Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Vereinbarung zum Datenschutz und zur Datensicherheit in
Auftragsverhältnissen nach §11 BDSG sowie nach Art. 28 und Art. 29
DSGVO
zwischen
Unternehmensname
Musterstraße 1
12345 Musterstadt
Deutschland
- Auftraggeber -
und
App-Arena GmbH
Moltkestraße 123
50674 Köln
Handelsregister HRB 69676 (AG Köln)
- Auftragnehmer -
Gegenstand der Vereinbarung Seite 1
Inhaltsverzeichnis 1 Gegenstand der Vereinbarung ........................................................................................2
2 Rechte und Pflichten des Auftraggebers .........................................................................3
3 Pflichten des Auftragnehmers .........................................................................................4
3.1 Beauftragte Subunternehmer ...................................................................................5
4 Verarbeitungstätigkeit nach Art. 30 DSGVO ....................................................................6
4.1 Registrierung innerhalb der Applikation ....................................................................6
4.2 Versand von E-Mail Nachrichten ..............................................................................7
4.3 Verarbeitung bei Aktivierung von Dritt-Anbieter Integrationenen ..............................7
5 Technische und organisatorische Maßnahmen ...............................................................7
5.1 Zutrittskontrolle .........................................................................................................8
5.2 Zugangskontrolle ......................................................................................................8
5.3 Zugriffskontrolle ........................................................................................................9
5.4 Weitergabekontrolle .................................................................................................9
5.5 Eingabekontrolle .................................................................................................... 10
5.6 Verfügbarkeitskontrolle ........................................................................................... 10
5.7 Trennungskontrolle ................................................................................................ 11
5.8 Maßnahmen zur Datenlöschung ............................................................................ 11
5.9 Schutzmaßnahmen für sichere Softwareentwicklung ............................................. 12
6 Abschlussklausel ........................................................................................................... 12
6.1 Sonstiges ............................................................................................................... 12
6.2 Wirksamkeit der Vereinbarung ............................................................................... 12
Gegenstand der Vereinbarung Seite 2
1 Gegenstand der Vereinbarung
1. Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene Daten im Auftrag des
Auftraggebers.
2. Der Auftrag umfasst Folgendes:
2.1 Gegenstand des Auftrages (Definition der Aufgaben):
Durchführung von kleinen Online-Spielen auf den Servern von App-Arena (z. B.
Pairs, etc.)
Dies umfasst das Hosting dieser Spiele sowie die Bereitstellung einer
Weboberfläche zur Gestaltung, Bereitstellung und Pflege der Spiele, sowie die
Nutzerverwaltung der Spieler (in der Regel Kunden des Auftraggebers).
2.2 Dauer des Auftrages
2.2.1 Dieser Vertrag wird auf unbestimmte Zeit geschlossen. Die Laufzeit dieses
Vertrages richtet sich nach der Laufzeit der vom Auftragnehmer bereitgestellten
Online-Spiele.
2.2.2 Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist
kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die
Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des
Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des
Auftraggebers vertragswidrig verweigert.
2.3 Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung
Die Verarbeitung und Nutzung personenbezogener Daten im Auftrag erfolgt
ausschließlich zweckgebunden nach Maßgabe des BDSG, den dieser Vereinbarung
zu Grunde liegenden Bestellungen, den Regelungen dieser Vereinbarung und den
Weisungen des Auftraggebers.
Der Zweck besteht in der Durchführung von kurzen, einfachen Online-Spielen durch
Kunden/Geschäftspartner des Auftraggebers.
2.4 Art der Daten
Neben der IP-Adresse, E-Mail-Adresse sowie einem personenbezogenen Anmelde-
Cookies (Session-Cookie) werden weitere personenbezogene Daten erfasst. Die Art
der erhobenen Daten wird durch den Auftraggeber eigenständig konfiguriert.
Das können sein:
• E-Mail-Adresse
• Vorname, Name (optional)
• Kontaktdaten (optional)
• Facebook-ID (optional bei Registrierung/Anmeldung über das Facebook-
Account)
Rechte und Pflichten des Auftraggebers Seite 3
• Systemprotokolldaten (IP-Adresse, Timestamp, Standortdaten etc.)
