Impressum & Datenschutz
Impressum
Angaben gemäß § 5 TMG
Max Schönherr
Eißendorfer Str. 70A
21073 Hamburg
Vertreten durch:
Max Schönherr
Kontakt:
Telefon: 0162-6804248
E-Mail: mail@maxschoenherr.com
Haftungsausschluss:
Haftung für Inhalte
Die Inhalte unserer Seiten wurden mit größter Sorgfalt erstellt. Für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte können wir jedoch keine Gewähr übernehmen. Als Diensteanbieter sind wir gemäß § 7 Abs.1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 TMG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen.
Haftung für Links
Unser Angebot enthält Links zu externen Webseiten Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.
Urheberrecht
Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers. Downloads und Kopien dieser Seite sind nur für den privaten, nicht kommerziellen Gebrauch gestattet. Soweit die Inhalte auf dieser Seite nicht vom Betreiber erstellt wurden, werden die Urheberrechte Dritter beachtet. Insbesondere werden Inhalte Dritter als solche gekennzeichnet. Sollten Sie trotzdem auf eine Urheberrechtsverletzung aufmerksam werden, bitten wir um einen entsprechenden Hinweis. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Inhalte umgehend entfernen.
Impressum vom Impressum Generator der Kanzlei Hasselbach, Frankfurt
Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO
Zwischen
Uberspace
vertreten durch
Jonas Pasche
Kaiserstr. 15
55116 Mainz
– nachfolgend „Auftragsverarbeiter“ genannt –
und
Max Schönherr
Eißendorfer Str. 70A
21073 Hamburg
Benutzername bei Uberspace: maxs
– nachfolgend „Verantwortlicher“ genannt –
wird der nachfolgende Vertrag zur Datenverarbeitung im Auftrag im Sinne von Art. 28 Datenschutz-Grundverordnung (DSGVO) geschlossen.
1. Gegenstand dieses Vertrages über die Datenverarbeitung im Auftrag (Art. 28 Abs. 1 DSGVO)
1.1 Gegenstand des Vertrages ist die Bereitstellung von Webhosting-Dienstleistungen sowie der damit im Zusammenhang stehenden Leistungen wie z.B. E-Mail, Domainregistrierung, etc. durch den Auftragsverarbeiter. Im Rahmen dieses Vertrages hat der Verantwortliche unter Nutzung u.a. z.B. eines Webservers, SFTP-Servers oder SSH-Zugangs die Möglichkeit, Daten zu verarbeiten (zu speichern, zu verändern, zu übermitteln und zu löschen). Die Tätigkeit des Auftragsverarbeiters beschränkt sich dabei auf die Bereitstellung der IT-Infrastruktur, dem sog. „Uberspace“.
1.2 Gegenstand des Vertrages ist nicht die originäre Nutzung oder Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter. Im Zuge der Leistungserbringung des Auftragsverarbeiters als IT-Dienstleister im Bereich des Hostings, des Supports bzw. der Administration von Server-Systemen des Verantwortlichen, kann ein Zugriff auf personenbezogene Daten jedoch nicht ausgeschlossen werden.
1.3 Die Einzelheiten ergeben sich aus dem Hauptvertrag, der unter dem genannten Benutzernamen geführt wird. Die Vereinbarung zur Auftragsverarbeitung findet Anwendung auf das gesamte Dienstleistungsverhältnis, sofern die in Punkt 1.1 beschriebenen Dienstleistungen betroffen sind. Der Hauptvertrag gestaltet sich aus der unter https://uberspace.de/product/ zu findenden Produktbeschreibung und den
unter https://uberspace.de/about/houserules/ aufgeführten Hausregeln.
1.4 Soweit nachfolgend von Daten die Rede ist, handelt es sich ausschließlich um personenbezogene Daten im Sinne der DSGVO. Die nachfolgenden Datenschutz und Datensicherheitsbestimmungen finden Anwendung auf alle Leistungen der Auftragsverarbeitung i.S.d. Art. 28 Abs. 1 DSGVO, die der Auftragsverarbeiter gegenüber dem Verantwortlichen erbringt und auf alle Tätigkeiten, bei denen Mitarbeiter des Auftragsverarbeiters oder durch den Auftragsverarbeiter beauftragte Dritte mit personenbezogenen Daten des Verantwortlichen in Berührung kommen können.
