Impressum

Datenschutz
visiowert

Teil 1 Konkrete Angaben zur Auftragsverarbeitung (gem. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO):

1. Gegenstand des Auftrages  visiowert verarbeitet personenbezogene Daten im Auftrag seiner Auftraggeber. Gegenstand des Auftrags ist die Durchführung von Weiterbildungs- und Präventsionsmaßnahmen für die Mitarbeiter/innen des Auftraggebers durch visiowert.

2. Dauer des Auftrages 

Die Dauer dieses Auftrags (Laufzeit) wird mit dem Auftraggeber individuell vereinbart.

3. Art und Zweck der Verarbeitung von Daten

a) Zweck der Verarbeitung: Durchführung von Weiterbildungs- und Präventionsmaßnahmen des Auftraggebers.

b) Art der Verarbeitung (Beschreibung der einzelnen Verarbeitungsschritte) Zur Erfüllung seiner Aufgaben und Erbringung seiner Leistungen führt visiowert folgende Arbeitsschritte durch: • Übernahme der im Kurs von Teilnehmer/innen eingegebenen Daten auf dem Vermessungsbogen • ggf. Auswertung der im Kurs erhobenen Vermessungsdaten zwecks Erstellung eines individuellen Berichts und Trainingsplans nach Abschluss der Maßnahme • ggf. Zusendung vertiefender e-Mails mit Praxistipps zur Umsetzung (bei individueller und ausdrücklicher Einwilligung durch Teilnehmer/innen)

4. Art der Daten

Im Zusammenhang mit der vorher beschriebenen Leistungserbringung werden von visiowert folgende Datenarten/Kategorien verarbeitet: • Vorname • Nachname • Anschrift (in der Regel Dienstanschrift) • E-Mail-Adresse (individuell und separat eingewilligt) • individuell erhobenen Vermessungsergebnisse während der Trainingsmaßnahme • ggf. weitere individuelle Daten zur Sehfähigkeit, z.B. Brillenpass und individuelle Beschwerden/Symptome

5. Kategorien der betroffenen Personen

Die Kategorien der Personen, die durch den Umgang mit den personenbezogenen Daten betroffen sind, umfassen: Mitarbeiter/innen des Auftraggebers

6. Ansprechpartner für Fragen des Datenschutzes

Friedrich Hasse, friedrich.hasse@visiowert.de, Geschäftsführer visiowert GbR (zusammen mit Holger Schmidt), Kirchgasse 43, 12043 Berlin, Tel. 030- 43022743

 

Teil 2 Allgemeine Regelungen zur Auftragsverarbeitung

Allgemeine Bestimmungen

(1) Der Auftraggeber ist als „Verantwortlicher“ i.S.d. Artikels 4 Nr. 7, Datenschutz-Grundverordnung (DS-GVO) für die Einhaltung der Vorschriften über den Datenschutz, für die Rechtmäßigkeit der Datenverarbeitung im Sinne der Artikel 4, Nr. DS-GVO, insbesondere der Datenweitergabe an visiowert, sowie für die Wahrnehmung der Rechte der Betroffenen verantwortlich. visiowert unterstützt den Auftraggeber hierbei in geeigneter Weise. Darüber hinaus verpflichtet sich visiowert zur Einhaltung sämtlicher einschlägiger datenschutzrechtlicher Vorschriften im Rahmen der Ausführung des Auftrages.

(2) Bei der e-Mail-Kommunikation achten Auftraggeber und visiowert auf die Vertraulichkeit, indem sie vertrauliche Informationen gegen unberechtigte Kenntnisnahme oder Manipulationen schützen. Hierzu können die Parteien entsprechende technische Maßnahmen, z.B. Verschlüsselungs- und Signaturverfahren, abstimmen.

(3) visiowert bestätigt und stellt sicher, dass die für die Durchführung des Auftrags eingesetzten Personen zur Vertraulichkeit verpflichtet sind und in die Schutzbestimmungen der DS-GVO eingewiesen worden sind.

(4) Etwaige Datenschutzverstöße werden von visiowert unverzüglich gemeldet.

