Datenschutzerklärung

Datenschutzerklärung

Grundlegendes

 

Diese Datenschutzerklärung soll die Nutzer dieser Website über die Art, den Umfang und den Zweck der Erhebung und Verwendung personenbezogener Daten durch den Websitebetreiber informieren.

Verantwortlich für diese Website:

Heiko Zeh

Der Websitebetreiber nimmt Ihren Datenschutz sehr ernst und behandelt Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Vorschriften. Da durch neue Technologien und die ständige Weiterentwicklung dieser Webseite Änderungen an dieser Datenschutzerklärung vorgenommen werden können, empfehlen wir Ihnen sich die Datenschutzerklärung in regelmäßigen Abständen wieder durchzulesen.

Definitionen der verwendeten Begriffe (z.B. “personenbezogene Daten” oder “Verarbeitung”) finden Sie in Art. 4 DSGVO.

Arten der betroffenen Daten:

Bestandsdaten (Namen usw.)

Kontakdaten  (Namen, e-mail, usw.)

Inhaltsangaben (Texte, Fotos, Videos usw.)

Nutzungsdaten  (interesse an Inhalten usw.)

Kommunikationsdaten (z.B. IP-Adressen usw.)

Betroffene Personen:

Nutzer des Onlineinhaltes.

Zweck der Verarbeitung

  • Zurverfügungstellung des Onlineangebotes, seiner Funktionen und Inhalte
  • Beantwortung von Kontaktanfragen und Kommunikation mit Nutzern
  • Sicherheitsmaßnahmen
  • Reichweitenmessung/Marketing

Zugriffsdaten

Wir, der Websitebetreiber bzw. Seitenprovider, erheben aufgrund unseres berechtigten Interesses (s. Art. 6 Abs. 1 lit. f. DSGVO) Daten über Zugriffe auf die Website und speichern diese als „Server-Logfiles“ auf dem Server der Website ab. Folgende Daten werden so protokolliert:

  • Besuchte Website
  • Uhrzeit zum Zeitpunkt des Zugriffes
  • Menge der gesendeten Daten in Byte
  • Quelle/Verweis, von welchem Sie auf die Seite gelangten
  • Verwendeter Browser
  • Verwendetes Betriebssystem
  • Verwendete IP-Adresse

Die Server-Logfiles werden für maximal 7 Tage gespeichert und anschließend gelöscht. Die Speicherung der Daten erfolgt aus Sicherheitsgründen, um z. B. Missbrauchsfälle aufklären zu können. Müssen Daten aus Beweisgründen aufgehoben werden, sind sie solange von der Löschung ausgenommen bis der Vorfall endgültig geklärt ist.

Cookies

 

Diese Website verwendet Cookies zur pseudonymisierten Reichweitenmessung, die entweder von unserem Server oder dem Server Dritter an den Browser des Nutzers übertragen werden. Bei Cookies handelt es sich um kleine Dateien, welche auf Ihrem Endgerät gespeichert werden. Ihr Browser greift auf diese Dateien zu. Durch den Einsatz von Cookies erhöht sich die Benutzerfreundlichkeit und Sicherheit dieser Website.

Twitter

Innerhalb des Onlineangebotes können Funktionen und Inhalte des Dienstes Twitter eingebunden, angeboten durch die Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA. Hierzu können z.B. Inhalte wie Bilder, Videos oder Texte und Schaltflächen gehören, mit denen Nutzer ihr Gefallen betreffend die Inhalte kundtun, den Verfassern der Inhalte oder unsere Beiträge abonnieren können. Sofern die Nutzer Mitglieder der Plattform Twitter sind, kann Twitter den Aufruf der o.g. Inhalte und Funktionen den dortigen Profilen der Nutzer zuordnen. Twitter ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten (https://www.privacyshield.gov/participant?id=a2zt0000000TORzAAO&status=Active). Datenschutzerklärung: https://twitter.com/de/privacy, Opt-Out: https://twitter.com/personalization.

