Rechtliche Hinweise

Vereinbarung Auftragsverarbeitung (AV) nach EU-Datenschutz-Grundverordnung

zwischen
Anwender von Dlubal Software
- im Folgenden „Auftraggeber“ genannt -
und
Dlubal Software GmbH, Am Zellweg 2, 93464 Tiefenbach
- im Folgenden „Auftragnehmer“ genannt -

 

  1. Anwendungsbereich

    1.1

    Im Rahmen der Leistungserbringung durch die Nutzung der Dlubal Software, einschließlich Support und Service (nachfolgend einheitlich „Vertrag“ genannt) ist es erforderlich, dass der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers oder sonstiger Dritter erhält.

    1.2

    Alle Begrifflichkeiten dieser Vereinbarung AV werden im Sinn und dem Verständnis nach der europäischen Datenschutzgrundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates) verwendet.

    1.3

    Im Falle eines Widerspruchs zwischen den Bestimmungen dieser Vereinbarung AV und denjenigen des Vertrags gehen die Bestimmungen dieser Vereinbarung AV denjenigen des Vertrages vor.

  2. Auftragsverarbeitung

    2.1

    Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 28, 29 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt im datenschutzrechtlichen Sinn Verantwortlicher („Herr der Daten“) und ist für die Rechtmäßigkeit der auftragsgemäßen Verarbeitung der personenbezogenen Daten verantwortlich.

    2.2

    Die Verarbeitung der personenbezogenen Daten hat ausschließlich und vollständig innerhalb eines Mitgliedstaates der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum und in der/dem in Anhang 1 dieser Vereinbarung AV abschließend festgelegten Art und Zweck zu erfolgen. Die Verarbeitung der personenbezogenen Daten umfasst die in Anhang 1 dieser Vereinbarung AV abschließend festgelegte Art der personenbezogenen Daten und die dort festgelegten Kategorien der durch die Verarbeitung betroffenen Personen.

    2.3

    Der Auftragnehmer erwirbt an den personenbezogenen Daten keine Rechte und ist auf Verlangen des Auftraggebers jederzeit zur Herausgabe der personenbezogenen Daten verpflichtet. Zurückbehaltungsrechte in Bezug auf die personenbezogenen Daten sind ausgeschlossen. Der Auftragnehmer ist verpflichtet, auf Weisung des Auftraggebers personenbezogenen Daten zu berichtigen oder deren Verarbeitung einzuschränken.

    2.4

    Der Auftragnehmer ist verpflichtet, den Weisungen aus dem Vertrag und den im Einzelfall von der Geschäftsführung sowie dem Datenschutzbeauftragten des Auftraggebers schriftlich erteilten Weisungen des Auftraggebers zur Verarbeitung der personenbezogenen Daten (nachfolgend einheitlich „datenschutzrechtliche Weisungen“ genannt) uneingeschränkt zu folgen. Im Einzelfall erteilte datenschutzrechtliche Weisungen haben schriftlich oder per E-Mail zu erfolgen. In begründeten Einzelfällen können datenschutzrechtliche Weisungen auch mündlich erteilt werden, müssen dann aber vom Auftraggeber zeitnah schriftlich oder per E-Mail bestätigt werden. Ist der Auftragnehmer der Ansicht, dass eine datenschutzrechtliche Weisung gegen gesetzliche Vorschriften und/oder den Vertrag verstößt, so ist der Auftragnehmer verpflichtet, den Auftraggeber hierauf unverzüglich hinzuweisen, sowie berechtigt, die Ausführung der datenschutzrechtlichen Weisung bis zu einer Bestätigung der datenschutzrechtlichen Weisung durch den Auftraggeber auszusetzen.

    2.5

    Der Auftragnehmer ist gemäß § 38 Abs. 1 S. 1 BDSG n.F. verpflichtet, einen betrieblichen Datenschutzbeauftragten schriftlich zu bestellen. Die Kontaktdaten des betrieblichen Datenschutzbeauftragten des Auftragnehmers sind veröffentlicht auf www.dlubal.com/de/rechtliche-hinweise/datenschutzerklaerung-basisangaben.

