AVV - MEDIENPRODUKTIONEN

AVV 10Media

Datenschutzerklärung und Erörterung zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 Datenschutz- Grundverordnung der CK10 Media GmbH

1. Vertragsgegenstand

(1) Im Rahmen der Nutzung der Produkte der CK10 Media GmbH nach den Allgemeinen Geschäftsbedingungen der CK10 Media GmbH (nachfolgend „Auftragsverarbeiter”) ist es erforderlich, dass der Auftragsverarbeiter Daten speichert und verarbeitet, die vom Auftraggeber im Zuge der Nutzung der Produkte der CK10 Media GmbH zur Durchführung und Realisierung des Produktversprechens erfasst werden. Es ist nicht auszuschließen, dass es sich bei diesen Daten um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO handelt. Ausschließlich für diese Daten (im Folgenden „Auftraggeber-Daten“) gilt der vorliegende Auftragsverarbeitungsvertrag.

(2) Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragsverarbeiters mit den Auftraggeber-Daten in Erfüllung des geschlossenen Hauptvertrages nach Buchung eines Produkts der CK10 Media GmbH.

2. Art, Umfang, Zweck und Laufzeit der Auftragsverarbeitung

(1) Der Auftragsverarbeiter verarbeitet die Auftraggeber-Daten im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt im datenschutzrechtlichen Sinn gemäß Art. 4 Nr. 7 DSGVO verantwortliche Stelle.

(2) Die Verarbeitung der Auftraggeber-Daten im Rahmen der Auftragsdatenverarbeitung erfolgt entsprechend den in Anlage 1 zu diesem Vertrag enthaltenen Festlegungen zu Art, Umfang und Zweck der Datenverarbeitung. Sie bezieht sich auf die in Anlage 1 festgelegte Art der Auftraggeber-Daten, den Zweck der Datenverarbeitung und den dort bestimmten Kreis der Betroffenen.

(3) Die Verarbeitung der Auftraggeber-Daten findet im Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

(4) Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.

3. Weisungsbefugnisse des Auftraggebers

(1) Der Umgang mit den Auftraggeber-Daten durch den Auftragsverarbeiter erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Auftraggebers gemäß Art. 28 Abs. 3 S. 2 lit. a DSGVO, es sei denn, dass der Auftragsverarbeiter nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang, Mittel und Zwecke der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Erteilt der Auftraggeber Einzelweisungen hinsichtlich des Umgangs mit Auftraggeber-Daten, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten vom Auftraggeber zu tragen.

(3) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Der Auftragsverarbeiter ist nicht berechtigt die Auftraggeber-Daten an Dritte weiterzugeben und verwendet die Daten für keine anderen Zwecke, insbesondere nicht für eigene Zwecke.

(4) Den Auftragsverarbeiter trifft keinerlei Verpflichtung, Weisungen des Auftraggebers (datenschutz-) rechtlich zu prüfen. Der Auftragsverarbeiter wird den Auftraggeber unverzüglich entsprechend Art. 28 Abs. 3 S. 3 DSGVO informieren, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

4. Pflichten des Auftraggebers

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung durch den Auftragsverarbeiter sowie für die Wahrung der Rechte der Betroffenen allein verantwortlich und somit „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO.

(2) Der Auftraggeber ist Inhaber aller etwaigen Rechte, die die Auftraggeber-Daten betreffen.

(3) Der Auftraggeber informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung von Auftraggeber-Daten durch den Auftragsverarbeiter feststellt.

(4) Sollten Dritte gegen den Auftragsverarbeiter aufgrund der Verarbeitung von Auftraggeber-Daten Ansprüche geltend machen, wird der Auftraggeber den Auftragsverarbeiter von allen solchen Ansprüchen auf erstes Anfordern freistellen.

5. Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter stellt sicher und kontrolliert regelmäßig, dass die Verarbeitung der Auftraggeber-Daten im Rahmen der Leistungserbringung nach dem Hauptvertrag in seinem Verantwortungsbereich, der die Unterauftragsverarbeiter nach Ziffer 9 dieses Vertrags einschließt, in Übereinstimmung mit den Bestimmungen dieses Vertrags erfolgt.

