DSGVO & Datenschutzvereinbarung

Informationen, die wir bei der Verwendung des Veigel GmbH + Co. KG-Systems sammeln können

Wir können eine Vielzahl von Informationen von oder über Ihr Veigel GmbH + Co. KG-fähiges Fahrzeug sammeln. Die Art der gesammelten und verarbeiteten Informationen variiert je nach Thema. Im Folgenden finden Sie eine nicht erschöpfende Liste von Informationen, die wir sammeln:

 

Telematische Daten vom Fahrzeug on Veigel GmbH + Co. KG Hardware: Um unser Produkt und unsere Dienstleistungen zu verbessern, können wir Telematikdaten sammeln, die sich auf die System- und Fahrzeugleistung, die Nutzung, den Betrieb und den Zustand Ihres Fahrzeugs beziehen, einschließlich, aber nicht beschränkt auf: Fahrzeugidentifikationsnummer, Geschwindigkeitsinformationen, Kilometerstände, Informationen zum Batterieverbrauchsmanagement, Batterieladehistorie, elektrische Systemfunktionen, Softwareversionsinformationen, Infotainmentsystemdaten, sicherheitsrelevante Daten und Kamerabilder, Beschleunigung, Bremsen oder andere sicherheitsrelevante Informationen, Aufzeichnung von Videos und Ton-/Sprach-aufnahmen über das Veigel GmbH + Co. KG System und Hochladen kurzer Video- und Audio- clips, Informationen über die Nutzung der von uns angebotenen Systemfunktionen.

Jede CANbus-Fahrzeugsystemnachricht, die zur Erforschung sicherer autonomer KI beiträgt

Fahrfehler-Daten

 

Veigel GmbH + Co. KG ist jederzeit berechtigt, sicherheits- und fahrfehlerbezogene Daten zu erfassen und zu speichern, die über folgende Methoden übermittelt werden:

 

• Nutzung der Annotationsfunktion in der App
• Verwendung von Audio zur Erkennung von Fahrfehlern
• Hinweis: Audioaufnahmen werden mit den eigenen Smartphones der Nutzer gemacht und nur, wenn sie diese aktivieren. Die Aufnahmen verlassen das Smartphone nicht. Stattdessen werden sie in Text umgewandelt, um Vorfälle zu identifizieren und passende Texte vorzuschlagen. Die Fahrlehrer können die Texte anschließend genehmigen oder bearbeiten.
• Nutzung von Daten aus den Veigel-Doppelpedalen
• Erfassung von starken Bremsvorgängen.

Analysedaten vom Fahrzeug on Veigel GmbH + Co. KG Hardware:: Wir sind möglicherweise in der Lage, uns über das Veigel GmbH + Co. KG System dynamisch mit Ihrem Fahrzeug zu verbinden, um Probleme damit zu diagnostizieren und zu beheben, und dieser Prozess kann den Zugriff auf persönliche Einstellungen im Fahrzeug zur Folge haben (z. B. Kontakte, Browserverlauf und Navigationsverlauf). Wir werden den Zugriff auf persönliche Einstellungen im Fahrzeug nicht speichern oder verwenden. Diese dynamische Verbindung ermöglicht es uns auch, den aktuellen Standort Ihres Fahrzeugs zu sehen, aber dieser Zugriff ist auf eine begrenzte Anzahl von Mitarbeitern innerhalb von Veigel GmbH + Co. KG beschränkt.

Daten zur Sicherheit: Um unsere Produkte und Dienste zu verbessern, können wir weitere Fahrzeugdaten erfassen und speichern, einschließlich: Daten über Unfälle oder unfallähnliche Situationen, in die Ihr Veigel GmbH + Co. KG-fähiges Fahrzeug verwickelt ist (z. B. Airbag-Entfaltung, Kamerasensordaten und -bilder sowie andere aktuelle Sensordaten), Daten über Ferndienste (z. B. Fernverriegelung/-entriegelung, Start/Stopp-Ladung und Hupbefehle), ein Datenbericht zur Bestätigung, dass Ihr Fahrzeug online ist, zusammen mit Informationen über die aktuelle Softwareversion und bestimmte Telematikdaten, Fahrzeug Konnektivitäts Informationen; Daten über alle Probleme, die den Betrieb Ihres Fahrzeugs wesentlich beeinträchtigen könnten; Daten über alle sicherheitskritischen Probleme; und Daten über jedes Software- und Firmware-Update. Wir können solche Informationen entweder persönlich (z. B. während eines Servicetermins) oder über Fernzugriff erfassen.

