Dorfstrasse 12
77791 Berghaupten
Telefon: 07803-1515
Fax: 07803-40183
Datenschutzerklärung
nach den Vorgaben der Datenschutzgrundverordnung (DSGVO)
Präambel
Absolute Grundlage unserer täglichen Arbeit ist die ärztliche Schweigepflicht. Seit Hippokrates (um 460 v. Chr.) eine Selbstverständlichkeit. Damit ist alles gesagt.
Die folgenden Erklärungen sollen eine Ergänzung sein für all jene, die jetzt noch gerne weiterlesen.
Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.
Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Dr. Christoph Dreher
Dorfstraße 12 77791 Berghaupten Deutschland Telefon: 0703-1515
E-Mail: info@hausarztpraxis-dreher.de
www.hausarztpraxis-dreher.de
Allgemeines zur Datenverarbeitung Umfang der Verarbeitung personenbezogener Daten
Wir erheben und verwenden personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Erhebung und Verwendung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.
Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage. Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.
Datenlöschung und Speicherdauer
Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.
Bereitstellung der Website und Erstellung von Logfil
Siehe hierzu Vertrag zur Auftragsdatenverarbeitung mit dem Provider 1blue AG wie folgt:
Vertrag über die Auftragsdaten verarbeitung gemäß Art. 28 DSGVO Zwischen der
Strato AG Pascalstraße 10 10587 Berlin
nachstehend auch „Auftragnehmer“ genannt und dem Kunden
Dr. Christoph Dreher Dorfstr. 12 77791 Berghaupten, nachstehend auch „Auftraggeber“ genannt
Präambel
Dieser Vertrag über die Auftragsdatenverarbeitung ergänzt und konkretisiert die datenschutzrechtlichen Verpflichtungen, die aus dem zwischen den Vertragsparteien geschlossenen Einzelvertrag resultieren. Das Bestehen eines solchen Individualvertrags ist zwingende Voraussetzung für das rechtlich bindende Zustandekommen dieses Vertrags.
§1 Gegenstand und Dauer der Auftragsdatenverarbeitung
Der Auftrag umfasst Folgendes: Dienstleistungen für Webhosting, Domainregistrierung und -verwaltung, Rechenzentrumsarbeiten sowie alle damit im Zusammenhang stehenden Handlungen, wie zum Beispiel die Weitergabe der zur Domainregistrierung oder Zertifikatserstellung erforderlichen Daten an die jeweilige Registrierungsstelle oder den entsprechenden Dienstleister, die Administration der Server inklusive des Ersteliens von Backupdateien. Die Dauer der Auftragsdatenverarbeitung richtet sich nach der Laufzeit des Individualvertrags.
§ 2 Anwendungsbereich
(1) Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVOauf Grundlage dieses Vertrages.
(2) Die vertraglich vereinbarte Dienstleistung wird mit Ausnahme der Übertragung der zur Domainregistrierung erforderlichen Daten ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Die Übertragung von Daten an Organisationen, die Daten an internationale Organisationen in Drittländern übermitteln, findet nur und ausschließlich bei der entsprechenden ausdrücklichen Bestellung einer Domain der entsprechenden Organisation statt.
(3) Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
§ 3 Dauer des Auftrags
(1) Der Vertrag beginnt mit Datum des Zugangs des durch den Auftraggeber unterzeichneten Vertrags beim Auftragnehmer und endet 14 Tage nach der wirksamen Beendigung des zugehörigen Individualvertrags.
(2) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.
§4 Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen:
(1) Die Art und der Zweck der Verarbeitung richten sich jeweils nach der Leistungsbeschreibung des Individualvertrags.
(2) Der Auftraggeber verarbeitet die Daten des Auftragnehmers für den Auftragnehmer laut der Leistungsbeschreibung des Individualvertrags.
§ 5 Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers
(1) Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVOist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.
(2) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.
(3) Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
(4) Der Auftraggeber ist berechtigt, sich wie unter Ziffer 6 Nr. 9 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen. Die Durchführung einer solchen Kontrolle vor Ort kann durch den Auftragnehmer von einer vorab zu zahlenden Aufwandsentschädigung die sich nach dem tatsächlichen Aufwand und dem Umfang der beabsichtigten Kontrolle richtet abhängig gemacht werden. Die Kontrolle ist regelmäßig auf eine Maßnahme pro Jahr begrenzt.
(5) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
(6) Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen. Als Ansprechpartner steht dem Auftraggeber der in Ziffer 6 Absatz 13 benannte Datenschutzbeauftragte zur Verfügung.
§6, Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personen bezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen zur Durchführung des Vertrags und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).
(2) Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.
(3) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
(4) Der Auftragnehmer hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber regelmäßige Kontrollen über die Einhaltung dieser Vereinbarung in seinem Bereich durchzuführen. Das Ergebnis der Kontrollen ist zu dokumentieren.
(5) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVOdurch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten, sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten.
(6) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.
(7) Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers oder gesetzliche Vorschriften dem nicht entgegenstehen.
(8) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.
(9) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Die Durchführung einer solchen Kontrolle vor Ort kann durch den Auftragnehmer von einer vorab zu zahlenden Aufwandsentschädigung, die sich nach dem tatsächlichen Aufwand und dem Umfang der beabsichtigten Kontrolle richtet abhängig gemacht werden. Die Kontrolle ist regelmäßig auf eine Maßnahme pro Jahr begrenzt.