(2) Der Auftragsverarbeiter ist verpflichtet, einen fachkundigen und zuverlässigen Datenschutzbeauftragten zu bestellen, der seine Tätigkeit gemäß der Art. 37, 38 und 39 DSGVO ausüben kann, sofern und solange die gesetzlichen Voraussetzungen für eine Bestellpflicht gegeben sind. Dessen Kontaktdaten werden dem Auftraggeber auf Anforderung mitgeteilt.

(3) Der Auftragsverarbeiter hat gemäß Art. 28 Abs. 3 S. 2 lit. b DSGVO alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, schriftlich auf das Datengeheimnis zu verpflichten und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie über die bestehende Weisungs- bzw. Zweckbindung zu belehren.

(4) Der Auftragsverarbeiter darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsverarbeitung keine Kopien oder Duplikate der Auftraggeber-Daten anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(5) Der Auftragsverarbeiter ist verpflichtet den Auftraggeber, im Rahmen des Zumutbaren und Erforderlichen und gegen Erstattung der dem Auftragsverarbeiter hierdurch entstehenden Aufwände und Kosten, bei der Erfüllung seiner gesetzlichen Verpflichtungen zu unterstützen. Dazu gehört die Einhaltung der technischen und organisatorischen Maßnahmen, die Meldung von Datenpannen an die Aufsichtsbehörde und Betroffene, die Durchführung von Datenschutz-Folgenabschätzungen sowie die vorherigen Konsultation der zuständigen Aufsichtsbehörde.

(6) Der Auftragsverarbeiter ist verpflichtet dem Auftraggeber alle erforderlichen Informationen, einschließlich Zertifizierungen sowie Überprüfungs- und Inspektionsergebnissen, die dem Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten dienen, zur Verfügung zu stellen.

6. Technische und organisatorische Maßnahmen

(1) Der Auftragsverarbeiter hat vor Beginn der Verarbeitung der Auftraggeber- Daten die in Anlage 2 dieses Vertrags aufgelisteten technischen und organisatorischen Maßnahmen zu implementieren und während des Vertrags aufrechtzuerhalten.

(2) Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, ist es dem Auftragsverarbeiter gestattet, alternative und adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 2 festgelegten Maßnahmen nicht unterschritten wird. Der Auftragsverarbeiter wird solche Änderungen dokumentieren. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen Zustimmung des Auftraggebers und sind vom Auftragsverarbeiter zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zu stellen.

7. Mitzuteilende Verstöße des Auftragsverarbeiters

(1) Der Auftragsverarbeiter informiert den Auftraggeber zeitnah, wenn er feststellt, dass er oder ein Mitarbeiter bei der Verarbeitung von Auftraggeber- Daten gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus diesem Vertrag verstoßen haben, sofern die Gefahr einer Verletzungen des Schutzes personenbezogener Daten des Auftraggebers im Sinne des Art. 4 Nr. 12 DSGVO besteht.

(2) Soweit den Auftraggeber, aufgrund eines Vorkommnisses nach Absatz (1) gesetzliche Informationspflichten wegen einer unrechtmäßigen Kenntniserlangung von Auftraggeber-Daten (insbesondere nach Art. 33 und 34 DSGVO) treffen, hat der Auftragsverarbeiter den Auftraggeber bei der Erfüllung der Informationspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragsverarbeiter hierdurch entstehenden Aufwände und Kosten zu unterstützen.

8. Kontrollrechte des Auftraggebers

(1) Der Auftraggeber überzeugt sich auf eigene Kosten vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters gemäß Anlage 2 und dokumentiert das Ergebnis. Hierfür kann er Selbstauskünfte des Auftragsverarbeiters einholen, sich ein Testat eines Sachverständigen vorlegen lassen oder sich nach rechtzeitiger Terminabsprache ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragsverarbeiters persönlich überzeugen. Der Auftragsverarbeiter verpflichtet sich, die Kontrollen des Auftraggebers in geeigneter Weise zu unterstützen und alle erforderlichen Kontrollmaßnahmen zu dulden.

