Datenschutzerklärung
Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten (nachfolgend kurz „Daten“) innerhalb unseres Onlineangebotes und der mit ihm verbundenen Webseiten, Funktionen und Inhalte sowie externen Onlinepräsenzen, wie z.B. unser Social Media Profile auf. (nachfolgend gemeinsam bezeichnet als „Onlineangebot“). Im Hinblick auf die verwendeten Begrifflichkeiten, wie z.B. „Verarbeitung“ oder „Verantwortlicher“ verweisen wir auf die Definitionen im Art. 4 der Datenschutzgrundverordnung (DSGVO). Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten durch Dritte zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit ausdrücklich widersprochen. Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-Mails, vor.
Ansprechpartner:
Kleingärtnerverein Damaschke e.V. Johannes Fahrendorf, 1. Vorsitzender Hammer Str. 155 48153 Münster
Arten der verarbeiteten Daten:
– Bestandsdaten (z.B., Namen, Adressen)
– Kontaktdaten (z.B., E-Mail, Telefonnummern)
– Inhaltsdaten (z.B., Texteingaben, Fotografien, Videos)
– Nutzungsdaten (z.B., besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten)
– Meta-/Kommunikationsdaten (z.B., Geräte-Informationen, IP-Adressen)
Kategorien betroffener Personen:
Besucher und Nutzer des Onlineangebotes (Nachfolgend bezeichnen wir die betroffenen Personen zusammenfassend auch als „Nutzer“).
Zweck der Verarbeitung:
– Zurverfügungstellung des Onlineangebotes, seiner Funktionen und Inhalte
– Beantwortung von Kontaktanfragen und Kommunikation mit Nutzern
– Sicherheitsmaßnahmen
– Reichweitenmessung/Marketing
Verwendete Begrifflichkeiten:
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (z.B. Cookie) oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
„Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff reicht weit und umfasst praktisch jeden Umgang mit Daten.
Als „Verantwortlicher“ wird die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, bezeichnet.
ERBRINGUNG UNSERER SATZUNGS- & GESCHÄFTSGEMÄSSEN LEISTUNGEN
Wir verarbeiten die Daten unserer Mitglieder, Unterstützer, Interessenten, Kunden oder sonstiger Personen entsprechend Art. 6 Abs. 1 lit. b. DSGVO, sofern wir ihnen gegenüber vertragliche Leistungen anbieten oder im Rahmen bestehender geschäftlicher Beziehung, z.B. gegenüber Mitgliedern, tätig werden oder selbst Empfänger von Leistungen und Zuwendungen sind. Im Übrigen verarbeiten wir die Daten betroffener Personen gem. Art. 6 Abs. 1 lit. f. DSGVO auf Grundlage unserer berechtigten Interessen, z.B. wenn es sich um administrative Aufgaben oder Öffentlichkeitsarbeit handelt.
Die hierbei verarbeiteten Daten, die Art, der Umfang und der Zweck und die Erforderlichkeit ihrer Verarbeitung bestimmen sich nach dem zugrundeliegenden Vertragsverhältnis. Dazu gehören grundsätzlich Bestands- und Stammdaten der Personen (z.B., Name, Adresse, etc.), als auch die Kontaktdaten (z.B., E-Mailadresse, Telefon, etc.), die Vertragsdaten (z.B., in Anspruch genommene Leistungen, mitgeteilte Inhalte und Informationen, Namen von Kontaktpersonen) und sofern wir zahlungspflichtige Leistungen oder Produkte anbieten, Zahlungsdaten (z.B., Bankverbindung, Zahlungshistorie, etc.).
Wir löschen Daten, die zur Erbringung unserer satzungs- und geschäftsmäßigen Zwecke nicht mehr erforderlich sind. Dies bestimmt sich entsprechend der jeweiligen Aufgaben und vertraglichen Beziehungen. Im Fall geschäftlicher Verarbeitung bewahren wir die Daten so lange auf, wie sie zur Geschäftsabwicklung, als auch im Hinblick auf etwaige Gewährleistungs- oder Haftungspflichten relevant sein können. Die Erforderlichkeit der Aufbewahrung der Daten wird alle drei Jahre überprüft; im Übrigen gelten die gesetzlichen Aufbewahrungspflichten.
ZUSAMMENARBEIT MIT AUFTRAGSVERARBEITERN UND DRITTEN
Wir haben die Fa. reeweg ag (Entwickler von ClubDesk), Wettsteinplatz 7, 4058 Basel, Schweiz mit der Verarbeitung von Daten auf Grundlage eines sog. „Auftragsverarbeitungsvertrages“ beauftragt., Dies geschieht auf Grundlage des Art. 28 DSGVO.
RECHTE DER BETROFFENEN PERSONEN
Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend Art. 15 DSGVO.Sie haben entsprechend. Art. 16 DSGVO das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.Sie haben nach Maßgabe des Art. 17 DSGVO das Recht zu verlangen, dass betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe des Art. 18 DSGVO eine Einschränkung der Verarbeitung der Daten zu verlangen.Sie haben das Recht zu verlangen, dass die Sie betreffenden Daten, die Sie uns bereitgestellt haben nach Maßgabe des Art. 20 DSGVO zu erhalten und deren Übermittlung an andere Verantwortliche zu fordern.Sie haben ferner gem. Art. 77 DSGVO das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen.
WIDERRUFS- & WIDERSPRUCHSRECHT
Sie haben das Recht, erteilte Einwilligungen gem. Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft zu widerrufen.Sie können der künftigen Verarbeitung der Sie betreffenden Daten nach Maßgabe des Art. 21 DSGVO jederzeit widersprechen. Der Widerspruch kann insbesondere gegen die Verarbeitung für Zwecke der Direktwerbung erfolgen.
