Footer – Data protection

Data Protection

As a German company, we publish this information in the official language of our jurisdiction:

Auftragsverarbeitung gemäß Art. 28 DSGVO
Zwischen dem PowerControlCenter-Kunden (Verantwortlicher) und der eQuisto Customized Commerce GmbH (Auftragsverarbeiter) wird nachfolgender Vertrag geschlossen.
Präambel
Zwischen dem Verantwortlichen und dem Auftragsverarbeiter besteht ein Vertrag über die Nutzung des in Ziffer 1 näher bezeichneten PowerControlCenters (im Weiteren Kundenvertrag) des Auftragsverarbeiters durch den Verantwortlichen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Umsetzung eigener Geschäftszwecke im Zusammenhang mit dem Dienstleistungsvertrag – eine Übertragung von ‚Funktionen‘ ist ausdrücklich nicht beabsichtigt.
1. Gegenstand und Dauer des Auftrags
1.1 Gegenstand des Auftrags
Das PowerControlCenter ist eine in einem Rechenzentrum zum Zweck des Speichern und Aufrufen von Dateien betriebene Computeranwendung (Cloud-Lösung). Der Verantwortliche hat auf diese Zugriff mittels durch ihn selbst betriebene Software-Clients (wie Browser oder FTP-Programme) sowie die Anbindung über das Internet. Des Weiteren gibt es verschiedene zusätzliche periphere Funktionen, wie z.B. das Hinzufügen von Kommentaren zu diesen Dateien. Die Nutzung erfolgt vorwiegend mittels eindeutiger, personenspezifischer Nutzer-Accounts.
Der Gegenstand dieses Auftrags ergibt sich im Übrigen aus dem Kundenvertrag und den AGB, auf die hier verwiesen wird (im Weiteren Kundenvertrag“). Dies beinhaltet die Verarbeitung personenbezogener Daten (im Weiteren „Daten“) durch den Auftragsverarbeiter lediglich in geringem Umfang und nur zum Zwecke der Nutzerzugangsverwaltung. Die Verwaltung personenbezogener Daten ist nicht Zweck der Applikation. Dies ist insbesondere für personenbezogenen Finanz- oder Gesundheitsdaten der Fall.
1.2 Dauer der Vereinbarung
Die Laufzeit dieses Vertrages ist dem Kundenvertrag zu entnehmen.
2. Konkretisierung des Auftragsverhältnisses
2.1 Art und Zweck der vorgesehenen Verarbeitung von Daten
Der Zweck des PowerControlCenters ist es, Unternehmen bei der Verfügbarmachung von Mediadateien wie Filmen und Bildern für ihre Kunden zu unterstützen. Der Auftragsverarbeiter erhält dabei Zugriff auf personenbezogenen Daten, welche bei Benutzung der vertragsgegenständlichen Anwendung gespeichert werden. Folgende Datenkategorien können vom Verantwortlichen durch direkte Eingabe oder durch Hochladen im PowerControlCenter verarbeitet werden:
Angaben zu Kunden und Lieferanten: Stammdaten wie Name, E-Mail-Adresse und Mobilfunknummer und Firmenzugehörigkeit
Alle Kernfunktionen des PowerControlCenter wurden und werden ausschließlich in Deutschland entwickelt und gehostet.
Jede Verlagerung einer Datenverarbeitung in ein Drittland außerhalb der EU/EWR bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind. Das angemessene Schutzniveau in den USA wird hergestellt durch Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c und d DS-GVO).
2.2 Kategorien betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
Kunden und Lieferanten des Verantwortlichen
Ansprechpartner bei Kunden und Lieferanten des Verantwortlichen
Mitbenutzer (User), die durch den Verantwortlichen zur Mitarbeit im PowerControlCenter freigeschaltet werden
3. Technische und organisatorische Maßnahmen
3.1 Der Auftragsverarbeiter verpflichtet externe Rechenzentren sowie sonstige Unterauftragsverarbeiter, die innerbetriebliche Organisation so zu gestalten, dass es den besonderen Anforderungen des Datenschutzes gerecht wird. Insbesondere findet die Datenverarbeitung auf Datenverarbeitungsanlagen statt, für die das Rechenzentrum oder der sonstige Unterauftragsverarbeiter alle technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat.
3.2 Der Auftragsverarbeiter hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen.
3.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
4. Berichtigung, Einschränkung und Löschung von Daten
4.1 Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
4.2 Der Auftragsverarbeiter wird die Daten des Verantwortlichen nach dem Ende des Kundenvertrages löschen.