  3. Datensicherheit / Technische und organisatorische Maßnahmen

    3.1

    Der Auftragnehmer ist zur Wahrung der Vertraulichkeit der Verarbeitung gemäß Art. 28 Abs. 3 S. 2 lit. b, 29 und 32 Abs. 4 DSGVO verpflichtet, die bei der Verarbeitung von personenbezogenen Daten beschäftigten Personen schriftlich zu verpflichten.

    3.2

    Der Auftragnehmer ist verpflichtet, die Organisation der von ihm zu verantwortenden Prozesse und Maßnahmen derart zu gestalten, dass sie den Anforderungen des Datenschutzes gerecht werden und dass sichergestellt ist, dass personenbezogenen Daten nur entsprechend der durch den Auftraggeber erteilten datenschutzrechtlichen Weisungen verarbeitet werden (insbesondere durch die Trennung der personenbezogenen Daten von Daten anderer Auftraggeber des Auftragnehmers) und nicht unbefugt Dritten zur Kenntnis gelangen können.

    3.3

    Der Auftragnehmer ist verpflichtet, innerhalb und im Rahmen des ihm nach dem Vertrag zugewiesenen Verantwortungsbereichs die Sicherheit der Verarbeitung gemäß Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO einzuhalten. Er ist verpflichtet geeignete technische und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um Datensicherheit und Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, Integrität, Verfügbarkeit sowie Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und der Zweck der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Vorbehaltlich weiterer datenschutzrechtlicher Weisungen des Auftraggebers gelten mit Abschluss des Vertrages und/oder dieser Vereinbarung AV die in Anhang 2 dieser Vereinbarung AV benannten technischen und organisatorischen Maßnahmen als Maßnahmen im Sinne dieser Ziffer 3.3 dieser Vereinbarung AV.

    3.4

    Der Auftragnehmer ist verpflichtet, keine personenbezogenen Daten über das zur Erfüllung der Verpflichtungen aus dem Vertrag unbedingt erforderliche Maß hinaus zu verarbeiten (insbesondere nicht unbefugt zu vervielfältigen oder unbefugt an Dritte weiterzugeben).

    3.5

    Der Auftragnehmer hat ihm überlassene und alle ergänzend verarbeiteten personenbezogenen Daten unwiderruflich in allen Systemen des Auftragnehmers (einschließlich sämtlicher Vervielfältigungen, auch in Archivierungs- und Sicherungsdateien) nach Maßgabe der Bestimmungen des Anhangs 2 dieser Vereinbarung AV zu löschen oder zu vernichten (nachfolgend einheitlich „löschen“ genannt), sobald die Verarbeitung der personenbezogenen Daten nicht mehr für die Erfüllung des Zwecks der Auftragsverarbeitung erforderlich ist.

    3.6

    Die Löschung von personenbezogenen Daten ist durch den Auftragnehmer zu dokumentieren und dem Auftraggeber gegenüber auf Anfrage schriftlich zu bestätigen. Nicht von dieser Löschpflicht erfasst werden personenbezogene Daten, die aufgrund einer gesetzlichen Aufbewahrungs- und/oder Speicherpflicht aufzubewahren sind. Diese personenbezogenen Daten sind nach den gesetzlichen Bestimmungen in ihrer Verarbeitung einzuschränken und mit Ablauf der Aufbewahrungs- und/oder Speicherpflicht zu löschen.

  4. Meldepflicht

    Im Falle von in Art. 33 und 34 DSGVO bestimmten Ereignissen sowie bei Verstößen des Auftragnehmers oder der beim Auftragnehmer beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder die in dieser Vereinbarung AV nebst ihren Anhängen getroffenen Bestimmungen ist der Auftragnehmer verpflichtet, unverzüglich sämtliche erforderlichen Maßnahmen einzuleiten, um entstandene Gefährdungen für die Integrität und Vertraulichkeit der personenbezogenen Daten auszuschließen. Weiterhin ist der Auftragnehmer in diesen Fällen verpflichtet, dem Auftraggeber sowie dem Datenschutzbeauftragten des Auftraggebers unverzüglich die konkreten Umstände unter Angabe von Ursachen, den genauen Zeitpunkt sowie das Ausmaß des Ereignisses zu melden und die weitere Verarbeitung der personenbezogenen Daten mit dem Auftraggeber abzustimmen.