SSL- & TLS-VERSCHLÜSSELUNG
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Bestellungen oder Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL-bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von “http://” auf “https://” wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.
COOKIES & WIDERSPRUCHSRECHT BEI DIREKTWERBUNG
Als „Cookies“ werden kleine Dateien bezeichnet, die auf Rechnern der Nutzer gespeichert werden. Innerhalb der Cookies können unterschiedliche Angaben gespeichert werden. Ein Cookie dient primär dazu, die Angaben zu einem Nutzer (bzw. dem Gerät auf dem das Cookie gespeichert ist) während oder auch nach seinem Besuch innerhalb eines Onlineangebotes zu speichern. Als temporäre Cookies, bzw. „Session-Cookies“ oder „transiente Cookies“, werden Cookies bezeichnet, die gelöscht werden, nachdem ein Nutzer ein Onlineangebot verlässt und seinen Browser schließt. In einem solchen Cookie kann z.B. der Inhalt eines Warenkorbs in einem Onlineshop oder ein Login-Staus gespeichert werden. Als „permanent“ oder „persistent“ werden Cookies bezeichnet, die auch nach dem Schließen des Browsers gespeichert bleiben. So kann z.B. der Login-Status gespeichert werden, wenn die Nutzer diese nach mehreren Tagen aufsuchen. Ebenso können in einem solchen Cookie die Interessen der Nutzer gespeichert werden, die für Reichweitenmessung oder Marketingzwecke verwendet werden. Als „Third-Party-Cookie“ werden Cookies bezeichnet, die von anderen Anbietern als dem Verantwortlichen, der das Onlineangebot betreibt, angeboten werden (andernfalls, wenn es nur dessen Cookies sind spricht man von „First-Party Cookies“).Wir können temporäre und permanente Cookies einsetzen und klären hierüber im Rahmen unserer Datenschutzerklärung auf.Falls die Nutzer nicht möchten, dass Cookies auf ihrem Rechner gespeichert werden, werden sie gebeten die entsprechende Option in den Systemeinstellungen ihres Browsers zu deaktivieren. Gespeicherte Cookies können in den Systemeinstellungen des Browsers gelöscht werden. Der Ausschluss von Cookies kann zu Funktionseinschränkungen dieses Onlineangebotes führen.Ein genereller Widerspruch gegen den Einsatz der zu Zwecken des Onlinemarketing eingesetzten Cookies kann bei einer Vielzahl der Dienste, vor allem im Fall des Trackings, über die US-amerikanische Seite http://www.aboutads.info/choices/ oder die EU-Seite http://www.youronlinechoices.com/ erklärt werden. Des Weiteren kann die Speicherung von Cookies mittels deren Abschaltung in den Einstellungen des Browsers erreicht werden. Bitte beachten Sie, dass dann gegebenenfalls nicht alle Funktionen dieses Onlineangebotes genutzt werden können.
LÖSCHUNG VON DATEN
Die von uns verarbeiteten Daten werden nach Maßgabe der Art. 17 und 18 DSGVO gelöscht oder in ihrer Verarbeitung eingeschränkt. Sofern nicht im Rahmen dieser Datenschutzerklärung ausdrücklich angegeben, werden die bei uns gespeicherten Daten gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. D.h. die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen.Nach gesetzlichen Vorgaben in Deutschland erfolgt die Aufbewahrung insbesondere für 6 Jahre gemäß § 257 Abs. 1 HGB (Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Handelsbriefe, Buchungsbelege, etc.) sowie für 10 Jahre gemäß § 147 Abs. 1 AO (Bücher, Aufzeichnungen, Lageberichte, Buchungsbelege, Handels- und Geschäftsbriefe, Für Besteuerung relevante Unterlagen, etc.).Nach gesetzlichen Vorgaben in Österreich erfolgt die Aufbewahrung insbesondere für 7 J gemäß § 132 Abs. 1 BAO (Buchhaltungsunterlagen, Belege/Rechnungen, Konten, Belege, Geschäftspapiere, Aufstellung der Einnahmen und Ausgaben, etc.), für 22 Jahre im Zusammenhang mit Grundstücken und für 10 Jahre bei Unterlagen im Zusammenhang mit elektronisch erbrachten Leistungen, Telekommunikations-, Rundfunk- und Fernsehleistungen, die an Nichtunternehmer in EU-Mitgliedstaaten erbracht werden und für die der Mini-One-Stop-Shop (MOSS) in Anspruch genommen wird.
HOSTING
Die von uns in Anspruch genommenen Hosting-Leistungen dienen der Zurverfügungstellung der folgenden Leistungen: Infrastruktur- und Plattformdienstleistungen, Rechenkapazität, Speicherplatz und Datenbankdienste, Sicherheitsleistungen sowie technische Wartungsleistungen, die wir zum Zwecke des Betriebs dieses Onlineangebotes einsetzen.Hierbei verarbeiten wir, bzw. unser Hostinganbieter Bestandsdaten, Kontaktdaten, Inhaltsdaten, Vertragsdaten, Nutzungsdaten, Meta- und Kommunikationsdaten von Kunden, Interessenten und Besuchern dieses Onlineangebotes auf Grundlage unserer berechtigten Interessen an einer effizienten und sicheren Zurverfügungstellung dieses Onlineangebotes gem. Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 28 DSGVO (Abschluss Auftragsverarbeitungsvertrag).
