Vereinbarung zur Auftragsverarbeitung
Nach Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO).
Version 3.2
zur Kundennummer 74478564
zwischen
Joachim, Hisgen
Breslauer Strasse 19
37581 Bad Gandersheim
als Auftraggeber
– nachfolgend Auftraggeber –
und
STRATO AG
Otto-Ostrowski-Straße 7
10249 Berlin
als Auftragnehmer
- nachfolgend Auftragnehmer –
1. Gegenstand und Dauer der Verarbeitung
1.1. Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der
Leistungserbringung gemäß Auftrag, Leistungsbeschreibung und AGB (nachfolgend
Hauptvertrag), soweit eine Verarbeitung von personenbezogenen Daten durch den
Auftragnehmer als Auftragsverarbeiter für den Auftraggeber gemäß Art. 28 DSGVO erfolgt. Dies
umfasst alle Tätigkeiten, die der Auftragnehmer zur Erfüllung des Auftrags erbringt und die eine
Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Auftrag nicht ausdrücklich auf diese
Vereinbarung zur Auftragsverarbeitung verweist.
1.2. Die Dauer der Verarbeitung entspricht der im Auftrag vereinbarten Laufzeit.
2. Art und Zweck der Verarbeitung
2.1. Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO zur
Erfüllung des Auftrags.
2.2. Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung im
Bereich Cloud-Dienstleistungen, Hosting, Software as a Service (SaaS) und IT-Support
erforderlichen Zwecke.
3. Art der personenbezogenen Daten und Kategorien von Betroffenen
3.1. Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Produktwahl, die
Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten.
02.06.22, 13:58 STRATO Login
https://www.strato.de/apps/CustomerService?sessionID=efc0c5392628435f65ec1445a07274&cID=0&node=ADV&action_printversion_adv=1 2/9
3.2. Die Kategorien von Betroffenen bestimmt der Auftraggeber durch die Produktwahl, die
Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten.
4. Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen
4.1. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen
Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit
der
Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung
allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im
Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung.
4.2. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom
Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform)
durch einzelne Weisungen geändert werden (Einzelweisung). Mündliche Weisungen sind
unverzüglich schriftlich oder in Textform zu bestätigen. Weisungen, die im Vertrag nicht
vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Bei
Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen
sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung,
Termine und Vergütung ergeben. Ist dem Auftragnehmer die Umsetzung der Weisung nicht
zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden. Eine
Unzumutbarkeit liegt insbesondere vor, wenn die Leistungen in einer Infrastruktur erbracht
werden, die von mehreren Auftraggebern / Kunden des Auftragnehmers genutzt wird (Shared
Services), und eine Änderung der Verarbeitung für einzelne Auftraggeber nicht möglich oder
nicht zumutbar ist.
4.3. Die vertraglich vereinbarte Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat
der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den
Europäischen Wirtschaftsraum statt, soweit nicht etwas anderes vereinbart ist, z.B. über die
Produktbeschreibung der beauftragten Leistung .
4.4. Ist Vertragsbestandteil die Registrierung von Domains bei Registrierungsstellen, die ihren
Sitz in einem Drittland haben (außerhalb der Europäischen Union und des Europäischen
Wirtschaftsraums), ist auch vereinbart, dass der Auftragnehmer personenbezogene Daten -
unter Beachtung der zwingend anwendbaren Vorschriften – an diese Registrierungsstellen
übermittelt.
4.5. Die Parteien vereinbaren außerdem, dass der Auftragnehmer berechtigt ist,
personenbezogene Daten - unter Beachtung der zwingend anwendbaren Vorschriften zur
Leistungserbringung in einem Drittland zu übermitteln. Dies ist insbesondere der Fall, wenn
Auftragsgegenstand der Dienst eines Drittanbieters ist, der diesen Dienst ganz oder teilweise in
einem Drittland erbringt.
5. Rechte des Auftraggebers, Pflichten des Auftragnehmers
5.1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages
und der dokumentierten Weisungen des Auftraggebers verarbeiten außer es liegt ein
Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor (Verpflichtung nach dem Recht der
Europäischen Union oder eines Mitgliedstaates). Der Auftragnehmer informiert den
Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare
Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis
sie vom Auftraggeber bestätigt oder abgeändert wurde.
