Auftragsdatenverarbeitung

1. Gegenstand des Vertrages, Gegenstand dieses Auftragsverarbeitungsvertrages (Art. 28 Abs.1 DSGVO)

1.1.0 Gegenstand des Vertrages, bietet die CIN GmbH Dienstleistungen (Dienstvertrag §§ 611 ff. BGB (Bürgerliches Gesetzbuch)) im Bereich e-Commerce Dienste insbesondere alle für den ordnungsgemäßen Betrieb erforderlichen Betriebs-, Service und Unterstützungsleistungen. Dabei erhält CIN Zugriff auf personenbezogene Daten, insbesondere solche von Händlern und Endkunden, und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang und Zweck der Datenverarbeitung durch die CIN GmbH ergeben sich aus dem Hauptvertrag (und der dazugehörigen Leistungsbeschreibung). Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.

1.1.1 Weiterhin als Grundlage des Vertrages ist die Bereitstellung von Web- Cloudhosting-Dienstleistungen bzw. eines (oder mehrerer) dedizierten/dedizierter Web- Cloudserver(s) sowie der damit im Zusammenhang stehenden Leistungen wie z.B. E-Mail, Domainregistrierung, etc. Im Rahmen dieses Vertrages hat der Auftraggeber

• je nach Tarif und vereinbartem Leistungsumfang - unter Nutzung u.a. z.B. eines Webservers, FTP- Servers oder SSH-Zugangs die Möglichkeit, Daten zu verarbeiten (zu speichern, zu verändern, zu übermitteln und zu löschen).

1.2 Gegenstand des Vertrages ist nicht die originäre Nutzung oder Verarbeitung von personenbezogenen Daten durch den Auftragnehmer. Im Zuge der Leistungserbringung des Auftragnehmers als zentraler IT-Dienstleister im Bereich des Hostings, des Supports bzw. der Administration von Server-Systemen des Auftraggebers, kann ein Zugriff auf personenbezogene Daten jedoch nicht ausgeschlossen werden.

1.3 Die Einzelheiten ergeben sich aus dem Hauptvertrag / den Hauptverträgen, die unter der benannten Kundennummer zusammengefasst sind. Die Vereinbarung zur Auftragsverarbeitung findet Anwendung auf das gesamte Dienstleistungsverhältnis, sofern die in Punkt 1.1 beschriebenen Dienstleistungen betroffen sind.

1.4 Soweit nachfolgend von Daten die Rede ist, handelt es sich ausschließlich um personenbezogene Daten im Sinne der DSGVO. Die nachfolgenden Datenschutz- und Datensicherheitsbestimmungen finden Anwendung auf alle Leistungen der Auftragsverarbeitung i.S.d. Art. 28 Abs. 1 DSGVO, die der Auftragnehmer gegenüber dem Auftraggeber erbringt und auf alle Tätigkeiten, bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

1.5 In Ergänzung zu dem/den zwischen den Parteien geschlossenen Vertrag/Verträgen konkretisieren die Vertragsparteien mit vorliegendem Auftragsverarbeitungsvertrag die gegenseitigen Pflichten im generellen Umgang mit den Daten des Auftraggebers.

2. Laufzeit, Beendigung, Löschung von Daten (Art. 28 Abs. 1 DSGVO)

2.1 Die Laufzeit des Vertrages richtet sich nach der Dauer der Erbringung von Hosting-Leistungen des

Auftragnehmers an den Auftraggeber. Der Auftrag endet, wenn der Auftraggeber keine Hosting- Leistungen des Auftragnehmers, entsprechend den Leistungsvereinbarungen/Angeboten der einzelnen

Auftragsbestätigungen für Hosting-Leistungen des Auftragnehmers, mehr in Anspruch nimmt.

2.2 Die Rechte der durch den Datenumgang bei dem Auftragnehmer betroffenen Personen, insbesondere auf Berichtigung, Löschung und Sperrung, sind gegenüber dem Auftraggeber geltend zu machen. Er ist allein verantwortlich für die Wahrung dieser Rechte.