(5) Soweit visiowert seine Leistung in den Räumlichkeiten oder unter Zugriff auf die System des Auftraggebers erbringt, unterliegt er den Kontrolleinrichtungen des Auftraggebers (insbesondere Zutritt-, Zugangs- und Zugriffskontrolle).

(6) visiowert kontrolliert regelmäßig die internen Prozesse und die organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzes erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.

(7) visiowert unterstützt den Auftraggeger bei der Einhaltung der DS-GVO zur Sicherheit der personenbezogenen Daten bei Meldepflichten, bei Datenpannen, ggf. bei einer Datenschutz-Folgeabschätzung und vorherigen Konsultationen und insbesondere zur Erfüllung der Rechte der betroffenen Person gemäß Art. 12-23 DS-GVO.

(8) Datenschutzrechtliche Auskünfte an Dritte oder den Betroffenen erteilt visiowert nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber.

 

Ort der Datenverarbeitung

(1) Die Verarbeitung der Daten erfolgt ausschließlich auf dem Gebiet der Bundesrepublik Deutschland.

(2) Jede Verlagerung in ein Drittland erfolgt ausschließlich bei Zustimmung des Auftraggebers und nur, wenn die besonderen Voraussetzungen der Art. 44ff. DS-GVO erfüllt sind.

 

Unverzügliche Meldungen und Informationspflichten bei Datenschutzverletzungen

(1) visiowert informiert den Auftraggeber bei Unregelmäßigkeiten des Datenverarbeitungsablaufes, bei begründetem Verdacht der Verletzung von Vorschriften und Vereinbarungen zum Schutz personenbezogener Daten. visiowert sichert zu, den Auftraggeber bei möglichen Informationspflichten nach Art. 33/34 DS-GVO zu unterstützen.

(2) Die Meldung an den Auftraggeber erfolgt unverzüglich, nachdem visiowert die Verletzung bekannt wurde.

(3) Jede Datenschutzverletzung wird von visiowert dokumentiert. Die Dokumentation und Meldung einer Datenschutzverletzung enthält mindestens folgende Informationen: a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; c. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; d. eine Beschreibung der von visiowert ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Darüber stellt visiowert dem Auftraggeber alle sonstigen Informationen bereit, die der Auftraggeber für die Erfüllung seiner Pflichten benötigt.

 

Subunternehmer

(1) Sollte es für die konkrete Auftragsdurchführung erforderlich sein, Subunternehmer einzusetzen, wird dies zwischen visiowert und dem Auftraggeber pro Einzelfall vereinbart.

(2) visiowert verpflichtet in dem Fall seine Subunternehmer auf die Einhaltung datenschutzrechtlicher Vorschriften sowie etwaiger zusätzlicher Vereinbarungen mit dem Auftraggeber.

 

Berichtigung und Löschung von Daten

(1) visiowert berichtigt oder löscht die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Aufforderung durch den Auftraggeber.

(2) Der Auftraggeber kann vorbehaltlich gesetzlicher Aufbewahrungspflichten oder sonstiger entgegenstehender Rechtsvorschriften auch während der Laufzeit und nach Beendigung des Vertrages jederzeit die Berichtigung, Löschung, Sperrung (im Sinne der Einschränkung der Verarbeitung gem. Art. 4, Nr. 3 DS-GVO) und Herausgabe von personenbezogenen Daten verlangen.

§ 7 Technische und organisatorische Sicherheitsmaßnahmen nach Art. 32 DS-GVO

1. visiowert gestaltet seine Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei werden insbesondere Maßnahmen getroffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.

2. visiowert beachtet die Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1, Abs. 2 DS-GVO und gewährleistet die vertraglich vereinbarten und gesetzlich erforderlichen Datensicherheitsmaßnahmen gemäß Art. 24, Art. 28, Art. 32 DS-GVO, um den Nachweis zu erbringen, dass die Verarbeitung gemäß der DS-GVO erfolgt.

3. visiowert gibt Zugriffsberechtigungen nur an Personen, die mit der Durchführung des Auftrags befasst sind. Auf Verlangen kann visiowert dem Auftraggeber die zugriffsberechtigten Personen und deren Berechtigung benennen.

4. visiowert spielt keine personenbezogenen Daten in Systeme Dritter. Dies gilt auch für Testzwecke.