Erweiterte Funktionen: Wir können Ihnen fortschrittliche Funktionen in Ihrem Veigel GmbH + Co. KG Fahrzeug zur Verfügung stellen, wie z. B. Echtzeit-Verkehr, autonome Fahrfunktionen, die die Straßen Segmentdaten Ihres Fahrzeugs nutzen, und wir können diese Daten mit Partnern in einer nicht persönlich identifizierbaren Weise teilen (z. B. durch Maskierung der Fahrzeug-Identifikationsnummer), um uns bei der Bereitstellung des Dienstes für Sie zu helfen. Wir können auch ähnliche Daten in Verbindung mit anderen Funktionen erfassen, wie z. B. die Navigationsdaten für die Online-Routing-Funktion, und diese Daten in nicht persönlich identifizierbarer Weise an Geschäftspartner weitergeben, wenn dies erforderlich ist, um Ihnen die Funktion zur Verfügung zu stellen. Wir sammeln oder teilen diese Daten auch nur dann, wenn Sie diese Datensammlung aktivieren. Wenn Sie dies tun, kann Ihr Fahrzeug diese Daten an Veigel GmbH + Co. KG und seine Partner senden, auch wenn Sie nicht aktiv eine Funktion nutzen, die diese Informationen benötigt.

 

Anlage 2.2

Auftragsverarbeitungsvereinbarung

Auftrag gemäß Art. 28 DSGVO Vereinbarung

 

zwischen

Kunde

– nachstehend „Auftraggeber“ genannt –

und

Veigel GmbH + Co. KG

– nachstehend „Auftragnehmer“ genannt –

 

 

1.       Gegenstand und Dauer der Verarbeitung

Diese Vereinbarung ist Bestandteil des Vertrages zwischen dem Auftraggeber und dem Auftragnehmer vom Hauptvertrag und konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der im Hauptvertrag vereinbarten Auftragsdatenverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogenen Daten des Auftraggebers verarbeiten.

Die vertraglich vereinbarten Leistungen werden ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht.

 

2.       Konkretisierung des Auftragsinhalts

Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien betroffener Personen:

Gegenstand des Auftrags sowie Art und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag.

Art und Zweck der Verarbeitung, Kategorien der betroffenen Personen und Art der Daten sind in Anlage 1 zu dieser Vereinbarung näher spezifiziert.

Dauer der Verarbeitung:

Die Laufzeit dieser Vereinbarung und die Dauer der Verarbeitung richten sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen dieser Anlage nicht darüber hinausgehende Verpflichtungen ergeben.

3.       Anwendungsbereich und Verantwortlichkeit

3.1.   Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Hauptvertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieser Vertragsbeziehung für die Einhaltung der gesetzlichen Bestimmungen des Datenschutzes, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO).

3.2.   Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in Textform (z.B. E-Mail, Fax, Brief) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). In dringenden Fällen kann der Auftraggeber Weisungen auch mündlich erteilen. Der Auftraggeber bestätigt mündliche Weisungen unverzüglich in Textform. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

3.3.   Die Inhalte dieser Vereinbarung gelten entsprechend, wenn durch den Auftragnehmer für den Auftraggeber die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

4.       Pflichten des Auftragnehmers

4.1.   Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, außer 1. Es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor, 2. dass die Daten eine Anomalie aufweisen, 3. Dass die Daten für die Entwicklung des Systems und der Strassensicherheit notwendig sind. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Auftraggebers gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Europäischen Union oder der Mitgliedsstaaten verstößt. Der Auftragnehmer darf die Umsetzung einer solchen Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

4.2.   Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der der DSGVO genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Die zu treffenden Maßnahmen umfassen insbesondere die in Anlage 2 zu dieser Vereinbarung aufgeführten Maßnahmen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Diese Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragnehmer darf alternative Maßnahmen einsetzen, wenn diese mindestens das Sicherheitsniveau der gemäß Anlage 2 vereinbarten Maßnahmen erreichen.