 

Google Analytics

Diese Website nutzt aufgrund unserer berechtigten Interessen zur Optimierung und Analyse unseres Online-Angebots im Sinne des Art. 6 Abs. 1 lit. f. DSGVO den Dienst „Google Analytics“, welcher von der Google Inc. (1600 Amphitheatre Parkway Mountain View, CA 94043, USA) angeboten wird. Der Dienst (Google Analytics) verwendet „Cookies“ – Textdateien, welche auf Ihrem Endgerät gespeichert werden. Die durch die Cookies gesammelten Informationen werden im Regelfall an einen Google-Server in den USA gesandt und dort gespeichert.

Google LLC hält das europäische Datenschutzrecht ein und ist unter dem Privacy-Shield-Abkommen zertifiziert: https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active

Auf dieser Website greift die IP-Anonymisierung. Die IP-Adresse der Nutzer wird innerhalb der Mitgliedsstaaten der EU und des Europäischen Wirtschaftsraum und in den anderen Vertragsstaaten des Abkommens gekürzt. Nur in Einzelfällen wird die IP-Adresse zunächst ungekürzt in die USA an einen Server von Google übertragen und dort gekürzt. Durch diese Kürzung entfällt der Personenbezug Ihrer IP-Adresse. Die vom Browser übermittelte IP-Adresse des Nutzers wird nicht mit anderen von Google gespeicherten Daten kombiniert.

Im Rahmen der Vereinbarung zur Auftragsdatenvereinbarung, welche wir als Websitebetreiber mit der Google Inc. geschlossen haben, erstellt diese mithilfe der

gesammelten Informationen eine Auswertung der Websitenutzung und der Websiteaktivität und erbringt mit der Internetnutzung verbundene Dienstleistungen.

Die von Google in unserem Auftrag erhobenen Daten werden genutzt, um die Nutzung unseres Online-Angebots durch die einzelnen Nutzer auswerten zu können, z. B. um Reports über die Aktivität auf der Website zu erstellen, um unser Online-Angebot zu verbessern.

Sie haben die Möglichkeit, die Speicherung der Cookies auf Ihrem Gerät zu verhindern, indem Sie in Ihrem Browser entsprechende Einstellungen vornehmen. Es ist nicht gewährleistet, dass Sie auf alle Funktionen dieser Website ohne Einschränkungen zugreifen können, wenn Ihr Browser keine Cookies zulässt.

Weiterhin können Sie durch ein Browser-Plugin verhindern, dass die durch Cookies gesammelten Informationen (inklusive Ihrer IP-Adresse) an die Google Inc. gesendet und von der Google Inc. genutzt werden. Folgender Link führt Sie zu dem entsprechenden Plugin: https://tools.google.com/dlpage/gaoptout?hl=de

Alternativ verhindern Sie mit einem Klick auf diesen Link (WICHTIG: Opt-Out-Link einfügen), dass Google Analytics innerhalb dieser Website Daten über Sie erfasst. Mit dem Klick auf obigen Link laden Sie ein „Opt-Out-Cookie“ herunter. Ihr Browser muss die Speicherung von Cookies also hierzu grundsätzlich erlauben. Löschen Sie Ihre Cookies regelmäßig, ist ein erneuter Klick auf den Link bei jedem Besuch dieser Website vonnöten.

Hier finden Sie weitere Informationen zur Datennutzung durch die Google Inc.:

Newsletter-Abonnement

Der Websitebetreiber bietet Ihnen einen Newsletter an, in welchem er Sie über aktuelle Geschehnisse und Angebote informiert. Möchten Sie den Newsletter abonnieren, müssen Sie eine valide E-Mail-Adresse angeben. Wenn Sie den Newsletter abonnieren, erklären Sie sich mit dem Newsletter-Empfang und den erläuterten Verfahren einverstanden.

Der Newsletterversand erfolgt durch den Versanddienstleister XY, einer Versandplattform des Anbieters ABC, Beispielstraße 5, 12345 Beispielstadt, Deutschland. Informationen über die Datenschutzbestimmungen des Versanddienstleisters erhalten Sie unter: beispiel-XY.de/datenschutz.

Widerruf und Kündigung: Ihre Einwilligung zum Erhalt des Newsletter können Sie jederzeit widerrufen und somit das Newsletter-Abonnement kündigen. Nach Ihrer Kündigung erfolgt die Löschung Ihre personenbezogenen Daten. Ihre Einwilligung in den Newsletterversand erlischt gleichzeitig. Am Ende jedes Newsletters finden Sie den Link zur Kündigung.