02.06.22, 13:58 STRATO Login
https://www.strato.de/apps/CustomerService?sessionID=efc0c5392628435f65ec1445a07274&cID=0&node=ADV&action_printversion_adv=1 3/9
5.2. Der Auftragnehmer unterstützt angesichts der Art der Verarbeitung nach Möglichkeit den
Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung
der Ansprüche der betroffenen Personen nach Kapitel III der DSGVO. Der Auftragnehmer ist
berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen.
5.3. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der
Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in
den Artikeln 32 bis 36 DSGVO genannten Pflichten. Der Auftragnehmer ist berechtigt, für diese
Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen.
5.4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des
Auftraggebers befassten Mitarbeiter und anderen für den Auftragnehmer tätigen Personen
untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der
Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen
Daten befugten
Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen
gesetzlichen
Verschwiegenheitspflicht unterliegen. Gleiches gilt für das Fernmeldegeheimnis nach § 88 TKG
und – in Kenntnis der Strafbarkeit – für die Wahrung von Geheimnissen der
Berufsgeheimnisträger nach § 203 StGB. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht
auch nach Beendigung des Auftrages fort.
5.5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen
des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der
Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur
Minderung möglicher nachteiliger Folgen für die betroffenen Personen.
5.6. Der Auftragnehmer gewährleistet die schriftliche Bestellung eines Datenschutzbeauftragten,
der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Eine Kontaktmöglichkeit wird auf der
Webseite des Auftragnehmers veröffentlicht.
5.7. Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach
Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Kunden
zurück, sofern nicht nach dem Unionsrecht oder nach dem anwendbaren Recht eines
Mitgliedstaates eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht oder
sich aus jeweiligen vertraglichen Vereinbarungen etwas anderes ergibt. Macht der Auftraggeber
von diesem Wahlrecht keinen Gebrauch, gilt die Löschung als vereinbart. Wählt der
Auftraggeber die Rückgabe, kann der Auftragnehmer eine angemessene Vergütung verlangen.
5.8. Machen betroffene Person Schadensersatzansprüche nach Art. 82 DSGVO geltend,
unterstützt der Auftragnehmer den Auftraggeber bei der Abwehr der Ansprüche im Rahmen
seiner Möglichkeiten.
Der Auftragnehmer kann hierfür eine angemessene Vergütung verlangen.
6. Pflichten des Auftraggebers
6.1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren,
wenn er bei der Durchführung des Auftrags Fehler oder Unregelmäßigkeiten bzgl. daten-
schutzrechtlicher Bestimmungen feststellt.
6.2. Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen
Daten vor Vertragsbeendigung zu löschen, die er in den Diensten gespeichert hat.
6.3. Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner in
Datenschutzangelegenheiten.
7. Anfragen betroffener Personen
02.06.22, 13:58 STRATO Login
https://www.strato.de/apps/CustomerService?sessionID=efc0c5392628435f65ec1445a07274&cID=0&node=ADV&action_printversion_adv=1 4/9
Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft
an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber
verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person
möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den
Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner
Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet nicht, wenn das
Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht
beantwortet wird.
8. Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO
8.1. Der Auftragnehmer ergreift in seinem Verantwortungsbereich geeignete technische und
organisatorische Maßnahmen, um sicher zu stellen, dass die Verarbeitung gemäß den
Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der
betroffenen Person gewährleistet. Der Auftragnehmer ergreift in seinem Verantwortungsbereich
gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um die
Vertraulichkeit, Integrität, Verfügbarkeit
und Belastbarkeit der Systeme und Dienste im
Zusammenhang mit der Verarbeitung
auf Dauer sicherzustellen.
8.2. Die aktuellen technischen und organisatorischen Maßnahmen sind im Anhang 2 aufgeführt.
8.3. Der Auftragnehmer betreibt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit
der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der
Verarbeitung gemäß Art. 32 Abs. 1 lit. d) DSGVO.
8.4. Der Auftragnehmer passt die getroffenen Maßnahmen im Laufe der Zeit an die
Entwicklungen beim Stand der Technik und die Risikolage an. Eine Änderung der getroffenen
technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, sofern
das Schutzniveau nach Art 32 DSGVO nicht unterschritten wird.