2.5 Kreis der Betroffenen
Webseiten- und Facebook Fanpage-Besucher des Auftraggebers, Besucher der
Kampagnen-Seite der Web-Applikation
2 Rechte und Pflichten des Auftraggebers
1. Für die Beurteilung der Zulässigkeit der Datenerhebung / -verarbeitung / -nutzung sowie
für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich.
2. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des
Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen
und schriftlich festzulegen.
3. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Die schriftliche
Bestätigung der mündlichen Weisungen sollte von Auftraggeber und Auftragnehmer
zusammen mit der Mustervereinbarung so aufbewahrt werden, dass alle maßgeblichen
Regelungen jederzeit verfügbar sind.
Weisungsberechtigte Personen des Auftraggebers sind:
Max Mustermann, Beispielunternehmen GmbH, Musterstr. 123, 12345 Musterstadt
Weisungsempfänger beim Auftragnehmer sind:
Dr. Hubertus Porschen, App-Arena GmbH, Moltkestraße 123, 50674 Köln
Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist
dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter
mitzuteilen. Falls Weisungen dieses Vertrages getroffene Festlegungen ändern,
aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue
Festlegung erfolgt.
4. Der Auftraggeber ist berechtigt, sich vor Beginn der Datenverarbeitung und sodann
regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und
organisatorischen Maßnahmen zu überzeugen. Der dem Auftragsnehmer entstehende
Arbeitsaufwand durch die Kontrollen, wird dem Auftraggeber mit einem angemessenen
Stundensatz in Rechnung gestellt.
5. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder
Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
6. Der Auftraggeber und der Auftragnehmer sind verpflichtet, alle im Rahmen des
Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und
Datensicherheitsmaßnahmen der anderen Partei vertraulich zu behandeln. Die
Pflichten des Auftragnehmers Seite 4
Vertragspartner legen die von ihnen eingegangenen Verpflichtungen zur Geheimhaltung
und zum Datenschutz auch allen Personen oder Gesellschaften auf, die von ihnen im
Rahmen der Zusammenarbeit beauftragt werden.
3 Pflichten des Auftragnehmers
1. Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag
verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener
sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten
wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den
Auftraggeber weiterleiten. Der Auftragnehmer verwendet die zur Datenverarbeitung
überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien
oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Explizit
ausgenommen sind Datensicherungen.
2. Der Auftragnehmer hat insbesondere folgende Kontrollen durchzuführen:
Die unter „§5 Technische und organisatorische Maßnahmen“ genannten
Kontrollhandlungen.
3. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt
werden, werden besonders gekennzeichnet und unterliegen der laufenden -
automatisierten - Verwaltung. Eingang und Ausgang werden dokumentiert.
4. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von
personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten
Maßnahmen zu.
5. Der Auftragnehmer macht den Auftraggeber unverzüglich darauf aufmerksam, wenn eine
vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften
verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden
Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber
bestätigt oder geändert wird.
6. Die Verarbeitung von Daten in Privatwohnungen ist nur mit Zustimmung des
Auftraggebers im Einzelfall und nur durch die vertretungsberechtigten Geschäftsführer
des Auftragnehmers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet
werden, ist der Zugang zur Wohnung durch den Auftraggeber vorher mit dem
Auftragnehmer abzustimmen. Der Auftragnehmer sichert zu, dass auch die anderen
Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.
7. Die Speicherung der Daten findet ausschließlich im Gebiet der Bundesrepublik
Deutschland statt. Die Datenspeicherung in einem Mitgliedsstaat der Europäischen
Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum bedarf der vorherigen Zustimmung des Auftraggebers. Jede
Verlagerung in ein Drittland hängt ebenfalls von der Zustimmung des Auftraggebers ab
und darf nur dann erfolgen, wenn zusätzlich die besonderen Voraussetzungen der §§ 4b,
Pflichten des Auftragnehmers Seite 5
4c BDSG erfüllt sind.
8. Zum Datenschutzbeauftragten bestellt wurde Valentin Klein.
9. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der
personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren.
10. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen
Vorschriften des BDSG sowie der DSGVO bekannt sind.
Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten
beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden
Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis
schriftlich verpflichtet. Der Auftragnehmer überwacht die Einhaltung der hier
angegebenen datenschutzrechtlichen Vorschriften.
11. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger
schriftlicher Zustimmung durch den Auftraggeber erteilen.
3.1 Beauftragte Subunternehmer
Die Beauftragung von Subunternehmern ist dem Auftraggeber in Textform mitzuteilen und
darf nur nach vorheriger Zustimmung des Auftraggebers in Textform erfolgen. Der
Auftragnehmer sichert zu, dass alle beauftragten Subunternehmer, welche Daten im Auftrag
erheben, verarbeiten oder speichern, ebenfalls die Verpflichtungen nach §11 BDSG oder
EU-Richtlinie 95/46/EG (durch Anwendung der EU-Standardvertragsklauseln bei
Unterauftragnehmern in Drittländern) erfüllen. Der Auftragnehmer sichert weiterhin zu, dass
die vereinbarten Regelungen zwischen ihm und dem Auftraggeber uneingeschränkt auch
gegenüber den Subunternehmern gelten.
Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen
zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der
Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen,
Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Der Auftragnehmer ist
jedoch verpflichtet, zur Sicherstellung des Schutzes und der Sicherheit der Daten des
Auftraggebers Contact auch bei fremd vergebenen Nebenleistungen angemessene und
gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu
ergreifen.
Zurzeit sind folgende Subunternehmer mit der Erhebung, Speicherung oder Verarbeitung
von Daten beauftragt
3.1.1 Hosting und Server-Infrastruktur
1) Amazon Web Services (siehe §5.6 Verfügbarkeitskontrolle)
Beauftragt für: Bereitstellen der Server-Infrastruktur (Hosting)
Verarbeitungstätigkeit nach Art. 30 DSGVO Seite 6
3.1.2 E-Mail Versand
1) Optivo GmbH, Wallstraße 16, 10179 Berlin
Beauftragt für: Versand von E-Mails
2) Amazon Web Services (siehe §5.6 Verfügbarkeitskontrolle)
Beauftragt für: Versand von E-Mails
3.1.3 Optionale Integrationen von Drittanbietern-Systemen
Der Auftraggeber hat innerhalb des Einrichtungsprozesses seiner Web-Applikation die
Möglichkeit Integrationen zur Datenweitergabe zu Drittanbietern zu aktivieren (z.B.
Mailchimp, Salesforce, …). Diese Integrationen sind gemäß Art. 25 DSGVO standardmäßig
deaktiviert (“Privacy by default”). Aktiviert der Auftraggeber eine solche Integration werden
personenbezogene Daten an Drittanbieter weitergereicht und dort verarbeitet.
Der Auftragnehmer hat mit diesen Drittanbietern keine Auftragsdatenverarbeitungsverträge
gemäß dieser Vereinbarung, weshalb der Auftragnehmer für die Wahrung der Vorschriften
dieser Vereinbarung bei Aktivierung von Integrationen mit Drittanbietern keine Gewähr
übernimmt und diese ab Übermittlung der Daten an den Drittanbieter nicht mehr garantiert.
4 Verarbeitungstätigkeit nach Art. 30 DSGVO
Bei Benutzung der Applikationen des Auftragnehmers werden die im Folgenden gelisteten
Datenverarbeitungstätigkeiten durchgeführt:
1. Registrierung innerhalb der Applikation
2. Versand von E-Mail Nachrichten
3. Verarbeitung bei Aktivierung von Dritt-Anbieter Integrationenen
4.1 Registrierung innerhalb der Applikation
Registriert ein Besucher sich zur Teilnahme in einer Applikation, werden personenbezogene
Daten des Besuchers abgefragt und verarbeitet.
