gesetzlich vertreten durch

nachfolgend: "Auftraggeber" oder "Kunde"

Auftraggeber und Auftragnehmer werden nachfolgend jeweils als "Partei", gemeinsam als "Parteien" bezeichnet.

Vereinbarung

Ich habe den unten aufgeführten Vertragstext für die Auftragsdatenverarbeitung gelesen und verstanden. Ich akzeptiere die Verttragsinhalte.

Umfang

foncloud ermöglichst es dem Kunden und dessen foncloud Nutzern, Informationen in foncloud zu speichern. Soweit diese Informationen personenbezogene Daten enthalten, vereinbaren die Parteien, dass dies im Wege der Auftragsdatenverarbeitung erfolgt, wobei foncloud als Auftragnehmer personenbezogene Daten für den Kunden als Verantwortliche Stelle erhebt, speichert und verarbeitet. Diese Vereinbarung findet nur insoweit Anwendung, als diese nach jeweils anwendbarem Recht erforderlich ist.
Diese Vereinbarung über die Auftragsdatenverarbeitung (nachfolgend: „ADV“) gilt für personenbezogene Daten, die vom Auftragnehmer im Zuge der Nutzung von foncloud durch den Auftraggeber und dessen foncloud-Nutzer erhoben werden. Die ADV legt gemäß § 11 BDSG Pflichten der Parteien nach dem BDSG fest. Sie gilt für alle vom Auftragnehmer im Rahmen der ADV durchgeführten Aktivitäten, bei denen die Mitarbeiter des Auftragnehmers oder vom Auftragnehmer beauftragte Dritte personenbezogene Daten des Auftraggebers verarbeiten.
Die ADV gilt nicht für andere Produkte, Webseiten oder Dienste von foncloud. In Bezug auf foncloud hat diese ADV Vorrang vor etwaigen sonstigen Datenverarbeitungsvereinbarungen oder ähnlichen Vereinbarungen der Parteien.

1. Definitionen

Zusätzlich zu den andernorts im Vertrag definierten Begriffen gelten die folgenden Definitionen:
1.1 „Personenbezogene Daten“ bezieht sich auf Einzelangaben zu den persönlichen oder wirtschaftlichen Verhältnissen einer bestimmten oder bestimmbaren natürlichen Person.
1.2 „Auftragsdatenverarbeitung“ bezeichnet die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Auftragnehmer für Zwecke und gemäß Weisungen des Auftraggebers.
1.3 „Weisung“ bezeichnet die vom Auftraggeber erteilte schriftliche Anordnung einer datenschutzrelevanten Maßnahme in Bezug auf personenbezogene Daten (z.B. Anonymisierung, Sperrung, Löschung oder Übermittlung). Allgemeine Weisungen sind im Vertrag festgelegt und können vom Auftraggeber durch individuelle Einzelweisungen geändert werden. Werden Weisungen mündlich erteilt, so sind sie vom Auftraggeber unverzüglich schriftlich (durch Brief oder E-Mail) zu bestätigen.

2. Anwendungsbereich und Verantwortlichkeit

2.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag des Auftraggebers.

2.2 Umfang, Art und Zweck der Datenverarbeitung durch den Auftragnehmer erfolgt ausschließlich im Rahmen der für den Betrieb der foncloud Telefonanlage notwendigen Tätigkeiten, insbesondere

• der Vermittlung von Telefongesprächen von, zu und zwischen den Teilnehmern der Telefonanlage
• der Speicherung und Zustellung von Faxnachrichten
• der Speicherung und Zustellung von Mailboxnachrichten
• der Benachrichtigung von verpassten Anrufen
• der Übermittlung der „Besetzt“ Signalisierung (Besetztlampentasten)
• der Bereitstellung von zentral gespeicherten Rufnummern (zentrales Telefonbuch)

2.3 Die Laufzeit der ADV beginnt mit Unterzeichnung durch beide Parteien oder mit Beginn des Vertrags, je nachdem, welches Datum das frühere ist und gegebenenfalls mit Rückwirkung. Mit Ende der Laufzeit des Vertrags endet die ADV automatisch.

