Datenschutz

Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutzgesetze, insbesondere der EU-Datenschutzgrundverordnung (DSGVO), ist:

Daniela Mokros
Hebbelstraße 29
14469 Potsdam

Ihre Betroffenenrechte

Unter den angegebenen Kontaktdaten unseres Datenschutzbeauftragten können Sie jederzeit folgende Rechte ausüben:

Auskunft über Ihre bei uns gespeicherten Daten und deren Verarbeitung (Art. 15 DSGVO),
Berichtigung unrichtiger personenbezogener Daten (Art. 16 DSGVO),
Löschung Ihrer bei uns gespeicherten Daten (Art. 17 DSGVO),
Einschränkung der Datenverarbeitung, sofern wir Ihre Daten aufgrund gesetzlicher Pflichten noch nicht löschen dürfen (Art. 18 DSGVO),
Widerspruch gegen die Verarbeitung Ihrer Daten bei uns (Art. 21 DSGVO) und
Datenübertragbarkeit, sofern Sie in die Datenverarbeitung eingewilligt haben oder einen Vertrag mit uns abgeschlossen haben (Art. 20 DSGVO).

Sofern Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Sie können sich jederzeit mit einer Beschwerde an eine Aufsichtsbehörde wenden, z. B. an die zuständige Aufsichtsbehörde des Bundeslands Ihres Wohnsitzes oder an die für uns als verantwortliche Stelle zuständige Behörde.

Eine Liste der Aufsichtsbehörden (für den nichtöffentlichen Bereich) mit Anschrift finden Sie unter: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.

Erfassung allgemeiner Informationen beim Besuch unserer Website

Art und Zweck der Verarbeitung:

Wenn Sie auf unsere Website zugreifen, d.h., wenn Sie sich nicht registrieren oder anderweitig Informationen übermitteln, werden automatisch Informationen allgemeiner Natur erfasst. Diese Informationen (Server-Logfiles) beinhalten etwa die Art des Webbrowsers, das verwendete Betriebssystem, den Domainnamen Ihres Internet-Service-Providers, Ihre IP-Adresse und ähnliches.

Sie werden insbesondere zu folgenden Zwecken verarbeitet:

Sicherstellung eines problemlosen Verbindungsaufbaus der Website,
Sicherstellung einer reibungslosen Nutzung unserer Website,
Auswertung der Systemsicherheit und -stabilität sowie
zu weiteren administrativen Zwecken.

Wir verwenden Ihre Daten nicht, um Rückschlüsse auf Ihre Person zu ziehen. Informationen dieser Art werden von uns ggfs. statistisch ausgewertet, um unseren Internetauftritt und die dahinterstehende Technik zu optimieren.

Rechtsgrundlage:

Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Verbesserung der Stabilität und Funktionalität unserer Website.

Empfänger:

Empfänger der Daten sind ggf. technische Dienstleister, die für den Betrieb und die Wartung unserer Webseite als Auftragsverarbeiter tätig werden.

Speicherdauer:

Die Daten werden gelöscht, sobald diese für den Zweck der Erhebung nicht mehr erforderlich sind. Dies ist für die Daten, die der Bereitstellung der Webseite dienen, grundsätzlich der Fall, wenn die jeweilige Sitzung beendet ist.

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die IP-Adresse ist jedoch der Dienst und die Funktionsfähigkeit unserer Website nicht gewährleistet. Zudem können einzelne Dienste und Services nicht verfügbar oder eingeschränkt sein. Aus diesem Grund ist ein Widerspruch ausgeschlossen.

Newsletter

Art und Zweck der Verarbeitung:

Ihre Daten werden ausschließlich dazu verwendet, Ihnen den abonnierten Newsletter per E-Mail zuzustellen. Die Angabe Ihres Namens erfolgt, um Sie im Newsletter persönlich ansprechen zu können und ggf. zu identifizieren, falls Sie von Ihren Rechten als Betroffener Gebrauch machen wollen.

Für den Empfang des Newsletters ist die Angabe Ihrer E-Mail-Adresse ausreichend. Bei der Anmeldung zum Bezug unseres Newsletters werden die von Ihnen angegebenen Daten ausschließlich für diesen Zweck verwendet. Abonnenten können auch über Umstände per E-Mail informiert werden, die für den Dienst oder die Registrierung relevant sind (bspw. Änderungen des Newsletterangebots oder technische Gegebenheiten).