(10) Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind.
(11) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personen bezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.
(12) Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 Iit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.
(13) Beim Auftragnehmer ist als Beauftragter für den Datenschutz Herr Michael Reim, datenschutzbeauftragter@lblu.de bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.
§7, Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten: Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 5 dieses Vertrages durchführen.
§8, Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DSGVO)
(1) Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer nur mit Genehmigung des Auftraggebers gestattet (Art. 28 Abs. 2 DSGVO), welche auf einem der o. g. Kommunikationswege (Ziff. 4) mit Ausnahme der mündlichen Gestattung erfolgen muss. Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer dem Auftraggeber Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Außerdem muss der Auftragnehmer dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.
(2) Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte VerhaItensregeln).
(3) Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen. Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DSGVO).
(4) Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden. (5) Zurzeit sind für den Auftragnehmer die in Anlage 1 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Als weitere genehmigte Subunternehmer nach diesem Vertrag gelten alle verbundenen Unternehmen des Auftragnehmers im Sinne des AktG. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden. Sie sind in der im Anhang beigefügten Liste aufgeführt.
(6) Der Auftragnehmer informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DSGVO).
§ 9 Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Art. 28 Abs. 3 Satz 2 lit. c D SGVO) (1) Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DSGVO,wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.
(2) Die angewandten Methoden zur Risikoberwertung und Überwachung werden permanent aktualisiert und auf den aktuellen Stand der Technik überprüft.
(3) Die in Anlage 2 beschreibenen TOM stellen die Auswahl der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT- Systeme und Verarbeitungsprozesse beim Auftragnehmer dar.
(4) Der Auftragnehmer hat bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DSGVO).
(5) Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten. (6) Wesentliche Änderungen muss der Auftragnehmer mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.
§ 10 Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g D SGVO Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten zu löschen, beziehungsweise deren Löschung zu veranlassen und dies zu kontrollieren.
§11 Haftung Hinsichtlich der Haftung wird auf Art. 82 DSGVOwird verwiesen.
§ 1 2 Sonstiges
(1) Alle Änderungen, Nebenabreden, die Kündigung und Aufhebung dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieser Klausel. Nebenabreden wurden nicht getroffen. Streichungen in dieser Vereinbarung müssen von beiden Parteien gezeichnet werden.
(2) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder lückenhaft sein, so berührt dies die Gültigkeit der übrigen Bestimmungen nicht. Vielmehr tritt für den Fall, dass ein Verbraucher an dem Vertrag nicht beteiligt ist an die Stelle der unwirksamen Bestimmung eine Regelung, die dem gewollten Zweck am nächsten kommt. Im Fall einer Lücke gilt dann diejenige Bestimmung als vereinbart, die dem entspricht, was nach dem Zweck vereinbart worden wäre, hätten die Parteien die Angelegenheit von vornherein bedacht. Ist hiernach eine Lösung nicht möglich, finden die Parteien eine Regelung im Geist partnerschaftlicher Kooperation.
(3) Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.
(4) Es gilt deutsches Recht. Datum: 24.05.2018 Auftraggeber Prokurist Name in Druckbuchstaben Ggfs. Funktion Anlage 1 zum ADV Genehmigte Subunternehmer {weitere Auftragsverarbeiter ) der lb lu AG Name, Adresse, Leistunqsbeschreibunq 1blu business GmbH Stromstraße 1-5 Server- und 10555 Berlin Netzwerkverwaltung, Deutschland Kundensupport, IT Beratung, Domainregistrierung Greatnet.de GmbH Stromstraße 1-5 Server- und 10555 Berlin Netzwerkverwaltung, Deutschland Kundensupport, IT Beratunq. OMCnet Internet Service Ernst-Abbe-Straße 10 Server- und GmbH 25451 Quickborn Netzwerkverwaltung, Deutschland Kundensupport, IT Beratung, Domainregistrierung
Anlage 1 ADV lblu Seite 1 von 1 Anlage 2 zum ADV T e ch n is ch e u n d o rg an is a to r is ch e M aß n ahm en d e r lb lu AG 1 . P s eu d o n ym is ie ru n g , D a tenm in im ie ru n g (A r t. 3 2 A b s . 1 lit. a D SG VO , A r t. 2S A b s . 1 D SG VO
Maßnahmen zur Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und den entsprechenden technischen und organisatischen Maßnahmen unterliegen:
• IP-Adressen werden in Logdateien nur vollständig erfasst, sofern dies zum ordnungsgemäßen Betrieb der Server erforderlich ist (d.h. zur Abwehr von Angriffen, zur Feststellung missbräuchlicher Verwendung von Diensten oder der Herausgabe bei Anfragen durch Strafverfolgungsbehörden, usw.).
• Logdateien, welche unverfremdete IP-Adressen enthalten, werden auf unseren Systemen automatisch rotiert.
• Über längere Zeit gespeicherte IP-Adressen (z.B. als Grundlage zur Erstellung von Statistiken für unsere Kunden) sind durch Unkenntlichmachung eines Oktetts (IPv4) bzw. eines Hextetts (IPv6) nicht mehr eindeutig einer bestimmten Person zuzuordnen.
• Es werden nur solche persönlichen Daten unserer Kunden erhoben, die für die Erbringung unserer Dienstleistung notwendig sind. Mitarbeiter sind zur Datensparsamkeit gehalten.