ERHEBUNG VON ZUGRIFFSDATEN & LOGFILES
Wir, bzw. unser Hostinganbieter, erhebt auf Grundlage unserer berechtigten Interessen im Sinne des Art. 6 Abs. 1 lit. f. DSGVO Daten über jeden Zugriff auf den Server, auf dem sich dieser Dienst befindet (sogenannte Serverlogfiles). Zu den Zugriffsdaten gehören Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider.Logfile-Informationen werden aus Sicherheitsgründen (z.B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) für die Dauer von maximal 7 Tagen gespeichert und danach gelöscht. Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.
KONTAKTAUFNAHME
Bei der Kontaktaufnahme mit uns (z.B. per Kontaktformular, E-Mail, Telefon oder via sozialer Medien) werden die Angaben des Nutzers zur Bearbeitung der Kontaktanfrage und deren Abwicklung gem. Art. 6 Abs. 1 lit. b) DSGVO verarbeitet. Die Angaben der Nutzer können in einem Customer-Relationship-Management System („CRM System“) oder vergleichbarer Anfragenorganisation gespeichert werden. Wir löschen die Anfragen, sofern diese nicht mehr erforderlich sind. Wir überprüfen die Erforderlichkeit alle zwei Jahre; Ferner gelten die gesetzlichen Archivierungspflichten.
DATENERHEBUNG MIT GOOGLE-FORMULAREN
Wir verwenden möglicherweise an einigen Stellen Google-Formulare, ein Webdienst der Google Inc. („Google“), um von ausgewählten und klar eingegrenzten Personenkreisen Daten abzufragen. Die in diesen Formularen erhobenen Daten werden ausschließlich für den auf der entsprechenden Seite genannten Zweck verwendet. Bei der Verwendung des Google Formulars werden die eingegebenen Daten an Google übermittelt. Für die Fälle, in denen personenbezogene Daten in die USA übertragen werden, hat sich Google dem EU-US Privacy Shield unterworfen, https://www.privacyshield.gov/EU-US-Framework. Weitere Informationen zum Datenschutz bei Google finden Sie unter https://policies.google.com/privacy?hl=de&gl=dePersonen, die dazu aufgefordert sind, die Formulare auszufüllen, haben stets auch die Möglichkeit, die abgefragten Daten über eine jeweils oberhalb des Formulars vermerkte E-Mail-Adresse zu übermitteln.
NEWSLETTER
Mit den nachfolgenden Hinweisen informieren wir Sie über die Inhalte unseres Newsletters sowie das Anmelde-, Versand- und das statistische Auswertungsverfahren sowie Ihre Widerspruchsrechte auf. Indem Sie unseren Newsletter abonnieren, erklären Sie sich mit dem Empfang und den beschriebenen Verfahren einverstanden.Inhalt des Newsletters: Wir versenden Newsletter, E-Mails und weitere elektronische Benachrichtigungen mit werblichen Informationen (nachfolgend „Newsletter“) nur mit der Einwilligung der Empfänger oder einer gesetzlichen Erlaubnis. Sofern im Rahmen einer Anmeldung zum Newsletter dessen Inhalte konkret umschrieben werden, sind sie für die Einwilligung der Nutzer maßgeblich. Im Übrigen enthalten unsere Newsletter Informationen zu unseren Leistungen und uns. Double-Opt-In und Protokollierung: Die Anmeldung zu unserem Newsletter erfolgt in einem sog. Double-Opt-In-Verfahren. D.h. Sie erhalten nach der Anmeldung eine E-Mail, in der Sie um die Bestätigung Ihrer Anmeldung gebeten werden. Diese Bestätigung ist notwendig, damit sich niemand mit fremden E-Mailadressen anmelden kann. Die Anmeldungen zum Newsletter werden protokolliert, um den Anmeldeprozess entsprechend den rechtlichen Anforderungen nachweisen zu können. Hierzu gehört die Speicherung des Anmelde- und des Bestätigungszeitpunkts, als auch der IP-Adresse. Ebenso werden die Änderungen Ihrer bei dem Versanddienstleister gespeicherten Daten protokolliert. Anmeldedaten: Um sich für den Newsletter anzumelden, reicht es aus, wenn Sie Ihre E-Mailadresse angeben. Optional bitten wir Sie einen Namen, zwecks persönlicher Ansprache im Newsletters anzugeben.Der Versand des Newsletters und die mit ihm verbundene Erfolgsmessung erfolgt auf Grundlage einer Einwilligung der Empfänger gem. Art. 6 Abs. 1 lit. a, Art. 7 DSGVO i.V.m § 7 Abs. 2 Nr. 3 UWG bzw. auf Grundlage der gesetzlichen Erlaubnis gem. § 7 Abs. 3 UWG.Die Protokollierung des Anmeldeverfahrens erfolgt auf Grundlage unserer berechtigten Interessen gem. Art. 6 Abs. 1 lit. f DSGVO. Unser Interesse richtet sich auf den Einsatz eines nutzerfreundlichen sowie sicheren Newslettersystems, das sowohl unseren geschäftlichen Interessen dient, als auch den Erwartungen der Nutzer entspricht und uns ferner den Nachweis von Einwilligungen erlaubt.Kündigung/Widerruf – Sie können den Empfang unseres Newsletters jederzeit kündigen, d.h. Ihre Einwilligungen widerrufen. Einen Link zur Kündigung des Newsletters finden Sie am Ende eines jeden Newsletters. Wir können die ausgetragenen E-Mailadressen bis zu drei Jahren auf Grundlage unserer berechtigten Interessen speichern bevor wir sie für Zwecke des Newsletterversandes löschen, um eine ehemals gegebene Einwilligung nachweisen zu können. Die Verarbeitung dieser Daten wird auf den Zweck einer möglichen Abwehr von Ansprüchen beschränkt. Ein individueller Löschungsantrag ist jederzeit möglich, sofern zugleich das ehemalige Bestehen einer Einwilligung bestätigt wird.