1.5 In Ergänzung zu dem/den zwischen den Parteien geschlossenen Vertrag/Verträgen konkretisieren die Vertragsparteien mit vorliegendem Vertrag zur Auftragsverarbeitung die gegenseitigen Pflichten im generellen Umgang mit den Daten des Verantwortlichen.
2. Laufzeit, Beendigung, Löschung von Daten (Art. 28 Abs. 1 DSGVO)
2.1 Die Laufzeit des Vertrages richtet sich nach der Dauer der Erbringung von Hosting-Leistungen des Auftragsverarbeiters an den Verantwortlichen. Der Auftrag endet, wenn der Verantwortliche keine Hosting-Leistungen des Auftragsverarbeiters, entsprechend den Leistungsvereinbarungen/Angeboten der einzelnen Auftragsbestätigungen für Hosting-Leistungen des Auftragsverarbeiters, mehr in Anspruch nimmt.
2.2 Die Rechte der durch den Datenumgang durch den Auftragsverarbeiter betroffenen Personen, insbesondere auf Berichtigung, Löschung und Sperrung, sind gegenüber dem Verantwortlichen geltend zu machen. Er ist allein verantwortlich für die Wahrung dieser Rechte. Unterstützung leistet der Auftragsverarbeiter in dem Maße, in dem das Wesen seiner Dienstleistung eine Einflussnahme auf die Wahrung der Betroffenenrechte zulässt.
2.3 Nach Ende des Auftrags oder auf schriftliche Aufforderung durch den Verantwortlichen hat der Auftragsverarbeiter sämtliche Daten des Verantwortlichen vollständig datenschutzgerecht zu löschen (einschließlich der verfahrens- oder sicherheitstechnisch notwendigen Kopien) oder - im Fall physisch ausgehändigter Medien - an den Verantwortlichen zurückzugeben. Die Löschung von durch den Auftragsverarbeiter angefertigten Datensicherungen erfolgt aus technischen Gründen mit einem zeitlichen Versatz von 7 Wochen im automatisierten Verfahren. Das gleiche gilt auch für Test- und Ausschussmaterial, das bis zur Löschung oder Rückgabe unter datenschutzgerechtem Verschluss zu halten ist. Dies gilt nicht für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen oder soweit z.B. rechtliche Regelungen, gesetzliche Pflichten oder gerichtliche Verfügungen dem entgegenstehen. Entstehen durch eine Löschung vor Vertragsbeendigung zusätzliche Kosten, so trägt diese der Verantwortliche.
2.4 Der Auftragsverarbeiter ist verpflichtet, im Rahmen seiner Tätigkeit für den Verantwortlichen an ihn gerichtete Ersuchen Betroffener zur sachgerechten Bearbeitung unverzüglich an den Verantwortlichen weiterzuleiten. Er ist nicht berechtigt, diese Ersuchen ohne Abstimmung mit dem Verantwortlichen selbständig
zu bescheiden.
2.5 Der Auftragsverarbeiter hat den Verantwortlichen bei der Umsetzung der Rechte der Betroffenen nach Kapitel III der DSGVO, insbesondere im Hinblick auf Berichtigung, Sperrung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen der technischen Möglichkeiten, insbesondere hinsichtlich des Charakters der geschuldeten Dienstleistung, zu unterstützen.
2.6 Zu einem Datenträgeraustausch gemäß Art. 28 Abs. 3 lit. g DSGVO zwischen den Beteiligten dieser Auftragsdatenverarbeitung kommt es nicht. Die Rückgabe von Datenträgern bedarf insofern keiner Regelung.
3. Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und / oder Nutzung der Daten
3.1 Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und / oder Nutzung der Daten ergeben sich aus dem zwischen den Vertragsparteien bestehenden Hauptvertrag.
Der Auftragsverarbeiter ist verpflichtet, die ihm zur Verfügung gestellten personenbezogenen Daten ausschließlich zur vertraglich vereinbarten Leistung zu verwenden. Dem Auftragsverarbeiter ist es gestattet, verfahrens- und sicherheitstechnisch erforderliche Zwischen-, Temporär- oder Duplikatsdateien zur leistungsgemäßen Erhebung, Verarbeitung und / oder Nutzung der personenbezogenen Daten zu erstellen, soweit dies nicht zu einer inhaltlichen Umgestaltung führt. Dem Auftragsverarbeiter ist nicht gestattet, unautorisiert Kopien der personenbezogenen Daten zu erstellen.
Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. Daten aus Adressbüchern und Verzeichnissen dürfen nur zur Kommunikation im Rahmen der Auftragserfüllung mit dem Verantwortlichen verwendet werden. Eine anderweitige Nutzung und Übermittlung für eigene oder fremde Zwecke, einschl. Marketingzwecke, ist nicht gestattet.
3.2 Soweit seitens des Auftragsverarbeiter eine Erhebung, Verarbeitung und / oder Nutzung der Daten erfolgt, geschieht dies ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Jede Verlagerung in ein anderes Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 DSGVO erfüllt sind.
4. Art der Daten und Kreis der Betroffenen (Art. 28 Abs. 3 S. 1 DSGVO)
Der Auftragsverarbeiter hat keinen Einfluss auf die Art der Daten und den Kreis der Betroffenen.
5. Pflichten des Auftragsverarbeiters
5.1 Allgemeine Pflichten (Art. 28-33 DSGVO)
5.1.1 Der Auftragsverarbeiter verpflichtet sich zu einer schriftlichen Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 37, 38 DSGVO ausüben kann. Dessen Kontaktdaten werden dem Verantwortlichen zum Zweck der direkten Kontaktaufnahme unter
https://uberspace.de/de/about/privacy/#datenschutzbeauftragter mitgeteilt.
5.1.2 Soweit seitens des Auftragsverarbeiters eine Erhebung, Verarbeitung und / oder Nutzung der Daten erfolgt, ist dies nur zulässig im Rahmen der vertraglichen Vereinbarungen zwischen Verantwortlichem und Auftragsverarbeiter. Soweit der Auftragsverarbeiter Zugriff auf Daten des Verantwortlichen hat, verwendet er diese nicht für vertragsfremde Zwecke, insbesondere gibt er diese an Dritte nur weiter, soweit hierzu eine gesetzliche Verpflichtung besteht. Kopien von Daten dürfen nur mit Zustimmung des Verantwortlichen erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung oder Erfüllung vertraglicher oder gesetzlicher Verpflichtungen erforderlich sind.
5.1.3 Der Auftragsverarbeiter stellt die Wahrung der Vertraulichkeit entsprechend Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO sicher. Alle Personen, die auftragsgemäß auf die unter Punkt 4.1 aufgeführten Daten der Verantwortlichen zugreifen könnten, müssen auf die Vertraulichkeit verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden.
5.1.4 Der Auftragsverarbeiter stellt die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32 DSGVO sicher.
5.1.5 Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich bei von ihm oder der bei ihm beschäftigten Personen begangenen Verstößen gegen Datenschutzvorschriften. Gleiches gilt im Falle schwerwiegender Störungen des Betriebsablaufs oder anderen Unregelmäßigkeiten im Umgang mit Daten des Verantwortlichen. Soweit den Verantwortlichen Pflichten nach Art. 32 und 33 DSGVO treffen, hat der Auftragsverarbeiter ihn hierbei zu unterstützen. Soweit den Verantwortlichen Pflichten nach Art. 32-36 DSGVO treffen, z.B. im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten durch Dritte, hat der Auftragsverarbeiter ihn hierbei im Rahmen des Charakters der durch den Auftragsverarbeiter erbrachten Dienstleistung zu unterstützen.
5.2 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
5.2.1 Der Auftragsverarbeiter gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den Anforderungen des Datenschutzes gerecht wird. Er trifft dabei technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten vor Missbrauch und Verlust, um den Anforderungen der DSGVO zu entsprechen.
5.2.2 Die Parteien sind sich einig, dass die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der Weiterentwicklung unterliegen. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Er muss den Verantwortlichen hierüber auf Anfrage informieren und sicherstellen, dass das Sicherheitsniveau der festgelegten Maßnahme nicht unterschritten wird. Der Auftragsverarbeiter hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Wesentliche Änderungen sind zu dokumentieren.
