> zurück zur Hauptseite

Datenschutz-Grundverordnung DSGVO

EU Datenschutz-Grundverordnung (DSGVO)

                             (Gültigkeit ab 25. Mai 2018)

Impressum:

Herbert Rubarth

Christ-König-Weg 5

D-58710 Menden (Sauerland)

Mail: herbert.rubarth (@) dokom.net

_____________________________________________________________________________

Web-Hosting Betreiber *:

STRATO AG (Deutschland)

Pascalstraße 10

D-10587 Berlin

www.strato.de

_____________________________________________________________________________

Einige Hinweise zur EU Datenschutz-Grundverordnung (gültig ab dem 25. Mai 2018) in Bezug auf die nachfolgend angeführten Internetseiten, des im Impressum angegebenen Homepage Betreibers:

                                        www.alpenbahnen.net

Da es sich auf den oben bezeichneten Internetangeboten, mit der Hauptseite www.alpenbahnen.net  um eine ausschließlich Privat betriebene Homepage handelt, die keinen kommerziellen Hintergrund verfolgt, sind lt. der DSGVO auch keine weiterführenden Maßnahmen erforderlich (DSGVO, Artikel 28, Absatz 3 Datenschutz-Grundverordnung).

Es werden vom Betreiber dieser Internetseite (inkl. den oben benannten Unterseiten) keine personenbezogenen Daten gesammelt, oder verarbeitet.

Für die auf dieser Homepage angebotenen Links gilt die DSGVO der jeweiligen Internetseiten Betreiber.

* Mit der Firma STRATO in Berlin (siehe Adresse unterhalb des Impressum des Web-Masters dieser Seite), als Web-Hosting Betreiber dieses Internet Angebotes wurde eine Vereinbarung zur Auftragsverarbeitung, gemäß DSGVO, Artikel 28, Absatz 3 am 22. Mai 2018 geschlossen. Diese Vereinbarung umfasst die Hauptseite www.alpenbahnen.net  sowie die oben bezeichneten Unterseiten des Betreibers dieser Homepage.

Diese Vereinbarung zwischen dem Betreiber dieser Web-Seite und der Firma STRATO (Berlin) ist in der Anlage 1 (auf dieser Seite) einzusehen.

Menden, den 23. Mai 2018

gez. Herbert Rubarth (Web-Master dieser Seite, inkl. der jeweiligen Unterseiten/ siehe oben)

>> Letzte Aktualisierung dieser Seite:

- 18. August 2018

**********************************************************************************

>>Anlage 1: Vereinbarung zur Auftragsverarbeitung (Standard Vertrag mit der STRATO AG (Berlin) vom 22. Mai 2018

www.nikon.de
Adobe Photoshop CS 2
get_adobe_reader1

Vereinbarung zur Auftragsverarbeitung (STRATO AG / Berlin)

Nach Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO). 

Version 3.0 

zwischen

Herbert, Rubarth 
Christ-König-Weg 5
58710 Menden (Sauerland)

als Auftraggeber
nachfolgend Auftraggeber

und

STRATO AG
Pascalstraße 10
10587 Berlin

als Auftragnehmer
- nachfolgend Auftragnehmer

1. Gegenstand und Dauer der Verarbeitung 
1.1. Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gemäß Auftrag, Leistungsbeschreibung und AGB (nachfolgend Hauptvertrag), soweit eine Verarbeitung von personenbezogenen Daten durch den Auftragnehmer als Auftragsverarbeiter für den Auftraggeber gemäß Art. 28 DSGVO erfolgt.

Dies umfasst alle  Tätigkeiten, die der Auftragnehmer zur Erfüllung des Auftrags erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Auftrag nicht ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.
1.2. Die Dauer der Verarbeitung entspricht der im Auftrag vereinbarten Laufzeit.

2. Art und Zweck der Verarbeitung
2.1. Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO zur Erfüllung des Auftrags.

2.2. Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung im Bereich Cloud-Dienstleistungen, Hosting, Software Service (SaaS) und IT-Support erforderlichen Zwecke.

3. Art der personenbezogenen Daten und Kategorien von Betroffenen 
3.1. Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten. 

3.2. Die  Kategorien von Betroffenen bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten. 

4. Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen 
4.1. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich  (Verantwortlicher) im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im  Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung.

