Datenschutzerklärung

Inhaltsverzeichnis

• Einleitung und Überblick
• Anwendungsbereich
• Rechtsgrundlagen
• Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten
• Speicherdauer
• Rechte laut Datenschutz-Grundverordnung
• Sicherheit der Datenverarbeitung
• Kommunikation
• Cookies
• Webhosting Einleitung
• Website Baukastensysteme Einleitung
• Security & Anti-Spam
• Schlusswort

Einleitung und Überblick

Wir haben diese Datenschutzerklärung (Fassung 26.01.2024-312708185) verfasst, um Ihnen gemäß der Vorgaben der Datenschutz-Grundverordnung (EU) 2016/679 und anwendbaren nationalen Gesetzen zu erklären, welche personenbezogenen Daten (kurz Daten) wir als Verantwortliche – und die von uns beauftragten Auftragsverarbeiter (z. B. Provider) – verarbeiten, zukünftig verarbeiten werden und welche rechtmäßigen Möglichkeiten Sie haben. Die verwendeten Begriffe sind geschlechtsneutral zu verstehen.
Kurz gesagt: Wir informieren Sie umfassend über Daten, die wir über Sie verarbeiten.

Datenschutzerklärungen klingen für gewöhnlich sehr technisch und verwenden juristische Fachbegriffe. Diese Datenschutzerklärung soll Ihnen hingegen die wichtigsten Dinge so einfach und transparent wie möglich beschreiben. Soweit es der Transparenz förderlich ist, werden technische Begriffe leserfreundlich erklärt, Links zu weiterführenden Informationen geboten und Grafiken zum Einsatz gebracht. Wir informieren damit in klarer und einfacher Sprache, dass wir im Rahmen unserer Geschäftstätigkeiten nur dann personenbezogene Daten verarbeiten, wenn eine entsprechende gesetzliche Grundlage gegeben ist. Das ist sicher nicht möglich, wenn man möglichst knappe, unklare und juristisch-technische Erklärungen abgibt, so wie sie im Internet oft Standard sind, wenn es um Datenschutz geht. Ich hoffe, Sie finden die folgenden Erläuterungen interessant und informativ und vielleicht ist die eine oder andere Information dabei, die Sie noch nicht kannten.
Wenn trotzdem Fragen bleiben, möchten wir Sie bitten, sich an die unten bzw. im Impressum genannte verantwortliche Stelle zu wenden, den vorhandenen Links zu folgen und sich weitere Informationen auf Drittseiten anzusehen. Unsere Kontaktdaten finden Sie selbstverständlich auch im Impressum.

Anwendungsbereich

Diese Datenschutzerklärung gilt für alle von uns im Unternehmen verarbeiteten personenbezogenen Daten und für alle personenbezogenen Daten, die von uns beauftragte Firmen (Auftragsverarbeiter) verarbeiten. Mit personenbezogenen Daten meinen wir Informationen im Sinne des Art. 4 Nr. 1 DSGVO wie zum Beispiel Name, E-Mail-Adresse und postalische Anschrift einer Person. Die Verarbeitung personenbezogener Daten sorgt dafür, dass wir unsere Dienstleistungen und Produkte anbieten und abrechnen können, sei es online oder offline. Der Anwendungsbereich dieser Datenschutzerklärung umfasst:

• alle Onlineauftritte (Websites, Onlineshops), die wir betreiben
• Social Media Auftritte und E-Mail-Kommunikation
• mobile Apps für Smartphones und andere Geräte

Kurz gesagt: Die Datenschutzerklärung gilt für alle Bereiche, in denen personenbezogene Daten im Unternehmen über die genannten Kanäle strukturiert verarbeitet werden. Sollten wir außerhalb dieser Kanäle mit Ihnen in Rechtsbeziehungen eintreten, werden wir Sie gegebenenfalls gesondert informieren.

Rechtsgrundlagen

In der folgenden Datenschutzerklärung geben wir Ihnen transparente Informationen zu den rechtlichen Grundsätzen und Vorschriften, also den Rechtsgrundlagen der Datenschutz-Grundverordnung, die uns ermöglichen, personenbezogene Daten zu verarbeiten.
Was das EU-Recht betrifft, beziehen wir uns auf die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016. Diese Datenschutz-Grundverordnung der EU können Sie selbstverständlich online auf EUR-Lex, dem Zugang zum EU-Recht, unter https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=celex%3A32016R0679 nachlesen.

Wir verarbeiten Ihre Daten nur, wenn mindestens eine der folgenden Bedingungen zutrifft:

1. Einwilligung (Artikel 6 Absatz 1 lit. a DSGVO): Sie haben uns Ihre Einwilligung gegeben, Daten zu einem bestimmten Zweck zu verarbeiten. Ein Beispiel wäre die Speicherung Ihrer eingegebenen Daten eines Kontaktformulars.
2. Vertrag (Artikel 6 Absatz 1 lit. b DSGVO): Um einen Vertrag oder vorvertragliche Verpflichtungen mit Ihnen zu erfüllen, verarbeiten wir Ihre Daten. Wenn wir zum Beispiel einen Kaufvertrag mit Ihnen abschließen, benötigen wir vorab personenbezogene Informationen.
3. Rechtliche Verpflichtung (Artikel 6 Absatz 1 lit. c DSGVO): Wenn wir einer rechtlichen Verpflichtung unterliegen, verarbeiten wir Ihre Daten. Zum Beispiel sind wir gesetzlich verpflichtet Rechnungen für die Buchhaltung aufzuheben. Diese enthalten in der Regel personenbezogene Daten.
4. Berechtigte Interessen (Artikel 6 Absatz 1 lit. f DSGVO): Im Falle berechtigter Interessen, die Ihre Grundrechte nicht einschränken, behalten wir uns die Verarbeitung personenbezogener Daten vor. Wir müssen zum Beispiel gewisse Daten verarbeiten, um unsere Website sicher und wirtschaftlich effizient betreiben zu können. Diese Verarbeitung ist somit ein berechtigtes Interesse.

Weitere Bedingungen wie die Wahrnehmung von Aufnahmen im öffentlichen Interesse und Ausübung öffentlicher Gewalt sowie dem Schutz lebenswichtiger Interessen treten bei uns in der Regel nicht auf. Soweit eine solche Rechtsgrundlage doch einschlägig sein sollte, wird diese an der entsprechenden Stelle ausgewiesen.

Zusätzlich zu der EU-Verordnung gelten auch noch nationale Gesetze:

• In Österreich ist dies das Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz), kurz DSG.
• In Deutschland gilt das Bundesdatenschutzgesetz, kurz BDSG.

Sofern weitere regionale oder nationale Gesetze zur Anwendung kommen, informieren wir Sie in den folgenden Abschnitten darüber.

Kontaktdaten des Verantwortlichen

Sollten Sie Fragen zum Datenschutz oder zur Verarbeitung personenbezogener Daten haben, finden Sie nachfolgend die Kontaktdaten der verantwortlichen Person bzw. Stelle:

Impressum: https://www.zinergie.de/impressum/

Kontaktdaten des Datenschutzbeauftragten

Nachfolgend finden Sie die Kontaktdaten des Datenschutzbeauftragten:

Speicherdauer

Dass wir personenbezogene Daten nur so lange speichern, wie es für die Bereitstellung unserer Dienstleistungen und Produkte unbedingt notwendig ist, gilt als generelles Kriterium bei uns. Das bedeutet, dass wir personenbezogene Daten löschen, sobald der Grund für die Datenverarbeitung nicht mehr vorhanden ist. In einigen Fällen sind wir gesetzlich dazu verpflichtet, bestimmte Daten auch nach Wegfall des ursprüngliches Zwecks zu speichern, zum Beispiel zu Zwecken der Buchführung.

Sollten Sie die Löschung Ihrer Daten wünschen oder die Einwilligung zur Datenverarbeitung widerrufen, werden die Daten so rasch wie möglich und soweit keine Pflicht zur Speicherung besteht, gelöscht.

Über die konkrete Dauer der jeweiligen Datenverarbeitung informieren wir Sie weiter unten, sofern wir weitere Informationen dazu haben.

Rechte laut Datenschutz-Grundverordnung

Gemäß Artikel 13, 14 DSGVO informieren wir Sie über die folgenden Rechte, die Ihnen zustehen, damit es zu einer fairen und transparenten Verarbeitung von Daten kommt:

• Sie haben laut Artikel 15 DSGVO ein Auskunftsrecht darüber, ob wir Daten von Ihnen verarbeiten. Sollte das zutreffen, haben Sie Recht darauf eine Kopie der Daten zu erhalten und die folgenden Informationen zu erfahren:
  • zu welchem Zweck wir die Verarbeitung durchführen;
  • die Kategorien, also die Arten von Daten, die verarbeitet werden;
  • wer diese Daten erhält und wenn die Daten an Drittländer übermittelt werden, wie die Sicherheit garantiert werden kann;
  • wie lange die Daten gespeichert werden;
  • das Bestehen des Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung und dem Widerspruchsrecht gegen die Verarbeitung;
  • dass Sie sich bei einer Aufsichtsbehörde beschweren können (Links zu diesen Behörden finden Sie weiter unten);
  • die Herkunft der Daten, wenn wir sie nicht bei Ihnen erhoben haben;
  • ob Profiling durchgeführt wird, ob also Daten automatisch ausgewertet werden, um zu einem persönlichen Profil von Ihnen zu gelangen.
• Sie haben laut Artikel 16 DSGVO ein Recht auf Berichtigung der Daten, was bedeutet, dass wir Daten richtig stellen müssen, falls Sie Fehler finden.
• Sie haben laut Artikel 17 DSGVO das Recht auf Löschung („Recht auf Vergessenwerden“), was konkret bedeutet, dass Sie die Löschung Ihrer Daten verlangen dürfen.
• Sie haben laut Artikel 18 DSGVO das Recht auf Einschränkung der Verarbeitung, was bedeutet, dass wir die Daten nur mehr speichern dürfen aber nicht weiter verwenden.
• Sie haben laut Artikel 20 DSGVO das Recht auf Datenübertragbarkeit, was bedeutet, dass wir Ihnen auf Anfrage Ihre Daten in einem gängigen Format zur Verfügung stellen.
• Sie haben laut Artikel 21 DSGVO ein Widerspruchsrecht, welches nach Durchsetzung eine Änderung der Verarbeitung mit sich bringt.
  • Wenn die Verarbeitung Ihrer Daten auf Artikel 6 Abs. 1 lit. e (öffentliches Interesse, Ausübung öffentlicher Gewalt) oder Artikel 6 Abs. 1 lit. f (berechtigtes Interesse) basiert, können Sie gegen die Verarbeitung Widerspruch einlegen. Wir prüfen danach so rasch wie möglich, ob wir diesem Widerspruch rechtlich nachkommen können.
  • Werden Daten verwendet, um Direktwerbung zu betreiben, können Sie jederzeit gegen diese Art der Datenverarbeitung widersprechen. Wir dürfen Ihre Daten danach nicht mehr für Direktmarketing verwenden.
  • Werden Daten verwendet, um Profiling zu betreiben, können Sie jederzeit gegen diese Art der Datenverarbeitung widersprechen. Wir dürfen Ihre Daten danach nicht mehr für Profiling verwenden.
• Sie haben laut Artikel 22 DSGVO unter Umständen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung (zum Beispiel Profiling) beruhenden Entscheidung unterworfen zu werden.
• Sie haben laut Artikel 77 DSGVO das Recht auf Beschwerde. Das heißt, Sie können sich jederzeit bei der Datenschutzbehörde beschweren, wenn Sie der Meinung sind, dass die Datenverarbeitung von personenbezogenen Daten gegen die DSGVO verstößt.

Kurz gesagt: Sie haben Rechte – zögern Sie nicht, die oben gelistete verantwortliche Stelle bei uns zu kontaktieren!

Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche in sonst einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. Diese ist für Österreich die Datenschutzbehörde, deren Website Sie unter https://www.dsb.gv.at/ finden. In Deutschland gibt es für jedes Bundesland einen Datenschutzbeauftragten. Für nähere Informationen können Sie sich an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) wenden. Für unser Unternehmen ist die folgende lokale Datenschutzbehörde zuständig:

Bayern Datenschutzbehörde

Landesbeauftragter für Datenschutz: Prof. Dr. Thomas Petri
Adresse: Wagmüllerstr. 18, 80538 München
Telefonnr.: 089/21 26 72-0
E-Mail-Adresse: poststelle@datenschutz-bayern.de
Website: https://www.datenschutz-bayern.de/

Sicherheit der Datenverarbeitung

Um personenbezogene Daten zu schützen, haben wir sowohl technische als auch organisatorische Maßnahmen umgesetzt. Wo es uns möglich ist, verschlüsseln oder pseudonymisieren wir personenbezogene Daten. Dadurch machen wir es im Rahmen unserer Möglichkeiten so schwer wie möglich, dass Dritte aus unseren Daten auf persönliche Informationen schließen können.

Art. 25 DSGVO spricht hier von “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” und meint damit, dass man sowohl bei Software (z. B. Formularen) also auch Hardware (z. B. Zugang zum Serverraum) immer an Sicherheit denkt und entsprechende Maßnahmen setzt. Im Folgenden gehen wir, falls erforderlich, noch auf konkrete Maßnahmen ein.

TLS-Verschlüsselung mit https

TLS, Verschlüsselung und https klingen sehr technisch und sind es auch. Wir verwenden HTTPS (das Hypertext Transfer Protocol Secure steht für „sicheres Hypertext-Übertragungsprotokoll“), um Daten abhörsicher im Internet zu übertragen.
Das bedeutet, dass die komplette Übertragung aller Daten von Ihrem Browser zu unserem Webserver abgesichert ist – niemand kann “mithören”.

Damit haben wir eine zusätzliche Sicherheitsschicht eingeführt und erfüllen den Datenschutz durch Technikgestaltung (Artikel 25 Absatz 1 DSGVO). Durch den Einsatz von TLS (Transport Layer Security), einem Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet, können wir den Schutz vertraulicher Daten sicherstellen.
Sie erkennen die Benutzung dieser Absicherung der Datenübertragung am kleinen Schlosssymbol links oben im Browser, links von der Internetadresse (z. B. beispielseite.de) und der Verwendung des Schemas https (anstatt http) als Teil unserer Internetadresse.
Wenn Sie mehr zum Thema Verschlüsselung wissen möchten, empfehlen wir die Google Suche nach “Hypertext Transfer Protocol Secure wiki” um gute Links zu weiterführenden Informationen zu erhalten.

Kommunikation

Kommunikation Zusammenfassung 👥 Betroffene: Alle, die mit uns per Telefon, E-Mail oder Online-Formular kommunizieren 📓 Verarbeitete Daten: z. B. Telefonnummer, Name, E-Mail-Adresse, eingegebene Formulardaten. Mehr Details dazu finden Sie bei der jeweils eingesetzten Kontaktart 🤝 Zweck: Abwicklung der Kommunikation mit Kunden, Geschäftspartnern usw. 📅 Speicherdauer: Dauer des Geschäftsfalls und der gesetzlichen Vorschriften ⚖️ Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen)

Wenn Sie mit uns Kontakt aufnehmen und per Telefon, E-Mail oder Online-Formular kommunizieren, kann es zur Verarbeitung personenbezogener Daten kommen.

Die Daten werden für die Abwicklung und Bearbeitung Ihrer Frage und des damit zusammenhängenden Geschäftsvorgangs verarbeitet. Die Daten während eben solange gespeichert bzw. solange es das Gesetz vorschreibt.

Betroffene Personen

Von den genannten Vorgängen sind alle betroffen, die über die von uns bereit gestellten Kommunikationswege den Kontakt zu uns suchen.

Telefon

Wenn Sie uns anrufen, werden die Anrufdaten auf dem jeweiligen Endgerät und beim eingesetzten Telekommunikationsanbieter pseudonymisiert gespeichert. Außerdem können Daten wie Name und Telefonnummer im Anschluss per E-Mail versendet und zur Anfragebeantwortung gespeichert werden. Die Daten werden gelöscht, sobald der Geschäftsfall beendet wurde und es gesetzliche Vorgaben erlauben.

E-Mail

Wenn Sie mit uns per E-Mail kommunizieren, werden Daten gegebenenfalls auf dem jeweiligen Endgerät (Computer, Laptop, Smartphone,…) gespeichert und es kommt zur Speicherung von Daten auf dem E-Mail-Server. Die Daten werden gelöscht, sobald der Geschäftsfall beendet wurde und es gesetzliche Vorgaben erlauben.

Online Formulare

Wenn Sie mit uns mittels Online-Formular kommunizieren, werden Daten auf unserem Webserver gespeichert und gegebenenfalls an eine E-Mail-Adresse von uns weitergeleitet. Die Daten werden gelöscht, sobald der Geschäftsfall beendet wurde und es gesetzliche Vorgaben erlauben.

Rechtsgrundlagen

Die Verarbeitung der Daten basiert auf den folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Sie geben uns die Einwilligung Ihre Daten zu speichern und weiter für den Geschäftsfall betreffende Zwecke zu verwenden;
• Art. 6 Abs. 1 lit. b DSGVO (Vertrag): Es besteht die Notwendigkeit für die Erfüllung eines Vertrags mit Ihnen oder einem Auftragsverarbeiter wie z. B. dem Telefonanbieter oder wir müssen die Daten für vorvertragliche Tätigkeiten, wie z. B. die Vorbereitung eines Angebots, verarbeiten;
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen): Wir wollen Kundenanfragen und geschäftliche Kommunikation in einem professionellen Rahmen betreiben. Dazu sind gewisse technische Einrichtungen wie z. B. E-Mail-Programme, Exchange-Server und Mobilfunkbetreiber notwendig, um die Kommunikation effizient betreiben zu können.

Cookies

Cookies Zusammenfassung 👥 Betroffene: Besucher der Website 🤝 Zweck: abhängig vom jeweiligen Cookie. Mehr Details dazu finden Sie weiter unten bzw. beim Hersteller der Software, der das Cookie setzt. 📓 Verarbeitete Daten: Abhängig vom jeweils eingesetzten Cookie. Mehr Details dazu finden Sie weiter unten bzw. beim Hersteller der Software, der das Cookie setzt. 📅 Speicherdauer: abhängig vom jeweiligen Cookie, kann von Stunden bis hin zu Jahren variieren ⚖️ Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. 1 lit.f DSGVO (Berechtigte Interessen)

Was sind Cookies?

Unsere Website verwendet HTTP-Cookies, um nutzerspezifische Daten zu speichern.
Im Folgenden erklären wir, was Cookies sind und warum Sie genutzt werden, damit Sie die folgende Datenschutzerklärung besser verstehen.

Immer wenn Sie durch das Internet surfen, verwenden Sie einen Browser. Bekannte Browser sind beispielsweise Chrome, Safari, Firefox, Internet Explorer und Microsoft Edge. Die meisten Websites speichern kleine Text-Dateien in Ihrem Browser. Diese Dateien nennt man Cookies.

Eines ist nicht von der Hand zu weisen: Cookies sind echt nützliche Helferlein. Fast alle Websites verwenden Cookies. Genauer gesprochen sind es HTTP-Cookies, da es auch noch andere Cookies für andere Anwendungsbereiche gibt. HTTP-Cookies sind kleine Dateien, die von unserer Website auf Ihrem Computer gespeichert werden. Diese Cookie-Dateien werden automatisch im Cookie-Ordner, quasi dem “Hirn” Ihres Browsers, untergebracht. Ein Cookie besteht aus einem Namen und einem Wert. Bei der Definition eines Cookies müssen zusätzlich ein oder mehrere Attribute angegeben werden.

Cookies speichern gewisse Nutzerdaten von Ihnen, wie beispielsweise Sprache oder persönliche Seiteneinstellungen. Wenn Sie unsere Seite wieder aufrufen, übermittelt Ihr Browser die „userbezogenen“ Informationen an unsere Seite zurück. Dank der Cookies weiß unsere Website, wer Sie sind und bietet Ihnen die Einstellung, die Sie gewohnt sind. In einigen Browsern hat jedes Cookie eine eigene Datei, in anderen wie beispielsweise Firefox sind alle Cookies in einer einzigen Datei gespeichert.

Die folgende Grafik zeigt eine mögliche Interaktion zwischen einem Webbrowser wie z. B. Chrome und dem Webserver. Dabei fordert der Webbrowser eine Website an und erhält vom Server ein Cookie zurück, welches der Browser erneut verwendet, sobald eine andere Seite angefordert wird.

Es gibt sowohl Erstanbieter Cookies als auch Drittanbieter-Cookies. Erstanbieter-Cookies werden direkt von unserer Seite erstellt, Drittanbieter-Cookies werden von Partner-Websites (z.B. Google Analytics) erstellt. Jedes Cookie ist individuell zu bewerten, da jedes Cookie andere Daten speichert. Auch die Ablaufzeit eines Cookies variiert von ein paar Minuten bis hin zu ein paar Jahren. Cookies sind keine Software-Programme und enthalten keine Viren, Trojaner oder andere „Schädlinge“. Cookies können auch nicht auf Informationen Ihres PCs zugreifen.

So können zum Beispiel Cookie-Daten aussehen:

Name: _ga
Wert: GA1.2.1326744211.152312708185-9
Verwendungszweck: Unterscheidung der Websitebesucher
Ablaufdatum: nach 2 Jahren

Diese Mindestgrößen sollte ein Browser unterstützen können:

• Mindestens 4096 Bytes pro Cookie
• Mindestens 50 Cookies pro Domain
• Mindestens 3000 Cookies insgesamt

Welche Arten von Cookies gibt es?

Die Frage welche Cookies wir im Speziellen verwenden, hängt von den verwendeten Diensten ab und wird in den folgenden Abschnitten der Datenschutzerklärung geklärt. An dieser Stelle möchten wir kurz auf die verschiedenen Arten von HTTP-Cookies eingehen.

Man kann 4 Arten von Cookies unterscheiden:

Unerlässliche Cookies
Diese Cookies sind nötig, um grundlegende Funktionen der Website sicherzustellen. Zum Beispiel braucht es diese Cookies, wenn ein User ein Produkt in den Warenkorb legt, dann auf anderen Seiten weitersurft und später erst zur Kasse geht. Durch diese Cookies wird der Warenkorb nicht gelöscht, selbst wenn der User sein Browserfenster schließt.

Zweckmäßige Cookies
Diese Cookies sammeln Infos über das Userverhalten und ob der User etwaige Fehlermeldungen bekommt. Zudem werden mithilfe dieser Cookies auch die Ladezeit und das Verhalten der Website bei verschiedenen Browsern gemessen.

Zielorientierte Cookies
Diese Cookies sorgen für eine bessere Nutzerfreundlichkeit. Beispielsweise werden eingegebene Standorte, Schriftgrößen oder Formulardaten gespeichert.

Werbe-Cookies
Diese Cookies werden auch Targeting-Cookies genannt. Sie dienen dazu dem User individuell angepasste Werbung zu liefern. Das kann sehr praktisch, aber auch sehr nervig sein.

Üblicherweise werden Sie beim erstmaligen Besuch einer Website gefragt, welche dieser Cookiearten Sie zulassen möchten. Und natürlich wird diese Entscheidung auch in einem Cookie gespeichert.

Wenn Sie mehr über Cookies wissen möchten und technische Dokumentationen nicht scheuen, empfehlen wir https://datatracker.ietf.org/doc/html/rfc6265, dem Request for Comments der Internet Engineering Task Force (IETF) namens “HTTP State Management Mechanism”.

Zweck der Verarbeitung über Cookies

Der Zweck ist letztendlich abhängig vom jeweiligen Cookie. Mehr Details dazu finden Sie weiter unten bzw. beim Hersteller der Software, die das Cookie setzt.

Welche Daten werden verarbeitet?

Cookies sind kleine Gehilfen für eine viele verschiedene Aufgaben. Welche Daten in Cookies gespeichert werden, kann man leider nicht verallgemeinern, aber wir werden Sie im Rahmen der folgenden Datenschutzerklärung über die verarbeiteten bzw. gespeicherten Daten informieren.