6. Unterauftragsverhältnisse (Art. 28 Abs. 2 u. 4 DSGVO)
6.1 Der Verantwortliche ist damit einverstanden, dass der Auftragsverarbeiter zur Erfüllung seiner vertraglich vereinbarten Leistungen, insbesondere, aber nicht ausschließlich, für die Bereiche Wartung und Installation der
Rechenzentrumsinfrastruktur, Telekommunikationsdienstleistungen und Benutzerservice, verbundene Unternehmen des Auftragsverarbeiters zur Leistungserfüllung heranzieht bzw. Unternehmen mit Leistungen unterbeauftragt.
6.2 Erteilt der Auftragsverarbeiter Aufträge an Unterauftragnehmer („weitere Auftragsverarbeiter“), so obliegt es dem Auftragsverarbeiter, seine Pflichten aus diesem Vertrag zur Auftragsverarbeitung dem Unterauftragnehmer bzw. weiteren Auftragsverarbeiter zu übertragen.
6.3 Die Auftragsverarbeiter trägt dafür Sorge, dass der Verantwortliche eine aktuelle Liste der eingesetzten Unterauftragnehmer bzw. weiteren Auftragsverarbeiter auf der Website bzw. im Dashboard stets zum Abruf zur Verfügung steht. Bei Änderung dieser Liste in Bezug auf die Hinzuziehung oder Ersetzung von weiteren Auftragsverarbeitern ergeht hierüber eine Information an den Verantwortlichen. Der Verantwortliche hat die Möglichkeit, nach Informationsmitteilung binnen 5 Tagen schriftlich oder in Textform Einspruch gegen die Änderung zu erheben.
6.4 Ein Unterauftragnehmer kann ohne vorherige Information eingesetzt werden, wenn sich der Grund für den Einsatz bzw. Austausch der zumutbaren Kontrolle des Auftragsverarbeiters entzieht und der umgehende Austausch aus Sicherheits- oder anderen dringenden Gründen erforderlich ist. In einem solchen Falle erfolgt die Information an den Verantwortlichen über den neuen Unterauftragnehmer nach dessen Ernennung unverzüglich.
7. Pflichten des Verantwortlichen (Art. 24 DSGVO und Art. 13 und 14 DSGVO)
7.1 Der Verantwortliche ist für die Einhaltung der für ihn einschlägigen datenschutzrechtlichen Regelungen verantwortlich.
7.2 Der Verantwortliche hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er Verstöße des Auftragsverarbeiters gegen datenschutzrechtliche
Bestimmungen feststellt.
7.3 Den Verantwortlichen treffen die sich aus Art. 24 DSGVO und Art. 13 und 14 DSGVO ergebenden Informationspflichten.
8. Weisungsbefugnisse, Berichtigung, Löschung und Sperrung, Rechte Betroffener (Art. 29 i.V.m. 28 DSGVO sowie Kapitel III der DSGVO)
8.1 Der Verantwortliche hat selbst jederzeit umfassenden Zugriff auf die Daten, so dass es einer Mitwirkung des Auftragsverarbeiters insbesondere auch zu Berichtigung, Sperrung, Löschung etc. nicht bedarf. Soweit eine Mitwirkung des Auftragsverarbeiter erforderlich ist, ist der Auftragsverarbeiter hierzu gegen Erstattung der anfallenden angemessenen Kosten verpflichtet. Dem Verantwortlichen steht in diesem Fall ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung gemäß Art. 29 i.V.m. 28 DSGVO zu. Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch eine hierzu befugte Person beim Verantwortlichen bestätigt oder geändert wird.
8.2 Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragsverarbeiter dieses Ersuchen an den Verantwortlichen weiterleiten. Ist der Verantwortliche aufgrund geltender Datenschutzgesetze verpflichtet, Auskünfte zur Erhebung, Verarbeitung und / oder Nutzung von Daten zu erteilen, wird der Auftragsverarbeiter den Verantwortlichen dabei soweit notwendig bei der Bereitstellung dieser Informationen unterstützen. Eine diesbezügliche Anfrage hat der Verantwortliche schriftlich an den Auftragsverarbeiter zu richten und diesem die hierdurch entstandenen Kosten zu erstatten.
9. Kontrollrechte des Verantwortlichen
9.1 Der Verantwortliche hat das Recht, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.
9.2. Dem Verantwortlichen steht hierzu auf Anfrage die durch den Datenschutzbeauftragten des Auftragsverarbeiter erstellte, regelmäßig überarbeitete und den gesetzlichen Anforderungen entsprechende Dokumentation über die vorhandenen technischen und organisatorischen Maßnahmen zur Verfügung.