2.4 Folgende Arten personenbezogener Daten werden i.d.R. vom Auftragnehmer erhoben, verarbeitet und genutzt:

• Personenbezogene Daten über die foncloud-Nutzer, die Sie einrichten, insbesondere Nutzername, Passwort, Telefonnummer, E-Mail-Adresse, Zugriffsrechte
• Personenbezogene Daten, die aus der Nutzung von foncloud durch Ihre foncloud-Nutzer abgeleitet werden (soweit diese Daten nicht anonymisiert wurden, um aggregierte Nutzungsdaten zu erzeugen), insbesondere die verwendete IP-Adresse, gewählte Rufnummern, Rufnummern von eingehenden Anrufen, Telefonbucheinträge, erhalten Mailboxnachrichten, versendete und empfangene Faxe, Login/Logoff-Zeiten;

Soweit der Auftragnehmer personenbezogene Daten erhebt, verarbeitet und nutzt, die zu Abschluss und Erfüllung des Vertrags notwendig sind, wie beispielsweise Name, Post- und E-Mail-Adresse, Telefonnummer, Name der Firmen/Organisationen und deren Anschrift, ggf. besondere Rechnungsadresse, IP-Adresse, Zahlungsdaten, liegen diese personenbezogenen Daten außerhalb des Geltungsbereichs dieser ADV.

2.5 Folgende Personenkreise sind von der Verarbeitung personenbezogener Daten nach dieser ADV betroffen:

• Arbeitnehmer des Auftraggebers, sowie Mitglieder der Geschäftsführung und Gesellschafter, soweit es sich um natürliche Personen handelt
• Natürliche Personen, die als freie Mitarbeiter für den Auftraggeber arbeiten
• Natürliche Personen, die für externe Diensteanbieter des Auftraggebers arbeiten
• Konversationspartner der vorgenannten Personen

2.6 Der Auftraggeber ist allein verantwortliche Stelle für die Einhaltung der für vertragsgegenständliche Produkte und Dienste geltenden Datenschutzvorschriften. Dies umfasst insbesondere die Rechtmäßigkeit der Übermittlung und Verarbeitung personenbezogener Daten an und durch den Auftragnehmer.

2.7 Im Rahmen dieser Verantwortlichkeit kann der Auftraggeber Berichtigung, Löschung, Sperrung und Übermittlung personenbezogener Daten während der Laufzeit und nach Beendigung des Vertrags anweisen. Abschnitt 4.5 Satz 2 dieser ADV bleibt unberührt.
Die Anweisung zur Sperrung oder Löschung personenbezogener Daten kann dazu führen, dass die Bereitstellung von Produkten oder Dienstleistungen bzw. die Anmeldung dazu unmöglich wird. Der Auftragnehmer benachrichtigt den Auftraggeber über diese Auswirkungen, bevor er entsprechenden Weisungen Folge leistet.

2.8 Diese ADV gilt auch für die Überprüfung oder Wartung von automatisierten Prozessen oder für Datenverarbeitungssysteme, die über Fernzugriff funktionieren, wenn nicht ausgeschlossen werden kann, dass bei der Ausführung dieser Aufgaben ein Zugriff auf personenbezogene Daten möglich ist.

3. Pflichten des Auftragnehmers

3.1 Der Auftragnehmer darf personenbezogene Daten ausschließlich im Rahmen dieser ADV nach Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Wesentliche Änderungen des Gegenstands der ADV und Änderungen der Verfahren sind gemeinsam zu vereinbaren und zu dokumentieren.
Der Auftragnehmer wird rechtskonformen Weisungen des Auftraggebers entsprechen. Die Umsetzung von bestimmten Weisungen kann jedoch eine zusätzliche Vergütung des Auftragnehmers erfordern. Der Auftragnehmer informiert den Auftraggeber hierüber, bevor der Weisung folgt. Ohne den Anspruch des Auftragnehmers auf zusätzliche Vergütung hierdurch einzuschränken, kann der Auftraggeber jederzeit (z.B. in dringenden Fällen) auf vorherige Information verzichten.

3.2 Der Auftragnehmer gestaltet die interne Struktur der Organisation so, dass sie den anwendbaren Datenschutzgesetzen entspricht. Der Auftragnehmer ergreift angemessene technische und organisatorische Maßnahmen, um die personenbezogenen Daten des Auftraggebers entsprechend den anwendbaren Gesetzen und im Einklang mit den anwendbaren Datenschutzgesetzen vor Missbrauch und Verlust zu schützen.