4.2. Die Weisungen  werden anfänglich durch den Hauptvertrag festgelegt und können vom  Auftraggeber danach in schriftlicher Form oder in einem elektronischen  Format (Textform) durch einzelne Weisungen geändert werden (Einzelweisung). Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Weisungen, die im Vertrag nicht vorgesehen  sind, werden als Antrag auf Leistungsänderung behandelt. Bei Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist dem Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden. Eine  Unzumutbarkeit liegt insbesondere vor, wenn die Leistungen in einer Infrastruktur erbracht werden, die von mehreren Auftraggebern / Kunden  des Auftragnehmers genutzt wird (Shared Services), und eine Änderung der Verarbeitung für einzelne Auftraggeber nicht maßgeblich oder nicht  zumutbar ist.

4.3. Die vertraglich vereinbarte Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, soweit nicht etwas anderes vereinbart ist, z.B. über die Produktbeschreibung der beauftragten Leistung .

4.4. Ist Vertragsbestandteil die Registrierung von Domains bei Registrierungsstellen, die ihren Sitz in einem Drittland haben  (außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums), ist auch vereinbart, dass der Auftragnehmer personenbezogene Daten-unter Beachtung der zwingend anwendbaren  Vorschriften an diese Registrierungsstellen übermittelt.

4.5. Die Parteien vereinbaren außerdem, dass der Auftragnehmer berechtigt ist, personenbezogene Daten-unter Beachtung der zwingend anwendbaren Vorschriften zur Leistungserbringung in einem Drittland zu übermitteln. Dies ist insbesondere der Fall, wenn Auftragsgegenstand der Dienst eines Drittanbieters ist, der diesen Dienst ganz oder teilweise in einem Drittland erbringt.

5. Rechte des Auftraggebers, Pflichten des Auftragnehmers
5.1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor (Verpflichtung nach dem Recht der Europäischen Union  oder eines Mitgliedstaates). Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

5.2. Der Auftragnehmer unterstützt angesichts der Art der Verarbeitung nach Möglichkeit den Auftraggeber mit geeigneten technischen und  organisatorischen Maßnahmen bei der Erfüllung der Ansprüche der betroffenen Personen nach Kapitel III der DSGVO. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen.

5.3. Der  Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der  Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen  bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten  Pflichten. Der Auftragnehmer ist berechtigt, für diese Leistungen eine  angemessene Vergütung vom Auftraggeber zu verlangen.

5.4. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der  Daten des Auftraggebers befassten Mitarbeiter und anderen für den  Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der  Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass  sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen  gesetzlichen Verschwiegenheitspflicht unterliegen. Gleiches gilt für das Fernmeldegeheimnis nach § 88 TKG und in Kenntnis der Strafbarkeit für die Wahrung von Geheimnissen der Berufsgeheimnisträger nach § 203  StGB. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach  Beendigung des Auftrages fort.

5.5.  Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers  bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung maßgeblicher nachteiliger Folgen  für die betroffenen Personen.

5.6.  Der Auftragnehmer gewährleistet die schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Eine Kontaktmöglichkeit wird auf der Webseite des Auftragnehmers veröffentlicht.

5.7. Nach Abschluss  der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt  sie dem Kunden zurück, sofern nicht nach dem Unionsrecht oder nach dem  anwendbaren Recht eines Mitgliedstaates eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht oder sich aus jeweiligen vertraglichen Vereinbarungen etwas anderes ergibt. Macht der Auftraggeber von diesem Wahlrecht keinen Gebrauch, gilt die Löschung als vereinbart. Wählt der Auftraggeber die Rückgabe, kann der Auftragnehmer eine angemessene Vergütung verlangen.

5.8. Machen betroffene Person Schadensersatzansprüche nach Art. 82 DSGVO  geltend, unterstützt der Auftragnehmer den Auftraggeber bei der Abwehr  der Ansprüche im Rahmen seiner Möglichkeiten. Der Auftragnehmer kann hierfür eine angemessene Vergütung verlangen.

6. Pflichten des Auftraggebers
6.1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Durchführung des Auftrags Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt. 

6.2. Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen Daten vor Vertragsbeendigung zu löschen, die er in den Diensten gespeichert hat.

6.3. Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner in Datenschutzangelegenheiten. 

7. Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO 
7.1. Der Auftragnehmer ergreift in seinem Verantwortungsbereich geeignete technische und organisatorische Maßnahmen, um sicher zu stellen, dass  die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person  gewährleistet. Der Auftragnehmer ergreift in seinem  Verantwortungsbereich gemäß Art. 32 DSGVO geeignete technische und  organisatorische Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.