2.3 Nach Ende des Auftrags oder auf schriftliche Aufforderung durch den Auftraggeber hat der Auftragnehmer sämtliche Daten des Auftraggebers vollständig datenschutzgerecht zu löschen (einschließlich der verfahrens- oder sicherheitstechnisch notwendigen Kopien) oder an den Auftraggeber zurückzugeben. Das gleiche gilt auch für Test- und Ausschussmaterial, das bis zur Löschung oder Rückgabe unter datenschutzgerechtem Verschluss zu halten ist. Dies gilt nicht für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen oder soweit z.B. rechtliche Regelungen, gesetzliche Pflichten oder gerichtliche Verfügungen dem entgegenstehen. Entstehen durch eine Löschung vor Vertragsbeendigung zusätzliche Kosten, so trägt diese der Auftraggeber.

2.4 Der Auftragnehmer ist verpflichtet, im Rahmen seiner Tätigkeit für den Auftraggeber an ihn gerichtete Ersuchen Betroffener zur sachgerechten Bearbeitung unverzüglich an den Auftraggeber weiterzuleiten. Er ist nicht berechtigt, diese Ersuchen ohne Abstimmung mit dem Auftraggeber selbständig zu bescheiden.

2.5 Der Auftragnehmer hat den Auftraggeber bei der Umsetzung der Rechte der Betroffenen nach Kapitel III der DSGVO, insbesondere im Hinblick auf Berichtigung, Sperrung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen der technischen Möglichkeiten, insbesondere hinsichtlich des Charakters der geschuldeten Dienstleistung, zu unterstützen.

2.6 Zu einem Datenträgeraustausch gemäß Art. 28 Abs. 3 lit. g DSGVO zwischen den Beteiligten dieser

Auftragsverarbeitung kommt es nicht. Insoweit ist eine Rückgabe nicht zu regeln.

3. Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und / oder Nutzung der Daten

3.1 Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und / oder Nutzung der Daten ergeben sich aus dem zwischen den Vertragsparteien bestehenden Vertrag. Der Auftragnehmer ist verpflichtet, die ihm zur Verfügung gestellten personenbezogenen Daten ausschließlich zur vertraglich vereinbarten Leistung zu verwenden. Dem Auftragnehmer ist es gestattet, verfahrens- und sicherheitstechnisch erforderliche Zwischen-, Temporär- oder Duplikatsdateien zur leistungsgemäßen Erhebung, Verarbeitung und / oder Nutzung der personenbezogenen Daten zu erstellen, soweit dies nicht zu einer inhaltlichen Umgestaltung führt. Dem Auftragnehmer ist nicht gestattet, unautorisiert Kopien der personenbezogenen Daten zu erstellen.

Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

Daten aus Adressbüchern und Verzeichnissen dürfen nur zur Kommunikation im Rahmen der Auftragserfüllung mit dem Auftraggeber verwendet werden. Eine anderweitige Nutzung und Übermittlung für eigene oder fremde Zwecke, einschl. Marketingzwecke, ist nicht gestattet.

3.2 Soweit seitens des Auftragnehmers eine Erhebung, Verarbeitung und / oder Nutzung der Daten erfolgt, geschieht dies ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Jede Verlagerung in ein anderes Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 DSGVO erfüllt sind.

4. Art der Daten und Kreis der Betroffenen (Art. 28 Abs. 3 S. 1 DSGVO)

4.1 Art der Daten

Gegenstand der Erhebung, Verarbeitung und / oder Nutzung der Daten des Auftraggebers gem. Ziff. 1.2 Satz 2 sind folgende Datenarten:

[DATENARTEN]

4.2 Kreis der Betroffenen

Der Kreis der durch den Umgang mit den Daten gem. Ziff. 1.2 Satz 2 Betroffenen umfasst:

[BETROFFENE]

5. Pflichten des Auftragnehmers

5.1 Allgemeine Pflichten Art. 28-33 DSGVO

5.1.1 Der Auftragnehmer verpflichtet sich zu einer schriftlichen Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 37, 38 DSGVO ausüben kann. Dessen Kontaktdaten werden dem Auftraggeber auf Anforderung, zum Zweck der direkten Kontaktaufnahme, mitgeteilt.

