Gemäß Art. 13 Datenschutz - Grundverordnung stellen wir Ihnen die folgenden Informationen zur Verfügung.
Verantwortlich im Sinne des Datenschutzrechts ist:
1. Fitness. -und Gesundheitsstudio aktivital, Königstraße 96, 26802 Moormerland, 04954 8903015
2. milon CARE GmbH, An der Laugna 2, 86494 Emersacker, Tel. 08293 965500
Datenschutzbeauftragter: milon Care Datenschutzbeauftragter, datenschutz@milon.com
Verarbeitete Daten:
Die Einrichtung verarbeitet die personenbezogenen Daten, die Sie der Einrichtung beim Vertragschluss zur Verfügung stellen (Stammdaten), die Trainingsdaten sowie ggf. im Rahmen von
Gesundheitsuntersuchungen erhobene Gesundheitsdaten zur Erfüllung des Vertrages. Rechtsgrundlage dafür ist Art. 6 Abs 1 Buchstabe b DSGVO.
Ohne die Daten, die Sie der Einrichtung bei Vertragschluss zur Verfügung stellen, ist der Vertragsschluss nicht möglich.
IIhre Daten verarbeiten die Einrichtung und milon auf Grundlage einer gesonderten Einwilligung, damit die Sie die milon Trainingsgeräte nutzen können; dabei werden die Daten auf Servern, betrieben
und gewartet durch die Milon Care GmbH, verarbeitet. Rechtsgrundlage dafür ist Art. 6 Abs. 1 Buchstabe a DSGVO.
Zweck der Datenverarbeitung
Die Einrichtung und milon verarbeiten Ihre Daten ferner zur Erfüllung einer rechtlichen Verpflichtung, wenn Sie vertragsbezogene Daten Unterlagen oder Informationen für steuerliche Zwecke an den
zuständigen Behörden weitergeben. Die Einrichtung und milon speichern diese Daten zur Erfüllung der Aufbewahrungspflicht nach Handelsrecht und Steuerrecht. Soweit erforderlich, geben die Einrichtung
und milon Daten auch Steuerberatern und Wirtschaftsprüfern bekannt, die zur Berufsverschwiegenheit verpflichtet sind. Rechtsgrundlage dafür ist der Art. 6 Abs. 1 Buchstabe c DSGVO.
Die Einrichtung und milon verarbeiten Ihre Daten zur Wahrung ihrer berechtigten Interessen. Diese sind die Durchsetzung von Ansprüchen und die Verteidigung gegen Ansprüche bei Streitigkeiten aus
dem Vetragsverhältnis. Soweit erforderlich, geben die Einrichtung oder milon Daten Rechtsberatern, Behörden und Gerichten bekannt. Rechtsgrundlage dafür ist Art. 6 Buchstabe f DSGVO.
Dauer der Speicherung
Ihre Daten werden gespeichert, solange diese für einen der oben genannten Zwecke erforderlich sind.
Amazon Cloud
milon nutzt die Cloud - Dienste von Amazon Webservices, Inc, 410 Terry Avenue North, Seattle WA 98109, USA. Das Unternehmen ist nach dem zwischen der EU und den USA abgeschlossenen ABkommens,
"EU-US Privacy Shield" zertifizeirt. Mit dem Beschluss (EU) 2016/1250 hat die EU-Kommision festgestellt, dass bei den zertifitierten Unternehmen eine angemessenes Datenschutzniveau geboten wird.
milon speichert Ihre Daten auf Servern, die von Amazon Webservices, Inc. in Deutschland betrieben werden.
Hetzner Online GmbH
Milon nutzt die Cloud - Dienste von Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen. milon speichert Daten auf Servern von Hetzner Online GmbH, welche in Deutschland betreiben
werden.
Piwik
Wir nutzen die Webanalyse- Software "piwik", um die Nutzung unserer Website analysieren und zu optimieren. Zu diesem Zweck werden Cookies auf Ihrem Computer abgelegt, das sind kurze Textdateien,
die iim Browser vorübergehend gespeichert werden und beim Beenden der Browser-Sitzung wieder gelöscht werden (Session-Cookie). Hierbei werden statistische Daten ausschließlich an den von uns
betrieben Webservern in Deutschland übertragen, z.B. welche Unterseiten wie häufig aufgerufen wurden. Ihre IP Adresse wird anonymisiert. Die erfassten Daten lassen daher keine Rückschluss über Sie
als Besucher unserer Website zu und werden auch nicht mit personenbezogenen Daten zusammengeführt.
Ihre Rechte
Sie haben folgenden Rechte: das Recht auf Auskunft über die verabeiteten personenbezogenen Daten, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung nicht mehr erforderlicher
Daten bzw. auf Einschränkung der Verarbeitung solcher Daten, ein Widerspruchsrecht gegen die Verarbneitung Ihrer Daten für Direktmarketing, und das Recht auf Datenübertragbarkeit. Bei Verstössen
gegen das Datenschutzrecht haben Sie eine Beschwerderecht bei einer Aufsichstbehörde.
