Skip to content
AVV Einsehen

Vertrag über die Auftragsverarbeitung personenbezogener Daten in WiredMinds LeadLab nach DSGVO

Vertragspartner

Auftragnehmer

 

Firmenname:     WiredMinds 

Firmenzusatz:    GmbH

Straße & Hausnummer:     Lindenspürstr. 32

PLZ:     70176 

Ort:     Stuttgart

Vertreten durch:     Herrn Andrei Lisikov, Geschäftsführer

 

Auftraggeber

 

 

> Hier werden Ihre Unternehmensdaten eingetragen <

1 Einleitung, Geltungsbereich, Definition

 

(1)   Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.

(2)   In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU-Datenschutz-Grundverordnung zu verstehen. In diesem Sinne ist der Auftraggeber der „Verantwortliche“, der Auftragnehmer der „Auftragsverarbeiter“. 

2 Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand 

Gegenstand, Art und Umfang sowie Zweck der Datenverarbeitung ergeben sich aus dem zwischen der Dateninhaberin und dem Vertragspartner geschlossenen Hauptvertrag und erfolgt auf unbestimmte Zeit bis zur Beendigung dieses Vertrags, des Hauptvertrags oder mit Ablauf der Testphase (Demo-Account) ohne Fortführung der Software-Nutzung. 

3 Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung

3.1 LeadLab

3.1.1. Art der Verarbeitung

Die Verarbeitung ist folgender Art:

(1)  Der Auftraggeber nutzt auf seiner Webseite die Tracking-Technologie (Java-Script) der WiredMinds GmbH (www.wiredminds.de) zur Analyse des Besucherverhaltens seiner Webseitenbesucher. Hierbei wird vor der Erfassung des Besuchsverhaltens aus dem TCP/IP-Protokoll jedes Webseitenbesuchers die IP-Adresse ausgelesen, gegen die Firmendatenbank der WiredMinds GmbH abgeglichen (Whitelist-Verfahren) und nach dem erfolgten Abgleich gelöscht. Eine Speicherung der IP-Adresse in LeadLab erfolgt in keinem Fall. 

Die Verarbeitung der IP-Adresse erfolgt ausschließlich zu dem Zweck, Webseitenbesuche einem identifizierbaren Unternehmen zuordnen zu können ohne einen möglichen Rückschluss auf die natürliche Person. Das Besuchsverhalten von Webseitenbesuchern, bei denen eine Identifizierbarkeit einer natürlichen Person nicht auszuschließen ist, wird nicht aufgezeichnet.  

Die Grundlage für die Bearbeitung ist das berechtigte Interesse des Auftraggebers (Art. 6 Abs. 1 (f) DSGVO), Informationen zu einem identifizierbaren Firmenbesucher seiner Webseite zu erhalten und über die analytische Betrachtung des Besuchsverhaltens seine Webseite zu optimieren.  

Die WiredMinds GmbH nutzt die im Auftrag erhobenen Informationen, um anonyme Nutzungsprofile, bezogen auf das Besuchsverhalten auf der Webseite des Auftraggebers, zu erstellen. Die dabei gewonnenen Daten werden nicht benutzt, um den Besucher der Webseite persönlich zu identifizieren.

(2)  Der Auftragnehmer stellt dem Auftraggeber eine Benutzeroberfläche zur Bearbeitung und Verwaltung der erhobenen Besucherdaten zur Verfügung.

 

3.1.2. Art der Daten

Es werden folgende Daten verarbeitet im Falle von 3.1.1.:

(1)   Die IP-Adresse

(2)   Benutzerkennung und Benutzerstammdaten der Mitarbeiter des Auftraggebers (Software-Nutzer), Benutzernutzungsdaten der Mitarbeiter des Auftraggebers in Form von Log-Dateien (Service-Monitoring und Security), Hosting von CRM-Daten, die auch personenbezogen sein können wie z. B. Notizen des Auftraggebers in LeadLab.