7.2. Die aktuellen technischen und organisatorischen Maßnahmen sind im Anhang 2 aufgeführt.

7.3. Der Auftragnehmer betreibt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 lit. d) DSGVO.

7.4. Der Auftragnehmer  passt die getroffenen Maßnahmen im Laufe der Zeit an die Entwicklungen  beim Stand der Technik und die Risikolage an. Eine Ãnderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, sofern das Schutzniveau nach Art 32 DSGVO nicht unterschritten wird.

8. Nachweis und Überprüfung
8.1. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO  niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen - einschließlich Inspektionen -, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und trägt dazu bei. Der Auftragnehmer ist berechtigt, eine Verschwiegenheitserklärung vom Auftraggeber und von dessen beauftragten Prüfer zu verlangen. Der  Auftragnehmer stimmt der Benennung eines unabhängigen externen Prüfers  durch den Auftraggeber zu, sofern der Auftraggeber dem Auftragnehmer eine Kopie des Auditätbericht zur Verfügung stellt. Wettbewerber des  Auftraggebers oder Personen, die für Wettbewerber des Auftraggebers tätig sind, kann der Auftragnehmer als Prüfer ablehnen.

8.2. Als Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten reicht dem Auftraggeber die vorliegende Zertifizierung nach  ISO 27001 aus. Das jeweils aktuelle Zertifikat stellt der Auftragnehmer auf seiner Webseite zur Verfügung.

8.3. Das Inspektionsrecht des Auftraggebers hat das Ziel, die Einhaltung der einem Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO und  dieses Vertrages zu überprüfen. Der Nachweis der Einhaltung dieser  Pflichten wird durch die Zertifizierung nach vorstehendem Absatz  erbracht. Sofern der Auftraggeber auf Basis tatsächlicher Anhaltspunkte  berechtigte Zweifel daran geltend macht, dass diese Zertifizierungen  zureichend oder zutreffend sind, oder besondere Vorfälle im Sinne von  Art. 33 Abs. 1 DSGVO im Zusammenhang mit der Durchführung der Auftragsverarbeitung für den Auftraggeber dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen. Diese können zu den üblichen  Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt werden.

8.4. Für Informationen und Unterstützungshandlungen kann der Auftragnehmer eine angemessene Vergütung verlangen. Der Aufwand für den Auftragnehmer durch eine Inspektion ist grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.

8.5. Sollte eine  Datenschutzaufsichtsbehörde oder eine sonstige staatliche oder kirchliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gelten die vorstehenden Regeln entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese  Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem  Strafgesetzbuch strafbewehrt ist. 

9. Subunternehmer (weitere Auftragsverarbeiter) 
9.1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DSGVO zur  Vertragserfüllung einzusetzen.

9.2.  Die aktuell eingesetzten weiteren Auftragsverarbeiter sind im Anhang 1 aufgeführt. Der Auftraggeber erklärt sich mit deren Einsatz einverstanden.

9.3. Der Auftragnehmer informiert den Auftraggeber, wenn er eine Änderung in Bezug auf die  Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben.

9.4. Der Einspruch gegen  die beabsichtigte Änderung kann nur aus einem wichtigen  datenschutzrechtlichen Grund innerhalb einer angemessenen Frist nach Zugang der Information über die Änderung gegenüber dem Auftragnehmer erhoben werden. Im Fall des Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder-sofern die Erbringung der Leistung ohne die beabsichtigte Änderung für den Auftragnehmer nicht zumutbar ist -die von der Änderung betroffene Leistung gegenüber dem Auftraggeber innerhalb einer angemessenen Frist nach Zugang des Einspruchs einstellen.

9.5. Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren Auftragsverarbeiter zu übertragen.

9.6. Als weitere Auftragsverarbeiter im Sinne dieser Regelung sind nur solche Subunternehmer zu verstehen, die Dienstleistungen erbringen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht  hierzu gehören solche Nebenleistungen, die sich auf Telekommunikationsleistungen, Druck-/Post-/Transportdienstleistungen, Wartung und Pflege, Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der personenbezogenen Daten, Netze, Dienste, Datenverarbeitungsanlagen und sonstiger IT-Systeme, beziehen. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit in Bezug auf die Daten des  Auftraggebers auch bei solchen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

10. Haftung und Schadensersatz 
10.1. Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person nach Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des  zugrundeliegenden Sachverhalts beizutragen.