  5. Unterauftragnehmer

    5.1

    Der Auftragnehmer ist berechtigt, Unterauftragnehmer mit der Erfüllung seiner Verpflichtungen zu beauftragen, nachdem der Auftragnehmer den Unterauftragnehmer derart schriftlich verpflichtet hat, wie der Auftragnehmer aufgrund dieser Vereinbarung AV gegenüber dem Auftraggeber verpflichtet ist. Der Auftragnehmer hat den Unterauftragnehmer dabei insbesondere so zu verpflichten, dass der Auftraggeber seine in Ziffer 7 dieser Vereinbarung AV festgelegten Kontrollrechte auch unmittelbar gegenüber dem Unterauftragnehmer geltend machen kann. Als Unterauftragnehmer im Sinne dieser Ziffer 5 gelten nicht mit dem Auftragnehmer arbeitsvertraglich verbundene und bei der Verarbeitung von personenbezogenen Daten beschäftigte Personen, die unter Beachtung von Ziffer 3.1 dieser Vereinbarung AV nachweislich verpflichtet wurden.

    5.2

    Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

  6. Anfragen Dritter, Kontrollen durch Aufsichtsbehörden

    6.1

    Soweit der Auftragnehmer Anfragen Dritter (insbesondere von betroffenen Personen) zur Auskunft über die Verarbeitung von personenbezogenen Daten oder Ereignisse, welche die Meldepflicht nach Ziffer 4 dieser Vereinbarung AV auslösen, erhält, ist der Auftragnehmer verpflichtet, den Auftraggeber und den Datenschutzbeauftragten des Auftraggebers unverzüglich über die Anfrage zu informieren. Der Auftragnehmer hat es zu unterlassen, Dritten Auskünfte nach Satz 1 dieser Ziffer 6.1 zu erteilen, es sei denn, er ist gesetzlich zur Erteilung einer solchen Auskunft verpflichtet. Ziffer 6.1 dieser Vereinbarung AV gilt entsprechend, soweit Aufsichtsbehörden beim Auftragnehmer Kontrollen ankündigen oder unangekündigt durchführen.

    6.2

    Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

  7. Kontroll- und Auskunftsrechte

    7.1

    Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO niedergelegten Pflichten zur Verfügung und ermöglicht im erforderlichen Umfang Überprüfungen, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden. Sofern hierbei die Möglichkeit der Kenntnisnahme von vertraulichen Informationen besteht, ist der Auftragnehmer berechtigt, eine Verschwiegenheitserklärung vom Auftraggeber bzw. vom beauftragten Prüfer zu verlangen.

    Sofern der Auftraggeber auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel geltend macht, haben der Datenschutzbeauftragte des Auftraggebers und/oder von diesem beauftragte Prüfer das Recht, nach schriftlicher Vorankündigung von in der Regel 14 Kalendertagen die Geschäftsräume des Auftragnehmers zu betreten, um sich von der Einhaltung der einschlägigen gesetzlichen und vertraglichen Datenschutzbestimmungen zu überzeugen. Der Auftragnehmer gewährt dem Datenschutzbeauftragten des Auftraggebers und/oder von diesem beauftragten Dritten in diesem Rahmen die erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.

    Für die Ermöglichung von Kontrollen durch den Auftraggeber ist der Auftragnehmer berechtigt, einen angemessenen Vergütungsanspruch geltend machen.

    7.2

    Der Auftragnehmer ist verpflichtet, dem Auftraggeber vor Beginn der Verarbeitung schriftlich mitzuteilen, ob und in welcher Weise er die in Ziffer 3.2 bis 3.6 dieser Vereinbarung AV festgelegten Maßnahmen umgesetzt hat.