Speicherdauer von Cookies

Die Speicherdauer hängt vom jeweiligen Cookie ab und wird weiter unter präzisiert. Manche Cookies werden nach weniger als einer Stunde gelöscht, andere können mehrere Jahre auf einem Computer gespeichert bleiben.

Sie haben außerdem selbst Einfluss auf die Speicherdauer. Sie können über ihren Browser sämtliche Cookies jederzeit manuell löschen (siehe auch unten “Widerspruchsrecht”). Ferner werden Cookies, die auf einer Einwilligung beruhen, spätestens nach Widerruf Ihrer Einwilligung gelöscht, wobei die Rechtmäßigkeit der Speicherung bis dahin unberührt bleibt.

Widerspruchsrecht – wie kann ich Cookies löschen?

Wie und ob Sie Cookies verwenden wollen, entscheiden Sie selbst. Unabhängig von welchem Service oder welcher Website die Cookies stammen, haben Sie immer die Möglichkeit Cookies zu löschen, zu deaktivieren oder nur teilweise zuzulassen. Zum Beispiel können Sie Cookies von Drittanbietern blockieren, aber alle anderen Cookies zulassen.

Wenn Sie feststellen möchten, welche Cookies in Ihrem Browser gespeichert wurden, wenn Sie Cookie-Einstellungen ändern oder löschen wollen, können Sie dies in Ihren Browser-Einstellungen finden:

Chrome: Cookies in Chrome löschen, aktivieren und verwalten

Safari: Verwalten von Cookies und Websitedaten mit Safari

Firefox: Cookies löschen, um Daten zu entfernen, die Websites auf Ihrem Computer abgelegt haben

Internet Explorer: Löschen und Verwalten von Cookies

Microsoft Edge: Löschen und Verwalten von Cookies

Falls Sie grundsätzlich keine Cookies haben wollen, können Sie Ihren Browser so einrichten, dass er Sie immer informiert, wenn ein Cookie gesetzt werden soll. So können Sie bei jedem einzelnen Cookie entscheiden, ob Sie das Cookie erlauben oder nicht. Die Vorgangsweise ist je nach Browser verschieden. Am besten Sie suchen die Anleitung in Google mit dem Suchbegriff “Cookies löschen Chrome” oder “Cookies deaktivieren Chrome” im Falle eines Chrome Browsers.

Rechtsgrundlage

Seit 2009 gibt es die sogenannten „Cookie-Richtlinien“. Darin ist festgehalten, dass das Speichern von Cookies eine Einwilligung (Artikel 6 Abs. 1 lit. a DSGVO) von Ihnen verlangt. Innerhalb der EU-Länder gibt es allerdings noch sehr unterschiedliche Reaktionen auf diese Richtlinien. In Österreich erfolgte aber die Umsetzung dieser Richtlinie in § 165 Abs. 3 des Telekommunikationsgesetzes (2021). In Deutschland wurden die Cookie-Richtlinien nicht als nationales Recht umgesetzt. Stattdessen erfolgte die Umsetzung dieser Richtlinie weitgehend in § 15 Abs.3 des Telemediengesetzes (TMG).

Für unbedingt notwendige Cookies, auch soweit keine Einwilligung vorliegt, bestehen berechtigte Interessen (Artikel 6 Abs. 1 lit. f DSGVO), die in den meisten Fällen wirtschaftlicher Natur sind. Wir möchten den Besuchern der Website eine angenehme Benutzererfahrung bescheren und dafür sind bestimmte Cookies oft unbedingt notwendig.

Soweit nicht unbedingt erforderliche Cookies zum Einsatz kommen, geschieht dies nur im Falle Ihrer Einwilligung. Rechtsgrundlage ist insoweit Art. 6 Abs. 1 lit. a DSGVO.

In den folgenden Abschnitten werden Sie genauer über den Einsatz von Cookies informiert, sofern eingesetzte Software Cookies verwendet.

Webhosting Einleitung

Webhosting Zusammenfassung 👥 Betroffene: Besucher der Website 🤝 Zweck: professionelles Hosting der Website und Absicherung des Betriebs 📓 Verarbeitete Daten: IP-Adresse, Zeitpunkt des Websitebesuchs, verwendeter Browser und weitere Daten. Mehr Details dazu finden Sie weiter unten bzw. beim jeweils eingesetzten Webhosting Provider. 📅 Speicherdauer: abhängig vom jeweiligen Provider, aber in der Regel 2 Wochen ⚖️ Rechtsgrundlagen: Art. 6 Abs. 1 lit.f DSGVO (Berechtigte Interessen)

Was ist Webhosting?

Wenn Sie heutzutage Websites besuchen, werden gewisse Informationen – auch personenbezogene Daten – automatisch erstellt und gespeichert, so auch auf dieser Website. Diese Daten sollten möglichst sparsam und nur mit Begründung verarbeitet werden. Mit Website meinen wir übrigens die Gesamtheit aller Webseiten auf einer Domain, d.h. alles von der Startseite (Homepage) bis hin zur aller letzten Unterseite (wie dieser hier). Mit Domain meinen wir zum Beispiel beispiel.de oder musterbeispiel.com.

Wenn Sie eine Website auf einem Computer, Tablet oder Smartphone ansehen möchten, verwenden Sie dafür ein Programm, das sich Webbrowser nennt. Sie kennen vermutlich einige Webbrowser beim Namen: Google Chrome, Microsoft Edge, Mozilla Firefox und Apple Safari. Wir sagen kurz Browser oder Webbrowser dazu.

Um die Website anzuzeigen, muss sich der Browser zu einem anderen Computer verbinden, wo der Code der Website gespeichert ist: dem Webserver. Der Betrieb eines Webservers ist eine komplizierte und aufwendige Aufgabe, weswegen dies in der Regel von professionellen Anbietern, den Providern, übernommen wird. Diese bieten Webhosting an und sorgen damit für eine verlässliche und fehlerfreie Speicherung der Daten von Websites. Eine ganze Menge Fachbegriffe, aber bitte bleiben Sie dran, es wird noch besser!

Bei der Verbindungsaufnahme des Browsers auf Ihrem Computer (Desktop, Laptop, Tablet oder Smartphone) und während der Datenübertragung zu und vom Webserver kann es zu einer Verarbeitung personenbezogener Daten kommen. Einerseits speichert Ihr Computer Daten, andererseits muss auch der Webserver Daten eine Zeit lang speichern, um einen ordentlichen Betrieb zu gewährleisten.

Ein Bild sagt mehr als tausend Worte, daher zeigt folgende Grafik zur Veranschaulichung das Zusammenspiel zwischen Browser, dem Internet und dem Hosting-Provider.

Warum verarbeiten wir personenbezogene Daten?

Die Zwecke der Datenverarbeitung sind:

1. Professionelles Hosting der Website und Absicherung des Betriebs
2. zur Aufrechterhaltung der Betriebs- und IT-Sicherheit
3. Anonyme Auswertung des Zugriffsverhaltens zur Verbesserung unseres Angebots und ggf. zur Strafverfolgung bzw. Verfolgung von Ansprüchen

Welche Daten werden verarbeitet?

Auch während Sie unsere Website jetzt gerade besuchen, speichert unser Webserver, das ist der Computer auf dem diese Webseite gespeichert ist, in der Regel automatisch Daten wie

• die komplette Internetadresse (URL) der aufgerufenen Webseite
• Browser und Browserversion (z. B. Chrome 87)
• das verwendete Betriebssystem (z. B. Windows 10)
• die Adresse (URL) der zuvor besuchten Seite (Referrer URL) (z. B. https://www.beispielquellsite.de/vondabinichgekommen/)
• den Hostnamen und die IP-Adresse des Geräts von welchem aus zugegriffen wird (z. B. COMPUTERNAME und 194.23.43.121)
• Datum und Uhrzeit
• in Dateien, den sogenannten Webserver-Logfiles

Wie lange werden Daten gespeichert?

In der Regel werden die oben genannten Daten zwei Wochen gespeichert und danach automatisch gelöscht. Wir geben diese Daten nicht weiter, können jedoch nicht ausschließen, dass diese Daten beim Vorliegen von rechtswidrigem Verhalten von Behörden eingesehen werden.

Kurz gesagt: Ihr Besuch wird durch unseren Provider (Firma, die unsere Website auf speziellen Computern (Servern) laufen lässt), protokolliert, aber wir geben Ihre Daten nicht ohne Zustimmung weiter!

Rechtsgrundlage

Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten im Rahmen des Webhosting ergibt sich aus Art. 6 Abs. 1 lit. f DSGVO (Wahrung der berechtigten Interessen), denn die Nutzung von professionellem Hosting bei einem Provider ist notwendig, um das Unternehmen im Internet sicher und nutzerfreundlich präsentieren und Angriffe und Forderungen hieraus gegebenenfalls verfolgen zu können.

Zwischen uns und dem Hosting-Provider besteht in der Regel ein Vertrag über die Auftragsverarbeitung gemäß Art. 28 f. DSGVO, der die Einhaltung von Datenschutz gewährleistet und Datensicherheit garantiert.

Website Baukastensysteme Einleitung

Website Baukastensysteme Datenschutzerklärung Zusammenfassung 👥 Betroffene: Besucher der Website 🤝 Zweck: Optimierung unserer Serviceleistung 📓 Verarbeitete Daten: Daten wie etwa technische Nutzungsinformationen wie Browseraktivität, Clickstream-Aktivitäten, Sitzungs-Heatmaps sowie Kontaktdaten, IP-Adresse oder Ihr geografischer Standort. Mehr Details dazu finden Sie weiter unten in dieser Datenschutzerklärung und in der Datenschutzerklärung der Anbieter. 📅 Speicherdauer: hängt vom Anbieter ab ⚖️ Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Was sind Website Baukastensysteme?

Wir verwenden für unsere Website ein Website Baukastensystem. Baukastensysteme sind besondere Formen eines Content-Management-Systems (CMS). Mit einem Baukastensystem können Websitebetreiber sehr leicht und ohne Programmierkenntnisse eine Website erstellen. In vielen Fällen bieten auch Webhoster Baukastensysteme an. Durch die Verwendung eines Baukastensystems können auch personenbezogene Daten von Ihnen erhoben, gespeichert und verarbeitet werden. In diesem Datenschutztext geben wir Ihnen allgemeine Informationen über die Datenverarbeitung durch Baukastensysteme. Nähere Informationen finden Sie in den Datenschutzerklärungen des Anbieters.

Warum verwenden wir Website Baukastensysteme für unsere Website?

Der größte Vorteil eines Baukastensystems ist die einfache Bedienbarkeit. Wir wollen Ihnen eine klare, einfache und übersichtliche Website bieten, die wir selbst – ohne externe Unterstützung – problemlos bedienen und warten können. Ein Baukastensystem bietet mittlerweile viele hilfreiche Funktionen, die wir auch ohne Programmierkenntnisse anwenden können. Dadurch können wir unsere Webpräsenz nach unseren Wünschen gestalten und Ihnen eine informative und angenehme Zeit auf unserer Website bieten.

Welche Daten werden von einem Baukastensystem gespeichert?

Welche Daten genau gespeichert werden hängt natürlich vom verwendeten Website-Baukastensystem ab. Jeder Anbieter verarbeitet und erhebt unterschiedliche Daten des Websitebesuchers. Doch in der Regel werden technische Nutzungsinformationen wie etwa etwa Betriebssystem, Browser, Bildschirmauflösung, Sprach- und Tastatureinstellungen, Hostinganbieter und das Datum Ihres Websitebesuches erhoben. Weiter können auch Trackingdaten (z.B. Browseraktivität, Clickstreamaktivitäten, Sitzungs-Heatmaps u.a.) verarbeitet werden. Zudem können auch personenbezogene Daten erfasst und gespeichert werden. Dabei handelt es sich meistens um Kontaktdaten wie E-Mail-Adresse, Telefonnummer (falls Sie diese angegeben haben), IP-Adresse und geografischen Standortdaten. Welche Daten genau gespeichert werden, finden Sie in der Datenschutzerklärung des Anbieters.

Wie lange und wo werden die Daten gespeichert?