 

3.1.3 Kategorie der betroffenen Personen

Von der Verarbeitung betroffen sind im Falle von 3.1.1.:

(1)   Webseitenbesucher

(2)   Mitarbeiter des Auftraggebers

 

3 ART UND ZWECK DER DATENERHEBUNG, -VERARBEITUNG ODER -NUTZUNG

3.2 IP-to-Company

3.2.1. Art der Verarbeitung

Die Verarbeitung ist folgender Art:
 

(1)  Der Auftraggeber nutzt die API der WiredMinds GmbH (www.wiredminds.de) zum Abgleich der IP-Adresse des Webseitenbesuchers gegen die WiredMinds Firmendatenbank (Whitelist-Verfahren).

Hierbei wird aus dem TCP-IP/Protokoll jedes Webseitenbesuchers die IP-Adresse ausgelesen, gegen die Firmendatenbank der WiredMinds GmbH abgeglichen (Whitelist-Verfahren) und nach dem erfolgten Abgleich gelöscht. Eine Speicherung der IP-Adresse erfolgt in keinem Fall.

Die Verarbeitung der IP-Adresse erfolgt ausschließlich zu dem Zweck, die unternehmensrelevanten Informationen zu einer identifizierbaren IP-Adresse eines Webseitenbesuchers über die API aus der WiredMinds Firmendatenbank abzurufen. Zu den erhaltenen Daten gehören z. B. der Firmenname, die Firmenanschrift, Telefon-Nummer, Domain, Branche usw. 

Die Grundlage für die Bearbeitung ist das berechtigte Interesse des Auftraggebers (Art. 6 Abs. 1 (f) DSGVO), über die Schnittstelle Informationen zu einem identifizierten Firmenbesucher seiner Webseite zu erhalten.

Die vom Auftragnehmer umgesetzten Datensicherheitsmaßnahmen sind in Anhang 1 beschriebenen.

3.2.2 Art der Daten 

Es werden folgende Daten verarbeitet:
 
(1)   Die IP-Adresse
 

3.2.3. Kategorie der betroffenen Personen

Von der Verarbeitung betroffen sind:
 

(1)   Webseitenbesucher

4 Pflichten des Auftragnehmers

 

(1)  Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.

(2)  Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.

(3)  Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.

(4)  Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.

(5)  Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes vertraut gemacht sind und laufend sensibilisiert werden. 

(6)  Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung von datenschutzrechtlichen Pflichten. Hierzu gehören insbesondere die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten oder die Durchführung der Datenschutzfolgeabschätzung sowie die Konsultation der Aufsichtsbehörde.

(7)  Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

(8)  Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.

(9)  Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz.

(10)   Die Auftragsverarbeitung erfolgt ausschließlich innerhalb der EU oder des EWR. 

5 Technische und organisatorische Massnahmen

 

(1)   Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. 

(2)   Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Wesentliche Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. 

(3)   Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Daten-beständen strikt getrennt werden.

(4)   Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

(5)   Die Verarbeitung von Daten außerhalb der Geschäftsräume des Auftragnehmers, insbesondere im  Home-Office, ist zulässig. Der Auftragnehmer stellt sicher, dass dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird und die in diesem Vertrag vorgesehenen Kontrollrechte des Auftraggebers uneingeschränkt ausgeübt werden können. Die Verarbeitung von Daten im Auftrag mit Privatgeräten ist unter keinen Umständen gestattet.

(6)   Der Auftragnehmer gewährleistet ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 lit. d DS-GVO. 

 

6 Regelungen zur Berichtigung, Löschung und Sperrung von Daten

 

(1)   Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.

(2)   Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten. 

7 Unterauftragsverhältnisse

 

(1)  Der Auftraggeber stimmt allgemein zu, dass der Auftragnehmer Subunternehmer hinzuzieht. 

(2)  Der Auftragnehmer wählt Subunternehmer unter besonderer Berücksichtigung der Eignung der von ihnen getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

(3)  Subunternehmern sind vertraglich mindestens die Datenschutzverpflichtungen auferlegt, die in den in diesem Vertrag vereinbarten vergleichbar sind. Der Auftraggeber erhält auf Verlangen Einsicht in die relevanten Verträge zwischen Auftragnehmer und Subunternehmer.

(4)  Die Rechte des Auftraggebers müssen auch gegenüber Subunternehmern wirksam ausgeübt werden können. Insbesondere muss der Auftraggeber berechtigt sein, in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte durchführen zu lassen.

(5)  Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind eindeutig voneinander abzugrenzen.