5. Qualitätssicherung und sonstige Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
Der Auftragsverarbeiter sichert zu, einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten bestellt zu haben, dem die erforderliche Zeit zur Erledigung seiner Aufgaben gewährt wird.
Datenschutzbeauftragter des Auftragsverarbeiters ist: Thomas Janson, Telefon: ‭+49 30 12053530‬, E-Mail: thomas.janson@equisto.com
Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO.
Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
Die unverzügliche Information des Verantwortlichen über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt.
Soweit der Verantwortliche seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist, hat ihn der Auftragsverarbeiter nach besten Kräften zu unterstützen.
Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.
6. Unterauftragsverhältnisse
Als Unterauftragsverhältnisse im Sinne dieses Vertrags sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
Die Auslagerung auf Unterauftragsverarbeiter oder der Wechsel der bestehenden genehmigten Unterauftragsverarbeiter sind zulässig, soweit der Auftragsverarbeiter eine solchen Einschaltung von Unterauftragsverarbeitern dem Verantwortlichen eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und der Verantwortliche nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragsverarbeiter schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird. Im Falle des Einspruchs des Verantwortlichen steht dem Auftragsverarbeiter ein außerordentliches Kündigungsrecht sowohl hinsichtlich dieser Vereinbarung als auch bezüglich der Leistungsvereinbarung zu.
Der Verantwortliche stimmt der Beauftragung der PlusServer GmbH Hohenzollernring 72 50672 Köln Deutschland zu, unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO.
Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.
Die Weitergabe von personenbezogenen Daten des Verantwortlichen an den Unterauftragsverarbeiter und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
7. Kontrollrechte des Verantwortlichen
Der Verantwortliche hat nach Vorankündigung das Recht, die Einhaltung der über die datenschutzrechtlichen Prozesse und der vertraglichen Vereinbarung durch den Auftragsverarbeiter oder das externe Rechenzentrum/den Unterauftragsverarbeiter zu kontrollieren. Dies kann entweder durch die Einholung von Auskünften oder die Vorlage von aktuellen Testaten, Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter) oder durch eine geeignete Zertifizierung mittels IT-Sicherheits- oder Datenschutzaudit erfolgen. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen.
Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 DS-GVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
8. Mitteilung bei Verstößen des Auftragsverarbeiters
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.
die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Verantwortlichen zu melden
die Verpflichtung, dem Verantwortlichen im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen
die Unterstützung des Verantwortlichen für dessen Datenschutz-Folgenabschätzung
die Unterstützung des Verantwortlichen im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde
Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragsverarbeiters zurückzuführen sind, kann der Auftragsverarbeiter eine Vergütung beanspruchen.
9. Weisungsbefugnis des Verantwortlichen
Mündliche Weisungen bestätigt der Verantwortliche unverzüglich (mind. Textform).
Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstöße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.
10. Löschung und Rückgabe von personenbezogenen Daten
Kopien oder Duplikate der Daten werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.
11. Schlussbestimmungen
Änderungen und Ergänzungen dieser Vertragsregelung und all ihrer Bestandteile, einschließlich etwaiger Zusicherungen des Auftragsverarbeiters, bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vertragsregelung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
Sollten einzelne Teile dieser Vertragsregelung unwirksam sein, so berührt dies die Wirksamkeit der Vertragsregelung im Übrigen nicht. An Stelle der unwirksamen Bestimmung soll eine Bestimmung vereinbart werden, die dem von den Partnern hiermit verfolgten wirtschaftlichen Zweck möglichst nahekommt. Entsprechendes gilt im Falle einer Regelungslücke.