3.3 Der Auftragnehmer stellt dem Auftraggeber eine Übersicht aller technischen und organisatorischen Maßnahmen zur Verfügung, die dieser ADV als Anlage 1 beigefügt ist. Diese technischen und organisatorischen Maßnahmen sind vom technischen Fortschritt und der weiteren Entwicklung abhängig. Dem Auftragnehmer ist daher gestattet, geeignete Alternativmaßnahmen einzusetzen.

3.4 Auf Anforderung übermittelt der Auftragnehmer dem Auftraggeber die notwendigen Informationen zur Erstellung eines Verfahrensverzeichnisses entsprechend den anwendbaren Datenschutzgesetzen.

3.5 Der Auftragnehmer stellt sicher, dass Mitarbeiter, die er für die Verarbeitung der Daten des Auftraggebers einsetzt, zur Einhaltung des Datengeheimnisses (in Deutschland gemäß § 5 BDSG) verpflichtet und über sonstige anwendbare Vorschriften zum Schutz personenbezogener Daten, insbesondere das Fernmeldegeheimnis (in Deutschland: § 88 TKG), informiert sind. Die Pflicht zur Einhaltung des Datengeheimnisses besteht auch nach Beendigung der Arbeitsverträge fort.

3.6 Der Auftragnehmer stellt die Kontaktdaten seines Datenschutzbeauftragten (DPO) im Internet zur Verfügung. Mit Wirksamkeit dieser ADV finden Sie die aktuelle Datenschutzerklärung auf der Webseite des Auftragnehmers unter: https://foncloud.net/datenschutzerklaerung

3.7 Der Auftragnehmer informiert den Auftraggeber über Verstöße gegen Vorschriften, die die personenbezogenen Daten des Auftraggebers schützen, oder falls die Weisungen des Auftraggebers oder von Personen, die beim Auftraggeber beschäftigt sind, nicht ordnungsgemäß befolgt wurden.

3.8 Der Auftragnehmer hat das Recht, Sicherungskopien personenbezogener Daten zu erstellen, soweit sie zur Gewährleistung einer korrekten Datenverarbeitung erforderlich sind, und kann personenbezogene Daten kopieren und aufbewahren, die erforderlich sind, damit der Auftraggeber seine gesetzlich vorgeschriebenen Pflichten zur Aufbewahrung von Dokumenten einhält.

3.9 Der Auftragnehmer speichert und verarbeitet ihm zur Verfügung gestellte Informationen und Kopien davon mit Umsicht, sodass sie Dritten nicht zugänglich werden. Der Auftragnehmer ist aufgrund Einzelweisung verpflichtet, auf Kosten des Auftraggebers für ordnungsgemäße Vernichtung von Materialien zu sorgen, die zur Löschung bestimmte personenbezogene Daten enthalten.

3.10 Der Auftragnehmer informiert den Auftraggeber, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt und erfüllt damit seine Mitteilungspflicht nach den anwendbaren Datenschutzgesetzen. Der Auftragnehmer hat das Recht, die Umsetzung der Weisung solange auszusetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

4. Pflichten des Auftraggebers

4.1 Die Parteien sind jeweils verantwortlich für die Einhaltung der Datenschutzgesetze, die für sie relevant sind. Der Auftraggeber muss den Auftragnehmer informieren, wenn die anwendbaren Datenschutzgesetze in einem besonderen Fall spezielle Pflichten für die Verarbeitung personenbezogener Daten enthalten.

4.2 Der Auftraggeber informiert den Auftragnehmer nach Kenntniserlangung unverzüglich und umfassend über etwaige Fehler oder Unregelmäßigkeiten im Zusammenhang mit gesetzlichen Vorschriften zur Verarbeitung personenbezogener Daten.