2 . V e r trau lich k e it (A r t. 3 2 . A b s . 1 lit. b D SG VO )
2.1 Maßnahmen, die Unbefugten den physischen Zugriff auf Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren (Zutrittskontrolle):
• Das Rechenzentrum verfügt über einbruchshemmende Türen und Lüftungsklappen.
• Es besteht eine Schlüsselregelung samt dokumentierter Schlüsselvergabe.
• Das Rechenzentrum ist durch ein personalisiertes biometrisches Zutrittskontrollsystem abgesichert.
• Eine Richtlinie regelt den Zutritt und die Überwachung von Besuchern. Der Zutritt zu den Serverräumen ist gesondert geregelt.
• Besucher im Rechenzentrum werden protokolliert.
• Videoüberwachung ist im Rechenzentrum installiert.
• Es besteht eine Alarmanlage, deren Auslösung eine automatische Benachrichtigung des Bereitschaftsdienstes nach sich zieht.
• Das Rechenzentrum weist keine Fenster auf. 2.2 Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle): • Alle DV-Systeme, die Zugang zu personenbezogenen Daten gewähren, erfordern mindestens eine Authentifikation mittels Benutzername und Kennwort.
• Benutzerzugänge sind personalisiert.
• Die Vergabe von Zugangsberechtigungen erfolgt rollenbasiert und wird dokumentiert.
• Es erfolgt ein Entzug von Berechtigungen, sofern diese nicht mehr benötigt werden. Dieser Vorgang wird dokumentiert.
• Die Authentifikation der Benutzer erfolgt durch Verwendung digitaler Zertifikate.
• Administrative Zugänge dürfen sich nur von bestimmten, festgelegten IPs aus anmelden.
• Bei wiederholten Authentifizierungsfehlern erfolgt eine automatische Sperrung von Zugängen.
• Es existiert eine Richtlinie zur datenschutzkonformen Konfiguration der Arbeitsplatzrechner.
• Vorgeschrieben ist für alle Arbeitsplatzrechner das Einrichten einer automatischen Bildschirmsperre mit Kennwortschutz bei Untätigkeit.
• Es erfolgt eine zentrale Speicherung von Protokolldateien auf einem dezidierten Logserver.
2.3 Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, sowie dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle):
• Es gelten rollenbasierte Zugriffsregelungen.
• Administrative Tätigkeiten werden protokolliert.
• Privilegierte Aktionen werden zusätzlich auf einem dedizierten Logserver protokolliert.
• Protokollierung von Kenntnisnahme, Veränderung und Löschung von personenbezogenen Daten auf den Kundenservern.
2.4 Maßnahmen, die sicherstellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden (Trennungskontrolle) :
• Auftragsdaten werden getrennt (auf anderen Maschinen) von den Daten aus laufenden Systemanwendungen der Kunden gespeichert.
• Personenbezogene Daten werden ausschließlich zweckgebunden verarbeitet.
3. Integrität (Art. 32. Abs. 1 lit. b DSGVO)
3.1 Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektrischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Weitergabekontrolle) :
• Entfernter Zugriff ist nur unter Verwendung verschlüsselter Verbindungen möglich (z.B. VPN/ SSH).
• Wo dies möglich ist, wird Datenverschlüsselung eingesetzt (z.B. PGPfür Email).
• Personenbezogene Daten werden standardmäßig nicht an Dritte übermittelt.
• Es besteht ein dokumentierter Prozess zur Vernichtung von Daten und Datenträgern.
• Die physische Vernichtung der Datenträger erfolgt durch einen zertifizierten Dienstleister.
• Transport der Datenträger zur Vernichtung erfolgt in eigens dafür vorgesehenen abschließbaren Behältern.
3.2 Maßnahmen, die eine nachträgliche Überprüfung ermöglichen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle) :
• Eine Protokollierung aller Vorgänge im Bereich der eingesetzten Verwaltungssoftware wird durchgeführt.
• Für essentielle Systeme kommen Versionsverwaltungssysteme zum Einsatz.
4 . V e r fü g b a rk e it u n d B e la s tb a rk e it (A r t. 3 2 A b s . 1 lit. b u n d c D SG VO ) Maßnahmen, welche gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und verfügbar bleiben (Verfügbarkeitskontrolle):
• Um die Daten nach einem Ausfall wiederherstellen zu können, existiert ein vollständiges Backup- & Recovery-Konzept.
• Es wird eine tägliche Datensicherung automatisch durchgeführt.
• Um größtmögliche Verfügbarkeit der Daten zu erzielen, werden in den Servern RAID-Systeme eingesetzt.
• Auf Wunsch werden Hochverfügbarkeitslösungen umgesetzt.
• Im Rechenzentrum wird Gebrauch von unterbrechungsfreier Stromversorgung gemacht.
• Das Rechenzentrum verfügt über einen automatisch anlaufenden Dieselgenerator, um Stromausfälle überbrücken zu können, welche über die Batteriekapazität der eingesetzten USV-Anlagen gehen.
• Der Dieselgenerator wird regelmäßig mittels durchgeführter Testläufe auf Betriebsbereitschaft hin überprüft.
• Es besteht eine mehrfach-redundante Anbindung an Backboneprovider.