NEWSLETTER – ERFOLGSMESSTUNG
Die Newsletter enthalten möglicherweise einen sog. „web-beacon“, d.h. eine pixelgroße Datei, die beim Öffnen des Newsletters von unserem Server, bzw. sofern wir einen Versanddienstleister einsetzen, von dessen Server abgerufen wird. Im Rahmen dieses Abrufs werden zunächst technische Informationen, wie Informationen zum Browser und Ihrem System, als auch Ihre IP-Adresse und Zeitpunkt des Abrufs erhoben. Diese Informationen werden zur technischen Verbesserung der Services anhand der technischen Daten oder der Zielgruppen und ihres Leseverhaltens anhand derer Abruforte (die mit Hilfe der IP-Adresse bestimmbar sind) oder der Zugriffszeiten genutzt. Zu den statistischen Erhebungen gehört ebenfalls die Feststellung, ob die Newsletter geöffnet werden, wann sie geöffnet werden und welche Links geklickt werden. Diese Informationen können aus technischen Gründen zwar den einzelnen Newsletterempfängern zugeordnet werden. Es ist jedoch weder unser Bestreben, noch, sofern eingesetzt, das des Versanddienstleisters, einzelne Nutzer zu beobachten. Die Auswertungen dienen uns viel mehr dazu, die Lesegewohnheiten unserer Nutzer zu erkennen und unsere Inhalte auf sie anzupassen oder unterschiedliche Inhalte entsprechend den Interessen unserer Nutzer zu versenden.
ONLINEPRÄSENZEN IN SOZIALEN MEDIEN
Wir unterhalten möglicherweise Onlinepräsenzen innerhalb sozialer Netzwerke und Plattformen, um mit den dort aktiven Kunden, Interessenten und Nutzern kommunizieren und sie dort über unsere Leistungen informieren zu können. Beim Aufruf der jeweiligen Netzwerke und Plattformen gelten die Geschäftsbedingungen und die Datenverarbeitungsrichtlinien deren jeweiligen Betreiber.Soweit nicht anders im Rahmen unserer Datenschutzerklärung angegeben, verarbeiten wir die Daten der Nutzer sofern diese mit uns innerhalb der sozialen Netzwerke und Plattformen kommunizieren, z.B. Beiträge auf unseren Onlinepräsenzen verfassen oder uns Nachrichten zusenden.
EINBINDUNG VON DIENSTEN & INHALTEN DRITTER
Wir setzen innerhalb unseres Onlineangebotes auf Grundlage unserer berechtigten Interessen (d.h. Interesse an der Analyse, Optimierung und wirtschaftlichem Betrieb unseres Onlineangebotes im Sinne des Art. 6 Abs. 1 lit. f. DSGVO) Inhalts- oder Serviceangebote von Drittanbietern ein, um deren Inhalte und Services, wie z.B. Videos oder Schriftarten einzubinden (nachfolgend einheitlich bezeichnet als “Inhalte”). Dies setzt immer voraus, dass die Drittanbieter dieser Inhalte, die IP-Adresse der Nutzer wahrnehmen, da sie ohne die IP-Adresse die Inhalte nicht an deren Browser senden könnten. Die IP-Adresse ist damit für die Darstellung dieser Inhalte erforderlich. Wir bemühen uns nur solche Inhalte zu verwenden, deren jeweilige Anbieter die IP-Adresse lediglich zur Auslieferung der Inhalte verwenden. Drittanbieter können ferner so genannte Pixel-Tags (unsichtbare Grafiken, auch als „Web Beacons“ bezeichnet) für statistische oder Marketingzwecke verwenden. Durch die „Pixel-Tags“ können Informationen, wie der Besucherverkehr auf den Seiten dieser Website ausgewertet werden. Die pseudonymen Informationen können ferner in Cookies auf dem Gerät der Nutzer gespeichert werden und unter anderem technische Informationen zum Browser und Betriebssystem, verweisende Webseiten, Besuchszeit sowie weitere Angaben zur Nutzung unseres Onlineangebotes enthalten, als auch mit solchen Informationen aus anderen Quellen verbunden werden.