(6)  Vor Beauftragung oder Ersetzung eines Subunternehmers informiert der Auftragnehmer den Auftraggeber mindestens in Textform. Der Auftraggeber hat das Recht, innerhalb von zwei Wochen ab Erhalt der Information über den Subdienstleister aus wichtigem Grund beim Auftragnehmer Einspruch gegen den Einsatz des Subunternehmers einzulegen. Erfolgt kein begründeter Einspruch innerhalb der genannten Frist, gilt dies als Zustimmung des Auftraggebers. Sollte sich im Falle eines begründeten Einspruchs keine einvernehmliche Lösung zwischen den Parteien finden lassen, sind beide Parteien berechtigt, die Zusammenarbeit innerhalb von 2 Wochen ab Scheitern der Verhandlungen durch schriftliche Erklärung gegenüber der anderen Partei mit sofortiger Wirkung zu kündigen.

(7)  Zurzeit sind die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt und durch den Auftraggeber genehmigt. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenüber Subunternehmern bleiben unberührt.

(8)  Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt. 

8 Rechte und Pflichten des Auftraggebers

 

(1)  Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

(2)  Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.

(3)  Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

(4)  Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Der Auftragnehmer ist berechtigt, Kontrollen durch Dritte zu verweigern, soweit diese mit ihm in einem Wettbewerbsverhältnis stehen oder ähnlich gewichtige Gründe vorliegen.

(5)  Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu er-folgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders ange-zeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftrag-nehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten selbständig erbringt, erfolgen Kontrollen durch den Auftraggeber nur bei begründeten Zweifeln an den erbrachten Nachweisen oder aus anderen gewichtigen Gründen, die der Auftraggeber darzulegen hat.  

9 Mitteilungspflichten

 

(1)  Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle sind mitzuteilen. Die Mitteilung hat mindestens die Angaben nach Art. 33 Abs. 3 Datenschutz-Grundverordnung zu enthalten. 

(2)  Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutz-rechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.

(3)  Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.

(4)  Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.  

10 Weisungen

 

(1)  Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.

(2)  Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

(3)  Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

11 Beendigung des Auftrags

 

(1)  Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben und sodann zu vernichten. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand
nicht mehr möglich ist.

(2)  Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.

(3)  Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber auf Verlangen vorzulegen.

(4)  Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer mindestens bis zum Ablauf des dritten Kalenderjahres nach Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber übergeben.

12 VERGÜTUNG

Die Vergütung des Auftragnehmers ist abschließend im Hauptvertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht.

13 HAFTUNG

 

(1)   Gegenüber Personen, die Schäden wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleiden, haften
Auftraggeber und Auftragnehmer nach dem Gesetz.

(2)   Der Auftragnehmer ist gegenüber dem Auftraggeber von der Haftung befreit, soweit ein Schaden durch die korrekte Umsetzung der beauftragten Verarbeitung oder einer vom Auftraggeber erteilten Weisung entstanden ist. In diesen Fällen stellt der Auftraggeber den Auftragnehmer auf erste Anforderung von sämtlichen Ansprüchen Dritter frei, die im Zusammenhang mit der Auftragsverarbeitung gegen den Auftragnehmer erhoben werden.

(3)   Der Auftragnehmer haftet dem Auftraggeber gegenüber nur bei grober Fahrlässigkeit oder Vorsatz. Diese Beschränkung gilt nicht bei Vorsatz sowie bei Verletzung des Lebens, des Körpers, der Gesundheit, der Freiheit oder bei Verstoß gegen Kardinalpflichten.  

14 Sonstiges

 

(1)   Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

(2)   Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

(3)   Für Nebenabreden ist die Schriftform erforderlich.

(4)   Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

(5)   Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. 

Anlagen

Anlage 1

 

Technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung

 

Nachstehend wird beschrieben, welche technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt sind. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Unternehmen verarbeiteten Informationen. Die Struktur orientiert sich nach der international anerkannten Norm DIN ISO/IEC 27002.

 

01. Leitlinie

Die Datenschutzleitlinie der WiredMinds GmbH beinhaltet die Leitaussagen der Geschäftsleitung zum Umgang mit personenbezogenen Daten im Unternehmen. Alle Beschäftigten, freie Mitarbeiter und unterstützende Unternehmen sind verpflichtet diese zentralen Regelungen zu beachten. Das erreichte IT-Sicherheitsniveau der Organisationseinheiten, Prozesse und Systeme wird durch eine Kombinationaus periodisch wiederkehrenden Prüfungen und kontinuierlichen Kontrollen überwacht. 