  8. Unterstützung des Auftraggebers

    8.1

    Der Auftragnehmer ist verpflichtet, den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Art. 16 - 21 DSGVO genannten Rechte von betroffenen Personen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich auf Anfrage zur Verfügung zu stellen.

    8.2

    Der Auftragnehmer ist weiterhin verpflichtet, den Auftraggeber bei der Durchführung von dessen Datenschutz-Folgeabschätzungen gemäß Art. 35 DSGVO sowie im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde gemäß Art. 36 DSGVO auf Anfrage zu unterstützen.

    8.3

    Der Auftragnehmer ist verpflichtet, dem Auftraggeber auf Anfrage zeitnah die für die Erstellung des eigenen Verzeichnisses von Verarbeitungstätigkeiten erforderlichen Angaben zu machen.

    8.4

    Der Auftragnehmer ist verpflichtet, dem Auftraggeber alle notwendigen Dokumentationen zur Einhaltung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu überlassen.

  9. Schlussbestimmungen

    Soweit zwischen den Vertragsparteien nichts anderes ausdrücklich vereinbart ist, gilt diese Vereinbarung AV zeitlich unbefristet. Unbeschadet sonstiger Bestimmungen des Vertrags ist der Auftraggeber berechtigt, den Vertrag und/oder diese Vereinbarung AV jederzeit ohne Einhaltung einer Frist zu kündigen, wenn der Auftragnehmer schwerwiegend gegen eine Bestimmung dieser Vereinbarung AV verstößt, eine datenschutzrechtliche Weisung gemäß Ziffer 2.4 dieser Vereinbarung AV nicht umsetzt oder Kontrollen des Auftragnehmers gemäß Ziffer 7.1 dieser Vereinbarung AV verweigert.

  10. Anhang 1 zur Vereinbarung AV: Art und Zweck

    Art und Zweck der Auftragsverarbeitung, Art der personenbezogenen Daten und Kategorien von der Verarbeitung betroffener Personen

    1 Art der Auftragsverarbeitung

    Gegenstand des Auftrags ist die Durchführung von Wartungs- und/ oder Pflegearbeiten sowie technischem Service, per E-Mail, Telefon oder mittels Fernwartung durch den Auftragnehmer, unter anderem an IT-Systemen des Auftraggebers. Dies umfasst alle Tätigkeiten, die zur Erbringung der mit dem Auftraggeber vertraglich vereinbarten Leistung erforderlich sind.

    2 Zweck(e) der Auftragsverarbeitung

    • Technischer Service bei Anwendungsfragen zu Dlubal-Software
    • Wartung und Pflege der beim Auftraggeber genutzten Dlubal-Software
    • Falls erforderlich, Fehlerbehebung in dem Dlubal-Produkt, in dem die personenbezogenen Daten gespeichert sind
    • Qualitätssicherung für das Dlubal-Produkt, in dem die Daten gespeichert sind bzw. für eine neuere Version des Dlubal -Produkts
    • Weiterentwicklung bestehender oder Entwicklung neuer Dlubal-Produkte

    3 Art der personenbezogenen Daten, die der Auftragnehmer verarbeitet

    • Personenstammdaten
    • Kommunikationsdaten (z.B. Telefon, E-Mail)
    • Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
    • Kundenhistorie
    • Vertragsabrechnungs- und Zahlungsdaten
    • Modelldateien, sonstige für den technischen Service relevante Daten (z.B. Crash Reports)


    4 Kategorien von der Verarbeitung betroffener Personen

    • Beschäftigte des Kunden
    • Ggf. Beschäftigte des IT-Dienstleisters des Kunden
    • Interessenten
    • Andere Personen, ggf. auch Verbraucher, sofern sie Nutzer einer Dlubal-Leistung sind
  11. Anhang 2 zur Vereinbarung AV: Technische und organisatorische Maßnahmen

    Nachstehend erfolgt eine Beschreibung der wesentlichen Maßnahmen von Dlubal zur Einhaltung der Datensicherheitsvorschriften gemäß Art. 32 DS-GVO. Hierbei ist einschränkend darauf hinzuweisen, dass verständlicherweise nicht alle Sicherheitsvorkehrungen offengelegt werden können; vielmehr ist gerade im Interesse des Datenschutzes und der Datensicherheit der Verzicht auf vertrauliche und detaillierte Beschreibungen unabdingbar.