GOOGLE MAPS & GOOGLE FONTS
Wir binden die Landkarten des Dienstes “Google Maps” und die Schriftarten (“Google Fonts”) des Anbieters Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, ein. Datenschutzerklärung: https://www.google.com/policies/privacy/, Opt-Out: https://adssettings.google.com/authenticated. Quellen: Datenschutzerklärung für Facebook, Datenschutzerklärung Google Analytics, Twitter
Datenschutzerklärung, Datenschutz-Generator.de von RA Dr. Thomas Schwenke
Vereinbarung über die Auftragsverarbeitung von personenbezogenen Daten (AVV)
1. Gegenstand und Dauer des Auftrags, Anwendung der DSGVO
1.1. Gegenstand des Auftrags
Der Gegenstand des Auftrags ist die Bereitstellung der Software ClubDesk zur Verwaltung von Vereinsdaten als Dienstleistung über das Internet (Software-as-a-Service) gemäß dem zwischen Kunde und reeweb nach Maßgabe der Allgemeinen Geschäftsbedingungen online abgeschlossenen Vertrag. Die inhaltliche Verwaltung der Vereinsdaten und die Verantwortung für die Zulässigkeit der Datenverarbeitung, also die Frage, ob bestimmte Daten (beispielsweise Kontaktdaten von Mitgliedern) überhaupt verarbeitet werden dürfen, obliegt dem Kunden bzw. der vertretungsberechtigten Per-son. Reeweb verarbeitet im Rahmen der getroffenen Vereinbarungen lediglich die vom Kunden eingegebenen Daten in dessen Auftrag und nach seiner Weisung. Die vorliegende Vereinbarung regelt die Rechte und Pflichten von Kunde und reeweb im Rahmen einer Verarbeitung personenbezogener Daten im Auftrag. Die Bestimmungen finden Anwendung auf alle Tätigkeiten, die mit dem Vertrag im Zusammenhang stehen und bei denen reeweb und seine Beschäftigten oder durch reeweb Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Kunden stammen oder für den Kunden erhoben wurden.
1.2. Dauer des Auftrags
Die Dauer dieses Auftrags (Laufzeit) richtet sich nach der Laufzeit des Hauptvertrags. Im Zweifel gilt eine Kündigung des Hauptvertrags auch als Kündigung dieses Vertrags und eine Kündigung dieses Vertrages als Kündigung des Hauptvertrages. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Kunde reeweb zunächst eine angemessene Frist, innerhalb welcher reeweb den Verstoß abstellen kann. Das Recht zu einer außerordentlichen Kündigung dieses Vertrages aus wichtigem Grund bleibt unberührt.
1.3. Anwendung der DSGVO
Für den Kunden als Verein mit Sitz im Europäischen Wirtschaftsraum (EWR) gilt europäisches Datenschutzrecht, insbesondere ab dem 25.05.2018 die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung – nachstehend „DSGVO“ genannt). Für reeweb mit Sitz in der Schweiz finden diejenigen Regelungen der DSGVO Anwendung, auf die diese Vereinbarung verweist.
1.4. Lokalisierung der Datenverarbeitung
Die Datenverarbeitung durch reeweb erfolgt in der Schweiz. Die Europäische Kommission hat mit ihrer Entscheidung vom 26.07.2000 festgestellt, dass in der Schweiz für sämtliche unter die (Daten-schutz-) Richtlinie 95/46/EG fallenden Tätigkeiten ein angemessenes Datenschutzniveau besteht (Entscheidung 200/518/EG, Amtsblatt der EG v. 25.08.2000, S. 1-3). Diese Feststellung bleibt auch unter Geltung der DSGVO nach deren Art. 45 Abs. 9 in Kraft bis gegebenenfalls eine neue Entscheidung ergeht. Die Verwaltung von Vereinsdaten fällt unter die genannte Datenschutzrichtlinie, weshalb die Schweiz auch insoweit über ein angemessenes Datenschutzniveau verfügt.Die Verlagerung der Datenverarbeitung in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum durch reeweb ist zulässig. Jede Verlagerung in ein anderes Drittland als die Schweiz bedarf der vorherigen Zustimmung des Kunden und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen der Artikel 44 ff. DSGVO erfüllt sind.Die von reeweb verarbeiteten Daten sind für jeden, der über eine entsprechende Zugangskennung verfügt, weltweit über das Internet abrufbar. Reeweb wird keine Abrufe außerhalb der Schweiz oder des Europäischen Wirtschaftsraums vornehmen. Dem Kunden obliegt es, selbst dafür Sorge zu tragen, dass Abrufe durch ihn oder auf seine Veranlassung hin auch in örtlicher Hinsicht den rechtlichen Vorschriften genügen.
2. Konkretisierung des Auftragsinhalts
2.1. Umfang, Art und Zweck der vorgesehenen Verarbeitung von Daten
Die Datenverarbeitung dient der Verwaltung von Vereinen oder Gruppen wie im Vertrag vereinbart. Hierzu kann beispielsweise die Verwaltung von Mitgliedern, Interessenten, Veranstaltungsteilnehmer, Lieferanten und Terminen gehören. Umfang, Art und Zweck der Verarbeitung personenbezogener Daten durch reeweb für den Kunde sind in der Datenschutzerklärung konkreter beschrieben.
2.2. Art und Kategorien der personenbezogenen Daten
Gegenstand der Erhebung, Verarbeitung oder Nutzung sind beliebige Datenarten/-kategorien, je nachdem, wie die flexiblen ClubDesk-Funktionalitäten vom Verein/ der Gruppe gemäß dem Hauptvertrag konfiguriert und verwendet werden. Insbesondere kommen folgende Datenkategorien in Betracht: ·
- Stammdaten der Betroffenen, v.a. der Vereinsmitglieder, darunter
- Adresse und Telefonnummer
- Bankverbindung ·
- Abrechnungsdaten (wie z.B. Stand des Beitragskontos, Stand von Debitoren-/Kreditoren- und Lohnkonten) ·
- Qualifikationsdaten (wie z.B. Teilnahme an Veranstaltungen und Ergebnisse hierbei, Fortbildungen von Mitarbeitern)
2.3. Kreis und Kategorien der Betroffenen
Der Kreis bzw. die Kategorien der durch diese Auftragsverarbeitung Betroffenen umfasst beliebige Personen, je nachdem, wie die flexiblen ClubDesk-Funktionalitäten vom Verein/ der Gruppe gemäß dem Hauptvertrag konfiguriert und verwendet werden. Insbesondere kommen folgende Personenkategorien in Betracht:·
- Mitglieder des Vereins / der Gruppe·
- Interessenten und Gäste·
- Sponsoren und Gönner·
- Veranstaltungsteilnehmer·
- Mitarbeiter·
- Lieferanten/Dienstleister
3. Beschreibung der zu treffenden technischen und organisatorischen Datenschutz- und Datensicherheitsmaßnahmen
(1) Die erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Kunden (nach Art. 32 DSGVO) sind gemäß Anlage von reeweb beschrieben. Bei Akzeptanz durch den Kunden werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit eine Prüfung des Kunden Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(2) reeweb hat die Sicherheit der Datenverarbeitung gemäß Anlage dieser Vereinbarung herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme, insbesondere unter Berücksichtigung der Organisationskontrolle, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie des Trennungsgebots. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es reeweb gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind dem Kunden unverzüglich in Textform mitzuteilen.