10.2. Die zwischen den Parteien im Hauptvertrag zur Leistungserbringung  vereinbarte Haftungsregelung gilt auch für Ansprüche aus dieser Vereinbarung zur Auftragsverarbeitung und im Innenverhältnis zwischen den Parteien für Ansprüche Dritter nach Art 82 DSGVO, außer soweit  ausdrücklich etwas anderes vereinbart ist.

11. Vertragslaufzeit, Sonstiges
11.1. Die Vereinbarung beginnt mit dem Abschluss durch den Kunden. Sie endet mit Ende des letzten Vertrages unter der dessen Kundennummer. Sollte eine Auftragsverarbeitung noch nach Beendigung dieses Vertrages stattfinden, gelten die Regelungen dieser Vereinbarungen bis zum tatsächlichen Ende  der Verarbeitung.

11.2. STRATO kann die Vereinbarung nach billigem Ermessen mit angemessener Ankündigungsfrist ändern. Es gilt Ziffer 1.4 AGB.

11.3. Ergänzend gelten die AGB des Auftragnehmers, abrufbar unter  https://www.strato.de/agb/. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zur Auftragsverarbeitung den Regelungen des Hauptvertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berährt dies die Wirksamkeit der Vereinbarungen im übrigen nicht.

11.4. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist Berlin. Dieser gilt vorbehaltlich eines etwaigen ausschließlich gesetzlichen Gerichtsstandes. Dieser Vertrag unterliegt den gesetzlichen Bestimmungen der Bundesrepublik Deutschland.

11.5. Sollten die Daten  des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme,  durch ein Insolvenz-oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlicher im Sinne der DSGVO liegen. 
 

Anhang 1 zur Vereinbarung zur Auftragsverarbeitung - Genehmigte Subunternehmer / weitere Auftragsverarbeiter

Stand 21.03.2018

Subunternehmer

Land

Adresse

Kurzbeschreibung der Leistung

Content Management AG

Deutschland

Im Medienpark 6, 50670 Köln

Entwicklung, Wartung und Pflege des Hompagebaukastens

ePages GmbH

Deutschland

Pilatuspool 2, 20355 Hamburg

Entwicklung, Wartung und Pflege der Webshops

Open-Xchange GmbH

Deutschland

Martinstraße 41, 57462 Olpe

Entwicklung, Wartung und Pflege des Communicators

1&1 Internet SE

Deutschland

Elgendorfer Straße 7, 56410 Montabaur

Entwicklung und Betrieb der STRATO Online Buchhaltung

Seven IT GmbH

Deutschland

SevenIT Hauptstrasse 40, 77652 Offenburg

Betrieb und Support der STRATO Online Buchhaltung

Anhang 2 zur Vereinbarung zur Auftragsverarbeitung - Technische und Organisatorische Sicherheitsmaßnahmen gemäß Art 32 DSGVO

Version 1.0

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO) 

1.1 Zutrittskontrolle
Unbefugten ist der Zutritt zu Räumen zu verwehren, in denen Datenverarbeitungsanlagen untergebracht sind.
Festlegung von Sicherheitsbereichen
- Realisierung eines wirksamen Zutrittsschutzes
- Protokollierung des Zutritts
- Festlegung Zutrittsberechtigter Personen
- Verwaltung von personengebundenen Zutrittsberechtigungen
- Begleitung von Fremdpersonal
- Überwachung der Räume

1.2 Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden.
- Festlegung des Schutzbedarfs
- Zugangsschutz
- Umsetzung sicherer Zugangsverfahren, starke Authentisierung
- Umsetzung einfacher Authentisierung per Username Passwort
- Protokollierung des Zugangs
- Monitoring bei kritischen IT-Systemen
- Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen
- Sperrung bei Fehlversuchen/Inaktivität und Prozess zur Rücksetzung gesperrter Zugangskennungen
- Verbot Speicherfunktion für Passwörter und/oder Formulareingaben (Server/Clients)
- Festlegung befugter Personen
- Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien und Zugangsberechtigungen
- Automatische Zugangssperre und Manuelle Zugangssperre

1.3 Zugriffskontrolle
Es kann nur auf die Daten zugegriffen, für die eine Zugriffsberechtigung  besteht. Daten können bei der Verarbeitung, Nutzung und nach der  Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt  werden.
- Erstellen eines Berechtigungskonzepts
- Umsetzung von Zugriffsbeschränkungen
- Vergabe minimaler Berechtigungen
- Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen
- Vermeidung der Konzentration von Funktionen