Rechte des Nutzers

Sie haben als Nutzer das Recht, auf Antrag eine kostenlose Auskunft darüber zu erhalten, welche personenbezogenen Daten über Sie gespeichert wurden. Sie haben außerdem das Recht auf Berichtigung falscher Daten und auf die Verarbeitungseinschränkung oder Löschung Ihrer personenbezogenen Daten. Falls zutreffend, können Sie auch Ihr Recht auf Datenportabilität geltend machen. Sollten Sie annehmen, dass Ihre Daten unrechtmäßig verarbeitet wurden, können Sie eine Beschwerde bei der zuständigen Aufsichtsbehörde einreichen.

Löschung von Daten

Sofern Ihr Wunsch nicht mit einer gesetzlichen Pflicht zur Aufbewahrung von Daten (z. B. Vorratsdatenspeicherung) kollidiert, haben Sie ein Anrecht auf Löschung Ihrer Daten. Von uns gespeicherte Daten werden, sollten sie für ihre Zweckbestimmung nicht mehr vonnöten sein und es keine gesetzlichen Aufbewahrungsfristen geben, gelöscht. Falls eine Löschung nicht durchgeführt werden kann, da die Daten für zulässige gesetzliche Zwecke erforderlich sind, erfolgt eine Einschränkung der Datenverarbeitung. In diesem Fall werden die Daten gesperrt und nicht für andere Zwecke verarbeitet.

 

Widerspruchsrecht

 

Nutzer dieser Webseite können von ihrem Widerspruchsrecht Gebrauch machen und der Verarbeitung ihrer personenbezogenen Daten zu jeder Zeit widersprechen.

Wenn Sie eine Berichtigung, Sperrung, Löschung oder Auskunft über die zu Ihrer Person gespeicherten personenbezogenen Daten wünschen oder Fragen bzgl. der Erhebung, Verarbeitung oder Verwendung Ihrer personenbezogenen Daten haben oder erteilte Einwilligungen widerrufen möchten, wenden Sie sich bitte an folgende E-Mail-Adresse:

[webmaster@marktkaffeeklatech.de]

Muster von datenschutz.org

ADV Vertrag (Original liegt vor, hier eine Textkopie zur Einsicht)

Vertrag zur Auftragsdatenverarbeitung

Heiko Zeh

und
TracPlex GmbH
Konsul-Smidt-Str. 90
28217 Bremen

schließen den folgenden Vertrag:
1 Gegenstand und Dauer des Auftrags Gegenstand und Dauer des Auftrags bestimmen sich vollumfänglich nach den unter der oben genannten Kundennummer im jeweiligen Vertragsverhaltnis gemachten Angaben.
Diese Vereinbarung ist abhangig vom Bestand eines der folgenden Hauptvertragsverhaltnisse:
 Webhosting-Dienstleistung (Shared Hosting u. Managed Hosting)
 E-Mail-Dienstleistungen
 Cloud-VPS
Der Auftragnehmer verarbeitet dabei personenbezogene Daten fur den Auftraggeber im
Sinne des Art. 4 Nr.2 und Art. 28 DS-GVO auf Grundlage dieses Auftrags.

Die Kundigung oder anderweitige Beendigung des Hauptvertragsverhaltnisses beendet
gleichzeitig diese Vereinbarung.

Das Recht zur isolierten, auerordentlichen Kundigung dieser Vereinbarung sowie die
Ausubung gesetzlicher Rucktrittsrechte konkret fur die Vereinbarung bleiben hierdurch
unberuhrt.

Dieser Vertrag bezieht sich nur auf das unter der oben genannten Kundennummer gefuhrte
Kundenkonto. Sofern der Auftraggeber beim Auftragnehmer mehrere Kundenkonten
unterhalt, ist dieser Vertrag fur jedes Kundenkonto gesondert abzuschließen.