    1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

    1.1 Zutrittskontrolle

    Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren:

    • Die Büroräume sind nur über einen zentralen Eingang erreichbar. Zugangsbereiche sind mit einer Kamera überwacht und mit Empfangspersonal besetzt. Im Falle, dass kein Empfangspersonal vorhanden ist, sind die Zugangstüren verschlossen und mit Alarmanlage gesichert.
    • Die Serverräume sind zusätzlich unter ständigem Verschluss und nur für autorisiertes Personal zugänglich.
    • Falls erforderlich, Fehlerbehebung in dem Dlubal-Produkt, in dem die personenbezogenen Daten gespeichert sind
    • Wichtige Serversysteme außerhalb der Bürogebäude sind in einem Rechenzentrum über Multi-factor person authorization, Videoüberwachung mit Anbindung an die Polizei und gegen Terrorattacken geschützt.

    1.2 Zugangskontrolle

    Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:

    • Die Daten sind für Dlubal-Mitarbeiter ausschließlich im notwendigen Umfang über ein mit konfigurierbaren Rechten verwaltbares und rollenbasiertes CRM System zugänglich.
    • Die Mitarbeiter besitzen rollengesteuerte Zugriffsrechte.
    • Die Rechner sind über Authentifikation mit Benutzername und Passwort gesichert (Active Directory).
    • Passwörter mit erhöhter Sicherheit (Zusammensetzung, Länge, Ablaufdatum).
    • Externe Systeme sind über VPN-Tunnels angebunden. Nur bekannte Adressen sind über eine IP-Whitelist zugelassen. Sämtliche externe Kommunikation wird verschlüsselt.
    • Die Rechnersysteme sind zentral mit Anti-Viren Software versorgt.
    • Die Datennetze sind mit Firewalls gesichert.
    • Auf die Serversysteme haben nur speziell autorisierte Personen Zugriff.

    1.3 Zugriffskontrolle

    Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

    • Rechte: Alle Dienste nutzen das Zugriffsmodell „Deny by default“. Nur autorisierte Personen und Gruppen haben einen entsprechenden Zugang. Die Rechtematrix jedes einzelnen Services wird überwacht und kann in das Admin Panel für jeden Service exportiert werden. Alle Rechte werden von Systemadministratoren verwaltet. Die Anzahl der Systemadministratoren ist auf ein Minimum reduziert.
    • Log-Dateien: Die Network Storage Servers verfügen über Audit Logs inklusive Versionshistorie der Dateien (CRUD). Der Active Directory Server protokoliert jede Autorisierungsanfrage an Dienste im Netzwerk.
    • Versionskontrollsystem: Sämtliche Daten im Netzwerk sind über VSS und BTRFS Abbilder gesichert. Datenbanken werden über stündliche Abbilder gesichert.

    1.4 Trennungskontrolle

    Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

    • Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
    • Erstellung eines Berechtigungskonzepts
    • Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden
    • Versehen von Datensätzen mit Zweckattributen/Datenfeldern
    • Festlegung von Datenbank-Rechten
    • Logische Trennung der Kundendaten nach Zuständigkeit und Funktion

    1.5 Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

    Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen:

    Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, und gesondert aufbewahrt.



    2 Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

    2.1 Eingabekontrolle

    Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

    • Protokollierung der Eingabe, Änderung und Löschung von Daten
    • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen
    • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
    • Dokumentenmanagement

    2.2 Weitergabekontrolle

    Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

    • Der E-Mail Server benutzt das Sender Policy Framework (SPF), um eine nicht autorisierte Nutzung unserer Domains zu verhindern. Der E-Mail Empfänger kann so überprüfen, ob die E-Mail von einem autorisierten Server stammt.
    • E-Mails werden mit DKIM Signaturen signiert um die Authentizität sicherzustellen.
    • Sensible E-Mails können zusätzlich durch End-zu-End Verschlüsselung verschlüsselt werden.
    • FTP und VPN Dienste arbeiten mit SSL/TLS Verschlüsselung.