4.3.   Der Auftragnehmer unterstützt den Auftraggeber auf Anfrage im Rahmen seiner Möglichkeiten mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner (des Auftraggebers) Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Personen nachzukommen. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen auf Anfrage ferner bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten.

4.4.   Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

4.5.   Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft in solchen Fällen die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

4.6.   Der Auftragnehmer gewährleistet, seiner Pflicht nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

4.7.   Der Auftragnehmer ist verpflichtet, nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten des Auftraggebers nach dessen Wahl entweder zu löschen oder zurück zu geben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

5.       Pflichten des Auftraggebers

5.1.   Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen oder bei der Auftragsdatenverarbeitung Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

5.2.   Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftraggeber den Auftragnehmer bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.

5.3.   Wenn der Auftragnehmer wegen der Ausführung einer vom Auftraggeber erteilten Weisung von einem Dritten, der nicht Partei dieses Auftrags ist, insbesondere von einer betroffenen Person in Anspruch genommen wird, ist der Auftraggeber verpflichtet, dem Auftragnehmer die diesem in diesem Zusammenhang entstehenden Schäden zu ersetzen.

5.4.   Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

 

6.       Ansprechpartner und Datenschutzbeauftragter

Ansprechpartner für datenschutzrechtliche Belange, insbesondere berechtigt und zuständig für die Erteilung (auf Seiten des Auftraggebers) bzw. den Empfang (auf Seiten des Auftragnehmers) von Weisungen und Mitteilungen sind:

Auftraggeber:

Kunden-E-Mail

Auftragnehmer:

info@veigel-automotive.de

Für Weisung zu nutzende Kommunikationskanäle:

datenschutz@veigel-automotive.de

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich in Textform die Nachfolger bzw. die Vertreter mitzuteilen.

Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz

Siehe Impressum auf Veigel GmbH + Co. KG.ai oder schreibe: datenschutz@veigel-automotive.de

bestellt. Ein Wechsel des/der Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

7.       Anfragen betroffener Personen

8.       Nachweismöglichkeiten

8.1.   Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.

8.2.   Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.

8.3.   Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses, insbesondere im Zusammenhang mit durchgeführten Kontrollen erlangten Kenntnisse von Betriebsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers streng vertraulich zu behandeln.

9.       Unterauftragsverhältnisse

9.1.   Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung folgender Subunternehmer durchgeführt, insoweit erklärt der Auftraggeber seine Zustimmung:

Amazon Web Services Inc:

• Bereitstellung der Cloud-Infrastruktur
• Data location configured to EU (eu-central-1: Frankfurt, DE)
• Data processing terms for GDPR: https://aws.amazon.com/de/compliance/gdpr-center/
• Server locations: https://aws.amazon.com/de/about-aws/global-infrastructure/regional-product-services/?p=ugi&l=emea

Logshero Ltd.:

• Infrastruktur- und Anwendungs Protokollierung, Metriken und Überwachung
• Data location configured to EU (eu-central-1) Server locations:
• https://docs.logz.io/user-guide/accounts/account-region.html
• Data processing terms: https://logz.io/about-us/terms-of-use/ Paragraph 3 where you can access/request the data processing addendum

io Ltd.:

• Infrastruktur- und Anwendungs Protokollierung
• Data location configured to EU.
• Data processing terms here: https://logit.io/about-us/legal/data-processing-terms/ (incl GDPR).
• Server locations: https://help.logit.io/en/articles/2885343-where-are-logit-s-servers-located
• Raintank Inc. DBA Grafana Labs:
  • Infrastruktur-Metriken und Überwachung
  • Data location configured to EU. (GCP Belgium EU West)
  • Server locations: https://grafana.com/docs/grafana-cloud/account-management/regional-availability/
  • Data processing terms: https://grafana.com/legal/