(2) Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer Kontrolle erforderlich sind.

(3) Der Auftragsverarbeiter ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragsverarbeiters sind oder wenn der Auftragsverarbeiter durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragsverarbeiters, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragsverarbeiters, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.

(4) Der Auftraggeber hat den Auftragsverarbeiter rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen.

(5) Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 10 dieses Vertrags gegenüber dem Auftragsverarbeiter verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragsverarbeiters hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragsverarbeiters mit der Kontrolle beauftragen.

(6) Nach Wahl des Auftragsverarbeiters kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 anstelle einer Vor-Ort-Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z.B. nach BSI- Grundschutz – („Prüfungsberichts“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen.

9. Unterauftragsverhältnisse

(1) Der Auftragsverarbeiter darf Unterauftragsverhältnisse hinsichtlich der Verarbeitung von Auftraggeber-Daten nur nach vorheriger schriftlicher Zustimmung des Auftraggebers begründen. Eine solche vorherige Zustimmung darf vom Auftraggeber nur aus wichtigem, dem Auftragsverarbeiter nachzuweisenden, Grund verweigert werden. Der Auftragsverarbeiter wird dem Auftraggeber auf Anforderung eine aktuelle Übersicht über die eingeschalteten Unterauftragsverarbeiter übergeben. Im Fall einer schriftlichen Genehmigung informiert der Auftragsverarbeiter den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter.

(2) Die in Anlage 3 benannten Unterauftragsverarbeiter gelten als vom Auftraggeber bereits genehmigt.

(3) Im Fall der Hinzuziehung eines Unterauftragsverarbeiters erlegt der Auftragsverarbeiter diesem, im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats, dieselben Datenschutzpflichten auf, die in diesem Vertrag festgelegt sind. Erfüllt ein Unterauftragsverarbeiter die in diesem Vertrag festgelegt Verpflichtungen nicht oder verstößt gegen datenschutzrechtliche Vorschriften, so haftet der Auftragsverarbeiter gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Unterauftragsverarbeiters.

(4) Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung, und somit nicht durch den Auftraggeber Zustimmungsbedürftig, sind solche Dienstleistungen zu verstehen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen insbesondere Telekommunikationsleistungen, Bewachungsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer und die Entsorgung von Datenträgern. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

10. Rechte der Betroffenen

(1) Die Rechte der durch die Datenverarbeitung betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen.

(2) Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter zur Wahrnehmung seiner Rechte gemäß der Art. 12 bis 22 DSGVO der ihn betreffenden Daten wenden sollte, wird der Auftragsverarbeiter den Betroffenen an den Auftraggeber verweisen.

(3) Für den Fall, dass eine betroffene Person ihre Rechte gemäß der Art. 12 bis 22 DSGVO geltend macht, hat der Auftragsverarbeiter den Auftraggeber bei der Erfüllung dieser Ansprüche in angemessenem und für den Auftraggeber erforderlichen Umfang zu unterstützen, sofern der Auftraggeber die Ansprüche nicht ohne Mitwirkung des Auftragsverarbeiters erfüllen kann. Etwaigen Zusatzaufwand wird der Auftraggeber dem Auftragsverarbeiter erstatten.

(4) Der Auftragsverarbeiter wird es dem Auftraggeber ermöglichen, Auftraggeber- Daten zu berichtigen, zu löschen oder zu sperren oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Löschung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.

11. Rückgabe und Löschung überlassener Auftraggeber-Daten

(1) Der Auftragsverarbeiter hat sämtliche Auftraggeber-Daten nach Beendigung der vertragsgegenständlichen Leistungserbringung (insbesondere bei Kündigung oder sonstiger Beendigung des Hauptvertrags), nach Wahl des Auftraggebers, zurückzugeben oder zu löschen und bestehende Kopien zu vernichtet, sofern nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht.