5.1.2 Soweit seitens des Auftragnehmers eine Erhebung, Verarbeitung und / oder Nutzung der Daten erfolgt, ist dies nur zulässig im Rahmen der vertraglichen Vereinbarungen zwischen Auftraggeber und Auftragnehmer. Soweit der Auftragnehmer Zugriff auf Daten des Auftraggebers hat, verwendet er diese nicht für vertragsfremde Zwecke, insbesondere gibt er diese an Dritte nur weiter, soweit hierzu eine gesetzliche Verpflichtung besteht. Kopien von Daten dürfen nur mit Zustimmung des Auftraggebers erstellt werden. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung oder Erfüllung vertraglicher oder gesetzlicher Verpflichtungen erforderlich sind.

5.1.3 Der Auftragnehmer stellt die Wahrung der Vertraulichkeit entsprechend Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO sicher. Alle Personen, die auftragsgemäß auf die unter Punkt 4.1 aufgeführten Daten des Auftraggebers zugreifen könnten, müssen auf die Vertraulichkeit verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden.

5.1.4 Der Auftragnehmer stellt die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32 DSGVO sicher.

5.1.5 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei von ihm oder der bei ihm beschäftigten Personen begangenen Verstößen gegen Datenschutzvorschriften. Gleiches gilt im Falle schwerwiegender Störungen des Betriebsablaufs oder anderen Unregelmäßigkeiten im Umgang mit Daten des Auftraggebers. Soweit den Auftraggeber Pflichten nach Art. 32 und 33 DSGVO treffen, hat der Auftragnehmer ihn hierbei zu unterstützen. Soweit den Auftraggeber Pflichten nach Art. 32-36 DSGVO treffen, z.B. im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten durch Dritte, hat der Auftragnehmer ihn hierbei im Rahmen des Charakters der durch den Auftragnehmer erbrachten Dienstleistung zu unterstützen.

5.2 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

5.2.1 Der Auftragnehmer gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den Anforderungen des Datenschutzes gerecht wird. Er trifft dabei technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten vor Missbrauch und Verlust, um den Anforderungen der DSGVO zu entsprechen.

5.2.2 Die Parteien sind sich einig, dass die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der Weiterentwicklung unterliegen. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Er muss den Auftraggeber hierüber auf Anfrage informieren und sicherstellen, dass das Sicherheitsniveau der festgelegten Maßnahme nicht unterschritten wird. Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Wesentliche Änderungen sind zu dokumentieren.

6. Unterauftragsverhältnisse (Art. 28 Abs. 2 u. 4 DSGVO)

6.1 Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungen, insbesondere, aber nicht ausschließlich, für die Bereiche Wartung und Installation der Rechenzentrumsinfrastruktur, Telekommunikationsdienstleistungen und Benutzerservice, verbundene Unternehmen des Auftragnehmers zur Leistungserfüllung heranzieht bzw. Unternehmen mit Leistungen unterbeauftragt.

6.2 Der Auftragnehmer trägt dafür Sorge, dass der Auftraggeber eine aktuelle Liste der eingesetzten Unterauftragnehmer im Kundenportal stets zum Abruf zur Verfügung steht. Bei Änderung dieser Liste in Bezug auf die Hinzuziehung oder Ersetzung von weiteren Auftragnehmern ergeht hierüber eine Information an den Auftraggeber.

6.3 Erteilt der Auftragnehmer Aufträge an Unterauftragnehmer, so obliegt es dem Auftragnehmer, seine

Pflichten aus diesem Auftragsverarbeitungsvertrag dem Unterauftragnehmer zu übertragen.

7. Pflichten des Auftraggebers (Art. 24 DSGVO und Art. 13 und 14 DSGVO)

7.1 Der Auftraggeber ist für die Einhaltung der für ihn einschlägigen datenschutzrechtlichen Regelungen verantwortlich.

7.2 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er

Verstöße des Auftragnehmers gegen datenschutzrechtliche Bestimmungen feststellt.

7.3 Den Auftraggeber treffen die sich aus Art. 24 DSGVO und Art. 13 und 14 DSGVO ergebenden

Informationspflichten.

