Datenschutz


Verantwortlichkeit:

bomhoff GmbH

Geschäftsführer: Bernd Flock


Datenschutzbeauftragter:

Nick Mainka


Telefon: 0421 / 610 737 - 28 

Fax: 0421 / 610 737 - 96

E-Mail: nick.mainka@comkopie.de

Rechtliche Hinweise

Alle in unseren Internetseiten enthaltenen Informationen und Angaben wurden von comkopie Beteiligungs-GmbH, kunckel teampoint GmbH, comkopie X GmbH, comkopie b GmbH, bomhoff GmbH oder Dritten sorgfältig recherchiert und geprüft. Für Richtigkeit, Vollständigkeit und Aktualität übernehmen jedoch weder comkopie Beteiligungs-GmbH, kunckel teampoint GmbH, comkopie X GmbH, comkopie b GmbH, bomhoff GmbH noch entsprechende Dritte die Gewähr.


Die Internet-Seite von comkopie Beteiligungs-GmbH, kunckel teampoint GmbH, comkopie X GmbH, comkopie b GmbH, bomhoff GmbH kann ohne Wissen von comkopie Beteiligungs-GmbH, kunckel teampoint GmbH, comkopie X GmbH, comkopie b GmbH, bomhoff GmbH von einer anderen Web-Seite mittels Hyperlinks angelinkt worden sein. comkopie Beteiligungs-GmbH, kunckel teampoint GmbH, comkopie X GmbH, comkopie b GmbH, bomhoff GmbH übernimmt keine Verantwortung für Inhalt, Darstellung oder irgendeine Verbindung zu comkopie Beteiligungs-GmbH, kunckel teampoint GmbH, comkopie X GmbH, comkopie b GmbH, bomhoff GmbH in Web-Seiten Dritter.


Die Nutzung eines Links von dieser Web-Seite zu der Web-Seite eines Dritten führt zum Verlassen der comkopie Beteiligungs-GmbH, kunckel teampoint GmbH, comkopie X GmbH, comkopie b GmbH, bomhoff GmbH Internetseite und erfolgt auf Verantwortung des Benutzers. comkopie Beteiligungs-GmbH, kunckel teampoint GmbH, comkopie X GmbH, comkopie b GmbH, bomhoff GmbH hat nicht alle Web-Seiten Dritter kontrolliert und übernimmt für die dort vorgefundenen Inhalte keinerlei Haftung. Dies gilt ebenso für alle Ergebnisse, die durch die Benutzung von Web-Seiten Dritter erlangt werden können.


Sie haben jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung sowie ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden.



I. Gegenstand der Vereinbarung


1. Gemäß bestehender Verträge zwischen Auftraggeber und Auftragnehmer, verarbeitet der Auf-tragnehmer im Rahmen seiner Dienstleistung, personenbezogenen Daten des Auftraggebers. Gegenstand des Vertrages und der auf dessen Basis abgeschlossenen Dienstleistungen ist auch das verarbeiten auftragsbezogener Personendaten.


2. Bei der Verarbeitung der Daten erfolgt zwangsweise der Zugriff auf eventuell personenbezogene Daten des Auftraggebers. Vielmehr geschieht ein Transfer von Daten nur in den meisten Fällen als Nebenfolge der vertragsgemäßen Leistungen des Auftragnehmers.


3. Die personenbezogener Daten des Auftraggebers, auf die der Auftragnehmer im Rahmen dieser Vereinbarung Zugriff hat, umfasst die folgenden Kategorien personenbezogener Daten:



- Name, Firmierung, Rechtsform

- Adressdaten inkl. Name, Vorname, Titel, Funktion, Anschrift

- Verbindungsdaten (Telefonnummer und ggf. Durchwahl, Email, ggf. IP-Adressen)

- Bankverbindung und ggf. SEPA-Lastschriftmandat

- Abrechnungsdaten



II. Pflichten des Auftraggebers


1. Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Recht¬mäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des § 3 Abs. 7 BDSG bzw. Art. 4 Nr. 7 DS-GVO).


2. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. daten¬schutzrechtlicher Bestimmungen feststellt.


3. Der Auftraggeber versichert, die Zulässigkeit der Auftragsdatenverarbeitung vor der Auftrags-vergabe geprüft zu haben. Für die Wahrung der Rechte der Betroffenen bleibt stets der Auftraggeber verantwortlich.


4. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zur Datensicherung (vgl. Art. 32 DS-GVO bzw. § 9 BDSG nebst Anlage sowie Ziff. IX. und Anlage 1 dieser Vereinbarung) in geeigneter Weise zu überzeugen. Der Auftraggeber ist verpflichtet, das jeweilige Ergebnis zu dokumentieren.


5. Der Auftraggeber nimmt alle sich aus dem Bundesdatenschutzgesetz bzw. der DS-GVO ergebenden Rechte gegenüber den Betroffenen wahr.



III. Allgemeine Pflichten des Auftragnehmers


1. Sofern dem Auftragnehmer bei der Dienstleistung personenbezogene Daten bekannt werden, hat er diese Daten vertraulich zu behandeln. Er wird sie ebenfalls vor Missbrauch oder Verlust schützen und hierzu angemessene technische und organisatorische Maßnahmen treffen.


2. Der Umgang mit den Daten erfolgt ausschließlich nach Weisung des Auftraggebers. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht vor. Die Weisungen müssen grundsätzlich schriftlich erfolgen, mündliche Weisungen oder Weisungen in elektronischer Textform (z.B. E-Mail) sind unverzüglich schriftlich zu bestätigen. Etwaige dem Auftragnehmer durch die Weisungen entstehende zusätzliche Kosten sind vom Auftraggeber zu tragen.


3. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftra¬ges und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 lit. a DSGVO vor. In diesem Fall teilt der Auftragnehmer dies vor Verarbeitung dem Auftraggeber mit, außer diese Mitteilung ist nach dem einschlägigen Recht wegen eines wichtigen öffentlichen Interesses untersagt. Der Auftragnehmer hat personenbezogene Daten zu berichtigen, zu löschen und zu sperren, wenn der Auftraggeber dies in der getroffenen Vereinbarung oder einer Weisung verlangt. Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Hiervon ausgenommen ist die Verarbeitung in Erfüllung einer Pflicht aus dem Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seines Erachtens nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.


4. Der Auftragnehmer erstattet in allen Fällen dem Auftraggeber eine Meldung, wenn durch ihn oder die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind.


5. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer in den Artt. 12-22 DS-GVO genannten Rechte nachzukommen.


6. Der Auftragnehmer unterstützt den Auftraggeber ebenfalls, soweit es dem Auftragnehmer mit den verfügbaren Informationen möglich ist, bei der Einhaltung der in den Artt. 32-36 genannten Pflichten.


7. An der Erstellung eines Verfahrensverzeichnisses wird der Auftragnehmer auf Anfrage des Auf-traggebers mitwirken. Er wird die erforderlichen Angaben dem Auftraggeber zuleiten. Der Auf-tragnehmer ist verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 Abs. 2 DS-GVO zu führen.


8. Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verarbeitung und Nutzung in einem Drittland bedarf der vorherigen Zustimmung des Auftraggebers. Die Verlagerung in ein Drittland darf zusätzlich nur erfolgen, wenn die besonderen Voraussetzungen der §§ 4b, 4c BDSG bzw. Art. 44 und 45 DS-GVO erfüllt sind und der Auftragnehmer dem Auftraggeber einen Vertreter im Sinne des Art. 27 DS-GVO benannt hat, sofern die Voraussetzungen des Art. 27 Abs. 1 und 2 vorliegen.



IV. Datensicherungsmaßnahmen nach der Anlage zu § 9 BDSG

(Erläuterungen siehe Anhang)


1. Der Auftragnehmer übernimmt lediglich die Dienstleistung, die vom Auftraggeber veranlasst wurde. Die Tätigkeiten werden in den Räumlichkeiten des Auftragnehmers durchgeführt. Der Auftragnehmer wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen des BDSG bzw. der Datenschutz-Grundverordnung (Art. 32 DS-GVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbar¬keit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbei¬tung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisato¬rischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.


2. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewähr-leistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnah-men.


3. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren.



 

V. Datengeheimnis


1. Der Auftragnehmer verpflichtet sich, das Datengeheimnis entsprechend § 5 BDSG bzw. die Ge-währleistung der Vertraulichkeit entsprechend Art. 28 Abs. 3 lit. b DS-GVO, zu wahren.


2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer erklärt, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis schriftlich verpflichtet. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.


3. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.