4.3 Wo ein Verfahrensverzeichnis gesetzlich vorgeschrieben ist, obliegt dies dem Auftraggeber.

4.4 Der Auftraggeber unterliegt je nach anwendbarer Datenschutzgesetze der Pflicht zur Anzeige von Verstößen.

4.5 Der Auftraggeber legt im Vertrag oder durch Einzelweisungen Maßnahmen zur Rückgabe der dem Auftragnehmer zur Verfügung gestellten Medien und für die Vernichtung der beim Auftragnehmer gespeicherten personenbezogenen Daten nach Beendigung dieser ADV fest.
Der Auftraggeber kann Löschung beim Auftragnehmer gespeicherter personenbezogener Daten insoweit nicht verlangen, als der Auftragnehmer von Gesetzes wegen verpflichtet ist, Materialien, die personenbezogene Daten enthalten, aufzubewahren.
Wenn der Auftragnehmer personenbezogene Daten aufbewahren muss, werden diese vom Auftragnehmer solange gesperrt, bis die Aufbewahrungsfrist abgelaufen ist. Außerdem werden personenbezogene Daten im jeweils rechtlich zulässigen Umfang gesperrt und nicht gelöscht, wenn die Löschung nicht sinnvoll durchführbar ist oder, aufgrund der speziellen Art der Speicherung, nur mit unverhältnismäßigen Kosten.

4.6 Zusätzliche Kosten, die aufgrund der Übermittlung oder Löschung personenbezogener Daten nach Beendigung der ADV entstehen, trägt der Auftraggeber.

4.7 Der Auftraggeber benachrichtigt den Auftragnehmer rechtzeitig über Änderungen der anwendbaren Gesetze im Bereich Datenschutz, die sich auf die vertraglichen Pflichten des Auftragnehmers auswirken und möglicherweise eine Änderung dieser ADV erfordern.
Die Parteien werden eine für beide Seiten akzeptable Lösung finden und Auswirkungen etwaiger Maßnahmen auf die vereinbarte Vergütung berücksichtigen.
Der Auftragnehmer kann dem Auftraggeber Vorschläge machen, wenn er der Auffassung ist, dass eine bestimmte Änderung notwendig ist, um weiterhin das anwendbare Recht einzuhalten.

5. Anfragen von Betroffenen

5.1 Wenn der Auftraggeber nach anwendbaren Datenschutzgesetzen verpflichtet ist, einen Betroffenen über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu informieren, bietet der Auftragnehmer dem Auftraggeber angemessene Unterstützung bei der Bereitstellung dieser Informationen unter der Voraussetzung, dass

• der Auftraggeber den Auftragnehmer schriftlich dazu aufgefordert hat und
• der Auftraggeber dem Auftragnehmer die infolge der Unterstützung entstandenen Kosten erstattet.

5.2 Sofern sich ein Betroffener wegen Berichtigung bzw. Löschung personenbezogener Daten direkt an den Auftragnehmer wendet, übermittelt der Auftragnehmer diese Anfrage dem Auftraggeber, der dem Auftragnehmer umgehend mitteilt, wie er vorzugehen hat.

6. Überprüfungsrechte

6.1 Im Hinblick auf eine Verpflichtung gemäß anwendbarer Datenschutzgesetze zur Kontrolle des Auftragnehmers vor Beginn der Datenverarbeitung und erneut während der Laufzeit der ADV, sorgt der Auftragnehmer dafür, dass der Auftraggeber die vom Auftragnehmer ergriffenen technischen und organisatorischen Maßnahmen überprüfen kann.
Zu diesem Zweck und nach ausdrücklicher Aufforderung des Auftraggebers legt der Auftragnehmer dem Auftraggeber einen Nachweis über die Einführung der technischen und organisatorischen Maßnahmen gemäß anwendbarer Datenschutzgesetze durch Selbstauskunft vor. Nachweise über die Einführung dieser Maßnahmen, die sich nicht ausschließlich auf diese ADV oder auf den Vertrag beziehen, können durch Vorlage aktueller Zertifikate, Berichte oder Auszüge aus Berichten von unabhängigen Dritten ergänzt werden, z.B. durch amtlich zugelassene Wirtschaftsprüfer, Buchprüfer, den/die internen und/oder externen Datenschutzbeauftragten des Auftragnehmers, die IT-Abteilung des Auftragnehmers, den/die internen und/oder externen Datenschutzprüfer des Auftragnehmers, Qualitätsprüfer oder durch entsprechendes Zertifikat, das nach Prüfung der IT-Sicherheit oder des Datenschutzes des Auftragnehmers durch Dritte erstellt wird, z.B. entsprechend der Norm des Bundesamts für Sicherheit in der Informationstechnik (BSI).

6.2 Nach schriftlicher Aufforderung durch den Auftraggeber und innerhalb angemessener Frist stellt der Auftragnehmer dem Auftraggeber alle zur Überprüfung nach Abschnitt 6.1 erforderlichen Informationen zur Verfügung.