Die Überwachungen des laufenden Betriebs erfolgen in Abstimmung mit dem Sicherheitsbeauftragten. Ein Review der Sicherheitspolitik erfolgt zumindest jährlich, soweit nicht eine essentielle Änderung dies früher erfordert.  

Hierdurch wird die laufende Angemessenheit, Eignung und Effektivität der Regelung sichergestellt. Der Sicherheitsbeauftragte ist der Verantwortliche für die Sicherheitspolitik und hat die Verantwortung, diese zu entwickeln, zu überarbeiten und zu prüfen.

 

 

02. Organisation der Informationssicherheit

Die Führungskräfte der WiredMinds GmbH sind in ihrer Organisationseinheit für die vollständige Umsetzung der Grundsätze der IT-Sicherheit und für die Erfüllung der an sie gestellten IT-Sicherheits-aufgaben verantwortlich.  

Informationssicherheitsrollen und -verantwortlichkeiten sind in der IT-Sicherheitsorganisation definiert. Miteinander in Konflikt stehende Aufgaben und Verantwortlichkeitsbereiche sind getrennt, um die Möglichkeiten zu unbefugter oder unbeabsichtigter Änderung oder zum Missbrauch der Werte unseres Unternehmens zu reduzieren.   

Wir verfügen über ein Verfahren, das festlegt, wann und durch wen relevante Behörden benachrichtigt und erkannte Datenschutz- und Informationssicherheitsvorfälle rechtzeitig gemeldet werden. Auch pflegen wir laufenden Kontakt zu speziellen Interessensgruppen, um über Änderungen und Verbesserungen im Bereich Datenschutz und Informationssicherheit informiert zu sein.  

In unseren Projekten ist Datenschutz und Datensicherheit Bestandteil aller Phasen unserer Projektmethodik. Durch unsere jeweiligen Richtlinien und Prozesse zur Telearbeit und der Nutzung von Mobilgeräten, stellen wir den Datenschutz und die Datensicherheit auch in diesen Bereichen sicher. 

 

 

03. Personalsicherheit

Wir haben unsere Mitarbeiter sorgsam ausgewählt und ihre Eignung für ihre Rolle im Unternehmen überprüft. Ihre Verantwortlichkeiten haben wir in Funktionsbeschreibungen festgelegt und gleichen regelmäßig ab, ob die Mitarbeiter diesen entsprechen. Vor Beginn ihrer Anstellung unterschreiben alle Mitarbeiter eine Vertraulichkeits- sowie Datenschutzvereinbarung, die über die Beendigung des Beschäftigungsverhältnisses hinaus gilt. Die Mitarbeiter werden im Bereich Datenschutz- und Datensicherheit geschult, insbesondere werden Schulungen bei Funktionswechsel noch einmal aufgefrischt. Sie sind sich daher ihrer Verantwortung diesbezüglich bewusst. 

In einem dokumentierten Prozess für die Zeit vor, während und nach Beendigung des Beschäftigungsverhältnisses stellen wir sicher, dass personenbezogene Daten geschützt und die Datensicherheit gewährleistet ist. Diese beinhaltet auch Maßregelungen für den Fall eines Datenschutzverstoßes.

 

 

04. Verwaltung der Werte

Sämtliche Werte (wie z.B. Betriebsmittel, Notebooks, Smartphones) und Informationen, die mit personenbezogenen Daten in Zusammenhang stehen, werden von uns inventarisiert und gepflegt.

Wir haben zum Schutz dieser Werte Verantwortliche festgelegt, die für den Lebenszyklus eines Wertes zuständig sind.

Es wurden dokumentierte Regeln für den zulässigen Gebrauch unserer Werte aufgestellt. Die Rückgabe erfolgt dokumentiert.

Unsere Informationen und Daten werden anhand der gesetzlichen Anforderungen, ihres Wertes, ihrer Kritikalität und ihrer Empfindlichkeit gegenüber unbefugter Offenlegung oder Veränderung klassifiziert und gekennzeichnet. 

