Datenschutzerklärung

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG

1. Gegenstand und die Dauer des Auftrags

Gegenstand und Dauer des Auftrags entsprechend (siehe Vertrag)

Eleven führt die vereinbarte Leistung ausschließlich im Rahmen der getroffenen Vereinbarungen nach dem Gegenstand und der Dauer des Auftrags durch.

2. Umfang, die Art und der Zweck der vorgesehenen Datenverarbeitung

Ziel des Unternehmens ist die Entwicklung und der Betrieb von IT-Security-Diensten und Werkzeugen zur Überwachung und Reduzierung IT-bezogener Unternehmensausgaben für große Unternehmen, ISPs und Integratoren. Die IT-Security-Dienste und Werkzeuge erlauben es Unternehmen, E-Mails zu kategorisieren, sich zuverlässig vor Spam zu schützen und in sensiblen Unternehmensbereichen Kosten zu sparen und Risiken zu vermeiden.

Die Erhebung, Speicherung, Verarbeitung und Nutzung personenbezogener Daten erfolgt im Rahmen der Auftragsdatenverarbeitung im Sinne des § 11 BDSG im Rahmen von Dienstleistungsverträgen. Zum Zwecke der Vertragserfüllung werden zur Vertragserfüllung erforderliche Bestandsdaten der Kunden erhoben und gespeichert. Diese umfassen u.a. Name, Telefonnummer, E-Mail-Adresse der Kontaktperson(en), sowie die Firmenanschrift.

Verkehrsdaten der Auftragsdatenverarbeitung werden zum Zwecke der Vertragserfüllung (im Wesentlichen zur Störungserkennung und beseitigung sowie zu Abrechnungszwecken) gespeichert. Weiterhin werden Verkehrsdaten in anonymisierter Form zu statistischen Zwecken gespeichert, die dem jeweiligen Kunden als Leistungskontrolle der Dienstleistung dienen. Die Inhalte der Kommunikation im Rahmen der Auftragsdatenverarbeitung werden nicht gespeichert.

Eleven verpflichtet sich, die ihm im Verlauf oder anlässlich der Zusammenarbeit erhobenen Daten, bekannt gewordenen Betriebsgeheimnisse oder sonstige ihrer Natur nach schutzwürdigen Angelegenheiten nur zur rechtmäßigen Aufgabenerfüllung im Sinn der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und den Kreis der Betroffenen nur für vertragliche Zwecke zu verwenden und im Übrigen geheim zu halten. Auskünfte an Dritte darf Eleven nicht erteilen.

3. Technische und organisatorische Maßnahmen

Eleven stellt sicher, dass die verwendete Hard- und Software, auf denen die Daten des Auftraggebers verarbeitet werden, durch hinreichend sicheretechnische und organisatorische Maßnahmen nach § 9 BDSG vor einer unbefugten Benutzung geschützt sind. Die folgenden technischen und organisatorischen Maßnahmen werden verbindlich festgelegt:

Zutrittskontrolle: Unbefugten ist der Zugang zu den Datenverarbeitungs-anlagen durch adäquate Absicherung des Rechenzentrums, Kontrolle des Zutritts und Festlegung der berechtigten Personen verwehrt.

Zugangskontrolle: Die DV-Systeme können von Unbefugten nicht genutzt werden. Um dies zu gewährleisten wurden folgende Maßnahmen getroffen: Zugangsschutzmaßnahmen, Passwortschutz, ausschließliche Nutzung sicherer Übertragungswege.

Zugriffskontrolle: Die Zugriffsberechtigung für Mitarbeiter ist im Rahmen des Berechtigungskonzeptes dergestalt beschränkt, dass jede Mitarbeiterin und jeder Mitarbeiter nur auf diejenigen Verarbeitungsprozesse Einfluss nehmen kann, welche für die Erledigung ihrer Arbeit erforderlich sind. Ferner bestehen Firewall-Systeme sowie Maßnahmen zur Benutzerauthorisierung und -authentifizierung.

Weitergabekontrolle: Zum Zwecke der Erbringung der vertraglichen Leistung und anschließenden Weitergabe übermittelte Daten werden ausschließlich an den/die jeweils betroffenen Empfänger über die entsprechende Gegenstelle übermittelt. Eine verschlüsselte Übertragung kann auf Wunsch des Auftraggebers als zusätzliche Dienstleistung Anwendung finden, sofern die Daten bereits derart zu Eleven übermittelt werden.