4. Berichtigung, Sperrung und Löschung von Daten Rechte der Betroffenen und Haftung
(1) reeweb darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Kunden berichtigen, löschen oder sperren bzw. deren Verarbeitung einschränken. Zulässig ist die Sperrung des Zugangs des Kunden zu ClubDesk durch reeweb, soweit dies nach den Allgemeinen Geschäftsbedingungen von ClubDesk zum Beispiel im Fall des Gebührenrückstandes oder bei begründetem Verdacht auf eine missbräuchliche Nutzung zulässig ist.
(2) Soweit sich eine betroffene Person (z.B. ein Vereinsmitglied) bezüglich ihrer Datenschutzrechte, insbesondere auf Auskunft, Berichtigung, Löschung und Sperrung gem. Art. 16 bis 18 DSGVO, unmittelbar an reeweb wendet, wird reeweb dieses Ersuchen an den Kunden weiterleiten und/oder den Betroffenen an den Kunden verweisen und gleichzeitig diesen über die Betroffenenanfrage informieren. Reeweb selbst wird keine Entscheidung über die Berechtigung von Ersuchen der Betroffenen treffen und insbesondere auch keine Auskunftsverlangen von Betroffenen beantworten.
(3) reeweb wird den Kunden bei der Erfüllung der Ansprüche von Betroffenen im Rahmen seiner Möglichkeiten unterstützen, sofern der Kunde die Ansprüche nicht ohne Mitwirkung durch reeweb erfüllen kann. Reeweb kann vom Kunden eine angemessene Zusatzvergütung des durch die Mitwirkung begründeten Aufwandes verlangen.
(4) Wendet sich ein Betroffener direkt an reeweb wegen einer angenommenen Datenschutzverletzung und erlangt Schadensersatz von diesem, hat der Kunde reeweb den dadurch entstandenen Schaden zu ersetzen, soweit reeweb dem Kunden nach den Vorschriften dieser Vereinbarung sowie des Hauptvertrages für diese Datenschutzverletzung nicht gehaftet hätte, insbesondere wenn er sich an die Vereinbarung und die Weisungen des Kunden gehalten hat. Dies gilt im Falle einer gegen reeweb verhängten Geldbuße entsprechend.
5. Kontrollen und sonstige Pflichten von reeweb
Reeweb hat neben den Regelungen dieses Auftrags die an seinem Sitz in der Schweiz geltenden gesetzlichen Regelungen zum Datenschutz einzuhalten. Aus diesem Zusammenspiel von vertraglichen und gesetzlichen Regelungen ergeben sich insbesondere folgende Pflichten von reeweb:
(1) Reeweb ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Fragen zum Datenschutz können an datenschutz@clubdesk.com gerichtet werden.
(2) Reeweb setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die in Schriftform auf Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden oder einer gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Ferner wird reeweb die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherstellen. Reeweb und jede reeweb unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Kunden verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
(3) Reeweb kontrolliert regelmäßig die technischen und organisatorischen Maßnahmen der Datensicherheit, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den für ihn geltenden datenschutzrechtlichen Anforderungen für die Dauer der Verarbeitung der Kundendaten erfolgt.
(4) Reeweb bzw. sein Vertreter führen ein Verzeichnis zu allen Kategorien der im Auftrag des Kunden durchgeführten Tätigkeiten der Verarbeitung, welches sich nach Art. 30 Abs. 2 DSG-VO richtet.
6. Unterauftragsverhältnisse
(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die reeweb z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Reeweb ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Kunden auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
(2) Reeweb darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger schriftlicher bzw. dokumentierter Zustimmung des Kunden beauftragen.
(3) Der Kunde stimmt hiermit allgemein der Beauftragung von Unterauftragnehmern zu, mit welchem von reeweb eine Vereinbarung entsprechend dieser Vereinbarung getroffen wurde. Eine Liste der aktuellen Dienstleister finden Sie auf der Webseite von reeweb unter www.clubdesk.com/unterauftragnehmer.
(4) Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit: ·
- eine vertragliche Vereinbarung mit dem Unterauftragnehmer entsprechend dieser Vereinbarung zugrunde gelegt wird, ·
- reeweb eine solche Auslagerung auf Unterauftragnehmer dem Kunden eine angemessene Zeit vorab unter Angabe des Zeitpunkts der Weitergabe der Daten schriftlich oder in Text-form anzeigt und ·
- der Kunde nicht bis zum Zeitpunkt der Weitergabe der Daten gegenüber reeweb schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt.