Über die Dauer der Datenverarbeitung informieren wir Sie weiter unten im Zusammenhang mit dem verwendeten Website Baukastensystem, sofern wir weitere Informationen dazu haben. In den Datenschutzerklärung des Anbieters finden Sie detaillierte Informationen darüber. Generell verarbeiten wir personenbezogene Daten nur so lange wie es für die Bereitstellung unserer Dienstleistungen und Produkte unbedingt notwendig ist. Es kann sein, dass der Anbieter nach eigenen Maßgaben Daten von Ihnen speichert, worauf wir keinen Einfluss haben.

Widerspruchsrecht

Sie haben immer das Recht auf Auskunft, Berichtigung und Löschung Ihrer personenbezogenen Daten. Bei Fragen können Sie auch jederzeit Verantwortliche des verwendeten Website Baukastensystems kontaktieren. Kontaktdaten finden Sie entweder in unserer Datenschutzerklärung oder auf der Website des entsprechenden Anbieters.

Cookies, die Anbieter für ihre Funktionen verwenden, können Sie in Ihrem Browser löschen, deaktivieren oder verwalten. Je nachdem welchen Browser Sie verwenden, funktioniert dies auf unterschiedliche Art und Weise. Bitte beachten Sie aber, dass dann eventuell nicht mehr alle Funktionen wie gewohnt funktionieren.

Rechtsgrundlage

Wir haben ein berechtigtes Interesse daran, ein Website Baukastensystem zu verwenden, um unseren Online-Service zu optimieren und für Sie effizient und nutzeransprechend darzustellen. Die dafür entsprechende Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen). Wir setzen den Baukasten gleichwohl nur ein, soweit Sie eine Einwilligung erteilt haben.

Soweit die Verarbeitung von Daten für den Betrieb der Webseite nicht unbedingt notwendig ist, werden die Daten nur auf Grundlage Ihrer Einwilligung verarbeitet. Dies betrifft insbesondere Aktivitäten des Trackings. Rechtsgrundlage ist insoweit Art. 6 Abs. 1 lit. a DSGVO.

Mit dieser Datenschutzerklärung haben wir Ihnen die wichtigsten allgemeinen Informationen rund um die Datenverarbeitung nähergebracht. Wenn Sie sich diesbezüglich noch genauer informieren wollen, finden Sie weitere Informationen – sofern vorhanden – in dem folgenden Abschnitt bzw. in der Datenschutzerklärung des Anbieters.

WordPress.com Datenschutzerklärung

WordPress.com Datenschutzerklärung Zusammenfassung 👥 Betroffene: Besucher der Website 🤝 Zweck: Optimierung unserer Serviceleistung 📓 Verarbeitete Daten: Daten wie etwa technische Nutzungsinformationen wie Browseraktivität, Clickstream-Aktivitäten, Sitzungs-Heatmaps sowie Kontaktdaten, IP-Adresse oder Ihr geografischer Standort. Mehr Details dazu finden Sie weiter unten in dieser Datenschutzerklärung. 📅 Speicherdauer: Es hängt vor allem von der Art der gespeicherten Daten und den konkreten Einstellungen ab. ⚖️ Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen)

Was ist WordPress?

Wir nutzen für unsere Website das bekannte Content-Management-System WordPress.com. Dienstanbieter ist das amerikanische Unternehmen Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA.

2003 erblickte das Unternehmen das Licht der Welt und entwickelte sich in relativ kurzer Zeit zu einem der bekanntesten Content-Management-Systeme (CMS) weltweit. Ein CMS ist eine Software, die uns dabei unterstützt, unsere Website zu gestalten und Inhalte schön und geordnet darzustellen. Bei den Inhalten kann es sich um Text, Audio und Video handeln.
Durch die Verwendung von WordPress können auch personenbezogene Daten von Ihnen erhoben, gespeichert und verarbeitet werden. In der Regel werden hauptsächlich technische Daten wie Betriebssystem, Browser, Bildschirmauflösung oder Hostinganbieter gespeichert. Jedoch können auch personenbezogene Daten wie IP-Adresse, geografische Daten oder Kontaktdaten verarbeitet werden.

Warum verwenden wir WordPress auf unserer Website?

Wir haben viele Stärken, aber echtes Programmieren zählt nun mal nicht zu unserer Kernkompetenz.

Dennoch wollen wir eine leistungsstarke und ansehnliche Website haben, die wir auch selbst verwalten und warten können. Mit einem Website-Baukastensystem bzw. einem Content-Management-System wie WordPress ist genau das möglich. Mit WordPress müssen wir keine Programmier-Asse sein, um Ihnen eine schöne Website anbieten zu können. Dank WordPress können wir unsere Website auch ohne technische Vorkenntnisse schnell und einfach bedienen. Falls mal technische Probleme auftreten oder wir spezielle Wünsche an unsere Website haben, gibt es immer noch unsere Fachkräfte, die sich in HTML, PHP, CSS und Co zuhause fühlen.

Durch die einfache Bedienbarkeit und die umfassenden Funktionen von WordPress können wir unsere Webpräsenz nach unseren Wünschen gestalten und Ihnen eine gute Nutzerfreundlichkeit bieten.

Welche Daten werden von WordPress verarbeitet?

Zu den nicht personenbezogenen Daten gehören etwa technische Nutzungsinformationen wie Browseraktivität, Clickstream-Aktivitäten, Sitzungs-Heatmaps und Daten zu Ihrem Computer, Betriebssystem, Browser, Bildschirmauflösung, Sprach und Tastatureinstellungen, Internet-Anbieter sowie Datum des Seitenbesuchs.

Zudem werden auch noch personenbezogene Daten erfasst. Das sind in erster Linie Kontaktdaten (E-Mail-Adresse oder Telefonnummer, sofern Sie diese angeben), IP-Adresse oder Ihr geografischer Standort.

WordPress kann auch Cookies nutzen, um Daten zu erfassen. Darin werden häufig Daten zu Ihrem Verhalten auf unserer Website erfasst. Zum Beispiel kann erfasst werden, welche Unterseiten Sie besonders gerne ansehen, wie lange Sie sich auf einzelnen Seiten befinden, wann Sie eine Seite wieder verlassen (Absprungrate) oder auch welche Voreinstellungen (z.B. Sprachauswahl) Sie getroffen haben. Auf Basis dieser Daten kann WordPress auch die eigenen Marketingmaßnahmen besser an Ihre Interessen und an Ihr Userverhalten anpassen. Wenn Sie das nächste Mal unsere Website besuchen, wird Ihnen folglich unsere Website so angezeigt, wie Sie sie im Vorfeld eingestellt haben.

WordPress kann auch Technologien wie Pixel-Tags (Web Beacons) verwenden, um beispielsweise Sie als User klar zu identifizieren und möglicherweise interessensbezogene Werbung anbieten zu können.

Wie lange und wo werden die Daten gespeichert?

Wie lange die Daten gespeichert werden, hängt von verschiedenen Faktoren ab. Also es hängt vor allem von der Art der gespeicherten Daten und den konkreten Einstellungen der Website ab. Grundsätzlich werden die Daten bei WordPress dann gelöscht, wenn sie für die eigenen Zwecke nicht mehr gebraucht werden. Es gibt natürlich Ausnahmen, besonders wenn gesetzliche Verpflichtungen ein längeres Aufbewahren der Daten vorschreiben. Webserverprotokolle, die Ihre IP-Adresse und technische Daten enthalten, werden von WordPress bzw. Automattic nach 30 Tagen wieder gelöscht. So lange verwendet Automattic die Daten, um den Verkehr auf den eigenen Websites (zum Beispiel alle WordPress-Seiten) zu analysieren und mögliche Probleme zu beheben. Gelöschte Inhalte auf WordPress -Websites werden auch für 30 Tage im Papierkorb aufbewahrt, um eine Wiederherstellung zu ermöglichen, danach können sie in Backups und Caches verbleiben, bis diese gelöscht werden. Die Daten werden auf amerikanischen Servern von Automattic gespeichert.

Wie kann ich meine Daten löschen oder die Datenspeicherung verhindern?

Sie haben jederzeit das Recht und die Möglichkeit auf Ihre personenbezogenen Daten zuzugreifen und Einspruch gegen die Nutzung und Verarbeitung dieser zu erheben. Sie können auch jederzeit bei einer staatlichen Aufsichtsbehörde eine Beschwerde einreichen.

In Ihrem Browser haben Sie auch die Möglichkeit, Cookies individuell zu verwalten, zu löschen oder zu deaktivieren. Nehmen Sie aber bitte zur Kenntnis, dass deaktivierte oder gelöschte Cookies mögliche negative Auswirkungen auf die Funktionen unserer WordPress-Seite haben. Je nachdem, welchen Browser Sie verwenden, funktioniert das Verwalten der Cookies etwas anders. Unter dem Abschnitt „Cookies“ finden Sie die entsprechenden Links zu den jeweiligen Anleitungen der bekanntesten Browser.

Rechtsgrundlage

Wenn Sie eingewilligt haben, dass WordPress eingesetzt werden darf, ist die Rechtsgrundlage der entsprechenden Datenverarbeitung diese Einwilligung. Diese Einwilligung stellt laut Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) die Rechtsgrundlage für die Verarbeitung personenbezogener Daten, wie sie bei der Erfassung durch WordPress vorkommen kann, dar.

Von unserer Seite besteht zudem ein berechtigtes Interesse, WordPress zu verwenden, um unser Online-Service zu optimieren und für Sie schön darzustellen. Die dafür entsprechende Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen). Wir setzen WordPress gleichwohl nur ein, soweit Sie eine Einwilligung erteilt haben.

WordPress bzw. Automattic verarbeitet Daten von Ihnen u.a. auch in den USA. Automattic ist aktiver Teilnehmer des EU-US Data Privacy Frameworks, wodurch der korrekte und sichere Datentransfer personenbezogener Daten von EU-Bürgern in die USA geregelt wird. Mehr Informationen dazu finden Sie auf https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en.

Zudem verwendet Automattic sogenannte Standardvertragsklauseln (= Art. 46. Abs. 2 und 3 DSGVO). Standardvertragsklauseln (Standard Contractual Clauses – SCC) sind von der EU-Kommission bereitgestellte Mustervorlagen und sollen sicherstellen, dass Ihre Daten auch dann den europäischen Datenschutzstandards entsprechen, wenn diese in Drittländer (wie beispielsweise in die USA) überliefert und dort gespeichert werden. Durch das EU-US Data Privacy Framework und durch die Standardvertragsklauseln verpflichtet sich Automattic, bei der Verarbeitung Ihrer relevanten Daten, das europäische Datenschutzniveau einzuhalten, selbst wenn die Daten in den USA gespeichert, verarbeitet und verwaltet werden. Diese Klauseln basieren auf einem Durchführungsbeschluss der EU-Kommission. Sie finden den Beschluss und die entsprechenden Standardvertragsklauseln u.a. hier: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=de

Mehr Details zur Datenschutzrichtlinie und welche Daten auf welche Art durch WordPress verarbeitet werden, finden Sie auf https://automattic.com/privacy/.

Auftragsverarbeitungsvertrag (AVV) WordPress.com

Wir haben im Sinne des Artikels 28 der Datenschutz-Grundverordnung (DSGVO) mit WordPress.com einen Auftragsverarbeitungsvertrag (AVV) abgeschlossen. Was ein AVV genau ist und vor allem was in einem AVV enthalten sein muss, können Sie in unserem allgemeinen Abschnitt „Auftragsverarbeitungsvertrag (AVV)“ nachlesen.

Dieser Vertrag ist gesetzlich vorgeschrieben, weil WordPress.com in unserem Auftrag personenbezogene Daten verarbeitet. Darin wird geklärt, dass WordPress.com Daten, die sie von uns erhalten, nur nach unserer Weisung verarbeiten darf und die DSGVO einhalten muss. Den Link zum Auftragsverarbeitungsvertrag (AVV) finden Sie unter https://wordpress.com/support/data-processing-agreements/.