Eingabekontrolle: Personenbezogene Daten werden i.d.R. vom Kunden selbst gepflegt oder von Ihm oder Dritten übermittelt. Ein Ändern, Entfernen oder Eingeben durch Eleven wird nur in speziellen Fällen auf explizite Vorgabe des Auftraggebers durchgeführt, sofern dies technisch bedingt realisierbar ist.

Auftragskontrolle: Eleven gewährleistet, dass personenbezogene Daten, die vom Auftraggeber im Rahmen der Auftragsdatenverarbeitung übermittelt werden, ausschließlich bei Eleven zur Verarbeitung gelangen.

Verfügbarkeitskontrolle: Der Auftraggeber gewährleistet, die erforderlichen Maßnahmen zur höchstmöglichen Verfügbarkeit unseres Dienstes getroffen zu haben. Dies ist durch redundante Systeme, Backups sowie adäquate Maßnahmen zum Katastrophenschutz realisiert.

Trennungskontrolle: Eine unzulässige Zusammenführung von Daten außerhalb deren Zweckbindung kann durch technische Gestaltung der von uns verwandten Verfahren ausgeschlossen werden.

Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses an die technische und organisatorische Weiterentwicklung angepasst werden.

4. Berichtigung, Löschung und Sperrung von Daten

Berichtigungen, Löschungen oder Sperrungen von personenbezogenen Daten dürfen von Eleven nur auf Anweisung bzw. nach vorheriger Zustimmung des Auftraggebers vorgenommen werden. Eleven ist verpflichtet, seine Infrastruktur so zu gestalten, dass er entsprechenden Vorgaben des Auftraggebers unverzüglich nachkommen kann.

5. Pflichten von Eleven

Eleven verpflichtet sich, das Datengeheimnis gemäß § 5 BDSG zu wahren. Er verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Unternehmen obliegen. Eleven verpflichtet sich, nur Mitarbeiter einzusetzen, die nach dem BDSG auf das Datenschutz-geheimnis verpflichtet sind. Eleven sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.

6. Unterauftragsverhältnisse

Die Einschaltung von Unterauftragnehmern ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers zulässig. Eleven hat in jedem Falle vertraglich sicher zu stellen, dass die vereinbarten Datenschutzregelungen auch gegenüber Unterauftragnehmern gelten.

7. Rechte des Auftraggebers

Der Datenschutzbeauftragte des Unternehmens oder sein Vertreter ist berechtigt, vor Beginn der Datenverarbeitung und sodann in regelmäßigen Abständen die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen – insb. die von Eleven getroffenen technischen und organisatorischen Maßnahmen – im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und durch die Begehung der Räume, in denen die Arbeiten durchgeführt werden. Ihm sind hierzu alle diesbezüglichen Unterlagen zugänglich zu machen. Eleven hat die Kontrollen in zumutbarem Umfang zu unterstützen.

8. Verstöße

Eleven ist verpflichtet, den Auftraggeber unverzüglich über Verstöße gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die in dieser Vereinbarung getroffenen Festlegungen zu informieren. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber den Betroffenen verantwortlich. Sollten Daten des Auftraggebers bei Eleven durch Maßnahmen Dritter (z.B. Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat Eleven den Auftraggeber unverzüglich zu verständigen. Die Einrede des Zurückbehaltungsrechts i.S. v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

9. Weisungsbefugnisse

Eleven darf die personenbezogenen Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Eleven ist während der gesamten Laufzeit des Vertrages an die Weisungen des Auftraggebers gebunden.

10. Rückgabe, Löschung, Beendigung

Nach Abschluss der vertraglichen Arbeiten hat Eleven sämtliche in seinem Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Vertragsverhältnis stehen, dem Auftraggeber auszuhändigen. Die Datenträger von Eleven sind dem Auftraggeber zu übergeben oder physisch zu löschen. Unberührt bleiben Sicherungskopien zur Erfüllung von Haftungs- und Gewährleistungsansprüchen. Eleven wird diese Gegenstände bis zu deren vollständiger Übergabe an den Auftraggeber für diesen verwahren und ihm auf erstes Anfordern herausgeben. Eleven sichert diese Gegenstände insbesondere durch ordnungsgemäße Verwahrung und Archivierung gegen Beschädigung und Verlust. Sicherungskopien sind durch geeignete Maßnahmen zu sperren, sodass eine Nutzung durch Eleven ausgeschlossen ist. Nicht mehr benötigte Unterlagen und Dateien dürfen erst nach vorheriger schriftlicher Zustimmung durch den Auftraggeber datenschutzgerecht unter Erbringung eines Nachweises vernichtet werden.