Datenkategorien Siehe §1 Abs. 2.4 Art der Daten Betroffene Personen Siehe §1 Abs. 2.5 Kreis der Betroffenen Zwecke Siehe §1 Abs. 2.3 Umfang, Art und Zweck der
Datenerhebung, -verarbeitung oder -nutzung Rechtsgrundlage Art. 6 Abs. 1 lit. a, § 7 Abs. 2 Nr. 3 UWG (Einwilligung) Datenquelle: Registrierung zur Teilnahme, ausdrückliche Einwilligung,
DOI-Verfahren bei aktiver Newsletter-Registrierung. Information der Betroffenen:
Datenschutzerklärung innerhalb der Applikation (wenn vom Auftraggeber aktiviert)
Empfänger: Siehe §3.1.1 Hosting und Server-Infrastruktur Löschung: Siehe §5.9 Schutzmaßnahmen für sichere
Softwareentwicklung Schutzmaßnahmen Siehe §5 Technische und organisatorische Maßnahmen
Technische und organisatorische Maßnahmen Seite 7
4.2 Versand von E-Mail Nachrichten
Nach einer Registrierung des Besuchers innerhalb der Applikation kann ein für die
Applikation notwendiger E-Mail Versand erforderlich werden (z.B. Aktivierung des
registrierten Benutzerkontos, Versand einer Double-Opt-In E-Mail, …). Für den Versand von
E-Mails wird
Datenkategorien Siehe §1 Abs. 2.4 Art der Daten Betroffene Personen Siehe §1 Abs. 2.5 Kreis der Betroffenen Zwecke Siehe §1 Abs. 2.3 Umfang, Art und Zweck der
Datenerhebung, -verarbeitung oder -nutzung Rechtsgrundlage Art. 6 Abs. 1 lit. a, § 7 Abs. 2 Nr. 3 UWG (Einwilligung) Datenquelle: Anmeldung zum Newsletter, Ausführung von App-
Aktionen (z.B. Foto hochgeladen, Aktivieren der Erinnerungsfunktion, …)
Information der Betroffenen:
Datenschutzerklärung innerhalb der Applikation (wenn vom Auftraggeber aktiviert)
Empfänger: Siehe §3.1.2 E-Mail Versand Löschung: Siehe §5.9 Schutzmaßnahmen für sichere
Softwareentwicklung Schutzmaßnahmen Siehe §5 Technische und organisatorische Maßnahmen
4.3 Verarbeitung bei Aktivierung von Dritt-Anbieter Integrationenen
Die aktivierten Integrationen werden durch den Auftraggeber eigenständig aktiviert. Die
Sicherstellung der Verarbeitung personenbezogener Daten gemäß den Bedingungen dieser
Vereinbarung wird durch den Auftragnehmer nicht übernommen, da keine Rahmenverträge
mit Drittanbietern außerhalb der aufgefährten Liste unter §3.1 Beauftragte Subunternehmer
existieren.
5 Technische und organisatorische Maßnahmen
Die hier aufgeführten Maßnahmen richten sich nach §9 BDSG, sowie Art. 5 Abs. 1 f)
DSGVO, Art. 24 DSGVO, Art. 25 DSGVO, Art. 32 DSGVO, Art. 35 DSGVO, Art. 36 DSGVO
1. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er
gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen
Datensicherheitsmaßnahmen.
2. Die technischen und organisatorischen Maßnahmen können im Laufe des
Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung
angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren.
3. Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen
des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.
Technische und organisatorische Maßnahmen Seite 8
4. Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des
Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche
Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf
Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung
personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle
Informationspflichten des Auftraggebers nach § 42a BDSG sowie Art. 4 DSGVO, Art. 12
DSGVO, Art. 33 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber bei seinen
Pflichten nach § 42a BDSG sowie Art. 4 DSGVO, Art. 12 DSGVO, Art. 33 DSGVO zu
unterstützen.
5.1 Zutrittskontrolle
Jedem Mitarbeiter des Auftragnehmers werden ein Schlüssel für das Gebäude sowie ein
Schlüssel zu seinem jeweiligen Büro ausgehändigt. Jeder einzelne unterschreibt bei Erhalt
der Schlüssel, dass er keinen der Schlüssel an Dritte weiterreicht und es unverzüglich
meldet, sollte er seine Schlüssel verlieren. Unbefugten wird der Zutritt zu
Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt
werden, somit nicht ermöglicht.
Das Rechenzentrum von Amazon erfüllt die DIN ISO/IEC 27001 und 27018-Zertifizierung
und ermöglich Zutritt nur für autorisiertes Fachpersonal des Rechenzentrums.