8. Weisungsbefugnisse, Berichtigung, Löschung und Sperrung, Rechte Betroffener (Art. 29 i.V.m. 28 DSGVO sowie Kapitel III der DSGVO)

8.1 Der Auftraggeber hat selbst jederzeit umfassenden Zugriff auf die Daten, so dass es einer Mitwirkung des Auftragnehmers insbesondere auch zu Berichtigung, Sperrung, Löschung etc. nicht bedarf. Soweit eine Mitwirkung des Auftragnehmers erforderlich ist, ist der Auftragnehmer hierzu gegen Erstattung der anfallenden Kosten verpflichtet. Dem Auftraggeber steht in diesem Fall ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung gemäß Art. 29 i.V.m. 28 DSGVO zu. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

8.2 Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen an den Auftraggeber weiterleiten. Ist der Auftraggeber auf Grund geltender Datenschutzgesetze verpflichtet, Auskünfte zur Erhebung, Verarbeitung und / oder Nutzung von Daten zu erteilen, wird der Auftragnehmer den Auftraggeber dabei soweit notwendig bei der Bereitstellung dieser Informationen unterstützen. Eine diesbezügliche Anfrage hat der Auftraggeber schriftlich an den Auftragnehmer zu richten und diesem die hierdurch entstandenen Kosten zu erstatten.

9. Kontrollrechte des Auftraggebers

9.1 Der Auftraggeber hat das Recht, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

9.2 Dem Auftraggeber steht hierzu auf Anfrage die durch den Datenschutzbeauftragten des Auftragnehmers erstellte, regelmäßig überarbeitete und den gesetzlichen Anforderungen entsprechende Dokumentation über die vorhandenen technischen und organisatorischen Maßnahmen zur Verfügung.

9.3 Der Auftraggeber hat das Recht, die Auftragskontrolle im Benehmen mit dem Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, nach rechtzeitiger vorheriger Anmeldung (3 Wochen) zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in seinem Geschäftsbetrieb zu überzeugen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Kosten, die dem Auftragnehmer durch seine Unterstützungshandlung entstehen, sind ihm im angemessenen Umfang zu erstatten.

9.4 Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach Art. 28 Abs. 1 DSGVO vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragnehmer sicher, dass der Auftraggeber sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann.

9.5 Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner bei der Verarbeitung der oben genannten Daten bestehende Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und Nachweise zu führen. Dies gilt auch, soweit der Auftragnehmer die Kontrolle seiner Unterauftragnehmer für den Auftraggeber durchführt.

10. Salvatorische Klausel, Gerichtsstand Als Gerichtsstand wird Berlin vereinbart.

Anlage I

Kontrollziele gemäß Anlage § 9 BDSG und Beschreibung der technischen und/oder organisatorischen Sicherungsmaßnahmen

Kontrollziele

bezüglich Umgang mit personenbezogenen Daten

Maßnahmen

Die CIN GmbH bietet über verschiedene Serverstandorte durch Subunternehmen entsprechende Dienstleistungen an, diese sind nachfolgend aufgeführt.

1. Zutrittskontrolle

(Räume und Gebäude) Zielbeschreibung: Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden bzw. in denen personenbezogene Daten gelagert werden.

Standort Köln

• Elektronische Zutrittskontrollsysteme und Personal überwachen und gewährleisten den Zutritt zum jeweiligen Data Center nur für autorisierte Personen
• Videokameras sowie Einbruch- und Kontaktmelder überwachen die Außenhaut des Gebäudes
• Im Alarmfall werden die für das Gebäude verantwortlichen Mitarbeiter automatisch alarmiert
• Den im Gebäude befindlichen Personal werden die Alarmmeldungen angezeigt
• Es besteht eine restriktive Zutrittsregelung

Standort Frankfurt/Main

• Elektronische Zutrittskontrollsysteme und Personal überwachen und gewährleisten den Zutritt zum jeweiligen Data Center nur für autorisierte Personen
• Videokameras sowie Einbruch- und Kontaktmelder überwachen die Außenhaut des Gebäudes
• Im Alarmfall werden die für das Gebäude verantwortlichen Mitarbeiter automatisch alarmiert
• Den im Gebäude befindlichen Personal werden die Alarmmeldungen angezeigt
• Es besteht eine restriktive Zutrittsregelung

Standort Straßburg

• Sicherheitsbereich mit Eingangskontrolle
• eingezäuntes Gelände inkl. Videoüberwachung
• Regelmäßige Kontrollgänge durch das Sicherheitspersonal
• Zutrittskontrollsystem mit Chipkarten.