Diese Vertragsregelung unterliegt ausschließlich dem formellen und materiellen Recht der Bundesrepublik Deutschland. Die Anwendung des internationalen Privatrechts sowie des einheitlichen UN-Kaufrechts (CISG) wird ausdrücklich ausgeschlossen.
Diese Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO tritt mit Unterzeichnung in Kraft.
Anlage 1: Technisch organisatorische Maßnahmen
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Zutrittskontrolle:
Gebäude allgemein:
Der Auftragsverarbeiter hat keine Büroräume und speichert keinerlei Nutzerdaten lokal auf Papier oder elektronische Speichermedien
Rechenzentrumsräume:
PowerControlCenter-Kundendaten werden in Rechenzentren von PlusServer GmbH Hohenzollernring 72, 50672 Köln, Deutschland verarbeitet und gespeichert. Siehe hierzu den gesonderten Vertrag.
Technisch organisatorische Maßnahmen bei PlusServer GmbH Hohenzollernring 72 50672 Köln Deutschland werden gesondert bereitgestellt.
Zugangskontrolle:
Der Benutzer- und Administratorzugriff auf das PowerControlcenter System beruht auf einem rollenbasierten Zugriffsberechtigungsmodell. Jeder Nutzer erhält eine eindeutige ID, um sicherzustellen, dass alle Systemkomponenten nur von berechtigten Benutzern und Administratoren genutzt werden können.
Es existieren technische Policies zur Passwortkomplexität und Passwort-Rotation.
Beim PowerControlCenter gilt das Prinzip der Minimalberechtigung. Jeder Benutzer erhält nur die Zugriffsrechte, die erforderlich sind, um seine vertraglichen Tätigkeiten durchzuführen. Benutzerkonten werden immer zunächst mit den wenigsten Zugriffsrechten ausgestattet. Für die Einräumung von Zugriffsrechten über die Minimalberechtigung hinaus muss eine entsprechende Berechtigung vorliegen.
Einsatz von Firewallsystemen, Virenscanner und Intrusion Detection Systemen auf PowerControlCenter Serversystemen
Auf PowerControCenter-Equipment (z.B. Notebooks) sind Virenscanner installiert, die eine Malware-Erkennung und einen E-Mail Filter enthalten.
Der Zugriff auf PowerControlCenter-Serversysteme erfolgt via SSH und ist somit verschlüsselt („Public-Key-Cryptography“).
Zugriffskontrolle:
Zugriffsberechtigung auf PowerControlCenter-Produktivsysteme ist derzeit auf einen Mitarbeiter beschränkt
Der Hosting-Dienstleister hat keinen Administrationszugang auf das PowerControlCenter-System
Trennungskontrolle:
Datensätze unterschiedlicher PowerControlCenter-Kunden werden in einer einheitlichen Datenbank speziell markiert (Tenant-ID, softwareseitige Mandantenfähigkeit).
Test- und Produktivdaten sind strikt getrennt in unabhängigen Systemen, Entwicklungssysteme sind ebenfalls unabhängig von Test- und Produktivsystemen
Unterschiedliche Domains und SSL Zertifikate für Test- und Produktivsysteme
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
Weitergabekontrolle:
Soweit Daten zu beauftragten Partnern übertragen werden, sind diese Datenübertragungskanäle immer TLS verschlüsselt
Wo dies technisch möglich ist, kommen VPN-Verbindungen zum Einsatz
Datenabrufe und Übermittlungsaktivitäten werden protokolliert
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Die Leistung wird laut Vertrag explizit nicht zur dauerhaften Speicherung nicht redundant vorhandener Daten Angeboten. Vielmehr bezieht sich das Nutzungsangebot ausschließlich auf die zeitlich begrenzte Verfügbarmachung von Daten einer Organisation für externe Dritte. Applikations-Backups ohne Nutzerdaten werden extern gesichert. Nutzerdaten werden RZ-intern durch RAID-Systeme und redundante Server gesichert.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
Auftragskontrolle:
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Verantwortlichen
Klare, eindeutige Weisungen
Verhinderung von Zugriffen unbefugter Dritter auf die Daten
Verbot, Daten in unzulässiger Weise zu kopieren
Vereinbarungen über Art des Datentransfers und deren Dokumentation
Kontrollrechte durch den Auftraggeber
Vereinbarung von Vertragsstrafen
Strenge Auswahl der Dienstleister
Nachkontrollen