9. Nachweis und Überprüfung
9.1. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum
Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und
ermöglicht Überprüfungen - einschließlich Inspektionen -, die vom Auftraggeber oder einem
anderen von diesem beauftragten Prüfer durchgeführt werden, und trägt dazu bei. Der
Auftragnehmer ist berechtigt, eine Verschwiegenheitserklärung vom Auftraggeber und von
dessen beauftragten Prüfer zu verlangen. Der Auftragnehmer stimmt der Benennung eines
unabhängigen externen Prüfers durch den Auftraggeber zu, sofern der Auftraggeber dem
Auftragnehmer eine Kopie des Auditberichts
zur Verfügung stellt. Wettbewerber des
Auftraggebers oder Personen, die für Wettbewerber des Auftraggebers tätig sind, kann der
Auftragnehmer als Prüfer ablehnen.
9.2. Als Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten reicht dem
Auftraggeber die vorliegende Zertifizierung nach ISO 27001 aus. Das jeweils aktuelle Zertifikat
stellt der Auftragnehmer auf seiner Webseite zur Verfügung.
9.3. Das Inspektionsrecht des Auftraggebers hat das Ziel, die Einhaltung der einem
Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO und dieses Vertrages zu
überprüfen. Der Nachweis der Einhaltung dieser Pflichten wird durch die Zertifizierung nach
vorstehendem Absatz erbracht. Sofern der Auftraggeber auf Basis tatsächlicher Anhaltspunkte
berechtigte Zweifel daran geltend macht, dass diese Zertifizierungen zureichend oder zutreffend
02.06.22, 13:58 STRATO Login
https://www.strato.de/apps/CustomerService?sessionID=efc0c5392628435f65ec1445a07274&cID=0&node=ADV&action_printversion_adv=1 5/9
sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DSGVO im Zusammenhang mit der
Durchführung der Auftragsverarbeitung für den Auftraggeber dies rechtfertigen, kann er Vor-
Ort-Kontrollen durchführen. Diese können zu den üblichen Geschäftszeiten ohne Störung des
Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit
durchgeführt werden.
9.4. Für Informationen und Unterstützungshandlungen kann der Auftragnehmer eine
angemessene Vergütung verlangen. Der Aufwand für den Auftragnehmer durch eine Inspektion
ist grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
9.5. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige staatliche oder kirchliche
Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gelten die vorstehenden
Regeln entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht
erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen
Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
10. Subunternehmer (weitere Auftragsverarbeiter)
10.1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere
Auftragsverarbeiter im Sinne des Art. 28 DSGVO zur Vertragserfüllung einzusetzen.
10.2. Die aktuell eingesetzten weiteren Auftragsverarbeiter sind im Anhang 1 aufgeführt,
welcher unter folgendem Link aufrufbar ist: https://strato.de/subunternehmer-strato-ag/
(https://strato.de/subunternehmer-strato-ag/). Der Auftraggeber wird sich dort regelmäßig über
Änderungen informieren. Der Auftraggeber erklärt sich mit deren Einsatz einverstanden.
10.3. Der Auftragnehmer informiert den Auftraggeber, wenn er eine Änderung in Bezug auf die
Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt. Der Auftraggeber
kann gegen derartige Änderungen Einspruch erheben.
10.4. Der Einspruch gegen die beabsichtigte Änderung kann nur aus einem wichtigen
datenschutzrechtlichen Grund innerhalb einer angemessenen Frist nach Zugang der
Information über die Änderung gegenüber dem Auftragnehmer erhoben werden. Im Fall des
Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte
Änderung erbringen oder - sofern die Erbringung der Leistung ohne die beabsichtigte Änderung
für den Auftragnehmer nicht zumutbar ist - die von der Änderung betroffene Leistung
gegenüber dem Auftraggeber innerhalb einer angemessenen Frist nach Zugang des Einspruchs
einstellen.
10.5. Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter, so obliegt es dem
Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren
Auftragsverarbeiter zu übertragen.
10.6. Als weitere Auftragsverarbeiter im Sinne dieser Regelung sind nur solche Subunternehmer
zu verstehen, die Dienstleistungen erbringen, die sich unmittelbar auf die Erbringung der
Hauptleistung beziehen. Nicht hierzu gehören solche Nebenleistungen, die sich auf
Telekommunikationsleistungen, Druck-/Post-/Transportdienstleistungen, Wartung und Pflege,
Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur
Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der
personenbezogenen Daten, Netze, Dienste, Datenverarbeitungsanlagen und sonstiger ITSysteme,
beziehen. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des
Datenschutzes und der Datensicherheit in Bezug auf die Daten des Auftraggebers auch bei
solchen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen
02.06.22, 13:58 STRATO Login
https://www.strato.de/apps/CustomerService?sessionID=efc0c5392628435f65ec1445a07274&cID=0&node=ADV&action_printversion_adv=1 6/9
sowie Kontrollmaßnahmen zu ergreifen.