Datacenterparks in Nürnberg, Falkenstein

• elektronisches Zutrittskontrollsystem mit Protokollierung
• Hochsicherheitszaun um den gesamten Datacenterpark
• dokumentierte Schlüsselvergabe an Mitarbeiter und Colocation-Kunden für Colocation Racks (jeder Auftraggeber ausschließlich für seinen Colocation Rack)
• Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude
• 24/7 personelle Besetzung der Rechenzentren
• Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen
• Der Zutritt für betriebsfremde Personen (z.B. Besucherinnen und Besucher) zu den Räumen ist wie folgt beschränkt: nur in Begleitung eines Mitarbeiters des Serverstandortes

Verwaltung Berlin 10365 Berlin, Bornitzstr. 73c

• elektronisches Zutrittskontrollsystem mit Protokollierung
• Videoüberwachung an den Ein- und Ausgängen, sowie im gesamten Gewerbezentrum

2. Zugangskontrolle

(IT-Systeme, Anwendungen) Zielbeschreibung: Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Allgemein

• Die CIN GmbH vermietet die Datenverarbeitungsanlage an den Kunden
• Dies beinhaltet die Vermietung von Hard- und Software, sowie die Bereitstellung von Anbindungen an das Internet sowie weitere Dienste entsprechend der jeweiligen Vereinbarung
• Der Kunde entscheidet allein und ausschließlich darüber, welche personenbezogenen Daten in welcher Weise verarbeitetet werden (,,Herr der Daten")
• Die hierfür erforderlichen Programme zur Datenverarbeitung werden durch den Kunden erstellt und eingesetzt
• CIN GmbH sorgt für die technische Einsatzbereitschaft des Systems entsprechend den vertraglichen Vereinbarungen und führt Buch darüber, welche Anlagen durch den Kunden in welchem Umfang genutzt werden

Kontrollziele

bezüglich Umgang mit personenbezogenen Daten

Maßnahmen

• Die Datenverarbeitung selbst erfolgt durch den Kunden. CIN GmbH hat keinerlei Einfluss auf die durch den Kunden durchgeführten Datenverarbeitungsvorgänge im Sinne des § 3 Abs. 4 BDSG

Mass Hosting, unmanaged-Systeme

• Die konkreten Verarbeitungsvorgänge sind CIN GmbH auch nicht bekannt. Insofern obliegt es dem Kunden durch softwaretechnische Gestaltungen dafür Sorge zu tragen, dass die Datenverarbeitungssysteme von Unbefugten nicht genutzt werden können.

Mass Hosting, managed-Systeme

• Bei managed-Produkten haben nur wenige ausgewählte Administratoren Zugang zum Server. Jeder dieser Administratoren hat eine individuelle Benutzerkennung und erhält ausschließlich über das Host Europe-Netzwerk Zugang. Es bestehen Regelungen zum Schutz und zur regelmäßigen Änderung der Zugangspasswörter/-Schlüssel.

3. Zugriffskontrolle (auf Daten)

Zielbeschreibung: Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Allgmein Wie bereits oben unter Zugang ausgeführt, erfolgt die Datenverarbeitung durch den Kunden. Die CIN GmbH hat keinen Einfluss auf die durch den Kunden verwendeten Datenverarbeitungsprogramme, so dass der Zugriff auf Daten ausschließlich durch den Kunden geregelt werden kann. Alle Mitarbeiter der CIN GmbH sind gemäß BDSG zur Einhaltung der datenschutzrechtlichen Gesetze und Regelungen verpflichtet und entsprechend geschult

Mass Hosting, unmanaged-Systeme

• Der Kunde hat die Möglichkeit, die CIN GmbH für bestimmte Administrationsaufgaben zu beauftragen. Dazu stellt der Kunde für alle ,,unmanaged-Produkte" der CIN GmbH temporär einen Zugang zur Verfügung und sorgt nach Abschluss der Arbeiten für die Deaktivierung des Zugangs.