9.3. Der Verantwortliche hat das Recht, die Auftragskontrolle im Benehmen mit dem Auftragsverarbeiter durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, nach rechtzeitiger vorheriger Anmeldung (3 Wochen) zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in seinem Geschäftsbetrieb zu überzeugen. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die zur
Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Kosten, die dem Auftragsverarbeiter durch seine Unterstützungshandlung entstehen, sind ihm im angemessenen Umfang zu erstatten (Auditkosten).
9.4 Im Hinblick auf die Kontrollverpflichtungen des Verantwortlichen nach Art. 28 Abs. 1 DSGVO vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragsverarbeiter sicher, dass der Verantwortliche sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann.
9.5 Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die zur Wahrung ihrer bei der Verarbeitung der oben genannten Daten bestehende Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und Nachweise zu führen. Dies gilt auch, soweit der Auftragsverarbeiter die Kontrolle seiner Unterauftragnehmer bzw. weiteren Auftragsverarbeiter für den Verantwortlichen durchführt.
10. Salvatorische Klausel, Gerichtsstand
10.1 Sollte eine Bestimmung dieses Vertrages ungültig oder undurchsetzbar sein oder werden, so bleiben die übrigen Bestimmungen dieses Vertrages hiervon unberührt. Die Parteien vereinbaren, die ungültige oder undurchsetzbare Bestimmung durch eine gültige und durchsetzbare Bestimmung zu ersetzen, welche wirtschaftlich der Zielsetzung der Parteien am nächsten kommt. Das Gleiche gilt im Falle einer Regelungslücke.
10.2 Als Gerichtsstand wird Mainz vereinbart.
Dieser Vertrag wurde am 23.06.2024 durch Max Schönherr als Vertreter des Verantwortlichen online abgeschlossen.
Anhang: Technische und organisatorische Maßnahmen
Die folgende Aufstellung umfasst die technischen und organisatorischen Maßnahmen zum Zeitpunkt des Vertragsschlusses des obigen Vertrags. Sie können gemäß § 5.2.2 des obigen AV-Vertrags jederzeit im Sinne des technischen Fortschritts erweitert und verbessert werden. Die jeweils aktuelle Fassung kann jederzeit auf der Website von Uberspace im Bereich Datenschutz abgerufen werden.
Anlage technische und
organisatorische Maßnahmen (TOM) Maßnahmen gemäß DSGVO (Sicherheit der Verarbeitung)
Stand 24.05.2018 (letzte Überprüfung 06/2024)
Pseudonymisierung und Verschlüsselung
Die Pseudonymisierung und Verschlüsselung personenbezogener Daten (§ 32a DSGVO).
Pseudonymisierung
● Die Maßnahmen der Pseudonymisierung obliegt dem Verantwortlichen. Verschlüsselung
Maßnahmen beim Produkt Uberspace:
● Verschlüsselung von Datenübertragungen beim Erstellen externer Backups. ● Verschlüsselung von Datenübertragungen zwischen Uberspace Dashboard und Uberspace Account.
● Bereitstellung verschlüsselter Übertragungswege wie sftp, ssh oder https.
Maßnahmen bei Produkten Plesk, Dedicated Hosting und Housing
● Die Maßnahmen der Verschlüsselung obliegt dem Verantwortlichen. ● Verschlüsselung von Datenübertragungen beim Erstellen externer Backups.
Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit
Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (§ 32b DSGVO).
Vertraulichkeit
Zutrittskontrolle (Räume)
Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
● Werkschutz, Pförtner
● Verwaltung von personengebundenen Zutrittsberechtigungen
● Festlegung Zutrittsberechtigter Personen
● Protokollierung des Zutritts
● Festlegung von Sicherheitsbereichen
● Videoüberwachung der Zugänge
● Sicherheitstüren (Chipkarten-/Transponder-Schließsystem)
● Sicherheitsschlösser Serverschränke
● Tragepflicht von Mitarbeiter- / Gästeausweisen
Zugangskontrolle (Oberflächen)
Verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Maßnahmen bei internen Verwaltungssystemen des Auftragsverarbeiters:
● Authentifikation mit Benutzer + Passwort
● Passwortvergabe / Passwortregeln
● Zwei-Faktor-Authentifikation wenn möglich
● Individuelle Schlüssel pro Mitarbeiter und Arbeitsgerät
● Sorgfältige Auswahl von Reinigungspersonal
Maßnahmen bei Produkten Uberspace, Plesk, Dedicated Hosting und Housing ● Die Maßnahmen der Zugangskontrollen obliegen dem Verantwortlichen.