1.4 Verwendungszweckkontrolle
Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
- Datensparsamkeit im Umgang mit personenbezogenen Daten
- Getrennte Verarbeitung verschiedener Datensätze
- Regelmäßige Verwendungszweckkontrolle und Löschung
- Trennung von Test- und Entwicklungsumgebung

1.5 datenschutzfreundliche Voreinstellungen
- Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich  sind, werden die technischen Voreinstellungen so festgelegt, dass Daten nur durch eine Aktion der Betroffenen Person erhoben, verarbeitet, weitergegeben oder veröffentlicht werden.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO) 
2.1 Weitergabekontrolle
Ziel der Weitergabekontrolle ist es, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung  vorgesehen ist.
- Festlegung empfangs- /weitergabeberechtigter Instanzen/Personen
- Prüfung der Rechtmäßigkeit der Übermittlung ins Ausland
- Protokollierung von Übermittlungen gemäß Protokollierungskonzept
- Sichere Datenübertragung zwischen Server und Client
- Sichere Übertragung zu externen Systemen
- Risikominimierung durch Netzseparierung
- Implementation von Sicherheitsgateways an den Netzübergabepunkten
- Härtung der Backendsysteme
- Beschreibung der Schnittstellen
- Umsetzung einer Maschine-Maschine-Authentisierung
- Sichere Ablage von Daten, inkl. Backups
- Gesicherte Speicherung auf mobilen Datenträgern
- Einführung eines Prozesses zur Datenträgerverwaltungen
- Prozess zur Sammlung und Entsorgung
- Datenschutzgerechter Lösch-und Zerstörungsverfahren
- Führung von Löschprotokollen

2.2 Eingabekontrolle
Zweck der Eingabekontrolle ist es, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
- Protokollierung der Eingaben
- Dokumentation der Eingabeberechtigungen

3. Verfügbarkeit, Belastbarkeit, Desaster Recovery 
 3.1 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Brandschutz
- Redundanz der Primärtechnik
- Redundanz der Stromversorgung
- Redundanz der Kommunikationsverbindungen
- Monitoring
- Resourcenplanung und Bereitstellung
- Abwehr von systembelastendem Missbrauch
- Datensicherungskonzepte und Umsetzung
- Regelmäige Prüfung der Notfalleinrichtungen

3.2 Desaster Recovery Rasche Wiederherstellung nach Zwischenfall Zwischenfall (Art. 32 Abs. 1 lit. c DSGVO)
- Notfallplan
- Datensicherungskonzepte und Umsetzung

4. Datenschutzorganisation
- Festlegung von Verantwortlichkeiten
- Umsetzung und Kontrolle geeigneter Prozesse
- Melde- und Freigabeprozess
- Umsetzung von Schulungsmaßnahmen
- Verpflichtung auf Vertraulichkeit 
- Regelungen zur internen Aufgabenverteilung
- Beachtung von Funktionstrennung und Zuordnung
- Einführung einer geeigneten Vertreterregelung

5. Auftragskontrolle 
Ziel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
- Auswahl weiterer Auftragnehmer nach geeigneten Garantien
- Abschluss einer Vereinbarung zur Auftragsverarbeitung mit STRATO

6. Verfahren zur regelmäigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
- Informationssicherheitsmanagement nach ISO 27001
- Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen
- Prozess Sicherheitsvorfall-Management
- Durchführung von technischen Überprüfungen

Am 22.05.2018 wurde erfolgreich eine Vereinbarung zur Auftragsverarbeitung mit der STRATO AG in Berlin abgeschlossen.

*******************************ende*********************************************

01. Dez. 2018

BuiltWithNOF
www.alpenbahnen

Datenschutzerklärung (Link)

Datenschutz-Grundverordnung DSGVO2
[BAHNsplitter] [Brohltalbahn (1)] [Brohltalbahn (2)] [Schw. Alb Bahn] [Harzquerbahn] [Selketalbahn] [Thüringerwaldb.] [Oberweißb. Berg.] [Döllnitzbahn] [Weißeritztalbahn] [Lößnitzgrundb.] [Preßnitztalbahn] [Fichtelbergbahn] [Zittauer Netz] [Naumburg Strab.] [Woltersdorf. Stb.] [Rüdersdorf. Stb] [>Datenschutz<]