Mass Hosting, managed-Systeme

• Der Kunde hat die Möglichkeit, die CIN GmbH für bestimmte Administrationsaufgaben zu beauftragen und CIN GmbH sorgt für das Monitoring und die Wartung der Systeme. Die Administrationszugriffe werden adäquat protokolliert.

Kontrollziele

bezüglich Umgang mit personenbezogenen Daten

4. Eingabekontrolle (in Datenverarbeitungssysteme)

Zielbeschreibung: Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt wurden.

Mass Hosting, unmanaged-Systeme

• Wie bereits oben ausgeführt, erfolgt die Datenverarbeitung durch den Kunden. CIN GmbH hat keinen Einfluss auf die durch den Kunden verwendeten Datenverarbeitungsprogramme, so dass die Eingabekontrolle der Daten ausschließlich durch den Kunden umgesetzt werden kann.

Mass Hosting, managed-Systeme

• Wie bereits oben ausgeführt, erfolgt die Datenverarbeitung durch den Kunden. CIN GmbH hat keinen Einfluss auf die durch den Kunden verwendeten Datenverarbeitungsprogramme, so dass die Eingabekontrolle der Daten ausschließlich durch den Kunden umgesetzt werden kann. Bei Änderungen durch CIN GmbH werden die Administrationszugriffe adäquat protokolliert

5. Weitergabekontrolle (von Daten)

Zielbeschreibung: Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Allgemein

• Eine technisch notwendige Zugriffsmöglichkeit auf alle übertragenen Daten besteht im Rahmen der Verwaltung der Netzwerkhardware (Router, Switches). Dieser Zugriff ist auf die Mitarbeiter des Teams Network beschränkt und dient ausschließlich zur Gewährleistung des technischen Betriebes. Eine Selektierung personenbezogener Daten ist dabei nicht möglich. Dem Kunden obliegt es durch eine Verschlüsselung, z.B. SSL dafür zu sorgen, dass die übertragenen Daten nicht lesbar sind.

Mass Hosting, unmanaged-Systeme

• Die CIN GmbH hat bei unmanaged Produkten keinen Zugriff auf durch den Kunden verarbeitete personenbezogene Daten - außer der Kunde beauftragt die CIN GmbH mit administrativen Aufgaben auf seinen Systemen. Bei Änderungen durch CIN GmbH werden die Administrationszugriffe adäquat protokolliert. Der Zugriff erfolgt durch geschulte und auf das Datengeheimnis verpflichtete Administratoren. Sämtliche administrative Aufgaben finden über gesicherte Wege, wie bspw. SSL-verschlüsselt, statt.

Mass Hosting, managed-Systeme

• Bei managed-Produkten verfügt die CIN GmbH über organisatorische Maßnahmen, welche den Zugriff auf die Systeme regelt um den Systembetrieb sicherzustellen.

Kontrollziele

Maßnahmen Sämtliche administrative Aufgaben finden über gesicherte Wege, wie bspw. SSL-verschlüsselt, statt. Der Zugriff erfolgt durch geschulte und auf das Datengeheimnis verpflichtete Administratoren. Die Anzahl der Mitarbeiter, werden von der CIN GmbH möglichst gering gehalten. Bei Änderungen durch CIN GmbH werden die Administrationszugriffe adäquat protokolliert.

6. Verfügbarkeitskontrolle (von Daten)

Zielbeschreibung: Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Allgemein

• Die autonome Stromversorgung der Data Center erfolgt über eine eigene Trafostation. Die Stromversorgung und Netzersatzanlage garantieren höchste Ausfallsicherheit.
• Jedes Serverrack wird über mindestens zwei separate Stromzuführungen versorgt, die je einzeln mit mindestens 16 Ampere abgesichert sind.
• Die unmittelbare Stromversorgung des Servers ist typenabhänig, so dass bei der Verwendung entsprechender Typen zusätzlich eine redundante Stromversorgung über ein redundantes Netzteil (2 Netzteile) gewährleistet ist.
• Der gesamte Energieverbrauch der Data Center wird über eine unterbrechungsfreie Stromversorgung (USV) sichergestellt. Im Falle eines Stromausfalls garantiert die USV-Anlage eine unterbrechungsfreie Umschaltung auf eines der Notstrom-Dieselaggregate. Daneben filtert die USV vollständig alle Unregelmäßigkeiten oder Störungen des Stromversorgungsnetzes.
• Eine leistungsstarke Netzersatzanlage (Dieselaggregat) versorgt bei Stromausfall das gesamte jeweilige Data Center und die Kühlsysteme mit konstanter Energie.
• Geräte zur Überwachung der Temperatur und Feuchtigkeit in den Data Centern