Zugriffskontrolle (Dateien)
Gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Maßnahmen bei internen Verwaltungssystemen des Auftraggebers:
● Zertifizierte Aktenvernichtung durch Dienstleister
Maßnahmen bei Produkten Uberspace, Plesk, Dedicated Hosting und Housing
● Die Maßnahmen der Zugriffskontrolle obliegt dem Verantwortlichen. ● Bei den Produkten Uberspace, Plesk oder durch vertraglicher Vereinbarung werden regelmäßige Sicherheitsupdates eingespielt, die unberechtigte Zugriffe auf Grund von Sicherheitslücken unterbinden sollen.
Datenträgerkontrolle
Maßnahmen beim Produkt Housing:
● Beim Produkt Housing erfolgt Übergabe dekommissionierter Hardware zurück an Kunden. Die Maßnahmen der Datenträgerkontrolle obliegt dann dem
Verantwortlichen.
Maßnahmen bei Produkten Uberspace, Plesk und Dedicated Hosting
● Physikalische Zerstörung von dekommissionierten Datenträgern.
Trennungsgebot
Gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Maßnahmen beim Produkt Uberspace:
● Trennung Produkt, Support-Ticketsystem, Bankdaten und Kundendatenbank.
Maßnahmen bei Produkten Plesk, Dedicated Hosting und Housing
● Die Maßnahmen des Trennungsgebotes obliegen dem Verantwortlichen.
Auftragskontrolle
Gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
● Auswahl weiterer Auftragsverarbeiter unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit).
● Abschluss von Auftragsverarbeitungsverträgen.
● Beauftragte Verarbeitung durch Auftragnehmer nur nach genauer Anweisung. Integrität
Weitergabekontrolle (Transport)
Gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
● Sorgfältige Auswahl von Transportpersonal und -fahrzeugen.
● Maschinen-Authentifikation bei netzbasierten automatisierten
Übertragungsvorgängen.
Verfügbarkeit
Verfügbarkeitskontrolle
Gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
● Automatische Brandlöschung
● Feuer- und Rauchmeldeanlagen
● Unterbrechungsfreie Stromversorgung
● Überwachte Stromverteilungssysteme
● Klimaanlage in Serverräumen
● Testen der Datenwiederherstellung
● Einsatz aktueller Technologien zur Reduzierung von Ausfällen je nach Produkt (Beispiel: Clusterbetrieb)
● Erstellen von Backup- und Recoverykonzepten
Belastbarkeit
Belastbarkeitskontrolle
● Zutrittskontrolle Rechenzentrum
● Zugangskontrollen Mitarbeiter
● 24/7 Monitoring aller relevanten Systeme
● Netzwerk-Firewalls
● Rate-Limits der Netzwerkdienste
Wiederherstellbarkeit
Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (§ 32c DSGVO).
Wiederherstellbarkeit
Wie wird gewährleistet, dass personenbezogene Daten nach Sicherheitsvorfällen rasch wieder verfügbar und zugänglich sind?
● 24/7 Monitoring aller relevanten Systeme
● 24/7 Bereitschaftsdienst
● Regelmäßige Datensicherung (Backup- und Restorekonzept)
Überprüfung
Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (§ 32d DSGVO).
Verfahren zur regelmäßigen Überprüfung
Wie wird gewährleistet, dass die genannten Datensicherungsmaßnahmen regelmäßig überprüft werden?
● Automatische Überprüfung und Alarmierung auf Aktualität der Datensicherungen
Verarbeitung personenbezogener Daten nur nach Anweisung Wie wird gewährleistet, dass personenbezogene Daten nur entsprechend den Weisungen des
Verantwortlichen verarbeitet werden?
● Benennung des Datenschutzbeauftragten ● Verpflichtung der Mitarbeiter auf Vertraulichkeit