5. visiowert verwendet während der Entwicklung von Software oder der Prüfung und Wartung automatisierter Verfahren fiktive Testdaten oder nach ausdrücklicher schriftlicher Einwilligung seitens des Auftraggebers anonymisierte Originaldaten6. Die vereinbarten Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung und werden von visiowert dem aktuellen Stand der Technik angepasst. Dies gilt ebenso im Fall von Anordnungen der zuständigen Aufsichtsbehörden. Wesentliche Änderungen (z.B. wesentliche Änderungen von Verschlüsselungsverfahren oder Anmeldeprozeduren) werden dokumentiert.

7. visiowert gewährleistet die ordnungsgemäße Durchführung der technischen und organisatorischen Maßnahmen (Teil 3 der DuD-B, Tom).

 

Teil 3 Technische und organisatorische Maßnahmen Auftragsverarbeitungsvertrag 

gem. Art. 32, Abs. 2 DS-GVO, gem. Auftragsverarbeitungsvertrag mit der ALL-INKL.COM – Neue Medien Münnich, Inhaber: René Münnich, Hauptstr. 68, 02742 Friedersdorf, Deutschland

Vertraulichkeit

1. Zutrittskontrolle

Gewährleistungsziel: Verwehrung des Zutritts zu Verarbeitungsanlagen, mit denen die (Auftrags-)verarbeitung durchgeführt wird, für Unbefugte.

Getroffene Maßnahmen:

1.1 Das Rechenzentrum und das Servicezentrum befinden sich in Deutschland (Dresden und Friedersdorf). Das Web-Hosting erfolgt ausschließlich auf Datenspeichern, die physikalisch in Deutschland gelegen sind. 1.2 Elektronische Zutrittskontrollsysteme und Personal überwachen und gewährleisten den autorisierten Zutritt zum Rechenzentrum, in welchem die IT-Systeme für den Kunden vorgehalten werden, sowie zum Servicezentrum, aus welchem die IT-Systeme administriert werden.

1.3 Zutritte von Besuchern werden stets durch Beschäftigte des Auftragsverarbeiters begleitet. Das Rechenzentrum ist 24/7 durch Beschäftigte besetzt. Unbegleitete Zutritte sind nicht möglich.

1.4 Es sind Videokameras zur Überwachung des Zutritts und Einbruchs- bzw. Kontaktmelder im Einsatz.

1.5 Zutrittsberechtigte Beschäftigte sind organisatorisch festgelegt. Magnetkarten bzw. Schlüssel werden nur entsprechend einer Organisationsanweisung übergeben. Über den Zutritt von Besuchern des Rechenzentrums werden Anwesenheitslisten geführt, Regelungen für Fremdpersonal und zur Begleitung von Gästen sind vorhanden.

 

2. Zugangskontrolle

Gewährleistungsziel: Verwehrung des Zugangs zu Datenverarbeitungssystemen, mit denen die (Auftrags-) Verarbeitung durchgeführt wird, für Unbefugte.

Getroffene Maßnahmen:

2.1 Der Zugang zu Datenverarbeitungssystemen ist nur durch Authentifizierung möglich, wenigstens durch ein System von Benutzername und Passwort.

2.2 Im Übrigen sind Zugänge durch ein Berechtigungskonzept (abgestufte Zugriffsberechtigungen) nur besonders autorisierten Beschäftigungen vorbehalten.

 

3. Datenträgerkontrolle

Gewährleistungsziel: Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern.

Getroffene Maßnahmen:

3.1 S.o., Ziffer 2.1 und 2.2

3.2 Soweit auf Weisung des Kunden Daten im Auftrag verarbeitet und personenbezogene Daten auf Festplatten-Speicherplätzen als Datenträger gespeichert sind, erfolgen Zugriffe des Auftragsverarbeiters durch ein System von Befugnissen abgestufter Zugriffsberechtigungen durch die Beschäftigten in den Abteilungen Technik (Administration, Support, Domainverwaltung und Kundenbuchhaltung). Berechtigungsbewilligung (organisatorisch) und Berechtigungsvergabe (technisch) sind getrennt. Der Zugriff entsprechend Berechtigung wird auch bei Verfahren zur Wiederherstellung von Daten aus Backups gewahrt. Test- und Produktionsumgebung sind getrennt.