11. Haftung und Schadensersatz
11.1. Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene
Person nach Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und
zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
11.2. Die zwischen den Parteien im Hauptvertrag zur Leistungserbringung vereinbarte
Haftungsregelung gilt auch für Ansprüche aus dieser Vereinbarung zur Auftragsverarbeitung
und im Innenverhältnis zwischen den Parteien für Ansprüche Dritter nach Art 82 DSGVO, außer
soweit ausdrücklich etwas anderes vereinbart ist.
12. Vertragslaufzeit, Sonstiges
12.1. Die Vereinbarung beginnt mit dem Abschluss durch den Kunden. Sie endet mit Ende des
letzten Vertrages unter der o.g. Kundennummer. Sollte eine Auftragsverarbeitung noch nach
Beendigung dieses Vertrages stattfinden, gelten die Regelungen dieser Vereinbarungen bis zum
tatsächlichen Ende der Verarbeitung.
12.2. STRATO kann die Vereinbarung nach billigem Ermessen mit angemessener
Ankündigungsfrist ändern. Es gilt Ziffer 1.4 AGB.
12.3. Ergänzend gelten die AGB des Auftragnehmers, abrufbar unter
https://www.strato.de/agb/. Bei etwaigen Widersprüchen gehen Regelungen dieser
Vereinbarung zur Auftragsverarbeitung den Regelungen des Hauptvertrages vor. Sollten
einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der
Vereinbarungen im Übrigen nicht.
12.4. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit
diesem Vertrag ist Berlin. Dieser gilt vorbehaltlich eines etwaigen ausschließlich gesetzlichen
Gerichtsstandes. Dieser Vertrag unterliegt den gesetzlichen Bestimmungen der Bundesrepublik
Deutschland.
12.5. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder
Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse
oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber
unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang
Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den
Daten ausschließlich beim Auftraggeber als »Verantwortlicher
« im Sinne der DSGVO liegen.
Anhang 1 zur Vereinbarung zur Auftragsverarbeitung - Genehmigte
Subunternehmer / weitere Auftragsverarbeiter
Link zu den Subunternehmern der Strato AG: https://strato.de/subunternehmer-strato-ag/
(https://strato.de/subunternehmer-strato-ag/)
Anhang 2 zur Vereinbarung zur Auftragsverarbeitung - Technische
und Organisatorische Sicherheitsmaßnahmen gemäß Art 32
DSGVO
02.06.22, 13:58 STRATO Login
https://www.strato.de/apps/CustomerService?sessionID=efc0c5392628435f65ec1445a07274&cID=0&node=ADV&action_printversion_adv=1 7/9
Version 1.0
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
Unbefugten ist der Zutritt zu Räumen zu verwehren, in denen Datenverarbeitungsanlagen
untergebracht sind.
Festlegung von Sicherheitsbereichen
• Realisierung eines wirksamen Zutrittsschutzes
• Protokollierung des Zutritts
• Festlegung Zutrittsberechtigter Personen
• Verwaltung von personengebundenen Zutrittsberechtigungen
• Begleitung von Fremdpersonal
• Überwachung der Räume
1.2 Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten
genutzt werden.
• Festlegung des Schutzbedarfs
• Zugangsschutz
• Umsetzung sicherer Zugangsverfahren, starke Authentisierung
• Umsetzung einfacher Authentisierung per Username Passwort
• Protokollierung des Zugangs
• Monitoring bei kritischen IT-Systemen
• Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen
• Sperrung bei Fehlversuchen/Inaktivität und Prozess zur Rücksetzung gesperrter
Zugangskennungen
• Verbot Speicherfunktion für Passwörter und/oder Formulareingaben (Server/Clients)
• Festlegung befugter Personen
• Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien und
Zugangsberechtigungen
• Automatische Zugangssperre und Manuelle Zugangssperre
1.3 Zugriffskontrolle
Es kann nur auf die Daten zugegriffen, für die eine Zugriffsberechtigung besteht. Daten können
bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen,
kopiert,
verändert oder entfernt werden.