Kontaktformular
Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für
den Fall von Anschlussfragen bei uns Gespeichert. Dies Daten geben wir nicht ohne Ihre Einwilligung weiter.
Google Analytics
Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die die Google Inc. 1600 Amphitheatre Parkway Maountain View,CA 94043, USA. Google Analytics verwendet sog.
"Cookies". Das sind Textdateien , die auf Ihrem Computer gespeichert werden und die eine Benutzung der Website Durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung
dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
Durch die Aktivierung der IP-Anonymisierung auf dieser Website wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des
Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des
Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der
Websitenutzung und der Inernetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics vin Ihrem Browser übermittelte IP-Adresse wird nicht
mit anderen Daten von Google zusammengeführt.
Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen SIe jedoch daruaf hin, dass Sie in diesem Falle gegebenenfalls nicht
sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl.
Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenenden Link verfügbare Browser-Plugin herunterladen und installieren:
http./tools.google.com/dlpage/gaoptout?hl=de
Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag
gemäß Art. 28 DSGVO
zwischen
Betreiber von Sport- und Wellnessanlagen
(nachfolgend „ Studio “ oder “ Auftraggeber ” genannt)
und der
Magicline GmbH, Raboisen 6, 20095 Hamburg
(nachfolgend „ Magicline “ oder “ Auftragnehmer ” genannt)
Präambel:
Das Studio und Magicline haben eine Vereinbarung geschlossen, welche das Studio zur Nutzung der
Magicline Verwaltungssoftware in Form eines „Software as a Service“-Dienstes sowie zur
Inanspruchnahme sonstiger Serviceleistungen berechtigt („Hauptvertrag“).
Die Erfüllung der auf Basis des Hauptvertrages seitens Magicline geschuldeten Leistungen bedingt,
dass Magicline mit personenbezogenen Daten des Studios umgeht. Dieser Vertrag konkretisiert die
für beide Parteien insoweit im Rahmen einer sogenannten Auftragsdatenverarbeitung
gemäß Art. 28 DSGVO geltenden datenschutzrechtlichen Rechte und Pflichten.
§ 1 Gegenstand des Vertrags, Art der Daten, Kreis der Betroffenen
(1) Magicline erbringt gegenüber dem Studio folgende Dienstleistungen:
(i) Hosting und Support der seitens des Studios zur Verfügung gestellten Daten
(ii) Verarbeitung der vom Studio zur Verfügung gestellten Daten zur Erstellung von
anonymisierten Marktanalysen
(2) Magicline ist verpflichtet, sämtliche personenbezogenen Daten, auf welche Magicline im Zuge
der Erfüllung der nach diesem Vertrag geschuldeten Leistungen Zugriff erlangt, nach
Vorgaben des Studios streng räumlich getrennt von jedweden Daten von Magicline sowie
Daten Dritter zu verarbeiten.
(3) Von der Auftragsdatenverarbeitung sind Daten folgender Personengruppen betroffen:
(i) Mitarbeiter des Studios und
(ii) Kunden des Studios (nachfolgend „Mitglieder des Studios“).
Es handelt sich dabei ausnahmslos um folgende personenbezogenen Daten des
vorbezeichneten Kreises der Betroffenen:
(i) Bezüglich Mitarbeitern des Studios:
- Name, Adresse, IBAN, BIC des jeweiligen Mitarbeiters
- Geburtsdatum des jeweiligen Mitarbeiters
- Foto des jeweiligen Mitarbeiters
- Vertragslaufzeit und Zahlungsmodalitäten des jeweiligen Mitarbeiters
- offene Verbindlichkeiten des jeweiligen Mitarbeiters
- Daten über Art und Umfang der Nutzung der vom Studio angebotenen Leistungen
durch der Mitarbeiter (Häufigkeit und Dauer der Nutzung)
(ii) Bezüglich Mitgliedern des Studios:
- Name, Adresse, IBAN, BIC des jeweiligen Mitglieds
- Geburtsdatum des jeweiligen Mitglieds
- Foto des jeweiligen Mitglieds
- Vertragslaufzeit und Zahlungsmodalitäten des jeweiligen Mitglieds
- offene Verbindlichkeiten des jeweiligen Mitglieds
- Daten über Art und Umfang der Nutzung der vom Studio angebotenen Leistungen
durch den das Mitglied (Häufigkeit und Dauer der Nutzung)
(4) Zweck der Verarbeitung der vorbezeichneten Daten ist zum einen die Unterstützung des
Studios bei der Verwaltung der mit den Mitgliedern des Studios geschlossenen Verträge
(Mitgliederverwaltung). Zweck ist zum anderen, dem Studio für dessen Marktanalysen in
anonymisierter Form interne und externe Marktdaten unter Nutzung der Daten der Mitglieder
des Studios zur Verfügung zu stellen. Zweck der Verarbeitung der Mitarbeiterdaten ist eine
technische Unterstützung des Studios bei der Personalverwaltung.