5.1.1 Physische Zutrittskontrolle zum Rechenzentrum
Der Zutritt zum Rechenzentrum wird durch physische Kontrollen mittels elektronischer Foto-
ID Ausweise sowie durch Sicherheitspersonal durchgeführt. Alle Zutrittspunkte des
Rechenzentrums sind videoüberwacht und jeder Zutritt wird aufgezeichnet. Besucher
erhalten nur nach ausreichender Identifizierung und mit ausreichendem Anlass Zutritt und
werden zu jeder Zeit in den Räumlichkeiten des Rechenzentrums durch einen
Sicherheitsmitarbeiter eskortiert.
Weitere Informationen zu den Sicherheitsprozessen des Amazon Webservices
Rechenzentrums finden Sie hier:
• http://aws.amazon.com/de/security/
• https://d0.awsstatic.com/whitepapers/aws-security-whitepaper.pdf
• https://cert.webtrust.org/pdfs/soc3_amazon_web_services.pdf
• https://d0.awsstatic.com/whitepapers/compliance/AWS_Risk_and_Compliance_White
paper.pdf
5.2 Zugangskontrolle
Die Übertragung von Passwort und Nutzerdaten erfolgt ausschließlich über verschlüsselte
https-Verbindungen. Der Zugriff auf den Server erfolgt via verschlüsselter SSH-Verbindung
und privater Schlüsseldatei. Der Zugang zur Datenbank wird ebenfalls über die
verschlüsselte SSH-Verbindung hergestellt.
Technische und organisatorische Maßnahmen Seite 9
Der Zugang zur Datenverarbeitungsanlage ist durch das Rechenzentrum von Amazon
Webservices geregelt. Weiter Informationen zum DIN ISO/IEC 27001 zertifizierten
Rechenzentrum finden Sie hier:
http://aws.amazon.com/de/security/
Und ein Whitepaper hier:
https://d0.awsstatic.com/whitepapers/aws-security-whitepaper.pdf
5.3 Zugriffskontrolle
Sollte innerhalb der genutzten Applikation eine Schnittstelle zum Export von
personenbezogenen Daten bestehen, ist der Zugriff durch einen oder mehrere im
Konfigurationsprozess der Applikation festgelegte Administratoren zugänglich - nur bei
Bedarf für den zuständigen Mitarbeiter. Die Export-Funktion wird in diesem Fall nur für
Nutzer freigeschaltet, die explizit durch Mitarbeiter des Auftraggebers aufgeführt sind.
Es werden keine personenbezogenen Daten auf Facebook-Servern gespeichert.
Personenbezogene Daten werden – wenn vom Nutzer der Applikationen gewünscht – vom
Facebook Account des Nutzers ausgelesen und in die Datenverarbeitungsanlagen unter
Kontrolle des Auftragnehmers über eine verschlüsselte Verbindung übertragen.
Zugriff auf den Server
Der Zugriff auf den Server ist ausschließlich Mitarbeitern der App-Arena GmbH vorenthalten.
Der Zugriff auf den Server erfolgt über eine private Schlüsseldatei (Private Key File). Jeder
Mitarbeiter des Auftragnehmers erhält eine eigene Schlüsseldatei. Schlüsseldateien werden
ausschließlich an Mitarbeiter des Auftragnehmers vergeben.
Zugriff auf die Datenbank
Der Zugriff auf die Datenbank ist durch Nutzername und Kennwort geschützt. Jede App hat
einen eigenen Nutzernamen und ein eigenes Kennwort, sodass der Zugriff ausschließlich
durch den vorgesehenen Nutzer erfolgt. Nutzername und Kennwort der Datenbank sind,
soweit nicht anders vereinbart, nur den zuständigen Mitarbeitern des Auftragnehmers
zugänglich.
5.4 Weitergabekontrolle
Die Identifizierung und Authentifizierung von Nutzern erfolgt über die Facebook Schnittstelle.