3.3 Es ist Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages durch geeignete Techniken (Software) zu verschlüsseln.

 

4. Speicherkontrolle

Gewährleistungsziel: Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten.

Getroffene Maßnahmen

4.1 Die Bereitstellung der dem Kunden zur Nutzung überlassenen IT-Systeme des Auftragsverarbeiters und die Anbindung des Kunden an das Internet erfolgt außerhalb eines Weisungsrechts des Kunden ausschließlich in Verantwortungs des Auftragsverarbeiters.

4.2 Der Zugang des Kunden auf die Datenspeicher des Auftragsverarbeiters, mit welchem die Web-Hosting-Dienstleistungen erbracht werden, erfolgt ausschließlich von außerhalb der Betriebsgebäude über Datenleitungen bzw. das Internet durch ein System der Anmeldung des Kunden mit einem ihm vergebenen Benutzernamen und einem Passwort.

4.3 Je nach den Nutzungshandlungen, die der Kunde auf dem ihm zur Nutzung überlassenen Datenspeichern vornimmt, ist es alleine seine Verantwortung zu verhindern, dass eine unbefugte Eingabe von personenbezogenen Daten sowie eine unbefugte Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten erfolgt.

4.4 Soweit jedoch der Auftragsverarbeiter auf Weisung des Kunden tätig wird, personenbezogene Daten des Kunden auf den ihn überlassenen Datenspeichern zu verarbeiten, hat nur ausgewähltes technisches Personal Zugangsrechte auf die betroffenen IT-Systeme.

4.5 Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Speicherkontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren) Zugang und Zugriff zu gewähren.

 

5. Benutzerkontrolle

Gewährleistungsziel: Verhinderung der Nutzung automatisierter Verarbeitungssystem mithilfe von Einrichtungen zur Datenübertragung durch Unbefugte.

Getroffene Maßnahmen:

5.1 Soweit im Rahmen der Auftragsverarbeitung durch den Auftragsverarbeiter „Einrichtungen zur Datenübertragung“ in den IT-Systemen des Auftragsverarbeiters genutzt werden, werden diese Einrichtungen durch den Stand der Technik entsprechendes Verschlüssungsverfahren betrieben, wenn der Schutzbedarf eine Verschlüsselung erfordert.

5.2 Sämtliche Beschäftigte des Auftragsverarbeiters sind zum Personendatenschutz geschult und entsprechend zur Vertraulichkeit verpflichtet.

5.3 Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Nutzerkontrolle zu unterziehen, inbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren), Zugand und Zugriff zu gewähren.

 

6. Übertragungskontrolle

Gewährleistungsziel: Gewährleistung, dass überprüft und festgestellt werden kann, an welchen Stellen personenbezogene Daten mithilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.

Getroffene Maßnahmen:

6.1 Soweit der Auftragverarbeiter Übermittelungen oder Zurverfügungstellungen auf Weisung des Kunden vornimmt, werden die betroffenen Übermittlungsstellen dokumentiert.

6.2 Soweit erforderlich werden die Daten gegen Zugriffe auf Netzwerkebene geschützt und Schnittstellen gegen unbefugten Datenexport gesichert.

6.3 Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Übertragungskontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren) Zugang und Zugriff zu gewähren und durch eine Verschlüsselung z.B. SSL/TSL, dafür zu sorgen, dass die von ihm zu übertragenen Daten für Dritte nicht lesbar sind.

 

7. Zugriffskontrolle

Gewährleisungsziel: Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben.

Getroffene Maßnahmen:

Es ist Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Zugriffskontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren) Zugang und Zugriff zu gewähren.

 

8. Eingabekontrolle

Gewährleistungsziel: Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind.

Getroffene Maßnahmen:

8.1 Es ist Sache des Kunden, ggf. personenbezogene Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einzugeben und dazu, insbesondere nur geeignete Dritte einzusetzen (z.B. Webagenturen, Administratoren). Die Beschäftigten des Auftragsverarbeiters dürfen grundsätzlich nicht auf diese Daten zugreifen bzw. diese Daten eingeben, verändern oder löschen.