5 . V e r fah ren zu r reg e lm äß ig en Ü b e rp rü fu n g . B ew e r tu n g u n d E v a lu ie ru n g (A r t. 3 2 A b s . llit. d D SG VO i A r t. 2 5 A b s . lDSGVO)
Maßnahmen zur Sicherstellung eines technisch und organisatorisch angemessenen Standes bei der Erbringung der vertraglich vereinbarten Leistungen:
• Die TOM werden nach einem definierten Prozess regelmäßig auf Wirksamkeit und Einhaltung eines angemessenen technischen Standes überprüft.
• Der sichere Betrieb des Rechenzentrums und die sachgemäße Dokumentation der diesbezüglichen Prozessewerden mittels eines durch einen anerkannten externen Dienstleister ausgestellten Zertifikates nachgewiesen.
6 . D a ten s ch u tzb e au ftrag te r u n d A u ftrag sd a ten v e ra rb e itu n g (A r t. 3 2 . A b s . 4 D SG VO i A r t. 2 9 D SG VO i A r t. 3 7 A b s . 4 D SG VO l Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle):
• Die lblu AG hat einen Datenschutzbeauftragten bestellt und sorgt durch die Datenschutzorganisation für dessen angemessene und effektive Einbindung in die relevanten Prozesse.
• Verpflichtung der Beschäftigten auf das Datengeheimnis (vormals § 5 BDSG).
• Abschluss von Verträgen zur Verarbeitung von personenbezogenen Daten im Auftrag unter Berücksichtigung der jeweiligen Anforderungen, wenn diese vom Auftraggeber mitgeteilt werden.
• Serverstandorte sind – sofern nicht anderweitig vereinbart – Rechenzentren in Deutschland. TOM 1blu AG Mai 2018
Kontaktformular und E-Mail-Kontakt
Beschreibung und Umfang der Datenverarbeitung
Auf unserer Internetseite ist ein Kontaktformular vorhanden, welches für die elektronische Kontaktaufnahme genutzt werden kann. Nimmt ein Nutzer diese Möglichkeit wahr, so werden die in der Eingabemaske eingegeben Daten an uns übermittelt und gespeichert. Diese Daten sind:
Name, email-Adresse und Ihr Anliegen Zum Zeitpunkt der Absendung der Nachricht werden zudem folgende Daten gespeichert: Datum und Uhrzeit der Absendung Auf die Verarbeitung der Daten und auf diese Datenschutzerklärung wird am Kontaktformular hingewiesen. Alternativ ist eine Kontaktaufnahme über die bereitgestellte E-Mail-Adresse möglich. In diesem Fall werden die mit der E-Mail übermittelten personenbezogenen Daten des Nutzers gespeichert.
Es erfolgt in diesem Zusammenhang keine Weitergabe der Daten an Dritte. Die Daten werden ausschließlich für die Verarbeitung der Konversation verwendet. Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung des Nutzers Art. 6 Abs. 1 lit. a DSGVO.
Rechtsgrundlage für die Verarbeitung der Daten, die im Zuge einer Übersendung einer E-Mail übermittelt werden, ist Art. 6 Abs. 1 lit. f DSGVO. Zielt der E-Mail-Kontakt auf den Abschluss eines Vertrages ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO. Zweck der Datenverarbeitung Die Verarbeitung der personenbezogenen Daten aus der Eingabemaske dient uns allein zur Bearbeitung der Kontaktaufnahme. Im Falle einer Kontaktaufnahme per E-Mail liegt hieran auch das erforderliche berechtigte Interesse an der Verarbeitung der Daten.
Die sonstigen während des Absendevorgangs verarbeiteten personenbezogenen Daten dienen dazu, einen Missbrauch des Kontaktformulars zu verhindern und die Sicherheit unserer informationstechnischen Systeme sicherzustellen. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten aus der Eingabemaske des Kontaktformulars und diejenigen, die per E-Mail übersandt wurden, ist dies dann der Fall, wenn die jeweilige Konversation mit dem Nutzer beendet ist. Beendet ist die Konversation dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist.
Die während des Absendevorgangs zusätzlich erhobenen personenbezogenen Daten werden spätestens nach einer Frist von sieben Tagen gelöscht.
Widerspruchs- und Beseitigungsmöglichkeit
Der Nutzer hat jederzeit die Möglichkeit, seine Einwilligung zur Verarbeitung der personenbezogenen Daten zu widerrufen. Nimmt der Nutzer per E-Mail Kontakt mit uns auf, so kann er der Speicherung seiner personenbezogenen Daten jederzeit mündlich oder schriftlich widersprechen. In einem solchen Fall kann die Konversation nicht fortgeführt werden. Alle personenbezogenen Daten, die im Zuge der Kontaktaufnahme gespeichert wurden, werden in diesem Fall gelöscht. Rechte der betroffenen Person
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener i. S. d. DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu: Auskunftsrecht Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.
Liegt eine solche Verarbeitung vor, können Sie über folgende Informationen Auskunft verlangen:
(1) die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
(2) die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
(3) die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
(4) die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
(5) das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
(6) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
(7) alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
(8) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden. Recht auf Berichtigung
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.
Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:
(1) wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
(2) die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
(3) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
(4) wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.
Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben wird.
Recht auf Löschung
Löschungspflicht
Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
(1) Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
(2) Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
(3) Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
(4) Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
(5) Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
(6) Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
Information an Dritte
Hat der Verantwortliche die Sie betreffenden personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.
Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
(1) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
(2) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
(3) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
(4) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
(5) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Recht auf Unterrichtung
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.
Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
(1) die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht und
(2) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.
Präambel
Absolute Grundlage unserer täglichen Arbeit ist die ärztliche Schweigepflicht. Seit Hippokrates (um 460 v. Chr.) eine Selbstverständlichkeit. Damit ist alles gesagt.
Die folgenden Erklärungen sollen eine Ergänzung sein für all jene, die jetzt noch gerne weiterlesen.
Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.
Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Dr. Christoph Dreher
Dorfstraße 12 77791 Berghaupten Deutschland Telefon: 0703-1515
E-Mail: info@hausarztpraxis-dreher.de
www.hausarztpraxis-dreher.de
Allgemeines zur Datenverarbeitung Umfang der Verarbeitung personenbezogener Daten
Wir erheben und verwenden personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Erhebung und Verwendung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.
Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage. Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.
Datenlöschung und Speicherdauer
Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.
Bereitstellung der Website und Erstellung von Logfil
Siehe hierzu Vertrag zur Auftragsdatenverarbeitung mit dem Provider 1blue AG wie folgt:
Vertrag über die Auftragsdaten verarbeitung gemäß Art. 28 DSGVO Zwischen der
Strato AG Pascalstraße 10 10587 Berlin
nachstehend auch „Auftragnehmer“ genannt und dem Kunden
Dr. Christoph Dreher Dorfstr. 12 77791 Berghaupten, nachstehend auch „Auftraggeber“ genannt
Präambel
Dieser Vertrag über die Auftragsdatenverarbeitung ergänzt und konkretisiert die datenschutzrechtlichen Verpflichtungen, die aus dem zwischen den Vertragsparteien geschlossenen Einzelvertrag resultieren. Das Bestehen eines solchen Individualvertrags ist zwingende Voraussetzung für das rechtlich bindende Zustandekommen dieses Vertrags.
§1 Gegenstand und Dauer der Auftragsdatenverarbeitung
Der Auftrag umfasst Folgendes: Dienstleistungen für Webhosting, Domainregistrierung und -verwaltung, Rechenzentrumsarbeiten sowie alle damit im Zusammenhang stehenden Handlungen, wie zum Beispiel die Weitergabe der zur Domainregistrierung oder Zertifikatserstellung erforderlichen Daten an die jeweilige Registrierungsstelle oder den entsprechenden Dienstleister, die Administration der Server inklusive des Ersteliens von Backupdateien. Die Dauer der Auftragsdatenverarbeitung richtet sich nach der Laufzeit des Individualvertrags.
§ 2 Anwendungsbereich
(1) Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVOauf Grundlage dieses Vertrages.
(2) Die vertraglich vereinbarte Dienstleistung wird mit Ausnahme der Übertragung der zur Domainregistrierung erforderlichen Daten ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Die Übertragung von Daten an Organisationen, die Daten an internationale Organisationen in Drittländern übermitteln, findet nur und ausschließlich bei der entsprechenden ausdrücklichen Bestellung einer Domain der entsprechenden Organisation statt.
(3) Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
§ 3 Dauer des Auftrags
(1) Der Vertrag beginnt mit Datum des Zugangs des durch den Auftraggeber unterzeichneten Vertrags beim Auftragnehmer und endet 14 Tage nach der wirksamen Beendigung des zugehörigen Individualvertrags.
(2) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.
§4 Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen:
(1) Die Art und der Zweck der Verarbeitung richten sich jeweils nach der Leistungsbeschreibung des Individualvertrags.
(2) Der Auftraggeber verarbeitet die Daten des Auftragnehmers für den Auftragnehmer laut der Leistungsbeschreibung des Individualvertrags.
§ 5 Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers
(1) Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVOist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.
(2) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.
(3) Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
(4) Der Auftraggeber ist berechtigt, sich wie unter Ziffer 6 Nr. 9 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen. Die Durchführung einer solchen Kontrolle vor Ort kann durch den Auftragnehmer von einer vorab zu zahlenden Aufwandsentschädigung die sich nach dem tatsächlichen Aufwand und dem Umfang der beabsichtigten Kontrolle richtet abhängig gemacht werden. Die Kontrolle ist regelmäßig auf eine Maßnahme pro Jahr begrenzt.
(5) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
(6) Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen. Als Ansprechpartner steht dem Auftraggeber der in Ziffer 6 Absatz 13 benannte Datenschutzbeauftragte zur Verfügung.
§6, Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personen bezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen zur Durchführung des Vertrags und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).
(2) Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.
(3) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
(4) Der Auftragnehmer hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber regelmäßige Kontrollen über die Einhaltung dieser Vereinbarung in seinem Bereich durchzuführen. Das Ergebnis der Kontrollen ist zu dokumentieren.
(5) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVOdurch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten, sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten.
(6) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.
(7) Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers oder gesetzliche Vorschriften dem nicht entgegenstehen.
(8) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.
(9) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Die Durchführung einer solchen Kontrolle vor Ort kann durch den Auftragnehmer von einer vorab zu zahlenden Aufwandsentschädigung, die sich nach dem tatsächlichen Aufwand und dem Umfang der beabsichtigten Kontrolle richtet abhängig gemacht werden. Die Kontrolle ist regelmäßig auf eine Maßnahme pro Jahr begrenzt.
(10) Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind.
(11) Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personen bezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.
(12) Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 Iit. b und Art. 29 DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.
