Datenschutz

DATENSCHUTZERKLÄRUNG 

der Feierabend GmbH

• Im folgenden Auftragnehmer genannt -  

Vorab 

Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz die sich aus der im Auftrag zur Verwendung der Cloudanwendung des Auftragnehmers in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten (»Daten«) des Auftraggebers verarbeiten. 

In dieser Erklärung verwendete Begriffe sind entsprechend ihrer Definition in der EU-Datenschutz-Grundverordnung (DSGVO) zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist. 

 

1. Gegenstand und Dauer des Vertrags 

1.1 Gegenstand  

Aus dem Auftrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung. Im Einzelnen sind insbesondere die folgenden Daten Bestandteil der Datenverarbeitung: 
 
Der Auftragnehmer stellt Kunden eine Cloudsoftware zur Erfassung und Übermittlung von Buchhaltungsdokumenten und Daten zur Verfügung. 

Der Auftragnehmer übernimmt hier speziell die Entwicklung, Weiterentwicklung, die administrative/technische Wartung und den Support der im Umfeld des Kunden eingesetzten und genutzten Cloudsoftware als SAAS. 
 

1.2 Art der Daten 

Es werden folgende Daten verarbeitet: 

• Stammdaten 

• Firmendaten 

• Persönliche Daten 

• Daten der Ansprechpartner 

• Adressdaten 

• Kommunikationsdaten 

• Bankdaten 

• Steuerliche Daten 

• Statistische Daten 

• Alle restlichen Daten, die im Rahmen einer Beauftragung eines Kunden anfallen 
   

• Dokumentendaten 

• Alle im Rahmen der Bearbeitung von Dokumenten notwendigen Daten. Als Beispiele seien aufgeführt: 

• Dateiname 

• Größe der Datei 

• Dateiinhalt 

• Datum des Uploads 
   

• Finanzbuchhaltungsdaten 

• Alle im Rahmen der Bearbeitung einer Finanzbuchhaltung notwendigen Daten zu den einzelnen Sachverhalten und Veranlagungsjahren. Als Beispiele seien aufgeführt: 

• Gewinnzahlen pro Monat 

• Auswertungen und Bescheide 
   

• Lohnbuchhaltungsdaten 

• Alle im Rahmen der Bearbeitung einer Lohnbuchhaltung notwendigen Daten zu den einzelnen Sachverhalten. Als Beispiele seien aufgeführt: 

• Stundennachweise 

• Gehaltsabrechnungen 

• Sozialversicherungsdaten 
   

• Sonstige im Zusammenhang mit der Bearbeitung eines steuerlichen Sachverhalts stehende Daten von Kanzlei und Mandant. 
   

• Nutzungs- und Zugriffsdaten 
   

• Fehlerprotokolldaten 

• Einkommensteuerdaten 

• Alle im Rahmen der Bearbeitung einer Einkommensteuererklärung notwendigen Daten zu den einzelnen Sachverhalten und Veranlagungsjahren. 

1.3 Kategorien der betroffenen Personen 

Von der Verarbeitung betroffen sind: 

• Beschäftige des Kunden 

• Familienangehörige des Kunden 

• Geschäftspartner des Kunden 

• Partner und Kunden des Kunden 

 

1.4 Zweck der Verarbeitung 

Die Verarbeitung dient folgendem Zweck: 

• Erbringung der vertraglich vereinbarten Leistungen 

• Erfassung, Übermittlung und Speicherung von Buchhaltungsdaten 

 

1.5 Dauer  

Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Auftrages, sofern sich aus den Bestimmungen dieser Anlage nicht darüberhinausgehende Verpflichtungen ergeben. 

2. Pflichten des Auftragnehmers 

1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. 

2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. 

3. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.  

4. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. 

5. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. 

6. Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. 

7. Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. 

8. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. 

9. Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. 

10. Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. 

11. Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz-Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen. 

 

3. Technische und organisatorische Maßnahmen 

1. Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig. 

2. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren. 

3. Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich. 

4. Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. 

5. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist. 

6. Die Verarbeitung von Daten in Privatwohnungen ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers im Einzelfall gestattet. Soweit eine solche Verarbeitung erfolgt, ist vom Auftragnehmer sicherzustellen, dass dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird und die in diesem Vertrag bestimmten Kontrollrechte des Auftraggebers uneingeschränkt auch in den betroffenen Privatwohnungen ausgeübt werden können. Die Verarbeitung von Daten im Auftrag mit Privatgeräten ist unter keinen Umständen gestattet. 

7. Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein.  
   Ein- und Ausgänge werden dokumentiert. 

8. Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Der Nachweis ist dem Auftraggeber spätestens alle 12 Monate unaufgefordert und sonst jederzeit auf Anforderung zu überlassen. Die Zertifizierung gemäß Anlage 1 ist als Nachweis ausreichend und angemessen. 

 

4. Regelungen zur Berichtigung, Löschung und Sperrung von Daten 

1. Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.  

2. Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten. 

 

5. Unterauftragsverhältnisse 

1. Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn der Auftragnehmer weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Vertrag vereinbarten Leistung beauftragt. Der Auftragnehmer wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten.  

2. Der Auftraggeber stimmt zu, dass der Auftragnehmer Subunternehmer hinzuzieht. Vor Hinzuziehung oder Ersetzung der Subunternehmer informiert der Auftragnehmer den Auftraggeber.  

3. Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen. 

4. Unterauftragsverhältnisse mit Subunternehmern 
   Der AuftragnehmerGmbH nutzt für die Bereitstellung seiner Dienste Subunternehmen, die im Folgenden genannten Subunternehmer tätig: 

Pos	Unternehmen	Kontaktdaten	Beschreibung
1	Documents & Data GmbH	Hebbelstr. 31  14469 Potsdam  +49 331 231 88 356	Cloudanbieter  https://www.documents-data.de

Mit allen Subunternehmen wurden Auftragsverarbeitungsvereinbarungen geschlossen. 

 

6. Rechte und Pflichten des Auftraggebers 

1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt. 

2. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, gilt §3 Abs. 10 entsprechend. (Anmerkung: Im Vertrag können die Parteien hierzu eine Vergütungsregelung treffen). 

3. Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. 

 

7. Mitteilungspflichten 

1. Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten: 

1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze 

2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen 

3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten 

4. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen  

2. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen. 

3. Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.   

4. Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen. 

 

8. Weisungen 

1. Auftraggeber und Auftragnehmer benennen die zur Erteilung und Annahme von Weisungen ausschließlich befugten Personen wie folgt: 
   [FACHHANDELSPARTNDERDATEN (in der Regel der Geschäftsführer, ggf. weitere] 

2. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen. 

3. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. 

4. Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren. 

9. Beendigung des Auftrags 

1. Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist.  

2. Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen. 

3. Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber unverzüglich vorzulegen. 

4. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben. 

 

10. Haftung 

1. Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer als Gesamtschuldner. 

 

11. Sonstiges 

1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.  

2. Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher « im Sinne der Datenschutz-Grundverordnung liegen. 

3. Änderungen und Ergänzungen dieses Vertrages und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.  

4. Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. 

5. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. 

 

Seitenumbruch 

Anlage 1 – technische und organisatorische Maßnahmen 

 
Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen. 
 

1.  Zutrittskontrolle

Maßnahmen, die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren.  

Beschreibung des Zutrittskontrollsystems: 

• kontrollierte Schlüsselvergabe 

• Türsicherung 

• Wachschutz/Pförtner 

• Kontrollsystem für Besucher 

 

2.  Zugangskontrolle 

Maßnahmen, die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.  