Facebook nutzt die zeitgemäße OAuth 2.0 Technik, um die Nutzerdaten bei der
Datenübertragung an den Servern des Auftragnehmers zu verschlüsseln und eine
Authentifizierung sicherzustellen. Der Nutzer wird über seine Facebook User Id, seine E-
Mail-Adresse oder Telefonnummer identifiziert. Sämtliche Applikationen werden mit einem
SSL-Zertifikat angeboten, sodass die Datenübertragung mit den Servern des
Auftragnehmers verschlüsselt abläuft. Die Daten werden im Falle einer Verwendung
verschlüsselt an den Server des Auftragnehmers übertragen und gespeichert, soweit der
oben genannte Betriebszweck der Applikation dies erfordert.
Eine Übertragung personenbezogener Daten erfolgt aufgrund folgender Aktionen:
Technische und organisatorische Maßnahmen Seite 10
• Der Nutzer authentifiziert sich über E-Mail-Adresse und Passwort. Die Daten werden
verschlüsselt an den Server des Auftragnehmers übertragen.
• Der Nutzer authentifiziert die Facebook App zum Zugriff auf personenbezogene
Daten. Die Daten werden im Falle einer Verwendung verschlüsselt an den Server des
Auftragnehmers übertragen und gespeichert, soweit der Betriebszweck der
Applikation dies erfordert.
• Eine als Administrator der Applikation gekennzeichnete Person fordert
personenbezogene Teilnehmerdaten über einen zugriffsgeschützten Mechanismus
innerhalb der Applikation an. Diese werden verschlüsselt vom Server an den
Administrator übermittelt.
5.5 Eingabekontrolle
Durch die eingesetzte Applikation werden Nutzer- wie auch Administrator-Aktivitäten auf
Benutzerebene protokolliert. Die Abfrage personenbezogener Daten sowie Aktivitäten
innerhalb der Applikation werden vom Server protokolliert. Es werden die IP-Adresse sowie
der Zeitpunkt der getätigten Systemaktivität gespeichert. Die genaue Systemaktivität des
Nutzers hängt von der eingesetzten Applikation sowie von den vom Auftraggeber getätigten
Einstellungen der Applikation ab.
5.6 Verfügbarkeitskontrolle
Wo liegen die Daten?
Die erhobenen Daten werden auf den Systemen der Amazon Web Services (AWS) LLC,
P.O. Box 81226, Seattle, WA 98108-1226, in der AWS Verfügbarkeitszone „Frankfurt /
Deutschland“ gespeichert. Amazon garantiert, die Daten nicht außerhalb der
Verfügbarkeitszone zu transferieren (http://aws.amazon.com/de/agreement/ §3.2). Die
Rechte an den gehaltenen Daten liegen beim Auftragnehmer und nicht bei Amazon gemäß
http://aws.amazon.com/de/agreement/ §8.1.
Die Amazon Web Services LLC erfüllt EU adäquate Standard- und Datenschutz
Bedingungen (http://aws.amazon.com/de/privacy/ und
http://aws.amazon.com/de/compliance/eu-data-protection/).
Personenbezogene Daten werden nur für die Dauer der Durchführung, Nutzung und
Auswertung des Betriebs der Applikation gespeichert und im Anschluss auf Anforderung des
Auftraggebers gelöscht.
Die Daten werden physisch in Deutschland gespeichert und nicht in Drittländer übertragen.
Amazon hat sich dem Auftragnehmer gegenüber innerhalb einer Datenverarbeitungs-
Vereinbarung zur Wahrung von Datenschutzstandards nach EU Recht verpflichtet. Diese
Verpflichtung unterliegt allerdings der Geheimhaltung. Eine Datenhaltung aller
personenbezogenen Daten innerhalb der Europäischen Union wird von Amazon
Webservices LLC durch das EU-U.S. Privacy Shield oder über Verträge nach EU-
Standardvertragsklauseln garantiert. Zusätzliche Informationen finden Sie hier:
https://blogs.aws.amazon.com/security/post/Tx3QAALRNBIK9K1/Customer-Update-AWS-
and-EU-Safe-Harbor
Technische und organisatorische Maßnahmen Seite 11
Weitere Informationen zur AWS Compliance finden Sie hier:
https://aws.amazon.com/de/compliance/
Weitere Informationen zum Rechenzentrum finden Sie hier:
http://aws.amazon.com/de/security/
Automatische Feuerschutzmechanismen und Verhinderungsequipment sind installiert, um
das Risiko zu reduzieren. Die Feuerschutz-Anlage verwendet Rauch Detektoren in allen
Datenverarbeitungs-Umgebungen, mechanischen und elektrischen Infrastruktur Bereichen,
Kühlräumen und Generator und Ausrüstungsräumen. Diese Räume sind durch Wasser-
Leitungen oder Gas-Sprenkleranlagen geschützt. Weitere Details befinden sich im
Sicherheits Whitepaper von Amazon Webservices unter dem Punkt „Physical and
Environmental Security“:
https://d0.awsstatic.com/whitepapers/aws-security-whitepaper.pdf
Welche Datensicherungen werden durchgeführt?