Security & Anti-Spam

Security & Anti-Spam Datenschutzerklärung Zusammenfassung 👥 Betroffene: Besucher der Website 🤝 Zweck: Cybersicherheit 📓 Verarbeitete Daten: Daten wie etwa Ihre IP-Adresse, Name oder technische Daten wie etwa Browserversion Mehr Details dazu finden Sie weiter unten und den einzelnen Datenschutztexten. 📅 Speicherdauer: meisten werden die Daten solange gespeichert, bis sie zur Erfüllung der Dienstleistung nicht mehr benötigt werden ⚖️ Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen)

Was ist eine Security- & Anti-Spam-Software?

Mit sogenannten Security- & Anti-Spam-Softwares können Sie sich und wir uns vor diversen Spam- oder Phishing-Mails und möglichen anderen Cyberattacken schützen. Unter Spam versteht man Werbemails aus einem Massenversand, die man selbst nicht verlangte. Solche Mails werden auch Datenmüll genannt und können auch Kosten verursachen. Phishing-Mails sind wiederum Nachrichten, die darauf abzielen, über gefälschte Nachrichten oder Websites Vertrauen aufzubauen, um an persönliche Daten zu gelangen. Eine Anti-Spam-Software schützt in der Regel vor unerwünschten Spam-Nachrichten oder bösartigen Mails, die etwa Viren in unser System einschleusen könnten. Wir nutzen auch allgemeine Firewall- und Sicherheitssysteme, die unsere Computer vor unerwünschten Netzwerkangriffen schützen.

Warum verwenden wir Security- & Anti-Spam-Software?

Wir legen auf unserer Website besonders großen Wert auf Sicherheit. Schließlich geht es nicht nur um unsere, sondern vor allem auch um Ihre Sicherheit. Leider gehören mittlerweile in der Welt der IT und des Internets Cyberbedrohungen schon zum Alltag. Oft versuchen Hacker mit Hilfe einer Cyberattacke personenbezogene Daten aus einem IT-System zu stehlen. Und daher ist ein gutes Abwehrsystem absolut notwendig. Ein Sicherheitssystem überwacht alle ein- und ausgehenden Verbindungen zu unserem Netzwerk bzw. Computer. Damit wir noch größere Sicherheit vor Cyberangriffen erreichen, nutzen wir neben den standardisierten Sicherheitssystemen auf unserem Computer auch noch weitere externe Security-Dienste. Unerlaubter Verkehr von Daten wird dadurch besser unterbunden und so schützen wir uns vor Cyberkriminalität.

Welche Daten werden durch Security- & Anti-Spam-Softwares verarbeitet?

Welche Daten genau erhoben und gespeichert werden hängt natürlich vom jeweiligen Dienst ab. Wir sind allerdings stets bemüht nur Programme zu verwenden, die sehr sparsam Daten erheben bzw. nur Daten speichern, die für die Erfüllung der angebotenen Leistung nötig sind. Grundsätzlich kann der Dienst Daten wie beispielsweise Name, Adresse, IP-Adresse, E-Mail-Adresse und technische Daten wie Browsertyp oder Browserversion speichern. Auch können etwaige Leistungs- und Protokolldaten erhoben werden, um mögliche eingehende Bedrohungen rechtzeitig zu erkennen. Diese Daten werden im Rahmen der Services und unter Einhaltung der geltenden Gesetze verarbeitet. Dazu zählt auch bei US-amerikanischen Anbietern (über die Standardvertragsklauseln) die DSGVO. Diese Security-Dienste arbeiten in einigen Fällen auch mit Drittanbietern zusammen, die unter Anweisung und in Übereinstimmung mit den Datenschutzrichtlinien und weiteren Sicherheitsmaßnahmen Daten speichern und/oder verarbeiten können. Die Datenspeicherung erfolgt meist über Cookies.

Dauer der Datenverarbeitung

Über die Dauer der Datenverarbeitung informieren wir Sie weiter unten, sofern wir weitere Informationen dazu haben. Beispielsweise speichern Security-Programme Daten bis Sie oder wir die Datenspeicherung widerrufen. Generell werden personenbezogene Daten nur so lange, wie es für die Bereitstellung der Dienstleistungen unbedingt notwendig ist, gespeichert. In vielen Fällen fehlen uns leider von den Anbietern präzise Informationen über die Länge der Speicherung.

Widerspruchsrecht

Sie haben auch jederzeit das Recht und die Möglichkeit Ihre Einwilligung zur Verwendung von Cookies bzw. Drittanbietern von Security-Software zu widerrufen. Das funktioniert entweder über unser Cookie-Management-Tool oder über andere Opt-Out-Funktionen. Zum Bespiel können Sie auch die Datenerfassung durch Cookies verhindern, indem Sie in Ihrem Browser die Cookies verwalten, deaktivieren oder löschen.

Da bei solchen Sicherheitsdiensten auch Cookies zum Einsatz kommen können, empfehlen wir Ihnen unsere allgemeine Datenschutzerklärung über Cookies. Um zu erfahren, welche Daten von Ihnen genau gespeichert und verarbeitet werden, sollten Sie die Datenschutzerklärungen der jeweiligen Tools durchlesen.

Rechtsgrundlage

Wir setzen die Sicherheitsdienste hauptsächlich auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) an einem guten Sicherheitssystem gegen diverse Cyberangriffe ein.

Bestimmte Verarbeitungen, insbesondere der Einsatz von Cookies sowie die Nutzung von Sicherheitsfunktionen bedürfen Ihrer Einwilligung. Wenn Sie eingewilligt haben, dass Daten von Ihnen durch eingebundene Security-Dienste verarbeitet und gespeichert werden können, gilt diese Einwilligung als Rechtsgrundlage der Datenverarbeitung (Art. 6 Abs. 1 lit. a DSGVO). Die meisten von uns verwendeten Dienste setzen Cookies in Ihrem Browser, um Daten zu speichern. Darum empfehlen wir Ihnen, unseren Datenschutztext über Cookies genau durchzulesen und die Datenschutzerklärung oder die Cookie-Richtlinien des jeweiligen Dienstanbieters anzusehen.

Informationen zu speziellen Tools erfahren Sie – sofern vorhanden – in den folgenden Abschnitten.

Akismet Datenschutzerklärung

Wir nutzen für unsere Website Akismet, eine Anti-Spam-Lösung für WordPress. Dienstanbieter ist das amerikanische Unternehmen Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA.

Automattic verarbeitet Daten von Ihnen u.a. auch in den USA. Akismet bzw. Automattic ist aktiver Teilnehmer des EU-US Data Privacy Frameworks, wodurch der korrekte und sichere Datentransfer personenbezogener Daten von EU-Bürgern in die USA geregelt wird. Mehr Informationen dazu finden Sie auf https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en.

Zudem verwendet Automattic sogenannte Standardvertragsklauseln (= Art. 46. Abs. 2 und 3 DSGVO). Standardvertragsklauseln (Standard Contractual Clauses – SCC) sind von der EU-Kommission bereitgestellte Mustervorlagen und sollen sicherstellen, dass Ihre Daten auch dann den europäischen Datenschutzstandards entsprechen, wenn diese in Drittländer (wie beispielsweise in die USA) überliefert und dort gespeichert werden. Durch das EU-US Data Privacy Framework und durch die Standardvertragsklauseln verpflichtet sich Automattic, bei der Verarbeitung Ihrer relevanten Daten, das europäische Datenschutzniveau einzuhalten, selbst wenn die Daten in den USA gespeichert, verarbeitet und verwaltet werden. Diese Klauseln basieren auf einem Durchführungsbeschluss der EU-Kommission. Sie finden den Beschluss und die entsprechenden Standardvertragsklauseln u.a. hier: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=de.

Die Datenverarbeitungsbedingungen (Data Processing Agreements), welche auf die Standardvertragsklauseln verweisen, finden Sie unter https://wordpress.com/support/data-processing-agreements/.

Mehr über die Daten, die durch die Verwendung von Akismet bzw. WordPress verarbeitet werden, erfahren Sie in der Datenschutzerklärung auf https://automattic.com/de/privacy/.

Schlusswort

Herzlichen Glückwunsch! Wenn Sie diese Zeilen lesen, haben Sie sich wirklich durch unsere gesamte Datenschutzerklärung „gekämpft“ oder zumindest bis hier hin gescrollt. Wie Sie am Umfang unserer Datenschutzerklärung sehen, nehmen wir den Schutz Ihrer persönlichen Daten, alles andere als auf die leichte Schulter.
Uns ist es wichtig, Sie nach bestem Wissen und Gewissen über die Verarbeitung personenbezogener Daten zu informieren. Dabei wollen wir Ihnen aber nicht nur mitteilen, welche Daten verarbeitet werden, sondern auch die Beweggründe für die Verwendung diverser Softwareprogramme näherbringen. In der Regel klingen Datenschutzerklärung sehr technisch und juristisch. Da die meisten von Ihnen aber keine Webentwickler oder Juristen sind, wollten wir auch sprachlich einen anderen Weg gehen und den Sachverhalt in einfacher und klarer Sprache erklären. Immer ist dies natürlich aufgrund der Thematik nicht möglich. Daher werden die wichtigsten Begriffe am Ende der Datenschutzerklärung näher erläutert.
Bei Fragen zum Thema Datenschutz auf unserer Website zögern Sie bitte nicht, uns oder die verantwortliche Stelle zu kontaktieren. Wir wünschen Ihnen noch eine schöne Zeit und hoffen, Sie auf unserer Website bald wieder begrüßen zu dürfen.

Alle Texte sind urheberrechtlich geschützt.

Quelle: Erstellt mit dem Datenschutz Generator von AdSimple

Die Vertragsbedingungen über die Auftragsverarbeitung im Webhosting-Vertrag (Auftragsverarbeitungsvertrag) all All-Inkl.com – Neue Medien Münnich finden Sie nachstehend:

• Vertragsbedingungen über die Auftragsverarbeitung im Webhosting-Vertrag
• (Auftragsverarbeitungsvertrag) ALL-INKL.COM – Neue Medien Münnich (Stand: 19.09.2022) 1 Gegenstand dieser Vertragsbedingungen 1.1 Die nachfolgenden Vertragsbedingungen regeln die datenschutzrechtlichen Rechte und Pflichten des Kunden (nachstehend auch „Verantwortlicher“ oder „Kunde“ genannt) und ALL-INKL.COM – Neue Medien Münnich, Inhaber: René Münnich, Hauptstraße 68, D-02742 Friedersdorf (nachstehend auch „NMM“ oder „Auftragsverarbeiter“ genannt), sofern im Rahmen der Leistungserbringung von NMM der Kunde einen Webhosting-Vertrag unter Einbezug der AGB von NMM abgeschlossen hat (nachstehend: „Hauptvertrag“) und mittels der technischen Systeme und Anwendungen von NMM der Kunde personenbezogene Daten als Verantwortlicher verarbeitet und NMM als lediglich weisungsgebundener Auftragsverarbeiter an dieser Datenverarbeitung als ein Auftragnehmer beteiligt ist. Er gilt zeitlich für alle Verarbeitungen. 1.2 Die nachfolgenden Vertragsbedingungen sind zwingend in den Bestellprozess für einen Neu-Kunden eingebunden, können aber auch eigenständig im Kundenzugang (MembersArea) abgeschlossen werden und stehen mit den Geschäftsbedingungen im Übrigen dort dem Kunden zum Download als PDF-Dokument bereit. 2 Zweck der Vereinbarung Mit diesen datenschutzrechtlichen Vertragsbedingungen und ihren Anhängen I bis IV soll die Einhaltung von Art. 28 Abs. 3 und 4 der Datenschutz-Grundverordnung (DS-GVO) gewährleistet werden. Zu diesem Zweck vereinbaren die Parteien die von der Europäischen Kommission (EU-Kommission) gemäß Art. 28 Abs. 7 DS-GVO veröffentlichten Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/915 vom 4. Juni 2021 (im folgenden „Klauseln“). Diese Klauseln sind nachstehend in Ziffer 4 mit der jeweils ausgewählten Option im Originaltext wiedergegeben und sind durch NMM textlich nicht verändert. 3 Individuelle Regelungen zu den Standardvertragsklauseln Weitere Regelungen im Sinne von Klausel 2 Buchstabe b der genannten Standardvertragsklauseln vereinbaren die Parteien in Ziffer 5, 6, 7 und 8 dieser datenschutzrechtlichen Vertragsbedingungen. Dies soll dem Umstand Rechnung tragen, dass es sich bei der Leistung von NMM um ein standardisiertes Produkt handelt. Die Standardvertragsklauseln erlauben dennoch individuelle datenschutzrechtliche Regelungen im Auftragsverarbeitungsvertrag, sofern diese Regelungen nicht im Widerspruch zu den Standardvertragsklauseln stehen. Ziffer 5, 6, 7 und 8 dieser datenschutzrechtlichen Vertragsbedingungen sind solche individuellen Regelungen. 4 Standardvertragsklauseln ABSCHNITT I Klausel 1 – Zweck und Anwendungsbereich a) Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung) sichergestellt werden [OPTION 1]. b) Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten. c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II. d) Die Anhänge I bis IV sind Bestandteil der Klauseln. e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt. f) Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 erfüllt werden. Klausel 2 – Unabänderbarkeit der Klauseln a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen. Auftragsverarbeitungsvertrag Stand 19.09.2022 Seite 1 von 14 b) Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. Klausel 3 – Auslegung a) Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung. b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen. c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet. Klausel 4 – Vorrang Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang. Klausel 5 – Kopplungsklausel a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet. b) Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I. c) Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten. ABSCHNITT II PFLICHTEN DER PARTEIEN Klausel 6 – Beschreibung der Verarbeitung Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt. Klausel 7 – Pflichten der Parteien Klausel 7.1 Weisungen a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren. b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen. Klausel 7.2 Zweckbindung Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält. Klausel 7.3 Dauer der Verarbeitung personenbezogener Daten Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet. Auftragsverarbeitungsvertrag Stand 19.09.2022 Seite 2 von 14 Klausel 7.4 Sicherheit der Verarbeitung a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung. b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Klausel 7.5 Sensible Daten Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an. Klausel 7.6 Dokumentation und Einhaltung der Klauseln a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise. c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen. d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt. e) Die Parteien stellen der / den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung. Klausel 7.7 Einsatz von Unterauftragsverarbeitern a) ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG: Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens zwei Wochen im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann. [OPTION 2] b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 unterliegt. c) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Auftragsverarbeitungsvertrag Stand 19.09.2022 Seite 3 von 14 Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen. d) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt. e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben. Klausel 7.8 Internationale Datenübermittlungen a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 im Einklang stehen. b) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind. Klausel 8 – Unterstützung des Verantwortlichen a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt. b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen. c) Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten: 1) Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz- Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat; 2) Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer DatenschutzFolgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft; 3) Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind; 4) Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679]. [OPTION 1] d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest. Klausel 9 – Meldung von Verletzungen des Schutzes personenbezogener Daten Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt. Auftragsverarbeitungsvertrag Stand 19.09.2022 Seite 4 von 14 Klausel 9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt: a) bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen); b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 [OPTION 1] in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen: 1) die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; 2) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; 3) die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt; c) bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679 [OPTION 1] die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Klausel 9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten: a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze); b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können; c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt. Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 [OPTION 1] zu unterstützen. ABSCHNITT III SCHLUSSBESTIMMUNGEN Klausel 10 – Verstöße gegen die Klauseln und Beendigung des Vertrags a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten. b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn Auftragsverarbeitungsvertrag Stand 19.09.2022 Seite 5 von 14 1) der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde; 2) der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 nicht erfüllt; 3) der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 zum Gegenstand hat, nicht nachkommt. c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen. d) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln. 5 Weitere Klauseln im Sinne von Ziffer 3 5.1 Weisungen Weisungen im Sinne der Klauseln 7.1 Buchstabe a und 7.2 stellen die jeweils vertraglichen Leistungsbeschreibungen (im jeweiligen Webhosting-Paket bzw. im jeweiligen Webhosting-Tarif) dar sowie die allgemeinen bzw. ergänzenden Geschäftsbedingungen des Verantwortlichen, die dem jeweiligen Hauptvertrag zugrunde liegen, sofern sie in den Hauptvertrag einbezogen worden sind und sachlich den Umgang mit personenbezogenen Daten betreffen, die durch den Verantwortlichen verarbeitet werden und von diesem zu verantworten sind. Im Rahmen der bereit gestellten technischen Mittel und Anwendungen (Standardprodukte) kann der Verantwortliche Art und Umfang der Datenverarbeitung durch die Art der Nutzung der bereit gestellten technischen Mittel und Anwendungen und durch Auswahl etwaig ermöglichter Varianten bestimmen, insbesondere durch Nichtnutzung auch einschränken. Weisungen des Verantwortlichen können nur im vereinbarten Rahmen des Standardproduktes erfolgen. Bei weiteren Weisungen des Verantwortlichen, die über den Rahmen des Standardproduktes hinausgehen, gilt Ziffer 6 dieser datenschutzrechtlichen Vertragsbedingungen (Änderungen). 5.2 Kostenpflichtige Weisungen Datenschutzrechtliche Weisungen des Auftragsverarbeiters, welche Lieferungen und Leistungen nach der jeweils vertraglichen Leistungsbeschreibungen (im jeweiligen Webhosting-Paket bzw. im jeweiligen Webhosting-Tarif) überschreiten und finanzielle Aufwendungen bei NMM erzeugen, muss NMM nur dann ausführen, wenn sich NMM und der Kunde auf ein entsprechendes Entgelt vor Ausführung der Leistung geeinigt haben. Das Recht von NMM, entsprechenden Aufwendungsersatz vom Kunden zu verlangen, gilt nicht, wenn die Weisung des Kunden erforderlich wird, damit NMM Rechtsverstöße im eigenen Zuständigkeitsbereich beseitigt. 5.3 Sicherheitsleistung vor Ausführung einer Weisung NMM kann vor Ausführung einer Weisung eine angemessene Sicherheitsleistung vom Kunden verlangen, wenn NMM zu einer objektiv nachvollziehbaren (nicht notwendig richtigen) Einschätzung gelangt, dass die Weisung des Kunden rechtswidrig ist und NMM bei Umsetzung der Weisung Schäden, insbesondere durch Schadenersatzforderungen Dritter, drohen. 5.4 Dokumentation und Einhaltung der Klauseln Die Parteien sind sich zu Klausel 7.6 einig, dass der Verantwortliche vorrangig geeignete Zertifizierungen von NMM bzw. von ihr vorgelegte Dokumente zum Nachweis der Einhaltung der Klauseln sowie den in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten verwendet. Der Verantwortliche kann darüber hinaus in besonders zu begründenden Ausnahmefällen eine Vor-Ort-Kontrolle durchführen. 5.5 Genehmigte Unterauftragsverarbeiter Die Liste der vom Verantwortlichen genehmigten Unterauftragsverarbeiter (ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG gem. Klausel 7.7 Buchstabe a) findet sich in Anhang IV. Auftragsverarbeitungsvertrag Stand 19.09.2022 Seite 6 von 14 5.6 Klarstellung Die Parteien sind sich einig, dass die Begriffe „stellt sicher” und „sicherstellen” in der EU-Rechtssprache, soweit sie in den Standardvertragsklauseln verwendet werden, keine Garantie im Rechtssinne im Sinne des deutschen Rechts darstellen. 5.7 Internationale Datenübermittlungen In Bezug auf die internationalen Datenübermittlungen halten die Parteien in Bezug auf Klausel 7.8 fest, dass sofern der Auftragsverarbeiter mit seinen Unterauftragsverarbeitern die Standarddatenschutzklauseln gemäß Durchführungsbeschluss der EU-Kommission 2010/87 vom 05.02.2010 mit Stand 2010 abgeschlossen und ggf. ergänzende Maßnahmen getroffen hat, es sich somit um Bestandsgeschäft im Sinne des Durchführungsbeschlusses der Kommission vom 04.06.2021 handelt, diese bestehenden Standarddatenschutzklauseln bis auf Weiteres Bestand haben. Der Auftragsverarbeiter wird, soweit möglich, diese Standarddatenschutzklauseln mit Stand 2010 spätestens bis zum 27.12.2022 durch die Standarddatenschutzklauseln mit Stand 2021 (Durchführungsbeschluss der EU-Kommission 2021/914 vom 04.06.2021) zu ersetzen. Die Parteien sind sich darüber einig, dass diese Vorgehensweise einen vertrags- und rechtskonformen Zustand darstellt. Soweit die Umsetzung der Standarddatenschutzklauseln mit Stand 2021 mit Unterauftragsverarbeitern im Drittland nicht bis zum 27.12.2022 erfolgen kann, gelten für die Herstellung eines gesetzeskonformen Zustands durch den Auftragsverarbeiter die Regelungen Klausel 7.7 zum Einsatz von Unterauftragsverarbeitern und Ziffer 4.1 zu Änderungen. Der Auftragsverarbeiter ist im Falle eines Drittstaatentransfers zudem berechtigt, mit seinen Unterauftragnehmern (Anhang IV) nach Art. 46 DS-GVO zugelassene geeignete Garantien insbesondere genehmigte verbindliche interne Datenschutzvorschriften nach Art. 47 DS-GVO zu verwenden. 