Ein Einspruch des Kunden gilt als außerordentliche Kündigung des Hauptvertrages auf den Zeitpunkt unmittelbar vor der Weitergabe. Nach diesem Zeitpunkt ist keine weitere Nutzung der Leistungen von reeweb durch den Kunden mehr möglich. Vor Übergabe an den Unterauftragnehmer werden die Daten des Kunden durch reeweb gelöscht. Dem Kunden obliegt es, selbst eine etwaige Datensicherung in seinen eigenen Systemen vor diesem Zeitpunkt durchzuführen.
(5) Die Weitergabe von personenbezogenen Daten des Kunden an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
(6) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt reeweb die besonderen Voraussetzungen für eine Verlagerung in ein Drittland durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister für Nebenleistungen im Sinne des vorstehen-den Absatz 1 Satz 2 des außerhalb der EU/des EWR eingesetzt werden sollen. Sitzt der Unterauftragnehmer oder sonstige Dienstleister in der Schweiz, gelten die besonderen Anforderungen entsprechend Abschnitt 1.4 als erfüllt.
(7) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung durch reeweb (mind. Textform). Die vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.
7. Kontrollrechte des Kunden
(1) Reeweb stellt sicher, dass sich der Kunde von der Einhaltung der Pflichten von reeweb nach diesem Vertrag überzeugen kann. Reeweb verpflichtet sich, dem Kunden auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
(2) Reeweb ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Kunden, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte von reeweb sind oder durch deren Offenbarung reeweb gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Kunde ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden von reeweb, zu Informationen hinsichtlich Kosten sowie zu sämtlichen anderen vertraulichen Daten von reeweb, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.
(3) Der Kunde hat das Recht, im Einvernehmen mit reeweb Überprüfungen (Auftragskontrolle) im Rahmen der üblichen Geschäftszeiten auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen von reeweb durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zu reeweb steht. Der Kunde hat reeweb rechtzeitig (in der Regel mindestens vier Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren.
(4) Nach Wahl von reeweb kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen anstatt durch eine Vor-Ort-Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits – z.B. nach ISO 27001 oder gemäß Art. 42 DSGVO – („Prüfungsberichts“) erbracht werden, wenn der Prüfungsbericht es dem Kunde in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen. Als Nachweis kommt auch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO in Betracht.
(5) Beauftragt der Kunde einen Dritten mit der Durchführung der Kontrolle, hat der Kunde den Dritten zur Vertraulichkeit zu verpflichten. Reeweb ist ebenfalls berechtigt, von dem Dritten vor Prüfung eine Vertraulichkeitsverpflichtung zu verlangen, welche es untersagt, dass dem Kunden andere als datenschutzrelevante Umstände zum Auftrag und Dritten beliebige im Rahmen der Beauftragung und Prüfung festgestellten Umstände mitgeteilt werden. Der Kunde darf keinen Konkurrenten von reeweb mit der Kontrolle beauftragen.
(6) Für die Unterstützung im Rahmen von Kontrollen des Kunden kann reeweb eine angemessene Zusatzvergütung für den dadurch begründeten Aufwand verlangen.
8. Mitteilung bei Verstößen durch reeweb und Unterstützung des Kunden
(1) Reeweb erstattet in allen Fällen dem Kunden eine unverzügliche Meldung, wenn durch ihn, durch die bei ihm beschäftigten Personen oder durch die ihm zugewiesenen Unterbeauftragten Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Kunden oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind und diese reeweb bekannt werden. Der Inhalt der Meldungen richten sich nach den in Art. 33 Abs. 3 DSGVO genannten Angaben.
(2) Der Kunde hat reeweb unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
(3) Reeweb unterstützt den Kunden im Rahmen seiner Möglichkeiten und dieser Vereinbarung bei der Einhaltung der gesetzlichen Pflichten zur Sicherheit personenbezogener Daten, der Meldepflichten bei Datenpannen, der Datenschutz-Folgeabschätzungen nach Art. 35 DSGVO und der vorherigen Konsultationen mit der Aufsichtsbehörde nach Art. 36 DSGVO. Hierzu gehören insbesondere die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen.
(4) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung des Hauptvertrages enthalten oder nicht auf ein Fehlverhalten von reeweb zurückzuführen sind, kann reeweb eine angemessene Zusatzvergütung für den dadurch begründeten Aufwand beanspruchen.
9. Weisungsbefugnis des Kunden
(1) Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Kunden, sofern nicht gesetzliche Vorschriften den Weisungen entgegenstehen. Reeweb teilt diese rechtlichen Anforderungen dem Kunden mit, es sei denn der Mitteilung steht ein wichtiges öffentliches Interesse entgegen. Der Kunde hat seine allgemeinen Weisungen automatisiert über die gemäß dem Hauptvertrag bereitgestellten Funktionen der Software ClubDesk, deren kundenseitigen Eingaben und Konfigurationen, zu erteilen.
(2) Reeweb ist nicht verpflichtet andersartige Einzelweisungen auszuführen. Ausgenommen hiervon ist die Einzelweisung zum Löschen aller im Auftrag des Kunden verarbeiteter Daten, welche reeweb immer auszuführen hat, wenn sichergestellt ist, dass diese vom Kunden bzw. einer für diesen vertretungsberechtigten Person stammt. Mündliche Einzelweisungen bestätigt der Kunde unverzüglich mindestens in Textform. Eine Löschung bedarf immer der Weisung zumindest in Textform. Reeweb hat den Kunden unverzüglich zu informieren, wenn er der Meinung ist, eine Einzelweisung nach diesem Absatz verstoße gegen Datenschutzvorschriften. Reeweb ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Kunden bestätigt oder geändert wird. Führt reeweb eine Einzelweisung nach diesem Absatz aus, ist er berechtigt, eine angemessene Zusatzvergütung für den dadurch begründeten Aufwand zu verlangen.
