationen unterschiedlichen Zwecks erlangt.

Daten des Auftraggebers werden durch logische Mandantenkonzepte oder fallweise durch

unterschiedliche (auch virtuelle) Server-Hardware von Daten anderer Auftraggeber getrennt.

Entwicklungs-, Test- und Produktivsystemen sind streng voneinander getrennt.

5.8 Maßnahmen zur Datenlöschung

Wird eine Datenlöschung während der Aktion durch den Auftraggeber angefordert, werden

umgehend und unwiderruflich alle personenbezogenen Daten des Auftraggebers aus allen

verwendeten Datenbanken gelöscht. Ausgenommen hiervon sind Datensicherungen, die für

einen Zeitraum von 30 Tagen vorgehalten werden.

Nach Beendigung des Auftragsverhältnisses hat der Auftragnehmer mit dem Auftrag

zusammenhängende Daten und Unterlagen nach angemessener Frist (max. 1 Jahr) zu

löschen bzw. zu vernichten, sofern keine gesetzlichen Aufbewahrungsfristen gelten.

Page 13: Vereinbarung zum Datenschutz und zur ... - App-Arena.com · App-Arena GmbH Moltkestraße 123 50674 Köln Handelsregister HRB 69676 (AG Köln) - Auftragnehmer - ... 3.1.1 Hosting und

Abschlussklausel Seite 12

5.9 Schutzmaßnahmen für sichere Softwareentwicklung

Für die Entwicklung unserer Software haben alle Entwickler voneinander getrennte Zugänge

zu Code und Datenbank. Zudem wird eine Trennung der Server-Betriebsumgebungen

(Entwicklungsumgebung, Staging-Umgebung und Produktions-Umgebung) betrieben, um

den Zugriff auf Produktionsumgebungen auf ein Minimum an Personen einzuschränken.

Unsere Softwareprodukte durchlaufen eine strenge Versionierung und einen strengen

Deployment-und Test-Prozess zur Qualitätssicherung.

6 Abschlussklausel

Wenn Sie Fragen zu unseren Sicherheitsvorkehrungen haben, freuen wir uns auf Ihr

Feedback. Senden Sie dieses bitte an unseren Datenschutzbeauftragten:

[email protected].

6.1 Sonstiges

1. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

2. Für Nebenabreden ist die Schriftform erforderlich. Dies gilt auch für das Schriftformerfordernis.

6.2 Wirksamkeit der Vereinbarung

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit

der Vereinbarung im Übrigen nicht.

Köln, 25. September 2017

________________________________ ________________________________

Auftraggeber Auftragnehmer, Dr. Hubertus Porschen