    3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

    3.1 Verfügbarkeitskontrolle

    Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

    • Backup- & Recoverykonzept • Unterbrechungsfreie Stromversorgung (USV)
    • Festplattenspiegelung
    • Verwendung von RAID-Systemen
    • BTRFS und ReFS Dateisysteme zur Fehlererkennung und Korrektur und zur Vermeidung von verborgenem Datenverlust
    • High Availability Clusters und Spiegelung der Daten und Dienste über mehrere Standorte
    • Backup von Internet Anschlüssen und Routern um lange Ausfallzeiten zu vermeiden
    • ECC Memory an allen Servern um Speicherfehler, Datenänderungen und -verlust zu erkennen
    • Microsoft System Data Protection Manager – agent auf jedem Server installiert
    • Mindestens tägliches Backup über DPM Storage
    • Windows Backup + iSCSI LUNs
    • Wichtige Services werden von Netzwerktools überwacht und melden ausfallende Dienste, Ausfallzeiten, DoS and DDosS Angriffe
    • Gesicherter Serverraum
    • Schutzsteckdosenleisten in Serverraum
    • Regelmäßige Überprüfung der Elektro-Ausstattung durch Fachfirma
    • Feuer- und Rauchmelder, Feuerlöschgeräte
    • Notfallpläne und Krisenmanagement
    • Firewall mit Antivirus und Eindringerkennung, Schutz und Prävention (AV/IDS/IDP, Zywall Security Gateway)
    • ESET Mail Security for Exchange zur Absicherung des E-Mail-Servers gegen Spam, Viren, Ransomware, Scam, etc.
    • ESET Security Antivirus auf allen Computern als Endpunkt User Schutz mit ESET Remote Administration Console
    • ClamAV opensource Antivirus zum Schutz der Netzwerkserver und Speicher
    • Regelmäßige Systemupdates gemanagt über WSUS
    • Active Directory Group Policy für alle Computer

    3.2 Wiederherstellbarkeit

    Maßnahmen, welche die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen nach einem physischen oder technischen Zwischenfall rasch wiederherstellen: Sämtliche Daten werden durch regelmäßige Backups gegen Verlust gesichert. Verschiedene Tools erlauben, diese Daten bei physischen oder technischen Zwischenfällen mit geringstmöglichen Aufwand wiederherzustellen. Als spezifische Maßnahmen sind zu nennen:

    • Backup- & Recoverykonzept Mindestens tägliches Backup über DPM Storage
    • Windows Backup + iSCSI LUNs


    4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

    4.1 Datenschutz-Management

    • Mitarbeiterschulungen im Datenschutz
    • Verpflichtung der Beschäftigten zum vertraulichen Umgang mit personenbezogenen Daten
    • Benennung eines Datenschutzbeauftragten
    • Richtlinien für Beschäftigte zum Umgang mit personenbezogenen Daten
    • Führen eines Verzeichnisses von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1 und 2 DSGVO
    • Implementierung eines Datenschutzmanagementsystems

    4.2 Auftragskontrolle

    Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers im Sinne von Art. 28 DS-GVO verarbeitet werden können:

    • Eindeutige Vertragsgestaltung
    • Formalisiertes Auftragsmanagement
    • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten
    • Schriftliche Weisungen an den Auftragnehmer durch Auftragsdatenverarbeitungsvertrag
    • Verpflichtung des Auftragnehmers zur Vertraulichkeit
    • Laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten

Kontakt

Kontakt zu Dlubal

Wenn Sie weitergehende Fragen zu unseren Hinweisen zum Datenschutz und zur Verarbeitung Ihrer persönlichen Daten haben, können Sie sich gleichfalls direkt an unseren internen Datenschutzbeauftragten wenden oder senden Sie uns eine E-Mail an datenschutz@dlubal.com.

Unser Datenschutzbeauftragter steht Ihnen auch im Falle von Auskunftsersuchen, Anregungen oder bei Beschwerden zum Datenschutz als Ansprechpartner zur Verfügung.

+49 9673 9203 0