8.2 Das Verarbeiten von personenbezogenen Daten erfolgt somit grundsätzlich durch den Kunden, so dass durch den Auftragsverantwortlichen nicht nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten der Kunde zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme oder verändert hat.

8.3 Nur im Rahmen seiner Tätigkeit nach Weisung protokolliert der Auftragsverarbeiter diese Eingaben und Veränderungen in angemessener Weise und dokumentiert die Uhrzeit und den Eingebenden.

8.4 Muss der Auftragsverarbeiter aus gesetzlichen Gründen Informationen entfernen oder den Zugang zu ihnen sperren (etwa im Falle der Nutzung von Kunden auf den IT-Systemen für Dritte bereitgehaltenen Telemediendiensten bzw. elektronischen Kommunikationsdiensten), wird die Sperrung bzw. die Entfernung von Inhalten protokolliert. Die Protokolldaten werden aufbewahrt und enthalten die Mitarbeiterkennung. Die Löschung erfolgt nach dem Vertragsende automatisiert und wird protokolliert.

 

9. Transportkontrolle

Gewährleistungsziel: Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.

Getroffene Maßnahmen:

9.1 Die Gewährleistung der Vertraulichkeit der Übermittlung von personenbezogenen Daten wird durch SSL/TSL-Verschlüsselungen über die Webseiten des Auftragsverarbeiters gewährleistet. Soweit nach der Art des personenbezogenen Datums eine Integritätswahrung erforderlich ist, setzt der Auftragsverarbeiter ein Prüfsummenverfahren ein.

9.2 Die Datenträgerentsorgung geschieht durch zertifizierter Entsorgungsdienstleister.

9.3 Im Übrigen ist es Sache des Kunden auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Transportkontrolle zu unterziehen und geeignete Verschlüsselungstechniken einzusetzen.

 

10. Pseudonymisierung

Getroffene Maßnahmen:

Es ist Sache des Kunden, personenbezogene Daten auf dem ihm überlassenen Speicherplatz selbst zu pseudonymisieren, soweit dies gesetzlich erforderlich ist.

 

11. Klassifikationsschema für Daten

Getroffene Maßnahmen: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim, vertraulich, intern, öffentlich, normaler Schutzbedarf, durchschnittlicher Schutzbedarf, hoher Schutzbedarf, sensibles Datum).

Integrität

 

12. Datenintegrität

Gewährleistungsziel: Gewährleistung, dass gespeicherte, personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können.

Getroffene Maßnahmen:

12.1 Es erfolgt die Anfertigung von Sicherheitskopien von Daten, Prozesszuständen, Konfigurationen, Datenstrukturen und Transaktionshistorien sowie die Dokumentation der Syntax von Daten.

12.2 Es bestehen Reparaturstrategien und Ausweichprozesse.

12.3 Schreib- und Änderungsrechte sind eingeschränkt.

12.4 Erforderlichenfalls erfolgt der Einsatz von Prüfsummen, elektronischen Siegeln und Signaturen in Datenverarbeitungsprozessen gemäß eines Kryptographiekonzepts.

12.5 Es erfolgt ein Monitoring des Sollverhaltens von Prozessen. Es werden regelmäßig Tests zur Feststellung und Dokumentation der Funktionalität, von Risiken sowie Sicherheitslücken und Nebenwirkungen von Prozessen durchgeführt.

12.6 Das Sollverhalten von Abläufen bzw. Prozessen wird festgelegt. Es erfolgt eine regelmäßige Durchführung von Tests zur Feststellbarkeit bzw. Feststellung der Ist-Zustände von Prozessen.

12.7 Über die Maßnahmenziffern 12.1 bis 12.6 hinaus, die der Auftragsverarbeiter für seine Daten und Systeme ergreift, ist es Sache des Kunden, für die Datenintegrität des Datenbestandes auf dem ihm überlassenen Speicherplatz selbst Sorge zu tragen.

 

Verfügbarkeit und Belastbarkeit

13. Verfügbarkeitskontrolle

Gewährleistungsziel: Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind.

Getroffene Maßnahmen:

13.1 Die Stromversorgung der Rechenzentren erfolgt über eigene Trafostationen. Die Stromversorgung und Netzersatzanlagen garantieren höchste Ausfallsicherheit.