(13) Beim Auftragnehmer ist als Beauftragter für den Datenschutz Herr Michael Reim, datenschutzbeauftragter@lblu.de bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.
§7, Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten: Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 5 dieses Vertrages durchführen.
§8, Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DSGVO)
(1) Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer nur mit Genehmigung des Auftraggebers gestattet (Art. 28 Abs. 2 DSGVO), welche auf einem der o. g. Kommunikationswege (Ziff. 4) mit Ausnahme der mündlichen Gestattung erfolgen muss. Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer dem Auftraggeber Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Außerdem muss der Auftragnehmer dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.
(2) Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte VerhaItensregeln).
(3) Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen. Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DSGVO).
(4) Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden. (5) Zurzeit sind für den Auftragnehmer die in Anlage 1 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Als weitere genehmigte Subunternehmer nach diesem Vertrag gelten alle verbundenen Unternehmen des Auftragnehmers im Sinne des AktG. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden. Sie sind in der im Anhang beigefügten Liste aufgeführt.
(6) Der Auftragnehmer informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DSGVO).
§ 9 Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Art. 28 Abs. 3 Satz 2 lit. c D SGVO) (1) Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DSGVO,wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.
(2) Die angewandten Methoden zur Risikoberwertung und Überwachung werden permanent aktualisiert und auf den aktuellen Stand der Technik überprüft.
(3) Die in Anlage 2 beschreibenen TOM stellen die Auswahl der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT- Systeme und Verarbeitungsprozesse beim Auftragnehmer dar.
(4) Der Auftragnehmer hat bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DSGVO).
(5) Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten. (6) Wesentliche Änderungen muss der Auftragnehmer mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.
§ 10 Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g D SGVO Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten zu löschen, beziehungsweise deren Löschung zu veranlassen und dies zu kontrollieren.
§11 Haftung Hinsichtlich der Haftung wird auf Art. 82 DSGVOwird verwiesen.
§ 1 2 Sonstiges
(1) Alle Änderungen, Nebenabreden, die Kündigung und Aufhebung dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieser Klausel. Nebenabreden wurden nicht getroffen. Streichungen in dieser Vereinbarung müssen von beiden Parteien gezeichnet werden.
(2) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder lückenhaft sein, so berührt dies die Gültigkeit der übrigen Bestimmungen nicht. Vielmehr tritt für den Fall, dass ein Verbraucher an dem Vertrag nicht beteiligt ist an die Stelle der unwirksamen Bestimmung eine Regelung, die dem gewollten Zweck am nächsten kommt. Im Fall einer Lücke gilt dann diejenige Bestimmung als vereinbart, die dem entspricht, was nach dem Zweck vereinbart worden wäre, hätten die Parteien die Angelegenheit von vornherein bedacht. Ist hiernach eine Lösung nicht möglich, finden die Parteien eine Regelung im Geist partnerschaftlicher Kooperation.
(3) Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.
(4) Es gilt deutsches Recht. Datum: 24.05.2018 Auftraggeber Prokurist Name in Druckbuchstaben Ggfs. Funktion Anlage 1 zum ADV Genehmigte Subunternehmer {weitere Auftragsverarbeiter ) der lb lu AG Name, Adresse, Leistunqsbeschreibunq 1blu business GmbH Stromstraße 1-5 Server- und 10555 Berlin Netzwerkverwaltung, Deutschland Kundensupport, IT Beratung, Domainregistrierung Greatnet.de GmbH Stromstraße 1-5 Server- und 10555 Berlin Netzwerkverwaltung, Deutschland Kundensupport, IT Beratunq. OMCnet Internet Service Ernst-Abbe-Straße 10 Server- und GmbH 25451 Quickborn Netzwerkverwaltung, Deutschland Kundensupport, IT Beratung, Domainregistrierung
Anlage 1 ADV lblu Seite 1 von 1 Anlage 2 zum ADV T e ch n is ch e u n d o rg an is a to r is ch e M aß n ahm en d e r lb lu AG 1 . P s eu d o n ym is ie ru n g , D a tenm in im ie ru n g (A r t. 3 2 A b s . 1 lit. a D SG VO , A r t. 2S A b s . 1 D SG VO
Maßnahmen zur Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und den entsprechenden technischen und organisatischen Maßnahmen unterliegen:
• IP-Adressen werden in Logdateien nur vollständig erfasst, sofern dies zum ordnungsgemäßen Betrieb der Server erforderlich ist (d.h. zur Abwehr von Angriffen, zur Feststellung missbräuchlicher Verwendung von Diensten oder der Herausgabe bei Anfragen durch Strafverfolgungsbehörden, usw.).
• Logdateien, welche unverfremdete IP-Adressen enthalten, werden auf unseren Systemen automatisch rotiert.
• Über längere Zeit gespeicherte IP-Adressen (z.B. als Grundlage zur Erstellung von Statistiken für unsere Kunden) sind durch Unkenntlichmachung eines Oktetts (IPv4) bzw. eines Hextetts (IPv6) nicht mehr eindeutig einer bestimmten Person zuzuordnen.
• Es werden nur solche persönlichen Daten unserer Kunden erhoben, die für die Erbringung unserer Dienstleistung notwendig sind. Mitarbeiter sind zur Datensparsamkeit gehalten.