Der komplette Server wird mittels inkrementeller Backups täglich und redundant gesichert.
Alle Sicherungen werden als „Snapshots“ in der Amazon Cloud abgelegt. Im Falle eines
Ausfalls des Servers, kann jederzeit ein Backup des letzten Tages wiederhergestellt werden.
Durch die redundante Sicherung werden die Daten auf mehreren Festplatten parallel
gehalten, weshalb der gleichzeitige physische Defekt von bis zu zwei Festplatten nicht zum
Datenverlust führen wird. Die Backups umfassen sämtliche Code-Dateien sowie alle Daten
der Datenbank.
5.7 Trennungskontrolle
Jede Applikation des Servers verwendet eine getrennte Datenbank, sowie getrennte
Zugriffskonten. Dies garantiert eine erhöhte Sicherheit, da ein unbefugter Dritter, der in
Besitz der Zugriffsdaten einer Applikation gerät, keine Zugriffsrechte für weitere
Applikationen unterschiedlichen Zwecks erlangt.
Daten des Auftraggebers werden durch logische Mandantenkonzepte oder fallweise durch
unterschiedliche (auch virtuelle) Server-Hardware von Daten anderer Auftraggeber getrennt.
Entwicklungs-, Test- und Produktivsystemen sind streng voneinander getrennt.
5.8 Maßnahmen zur Datenlöschung
Wird eine Datenlöschung während der Aktion durch den Auftraggeber angefordert, werden
umgehend und unwiderruflich alle personenbezogenen Daten des Auftraggebers aus allen
verwendeten Datenbanken gelöscht. Ausgenommen hiervon sind Datensicherungen, die für
einen Zeitraum von 30 Tagen vorgehalten werden.
Nach Beendigung des Auftragsverhältnisses hat der Auftragnehmer mit dem Auftrag
zusammenhängende Daten und Unterlagen nach angemessener Frist (max. 1 Jahr) zu
löschen bzw. zu vernichten, sofern keine gesetzlichen Aufbewahrungsfristen gelten.
Abschlussklausel Seite 12
5.9 Schutzmaßnahmen für sichere Softwareentwicklung
Für die Entwicklung unserer Software haben alle Entwickler voneinander getrennte Zugänge
zu Code und Datenbank. Zudem wird eine Trennung der Server-Betriebsumgebungen
(Entwicklungsumgebung, Staging-Umgebung und Produktions-Umgebung) betrieben, um
den Zugriff auf Produktionsumgebungen auf ein Minimum an Personen einzuschränken.
Unsere Softwareprodukte durchlaufen eine strenge Versionierung und einen strengen
Deployment-und Test-Prozess zur Qualitätssicherung.
6 Abschlussklausel
Wenn Sie Fragen zu unseren Sicherheitsvorkehrungen haben, freuen wir uns auf Ihr
Feedback. Senden Sie dieses bitte an unseren Datenschutzbeauftragten:
6.1 Sonstiges
1. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
2. Für Nebenabreden ist die Schriftform erforderlich. Dies gilt auch für das Schriftformerfordernis.
6.2 Wirksamkeit der Vereinbarung
Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit
der Vereinbarung im Übrigen nicht.
Köln, 25. September 2017
________________________________ ________________________________
Auftraggeber Auftragnehmer, Dr. Hubertus Porschen