• Erstellen eines Berechtigungskonzepts
• Umsetzung von Zugriffsbeschränkungen
• Vergabe minimaler Berechtigungen
• Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen
• Vermeidung der Konzentration von Funktionen
1.4 Verwendungszweckkontrolle
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt
verarbeitet werden können.
• Datensparsamkeit im Umgang mit personenbezogenen Daten
02.06.22, 13:58 STRATO Login
https://www.strato.de/apps/CustomerService?sessionID=efc0c5392628435f65ec1445a07274&cID=0&node=ADV&action_printversion_adv=1 8/9
• Getrennte Verarbeitung verschiedener Datensätze
• Regelmäßige Verwendungszweckkontrolle und Löschung
• Trennung von Test- und Entwicklungsumgebung
1.5 datenschutzfreundliche Voreinstellungen
• Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich sind, werden die
technischen Voreinstellungen so festgelegt, dass Daten nur durch eine Aktion der Betroffenen
Person erhoben, verarbeitet, weitergegeben oder veröffentlicht werden.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
Ziel der Weitergabekontrolle ist es, zu gewährleisten, dass personenbezogene Daten bei der
elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Daten-
träger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass über-
prüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener
Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
• Festlegung empfangs- /weitergabeberechtigter Instanzen/Personen
• Prüfung der Rechtmäßigkeit der Übermittlung ins Ausland
• Protokollierung von Übermittlungen gemäß Protokollierungskonzept
• Sichere Datenübertragung zwischen Server und Client
• Sicherung der Übertragung im Backend
• Sichere Übertragung zu externen Systemen
• Risikominimierung durch Netzseparierung
• Implementation von Sicherheitsgateways an den Netzübergabepunkten
• Härtung der Backendsysteme
• Beschreibung der Schnittstellen
• Umsetzung einer Maschine-Maschine-Authentisierung
• Sichere Ablage von Daten, inkl. Backups
• Gesicherte Speicherung auf mobilen Datenträgern
• Einführung eines Prozesses zur Datenträgerverwaltungen
• Prozess zur Sammlung und Entsorgung
• Datenschutzgerechter Lösch- und Zerstörungsverfahren
• Führung von Löschprotokollen
2.2 Eingabekontrolle
Zweck der Eingabekontrolle ist es, zu gewährleisten, dass nachträglich überprüft und festgestellt
werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme
eingegeben, verändert oder entfernt worden sind.
• Protokollierung der Eingaben
• Dokumentation der Eingabeberechtigungen
3. Verfügbarkeit, Belastbarkeit, Desaster Recovery
3.1 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
• Brandschutz
• Redundanz der Primärtechnik
02.06.22, 13:58 STRATO Login
https://www.strato.de/apps/CustomerService?sessionID=efc0c5392628435f65ec1445a07274&cID=0&node=ADV&action_printversion_adv=1 9/9
• Redundanz der Stromversorgung
• Redundanz der Kommunikationsverbindungen
• Monitoring
• Resourcenplanung und Bereitstellung
• Abwehr von systembelastendem Missbrauch
• Datensicherungskonzepte und Umsetzung
• Regelmäßige Prüfung der Notfalleinrichtungen
3.2 Desaster Recovery – Rasche Wiederherstellung nach Zwischenfall (Art. 32 Abs. 1 lit. c
DSGVO)
• Notfallplan
• Datensicherungskonzepte und Umsetzung
4. Datenschutzorganisation
• Festlegung von Verantwortlichkeiten
• Umsetzung und Kontrolle geeigneter Prozesse
• Melde- und Freigabeprozess
• Umsetzung von Schulungsmaßnahmen
• Verpflichtung auf Vertraulichkeit
• Regelungen zur internen Aufgabenverteilung
• Beachtung von Funktionstrennung und –zuordnung
• Einführung einer geeigneten Vertreterregelung
5. Auftragskontrolle
Ziel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im Auftrag
verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden
können.
• Auswahl weiterer Auftragnehmer nach geeigneten Garantien
• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern
• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit STRATO
6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d
DSGVO; Art. 25 Abs. 1 DSGVO)
• Informationssicherheitsmanagement nach ISO 27001
• Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen
• Prozess Sicherheitsvorfall-Management
• Durchführung von technischen Überprüfungen
Sie haben am 02.06.2022 13:58 erfolgreich eine Vereinbarung zur Auftragsverarbeitung mit
STRATO abgeschlossen.