Diesem Klassifizierungsschema entsprechend, haben wir dokumentierte Verfahren für die Handhabung unserer Werte entwickelt und umgesetzt. Wir übertragen üblicherweise Daten nicht auf Wechseldatenträgern, sondern ausschließlich in verschlüsselter Form über verifizierte Kommunikationswege. Nur auf schriftliche Weisung des Auftraggebers kann in Ausnahmefällen von dieser Praxis abgewichen werden.

Nicht mehr benötigte Datenträger entsorgen wir sicher, unter Anwendung eines dokumentierten Verfahrens und verpflichteter zertifizierter Dienstleister.

 

 

 

05. Zugriffssteuerung

Wir verfügen über geregelte und dokumentierte Maßnahmen, die sicherstellen, dass berechtigte Personen nur auf solche personenbezogenen Daten Zugriff erhalten, für die sie die Befugnis zur Einsichtnahme und zur Verarbeitung besitzen.

Berechtigungen zum Zugriff auf IT-Systeme werden über ein geregeltes Verfahren auf der Grundlage eines dokumentierten und restriktiven Berechtigungskonzepts vergeben. Den Zugang zu Netzwerken und Netzwerkdiensten haben wir geregelt und umgesetzt. 

Es ist sichergestellt, dass nur befugte Benutzer Zugang zu Systemen und Diensten haben und unbefugter Zugang unterbunden wird, insbesondere besteht ein formaler Prozess für die Registrierung von Benutzern, der die Zuordnung von Zugangsrechten  ermöglicht. Unsere administrativen Rechte erteilen wir eingeschränkt und gesteuert. 

Wir verfügen über einen dokumentierten und geregelten Prozess über den Umgang mit Passwörtern.

Ist- und Soll-Zustand von Benutzerzugangsrechten werden regelmäßig abgeglichen. Bei Bedarf werden diese entzogen oder angepasst.

Wir schränken den Zugriff auf unsere Daten bedarfsgerecht ein und steuern den Zugang auf unsere Systeme und Anwendungen durch ein sicheres Anmeldeverfahren. Wir verwenden ein System zur Nutzung sicherer und starker Kennwörter.

Der Gebrauch von Hilfsprogrammen, die fähig sein könnten, System- und Anwendungsschutzmaßnahmen zu umgehen, ist eingeschränkt und streng überwacht. 

 

 

06. Kryptographie

Der angemessene und wirksame Gebrauch von Kryptographie zum Schutz der Vertraulichkeit, Authentizität oder Integrität von Information ist sichergestellt. Zu diesem Zwecke haben wir eine Richtlinie über den Einsatz von Kryptographischen Maßnahmen im Unternehmen implementiert, die auch die Verwaltung von kryptographischen Schlüsseln umfasst und dem Schutzbedarf angemessen ist. 

 

 

07. Physische und umgebungsbezogene Sicherheit

Wir haben dokumentierte und geregelte Maßnahmen getroffen, die verhindern sollen, dass Unbefugte Zutritt zu Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet oder genutzt werden. Diese umfassen unter anderem: 

  • Die Geschäftsräume liegen im 3. Stockwerk eines Bürogebäudes und werden exklusiv genutzt
  • Der zentrale Eingang wird überwacht
  • Türen zu Sicherheitsbereichen sind stets geschlossen
  • Besucher oder externe Dienstleister werden individuell eingelassen
  • Der Brandschutz wird bei unserem Hosting-Partner sichergestellt  
  • Es sind Sicherheitsbereiche vorhanden, zu denen nur eigens hierzu Berechtigte Zutritt erhalten
  • IT-Räume sind separat verschlossen und nur durch Berechtigte zu öffnen
  • Versorgungseinrichtungen werden vor Stromausfällen und Störungen geschützt
  • Die Sicherheit der Verkabelung wird beachtet
  • Die Instandhaltung von Systemen wird geplant und umgesetzt
  • Das Entfernen und Änderungen von Systemen und Informationen erfolgt geregelt
  • Die Sicherheit von Systemen außerhalb der Geschäftsräume wird beachtet
  • Die Entsorgung oder Wiederverwendung von Betriebsmitteln erfolgt geregelt
  • Unbeaufsichtigte Benutzergeräte werden über einen automatischen Screensaver und eine automatische Verschlüsselung der Festplatte geschützt 
  • Richtlinien für Clean Desk und Bildschirmsperren werden umgesetzt

