Polio Selbsthilfe Ingolstadt

Gemeinsam sind wir stark!

Vereinbarung zur Auftragsverarbeitung zwischen BV Polio e.V. RG 66 Ingolstadt und der Fa. Strato AG (Webseitenbetreiber)


Nach Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO).Version 3.0zur Kundennummer [73735200]zwischenAnna, Rausch / Bundesverband Polio e.V., Regionalgruppe IngolstadtLeonhardstraße 885088 Vohburgals Auftraggeber– nachfolgend Auftraggeber –undSTRATO AGPascalstraße 1010587 Berlinals Auftragnehmer- nachfolgend Auftragnehmer –1. Gegenstand und Dauer der Verarbeitung1.1. Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen derLeistungserbringung gemäß Auftrag, Leistungsbeschreibung und AGB (nachfolgend Hauptvertrag),soweit eine Verarbeitung von personenbezogenen Daten durch den Auftragnehmer alsAuftragsverarbeiter für den Auftraggeber gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten,die der Auftragnehmer zur Erfullung des Auftrags erbringt und die eine Auftragsverarbeitungdarstellen. Dies gilt auch, sofern der Auftrag nicht ausdrücklich auf diese Vereinbarung zurAuftragsverarbeitung verweist.1.2. Die Dauer der Verarbeitung entspricht der im Auftrag vereinbarten Laufzeit.2. Art und Zweck der Verarbeitung2.1. Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO zur Erfüllungdes Auftrags.2.2. Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung im Bereich Cloud-Dienstleistungen, Hosting, Software as a Service (SaaS) und IT-Support erforderlichen Zwecke.3. Art der personenbezogenen Daten und Kategorien von Betroffenen3.1. Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Produktwahl, dieKonfiguration, die Nutzung der Dienste und die Übermittlung von Daten.3.2. Die Kategorien von Betroffenen bestimmt der Auftraggeber durch die Produktwahl, dieSTRATO Login https://www.strato.de/apps/CustomerService?sessionID=36cdfba5...1 von 9 02.07.18, 13:37Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten.4. Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen4.1. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichenBestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich(»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf die in dieserVereinbarung geregelten Zwecke und Mittel der Verarbeitung.4.2. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vomAuftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) durcheinzelne Weisungen geändert werden (Einzelweisung). Mündliche Weisungen sind unverzüglichschriftlich oder in Textform zu bestätigen. Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Bei Änderungsvorschlägen teilt der Auftragnehmer demAuftraggeber mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere dieMöglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist dem Auftragnehmer dieUmsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zubeenden. Eine Unzumutbarkeit liegt insbesondere vor, wenn die Leistungen in einer Infrastrukturerbracht werden, die von mehreren Auftraggebern / Kunden des Auftragnehmers genutzt wird (SharedServices), und eine Änderung der Verarbeitung für einzelne Auftraggeber nicht möglich oder nichtzumutbar ist.4.3. Die vertraglich vereinbarte Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat derEuropäischen Union oder in einem anderen Vertragsstaat des Abkommens über den EuropäischenWirtschaftsraum statt, soweit nicht etwas anderes vereinbart ist, z.B. über die Produktbeschreibungder beauftragten Leistung .4.4. Ist Vertragsbestandteil die Registrierung von Domains bei Registrierungsstellen, die ihren Sitz ineinem Drittland haben (außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums),ist auch vereinbart, dass der Auftragnehmer personenbezogene Daten - unter Beachtung der zwingendanwendbaren Vorschriften – an diese Registrierungsstellen übermittelt.4.5. Die Parteien vereinbaren außerdem, dass der Auftragnehmer berechtigt ist, personenbezogeneDaten - unter Beachtung der zwingend anwendbaren Vorschriften zur Leistungserbringung in einemDrittland zu übermitteln. Dies ist insbesondere der Fall, wenn Auftragsgegenstand der Dienst einesDrittanbieters ist, der diesen Dienst ganz oder teilweise in einem Drittland erbringt.5. Rechte des Auftraggebers, Pflichten des Auftragnehmers5.1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und derdokumentierten Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnahmefall im Sinnedes Artikel 28 Abs. 3 a) DSGVO vor (Verpflichtung nach dem Recht der Europäischen Union oder einesMitgliedstaates). Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er derAuffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf dieUmsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändertwurde.5.2. Der Auftragnehmer unterstützt angesichts der Art der Verarbeitung nach Möglichkeit denAuftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung derAnsprüche der betroffenen Personen nach Kapitel III der DSGVO. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen.STRATO Login https://www.strato.de/apps/CustomerService?sessionID=36cdfba5...2 von 9 02.07.18, 13:375.3. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitungund der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36DSGVO genannten Pflichten. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen.5.4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebersbefassten Mitarbeiter und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Datenaußerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zurVerarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet habenoder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Gleiches gilt für dasFernmeldegeheimnis nach § 88 TKG und – in Kenntnis der Strafbarkeit – für die Wahrung vonGeheimnissen der Berufsgeheimnisträger nach § 203 StGB. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.5.5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen desSchutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft dieerforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgenfür die betroffenen Personen.5.6. Der Auftragnehmer gewährleistet die schriftliche Bestellung eines Datenschutzbeauftragten, derseine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Eine Kontaktmöglichkeit wird auf der Webseitedes Auftragnehmers veröffentlicht.5.7. Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Kunden zurück, sofern nicht nach dem Unionsrecht oder nach dem anwendbaren Recht eines Mitgliedstaates eineVerpflichtung zur Speicherung der personenbezogenen Daten besteht oder sich aus jeweiligenvertraglichen Vereinbarungen etwas anderes ergibt. Macht der Auftraggeber von diesem Wahlrechtkeinen Gebrauch, gilt die Löschung als vereinbart. Wählt der Auftraggeber die Rückgabe, kann derAuftragnehmer eine angemessene Vergütung verlangen.5.8. Machen betroffene Person Schadensersatzansprüche nach Art. 82 DSGVO geltend, unterstützt der Auftragnehmer den Auftraggeber bei der Abwehr der Ansprüche im Rahmen seiner Möglichkeiten. Der Auftragnehmer kann hierfür eine angemessene Vergütung verlangen.6. Pflichten des Auftraggebers6.1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Durchführung des Auftrags Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicherBestimmungen feststellt.6.2. Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen Datenvor Vertragsbeendigung zu löschen, die er in den Diensten gespeichert hat.6.3. Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner inDatenschutzangelegenheiten.7. Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO7.1. Der Auftragnehmer ergreift in seinem Verantwortungsbereich geeignete technische undorganisatorische Maßnahmen, um sicher zu stellen, dass die Verarbeitung gemäß den Anforderungender DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. Der Auftragnehmer ergreift in seinem Verantwortungsbereich gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.7.2. Die aktuellen technischen und organisatorischen Maßnahmen sind im Anhang 2 aufgeführt.7.3. Der Auftragnehmer betreibt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit dertechnischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitunggemäß Art. 32 Abs. 1 lit. d) DSGVO.7.4. Der Auftragnehmer passt die getroffenen Maßnahmen im Laufe der Zeit an die Entwicklungenbeim Stand der Technik und die Risikolage an. Eine Änderung der getroffenen technischen undorganisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, sofern das Schutzniveau nach Art 32 DSGVO nicht unterschritten wird.8. Nachweis und Überprüfung8.1. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis derEinhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglichtÜberprüfungen - einschließlich Inspektionen -, die vom Auftraggeber oder einem anderen von diesembeauftragten Prüfer durchgeführt werden, und trägt dazu bei. Der Auftragnehmer ist berechtigt, eineVerschwiegenheitserklärung vom Auftraggeber und von dessen beauftragten Prüfer zu verlangen. DerAuftragnehmer stimmt der Benennung eines unabhängigen externen Prüfers durch den Auftraggeberzu, sofern der Auftraggeber dem Auftragnehmer eine Kopie des Auditberichts zur Verfügung stellt.Wettbewerber des Auftraggebers oder Personen, die für Wettbewerber des Auftraggebers tätig sind,kann der Auftragnehmer als Prüfer ablehnen.8.2. Als Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten reicht demAuftraggeber die vorliegende Zertifizierung nach ISO 27001 aus. Das jeweils aktuelle Zertifikat stellt der Auftragnehmer auf seiner Webseite zur Verfügung.8.3. Das Inspektionsrecht des Auftraggebers hat das Ziel, die Einhaltung der einem Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO und dieses Vertrages zu überprüfen. Der Nachweis der Einhaltung dieser Pflichten wird durch die Zertifizierung nach vorstehendem Absatz erbracht. Sofern der Auftraggeber auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass diese Zertifizierungen zureichend oder zutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DSGVO im Zusammenhang mit der Durchführung der Auftragsverarbeitung für den Auftraggeber dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen. Diese können zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt werden.8.4. Für Informationen und Unterstützungshandlungen kann der Auftragnehmer eine angemesseneVergütung verlangen. Der Aufwand für den Auftragnehmer durch eine Inspektion ist grundsätzlich aufeinen Tag pro Kalenderjahr begrenzt.8.5. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige staatliche oder kirchlicheAufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gelten die vorstehenden Regelnentsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenndiese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.9. Subunternehmer (weitere Auftragsverarbeiter)9.1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitereAuftragsverarbeiter im Sinne des Art. 28 DSGVO zur Vertragserfüllung einzusetzen.9.2. Die aktuell eingesetzten weiteren Auftragsverarbeiter sind im Anhang 1 aufgeführt. DerAuftraggeber erklärt sich mit deren Einsatz einverstanden.9.3. Der Auftragnehmer informiert den Auftraggeber, wenn er eine Änderung in Bezug auf dieHinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt. Der Auftraggeber kanngegen derartige Änderungen Einspruch erheben.9.4. Der Einspruch gegen die beabsichtigte Änderung kann nur aus einem wichtigendatenschutzrechtlichen Grund innerhalb einer angemessenen Frist nach Zugang der Information überdie Änderung gegenüber dem Auftragnehmer erhoben werden. Im Fall des Einspruchs kann derAuftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder -sofern die Erbringung der Leistung ohne die beabsichtigte Änderung für den Auftragnehmer nichtzumutbar ist - die von der Änderung betroffene Leistung gegenüber dem Auftraggeber innerhalb einerangemessenen Frist nach Zugang des Einspruchs einstellen.9.5. Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter, so obliegt es demAuftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiterenAuftragsverarbeiter zu übertragen.9.6. Als weitere Auftragsverarbeiter im Sinne dieser Regelung sind nur solche Subunternehmer zuverstehen, die Dienstleistungen erbringen, die sich unmittelbar auf die Erbringung der Hauptleistungbeziehen. Nicht hierzu gehören solche Nebenleistungen, die sich auf Telekommunikationsleistungen,Druck-/Post-/Transportdienstleistungen, Wartung und Pflege, Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit,Integrität und Belastbarkeit der personenbezogenen Daten, Netze, Dienste,Datenverarbeitungsanlagen und sonstiger IT-Systeme, beziehen. Der Auftragnehmer ist jedochverpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit in Bezug auf die Datendes Auftraggebers auch bei solchen Nebenleistungen angemessene und gesetzeskonformevertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.10. Haftung und Schadensersatz10.1. Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person nachArt. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung deszugrundeliegenden Sachverhalts beizutragen.10.2. Die zwischen den Parteien im Hauptvertrag zur Leistungserbringung vereinbarteHaftungsregelung gilt auch für Ansprüche aus dieser Vereinbarung zur Auftragsverarbeitung und imInnenverhältnis zwischen den Parteien für Ansprüche Dritter nach Art 82 DSGVO, außer soweitausdrücklich etwas anderes vereinbart ist.11. Vertragslaufzeit, Sonstiges11.1. Die Vereinbarung beginnt mit dem Abschluss durch den Kunden. Sie endet mit Ende des letztenVertrages unter der o.g. Kundennummer. Sollte eine Auftragsverarbeitung noch nach Beendigungdieses Vertrages stattfinden, gelten die Regelungen dieser Vereinbarungen bis zum tatsächlichen Endeder Verarbeitung.11.2. STRATO kann die Vereinbarung nach billigem Ermessen mit angemessener Ankündigungsfriständern. Es gilt Ziffer 1.4 AGB.11.3. Ergänzend gelten die AGB des Auftragnehmers, abrufbar unter https://www.strato.de/agb/. Beietwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zur Auftragsverarbeitung denRegelungen des Hauptvertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, soberührt dies die Wirksamkeit der Vereinbarungen im Übrigen nicht.11.4. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesemVertrag ist Berlin. Dieser gilt vorbehaltlich eines etwaigen ausschließlich gesetzlichen Gerichtsstandes. Dieser Vertrag unterliegt den gesetzlichen Bestimmungen der Bundesrepublik Deutschland.11.5. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme,durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher « im Sinne der DSGVO liegen.