§ 2 Weisungsbefugnis
(1) Magicline verarbeitet Daten ausschließlich gemäß den Regelungen des mit dem Studio
geschlossenen Vertrages sowie im Rahmen der vom Studio erteilten Weisungen. Magicline
verwendet die zur Datenverarbeitung überlassenen Daten nicht anderweitig und bewahrt sie
nicht länger auf, als es das Studio bestimmt.
(2) Für die Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Personen,
deren Daten verarbeitet werden (den Betroffenen) nach den Art. 12 bis 22 DSGVO ist allein
der Auftraggeber verantwortlich.
(3) Magicline wird den Auftraggeber bei der Erfüllung von Pflichten gegenüber den Betroffenen
unterstützen.
(4) Der Auftraggeber erteilt alle Weisungen in der Regel schriftlich oder per E-Mail. Mündlich
erteilte Weisungen müssen unverzüglich schriftlich oder per E-Mail bestätigt werden.
§ 3 Datenschutzbeauftragter von Magicline, Verzeichnis der Verarbeitungstätigkeit
(1) Bei Magicline ist als betrieblicher Datenschutzbeauftragter bestellt:
Marc Althaus, DS Extern GmbH, Bredkamp 53a, 22589 Hamburg,
https://www.dsextern.de/anfragen
(2) Der Datenschutzbeauftragte hat die Ausführungen der EU-DSGVO sowie andere
Vorschriften über den Datenschutz im Hinblick auf das Auftragsverhältnis sicherzustellen.
Hierzu führt der Datenschutzbeauftragte regelmäßige Kontrollen durch. Über die Kontrollen
wird ein Protokoll angefertigt. Stellt der Datenschutzbeauftragte im Rahmen seiner Aufgaben
Unregelmäßigkeiten bei der Datenverarbeitung fest, so informiert er unverzüglich die
Geschäftsführung von Magicline. Ein Wechsel des Datenschutzbeauftragten wird dem Studio
unverzüglich mitgeteilt.
§ 4 Vertraulichkeit
(1) Magicline darf ohne schriftliche Weisung des Studios die überlassenen personenbezogenen
Daten nicht an Dritte weitergeben.
(2) Magicline muss alle im Rahmen des Auftrages überlassenen Unterlagen, Dokumente und
andere Informationsträger absolut vertraulich behandeln. Dies gilt auch für alle weiteren
Informationen, die Magicline bei der Durchführung des Auftrages bekannt werden. Diese
Verpflichtung gilt während und auch nach Beendigung des Vertrages.
(3) Magicline verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen
Daten des Auftraggebers Vertraulichkeit im Sinne von Art. 28 Abs. 3 b) DSGVO zu wahren.
Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten
Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des
Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des
Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet. Der
Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem
Betrieb.
§ 5 Berichtigung, Sperrung und Löschung von Daten
In Bezug auf die Berichtigung, Sperrung und Löschung von Daten wird Magicline nur auf
Weisung des Studios tätig. Soweit ein Betroffener sich unmittelbar an Magicline zwecks
Berichtigung oder Löschung seiner Daten wenden sollte, wird Magicline dieses Ersuchen
unverzüglich an das Studio weiterleiten.
§6 Unterauftragsverhältnisse
(1) Zum Zeitpunkt des Abschlusses dieses Vertrages sind die in der Anlage 2 aufgeführten
Unternehmen als Unterauftragnehmer für Teilleistungen für den Auftragnehmer tätig und
verarbeiten und/oder nutzen in diesem Zusammenhang auch unmittelbar die Auftragsdaten.
Für diese Unterauftragnehmer gilt die Einwilligung für das Tätigwerden als erteilt. Eine
Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen
Voraussetzungen der Art. 44 ff DSGVO erfüllt sind (z.B. Angemessenheitsbeschluss der
Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug
auf die Hinzuziehung oder die Ersetzung von anderen als den in Anlage 2 genannten
Unterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige
Änderungen Einspruch zu erheben. Gleiches gilt, wenn der Auftragnehmer zur Erfüllung
seiner vertraglich übernommenen Leistungspflichten sonstige dritte Unternehmen zur
Leistungserfüllung heranzieht. Hierbei muss jeder neue Unterauftragnehmer vor
Beauftragung dem Auftraggeber schriftlich angezeigt werden, sodass der Auftraggeber
gegen die Beauftragung innerhalb von 1 Woche nach Zugang der Anzeige Einspruch
erheben kann.
(3) Verweigert der Auftraggeber durch seinen Einspruch die Zustimmung aus anderen als aus
wichtigen Gründen, kann der Auftragnehmer den Vertrag mit dem Auftraggeber zum
Zeitpunkt des geplanten Einsatzes des Unterauftragnehmers kündigen, ohne dass dem
Auftraggeber gegen den Auftragnehmer in diesem Zusammenhang Schadensersatz- oder
sonstige Zahlungsansprüche zustehen.
