Anlage 1 – Auftragsdetails bzgl. Daten Ihres Unternehmens
Der vorliegende Vertrag umfasst (ggf. im Zusammenhang mit dem Hauptvertrag) folgende Leistungen:
a) Erstellung Ihrer Website inkl. mobile Version (Komplettes Design, Umsetzung uvm.)
b) regelmäßige Betreuung / Änderungen (unlimitiert für z.B. Angebote, Bilder, Texte usw.)
c) Technische und beratende Hilfe (Domainumzug, Maileinrichtung, Rechtliches über Premiumgenerator E-Recht 24 GmbH) Wir erstellen für Sie das Impressum /den Datenschutz mit dem E-Recht 24 Premium Generator. Bitte beachten Sie, dass die finale Prüfung bei Ihnen liegt.
d) Grundlagenoptimierung Ihrer Website hinsichtlich der Google Suchmaschine (Sitemap, Htacess, Fehlerseiten, Headings uvm.)
e) Anpassung / Design Google Business, Facebook und Instagram (Einbindung in Ihre Website auf Wunsch)
f) Umzug, Speicherplatz (schnelle SSD Server), Updates, Backups
g) Sie können Ihre Internetadresse (Domain) behalten oder eine freie Wunschadresse wählen (bisherige Kosten entfallen)
h) Domain und Speicherplatz bei uns inklusive
i) eventuelle Zusatzaufträge (Grafikdesign, Druckprodukte, Programmierung o.ä.)
Im Rahmen der vertraglichen Leistungserbringung werden regelmäßig folgende Datenarten von Ihrem Unternehmen verarbeitet:
Name, Anschrift, Kontaktdaten, Beruf, Kontodaten, Korrespondenz, Rechnungsstellung, ggf. Fotos (Videos), Text,UST Id
Bei dem Kreis der von der Datenverarbeitung betroffenen Personen handelt es sich um:
Mitarbeiter, ggf. Ihre Kunden
Der Zugriff auf die betroffenen Daten geschieht in folgender Weise:
Per Mail, Fax, Post, WhatsApp, Kontaktformular, Telefonisch
Anlage 2 – Liste der bestehenden technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach Art. 32 DSGVO
I love DESIGN setzt folgende technische und organisatorische Maßnahmen zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen wurden im Einklang mit Art. 32 DSGVO festgelegt und mit dem Auftraggeber abgestimmt.
I. Zweckbindung und Trennbarkeit
Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
Logische Mandantentrennung (softwareseitig)
Berechtigungskonzept
Aufbewahrung auf einem getrennten und abgesicherten IT-System
Trennung von Produktiv- und Testsystem
II. Vertraulichkeit und Integrität
Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters:
1. Verschlüsselung
Die im Auftrag verarbeiteten Daten bzw. Datenträger werden in folgender Weise verschlüsselt:
SSL-Verschlüsselung beim Abrufen und Senden der Daten.
2. Pseudonymisierung
„Pseudonymisierung“ bedeutet, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine Identifizierung der betroffenen Person ohne Hinzuziehung weiterer Informationen ausschließt (z.B. Verwendung von Fantasienamen, die ohne zusätzliche Informationen keiner bestimmten Person zugeordnet werden können).
Ja, und zwar in folgender Art und Weise:
Kunden und Interessenten werden mit IDs versehen. In Fremdsoftware werden dann nicht alle "Kunden / Interessentendaten" genutzt sondern meistens nur die ID für die logische Verknüpfung. Beispiel: Externe Verwaltungsliste in Google werden nur mit IDs geführt und abgearbeitet. Der Konkrete Kunde / Interessent wird dann bei uns im System abgerufen.
3. Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern (Zutrittskontrolle):
Automatisches Zugangskontrollsystem
Chipkarten-/Transponder-Schließsystem
Videoüberwachung der Zugänge
Video Bewegungsmelder
Sicherheitsschlösser am Haupteingang
Schlüsselregelung
Protokollierung der Besucher findet Digital statt
Sorgfältige Auswahl von Reinigungspersonal
4. Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern (Zugangskontrolle):
Zuordnung von Benutzerrechten
Erstellen von Benutzerprofilen
Passwortvergabe
Passwort-Richtlinien (regelmäßige Änderung)
Authentifikation mit Benutzername / Passwort
2 Faktor Authentifizierung
Zuordnung von Benutzerprofilen zu IT-Systemen
Gehäuseverriegelungen
Schlüsselregelung (Schlüsselausgabe etc.)
Digitale Protokollierung der Besucher
Sorgfältige Auswahl von Reinigungspersonal
Einsatz von Anti-Viren-Software
Einsatz einer Software-Firewall
5. Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle):
Berechtigungskonzept
Verwaltung der Rechte durch Systemadministrator
regelmäßige Überprüfung und Aktualisierung der Zugriffsrechte (insb. bei Ausscheiden von Mitarbeitern o.Ä.)
Anzahl der Administratoren auf das „Notwendigste“ reduziert
Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
Es werden keine Datenträger in physischer Form eingesetzt
ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
6. Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle).
Protokollierung der Eingabe, Änderung und Löschung von Daten
Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können.
Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
7. Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle).
Auswahl der Unterauftragsverarbeiter unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
vorherige Prüfung Dokumentation der beim Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen
schriftliche Weisungen an den Auftragsverarbeiter (z.B. durch Auftragsverarbeitungsvertrag)
8. Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können (Transport- bzw. Weitergabekontrolle):
Es werden keine physischen Datenträger versendet.
II. Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme
Folgende Maßnahmen gewährleisten, dass die eingesetzten Datenverarbeitungssysteme jederzeit einwandfrei funktionieren und personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind
Unterbrechungsfreie Stromversorgung (USV):
Klimatisierung der Serverräume
Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
Schutzsteckdosenleisten in Serverräumen
Feuer- und Rauchmeldeanlagen in Serverräumen
Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
Erstellen eines Backup- & Recoverykonzepts
Erstellen eines Notfallplans
Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
Serverräume nicht unter sanitären Anlagen
III. Besondere Datenschutzmaßnahmen
Es liegen schriftlich vor:
Verpflichtung zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DSGVO)
Unterschrieben von jedem Mitarbeiter
IV. Überprüfung, Evaluierung und Anpassung der vorliegenden Maßnahmen
Der Auftragsverarbeiter wird die in dieser Anlage niedergelegten technischen und organisatorischen Maßnahmen im Abstand von einem Jahr und anlassbezogen, prüfen, evaluieren und bei Bedarf anpassen.
Anlage 3 – Auftragsdetails bzgl. Daten der Besucher Ihrer Website
Es werden regelmäßig folgende Datenarten von den Besuchern Ihrer Website erhoben:
Besuchte Website
Uhrzeit zum Zeitpunkt des Zugriffes
Menge der gesendeten Daten in Byte
Quelle/Verweis, von welchem Sie auf die Seite gelangten
Verwendeter Browser
Verwendetes Betriebssystem
Verwendete IP Adresse
Diese Daten werden bei der Alfahosting GmbH, Ankerstraße 3b,
06108 Halle (Saale) gespeichert und nach 24 h anonymisiert.
Bei dem Kreis der von der Datenverarbeitung betroffenen Personen handelt es sich um:
Jeden Besucher Ihrer Website
Der Zugriff auf die betroffenen Daten geschieht in folgender Weise:
Technisch durch den Hoster
Anlage 4 Subunternehmer