7. Untervergabe

7.1 Der Auftragnehmer ist berechtigt, Dritte mit der Erbringung von Dienstleistungen zu beauftragen, die vertraglich dem Auftragnehmer zuzuordnen sind.

7.2 Wenn der Auftragnehmer Subunternehmer einsetzt, die personenbezogene Daten des Auftraggebers verarbeiten, gewährleistet der Auftragnehmer, dass die Subunternehmer vertraglich verpflichtet sind, die anwendbaren Datenschutzgesetze einzuhalten. Nach schriftlicher Aufforderung des Auftraggebers informiert der Auftragnehmer den Auftraggeber über die vom Auftragnehmer in Verbindung mit dem Vertrag eingesetzten Subunternehmer, die personenbezogene Daten des Auftraggebers verarbeiten.

7.3 Falls personenbezogene Daten in Länder außerhalb der EU, z.B. in die Vereinigten Staaten von Amerika oder in andere Länder, in denen der Auftraggeber bzw. seine Tochtergesellschaften oder Subunternehmer Einrichtungen unterhalten, übermittelt werden könnten, trifft der Auftraggeber die erforderlichen vertraglichen Vereinbarungen, die nach anwendbaren Datenschutzgesetzen für eine rechtskonforme Übermittlung oder Verarbeitung von personenbezogenen Daten verlangt werden. Wenn es zur Einhaltung der anwendbaren Datenschutzgesetze erforderlich ist, ein direktes Vertragsverhältnis zwischen dem Auftraggeber und einem Subunternehmer zu begründen, stimmt sich der Auftragnehmer mit dem Subunternehmer und dem Auftraggeber ab, damit ein direkter Vertrag geschlossen wird, wobei diese ADV als Maßstab dient.

8. Informationspflichten, Schriftformerfordernis

8.1 Falls personenbezogene Daten des Auftraggebers Gegenstand von Durchsuchung, Beschlagnahme, Pfändungsbeschlüssen, Insolvenzverfahren oder ähnlichen Ereignissen oder Maßnahmen Dritter werden, teilt der Auftragnehmer dies dem Auftraggeber, sofern rechtlich zulässig, unverzüglich mit.

8.2 Der Auftragnehmer benachrichtigt unverzüglich alle an dieser Maßnahme beteiligten Parteien, dass die von ihren Maßnahmen betroffenen personenbezogenen Daten alleiniges Eigentum des Auftraggebers sind und er allein verfügungsberechtigt ist und dass der Auftraggeber gemäß verantwortliche Stelle ist.

8.3 Alle Änderungen und Ergänzungen dieser ADV, einschließlich aller Zusicherungen des Auftragnehmers, erfordern eine schriftliche Vereinbarung und einen ausdrücklichen Hinweis, dass es sich um eine Änderung oder Ergänzung dieser ADV handelt. Dasselbe gilt auch für den Verzicht auf das Schriftformerfordernis.

8.4 Diese ADV unterliegt deutschem Recht, es sei denn, zwingende gesetzliche Vorschriften erfordern etwas anderes. Der ausschließliche Gerichtsstand liegt bei den Gerichten in Fulda.

8.5 Wenn eine Bestimmung der ADV rechtswidrig, ungültig, nichtig, anfechtbar oder nicht durchsetzbar ist, bleibt der Rest der ADV umfassend wirksam. Die Parteien vereinbaren eine wirksame Bestimmung, die, soweit rechtlich möglich, der Absicht der Parteien am nächsten kommt.

Anlage 1 zur ADV

Allgemeine technische und organisatorische Maßnahmen des Auftragnehmers gemäß § 9 BDSG (und Anlage)

Es folgt eine kurze Beschreibung der wesentlichen Maßnahmen, die foncloud entsprechend Anlage zu § 9 BDSG, erster Satz (Kontrollziele 1 bis 8) ergriffen hat.
foncloud hat die vom BDSG geforderten technischen und organisatorischen Maßnahmen für die geschäftspolitischen Grundsätze (Stufe 2) und die betrieblichen Verfahren (Stufe 3) entsprechend der internationalen Norm ISO27001 umgesetzt.
Die folgende Beschreibung des gegenwärtigen Zustands der grundlegenden Maßnahmen zur Datensicherheit kann nicht alle von Foncloud getroffenen Sicherheitsmaßnahmen abdecken. Insbesondere im Zusammenhang mit Datenschutz und Datensicherheit ist es zudem nicht möglich, detaillierte Beschreibungen geheimer Maßnahmen bereitzustellen, denn der Schutz der Sicherheitsmaßnahmen gegen unbefugte Weitergabe ist mindestens ebenso wichtig wie die Sicherheitsmaßnahme selbst. Außerdem können dem Vertrag, insbesondere der Datenschutzerklärung, weitere Einzelheiten über die von Foncloud getroffenen technischen und organisatorischen Maßnahmen entnommen werden.
Der Kunde kann Fragen zu technischen und organisatorischen Maßnahmen mit dem Account-Manager des Kunden erörtern.