(4) Der Auftragnehmer muss jeden Unterauftragnehmer unter besonderer Berücksichtigung der
Eignung hinsichtlich der Erfüllung der zwischen dem Auftraggeber und dem Auftragnehmer
vereinbarten technischen und organisatorischen Maßnahmen gewissenhaft auswählen.
(5) Ist der Auftragnehmer im Sinne dieser Vereinbarung befugt, die Dienste eines
Unterauftragnehmers in Anspruch zu nehmen, um bestimmte Verarbeitungstätigkeiten zur
Erfüllung der gegenüber dem Auftraggeber bestehenden Leistungspflichten auszuführen, so
werden diesem Unterauftragnehmer im Wege eines Vertrags dieselben Pflichten auferlegt,
die in diesem Vertrag zwischen dem Auftraggeber und dem Auftragnehmer festgelegt sind.
Dies gilt insbesondere hinsichtlich der Anforderungen an Vertraulichkeit, Datenschutz und
Datensicherheit sowie den in diesem Vertrag beschriebenen Kontroll- und
Überprüfungsrechten des Auftraggebers. Hierbei müssen ferner hinreichend Garantien dafür
geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so
durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO
erfolgt.
(6) Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, vom Auftragnehmer
Auskunft über die datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu
erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen. Unter
den in § 8 dieses Vertrages geregelten Voraussetzungen müssen Vor-Ort Kontrollen des
Auftraggebers beim Unterauftragnehmer möglich sein.
(7) Ein zustimmungspflichtiges Unterauftragsverhältnis liegt nicht vor, wenn der Auftragnehmer
Dritte im Rahmen einer Nebenleistung zur Hauptleistung beauftragt, wie beispielsweise bei
Personal-, Post- und Versanddienstleistungen. Der Auftragnehmer ist jedoch verpflichtet, zur
Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei
17fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche
Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen. Die Nebenleistungen sind
vorab detailliert zu benennen.
§ 7 Hinweispflicht von Magicline
(1) Ist Magicline der Ansicht, dass eine Weisung gegen das DSGVO oder andere Vorschriften
über den Datenschutz verstößt, weist Magicline das Studio unverzüglich darauf hin.
(2) Die Pflichten des Auftragnehmers bei Störungen, Verdacht auf Datenschutzverletzungen
oder anderen Unregelmäßigkeiten bei der Verarbeitung ergeben sich aus § 10 dieses
Vertrages.
§ 8 Kontrolle durch das Studio sowie Mitwirkungs- und Duldungspflichten
(1) Der Auftraggeber ist berechtigt, durch einen zur Geheimhaltung verpflichteten
Bevollmächtigten, vor Beginn der Dienstleistung sowie regelmäßig während der Dauer der
Dienstleistung in angemessenen Abständen die Einhaltung der technischen und
organisatorischen Maßnahmen zum Datenschutz und die Datenverarbeitung von Magicline
und deren Unterauftragnehmern zu überprüfen.
(2) Anstatt einer Vor-Ort-Kontrolle darf Magicline den Nachweis der Einhaltung der technischen
und organisatorischen Maßnahmen auch durch die Vorlage eines geeigneten aktuellen
Prüfberichts von unabhängigen Personen (z. B. Wirtschaftsprüfer, Datenschutzbeauftragter
oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder
Datenschutzaudit – z. B. nach BSI-Grundschutz – („Prüfungsbericht“) erbringen. Der
Prüfungsbericht muss es dem Studio in angemessener Weise ermöglichen, sich von der
Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen.
§ 9 Festlegung der technischen und organisatorischen Maßnahmen
(1) Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen, um ein
dem Risiko für die Rechte und Freiheiten der Betroffenen angemessenes Schutzniveau zu
gewährleisten. Dabei sind der Stand der Technik, die Implementierungskosten und die Art,
der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche
Eintrittswahrscheinlichkeit und Schwere des Risikos im Sinne von Art. 32 Abs. 1 DSGVO zu
berücksichtigen. Die konkreten, vom Auftragnehmer ergriffenen technischen und
organisatorischen Maßnahmen werden in Anlage 1 aufgelistet.
(2) Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der
technologischen Weiterentwicklung unterliegen, darf der Auftragnehmer andere und
gleichwertige Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 1
festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen der
Maßnahmen müssen vom Auftragnehmer dokumentiert und dem Auftraggeber auf
Anforderung zur Verfügung gestellt werden.
§ 10 Mitteilungs- und Unterstützungspflichten des Auftragnehmers bei Datensicherheitsvorfällen
(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er oder eine bei ihm
beschäftigte Person gegen Vorschriften zum Schutz personenbezogener Daten, gegen
Festlegungen nach diesem Vertrag oder gegen eine vom Verantwortliche erteilte Weisung
verstoßen hat, wenn Anhaltspunkte dafür bestehen, dass ein Dritter – egal aus welchem
Grund – unrechtmäßig Kenntnis von Auftragsdaten erlangt haben könnte, oder wenn in
sonstiger Weise eine Gefährdung für die Integrität oder Vertraulichkeit der Auftragsdaten
eingetreten ist („Datensicherheitsvorfall“).