 

 

08. Betriebssicherheit

Wir verfügen über geregelte und dokumentierte Maßnahmen, um einen ordnungsgemäßen und sicheren Betrieb von informations- und datenverarbeitenden Einrichtungen sicherzustellen. Diese umfassen u.a. die Steuerung im Falle einer Änderung an den informationsverarbeitenden Einrichtungen, als auch eine Steuerung und regelmäßige Messung unserer Kapazitäten und Ressourcen, um die Verfügbarkeit der erforderlichen Systemleistung sicherzustellen. So werden z.B. unter anderem folgende Werte laufend aktuell überwacht: 

  • Festplattenstatus und verfügbarer Speicher
  • Raid-Status 
  • Dienste und Status aller virtuellen Maschinen
  • Fehlerhafte Anmeldeversuche
  • Speicherbelegung der Storages und Hauptspeicher 
  • Auslastung Ethernet 
  • Anzahl der RDP-Sessions der einzelnen Terminal-Server
  • Durchsatz und Auslastung der Firewall
  • Prüfung der Erreichbarkeit aller Server ist über Monitoring möglich 
  • Erreichbarkeit und Durchsatz der Switche 

Ein geschütztes Verfahren zur Datensicherung wurde von uns implementiert und ist dokumentiert.

Standardwartungsfenster sind definiert. Zusätzlich notwendige Fenster werden mindestens 10 Tage vorab angekündigt.

In unserem Unternehmen ist es essentiell, Entwicklungs-, Test und Betriebsumgebungen voneinander zu trennen, so dass wir ein besonderes Augenmerk hierauf haben.

Maßnahmen zur Erkennung, Vorbeugung und Wiederherstellung zum Schutz von Schadsoftware wurden getroffen und werden regelmäßig aktualisiert.

Wir verfügen über eine zentral überwachte und geschützte Ereignisprotokollierung und haben für den Fall der Speicherung sensibler personenbezogener Daten Maßnahmen zum Schutz der Privatsphäre getroffen. Sämtliche Protokollierungseinrichtungen und Protokollinformationen, einschließlich Administratoren und Bedienerprotokolle sind vor Manipulation und unbefugtem Zugriff geschützt. 

Die Synchronisation unserer Uhren erfolgt zentral mit einer einzigen Referenzzeitquelle.

Wir verfügen über ein zentrales Verfahren zur gesteuerten Installation von Software auf Systemen in unserem Unternehmen. 

Es besteht eine Aufstellung unserer technischen Werte und eine geregelte, dokumentierte Handhabung für den Fall einer technischen Schwachstelle, die u.a. unser Patchmanagement mit definierten Verantwortlichkeiten umfasst.

Regelungen für die Einschränkungen von Softwareinstallationen sind von uns zentral implementiert.

Im Falle einer Auditprüfung unserer Informationssysteme haben wir Maßnahmen festgelegt, die Störungen der Geschäftsprozesse soweit wie möglich minimieren.  

 

 

09. Kommunikationssicherheit

Die Sicherheit unserer in Netzwerken und Netzwerkdiensten gespeicherten personenbezogenen Daten und Informationen ist unumgänglich. Daher haben wir dokumentierte Maßnahmen eingesetzt, die unsere Netzwerke verwalten, steuern und sichern. 

Informationsdienste, Benutzer und Informationssysteme werden bedarfsgerecht voneinander getrennt gehalten. 

Wir verfügen über Richtlinien und Verfahren für die Informations- und Datenübertragung, sowie die Vereinbarungen zur Informationsübertragung an externe Stellen (z. B. CRM Anbieter). 

Unsere elektronische Nachrichtenübermittlung wird angemessen geschützt. So haben wir unter anderem Maßnahmen zum Schutz der Nachrichten vor unbefugtem Zugriff, vor Veränderung oder Denial of Service getroffen, die dem von der Organisation übernommenen Klassifizierungsschema (Schutzklasse 1_E2)  entsprechen.

Um unsere Daten zu schützen, schließen wir bedarfsgerechte Vertraulichkeits- oder Geheimhaltungsvereinbarungen ab, die wir regelmäßig überprüfen.