1. Zutrittskontrolle

Technische und organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere hinsichtlich der Legitimation befugter Personen:
Ziel der Zutrittskontrolle ist es, Unbefugten Zutritt zu Datenverarbeitungsanlagen zu verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden.
Alle Geschäftlich genutzten Gebäude von foncloud sind mit Zutrittskontrollvorichtungen versehen. Besucher können die Geschäftsräume ausschließlich in Begleitung eines foncloud Mitarbeiters betreten.
Der Zutritt zu besonderen Sicherheitsbereichen (wie den Rechenzentren) wird zusätzlich durch einen separaten Zugangsbereich geschützt. Die baulichen und materialbezogenen Sicherheitsstandards entsprechen den Sicherheitsanforderungen für Rechenzentren.

2. Zugangskontrolle

Technische (Schutz durch Passwörter) und organisatorische (Nutzer-Masterdaten) Maßnahmen bezüglich Nutzer-ID und Berechtigung:
Ziel des Systems der Zugangskontrolle ist es zu verhindern, dass Datenverarbeitungssysteme, mit denen personenbezogene Daten verarbeitet oder genutzt werden, von Unbefugten genutzt werden können.
Es wurden zusätzliche technische Schutzmaßnahmen wie Firewalls und Proxy-Server ergriffen.
Um Zugangskontrolle zu gewährleisten, werden Verschlüsselungstechnologien verwendet (z.B. Fernzugriff auf das Unternehmensnetzwerk durch VPN-Tunnel). Es erfolgt eine Beurteilung der Eignung der Verschlüsselungstechnologien für den Schutzzweck.

3. Zugriffskontrolle

Nachfragestruktur des Berechtigungskonzepts und der Datenzugriffsrechte sowie deren Überwachung und Aufzeichnung:
Maßnahmen bezüglich Zugriffskontrolle zielen darauf ab, dass ausschließlich auf Daten zugegriffen werden kann, für die eine Zugriffsberechtigung vorliegt und personenbezogene Daten bei Verarbeitung und Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Zugriff auf für die Ausführung einer bestimmten Aufgabe erforderliche Daten wird innerhalb der Systeme und Anwendungen durch ein Rollen- und Berechtigungskonzept gesichert. Jede Rolle hat nach dem Grundsatz „Need to know“ nur die Rechte, die für die Erfüllung der von der jeweiligen Person auszuübenden Aufgabe erforderlich sind.
Um Zugriffskontrolle zu gewährleisten, werden Verschlüsselungstechnologien verwendet (z.B. Fernzugriff auf das Unternehmensnetzwerk durch VPN-Tunnel). Es erfolgt eine Beurteilung der Eignung der Verschlüsselungstechnologien für den Schutzzweck.

4. Weitergabekontrolle

Maßnahmen bezüglich des Transports, des Transfers, der Übermittlung oder Speicherung personenbezogener Daten auf Datenträger (manuell oder elektronisch) sowie bezüglich nachfolgender Überprüfung:
Ziel der Weitergabekontrolle ist es zu gewährleisten, dass personenbezogene Daten während ihres Transfers oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten vorgesehen ist.
Die zur Gewährleistung der Datensicherheit während des Transports, des Transfers und der Übermittlung personenbezogener Daten sowie sonstiger Unternehmens- oder Kundendaten erforderlichen Maßnahmen werden in der Richtlinie zum Schutz vertraulicher geschäftlicher Informationen detailliert beschrieben. Diese Richtlinie enthält eine detaillierte Beschreibung der gesamten Datenverarbeitung von der Erzeugung der Daten bis zu deren Löschung, einschließlich des Umgangs mit solchen Daten entsprechend ihrer Einstufung.
Um eine Weitergabekontrolle zu gewährleisten, werden Verschlüsselungstechnologien verwendet (z.B. Fernzugriff auf das Unternehmensnetzwerk durch VPN-Tunnel). Es erfolgt eine Beurteilung der Eignung der Verschlüsselungstechnologien für den Schutzzweck.
Die Übermittlung personenbezogener Daten an Dritte (z.B. Kunden, Subunternehmer, Diensteanbieter) erfolgt nur, wenn ein entsprechender Vertrag vorhanden ist und nur für einen bestimmten Zweck. Wenn personenbezogene Daten an Unternehmen mit Geschäftssitz außerhalb EU/EWR übermittelt werden, stellt foncloud sicher, dass im Zielland oder in der Zielorganisation ein angemessenes Datenschutzniveau entsprechend den EU-Datenschutzanforderungen vorhanden ist, z.B. durch Verwendung von Verträgen auf Grundlage der EU-Musterklauseln.