2 Umfang, Art und Zweck der Erhebung, Verarbeitung oder
Nutzung von Daten

  1. Der Umfang, die Art und der Zweck einer etwaigen Erhebung, Verarbeitung oder Nutzung personenbezogener Daten, die Art der Daten und der Kreis der Betro enen werden dem Auftragnehmer durch den Auftraggeber gema der vom Auftraggeber ausgefullten Anlage I und II beschrieben, soweit sich das nicht aus dem Vertragsinhalt der in Zi ffer 1 beschriebenen Vertragsverhaltnisse ergibt.
  2. Gegenstand des Vertrags ist nicht die originare Nutzung oder Verarbeitung von personenbezogenen Daten durch den Auftragnehmer. Bei der Administration der Serversysteme kann ein Zugri auf sowie die Erhebung, Nutzung und Verarbeitung von personenbezogene Daten jedoch nicht ausgeschlossen werden. Dies beinhaltet unter anderem:
    Aufzeichnen und Prufen von Zugri ffen und deren IP-Adressen zu Sicherheitszwecken
    (Firewall-Protokolle, fehlgeschlagene Login-Versuche, etc.)
     Fehlerbehebung im Kundenauftrag
     Systemuberwachung und Monitoring
  3. Die Erbringung der vertraglich vereinbarten Datenverarbeitung ndet ausschlielich in einem Mitgliedsstaat der Europaischen Union oder in einem anderen Vertragsstaat des Abkommens uber den Europaischen Wirtschaftsraum statt.
  4. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 . DS-GVO erfullt sind.
    3 Technisch-organisatorische Manahmen nach Art. 32 DS-GVO
    (Art.28 Abs.3 Satz 2 lit.c DS-GVO)
  5. Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Manahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchfuhrung zu dokumentieren und dem Auftraggeber zur Prufung zu ubergeben (siehe Anlage III). Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Manahmen Grundlage des Auftrags.
  6. Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs.3 Satz 2 lit.c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu tre enden Manahmen um Manahmen der Datensicherheit und zur Gewahrleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integritat, der Verfugbarkeit sowie der Belastbarkeit der Systeme.
    Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos fur die Rechte und Freiheiten naturlicher Personen im Sinne von
    Art. 32 Abs. 1 DS-GVO zu berucksichtigen.
  7. Die technischen und organisatorischen Manahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adaquate Manahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Manahmen nicht unterschritten werden. Wesentliche Anderungen sind zu dokumentieren.
    4 Berichtigung, Sperrung und Loschung von Daten
  8. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmachtig loschen oder deren Verarbeitung einschranken. Soweit eine betro ene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzuglich an den Auftraggeber weiterleiten.
  9. Soweit vom Leistungsumfang umfasst, sind Loschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilitat und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
  10. Soweit der Auftraggeber Unterstutzung nach Zi er 4 fur die Beantwortung von Anfragen Betroff ener benotigt, hat er die hierdurch entstehenden Kosten zu erstatten.
    5 Qualitatssicherung und sonstige Pflichten des Auftragnehmers
    Der Auftragnehmer hat zusatzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gema Art. 28 bis 33 DS-GVO; insofern gewahrleistet er insbesondere die Einhaltung folgender Vorgaben:
    Die Bestellung eines Datenschutzbeauftragten, sobald dies gesetzlich erforderlich ist. Eine Bestellung sowie ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzuglich mitzuteilen. Ist ein Datenschutzbeauftragter bestellt, sind dessen Kontaktdaten auf der Homepage des Auftragnehmers leicht zuganglich hinterlegt.
     Die Wahrung der Vertraulichkeit gema Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO.
    Der Auftragnehmer setzt bei der Durchfuhrung der Arbeiten nur Beschaftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den fur sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, durfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschlielich der in diesem Vertrag eingeraumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
     Die Umsetzung und Einhaltung aller fur diesen Auftrag notwendigen technischen und organisatorischen Manahmen entsprechen Art. 28 Abs. 3 Satz 2 lit. c, 32 DS-GVO und Anlage III. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehorde bei der Erfullung ihrer Aufgaben zusammen.
     Die unverzugliche Information des Auftraggebers uber Kontrollhandlungen und Manahmen der Aufsichtsbehorde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zustandige Behorde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
     Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehorde, einem Ordnungswidrigkeits oder Strafverfahren, dem Haftungsanspruch einer betro enen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kraften zu unterstutzen.
     Der Auftragnehmer kontrolliert regelmaig die internen Prozesse sowie die technischen und organisatorischen Manahmen, um zu gewahrleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betro enen Person gewahrleistet wird.
     Dokumentation der getro enen technischen und organisatorischen Manahmen gegenuber dem Auftraggeber laut Anlage III.
    6 Unterauftragsverhaltnisse
  11. Als Unterauftragsverhaltnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehoren Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen,
    Post-/Transportdienstleistungen, Wartung und Benutzerservice sowie sonstige
    Manahmen zur Sicherstellung der Vertraulichkeit, Verfugbarkeit, Integritat und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewahrleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmanahmen zu ergreifen.
  12. Im Rahmen der Vertragserfullung wird der Auftragnehmer Subunternehmer beauftragen.
    Der Auftragnehmer wird ein Verzeichnis von Subunternehmern, die an der Auftragserfüllung beteiligt sind, vero entlichen und aktuell halten: https://www.lima-city.de/
    usercp/data_processing_contracts/contractors.pdf
    7 Kontrollrechte des Auftraggebers
  13. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Uberprufungen durchzufuhren oder durch im Einzelfall zu benennende Prufer durchfuhren zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschaftsbetrieb zu uberzeugen.
  14. D er Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO uberzeugen kann. Der Auftragnehmer verp
  15. ichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskunfte zu erteilen
  16. und insbesondere die Umsetzung der technischen und organisatorischen Manahmen
  17. nachzuweisen.
  1. Der Nachweis solcher Manahmen, die nicht nur den konkreten Auftrag betre en, kann
    wahlweise erfolgen durch die Einhaltung genehmigter Verhaltensregeln gema Art. 40
    DS-GVO, die Zerti zierung nach einem genehmigten Zerti zierungsverfahren gema Art.
    42 DS-GVO, aktuelle Testate, Berichte oder Berichtsauszuge unabhangiger Instanzen
    (z.B. Wirtschaftsprufer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren,
    Qualitatsauditoren) und/oder eine geeignete Zerti zierung durch ITSicherheits-
    oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
  2. Fur die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen und Ersatz der ihm entstehenden Kosten und Aufwande verlangen.
  3. Soweit der Auftraggeber nach Zi er 7 Kontrollrechte ausuben wird, orientiert sich die vorab zu vereinbarende Höhe des Entgelts an einem festzulegenden Stundensatz des fur die Betreuung vom Auftragnehmer abgestellten Mitarbeiters.
    8 Mitteilung bei Verstoen des Auftragnehmers
  4. Der Auftragnehmer unterstutzt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten P
    ichten zur Sicherheit personenbezogener Daten,
    Meldepflichten bei Datenpannen, Datenschutz-Folgeabschatzungen und vorherige Konsultationen.
    Hierzu gehoren u.a.:
     die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Manahmen, die die Umstande und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer moglichen Rechtsverletzung durch Sicherheitslücken berucksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermoglichen
     die Verpflichtung, Verletzungen personenbezogener Daten unverzuglich an den Auftraggeber zu melden die Verppfichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betro ffenen zu unterstützen und ihm in diesem Zusammenhang samtliche relevante Informationen unverzuglich zur Verfugung zu stellen die Unterstutzung des Auftraggebers fur dessen Datenschutz-Folgenabschatzung die Unterstutzung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehorde
  5. Fur Unterstutzungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder
    nicht auf ein Fehlverhalten des Auftragnehmers zuruckzufuhren sind, kann der Auftragnehmer
    eine Vergutung beanspruchen.
    9 Weisungsbefugnis des Auftraggebers
  6. Mundliche Weisungen bestatigt der Auftraggeber unverzuglich (mind. Textform). Eine nicht bestatigte bzw. nicht dokumentierte Weisung gilt als nicht erteilt.
  7. Der Auftragnehmer hat den Auftraggeber unverzuglich zu informieren, wenn er der Meinung ist, eine Weisung verstoe gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchfuhrung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestatigt oder geandert wird.