Google Inc.:

• Zusammenfassung und Auswertung von Ereignissen, Beobachtung von Verhaltensweisen
• Google Analytics data processing terms: https://support.google.com/analytics/answer/3379636?hl=en
• Firebase data processing terms:
• https://firebase.google.com/terms/data-processing-terms/

Auth0® Inc:

• Speicherung von Benutzerprofilen, Zugriffsrechten, Rollen und Berechtigungsnachweisen.
• Data location configured to EU.
• Data processing terms for GDPR: https://auth0.com/docs/secure/data-privacy-and-compliance/gdpr

Vor der Hinzuziehung weiterer oder der Ersetzung vorstehend aufgeführter Subunternehmer informiert der Auftragnehmer den Auftraggeber in Textform. Der Auftraggeber kann der Hinzuziehung weiterer oder der Ersetzung eingesetzter Subunternehmer innerhalb einer Frist von vier Wochen ab Zugang der Mitteilung seitens des Auftragnehmers aus wichtigem datenschutzrechtlichen Grund gegenüber der vom Auftragnehmer bezeichneten Stelle in Textform widersprechen. Erfolgt kein formgerechter Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als erteilt; hierauf und auf die Form und Frist für den Widerspruch wird der Auftragnehmer ausdrücklich in der Mitteilung über die Änderung hinweisen.

 

9.2.   Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen. Der Auftragnehmer ist auf schriftliche Anforderung des Auftraggebers verpflichtet, Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erteilen.

 

9.3.   Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Leistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

 

10.    Kostenerstattung

 

10.1. Soweit die Verpflichtungen aus dieser Vereinbarung lediglich Pflichten des Auftragnehmers aus dem Hauptvertrag konkretisieren (z.B. Bereitstellung bestimmter technischer und organisatorischer Maßnahmen), erbringt der Auftragnehmer diese Leistungen kostenlos.

 

10.2. Sämtliche weitergehenden Aufwände, die dem Auftragnehmer auf Grundlage dieser Vereinbarung entstehen, werden vom Auftraggeber nach tatsächlichem Aufwand unter Zugrundelegung eines Stundensatzes in Höhe von 100 EUR erstattet, dies gilt insbesondere für sämtliche Aufwände, die dem Auftragnehmer im Zusammenhang mit der Erfüllung seiner Pflichten nach Ziff. 6. und 7. dieser Vereinbarung entstehen.

 

10.3. Für die Abrechnung und Rechnungsstellung gelten die Bestimmungen des Hauptvertrages entsprechend.

 

11.    Allgemeine Bestimmungen

11.1. Änderungen und Ergänzungen sowie die Aufhebung der Vereinbarung zur Auftragsdatenverarbeitung oder dieser Bedingungen bedürfen zu ihrer Wirksamkeit der Textform und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für die Aufhebung des Textformerfordernisses selbst.

11.2. Sollte eine Bestimmung des Vertrags oder dieser Bedingungen ganz oder teilweise unwirksam sein oder werden oder der Vertrag eine Lücke enthalten, bleibt die Rechtswirksamkeit der übrigen Bestimmungen hiervon unberührt. Anstelle der unwirksamen Bestimmungen werden die Vertragsparteien eine Regelung vereinbaren, die dem von den Vertragsparteien Gewollten wirtschaftlich am nächsten kommt.

 

11.3. Erfüllungsort der Sitz des Auftragnehmers.

11.4. Sofern der Auftraggeber Vollkaufmann, juristische Person des öffentlichen Rechts oder öffentlich rechtliches Sondervermögen ist oder der Vertrag Auslandsbezug aufweist, wird für alle Streitigkeiten, die sich aus oder im Zusammenhang mit der zwischen den Parteien vereinbarten Auftragsdatenverarbeitung ergeben, der Sitz des Auftragnehmers als Gerichtsstand vereinbart.