 

 

10. Anschaffung, Entwicklung und Instandhaltung von Systemen

Es ist sichergestellt, dass Daten- und Informationssicherheit ein fester Bestandteil über den gesamten Lebenszyklus unserer Systeme ist. Dies beinhaltet auch die Anforderungen an und die Sicherung von Informationssystemen, die Dienste über öffentliche Netze bereitstellen. Der Schutz der Transaktionen bei Anwendungsdiensten erfolgt bedarfsgerecht. Zudem haben wir ein Verfahren zur Verwaltung von Systemänderungen eingerichtet, um die Integrität des Systems, der Anwendungen und der Produkte von den frühen Entwurfsphasen bis zu allen später anfallenden Wartungsarbeiten sicherzustellen. 

Bei Änderungen an Betriebsplattformen werden geschäftskritische Anwendungen überprüft und getestet, um sicherzustellen, dass es keine negativen Auswirkungen auf die Organisationssicherheit und Kundenanwendungen gibt. Wir verfügen über einen gesteuerten Prozess zur Analyse, der Entwicklung und der Pflege sicherer IT Systeme. 

Für neue Informationssysteme, Aktualisierungen und neue Versionen sind Abnahmetestprogramme und dazugehörige Kriterien festgelegt. Unsere Testdaten werden sorgfältig ausgewählt geschützt und gesteuert.

 

 

11. Lieferantenbeziehungen

Wir wählen unsere Lieferanten im Vorfeld sorgsam aus und überprüfen ihre Geeignetheit hinsichtlich der Wahrung des Daten- und Informationssicherheitsschutzes.

Dokumentierte Vereinbarungen sichern den Schutz und die Geheimhaltung unserer Werte und Daten. Die Lieferanten werden verpflichtet, technisch-organisatorische Maßnahmen zu treffen, um dies zu gewährleisten.

Es besteht eine reglementierte und benutzerdefinierte Zugriffsberechtigung auf die für den jeweiligen Lieferanten zwingend benötigten Werte und Daten. 

Lieferanten dürfen weitere Lieferanten lediglich mit unserer Zustimmung beauftragen, um eine sichere Lieferkette zu gewährleisten.

Regelmäßig führen wir eine Überprüfung der Datenschutz- und Datensicherheitsmaßnahmen unserer Lieferanten durch, um das vereinbarte Niveau aufrecht zu erhalten. Auch die zugewiesenen Berechtigungen unterliegen einer ständigen dokumentierten Kontrolle.

Nach Beendigung des Lieferantenverhältnisses sind diese verpflichtet, die von uns erhaltenen Daten und Werte zu vernichten. Zudem gilt die Wahrung der Geheimhaltungspflicht unbegrenzt. 

 

 

12. Handhabung von Informationssicherheits- und Datenschutzereignissen

Unser Unternehmen verfügt über einen geregelten dokumentierten Prozess für die Handhabung von Informationssicherheits- und Datenschutzvorfällen, um diesbezüglich eine konsistente und wirksame Herangehensweise zu gewährleisten. Die Mitarbeiter sind angehalten, sämtliche Datenschutz – und Sicherheitsereignisse unverzüglich zu melden und werden diesbezüglich regelmäßig geschult. Wir haben ein Meldesystem installiert, das Ereignisse an ein Interventionsteam weitergeleitet, um eine schnelle Reaktion zu gewährleisten. Sämtliche Ereignisse werden dokumentiert, klassifiziert und bewertet. Das implementierte Interventionsteam hat genaue Vorgaben, wie auf ein Ereignis zu reagieren ist. 

Zusammen mit der Geschäftsführung werden regelmäßig Verbesserungsmaßnahmen besprochen und umgesetzt, die sich aus den Erkenntnissen und den gesammelten Beweisen eines Ereignisses ergeben.

 

13. Informationssicherheitsaspekte beim Business Continuity Management

Im Rahmen der Informationssicherheit wird die vorgesehene Verfügbarkeit von Systemen eigens bewertet und dokumentiert. Aus den Anforderungen leiten wir die technischen und organisatorischen Vorgaben, wie redundante Systeme / Anbindungen oder entsprechende Planungen ab und setzen diese konsequent und gesteuert um.  

