Datenschutzerklärung für Online-Shop-Kunden

Anlage 1

Technische und organisatorische Maßnahmen des Auftragnehmers

 

1. Vertraulichkeit

a) Zutrittskontrolle

Der Auftragnehmer trägt Sorge dafür, dass seine Büro- und Geschäftsräume grundsätzlich außerhalb der Büro- und Geschäftszeiten geschlossen sind.

Während der Büro- und Geschäftszeiten ist sichergestellt, dass Besucher oder sonstige Dritte sich nicht alleine in Räumen bewegen können, in denen sie Zugang zu personenbezogenen Daten erhalten könnten.

Die Schlüsselvergabe und das Schlüsselmanagement erfolgt nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen für Räume regelt.

 

b) Zugangskontrolle

Um Zugang zu IT-Systeme zu erhalten, müssen der Auftragnehmer und seine Beschäftigten übe reine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von einem oder mehreren Administratoren vergeben.

Vergebene Passwörter werden nach einem organisatorisch vorgegebenem Turnus von mindestens 90 Tagen gewechselt.

Remote-Zugriffe auf IT-Systeme des Auftragnehmers erfolgen stets über verschlüsselte Verbindungen.

Alle Server und Client-Systeme, die bei der Erbringung von Leistungen für den Auftraggeber im Einsatz sind, sind durch Firewalls geschützt, die gewartet und mit aktuellen Updates und Patches versorgt werden. Alle Mitarbeiter des Auftragnehmers sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.

 

c) Zugriffskontrolle

Berechtigungen für IT-Systeme und Applikationen des Auftragnehmers werden nach dem Need-to-know-Prinzip vergeben. Zugriffsrechte erhalten nur Personen, die Daten, Anwendungen oder Datenbanken warten und pflegen bzw. an ihrer Entwicklung beteiligt sind.

 

d) Trennung

Soweit der Auftragnehmer personenbezogene Daten vom Auftraggeber im Zusammenhang mit der Auftragsverarbeitung erhält, wird diese getrennt von Daten anderer Kunden verarbeiten.

 

e) Pseudonymisierung und Verschlüsselung

Ein gegebenenfalls notwendig werdender administrativer Zugriff auf IT-Systeme des Auftraggebers erfolgt grundsätzlich über verschlüsselte Verbindungen, soweit der Zugriff nicht innerhalb der Räumlichkeiten des Auftraggebers erfolgt.

 

2. Integrität

a) Eingabekontrolle

Der Auftragnehmer wird Eingaben, Änderungen oder Löschungen von personenbezogenen Daten, die er im Auftrag des Auftraggebers durchführt, in geeigneter Weise dokumentieren, sofern nicht sichergestellt ist, dass das jeweilige IT-System selbst eine Protokollierung entsprechender Aktivitäten durchführt.

 

b) Weitergabekontrolle

Eine Weitergabe von personenbezogenen Daten, die im Auftrag des Auftraggebers erfolgt, darf jeweils nur in dem Umfang erfolgen, wie und soweit dies mit dem Auftraggeber abgestimmt ist. Die Nutzung von privaten Datenträgern ist dem Auftragnehmer im Zusammenhang mit der Auftragsverarbeitung für den Auftraggeber untersagt.

 

 

3. Verfügbarkeit und Belastbarkeit

Soweit der Auftragnehmer personenbezogene Daten oder Zugangsdaten für den Auftraggeber speichert oder verwaltet, trägt er Sorge dafür, dass diese Daten gesichert werden.

 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Der Auftragnehmer trägt durch Richtlinien und/oder Anweisungen an die Beschäftigten dazu bei, dass eine Verarbeitung personenbezogener Daten in einer Weise gewährleistet ist, die den Anforderungen der DS-GVO entspricht. Dies beinhaltet insbesondere eine regelmäßige Überprüfung der Wirksamkeit der getroffenen Maßnahmen zum Schutz personenbezogener Daten und gegebenenfalls der Anpassung. Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Beschäftigten erkannt und unverzüglich der Auftraggeber gemeldet werden, wenn dies Daten betrifft, die im Rahmen der Auftragsverarbeitung für den Auftraggeber verarbeitet werden.

 

a) Auftragskontrolle

Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben des jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag abgeschlossen. Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.

 

b) Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Etwaige nach Art. 25 DS-GVO erforderliche Maßnahme im Zusammenhang mit der Verarbeitung von personenbezogenen Daten durch den Auftraggeber sind vom Auftraggeber zu treffen bzw. durch ergänzende Weisungen des Auftraggebers an den Auftragnehmer festzulegen.