(2) Die Information über den Datensicherheitsvorfall hat Angaben über den Zeitpunkt und die
Art des Vorfalls (einschließlich einer Information, welche Auftragsdaten in welcher Form
betroffen sind), das betroffene EDV-System, die betroffenen Personen, den Zeitpunkt der
Entdeckung, denkbare nachteilige Folgen des Datensicherheitsvorfalls sowie die vom
Auftragnehmer ergriffenen Maßnahmen und alle sonstigen in Art. 33 Abs. 3 DSGVO
bezeichneten Informationen zu enthalten. Der Auftragnehmer hat des Weiteren konkret
mitzuteilen, ob eine Verletzung des Schutzes personenbezogener Daten voraussichtlich zu
einem Risiko für Rechte und Freiheiten natürlicher Personen im Sinne des Art. 33 Abs. 1 Satz
1 DSGVO führt und ob das Risiko voraussichtlich hoch im Sinne von Art. 34 Abs. 1 DSGVO
ist.
(3) Eine erste Information des Auftraggebers hat unverzüglich, eine dezidierte Information, die
sämtliche Informationen gemäß vorstehendem Abs. (2) enthalten muss, soweit möglich,
innerhalb von 24 Stunden nach Kenntniserlangung von dem Datensicherheitsvorfall, zu
erfolgen.
(4) Der Auftragnehmer wird nach Bekanntwerden eines Datensicherheitsvorfalls unverzüglich
sämtliche zumutbaren Maßnahmen ergreifen, um die entstandenen Gefährdungen für die
Integrität oder Vertraulichkeit der Auftragsdaten zu minimieren und zu beseitigen, die
Auftragsdaten zu sichern und mögliche nachteilige Folgen für Betroffene zu verhindern oder
in ihren Auswirkungen so weit wie möglich zu begrenzen.
(5) Der Auftragnehmer ist verpflichtet, den Auftraggeber im Falle eines Datensicherheitsvorfalls
bei seinen diesbezüglichen Aufklärungs-, Abhilfehandlungen, einschließlich aller Handlungen
zur Erfüllung gesetzlicher Verpflichtungen, auf erstes Anfordern, im Rahmen des
Zumutbaren, zu unterstützen.
(6) Der Auftragnehmer ist verpflichtet, unverzüglich nach Kenntniserlangung von einem
Datensicherheitsvorfall eine Analyse der Ursachen durchzuführen, diese zu dokumentieren
und dem Auftraggeber die Dokumentation auf Verlangen auszuhändigen. Stellt der
Auftragnehmer im Rahmen der Analyse fest, dass die technischen und organisatorischen
Maßnahmen die bislang zum Schutz der Auftragsdaten ergriffen wurden, nicht ausreichen
um ein angemessenes Schutzniveau herzustellen, wird er auf eigene Kosten erforderliche
zusätzliche technischen und organisatorischen Maßnahmen umzusetzen.
§ 11 Laufzeit dieses Vertrages
(1) Dieser Vertrag beginnt mit Unterzeichnung und wird für die Dauer der Laufzeit des
Hauptvertrages abgeschlossen (auflösende Befristung).
(2) Die fristlosen Kündigungsrechte der Parteien bleiben hiervon unberührt. Das Studio ist
berechtigt, diesen Vertrag fristlos zu kündigen, wenn ein schwerwiegender Verstoß von
Magicline gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus
diesem Vertrag vorliegt, Magicline eine Weisung des Studios nicht ausführen kann oder will
oder die Wahrnehmung von Kontrollrechten durch das Studio vertragswidrig verweigert.
(3) Jede Partei ist berechtigt, diesen Vertrag mit einer Frist von zwei Wochen zum Ende eines
Kalendermonats zu kündigen, wenn die Durchführung des Hauptvertrages und/oder die
Durchführung dieses Vertrages von einer hierfür zuständigen Aufsichtsbehörde
(insbesondere der zuständigen Datenschutzbehörde) beanstandet wird und eine von dieser
Behörde zur Abstellung festgestellter Mängel gesetzte Frist erfolglos verstreicht oder
mindestens eine der Parteien von der hierfür zuständigen Behörde die weitere Durchführung
des Partnerschaftsvertrages und/oder dieses Vertrages untersagt wird.
(4) Jede Kündigung bedarf der Schriftform.
§ 12 Regelungen zur Berichtigung, Löschung und Sperrung von Daten
(1) Magicline hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu
löschen oder zu sperren, wenn der Auftraggeber dies mittels einer Weisung verlangt und
berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.
(2) Bei Beendigung dieses Vertrags oder früher nach Aufforderung durch den Auftraggeber
muss Magicline sämtliche Unterlagen und Daten, die im Zusammenhang mit dem
Auftragsverhältnis stehen, dem Auftraggeber aushändigen oder nach vorheriger
Zustimmung datenschutzgerecht vernichten.