Beschreibung des Zugangskontrollsystems: 

• Kennwortverfahren, d.h. persönlicher und individueller User Log-In bei Anmeldung am System (u.a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennwortes) 

• automatische Sperrung (z.B. Kennwort oder Pausenschaltung) 

• Einrichtung eines Benutzerstammsatzes pro User 

• Begrenzung der Zahl der berechtigten Mitarbeiter 

• Sichere Verschlüsselung von Datenträgern 

• Abkapselung von sensiblen Systemen durch getrennte Netzbereiche 

• Authentifizierungsverfahren 

• Protokollierung der Anmeldeversuche und Abbruch des Anmeldevorgangs nach festgelegter Zahl von erfolgloser Zahl von Versuchen 

• Einrichten von regelmäßigen aktualisierten Antiviren- und Spywarefiltern 

 

3.  Zugriffskontrolle 

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. 
 
Beschreibung des Zugriffskontrollsystems: 

• Berechtigungskonzepte (Profile, Rollen, etc.) und deren Dokumentation 

• Auswertung/Protokollierungen 

• Protokollierung von Zugriffen und Missbrauchsversuchen 

4.  Weitergabekontrolle 

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Maßnahmen mit denen überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist. 

  
Beschreibung der Weitergabekontrolle: 

• Verschlüsselung von unterschiedlichen Datenträgern 

• Archivierungskonzept  

• Blockieren von Ein- und Ausgabeschnittstellen (z.B. USB-Ports) 

• Übermittlung von Daten über verschlüsselte Datennetze oder Tunnelverbindungen 

• Transportprozesse mit individueller Verantwortlichkeit 

• Verschlüsselungsverfahren die Datenveränderungen während des Transports aufdecken 

• sicherer Transportbehälter für Datenträger 

• umfassende Protokollierungsverfahren 

 

5.  Eingabekontrolle 
 Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind. 

Beschreibung des Eingabekontrollvorgangs: 

• Protokollierung sämtlicher Systemaktivitäten und Aufbewahrung dieser Protokolle von mindestens drei Jahren 

6.  Auftragskontrolle 
Maßnahmen, die gewährleisten, dass in einem Auftragsdatenverarbeitungsverhältnis jede Verarbeitung von personenbezogenen Daten nur im Rahmen der ergangenen Weisungen und Vorgaben des Auftraggebers erfolgt. 

Beschreibung des Auftragskontrollvorgangs: 

• Sicherstellung, dass Abweichungen von den Weisungen des Auftraggebers nicht vorkommen können, hierzu gehört der Ausschluss unzulässiger Verarbeitungsschritte oder das nicht erlaubte Kopieren von personenbezogenen Daten 

• Service-Level-Agreements für die Durchführung von Kontrollen 

 

7.  Verfügbarkeitskontrolle 
 
Maßnahmen, die sicherstellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. 

Beschreibung des Verfügbarkeitskontrollsystems: 

• Datensicherungsverfahren 

• Spiegeln von Festplatten 

• Unterbrechungsfreie Stromversorgung 

• Brandmeldeanlage 

• Klimaanlage 

• Alarmanlage 

• Notfallplan 

• keine wasserführenden Leitungen über oder neben Serverräumen 

• regelmäßige Tests der Datenwiederherstellung 

 

8.  Trennungsgebot zur Zweckbindung 

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist. 

Beschreibung des Trennungskontrollvorgangs: 

• Berechtigungskonzepte 

• verschlüsselte Speicherung von personenbezogenen Daten 

• Softwareseitige Kundentrennung 

• Trennung von Test- und Produktivsystemen 

Seitenumbruch 

Weitere Informationen und Kontakte 

Fragen und Auskünfte zum Datenschutz können jederzeit unter den folgenden Kontaktdaten erfolgen. Darüber hinaus können Sie auch Auskünfte zu den gespeicherten Daten erhalten sowie Löschungs- und Berichtigungswünsche äußern. 

 

Unsere Kontaktdaten 

Feierabend GmbH

Gewerbering 24

Bad Tölz

info@buero-feierabend.de

 

Datenschutzbeauftragter 

[KONTAKTDATEN DES DATENSCHUTZBEAUFTRAGTEN DES FACHHANDELSPARTNERS]