5. Eingabekontrolle

Maßnahmen bezüglich der nachfolgenden Überprüfung, ob oder von wem Daten eingegeben, verändert oder entfernt worden sind:
Ziel der Eingabekontrolle ist es zu gewährleisten, dass mithilfe von angemessenen Maßnahmen die Eingabe von Daten nachträglich überprüft und überwacht werden kann.
Systemeingaben werden in Protokolldateien verzeichnet. Dadurch kann zu einem späteren Zeitpunkt überprüft werden, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht wurden.

6. Auftragskontrolle

Maßnahmen (technische/organisatorische), um den Zuständigkeitsbereich des Auftraggebers von dem des Auftragnehmers zu unterscheiden:
Ziel der Auftragskontrolle ist es zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.
Personenbezogene Daten werden nur für interne Zwecke verwendet (z.B. als Bestandteil der jeweiligen Kundenbeziehung). Eine Übermittlung personenbezogener Daten an Dritte, beispielsweise einen Subunternehmer, erfolgt nur unter Berücksichtigung vertraglicher Vereinbarungen und anwendbarer Datenschutzgesetze.
Einzelheiten zur Auftragskontrolle sind in der ADV aufgeführt.

7. Verfügbarkeitskontrolle

Maßnahmen bezüglich der Datensicherheit (physisch/logisch):
Ziel der Verfügbarkeitskontrolle ist es zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Wenn personenbezogene Daten nicht mehr für den Zweck benötigt werden, für den sie erhoben und gespeichert wurden, werden sie umgehend gelöscht. Bei Löschung personenbezogener Daten werden diese zunächst nur gesperrt und dann innerhalb einer bestimmten Frist endgültig gelöscht. Es wird so verfahren, um zufällige Löschungen oder eine mögliche beabsichtigte Beschädigung zu verhindern.
Aus technischen Gründen können personenbezogene Daten in Sicherheitskopien weiter vorhanden sein und durch Spiegelung von Diensten erzeugt werden. Außerhalb der Datenaufbewahrungspflicht von foncloud (siehe ADV) werden diese Kopien, falls erforderlich, ebenfalls mit einer technisch bedingten Verzögerung gelöscht. Die Verfügbarkeit der Systeme selbst wird entsprechend dem erforderlichen Sicherheitsniveau durch entsprechende Sicherheitsmaßnahmen gewährleistet (z.B. Spiegelung von Festplatten, RAID-Systeme, USV).

8. Trennungsgebot

Maßnahmen bezüglich der getrennten Verarbeitung (Sichern, Verändern, Löschen und Übermitteln) von Daten, die zu unterschiedlichen Zwecken erhoben werden:
Ziel des Trennungsgebots ist es zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Personenbezogene Daten werden nur für interne Zwecke verwendet (z.B. als Bestandteil der jeweiligen Kundenbeziehung). Eine Übermittlung an Dritte, beispielsweise einen Subunternehmer, erfolgt nur unter Berücksichtigung vertraglicher Vereinbarungen und anwendbarer Datenschutzgesetze.
Mitarbeiter werden angewiesen, personenbezogene Daten nur innerhalb des Rahmens und für Zwecke ihrer Pflichten (z.B. Erbringung von Dienstleistungen) zu erheben, zu verarbeiten und zu nutzen. Auf technischer Ebene – Multi-Client-Capability – wird für diesen Zweck die Trennung von Funktionen und von Test- und Produktionssystemen verwendet.