(3) Dokumentationen, die für Magicline als Nachweis der auftrags- und ordnungsgemäßen
Datenverarbeitung dienen, dürfen durch Magicline entsprechend den jeweiligen
Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden.
§ 13 Sonstiges
(1) Mündliche Nebenabreden sind nicht getroffen. Änderungen und Ergänzungen dieses
Vertrages bedürfen der in § 28 Abs. 9 DSGVO geregelten Form. Dies gilt auch für eine
Änderung des Schriftformerfordernisses selbst.
(2) Sollte eine Bestimmung des Vertrages unwirksam sein oder werden, so verpflichten sich die
Parteien, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem
wirtschaftlichen Willen der Parteien möglichst nahekommt. Das Gleiche gilt im Falle einer
Regelungslücke.
(3) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem
Vertrag ist Hamburg. Die Parteien vereinbaren die Anwendbarkeit des deutschen Rechts.
Hamburg, 17.05.2018
.....................................................................
Anlage 1: Technisch organisatorische Maßnahmen
Maßnahmen zur Gewährung von Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1. Zutrittskontrolle
Ziel der Zutrittskontrolle ist es, Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren,
mit denen personenbezogene Daten verarbeitet oder genutzt werden.
Alle Geschäftsräume befinden sich in einem räumlich abgeschlossenen Bereich im 1. OG. Der
Eingang zum Büro ist mit einem Schließsystem und Sicherheitsschlüssel sowie über
Transponderkarten gesichert. Die Eingangstür ist permanent verschlossen. Die
Zutrittsberechtigungen
sind beschränkt. Über die an die Mitarbeiter ausgegebenen Schlüssel und Transponderkarten können
nur bestimmte Türen geöffnet werden.
Die Schlüssel- und Transpondervergabe wird protokolliert. Der Serverraum verfügt über ein
zusätzliches Schloss. Zutritt zu diesem Raum haben nur die Personen der Leitungsebene und der
Systemadministration. Andere Mitarbeiter haben keinen Zutritt. Alle Mitarbeiter sind angewiesen die
Laptops nach in personalisierten Schränken zu verschließen. Ein Zutritt für Wartungspersonal
findet immer nur unter Aufsicht statt. Akten und Datenträger mit personenbezogenen Daten werden
verschlossen aufbewahrt, wenn die entsprechenden Räume nicht besetzt sind.
2. Zugangskontrolle
Ziel der Zugangskontrolle ist es, mit Hilfe geeigneter Maßnahmen zu verhindern, dass Unbefugte
Datenverarbeitungssysteme, mit denen personenbezogene Daten verarbeitet oder genutzt werden,
nutzen können.
Der Schutz der Serversysteme vor unberechtigtem Zugang wird durch redundant ausgelegte
Firewalls (basierend auf Packet-Filter) und Load-balancer bewerkstelligt. Es wurden restriktive
Firewall-Regeln implementiert. Ein automatisiertes Patch-Management ist aktiv.
Weitere Maßnahmen zur Zugangskontrolle sind Intrusion-Detection-Systeme (Snort, Fail2Ban,
Rootkit-Detection).
Alle Systeme sind mit einem Passwortschutz versehen. Eine Passwortrichtlinie wurde erstellt und in
allen Systemen implementiert. Alle Mitarbeiter sind angehalten, den unbefugten Zugang zu
IT-Systemen durch geeignete Mittel wie u. a. Sperrung des Bildschirms und Verschlüsselung von
Daten zu verhindern. Sämtliche Administrationstätigkeiten auf den externen Servern erfolgen über
verschlüsselte Verbindungen.
Externe Verbindungen zum Unternehmensnetzwerk werden über verschlüsselte VPN-Verbindungen
hergestellt.
Eine Firewall ist eingerichtet und wird von der IT-Abteilung administriert. Ungenutzte
Netzwerkanschlüsse sind deaktiviert.
Bei der als SaaS angebotenen Magicline Verwaltungssoftware sind alle webbasierten Zugänge
SSL/TLS-verschlüsselt.
3. Zugriffskontrolle
Ziel der Zugriffskontrolle ist es, zu gewährleisten, dass nur die zur Benutzung der
Datenverarbeitungssysteme Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung
unterliegenden personenbezogenen Daten zugreifen können und dass personenbezogene Daten bei
der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder
entfernt werden können.
Ein Zugriffsberechtigungskonzept wurde erstellt und implementiert. Mitarbeiter haben nur Zugriff auf
die Daten, die sie zur Erfüllung ihrer Aufgaben benötigen. Die Zugriffsberechtigungen werden
dokumentiert und technisch durch die Nutzung eines Verzeichnisdienstes implementiert.