10 Loschung und Ruckgabe von personenbezogenen Daten

  1. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt.
    Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewahrleistung einer ordnungsgemaßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
  2. Nach Abschluss der vertraglich vereinbarten Arbeiten oder fruher nach Au orderung
    durch den Auftraggeber { spatestens mit Beendigung der Leistungsvereinbarung { hat der Auftragnehmer samtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs und Nutzungsergebnisse sowie Datenbestande, die im Zusammenhang mit dem Auftragsverhaltnis stehen, dem Auftraggeber auszuhandigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt fur Test- und Ausschussmaterial. Der
    Auftragnehmer gibt dem Auftraggeber auf Anfrage hin Auskunft zur Natur und dem Zeitpunkt der Loschung.
  3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemaen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen uber das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber ubergeben.
  4. Erteilt der Auftraggeber dem Auftragnehmer Weisungen nach Zi er 9, so hat er durch diese Weisung entstehende Kosten zu erstatten.
    11 Sonstige Vereinbarungen
  5. Es gilt das Recht der Bundesrepublik Deutschland.
  6. Die Parteien vereinbaren als Gerichtsstand den Sitz des fur Bremen zustandigen Gerichts.
    . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
    Auftraggeber, Ort, Datum
    Bremen, 24. Dezember 2018
    . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
    Auftragnehmer, Ort, Datum

Anlage I
Daten-Typen
 Kommunikationsdaten
 Protokolldaten

Anlage II
Betro ene
 Blogkommentatoren

Anlage III
Technische und organisatorische
Manahmen
Die folgenden technischen und organisatorischen Manahmen (kurz TOMs) werden vom Auftragnehmer
umgesetzt:
1 Vertraulichkeit: Zutrittskontrolle
Telehouse Frankfurt, Main (Rechenzentrum)
 elektronisches Zutrittskontrollsystem mit Protokollierung
 Hochsicherheitszaun um das Gelande
 durchgehend besetzter Leitstand
 Bewachung durch zerti ziertes Werksschutzpersonal
 Videouberwachung insbesondere der Ein- und Ausgange
 organisatorisch getrennte Berechtigungsvergabe fur den Rechenzentrums-Zutritt
Bremen (Buro)
 durchgehende Besetzung des Empfangs durch Pfortner
 Manuelle Schlieanlage
2 Vertraulichkeit: Zugangskontrolle
Kundenmenu
 Das Passwort fur das Kundenmenu (

Verwaltung) wird vom Auftraggeber selbst vergeben.
Das Passwort muss der aktuellen Kennwortrichtlinie entsprechen.
 Die Login-Versuche zum Kundenmenu werden innerhalb eines Zeitfensters begrenzt (,,Rate
limiting).
Leistung ,,Cloud-VPS\
 Standardmaige Deaktivierung von Server-Passwortern fur den Login, Zugang nur mit
kryptogra schem Schlussel (

SSH-Keys). Fur die Inbetriebnahme wird eine einmalige
Berechtigungsvergabe von kryptogra schen Schlusseln des Auftraggebers durchgefuhrt
und protokolliert.

 Der Auftraggeber kann aufWunsch fur die erstmalige Inbetriebnahme ein Server-Passwort vergeben, das verschlusselt gespeichert wird und dem Auftragnehmer nicht bekannt ist.
Der Auftraggeber wird ein eventuell gesetztes Server-Passwort bei der Inbetriebnahme
andern und die Vergabe und Dokumentation von Berechtigungen selbst verantworten.
 Fur die Zugangskontrolle fur auf dem Cloud-VPS installierter Software und Daten ist der
Auftraggeber verantwortlich.
Leistung ,,Webhosting\
 Der Administrator-Zugang ist ausschlielich per kryptogra schem Schlussel (

SSH-Keys)
durch berechtigte Mitarbeiter des Auftragsnehmers moglich.
 Der Kunden-Zugang (SSH) ist ausschlielich mit kryptogra schem Schlussel (
„SSH-Keys) moglich. Berechtigungen fur kryptogra sche Schlussel werden vom Auftraggeber vergeben und durch den Auftragnehmer protokolliert.
 Der Kunden-Zugang zu Datenbanken ist mit einem vom Auftragnehmer erzeugten Benutzernamen und vom Auftraggeber gewahlten Passwort moglich. Das Passwort muss
der aktuellen Kennwortrichtlinie entsprechen.
 Der Kunden-Zugang per FTP-Protokoll ist mit einem vom Auftragnehmer erzeugten
Benutzernamen und vom Auftraggeber gewahlten Passwort moglich. Das Passwort muss
der aktuellen Kennwortrichtlinie entsprechen.
 Die Login-Versuche fur FTP-, MySQL- und SSH-Zugange werden innerhalb eines Zeitfensters begrenzt (,,Rate limiting).
 Fur die Zugangskontrolle fur auf dem Webspace installierter Software und Daten ist der
Auftraggeber verantwortlich.
Leistung ,,E-Mail\
 Administrator-Zugang nur per kryptogra schem Schlussel (