VI. Datenschutzbeauftragte des Auftragnehmers


Beim Auftragnehmer ist Herr Nick Mainka als fachkundiger und qualifizierter betrieblicher Beauftragter für den Datenschutz bestellt.



VII. Kontrollrechte des Auftraggebers


Der Auftragnehmer berechtigt den Auftraggeber, die Einhaltung der Vorschriften über den Datenschutz und der von ihm getroffenen Weisungen in angemessener Weise zu überprüfen. Kontrollen im Hause des Auftragnehmers bedürfen der vorherigen einvernehmlichen Abstimmung. Der Auftragnehmer verpflichtet sich, die hierzu erforderlichen Unterlagen zur Verfügung zu stellen.



VIII. Unterauftragsverhältnisse


1. Der Auftragnehmer ist berechtigt, Subunternehmer in Anspruch zu nehmen. Der Auftragnehmer hat Subunternehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, ob dieser die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen entsprechend einhalten kann. Die vertraglichen Vereinbarungen mit eventuellen Subunternehmern sind so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftraggeber und dem Auftragnehmer entsprechen.


2. Änderungen in Bezug auf die Hinzuziehung oder Ersetzung eines Subunternehmers zeigt der Auftragnehmer dem Auftraggeber mit angemessener Frist an. Der Auftraggeber kann solchen Änderungen innerhalb der Ankündigungsfrist gegenüber dem Auftragnehmer widersprechen.


3. Ebenso ist der betriebliche Datenschutzbeauftragte des Auftraggebers berechtigt, auf schriftliche Anforderung vom Auftragnehmer Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten.


4. Nicht als Leistungen von Subunternehmern im Sinne dieser Regelung gelten Dienstleistungen, die der Auftragnehmer bei Dritten als Nebenleistungen zur Unterstützung der Auftragsdurchführung in Anspruch nimmt. Der Auftragnehmer ist aber auch hierbei verpflichtet, zur Gewährleistung der Sicherheit der Daten angemessene Vorkehrungen und Kontrollmaßnahmen zu ergreifen.



IX. Rückgabe und Löschung von Daten bei Vertragsbeendigung


Vorbehaltlich zwingender gesetzlicher Aufbewahrungspflichten bzw. sofern nach dem Unions-recht oder dem Recht der Mitgliedsstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten im Sinne des Art. 28 Abs. 3 lit. g DS-GVO besteht, hat der Auftragnehmer nach Abschluss der vertraglichen Arbeiten sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, auf Verlangen dem Auftraggeber auszuhändigen oder datenschutzkonform zu löschen bzw. zu vernichten. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber. Die Löschung der Daten auf Festplatten aus dem hier zugrunde liegenden Hauptvertrag (ggf. als kostenpflichtige Dienstleistung) erfolgt grundsätzlich nach dem Standardlöschverfahren des Auftragnehmers, sofern sich aus dem Hauptvertrag nichts anderes ergibt.



X. Vertragsdauer


1. Dieser Vertrag besteht auch nach Beendigung einer erbrachten Dienstleistung und wird für alle folgenden Aufträge verwendet.


2. Der Auftraggeber kann den vorliegenden Vertrag abweichend von Abs. 1 jederzeit ohne Einhal-tung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmungen dieses Vertrages vorliegt.



XI. Haftung


Bzgl. der Haftung wird auf die Regelungen des in Ziff. I. genannten Vertrages verwiesen.



XII. Sonstiges


1. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform.


2. Es gilt ausschließlich deutsches Recht.


3. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus dieser Vereinbarung ist Bremen.


4. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.




Technische und organisatorische Maßnahmen


1. Zutrittskontrolle


Maßnahmen, die Unbefugten den körperlichen Zutritt zu den Datenverarbeitungsanlagen verwehren.

 

• Grundregeln für das Verhalten in Betriebsgebäuden & Besucherregelung

• Zutrittskontrollsysteme mit Identifikationschip

• Regelmäßige Kontrollen der Zutrittsrechte von Sicherheitsbereichen

• Einbruchmeldetechnik

• Videoüberwachung mit Aufzeichnung

• Wach- und Schließgesellschaft

 


2. Zugangskontrolle

 

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und –verfahren nutzen und damit die Möglichkeit einer Kenntnisnahme, Änderung oder Löschung von Daten haben.