13.2 Die unmittelbare Stromversorgung der Server ist typenabhängig, so dass bei der Verwendung entsprechender Typen zusätzlich eine redundante Stromversorgung über ein redundantes Netzteil (zwei Netzteile) gewährleistet ist.

13.3 Der gesamte Energieverbrauch der Rechenzentren wird über unterbrechungsfreie Stromversorgungen (USV) sichergestellt. Im Falle eines Stromausfalls garantieren die USV-Anlagen eine unterbrechungsfreie Umschaltung auf eines der Notstrom-Dieselaggregate. Daneben filtern die USV-Anlagen vollständig alle Unregelmäßigkeiten oder Störungen des Stromversorgungsnetzes.

13.4 Leistungsstarke Netzersatzanlagen (Dieselaggregate) versorgen bei Stromausfall die Rechenzentren und Kühlsysteme mit konstanter Energie.

13.5 Es erfolgt eine gerätegestützte Überwachung der Temperatur und der Feuchtigkeit im Rechenzentrum.

13.6 Es ist ein flächendeckendes Brand- und Frühwarnsystem im Einsatz.

 

14. Wiederherstellbarkeit

Gewährleistungsziel: Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.

Getroffene Maßnahmen: Die eingesetzten Systeme sind technisch redundant vorhanden. Der Datenbestand unterliegt einer regelmäßigen Sicherung. Es ist Sache des Kunden, seinen Datenbestand auf dem ihm überlassenen Speicherplatz selbst durch geeignete Sicherungsmaßnahmen vor Datenverlust zu schützen.

 

15. Trennbarkeit

Gewährleistungsziel: Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können.

Getroffene Maßnahmen:

15.1 Es erfolgt eine getrennte Verarbeitung und/oder Lagerung von Daten mit unterschiedlichen Verarbeitungszwecken.

15.2 Es ist ein System von Befugnissen abgestufter Zugriffsberechtigungen durch die Beschäftigten in den Abteilungen Technik (Administration), Support, Domainverwaltung und Kundenbuchhaltung errichtet.

15.3 Es ist Sache des Auftraggebers, für die Trennung von personenbezogenen Daten auf dem ihm überlassenen Speicherplatz selbst Sorge zu tragen.

 

16. Zuverlässigkeit

Gewährleistungsziel: Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.

Getroffene Maßnahmen:

Die Verfügbarkeit der IT-technischen Systeme unterliegt einem 24/7-Monitoring.

 

Auftragsverarbeitung

17. Auftragskontrolle

Gewährleistungsziel: Gewährleistung, dass personenbezogenen Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Getroffene Maßnahmen:

17.1 Es erfolgt eine Kennzeichnung des Auftragsverarbeitungsstatus gegenüber dem Status der weisungsfreien Datenverarbeitung mit hinterlegtem Auftragsverarbeitungsvertrag und den dazugehörigen Anlagen in der dazugehörigen Kundenmaske. Beschäftigte – insbesondere im Rahmen des Telefonsupports – haben somit ständig Kenntnis über das Vorliegen/Nichtvorliegen eines Auftragsverarbeitungsvertrags.

17.2 Es erfolgt eine Verarbeitung im Auftrag mit standardisierten Vertragsformularen des Auftragsverarbeiters, um eine gleichbleibende Qualität der Auftragsverarbeitung zu gewährleisten. Davon ggf. abweichende Formulare des Auftraggebers werden ggü. den betroffenen Beschäftigten des Auftragsverarbeiters besonders gekennzeichnet, um Abweichungen in den Standards der Arbeitsabläufe zu erfassen.

 

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

18. Prüfung, Bewertung, Evaluierung

Gewährleistungsziel: Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der datenschutzkonformen Verarbeitung.

Getroffene Maßnahmen:

18.1 Datenschutz-Management

18.2 Regelmäßige Schulung der Beschäftigten

18.3 Der Auftragsverarbeiter setzt einen Kernbestand an langjährig und dauerhaft beschäftigtem Technikerpersonal mit DV-technischer Erfahrung und Expertise ein.

 

Berlin, Mai 2018

visiowert GbR

Back to Top