(2) Über eine Löschung bzw. Vernichtung von Auftraggeber-Daten hat der Auftragsverarbeiter ein Protokoll zu erstellen, das dem Auftraggeber auf Anforderung vorzulegen ist.

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

12. Schlussbestimmungen

(1) Sollte der Vertrag unwirksame Regelungen enthalten, bleibt die Wirksamkeit des Vertrages im Übrigen unberührt.

(2) Die Leistungen erfolgen ausschließlich auf der Grundlage dieser Allgemeinen Geschäftsbedingungen. Die Allgemeinen Geschäftsbedingungen gelten gegenüber Unternehmen somit auch für alle künftigen Geschäftsbeziehungen, auch wenn sie nicht nochmals ausdrücklich vereinbart werden. Der Einbeziehung von Allgemeinen Geschäftsbedingungen eines Kunden, die unseren Allgemeinen Geschäftsbedingungen widersprechen, wird schon jetzt widersprochen.

(3) Auf den vorliegenden Vertrag ist ausschließlich deutsches Recht unter Ausschluss des UN-Kaufrechts anwendbar.

(4) Gerichtsstand für alle sich aus diesem oder im Zusammenhang mit diesem Vertrag ergebenden Streitigkeiten ist der Geschäftssitz des Auftraggebers.

Anlage 1 – Auftraggeber Daten

Der Auftragsverarbeiter erbringt die nach dieser Anlage vereinbarten Leistungen gegenüber dem Auftraggeber ausschließlich nach Weisung des Auftraggebers und auf Grundlage der zwischen den Parteien geschlossenen Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag.

Der Auftragsverarbeiter verarbeitet im Auftrag des Auftraggebers nachfolgende personenbezogene Daten zu den genannten Zwecken:

Art der Daten	Zweck der Datenverarbeitung	Kreis der Betroffenen
Unternehmensdaten	Dient zur Veröffentlichung der Kontaktdaten des Unternehmens des Auftraggebers zur Kontaktaufnahme durch Interessenten	Interessenten, die den Unternehmensclip/das Image-Video des Auftraggebers ansehen
Kundendaten	Kundenservice, Billing uns Accounting	Mitarbeiter der CK10 Media GmbH in den Bereichen Kundenservice, Finance und Key Account Management

Anlage 2 – Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter bedient sich zur Erfüllung seiner hauptvertraglichen Pflichten der Dienste des Cloud-Computing-Anbieters Amazon Web Services (im Folgenden AWS). Durch die Auslagerung und Nutzung des Hosting Service, fallen Teile der im Folgenden aufgeführten technischen und organisatorischen Maßnahmen in den Verantwortungsbereich von AWS.

1. Zugangskontrolle
Die Zugangskontrolle soll verhindern, dass Unbefugte Zugangs zu Verarbeitungsanlagen erhalten, mit denen die Verarbeitung durchgeführt wird.Die Erfüllung dieser technischen und organisatorischen Maßnahme unterliegt AWS und ist in Nr. 5 des Unterauftragsverhältnisses zwischen dem Auftragsverarbeiter und AWS geregelt.

2. Datenträgerkontrolle
Die Datenträgerkontrolle soll verhindern, dass Unbefugte Datenträger lesen, kopieren, verändern oder löschen können.Die Erfüllung dieser technischen und organisatorischen Maßnahme unterliegt AWS und ist in Nr. 5 des Unterauftragsverhältnisses zwischen dem Auftragsverarbeiter und AWS geregelt.

3. Speicherkontrolle
Die Speicherkontrolle soll verhindern, dass unbefugte von gespeicherten personenbezogenen Daten Kenntnis nehmen sowie diese eingeben, verändern und löschen können.

Festlegung von Berechtigungen in den IT-Systemen
Differenzierte Berechtigungen für lesen, löschen und ändern
Differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem
Verwaltung der Rechte durch Systemadministratoren
Anzahl der Administratoren auf das „Notwendigste“ reduziert
Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
Protokollierung von Zugriffen auf Anwendungen

4. Benutzerkontrolle
Die Benutzerkontrolle soll verhindern, dass Unbefugte automatisierte Verarbeitungssysteme mit Hilfe von Datenübertragung nutzen können.