2 . V e r trau lich k e it (A r t. 3 2 . A b s . 1 lit. b D SG VO )
2.1 Maßnahmen, die Unbefugten den physischen Zugriff auf Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren (Zutrittskontrolle):
• Das Rechenzentrum verfügt über einbruchshemmende Türen und Lüftungsklappen.
• Es besteht eine Schlüsselregelung samt dokumentierter Schlüsselvergabe.
• Das Rechenzentrum ist durch ein personalisiertes biometrisches Zutrittskontrollsystem abgesichert.
• Eine Richtlinie regelt den Zutritt und die Überwachung von Besuchern. Der Zutritt zu den Serverräumen ist gesondert geregelt.
• Besucher im Rechenzentrum werden protokolliert.
• Videoüberwachung ist im Rechenzentrum installiert.
• Es besteht eine Alarmanlage, deren Auslösung eine automatische Benachrichtigung des Bereitschaftsdienstes nach sich zieht.
• Das Rechenzentrum weist keine Fenster auf. 2.2 Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle): • Alle DV-Systeme, die Zugang zu personenbezogenen Daten gewähren, erfordern mindestens eine Authentifikation mittels Benutzername und Kennwort.
• Benutzerzugänge sind personalisiert.
• Die Vergabe von Zugangsberechtigungen erfolgt rollenbasiert und wird dokumentiert.
• Es erfolgt ein Entzug von Berechtigungen, sofern diese nicht mehr benötigt werden. Dieser Vorgang wird dokumentiert.
• Die Authentifikation der Benutzer erfolgt durch Verwendung digitaler Zertifikate.
• Administrative Zugänge dürfen sich nur von bestimmten, festgelegten IPs aus anmelden.
• Bei wiederholten Authentifizierungsfehlern erfolgt eine automatische Sperrung von Zugängen.
• Es existiert eine Richtlinie zur datenschutzkonformen Konfiguration der Arbeitsplatzrechner.
• Vorgeschrieben ist für alle Arbeitsplatzrechner das Einrichten einer automatischen Bildschirmsperre mit Kennwortschutz bei Untätigkeit.
• Es erfolgt eine zentrale Speicherung von Protokolldateien auf einem dezidierten Logserver.
2.3 Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, sowie dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle):
• Es gelten rollenbasierte Zugriffsregelungen.
• Administrative Tätigkeiten werden protokolliert.
• Privilegierte Aktionen werden zusätzlich auf einem dedizierten Logserver protokolliert.
• Protokollierung von Kenntnisnahme, Veränderung und Löschung von personenbezogenen Daten auf den Kundenservern.
2.4 Maßnahmen, die sicherstellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden (Trennungskontrolle) :
• Auftragsdaten werden getrennt (auf anderen Maschinen) von den Daten aus laufenden Systemanwendungen der Kunden gespeichert.
• Personenbezogene Daten werden ausschließlich zweckgebunden verarbeitet.
3. Integrität (Art. 32. Abs. 1 lit. b DSGVO)
3.1 Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektrischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Weitergabekontrolle) :
• Entfernter Zugriff ist nur unter Verwendung verschlüsselter Verbindungen möglich (z.B. VPN/ SSH).
• Wo dies möglich ist, wird Datenverschlüsselung eingesetzt (z.B. PGPfür Email).
• Personenbezogene Daten werden standardmäßig nicht an Dritte übermittelt.
• Es besteht ein dokumentierter Prozess zur Vernichtung von Daten und Datenträgern.
• Die physische Vernichtung der Datenträger erfolgt durch einen zertifizierten Dienstleister.
• Transport der Datenträger zur Vernichtung erfolgt in eigens dafür vorgesehenen abschließbaren Behältern.
3.2 Maßnahmen, die eine nachträgliche Überprüfung ermöglichen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle) :
• Eine Protokollierung aller Vorgänge im Bereich der eingesetzten Verwaltungssoftware wird durchgeführt.
• Für essentielle Systeme kommen Versionsverwaltungssysteme zum Einsatz.
4 . V e r fü g b a rk e it u n d B e la s tb a rk e it (A r t. 3 2 A b s . 1 lit. b u n d c D SG VO ) Maßnahmen, welche gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und verfügbar bleiben (Verfügbarkeitskontrolle):
• Um die Daten nach einem Ausfall wiederherstellen zu können, existiert ein vollständiges Backup- & Recovery-Konzept.
• Es wird eine tägliche Datensicherung automatisch durchgeführt.
• Um größtmögliche Verfügbarkeit der Daten zu erzielen, werden in den Servern RAID-Systeme eingesetzt.
• Auf Wunsch werden Hochverfügbarkeitslösungen umgesetzt.
• Im Rechenzentrum wird Gebrauch von unterbrechungsfreier Stromversorgung gemacht.
• Das Rechenzentrum verfügt über einen automatisch anlaufenden Dieselgenerator, um Stromausfälle überbrücken zu können, welche über die Batteriekapazität der eingesetzten USV-Anlagen gehen.
• Der Dieselgenerator wird regelmäßig mittels durchgeführter Testläufe auf Betriebsbereitschaft hin überprüft.
• Es besteht eine mehrfach-redundante Anbindung an Backboneprovider.