Unberechtigte Zugriffe auf Daten werden zudem durch folgende Maßnahmen verhindert:
● Einsatz einer Sicherheitssoftware gegen Viren, Trojaner und andere Schadsoftware
● restriktive Vergabe von Zugriffsberechtigungen für Systemdateien
● datenschutzkonformes Datenträger- und Aktenvernichtungskonzept
Berechtigungsstufen werden ausschließlich analog zu den Aufgaben vergeben, mit denen der Mitarbeiter
betraut ist. Der Systemzugriff auf die Server ist neben zentralen Firewallregeln mit
personalisiertem Private-Key-Verfahren geschützt.
4. Trennungsgebot
Ziel des Trennungsgebots ist es, zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene
Daten getrennt verarbeitet werden können
(Zweckbindung).
Generell werden Daten, die zu unterschiedlichen Zwecken erhoben wurden, entsprechend
gekennzeichnet und getrennt gespeichert.
Kundendaten werden logisch getrennt in eigenen Schemata und mandantenfähiger Form in den
Datenbanken der Magicline Verwaltungssoftware verarbeitet und gespeichert.
5. Pseudonymisierung
Ziel der Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die
Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen
Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt
werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.
Alle Daten die zu Wartungs- und Testzwecken durch Mitarbeiter der Magicline verarbeitet werden,
werden ausschließlich pseudonymisiert oder anonymisiert verarbeitet.
Maßnahmen zur Gewährung von Integrität (Art. 32 Abs. 1 lit b DSGVO)
1. Weitergabekontrolle
Ziel der Weitergabekontrolle ist es, zu gewährleisten, dass personenbezogene Daten bei der
elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger
nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und
festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch
Einrichtungen zur Datenübertragung vorgesehen
ist.
Maßnahmen der Weitergabekontrolle:
Die Mitarbeiter sind angewiesen, personenbezogene Daten und andere sensible Daten auf
elektronischem Wege nur verschlüsselt zu übertragen. Daten in Papierform oder als Datenträger
werden blickdicht verschlossen durch Kuriere transportiert. Die Aushändigung und der Empfang
der Daten werden dokumentiert.
2. Eingabekontrolle
Ziel der Eingabekontrolle ist es, dass nachträglich festgestellt werden kann, ob und von wem
personenbezogene Daten in die Datenverarbeitungssysteme eingegeben, verändert oder entfernt
worden sind.
Maßnahmen der Eingabekontrolle:
Veränderungen von personenbezogenen Daten und Daten der Kunden werden protokolliert. Die
Mitarbeiter werden regelmäßig zum ordnungsgemäßen Einsatz der Programme geschult, um
Eingabefehler zu vermeiden. In der Magicline Verwaltungssoftware erfolgt die Protokollierung
bei der Erstellung und Änderung von abrechnungsrelevanten Daten in revisionssicherer Form.
Maßnahmen zur Gewährleistung von Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b
DSGVO)
1. Verfügbarkeitskontrolle
Ziel der Verfügbarkeitskontrolle ist es, zu gewährleisten, dass personenbezogene Daten gegen
zufällige Zerstörung oder Verlust geschützt sind.
Maßnahmen der Verfügbarkeitskontrolle:
Beide Rechenzentren verfügen über ausreichend dimensionierte Klimatisierung und
Stromversorgung (einschließlich Schutz vor Stromausfall durch USV und Notstromaggregate).
Brandschutz und Brandbekämpfung
RZ1
● Überwiegender Einsatz von nichtbrennbaren, halogenfreien Materialien mit niedriger
Rauchentwicklung
● Strikte Trennung von Lager- und Colocationflächen
● Einteilung des Gebäudes in unabhängige versiegelte Brandabschnitte
● „Very Intelligent Early Warning (V.I.E.W.)“-Brandfrühwarnsystem
● Entrauchungssystem bei Feueralarm
● Doppelt verriegelte Trockenrohr-Sprinkleranlage
● Brandfrüherkennungssystem
● Inergen-Löschgasanlage
● Strikte Trennung von Lager- und Colocationflächen
● Einteilung des Gebäudes in unabhängige versiegelte Brandabschnitte
Die Verfügbarkeit der auf den Servern gespeicherten Kundendaten wird durch die folgenden
Maßnahmen sichergestellt:
● Segmentierung der Netzwerke und strikte Trennung der unterschiedlichen Datenströme (
IP-Management-, Backup-LAN usw.)
● tägliches Backup der eigenen Systeme
● Einsatz von Firewalls an relevanten Netzwerkpunkten
● Netzwerküberwachung durch hauseigenes NOC („Network Operation Center“)
● ausschließliche Verwendung von Markenkomponenten
Die Verfügbarkeit der externen Netzwerkanbindung wird durch eine Carrier-neutrale und redundante
IP-Anbindung der Rechenzentren,redundante Glasfaserzuführung durch unterschiedliche Lieferanten
der physikalischen Zugangsleitungen und BGP-Sessions zu Artfiles, Telia und Level3 bewerkstelligt.