 

• Eintritts-, Versetzungs- und Austrittsprozess

• Informationssystem zum User Provisioning

• Passwortverfahren mit zentral festgelegten Komplexitätsanforderungen

• Unternehmensweite Passwortpolicy

• Monitoring

• Automatische Sperrung

• VPN

• Regelmäßige Prüfungen der Zugangsrechte zum Netzwerk


 

3. Zugriffskontrolle


Maßnahmen, die gewährleisten, dass die berechtigten Personen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.


• Berechtigungskonzept

• Regelmäßige Aktualisierung der Standardrechte

• Genehmigungsprozess für Sonderrechte

• Informationssystem zur Rechtevergabe

• Logging


4. Weitergabekontrolle


Maßnahmen, die verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können und die eine Überprüfung ermöglichen, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist.


• VPN

• Klassifizierung von Informationen

• Unternehmensweite Handhabungsregeln zu den Kennzeichnungsklassen inkl. Datenträger-vernichtung

• Regelungen zu kryptographischen Maßnahmen

• Verpflichtung auf das Datengeheimnis für alle Mitarbeiter


 

 

5. Eingabekontrolle


Maßnahmen, die eine nachträgliche Überprüfung und Feststellung ermöglichen, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert oder gelöscht worden sind.


• Protokollierung spezifischer Systeme

• Session Logs

• Aktuelle Systemzeit durch Synchronisation mit Timeserver

 


6. Auftragskontrolle


Maßnahmen, die bei der Beauftragung von Subunternehmern gewährleisten, dass die im Unterauf-trag zu verarbeitenden Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet wer-den.


• Vertragliche Regelungen mit Subunternehmen

• Eindeutige Vertragsgestaltung

• Schriftliche Beauftragung

• Vertraulichkeitsvereinbarungen

• Vereinbarungen zur Auftragsdatenvereinbarung

• Prozess zur Lieferantenbewertung


 

7. Verfügbarkeitskontrolle


Maßnahmen zum Schutz vor zufälliger Zerstörung durch Brand, Blitz, Stromausfall etc.


• Definierte Backupstrategie

• Schattenkopien

• VM-Snapshots

• Regelm. Wiederherstellungstests

• Aufbewahrung in zertifizierten, brandgeschützten Tresoren

• USV für RZ

• Firewalls, DMZ

• Schwachstellenmanagement

• Risikobewertung

• Antivirus

• Antispam

• Live Monitoring

• Brandfrüherkennungsanlage

 


8. Trennungsgebot

 

Maßnahmen, die technisch gewährleisten, dass personenbezogene Daten nur zweckbestimmt verarbeitet werden können.

 

• Mandantentrennung

• Getrennte Datenbanken

• Verschlüsselte Speicherbereiche

• Zugriffsregelung

• Regelmäßige Kontrolle spezifische Zugriffsrechte

• Trennung von Entwicklungs- & Testsystemen von Produktivsystemen


 

9. Sonstige (organisatorische) Maßnahmen

 

• Interne Audits zum integrierten Managementsystem

 

 





Verwendung von Facebook-Plugins

Auf diesen Internetseiten werden Plugins des sozialen Netzwerkes facebook.com verwendet, das von der Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA betrieben wird (“Facebook”). Wenn Sie mit einen solchen Plugin versehene Internetseiten unserer Internetpräsenz aufrufen, wird eine Verbindung zu den Facebook-Servern hergestellt und dabei das Plugin durch Mitteilung an Ihren Browser auf der Internetseite dargestellt. Hierdurch wird an den Facebook-Server übermittelt, welche unserer Internetseiten Sie besucht haben. Sind Sie dabei als Mitglied bei Facebook eingeloggt, ordnet Facebook diese Information Ihrem persönlichen Facebook-Benutzerkonto zu. Bei der Nutzung der Plugin-Funktionen (z.B. Anklicken des „Gefällt mir“-Buttons, Abgabe eines Kommentars) werden auch diese Informationen Ihrem Facebook-Konto zugeordnet, was Sie nur durch Ausloggen vor Nutzung des Plugins verhindern können. Nähere Informationen zur Erhebung und Nutzung der Daten durch Facebook, über Ihre diesbezüglichen Rechte Möglichkeiten zum Schutz Ihrer Privatsphäre finden Sie in den Datenschutzhinweisen von Facebook.

© 2017 deep visions Multimedia GmbH