 

Anlage 1: Art und Zweck der Verarbeitung, Kategorien der betroffenen Personen und Art der Daten

Dieser Anhang beschreibt die technischen und organisatorischen Sicherheitsmaßnahmen des Auftraggebers sowie des Rechenzentrums des Betreibers des Rechenzentrums.

1. Vertraulichkeit

Zutrittskontrolle

Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren:

• Zutritt in die Büroräumlichkeiten des Auftraggebers ist nur mit Schlüssel (Sicherheitsschlösser) für zutrittsberechtigte Mitarbeiter möglich
• Büroräumlichkeiten des Auftraggebers sind durch Alarmsystem und 24/7 Aufschaltung zum Wachschutz gesichert
• EDV-Raum innerhalb der Büroräumlichkeiten ist verschlossen, der Zutritt ist ebenfalls nur mit Schlüsseln für zutrittsberechtigte Mitarbeiter möglich
• elektronisches Zutrittskontrollsystem mit Protokollierung im Rechenzentrum
• Hochsicherheitszaun um den gesamten Datacenter-Park des Rechenzentrums
• dokumentierte Schlüsselvergabe an Mitarbeiter
• Richtlinien zur Begleitung und Kennzeichnung von Gästen im Rechenzentrum
• 24/7 personelle Besetzung des Rechenzentrums
• Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen im Rechenzentrum
•  

Zugangskontrolle

Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (einschließlich Verschlüsselungsverfahren):

 

• Passwortverfahren: Jeder Benutzererkennung hat ein eigenes Passwort
• Die Systeme sind gegen unberechtigten Zugang durch Passwörter geschützt
• Verbindliche Verfahren zur Rücksetzung vergessener Passwörter
• Mitarbeiter-Arbeitsplätze/Notebooks haben benutzereigene Konten mit Passwort
• In der Softwareanwendung ist ein Rollen- und Berechtigungskonzept integriert

Zugriffskontrolle

Maßnahmen, um zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (einschließlich Verschlüsselungsverfahren):

• Regelung der Benutzerberechtigung: nur berechtigte Personen haben Zugang
• Integriertes Rollenkonzept
• Durch Sicherheitsupdates wird sichergestellt, dass unberechtigte Zugriffe verhindert werden
• Verbindliche Verfahrensrichtlinien zur Vergabe von Berechtigungen
• Die Kommunikationswege sind durch SSL-Verschlüsselung gesichert

Trennungskontrolle

Maßnahmen, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können

• Betrieb einer mandatenfähigen Datenbank
• Getrennte Verarbeitung von Daten

2. Integrität

Weitergabekontrolle

Maßnahmen, um zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (einschließlich Verschlüsselungsverfahren):

• Schutz der Datenleitungen, die bei der Übertragung genutzt werden, durch Verwendung von dem jeweiligen Stand der Technik entsprechenden Firewalls und sichere Verschlüsselungsmethoden
• SSL-Verschlüsselung bei Übertragung sämtlichen Daten
• Überprüfung der Datenübertragung auf Vollständigkeit und Richtigkeit (end-to-end check)

Eingabekontrolle

Maßnahmen, um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

• Nachweis der Bearbeitungsbefugnisse innerhalb des Unternehmens
• Protokollierung zwecks Überwachung und Verfolgung sämtlicher Datenzugriffe
• Sperrungen des Zugriffs aus rechtlichen oder technischen Gründen

3. Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

Maßnahmen, um zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

• Bereithaltung eines Backups für eine Wiederherstellung des Datenbankservers
• Feste Zeitintervalle in denen Backups durchgeführt werden
• Einsatz unterbrechungsfreier Stromversorgung im Rechenzentrum
• Betrieb der Cloud als Hochverfügbarkeitssystem
• Permanente Überwachung der Funktionalität der Hardware

• Rasche Widerherstellbarkeit:
• Regelmäßige Kontrolle von Backups und testweise Widerherstellung
•  

4. Auftragskontrolle

Maßnahmen, um zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:

• Weisungen haben grundsätzlich in Textform zu erfolgen. Mündliche Weisungen des Auftraggebers sind in Textform zu bestätigen
• Mitarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen
• Unterauftragsverhältnisse werden schriftlich beauftragt