Ein übergreifender Notfallplan bildet den Rahmen bezüglich der entsprechenden Handlungsanweisungen für ausgewählte dokumentierte Notfallszenarien.  

Laufende aktualisierte Übungspläne für die Erprobung der eingesetzten Maßnahmen und die Dokumentation der Durchführung entsprechender Tests rundet das Notfallmanagement ab. Alle Server und Storage Systeme sind bei einem ausgewählten Rechenzentrum angemietet. Aufgrund der vertraglichen Vereinbarungen besteht ein dauerhafter Anspruch auf Verfügbarkeit gegenüber dem Dienstleister. 

 

 

14. Compliance

Wir haben alle relevanten gesetzlichen, regulatorischen, selbst auferlegten oder vertraglichen Anforderungen sowie das Vorgehen unseres Unternehmens zur Einhaltung dieser Anforderungen bestimmt, dokumentiert und halten diese auf dem neuesten Stand.

Auch wurden angemessene Verfahren umgesetzt, mit denen die Einhaltung gesetzlicher, regulatorischer und vertraglicher Anforderungen mit Bezug auf geistige Eigentumsrechte und der Verwendung von urheberrechtlich geschützten Softwareprodukten sichergestellt ist.

Entsprechend der gesetzlichen, regulatorischen, vertraglichen und geschäftlichen Anforderungen schützen wir Aufzeichnungen und personenbezogene Daten bedarfsgerecht. Jährliche Tätigkeits-berichte des Datenschutzbeauftragten dokumentieren die ergriffenen Maßnahmen.

Wir beachten hierfür die Regelungen Kryptographischer Maßnahmen. 

Um den Schutz unserer Informationen und Daten sicher zu stellen, erfolgt regelmäßig eine unabhängige Überprüfung unseres Informationssicherheit- und Datenschutzniveaus, unserer Sicherheits- und Datenschutzrichtlinien, sowie die Einhaltung von technischen Vorgaben.

 

Anlage 2

Der für den Auftragnehmer bestellte Datenschutzbeauftragte ist:

Datenschutzbeauftragter der WiredMinds GmbH
c/o activeMind
Potsdamer Str. 3
80802 München

Telefon: +49 (0)89 91 92 94 – 900
www.activemind.de

E-Mail: datenschutzbeauftragter@wiredminds.de


Allgemein:
Die Activemind AG führt für die WiredMinds GmbH ein Verfahrensverzeichnis, dass den gesetzlichen Anforderungen entspricht. Alle Mitarbeiter von WiredMinds sind über den Arbeitsvertrag an das Datengeheimnis vertraglich gebunden. Die WiredMinds Mitarbeiter werden nachweislich geschult und sind mit den Themen der Datensicherheit und dem Datenschutz vertraut

Der für den Auftraggeber bestellte Datenschutzbeauftragte ist:

> Hier werden die Daten Ihres Datenschutzbeauftragen eingetragen! <

Anlage 3

Zur Erteilung von Weisungen auf Seiten des Auftraggebers sind befugt:

> Hier werden die Daten Ihres Weisungsbefugten eingetragen! >

Zur Entgegennahme von Weisungen auf Seiten des Auftragnehmers sind befugt:


Nicole Kienzle

E-Mail: nicole.kienzle@wiredminds.de 

Tel.: 0711 – 585 331 310 

Günter Jobst

E-Mail: guenter.jobst@wiredminds.de
Tel.: 0711 – 585 331 365

Anlage 4

Derzeit werden zur Erbringung des Auftrags folgende Subunternehmer eingesetzt:

Hetzner Online AG
Industriestr. 25
91710 Gunzenhausen
Deutschland


Hinweis:
Technischer Dienstleister; Bezug von Root Servern.
Es besteht KEINE Möglichkeit des Dienstleisters, auf im Auftrag verarbeitete Daten zuzugreifen.

Wir sorgen gemeinsam für Datenschutz

Datenschutzbeauftragter

OPTIONAL

Tragen Sie bitte die Daten Ihres internen oder externen Datenschutzbeauftragten ein sofern Sie einen Datenschutzbeauftragten bestellt haben.

Sollten Sie keinen Datenschutzbeauftragten bestellt haben klicken Sie bitte auf Weiter.

Datenschutzbeauftragter

    Please fill out the form on the previous page.