Festlegung zugangsberechtigter Mitarbeiter
Erstellen von Benutzerprofilen
Passwortvergabe
Authentifikation mit Benutzername / Passwort
Regelmäßige Kontrolle von Berechtigungen
Sperrung von Berechtigungen ausscheidender Mitarbeiter
Zuordnung von Benutzerprofilen zu IT-Systemen
Einsatz von Verschlüsselungs-Technologie
Einsatz von Anti-Viren-Software

5. Zugriffskontrolle
Die Zugriffskontrolle soll gewährleisten, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben.

Festlegung von Berechtigungen in den IT-Systemen
Differenzierte Berechtigungen für lesen, löschen und ändern
Differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem
Verwaltung der Rechte durch Systemadministratoren
Anzahl der Administratoren auf das „Notwendigste“ reduziert
Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
Protokollierung von Zugriffen auf AnwendungenEinrichtungen von Standleitungen bzw. Verschlüsselungs-Technologien

6. Übertragungskontrolle
Die Übertragungskontrolle soll gewährleisten, dass überprüft und festgestellt werden kann, an welchen Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.

Einrichtungen von Standleitungen bzw. Verschlüsselungs-Technologien
Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen
Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen

7. Eingabekontrolle
Die Eingabekontrolle soll gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind.

Protokollierung der Eingabe
Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

8. Transportkontrolle
Die Transportkontrolle soll gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.

Einrichtungen von Standleitungen bzw. Verschlüsselungs-Technologien

9. Wiederherstellbarkeit
Die Wiederherstellbarkeit soll gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.
Die Erfüllung dieser technischen und organisatorischen Maßnahme unterliegt AWS und ist in Nr. 5 des Unterauftragsverhältnisses zwischen dem Auftragsverarbeiter und AWS geregelt.

10. Zuverlässigkeit
Die Zuverlässigkeit soll gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.
Die Erfüllung dieser technischen und organisatorischen Maßnahme unterliegt AWS und ist in Nr. 5 des Unterauftragsverhältnisses zwischen dem Auftragsverarbeiter und AWS geregelt.

11. Datenintegrität
Die Datenintegrität soll gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können.
Die Erfüllung dieser technischen und organisatorischen Maßnahme unterliegt AWS und ist in Nr. 5 des Unterauftragsverhältnisses zwischen dem Auftragsverarbeiter und AWS geregelt.

12. Auftragskontrolle
Die Auftragskontrolle soll gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Auswahl des Unterauftragsverarbeiters unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
Vorherige Prüfung der Dokumentation der beim Unterauftragsverarbeiter getroffenen Sicherheitsmaßnahmen
Verpflichtung der Mitarbeiter des Unterauftragsverarbeiters auf das Datengeheimnis (Art. 28 Abs. 3 S. 2 lit b DSGVO)
Unterauftragsverarbeiter hat Datenschutzbeauftragten bestellt
Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
Wirksame Kontrollrechte gegenüber dem Unterauftragsverarbeiter vereinbart
Kontrolle der Einhaltung von Datenschutzbestimmungen
Laufende Überprüfung des Unterauftragsverarbeiters und seiner Tätigkeiten

13. Verfügbarkeitskontrolle
Die Verfügbarkeitskontrolle soll gewährleisten, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind.
Die Erfüllung dieser technischen und organisatorischen Maßnahme unterliegt AWS und ist in Nr. 5 des Unterauftragsverhältnisses zwischen dem Auftragsverarbeiter und AWS geregelt.

14. Trennbarkeit
Die Trennbarkeit soll gewährleisten, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können.

Logische Mandantentrennung (softwareseitig)
Erstellung eines Berechtigungskonzepts

Anlage 3 – Genehmigte Unterauftragsverarbeiter

Unterauftragnehmer der CK10 Media GmbH einzusehen unter: 10media.de/unterauftragnehmer