Standort Köln und Frankfurt/Main

• Der Kraftstoffvorrat ist für mindestens 16 Stunden bei Volllast ausreichend. Eine Auftankung ist während des laufenden Betriebs des Generators möglich.
• Ein flächendeckendes Wasser- und Brandfrühwarnsystem (VESDA) reagiert bereits bei geringer Überschreitung definierter Grenzwerte, um größere Schäden zu verhindern.
• Die Brandmeldeanlage verfügt über eine direkte Aufschaltung bei der örtlichen Feuerwehr.
• Die Gebäudeaussenhaut ist zudem mittels Überspannungsschutz gegen Blitzschlag abgesichert.
• Sollte es wider Erwarten zu einer Rauchentwicklung oder gar einem Brand kommen, flutet die aufwendige Feuerbekämpfungsanlage mit 150fachen Luftdruck das Data Center innerhalb von nur 60 Sekunden vollständig mit dem Löschgas Argon. Hierbei bleibt das Equipment im Data Center vollkommen unbeschädigt.
• Klimaanlage
• Geräte zur Überwachung der Temperatur und Feuchtigkeit in den Data Centern

Standort Straßburg

In dem Rechenzentrum in Straßburg besteht eine unterbrechungsfreie Stromversorgung (USV) sowie ein Überspannungsschutz. Ebenso ist ein Branderkennungs- und Frühwarnsystem implementiert. Das Löschsystem ist auf eine möglichst zerstörungsfreie Brandbekämpfung ausgelegt.

Mass Hosting, unmanaged-Systeme

• Bezüglich Firewalls können bei unmanaged-Produkten optional Firewalls gebucht werden. Die Verantwortung für die Verwaltung und Überwachung obliegt dem Kunden.
• Virenschutz auf Kundensystemen obliegt der Verantwortung des Kunden.
• Außer bei Dedicated Servern (gegen Aufpreis möglich) finden Backups in einen anderen Brandabschnitt oder ein anderes Data Center statt. Die Vorhaltezeit beträgt mindestens sieben Tage.
• Bei Dedicated Servern muss der Kunde dies eigenständig im VPS Windows im PowerPanel einrichten. Bei allen anderen Produkten übernimmt dies automatisch Host Europe.

Mass Hosting, managed-Systeme

• Bei managed-Produkten ist die CIN GmbH für das gesamte Backup verantwortlich. Die Vorhaltezeit beträgt mindestens 14 Tage.
• CIN GmbH gewährleistet bei Webpack-Produkten ein OffSite-Backup in ein anderes Data Center.
• Bei den Produkten ePages, OpenExchange und Webbuilder findet ausschließlich ein lokales Backup im Produktivrechenzentrum statt.

7. Datentrennungskontrolle (zweckbezogen)

Allgemein

• Bitte sehen Sie dazu unsere Ausführungen zum Zugang und Zugriff.

Kontrollziele

bezüglich Umgang mit personenbezogenen Daten Maßnahmen

Zielbeschreibung: Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. - Grundsätzlich liegt eine physikalische oder logische Trennung einzelner Kundensysteme vor.

• Es existiert ein Berechtigungskonzept auf den Systemen

8. Auftragskontrolle

Zielbeschreibung: Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Allgemein

• Bitte sehen Sie dazu unsere Ausführungen zum Zugang und Zugriff.
• Verpflichtung der Mitarbeiter auf das Datengeheimnis gemäß §5 BDSG
• Die CIN GmbH hat einen externen Datenschutzbeauftragten formal bestellt.
• Die Auftraggeber erhalten bei der CIN GmbH im Rahmen der Auftragsdatenverarbeitung ein Kontrollrecht.
• Sofern die CIN GmbH Subunternehmen mit Aufgaben betraut, gelten für diesen die gleichen Regelungen und Bestimmungen wie für die CIN GmbH selbst.