Für eine wirksame Registrierung benötigen wir eine valide E-Mail-Adresse. Um zu überprüfen, dass eine Anmeldung tatsächlich durch den Inhaber einer E-Mail-Adresse erfolgt, setzen wir das „Double-opt-in“-Verfahren ein. Hierzu protokollieren wir die Bestellung des Newsletters, den Versand einer Bestätigungsmail und den Eingang der hiermit angeforderten Antwort. Weitere Daten werden nicht erhoben. Die Daten werden ausschließlich für den Newsletterversand verwendet und nicht an Dritte weitergegeben.

Rechtsgrundlage:

Auf Grundlage Ihrer ausdrücklich erteilten Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), übersenden wir Ihnen regelmäßig unseren Newsletter bzw. vergleichbare Informationen per E-Mail an Ihre angegebene E-Mail-Adresse.

Die Einwilligung zur Speicherung Ihrer persönlichen Daten und ihrer Nutzung für den Newsletterversand können Sie jederzeit mit Wirkung für die Zukunft widerrufen. In jedem Newsletter findet sich dazu ein entsprechender Link. Außerdem können Sie sich jederzeit auch direkt auf dieser Website abmelden oder uns Ihren Widerruf über die am Ende dieser Datenschutzhinweise angegebene Kontaktmöglichkeit mitteilen.

Empfänger:

Empfänger der Daten sind ggf. Auftragsverarbeiter.

Speicherdauer:

Die Daten werden in diesem Zusammenhang nur verarbeitet, solange die entsprechende Einwilligung vorliegt. Danach werden sie gelöscht.

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung Ihrer personenbezogenen Daten erfolgt freiwillig, allein auf Basis Ihrer Einwilligung. Ohne bestehende Einwilligung können wir Ihnen unseren Newsletter leider nicht zusenden.

Kontaktformular

Art und Zweck der Verarbeitung:

Die von Ihnen eingegebenen Daten werden zum Zweck der individuellen Kommunikation mit Ihnen gespeichert. Hierfür ist die Angabe einer validen E-Mail-Adresse sowie Ihres Namens erforderlich. Diese dient der Zuordnung der Anfrage und der anschließenden Beantwortung derselben. Die Angabe weiterer Daten ist optional.

Rechtsgrundlage:

Die Verarbeitung der in das Kontaktformular eingegebenen Daten erfolgt auf der Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).

Durch Bereitstellung des Kontaktformulars möchten wir Ihnen eine unkomplizierte Kontaktaufnahme ermöglichen. Ihre gemachten Angaben werden zum Zwecke der Bearbeitung der Anfrage sowie für mögliche Anschlussfragen gespeichert.

Sofern Sie mit uns Kontakt aufnehmen, um ein Angebot zu erfragen, erfolgt die Verarbeitung der in das Kontaktformular eingegebenen Daten zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO).

Empfänger:

Empfänger der Daten sind ggf. Auftragsverarbeiter.

Speicherdauer:

Daten werden spätestens 6 Monate nach Bearbeitung der Anfrage gelöscht.

Sofern es zu einem Vertragsverhältnis kommt, unterliegen wir den gesetzlichen Aufbewahrungsfristen nach HGB und löschen Ihre Daten nach Ablauf dieser Fristen.

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung Ihrer personenbezogenen Daten erfolgt freiwillig. Wir können Ihre Anfrage jedoch nur bearbeiten, sofern Sie uns Ihren Namen, Ihre E-Mail-Adresse und den Grund der Anfrage mitteilen.

Verwendung von Scriptbibliotheken (Google Webfonts)

Art und Zweck der Verarbeitung:

Um unsere Inhalte browserübergreifend korrekt und grafisch ansprechend darzustellen, verwenden wir auf dieser Website „Google Web Fonts“ der Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; nachfolgend „Google“) zur Darstellung von Schriften.