5.8 Löschung bzw. Rückgabe personenbezogener Daten Die Parteien stimmen überein, dass Klausel 10 Buchstabe d und Art. 28 Abs. 3 g) DS-GVO so auszulegen sind, dass ein Wahlrecht des Kunden (Verantwortlichen) auf Löschung oder Rückgabe nur besteht, wenn die vereinbarte Leistung beide Optionen ermöglicht. Mit Beendigung des Hauptvertrags erfolgt durch den Auftragsverarbeiter regelmäßig die sofortige Löschung aller auf den Speichermedien durch den Kunden gespeicherten (auch personenbezogenen) Daten des Kunden, sofern NMM nicht aufgrund gesetzlicher Vorschriften (bestimmte) personenbezogene Daten (weiter) speichern muss. Es ist Sache des Kunden, für die rechtzeitige vorherige Speicherung dieser Daten auf einem eigenen Speichermedium Sorge zu tragen. 5.9 Kirchlicher Datenschutz Ist der Auftraggeber eine Kirche oder eine religiöse Vereinigung bzw. Gemeinschaft im Sinne des Art. 91 DS-GVO, unterwirft sich der Auftragsverarbeiter der Aufsicht dieser jeweiligen Institution, soweit diese unabhängige Aufsichtsbehörde die in Kapitel VI DS-GVO niedergelegte Bedingungen erfüllt. 6 Prüfungen/Kontrollen 6.1 Der für den Kunden datenschutzrechtlich Prüfende oder Kontrollierende darf nicht in einem Wettbewerbsverhältnis zu NMM stehen. 6.2 NMM darf Prüfungen/Kontrollen in dem Umfang verweigern, wie sie zu einer übermäßigen Beeinträchtigung des Geschäftsablaufs führen. 7 Änderungen der datenschutzrechtlichen Vertragsbedingungen 7.1 Änderungen dieser datenschutzrechtlichen Vertragsbedingungen bedürfen der Textform. Im Übrigen gelten für Änderungen dieser datenschutzrechtlichen Vertragsbedingungen mit Vorrang gegenüber allen anderen etwaigen Änderungsklauseln folgende Regelungen: 7.2 Für die Änderungen von Unterauftragsverarbeitern: Es gilt Klausel 7.7 Buchstabe a Satz 2. 7.3 Für Änderungen auf Veranlassung durch ALL-INKL.COM gilt: Beabsichtigt ALL-INKL.COM die vereinbarten Leistungen oder die Bedingungen der Auftragsverarbeitung zu ändern (z.B. auf Grund von Behördenentscheidungen, Änderungen in Lieferantenbeziehungen, Gesetzesänderungen), wird sie den Kunden mindestens 4 Wochen vor dem Wirksamwerden der Änderungen in Textform informieren und soweit möglich Nachteile für den Kunden vermeiden. Die geänderten Bedingungen werden unter den nachfolgenden Voraussetzungen Vertragsbestandteil: Bei Änderungen zugunsten des Kunden, bei lediglich unerheblichen Änderungen oder bei zwingenden rechtlichen Änderungen ist ALL-INKL.COM zu einseitigen Änderungen der Bedingungen zur Auftragsverarbeitung berechtigt. Bei allen anderen Änderungen steht dem Kunden das Recht zu, die betroffenen Leistungen ohne Einhaltung einer Kündigungsfrist zum Zeitpunkt des Wirksamwerdens der Änderungen zu kündigen. Auf das Kündigungsrecht wird der Kunde in der Änderungsmitteilung ausdrücklich hingewiesen. Auftragsverarbeitungsvertrag Stand 19.09.2022 Seite 7 von 14 7.4 Für Änderungen auf Veranlassung durch den Kunden gilt: Wünscht der Kunde die Anpassung der Bedingungen der Auftragsverarbeitung, wird er NMM informieren und seinen Änderungswunsch begründen. Bei umfangreichen Änderungswünschen wird NMM dem Kunden ein kostenpflichtiges Angebot zur Prüfung derselben übersenden. Erklärt sich NMM mit dem Änderungswunsch des Kunden ggf. gegen zusätzliche Vergütung einverstanden, übersendet NMM diesem die geänderten Unterlagen. Die Änderungen werden zu dem in den Unterlagen genannten Zeitpunkt wirksam, wenn der Kunde binnen 4 Wochen zustimmt. Soweit NMM den Änderungswunsch des Kunden ablehnt oder nur unter erheblichen Mehrkosten erbringen kann, wird sie diesen hierüber informieren. Der Kunde ist in diesem Fall berechtigt, die betroffene Leistung ohne Einhaltung einer Frist zu kündigen. Bis zur Einigung über den Änderungswunsch des Kunden oder Beendigung der betroffenen Leistungen gelten die bisherigen Bestimmungen unverändert fort und NMM ist zur Umsetzung etwaiger Änderungen nicht verpflichtet. 8 Datenschutzrechtliche Verantwortung Soweit der Kunde durch die Nutzung der ihm bereitgestellten technischen Mittel und Anwendungen personenbezogenen Daten Dritter verarbeitet, ist es in diesem Verantwortungsbereich allein Sache des Kunden zu prüfen und entscheiden, ob er im sachlichen und persönlichen Anwendungsbereich der DS-GVO tätig ist und insbesondere für all seine Verarbeitungsvorgänge eine Rechtsgrundlage der jeweils von der Verarbeitung betroffenen Personen (vgl. Art. 6 DS-GVO) beanspruchen kann. NMM leistet hierzu keine Rechtsberatung. 9 Gültigkeit und Vorrangregelung 9.1 Sollten einzelne Bestimmungen dieser datenschutzrechtlichen Vertragsbestimmungen ganz oder teilweise unwirksam sein oder werden, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. 9.2 Bei Widersprüchen zwischen den Bestimmungen dieser datenschutzrechtlichen Vertragsbedingungen mit sonstigen Vereinbarungen, insbesondere den übrigen Geschäftsbedingungen von NMM sind die Bestimmungen dieser datenschutzrechtlichen Vertragsbedingungen maßgebend. Im Übrigen bleiben die sonstigen Vereinbarungen, insbesondere ALL-INKL.COM – Neue Medien Münnich Inhaber: René Münnich Hauptstraße 68, 02742 Friedersdorf, Deutschland – Auftragsverarbeiter und Auftragnehmer – Auftragsverarbeitungsvertrag Stand 19.09.2022 Seite 8 von 14 die übrigen Geschäftsbedingungen von ALL-INKL.COM unberührt und gelten für diese datenschutzrechtlichen Vertragsbedingungen entsprechend. – Verantwortlicher und Auftraggeber – Datum 20.12.2022 Kundennummer 741645 Korbinianstr. 1, 82008 Unterhaching, Deutschland Dr. Josef Reindl ANHANG I Liste der Parteien Parteien der Vereinbarung sind die Vertragspartner der datenschutzrechtlichen Vertragsbedingungen, d.h. jeweils ALLINKL.COM – Neue Medien Münnich, Inhaber: René Münnich, Hauptstraße 68, D-02742 Friedersdorf („NMM“ oder „Auftragsverarbeiter“) und der jeweilige Kunde des Webhosting-Vertrags („Verantwortlicher“ oder „Kunde“). ANHANG II Beschreibung der Verarbeitung 1 Gegenstand der Verarbeitung Der Verantwortliche (Kunde) kann die technischen Mittel (Hardware und Anwendungssoftware) des Auftragsverarbeiters (NMM) auf dessen bereit gestellten Speicher- und Netzwerkressourcen eines Rechenzentrums nach Maßgabe des Webhosting-Vertrags und dem gewählten Webhosting-Paket (Webhosting-Tarif) nach den Bestimmungen der AGB und der ergänzenden Geschäftsbedingungen in Anspruch nehmen, um dort unter anderem die vom Kunden selbst erhobenen personenbezogene Daten zu speichern und weiter zu verarbeiten. Welche technischen Mittel aus den vorhandenen Ressourcen der Kunde nutzt, ist allein Sache des Kunden; so entscheidet auch der Kunde, ob er überhaupt personenbezogene Daten im Anwendungsbereich der DS-GVO verarbeitet, was Gegenstand und Dauer der Verarbeitung sind, bestimmt Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen. Typisch für den Auftragsverarbeiter ist der Gegenstand der Verarbeitung von personenbezogenen Daten das Speicherns der Daten auf Servern in der Anwendung des Website-Hostings, des E-Mail-Hostings sowie der Datenbankverwaltung und Domainverwaltung. 2 Dauer der Verarbeitung Typischerweise entspricht für den Auftragsverarbeiter die Dauer der Verarbeitung der (unbestimmten) Laufzeit des Webhosting-Vertrags und solange der Verantwortliche überhaupt personenbezogene Daten verarbeitet. 3 Art der Verarbeitung Die mit dem Webhosting-Vertrag überwiegende Verarbeitungsart ist das Speichern von (personenbezogenen) Daten über die Server des Auftragsverarbeiters sowie die Übermittlung mittels der technischen Systeme an die vom Verantwortlichen ausgewählten Dritten sowie die Anbindung der Speicherplätze an das Internet. Sobald der Verantwortliche dies veranlasst, werden personenbezogene Daten gelöscht. 4 Zweck(e), für den/die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden Der Auftragsverarbeiter wirkt an den Zwecken des Verantwortlichen mit, die dieser mit seinen Verarbeitungszwecken verfolgt, beschränkt auf das Zurverfügungstellen der technischen Mittel für die vorstehend genannten Verarbeitungsarten für Installation, Wartung und Störungsbeseitigung. Es ist Sache des Verantwortlichen, die Zwecke ggü. dem Auftragsverarbeiter ggf. näher zu konkretisieren. 5 Art bzw. Kategorien der personenbezogenen Daten, die verarbeitet werden Die mit dem Webhosting-Vertrag verarbeiteten Datenarten bzw. Datenkategorien bestimmt der Verantwortliche. Dazu zählen in aller Regel Kundendaten, Beschäftigtendaten, Daten der Website-Nutzer, Daten der E-Mail-Nutzer. Es ist Sache des Verantwortlichen, die Art der personenbezogenen Daten ggü. dem Auftragsverarbeiter ggf. näher zu konkretisieren und insbesondere im Fall verarbeiteter sensibler Daten Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen zu verlangen. 6 Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden Die mit dem Webhosting-Vertrag verarbeiteten Kategorien betroffener Personen bestimmt der Verantwortliche. Dazu zählen in aller Regel Kunden (Vertragspartner), Beschäftigte, Interessierte, Nutzer und Besucher. Auftragsverarbeitungsvertrag Stand 19.09.2022 Seite 9 von 14 ANHANG III Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten 0 Verpflichtung auf die technischen und organisatorischen Maßnahmen ALL-INKL.COM – Neue Medien Münnich Inhaber: René Münnich Hauptstraße 68, 02742 Friedersdorf, Deutschland und der Unterauftragsverarbeiter Neue Medien Münnich GmbH Hauptstraße 68, 02742 Friedersdorf, Deutschland haben für Zwecke der Erbringung der Dienstleistungen im Webhosting-Vertrag unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die für eine Auftragsverarbeitung erforderlichen technischen und organisatorischen Maßnahmen getroffen, um bei der (Auftrags-)Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die (Auftrags-)Verarbeitung besonderer Kategorien personenbezogener Daten. Vertraulichkeit 1 Zutrittskontrolle Gewährleistungsziel: Verwehrung des Zutritts zu Verarbeitungsanlagen, mit denen die (Auftrags-) Verarbeitung durchgeführt wird, für Unbefugte. Getroffene Maßnahmen: 1.1 Die Rechenzentren und das Servicezentrum befinden sich in Deutschland (Dresden und Friedersdorf). Das Webhosting erfolgt ausschließlich auf Datenspeichern in Deutschland. 1.2 Elektronische Zutrittskontrollsysteme und Personal überwachen und gewährleisten den autorisierten Zutritt zum Rechenzentrum, in welchem die IT-Systeme für den Kunden vorgehalten werden, sowie zum Servicezentrum, von welchem die IT-Systeme administriert werden. 1.3 Zutritte von Besuchern werden stets durch Beschäftigte des Auftragsverarbeiters begleitet. Das Rechenzentrum ist 24/7 durch Beschäftigte besetzt. Unbegleitete Zutritte sind nicht möglich. 1.4 Es sind Videokameras zur Überwachung des Zutritts und Einbruchs- bzw. Kontaktmelder im Einsatz. 1.5 Zutrittsberechtigte Beschäftigte sind organisatorisch festgelegt, Magnetkarten bzw. Schlüssel werden nur entsprechend einer Organisationsanweisung vergeben. Über den Zutritt von Besuchern des Rechenzentrums werden Anwesenheitslisten geführt, Regelungen für Fremdpersonal und zur Begleitung von Gästen sind vorhanden. 2 Zugangskontrolle Gewährleistungsziel: Verwehrung des Zugangs zu Datenverarbeitungssystemen, mit denen die (Auftrags-) Verarbeitung durchgeführt wird, für Unbefugte. Getroffene Maßnahmen: 2.1 Der Zugang zu Datenverarbeitungssystemen ist nur durch Authentifizierung möglich, wenigstens durch ein System von Benutzername und Passwort. 2.2. Im Übrigen sind Zugänge durch ein Berechtigungskonzept (abgestufte Zugriffsberechtigungen) nur besonders autorisierten Beschäftigten vorbehalten. 3 Datenträgerkontrolle Gewährleistungsziel: Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern. Getroffene Maßnahmen: 3.1 S.o. Ziffer 2.1 und 2.2. 3.2 Soweit auf Weisung des Kunden Daten im Auftrag verarbeitet und personenbezogene Daten auf FestplattenSpeicherplätzen als Datenträger gespeichert sind, erfolgen Zugriffe des Auftragsverarbeiters durch ein System von Befugnissen abgestufter Zugriffsberechtigungen durch die Beschäftigten in den Abteilungen Technik (Administration), Auftragsverarbeitungsvertrag Stand 19.09.2022 Seite 10 von 14 Support, Domainverwaltung und Kundenbuchhaltung. Berechtigungsbewilligung (organisatorisch) und Berechtigungsvergabe (technisch) sind getrennt. Der Zugriff entsprechend Berechtigung wird auch bei Verfahren zur Wiederherstellung von Daten aus Backups gewahrt. Test- und Produktionsumgebung sind getrennt. 