Der Dienstleister Corpex überwacht auftragsgemäß die von Magicline gemietete Hardware, die
Erreichbarkeit des Betriebssystems sowie weitere mit Magicline besprochene Dienste 24 Stunden am
Tag in einem Intervall von 60 Sekunden. Im Falle einer Störung wird ein Techniker umgehend
alarmiert, um das Problem innerhalb der festgeschriebenen Reaktionszeiten zu beheben.
Corpex führt zudem ein tägliches Backup aller Kundendaten der Magicline in der Zeit zwischen 01:00
und 06:00 durch. Pro Woche werden ein Full Backup, zwei differentiale Backups und vier
inkrementelle Backups durchgeführt. Die Aufbewahrungszeit der Backupdaten beträgt 14 Tage.
Soweit die Durchführung eines Backups fehlschlägt, wird dieses spätestens am gleichen Tag ab
10:00 Uhr wiederholt.
Auf Seiten der Magicline sind weiterhin Sicherungsmaßnahmen wie Virenschutz und eine Firewall
vorhanden. Beide werden regelmäßig aktualisiert. Eine Vertretungsregelung stellt die Verfügbarkeit
in Abwesenheitsfällen sicher.
Rasche Wiederherstellbarkeit (Artikel 32 Abs. 1 lit. c DSGVO)
Es existiert ein regelmäßig laufender Prozess, der die Wiederherstellbarkeit der gesicherten Daten
überprüft. Bei nicht erfolgreicher Wiederherstellbarkeit wird eine Benachrichtigung ausgelöst, die
zeitnah abgearbeitet wird, um die Wiederherstellbarkeit wieder garantieren zu können.
Die Wiederherstellbarkeit von gesicherten Daten ist in den meisten Fällen innerhalb von 12 Stunden
möglich. In besonderen Konstellationen kann die Wiederherstellung der Daten bis zu 24 Stunden
dauern.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Artikel 32 Abs. 1 lit. d
DSGVO; Artikel 25 Abs. 1 DSGVO)
1. Managementverfahren, datenschutzfreundliche Voreinstellungen
Magicline hat zusammen mit dem Datenschutzbeauftragten ein internes
Datenschutz-Management-System installiert, in dem die Datenverarbeitungen und deren
entsprechende Informationen dokumentiert werden. Mit Marc Althaus wurde ein externer
Datenschutzbeauftragter bestellt und in die Prozesse mit eingebunden.
Die Magicline Software wird dem Auftraggeber in einem Datenschutz-freundlichen Zustand
ausgeliefert, die der Auftraggeber jederzeit an seine Bedürfnisse anpassen kann.
2. Auftragskontrolle
Ziel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im Auftrag
verarbeitet werden, nur entsprechend den Weisungen des Studios und der Vorgaben des Art. 28
DSGVO verarbeitet werden.
Maßnahmen der Auftragskontrolle:
Bei der Vergabe von Aufträgen, die die Verarbeitung von personenbezogenen Daten beinhalten,
werden die Anforderungen des Art. 28 DSGVO überwacht. Dies erfolgt u. a. durch die Schulung der
Mitarbeiter, die Aufträge vergeben, die Erstellung eines Mustervertrages und die Prüfung aller
Verträge vor Vergabe durch den Datenschutzbeauftragten. Sämtliche Aufträge werden schriftlich
erteilt. Der Datenschutzbeauftragte begleitet den gesamten Prozess und unterstützt die
Fachabteilung bei der Kontrolle des Auftragnehmers. Bei der Erfüllung von Aufträgen gemäß Art. 28
DSGVO als Auftragnehmer wird die Kontrolle der vertraglich zugesicherten datenschutzrechtlichen
Rahmenbedingungen durch den Datenschutzbeauftragten überwacht.
Anlage 2: Zugelassene Subunternehmen gem. Ziffer 6
Name Anschrift Auftragsinhalt
CORPEX Internet GmbH Schauenburgerstraße 6
20095 Hamburg
Deutschland
Hosting der Infrastruktur
Amazon Web Services, Inc. 410 Terry Avenue North
Seattle, WA 98109-5210
USA
Hosting der
Cloud-Infrastruktur
MongoDB, Inc. 229 W 43rd St
5th Floor
New York, NY 10036
USA
Infrastruktur-Provider für
Datenbanken die selbst bei
Amazon gehostet sind
Google LLC Amphitheatre Parkway
Mountain View, CA 94043
USA
Übermittlung von Adressdaten
zur Ermittlung von Geo-Daten
Speicherung von E-Mails und
Dokumenten
Binect GmbH Robert-Koch-Straße 9
64331 Weiterstadt
Deutschland
Übermittlung von
Mitgliedsdaten für den
Briefversand per
e-Post-Schnittstelle
Eurofit24 GmbH Raboisen 5
20095 Hamburg
Deutschland
Übermittlung von
Mitgliedsdaten zur
Abrechnung bei
Finanzdienstleistungen
CloudAMQP 84codes AB
Sveavägen 98
113 50 Stockholm
Schweden
Hosting der
Cloud-Infrastruktur
MAGICLINE GMBH