Data Protection

As a German company, we publish this information in the official language of our jurisdiction: Auftragsverarbeitung gemäß Art. 28 DSGVO Zwischen dem PowerControlCenter-Kunden (Verantwortlicher) und der eQuisto Customized Commerce GmbH (Auftragsverarbeiter) wird nachfolgender Vertrag geschlossen. Präambel Zwischen dem Verantwortlichen und dem Auftragsverarbeiter besteht ein Vertrag über die Nutzung des in Ziffer 1 näher bezeichneten PowerControlCenters (im Weiteren Kundenvertrag) des Auftragsverarbeiters durch den Verantwortlichen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Umsetzung eigener Geschäftszwecke im Zusammenhang mit dem Dienstleistungsvertrag – eine Übertragung von ‚Funktionen‘ ist ausdrücklich nicht beabsichtigt. 1. Gegenstand und Dauer des Auftrags 1.1 Gegenstand des Auftrags Das PowerControlCenter ist eine in einem Rechenzentrum zum Zweck des Speichern und Aufrufen von Dateien betriebene Computeranwendung (Cloud-Lösung). Der Verantwortliche hat auf diese Zugriff mittels durch ihn selbst betriebene Software-Clients (wie Browser oder FTP-Programme) sowie die Anbindung über das Internet. Des Weiteren gibt es verschiedene zusätzliche periphere Funktionen, wie z.B. das Hinzufügen von Kommentaren zu diesen Dateien. Die Nutzung erfolgt vorwiegend mittels eindeutiger, personenspezifischer Nutzer-Accounts. Der Gegenstand dieses Auftrags ergibt sich im Übrigen aus dem Kundenvertrag und den AGB, auf die hier verwiesen wird (im Weiteren Kundenvertrag“). Dies beinhaltet die Verarbeitung personenbezogener Daten (im Weiteren „Daten“) durch den Auftragsverarbeiter lediglich in geringem Umfang und nur zum Zwecke der Nutzerzugangsverwaltung. Die Verwaltung personenbezogener Daten ist nicht Zweck der Applikation. Dies ist insbesondere für personenbezogenen Finanz- oder Gesundheitsdaten der Fall. 1.2 Dauer der Vereinbarung Die Laufzeit dieses Vertrages ist dem Kundenvertrag zu entnehmen. 2. Konkretisierung des Auftragsverhältnisses 2.1 Art und Zweck der vorgesehenen Verarbeitung von Daten Der Zweck des PowerControlCenters ist es, Unternehmen bei der Verfügbarmachung von Mediadateien wie Filmen und Bildern für ihre Kunden zu unterstützen. Der Auftragsverarbeiter erhält dabei Zugriff auf personenbezogenen Daten, welche bei Benutzung der vertragsgegenständlichen Anwendung gespeichert werden. Folgende Datenkategorien können vom Verantwortlichen durch direkte Eingabe oder durch Hochladen im PowerControlCenter verarbeitet werden: Angaben zu Kunden und Lieferanten: Stammdaten wie Name, E-Mail-Adresse und Mobilfunknummer und Firmenzugehörigkeit Alle Kernfunktionen des PowerControlCenter wurden und werden ausschließlich in Deutschland entwickelt und gehostet. Jede Verlagerung einer Datenverarbeitung in ein Drittland außerhalb der EU/EWR bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind. Das angemessene Schutzniveau in den USA wird hergestellt durch Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c und d DS-GVO). 2.2 Kategorien betroffener Personen Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen: Kunden und Lieferanten des Verantwortlichen Ansprechpartner bei Kunden und Lieferanten des Verantwortlichen Mitbenutzer (User), die durch den Verantwortlichen zur Mitarbeit im PowerControlCenter freigeschaltet werden 3. Technische und organisatorische Maßnahmen 3.1 Der Auftragsverarbeiter verpflichtet externe Rechenzentren sowie sonstige Unterauftragsverarbeiter, die innerbetriebliche Organisation so zu gestalten, dass es den besonderen Anforderungen des Datenschutzes gerecht wird. Insbesondere findet die Datenverarbeitung auf Datenverarbeitungsanlagen statt, für die das Rechenzentrum oder der sonstige Unterauftragsverarbeiter alle technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. 3.2 Der Auftragsverarbeiter hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen. 3.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. 4. Berichtigung, Einschränkung und Löschung von Daten 4.1 Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten. 4.2 Der Auftragsverarbeiter wird die Daten des Verantwortlichen nach dem Ende des Kundenvertrages löschen. 