(3) Weisungsberechtigte Personen sind diejenigen, die den Kunden wirksam vertreten können.
10. Löschung personenbezogener Daten
(1) Kopien oder Duplikate der Daten werden ohne Wissen des Kunden nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind. Daneben darf reeweb Kopien der Daten des Kunden für Software-tests (z.B. Datenmigration bei neuen Releases) und für Support (z.B. Debugging auf Testsystemen) verwenden.
(2) Nach Aufforderung durch den Kunden und frühestens nach Abschluss der vertraglich vereinbarten Arbeiten (d.h. mit Beendigung des Vertrages gemäß der geltenden AGB) hat reeweb sämtliche in seinen Besitz gelangten personenbezogenen Daten aus dem Verantwortungsbereich des Kunden, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu löschen. Dies gilt auch für Vervielfältigungen der Kundendaten bei reeweb, wie etwa Datensicherungen. Es obliegt dem Kunden, seine Daten vor Vertragsende bzw. vor Erteilung einer Löschungsweisung auf eigenen Systemen selbst zu sichern. Reeweb wird dem Kunden die Löschung in Textform bestätigen.
(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch reeweb entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Kunden übergeben.
11. Sonstiges
Soweit in dieser Vereinbarung keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Vertrages gemäß der geltenden AGB.Basel, 5.7.2021 reeweb ag, Wettsteinplatz 7, 4058 Basel, Schweiz
12. Anlage – Technisch-organisatorische Maßnahmen
(1) Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO) ·
Zutrittskontrolle (kein unbefugter Zutritt zu Datenverarbeitungsanlagen):
reeweb ag: Keine Datenspeicherung bei reeweb ag, Software und Daten werden vollständig in externem Rechenzentrum gehostet (Produktion und Testsysteme);
Rechenzentrum: Kein unbefugter Zutritt zu Datenverarbeitungsanlagen; Videoüberwachung und mehrstufiges Zutrittskontrollprinzip gewährleistet physikalische Sicherheit; ·
Zugangskontrolle (keine unbefugte Systembenutzung):
Sichere Kennwörter (Mindestlänge von 8 Zeichen für Administrator-Passwörter für ClubDesk, Zahl und Sonderzeichen erforderlich, etc.), automatische Sperrmechanismen (Benutzerkonten werden nach 10 fehlgeschlagenen Logins automatisch gesperrt), nur Hashwert von Passwörtern wird gespeichert; ·
Zugriffskontrolle (kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems):
ClubDesk bietet umfangreiches Rollensystem für bedarfsgerechte Zugriffsrechte einzelner Benutzer eines Vereins, Protokollierung von Logins und schreibenden Zugriffen (Änderungen an Daten werden historisiert abgelegt, inkl. Zeitstempel und Benutzer); ·
Trennungskontrolle (getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurde):
Daten werden pro Verein in eigener Datenbank mit separatem Datenbank-Login abgelegt.
(2) Integrität (Art. 32 Abs. 1 lit. b DSGVO) ·
Weitergabekontrolle (kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport):
Sichere Web-Verbindung mit Applikationsservern über HTTPS – auch für die Vereins-Webseiten, die in der Software ClubDesk angelegt werden. E-Mail-Versand ist ungesichert (keine Verschlüsselung der E-Mails). E-Mails zur Registrierung, Passwort-Wiederherstellung etc., werden von reeweb aber immer nur mit Links auf verschlüsselte Webseiten, die zeitlich begrenzt gültig sind, versandt. Für den unverschlüsselten Versand von E-Mails durch den Kunden mittels der entsprechenden Funktionalität von ClubDesk ist der Kunde selbst verantwortlich. ·
Eingabekontrolle (Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind):
Protokollierung von Logins und schreibenden Zugriffen: Änderungen an Daten werden historisiert abgelegt, inkl. Zeitstempel und Benutzer;
(3) Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) ·
Verfügbarkeitskontrolle (Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust):
- reeweb ag: u.a. Spiegeln von Festplatten (RAID), tägliche Backups in Rechenzentrum, Firewall, Virenschutz bei hochgeladenen Dateien, externe Überwachung wichtiger Software- und Hardwarekomponenten mit SMS-Alarmierung an 3rd-Level Support;
- Rechenzentrum: Brandmelder; redundante, vollständig getrennte Leitungen für Energie und Daten; Internet ausfallsicher, Netzkomponenten redundant; unterbruchsfreie Stromversorgung (USV); modernste Datensicherung: mehrfach gesichert, örtlich getrennt in verschiedenen Brandschutzzonen; ·
Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
Dank Backups und standardisiertem Server-Setup kann Betrieb im Notfall rasch wieder hergestellt werden.
(4) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO) ·
Datenschutz-Management:
Bestimmungen bzgl. Datenschutz in sämtlichen Arbeitsverträgen und Richtlinien auf internem Wiki; Geschäftsleitung ist sensibilisiert für das Thema Datenschutz; ·
Incident-Response-Management:
Externes Support-Incident-Tool, in dem alle Support-Anfragen verwaltet und überwacht werden; ·
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO):
z.B. vordefinierte Rollen für typische Funktionen innerhalb eines Vereines; ·
Auftragskontrolle (keine Datenverarbeitung im Auftrag ohne entsprechende Weisung des Kunden):
Eindeutige Vertragsgestaltung, strenge Auswahl und Kontrolle des Rechenzentrums.