5 . V e r fah ren zu r reg e lm äß ig en Ü b e rp rü fu n g . B ew e r tu n g u n d E v a lu ie ru n g (A r t. 3 2 A b s . llit. d D SG VO i A r t. 2 5 A b s . lDSGVO)
Maßnahmen zur Sicherstellung eines technisch und organisatorisch angemessenen Standes bei der Erbringung der vertraglich vereinbarten Leistungen:
• Die TOM werden nach einem definierten Prozess regelmäßig auf Wirksamkeit und Einhaltung eines angemessenen technischen Standes überprüft.
• Der sichere Betrieb des Rechenzentrums und die sachgemäße Dokumentation der diesbezüglichen Prozessewerden mittels eines durch einen anerkannten externen Dienstleister ausgestellten Zertifikates nachgewiesen.
6 . D a ten s ch u tzb e au ftrag te r u n d A u ftrag sd a ten v e ra rb e itu n g (A r t. 3 2 . A b s . 4 D SG VO i A r t. 2 9 D SG VO i A r t. 3 7 A b s . 4 D SG VO l Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle):
• Die lblu AG hat einen Datenschutzbeauftragten bestellt und sorgt durch die Datenschutzorganisation für dessen angemessene und effektive Einbindung in die relevanten Prozesse.
• Verpflichtung der Beschäftigten auf das Datengeheimnis (vormals § 5 BDSG).
• Abschluss von Verträgen zur Verarbeitung von personenbezogenen Daten im Auftrag unter Berücksichtigung der jeweiligen Anforderungen, wenn diese vom Auftraggeber mitgeteilt werden.
• Serverstandorte sind – sofern nicht anderweitig vereinbart – Rechenzentren in Deutschland. TOM 1blu AG Mai 2018
Kontaktformular und E-Mail-Kontakt
Beschreibung und Umfang der Datenverarbeitung
Auf unserer Internetseite ist ein Kontaktformular vorhanden, welches für die elektronische Kontaktaufnahme genutzt werden kann. Nimmt ein Nutzer diese Möglichkeit wahr, so werden die in der Eingabemaske eingegeben Daten an uns übermittelt und gespeichert. Diese Daten sind:
Name, email-Adresse und Ihr Anliegen Zum Zeitpunkt der Absendung der Nachricht werden zudem folgende Daten gespeichert: Datum und Uhrzeit der Absendung Auf die Verarbeitung der Daten und auf diese Datenschutzerklärung wird am Kontaktformular hingewiesen. Alternativ ist eine Kontaktaufnahme über die bereitgestellte E-Mail-Adresse möglich. In diesem Fall werden die mit der E-Mail übermittelten personenbezogenen Daten des Nutzers gespeichert.
Es erfolgt in diesem Zusammenhang keine Weitergabe der Daten an Dritte. Die Daten werden ausschließlich für die Verarbeitung der Konversation verwendet. Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung des Nutzers Art. 6 Abs. 1 lit. a DSGVO.
Rechtsgrundlage für die Verarbeitung der Daten, die im Zuge einer Übersendung einer E-Mail übermittelt werden, ist Art. 6 Abs. 1 lit. f DSGVO. Zielt der E-Mail-Kontakt auf den Abschluss eines Vertrages ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO. Zweck der Datenverarbeitung Die Verarbeitung der personenbezogenen Daten aus der Eingabemaske dient uns allein zur Bearbeitung der Kontaktaufnahme. Im Falle einer Kontaktaufnahme per E-Mail liegt hieran auch das erforderliche berechtigte Interesse an der Verarbeitung der Daten.
Die sonstigen während des Absendevorgangs verarbeiteten personenbezogenen Daten dienen dazu, einen Missbrauch des Kontaktformulars zu verhindern und die Sicherheit unserer informationstechnischen Systeme sicherzustellen. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten aus der Eingabemaske des Kontaktformulars und diejenigen, die per E-Mail übersandt wurden, ist dies dann der Fall, wenn die jeweilige Konversation mit dem Nutzer beendet ist. Beendet ist die Konversation dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist.
Die während des Absendevorgangs zusätzlich erhobenen personenbezogenen Daten werden spätestens nach einer Frist von sieben Tagen gelöscht.
Widerspruchs- und Beseitigungsmöglichkeit
Der Nutzer hat jederzeit die Möglichkeit, seine Einwilligung zur Verarbeitung der personenbezogenen Daten zu widerrufen. Nimmt der Nutzer per E-Mail Kontakt mit uns auf, so kann er der Speicherung seiner personenbezogenen Daten jederzeit mündlich oder schriftlich widersprechen. In einem solchen Fall kann die Konversation nicht fortgeführt werden. Alle personenbezogenen Daten, die im Zuge der Kontaktaufnahme gespeichert wurden, werden in diesem Fall gelöscht. Rechte der betroffenen Person
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener i. S. d. DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu: Auskunftsrecht Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.
Liegt eine solche Verarbeitung vor, können Sie über folgende Informationen Auskunft verlangen:
(1) die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
(2) die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
(3) die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
(4) die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
(5) das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
(6) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
(7) alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
(8) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden. Recht auf Berichtigung
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.
Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:
(1) wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
(2) die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
(3) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
(4) wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.
Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben wird.
Recht auf Löschung
Löschungspflicht
Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
(1) Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
(2) Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
(3) Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
(4) Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
(5) Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
(6) Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
Information an Dritte
Hat der Verantwortliche die Sie betreffenden personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.
Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
(1) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
(2) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
(3) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
(4) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
(5) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Recht auf Unterrichtung
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.
Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
(1) die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht und
(2) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.