5. Qualitätssicherung und sonstige Pflichten des Auftragsverarbeiters Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben: Der Auftragsverarbeiter sichert zu, einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten bestellt zu haben, dem die erforderliche Zeit zur Erledigung seiner Aufgaben gewährt wird. Datenschutzbeauftragter des Auftragsverarbeiters ist: Thomas Janson, Telefon: ‭+49 30 12053530‬, E-Mail: thomas.janson@equisto.com Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO. Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Die unverzügliche Information des Verantwortlichen über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt. Soweit der Verantwortliche seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist, hat ihn der Auftragsverarbeiter nach besten Kräften zu unterstützen. Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages. 6. Unterauftragsverhältnisse Als Unterauftragsverhältnisse im Sinne dieses Vertrags sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen. Die Auslagerung auf Unterauftragsverarbeiter oder der Wechsel der bestehenden genehmigten Unterauftragsverarbeiter sind zulässig, soweit der Auftragsverarbeiter eine solchen Einschaltung von Unterauftragsverarbeitern dem Verantwortlichen eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und der Verantwortliche nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragsverarbeiter schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird. Im Falle des Einspruchs des Verantwortlichen steht dem Auftragsverarbeiter ein außerordentliches Kündigungsrecht sowohl hinsichtlich dieser Vereinbarung als auch bezüglich der Leistungsvereinbarung zu. Der Verantwortliche stimmt der Beauftragung der PlusServer GmbH Hohenzollernring 72 50672 Köln Deutschland zu, unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Die Weitergabe von personenbezogenen Daten des Verantwortlichen an den Unterauftragsverarbeiter und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. 7. Kontrollrechte des Verantwortlichen Der Verantwortliche hat nach Vorankündigung das Recht, die Einhaltung der über die datenschutzrechtlichen Prozesse und der vertraglichen Vereinbarung durch den Auftragsverarbeiter oder das externe Rechenzentrum/den Unterauftragsverarbeiter zu kontrollieren. Dies kann entweder durch die Einholung von Auskünften oder die Vorlage von aktuellen Testaten, Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter) oder durch eine geeignete Zertifizierung mittels IT-Sicherheits- oder Datenschutzaudit erfolgen. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 DS-GVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. 8. Mitteilung bei Verstößen des Auftragsverarbeiters Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a. die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Verantwortlichen zu melden die Verpflichtung, dem Verantwortlichen im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen die Unterstützung des Verantwortlichen für dessen Datenschutz-Folgenabschätzung die Unterstützung des Verantwortlichen im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragsverarbeiters zurückzuführen sind, kann der Auftragsverarbeiter eine Vergütung beanspruchen. 9. Weisungsbefugnis des Verantwortlichen Mündliche Weisungen bestätigt der Verantwortliche unverzüglich (mind. Textform). Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstöße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird. 10. Löschung und Rückgabe von personenbezogenen Daten Kopien oder Duplikate der Daten werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben. 11. Schlussbestimmungen Änderungen und Ergänzungen dieser Vertragsregelung und all ihrer Bestandteile, einschließlich etwaiger Zusicherungen des Auftragsverarbeiters, bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vertragsregelung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Sollten einzelne Teile dieser Vertragsregelung unwirksam sein, so berührt dies die Wirksamkeit der Vertragsregelung im Übrigen nicht. An Stelle der unwirksamen Bestimmung soll eine Bestimmung vereinbart werden, die dem von den Partnern hiermit verfolgten wirtschaftlichen Zweck möglichst nahekommt. Entsprechendes gilt im Falle einer Regelungslücke. Diese Vertragsregelung unterliegt ausschließlich dem formellen und materiellen Recht der Bundesrepublik Deutschland. Die Anwendung