3.3 Es ist Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages durch geeignete Techniken (Software) zu verschlüsseln. 4 Speicherkontrolle Gewährleistungsziel: Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten. Getroffene Maßnahmen: 4.1 Die Bereitstellung der dem Kunden zur Nutzung überlassenen IT-Systeme des Auftragsverarbeiters und die Anbindungen der vertraglich zugesicherten Dienste an das Internet erfolgt außerhalb eines Weisungsrechts des Kunden ausschließlich in Verantwortung des Auftragsverarbeiters. 4.2 Der Zugang des Kunden auf die Datenspeicher des Auftragsverarbeiters, mit welchen die Webhosting-Dienstleistungen erbracht werden, erfolgt ausschließlich von außerhalb der Betriebsgebäude über Datenleitungen bzw. das Internet durch ein System der Anmeldung des Kunden mit einem ihm vergebenen Benutzernamen und einem Passwort. 4.3 Je nach den Nutzungshandlungen, die der Kunde auf den ihm zur Nutzung überlassenen Datenspeichern vornimmt, ist es alleine seine Verantwortung zu verhindern, dass eine unbefugte Eingabe von personenbezogenen Daten sowie eine unbefugte Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten erfolgt. 4.4. Soweit jedoch der Auftragsverarbeiter auf Weisung des Kunden tätig wird, personenbezogene Daten des Kunden auf den ihm überlassenen Datenspeichern zu verarbeiten, hat nur ausgewähltes technisches Personal Zugangsrechte auf die betroffenen IT-Systeme. 4.5. Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Speicherkontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren) Zugang und Zugriff zu gewähren. 5 Benutzerkontrolle Gewährleistungsziel: Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte. Getroffene Maßnahmen: 5.1 Soweit im Rahmen der Auftragsverarbeitung durch den Auftragsverarbeiter „Einrichtungen zur Datenübertragung“ in den IT-Systemen des Auftragsverarbeiters genutzt werden, werden diese Einrichtungen durch ein dem Stand der Technik entsprechendes Verschlüsselungsverfahren betrieben, wenn der Schutzbedarf eine Verschlüsselung erfordert. 5.2 Sämtliche Beschäftigte des Auftragsverarbeiters sind zum Personendatenschutz geschult und entsprechend zur Vertraulichkeit verpflichtet. 5.3 Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Benutzerkontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren) Zugang und Zugriff zu gewähren. 6 Übertragungskontrolle Gewährleistungsziel: Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können. Getroffene Maßnahmen: 6.1 Soweit der Auftragsverarbeiter Übermittlungen oder Zurverfügungstellungen auf Weisung des Kunden vornimmt, werden die betroffenen Übermittlungsstellen dokumentiert. 6.2 Soweit erforderlich werden die Daten gegen Zugriffe auf Netzwerkebene geschützt und Schnittstellen gegen unbefugten Datenexport gesichert. 6.3 Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Übertragungskontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren) Zugang und Zugriff zu gewähren und durch eine Verschlüsselung, z.B. SSL/TLS, dafür zu sorgen, dass die von ihm zu übertragenen Daten für Dritte nicht lesbar sind. 7 Zugriffskontrolle Gewährleistungsziel: Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. Auftragsverarbeitungsvertrag Stand 19.09.2022 Seite 11 von 14 Getroffene Maßnahmen: Es ist Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Zugriffskontrolle zu unterziehen, insbesondere nur geeigneten Dritten (z.B. Webagenturen, Administratoren) Zugang und Zugriff zu gewähren. 8 Eingabekontrolle Gewährleistungsziel: Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind. Getroffene Maßnahmen: 8.1 Es ist Sache des Kunden, ggf. personenbezogene Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einzugeben und dazu, insbesondere nur geeignete Dritte einzusetzen (z.B. Webagenturen, Administratoren). Die Beschäftigten des Auftragsverarbeiters dürfen grundsätzlich nicht auf diese Daten zugreifen bzw. Daten eingeben, verändern oder löschen. 8.2 Das Verarbeiten von personenbezogenen Daten erfolgt somit grundsätzlich durch den Kunden, so dass durch den Auftragsverantwortlichen nicht nachträglich überprüft werden und festgestellt werden kann, welche personenbezogenen Daten der Kunde zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert hat. 8.3 Nur im Rahmen seiner Tätigkeiten nach Weisung protokolliert der Auftragsverarbeiter diese Eingaben und Veränderungen in angemessener Weise und dokumentiert die Uhrzeit und den Eingebenden. 8.4 Muss der Auftragsverarbeiter aus gesetzlichen Gründen Informationen entfernen oder den Zugang zu ihnen sperren (etwa im Falle der Nutzung vom Kunden auf den IT-Systemen für Dritte bereit gehaltenen Telemediendiensten bzw. elektronischen Kommunikationsdiensten), wird die Sperrung bzw. die Entfernung von Inhalten protokolliert. Die Protokolldaten werden aufbewahrt und enthalten die Mitarbeiterkennung. Die Löschung erfolgt nach dem Vertragsende automatisiert und wird protokolliert. 9 Transportkontrolle Gewährleistungsziel: Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden. Getroffene Maßnahmen: 9.1 Die Gewährleistung der Vertraulichkeit der Übermittlung von personenbezogenen Daten wird durch SSL/TLSVerschlüsselungen über die Webseiten des Auftragsverarbeiters gewährleistet. Soweit nach der Art des personenbezogenen Datums eine Integritätswahrung erforderlich ist, setzt der Auftragsverarbeiter ein Prüfsummenverfahren ein. 9.2 Die Datenträgerentsorgung geschieht durch zertifizierte Entsorgungsdienstleister. 9.3 Im Übrigen ist es Sache des Kunden, die Daten auf dem ihm vertragsgemäß überlassenen Speicherplatz für die Dauer des Vertrages einer geeigneten Transportkontrolle zu unterziehen und geeignete Verschlüsselungstechniken einzusetzen. 10 Pseudonymisierung Getroffene Maßnahmen: Es ist Sache des Kunden, personenbezogene Daten auf dem ihm überlassenen Speicherplatz selbst zu pseudonymisieren, soweit dies gesetzlich erforderlich ist. 11 Klassifikationsschema für Daten Getroffene Maßnahmen: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim, vertraulich, intern, öffentlich, normaler Schutzbedarf, durchschnittlicher Schutzbedarf, hoher Schutzbedarf, sensibles Datum). Integrität 12 Datenintegrität Gewährleistungsziel: Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können. Getroffene Maßnahmen: Auftragsverarbeitungsvertrag Stand 19.09.2022 Seite 12 von 14 12.1 Es erfolgt die Anfertigung von Sicherheitskopien von Daten, Prozesszuständen, Konfigurationen, Datenstrukturen und Transaktionshistorien sowie die Dokumentation der Syntax von Daten. 12.2 Es bestehen Reparaturstrategien und Ausweichprozesse. 12.3 Schreib- und Änderungsrechte sind eingeschränkt. 12.4 Erforderlichenfalls erfolgt der Einsatz von Prüfsummen, elektronischen Siegeln und Signaturen in Datenverarbeitungsprozessen gemäß eines Kryptografiekonzepts. 12.5 Es erfolgt ein Monitoring des Sollverhaltens von Prozessen. Es werden regelmäßig Tests zur Feststellung und Dokumentation der Funktionalität, von Risiken sowie Sicherheitslücken und Nebenwirkungen von Prozessen durchgeführt. 12.6 Das Sollverhalten von Abläufen bzw. Prozessen wird festgelegt. Es erfolgt eine regelmäßige Durchführung von Tests zur Feststellbarkeit bzw. Feststellung der Ist-Zustände von Prozessen. 12.7 Über die Maßnahmen Ziffer 12.1 bis 12.6 hinaus, die der Auftragsverarbeiter für seine Daten und Systeme ergreift, ist es Sache des Kunden, für die Datenintegrität des Datenbestandes auf dem ihm überlassenen Speicherplatz selbst Sorge zu tragen. Verfügbarkeit und Belastbarkeit 13 Verfügbarkeitskontrolle Gewährleistungsziel: Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind. Getroffene Maßnahmen: 13.1 Die Stromversorgung der Rechenzentren erfolgt über eigene Trafostationen. Die Stromversorgung und Netzersatzanlagen garantieren höchste Ausfallsicherheit. 13.2 Die unmittelbare Stromversorgung der Server ist typenabhängig, so dass bei der Verwendung entsprechender Typen zusätzlich eine redundante Stromversorgung über ein redundantes Netzteil (2 Netzteile) gewährleistet ist. 13.3 Der gesamte Energieverbrauch der Rechenzentren wird über unterbrechungsfreie Stromversorgungen (USV) sichergestellt. Im Falle eines Stromausfalls garantieren die USV-Anlagen eine unterbrechungsfreie Umschaltung auf eines der Notstrom-Dieselaggregate. Daneben filtern die USV-Anlagen vollständig alle Unregelmäßigkeiten oder Störungen des Stromversorgungsnetzes. 13.4 Leistungsstarke Netzersatzanlagen (Dieselaggregate) versorgen bei Stromausfall die Rechenzentren und die Kühlsysteme mit konstanter Energie. 13.5 Es erfolgt eine gerätegestützte Überwachung der Temperatur und der Feuchtigkeit im Rechenzentrum. 13.6 Es ist ein flächendeckendes Brand- und Frühwarnsystem im Einsatz. 14 Wiederherstellbarkeit Gewährleistungsziel: Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können. Getroffene Maßnahmen: Die eingesetzten Systeme sind technisch redundant vorhanden. Der Datenbestand unterliegt einer regelmäßigen Sicherung. Es ist Sache des Kunden, seinen Datenbestand auf dem ihm überlassenen Speicherplatz selbst durch geeignete Sicherungsmaßnahmen vor Datenverlust zu schützen. 15 Trennbarkeit Gewährleistungsziel: Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können. Getroffene Maßnahmen: 15.1 Es erfolgt eine getrennte Verarbeitung und/oder Lagerung von Daten mit unterschiedlichen Verarbeitungszwecken. 15.2 Es ist ein System von Befugnissen abgestufter Zugriffsberechtigungen durch die Beschäftigten in den Abteilungen Technik (Administration), Support, Domainverwaltung und Kundenbuchhaltung errichtet. 15.3 Es ist Sache des Auftraggebers, für die Trennung von personenbezogenen Daten auf dem ihm überlassenen Speicherplatz, selbst Sorge zu tragen. 16 Zuverlässigkeit Gewährleistungsziel: Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden. Getroffene Maßnahmen: Die Verfügbarkeit der IT-technischen Systeme unterliegt einem 24/7 Monitoring. Auftragsverarbeitungsvertrag Stand 19.09.2022 Seite 13 von 14 Auftragsverarbeitung 17 Auftragskontrolle Gewährleistungsziel: Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Getroffene Maßnahmen: 17.1 Es erfolgt eine Kennzeichnung des Auftragsverarbeitungsstatus gegenüber dem Status der weisungsfreien Datenverarbeitung mit hinterlegtem Auftragsverarbeitungsvertrag und den dazugehörigen Anlagen in der Kundenmaske. Beschäftigte – insbesondere im Rahmen des Telefon-Support – haben somit ständig Kenntnis über das Vorliegen/ Nichtvorliegen eines Auftragsverarbeitungsvertrags. 17.2 Es erfolgt eine Verarbeitung im Auftrag mit standardisierten Vertragsformularen des Auftragsverarbeiters, um eine gleichbleibende Qualität der Auftragsverarbeitung zu gewährleisten. Davon ggf. abweichende Formulare des Auftraggebers werden ggü. den betroffenen Beschäftigten des Auftragsverarbeiters besonders gekennzeichnet, um Abweichungen in den Standards der Arbeitsabläufe zu erfassen. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung 18 Prüfung, Bewertung Evaluierung Gewährleistungsziel: Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der datenschutzkonformen Verarbeitung. Getroffene Maßnahmen: 18.1 Regelmäßige Schulung der Beschäftigten. 18.2 Der Auftragsverarbeiter setzt einen Kernbestand an langjährig und dauerhaft beschäftigtem Technikerpersonal mit DVtechnischer Erfahrung und Expertise ein. ANHANG IV Liste der Unterauftragnehmer Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt: Name: Neue Medien Münnich GmbH. Anschrift: Hauptstraße 68, 02742 Friedersdorf, Deutschland. Name, Funktion und Kontaktdaten der Kontaktperson: Geschäftsführung. Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): Der Unterauftragsverarbeiter ist nicht auf bestimmte Verarbeitungstätigkeiten beschränkt, sondern verarbeitet personenbezogene Daten im Unterauftrag nach Gegenstand und Dauer, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und nach den Kategorien der betroffenen Personen so, wie hier vom Verantwortlichen angegeben. Der Unterauftragnehmer stellt dazu das gesamte Personal und die Rechentechnik zum Abschluss, zur Durchführung und zur Beendigung des Webhosting-Vertrags einschließlich der Kundenbetreuung. Auftragsverarbeitungsvertrag Stand 19.09.2022 Seite 14 von 14