SSH-Keys) durch berechtigte Mitarbeiter des Auftragsnehmers
 Kunden-Zugang (E-Mail-Abruf und -Versand) durch ein vom Kunden zu vergebendes,
dem Auftragnehmer nicht bekanntes, Passwort. Das Passwort muss der aktuellen Kennwortrichtlinie entsprechen.
 Mit Zustimmung des Auftraggebers wird der Auftragnehmer fur bestimmte Operationen
(derzeit: E-Mail-Import) ein temporares, dem Auftragnehmer bekanntes, Passwort setzen.
Nach Abschluss der Operation wird das Passwort auf den ursprunglichen kryptogra schen
Hash zuruckgesetzt.
 Die Login-Versuche fur E-Mail-Accounts werden innerhalb eines Zeitfensters begrenzt
(,,Rate limiting).
3 Vertraulichkeit: Zugri skontrolle Leistung ,,Cloud-VPS\ Die Zugri skontrolle liegt in der Verantwortung des Auftraggebers.

Leistung ,,Webhosting\
 Der Auftragnehmer wird durch zeitnahes Einspielen von Sicherheitsupdates die Zugri skontrolle sicherstellen
 Fur die ubertragenen Daten und installierte Software ist der Auftraggeber in Bezug auf
Zutrittskontrolle und Updates verantwortlich
Leistung ,,E-Mail\ Der Auftragnehmer wird durch zeitnahes Einspielen von Sicherheitsupdates die Zugri skontrolle sicherstellen
4 Vertraulichkeit: Datentragerkontrolle
Festplatten werden bei Auerbetriebnahme einzelner Festplatten oder gesamter Serversysteme mehrfach uberschrieben und damit sicher geloscht. Defekte Festplatten, die nicht sicher geloscht werden konnen, werden physikalisch unbrauchbar gemacht bzw. vernichtet.
5 Vertraulichkeit: Trennungskontrolle
 Fur interne Verwaltungs- und Administrationssysteme des Auftragnehmers werden Daten physisch oder logisch getrennt von anderen Daten gespeichert. Die Datensicherung erfolgt ebenfalls physisch oder logisch getrennt.
 Test- und Produktionssysteme sind logisch getrennt.
Hauptauftrag

Cloud-VPS\ Die Trennungskontrolle ist vom Auftragnehmer zu verantworten.
Hauptauftrag

Webhosting\ und

E-Mail\
 Die Daten werden physisch oder logisch getrennt von anderen Daten gespeichert. Die
Datensicherung erfolgt ebenfalls physisch oder logisch getrennt.
 Test- und Produktionssysteme sind logisch getrennt.
6 Vertraulichkeit: Pseudonymisierung
Der Auftraggeber ist fur die Pseudonymisierung der Daten verantwortlich.
7 Integritat: Weitergabekontrolle
Der Auftragnehmer unterrichtet alle Mitarbeiter, die mit der Verarbeitung von personenbezogenen
Daten beauftragt sind, im datenschutzkonformen Umgang mit personenbezogenen Daten
und verp
ichtet diese zur Einhaltung der gesetzlichen Bestimmungen.
 Der Auftragnehmer wird die Daten nach Auftragsbeendigung datenschutzgerecht loschen.
Die Loschung von Daten aus Archiv- und Recovery-Systemen kann technisch bedingt
mit extremem Aufwand verbunden sein. Sofern eine vorzeitige Loschung von Daten in
Archiv- und Recovery-Systemen nicht zumutbar ist wird der Auftragnehmer die Daten
als geloscht markieren und fur den Zugri sperren, bis die Loschung durch den im Archivund
Recovery-System de nierten Losch-Prozess statt ndet.
 Der Auftraggeber wird im Rahmen der technischenMoglichkeiten und der Verhaltnismaigkeit
fur alle Ubertragungswege personenbezogener Daten eine adaquate Verschlusselung
bereitstellen. Der Auftragnehmer wird Daten ausschlielich uber verschlusselte Verbindungen
ubertragen, sofern diese bereitstehen.
8 Integritat: Eingabekontrolle
Kundenmenu
 Personenbezogene Daten werden im Rahmen des Kundenmenus vom Kunden selbst eingegeben.
 Ubermittelt der Kunde auf anderem Wege Daten (u.a. mundlich, schriftlich) hat er die
Korrektheit der Daten selbststandig zu prufen und notwendige Anderungen unverzuglich
mitzuteilen.
Leistung