 

Anhang 1 zur Vereinbarung zur Auftragsverarbeitung - Genehmigte Subunternehmer /

weitere AuftragsverarbeiterStand 20180321Subunternehmer Land Adresse Kurzbeschreibung der LeistungContent ManagementAGDeutschland Im Medienpark 6,50670 KölnEntwicklung, Wartung und Pflegedes HompagebaukastensePages GmbH Deutschland Pilatuspool 2, 20355HamburgEntwicklung, Wartung und Pflegeder WebshopsOpen-Xchange GmbH Deutschland Martinstraße 41,57462 OlpeEntwicklung, Wartung und Pflegedes Communicators1&1 Internet SE Deutschland Elgendorfer Straße 7,56410 MontabaurEntwicklung und Betrieb derSTRATO Online BuchhaltungSeven IT GmbH Deutschland SevenIT, Hauptstraße40, 77652 OffenburgBetrieb und Support der STRATOOnline Buchhaltung

 

Anhang 2 zur Vereinbarung zur Auftragsverarbeitung - Technische und

Organisatorische Sicherheitsmaßnahmen gemäß Art 32 DSGVOVersion 1.01. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)1.1 ZutrittskontrolleUnbefugten ist der Zutritt zu Räumen zu verwehren, in denen Datenverarbeitungsanlagenuntergebracht sind.Festlegung von Sicherheitsbereichen• Realisierung eines wirksamen Zutrittsschutzes• Protokollierung des Zutritts• Festlegung Zutrittsberechtigter Personen• Verwaltung von personengebundenen Zutrittsberechtigungen• Begleitung von Fremdpersonal• Überwachung der Räume1.2 ZugangskontrolleEs ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden.• Festlegung des Schutzbedarfs• Zugangsschutz• Umsetzung sicherer Zugangsverfahren, starke Authentisierung• Umsetzung einfacher Authentisierung per Username Passwort• Protokollierung des Zugangs• Monitoring bei kritischen IT-Systemen• Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen• Sperrung bei Fehlversuchen/Inaktivität und Prozess zur Rücksetzung gesperrter Zugangskennungen• Verbot Speicherfunktion für Passwörter und/oder Formulareingaben (Server/Clients)• Festlegung befugter Personen• Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien undZugangsberechtigungen• Automatische Zugangssperre und Manuelle Zugangssperre1.3 ZugriffskontrolleEs kann nur auf die Daten zugegriffen, für die eine Zugriffsberechtigung besteht. Daten können bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oderentfernt werden.• Erstellen eines Berechtigungskonzepts• Umsetzung von Zugriffsbeschränkungen• Vergabe minimaler Berechtigungen• Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen• Vermeidung der Konzentration von Funktionen1.4 VerwendungszweckkontrolleEs ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitetwerden können.• Datensparsamkeit im Umgang mit personenbezogenen Daten• Getrennte Verarbeitung verschiedener Datensätze• Regelmäßige Verwendungszweckkontrolle und Löschung• Trennung von Test- und Entwicklungsumgebung1.5 datenschutzfreundliche Voreinstellungen• Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich sind, werden die technischenVoreinstellungen so festgelegt, dass Daten nur durch eine Aktion der Betroffenen Person erhoben,verarbeitet, weitergegeben oder veröffentlicht werden.2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)2.1 WeitergabekontrolleZiel der Weitergabekontrolle ist es, zu gewährleisten, dass personenbezogene Daten bei derelektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgernicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft undfestgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durchEinrichtungen zur Datenübertragung vorgesehen ist.