des internationalen Privatrechts sowie des einheitlichen UN-Kaufrechts (CISG) wird ausdrücklich ausgeschlossen. Diese Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO tritt mit Unterzeichnung in Kraft. Anlage 1: Technisch organisatorische Maßnahmen 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) Zutrittskontrolle: Gebäude allgemein: Der Auftragsverarbeiter hat keine Büroräume und speichert keinerlei Nutzerdaten lokal auf Papier oder elektronische Speichermedien Rechenzentrumsräume: PowerControlCenter-Kundendaten werden in Rechenzentren von PlusServer GmbH Hohenzollernring 72, 50672 Köln, Deutschland verarbeitet und gespeichert. Siehe hierzu den gesonderten Vertrag. Technisch organisatorische Maßnahmen bei PlusServer GmbH Hohenzollernring 72 50672 Köln Deutschland werden gesondert bereitgestellt. Zugangskontrolle: Der Benutzer- und Administratorzugriff auf das PowerControlcenter System beruht auf einem rollenbasierten Zugriffsberechtigungsmodell. Jeder Nutzer erhält eine eindeutige ID, um sicherzustellen, dass alle Systemkomponenten nur von berechtigten Benutzern und Administratoren genutzt werden können. Es existieren technische Policies zur Passwortkomplexität und Passwort-Rotation. Beim PowerControlCenter gilt das Prinzip der Minimalberechtigung. Jeder Benutzer erhält nur die Zugriffsrechte, die erforderlich sind, um seine vertraglichen Tätigkeiten durchzuführen. Benutzerkonten werden immer zunächst mit den wenigsten Zugriffsrechten ausgestattet. Für die Einräumung von Zugriffsrechten über die Minimalberechtigung hinaus muss eine entsprechende Berechtigung vorliegen. Einsatz von Firewallsystemen, Virenscanner und Intrusion Detection Systemen auf PowerControlCenter Serversystemen Auf PowerControCenter-Equipment (z.B. Notebooks) sind Virenscanner installiert, die eine Malware-Erkennung und einen E-Mail Filter enthalten. Der Zugriff auf PowerControlCenter-Serversysteme erfolgt via SSH und ist somit verschlüsselt („Public-Key-Cryptography“). Zugriffskontrolle: Zugriffsberechtigung auf PowerControlCenter-Produktivsysteme ist derzeit auf einen Mitarbeiter beschränkt Der Hosting-Dienstleister hat keinen Administrationszugang auf das PowerControlCenter-System Trennungskontrolle: Datensätze unterschiedlicher PowerControlCenter-Kunden werden in einer einheitlichen Datenbank speziell markiert (Tenant-ID, softwareseitige Mandantenfähigkeit). Test- und Produktivdaten sind strikt getrennt in unabhängigen Systemen, Entwicklungssysteme sind ebenfalls unabhängig von Test- und Produktivsystemen Unterschiedliche Domains und SSL Zertifikate für Test- und Produktivsysteme 2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO) Weitergabekontrolle: Soweit Daten zu beauftragten Partnern übertragen werden, sind diese Datenübertragungskanäle immer TLS verschlüsselt Wo dies technisch möglich ist, kommen VPN-Verbindungen zum Einsatz Datenabrufe und Übermittlungsaktivitäten werden protokolliert 3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) Die Leistung wird laut Vertrag explizit nicht zur dauerhaften Speicherung nicht redundant vorhandener Daten Angeboten. Vielmehr bezieht sich das Nutzungsangebot ausschließlich auf die zeitlich begrenzte Verfügbarmachung von Daten einer Organisation für externe Dritte. Applikations-Backups ohne Nutzerdaten werden extern gesichert. Nutzerdaten werden RZ-intern durch RAID-Systeme und redundante Server gesichert. 4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO) Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Verantwortlichen Klare, eindeutige Weisungen Verhinderung von Zugriffen unbefugter Dritter auf die Daten Verbot, Daten in unzulässiger Weise zu kopieren Vereinbarungen über Art des Datentransfers und deren Dokumentation Kontrollrechte durch den Auftraggeber Vereinbarung von Vertragsstrafen Strenge Auswahl der Dienstleister Nachkontrollen

Footer – Data protection

unique_overlay_menu_id_3258

unique_overlay_menu_id_3265

unique_overlay_menu_id_3243

unique_overlay_menu_id_3245

unique_overlay_menu_id_3246

unique_overlay_menu_id_7454

unique_overlay_menu_id_7461

unique_overlay_menu_id_7464

overlay_unique_id_3612

overlay_unique_id_3248

overlay_unique_id_224368

overlay_unique_id_3250

Recent Posts

Archives

Categories

Meta