Cloud-VPS\, ,,Webhosting\, ,,E-Mail\ Die Eingabekontrolle obliegt dem Auftraggeber.
9 Verfugbarkeit und Belastbarkeit: Verfugbarkeitskontrolle
Kundenmenu
 Backup- und Recovery-Konzept mit mindestens taglicher Sicherung aller relevanten Daten
 Sachkundiger Einsatz von Sicherheitsmanahmen
 Einsatz von Festplattenspiegelung bei allen relevanten Servern
 Monitoring aller relevanten Systeme
 Einsatz unterbrechungsfreier Stromversorgung
 On-Demand-DDoS-Protection
Leistung ,,Cloud-VPS\
 Die Datensicherung obliegt dem Auftraggeber
 Einsatz von Festplattenspiegelung
 Einsatz unterbrechungsfreier Stromversorgung
 Der Auftragnehmer stellt dem Auftraggeber, sofern vereinbart, eine Moglichkeit fur eine
physikalisch getrennte und verschlusselte Sicherung (

Snapshots) zur Verfugung. Der
Auftraggeber bleibt auch bei Nutzung dieser Moglichkeit weiterhin fur die Datensicherung
verantwortlich. Sofern vereinbart besorgt der Auftragnehmer fur den Auftraggeber die
tagliche Durchfuhrung von

Snapshots.

 Ein Layer 3/4-DDoS-Schutz wird nach Vereinbarung bereitgestellt, der Layer-7-DDoSSchutz
obliegt dem Auftraggeber
Leistung ,,Webhosting\
 Backup- und Recovery-Konzept mit taglicher Sicherung der Daten, Aufbewahrungszeitraum
je nach Produktbeschreibung
 Einsatz von Festplattenspiegelung
 Einsatz von Netzersatzanlagen und unterbrechungsfreier Stromversorgung
 Einsatz von Software rewalls und Portbeschrankungen
 Dauerhaft aktiver Layer 3/4-DDoS-Schutz
 Dauerhaft aktiver Layer 7-DDoS-Schutz
Leistung ,,E-Mail\
 Backup- und Recovery-Konzept mit taglicher Sicherung der Daten
 Einsatz von Festplattenspiegelung
 Einsatz unterbrechungsfreier Stromversorgung
 Einsatz von Software rewalls und Portbeschrankungen
10 Verfugbarkeit und Belastbarkeit: Rasche Wiederherstellbarkeit
Kundenmenu Der Auftragnehmer halt interne Prozesse und/oder Systeme vor, welche die
rasche Wiederherstellbarkeit ermoglichen.
Leistung ,,Cloud-VPS\ Die Verantwortung fur die rasche Wiederherstellbarkeit obliegt dem
Auftraggeber. Sofern der Auftragnehmer dem Kunden die Moglichkeit
„Snapshots\ zu erstellen einraumt wird zusatzlich die Moglichkeit bereitgestellt, Snapshots uber das Kundenmenu selbst wiederherzustellen.
Leistung ,,Webhosting\ Der Auftragnehmer stellt dem Auftraggeber im Kundenmenu die
Moglichkeit zur Verfugung, Sicherungen von Datenbanken und Dateien selbst wiederherzustellen.
Leistung ,,E-Mail\ Der Auftragnehmer halt interne Prozesse und/oder Systeme vor, welche die rasche Wiederherstellbarkeit ermoglichen.

11 Verfahren zur regelmaigen Uberprufung, Bewertung und
Evaluierung
 Die Mitarbeiter werden regelmaig im Datenschutz geschult, insbesondere im Hinblick
auf die Verarbeitung von personenbezogenen Daten im Auftrag.
 Datenschutzfreundliche Voreinstellungen werden bei der Softwareentwicklung berucksichtigt.
Bestehende Systeme werden laufend auf ihre Datenschutzfreundlichkeit evaluiert.