• Festlegung empfangs- /weitergabeberechtigter Instanzen/Personen• Prüfung der Rechtmäßigkeit der Übermittlung ins Ausland• Protokollierung von Übermittlungen gemäß Protokollierungskonzept• Sichere Datenübertragung zwischen Server und Client• Sicherung der Übertragung im Backend• Sichere Übertragung zu externen Systemen• Risikominimierung durch Netzseparierung• Implementation von Sicherheitsgateways an den Netzübergabepunkten• Härtung der Backendsysteme• Beschreibung der Schnittstellen• Umsetzung einer Maschine-Maschine-Authentisierung• Sichere Ablage von Daten, inkl. Backups• Gesicherte Speicherung auf mobilen Datenträgern• Einführung eines Prozesses zur Datenträgerverwaltungen• Prozess zur Sammlung und Entsorgung• Datenschutzgerechter Lösch- und Zerstörungsverfahren• Führung von Löschprotokollen2.2 EingabekontrolleZweck der Eingabekontrolle ist es, zu gewährleisten, dass nachträglich überprüft und festgestelltwerden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben,verändert oder entfernt worden sind.• Protokollierung der Eingaben• Dokumentation der Eingabeberechtigungen3. Verfügbarkeit, Belastbarkeit, Desaster Recovery3.1 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)• Brandschutz• Redundanz der Primärtechnik• Redundanz der Stromversorgung• Redundanz der Kommunikationsverbindungen• Monitoring• Resourcenplanung und Bereitstellung• Abwehr von systembelastendem Missbrauch• Datensicherungskonzepte und Umsetzung• Regelmäßige Prüfung der Notfalleinrichtungen3.2 Desaster Recovery – Rasche Wiederherstellung nach Zwischenfall Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO)• Notfallplan• Datensicherungskonzepte und Umsetzung4. Datenschutzorganisation• Festlegung von Verantwortlichkeiten• Umsetzung und Kontrolle geeigneter Prozesse• Melde- und Freigabeprozess• Umsetzung von Schulungsmaßnahmen• Verpflichtung auf Vertraulichkeit• Regelungen zur internen Aufgabenverteilung• Beachtung von Funktionstrennung und –zuordnung• Einführung einer geeigneten Vertreterregelung5. AuftragskontrolleZiel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im Auftragverarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.• Auswahl weiterer Auftragnehmer nach geeigneten Garantien• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit STRATO6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. dDSGVO; Art. 25 Abs. 1 DSGVO)• Informationssicherheitsmanagement nach ISO 27001• Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen• Prozess Sicherheitsvorfall-Management• Durchführung von technischen ÜberprüfungenSie haben am 02.07.2018 erfolgreich eine Vereinbarung zur Auftragsverarbeitung mit STRATOabgeschlossen.