Die Datenschutzrichtlinie des Bibliothekbetreibers Google finden Sie hier: https://www.google.com/policies/privacy/

Rechtsgrundlage:

Rechtsgrundlage für die Einbindung von Google Webfonts und dem damit verbundenen Datentransfer zu Google ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Empfänger:

Der Aufruf von Scriptbibliotheken oder Schriftbibliotheken löst automatisch eine Verbindung zum Betreiber der Bibliothek aus. Dabei ist es theoretisch möglich – aktuell allerdings auch unklar ob und ggf. zu welchen Zwecken – dass der Betreiber in diesem Fall Google Daten erhebt.

Speicherdauer:

Wir erheben keine personenbezogenen Daten, durch die Einbindung von Google Webfonts.

Weitere Informationen zu Google Web Fonts finden Sie unter https://developers.google.com/fonts/faq und in der Datenschutzerklärung von Google: https://www.google.com/policies/privacy/.

Drittlandtransfer:

Google verarbeitet Ihre Daten in den USA und hat sich dem EU_US Privacy Shield unterworfen https://www.privacyshield.gov/EU-US-Framework.

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung der personenbezogenen Daten ist weder gesetzlich, noch vertraglich vorgeschrieben. Allerdings kann ggfs. die korrekte Darstellung der Inhalte durch Standardschriften nicht möglich sein.

Widerruf der Einwilligung:

Zur Darstellung der Inhalte wird regelmäßig die Programmiersprache JavaScript verwendet. Sie können der Datenverarbeitung daher widersprechen, indem Sie die Ausführung von JavaScript in Ihrem Browser deaktivieren oder einen JavaScript-Blocker installieren. Bitte beachten Sie, dass es hierdurch zu Funktionseinschränkungen auf der Website kommen kann.

Verwendung von Adobe Typekit

Art und Zweck der Verarbeitung:

Wir setzen Adobe Typekit zur visuellen Gestaltung unserer Website ein. Typekit ist ein Dienst der Adobe Systems Software Ireland Companies (4-6 Riverwalk, Citywest Business Campus, Dublin 24, Republic of Ireland; nachfolgend „Adobe“), der uns den Zugriff auf eine Schriftartenbibliothek gewährt. Zur Einbindung der von uns benutzten Schriftarten, muss Ihr Browser eine Verbindung zu einem Server von Adobe in den USA aufbauen und die für unsere Website benötigte Schriftart herunterladen. Adobe erhält hierdurch die Information, dass von Ihrer IP-Adresse unsere Website aufgerufen wurde. Weitere Informationen zu Adobe Typekit finden Sie in den Datenschutzhinweisen von Adobe, die Sie hier abrufen können: https://www.adobe.com/de/privacy/policy.html

Rechtsgrundlage:

Rechtsgrundlage für die Einbindung von Adobe Typekit und dem damit verbundenen Datentransfer zu Adobe ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Empfänger:

Der Aufruf von Scriptbibliotheken oder Schriftbibliotheken löst automatisch eine Verbindung zum Betreiber der Bibliothek aus. Informationen über die Nutzung Ihrer Daten durch Adobe Typekit Web Fonts Sie unter https://typekit.com/ und in der Datenschutzerklärung von Adobe Typekit: https://www.adobe.com/de/privacy/policies/typekit.html.

Speicherdauer:

Wir erheben keine personenbezogenen Daten durch die Einbindung von Adobe Typekit Web Fonts.

Drittlandtransfer:

Adobe ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten (https://www.privacyshield.gov/participant?id=a2zt0000000TNo9AAG&status=Active).

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung der personenbezogenen Daten ist weder gesetzlich, noch vertraglich vorgeschrieben. Allerdings kann ohne die korrekte Darstellung der Inhalte von Standardschriften nicht ermöglicht werden.

Verwendung von Google Maps

Art und Zweck der Verarbeitung:

Auf dieser Webseite nutzen wir das Angebot von Google Maps. Google Maps wird von Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (nachfolgend „Google“) betrieben. Dadurch können wir Ihnen interaktive Karten direkt in der Webseite anzeigen und ermöglichen Ihnen die komfortable Nutzung der Karten-Funktion.

Nähere Informationen über die Datenverarbeitung durch Google können Sie den Google-Datenschutzhinweisen entnehmen. Dort können Sie im Datenschutzcenter auch Ihre persönlichen Datenschutz-Einstellungen verändern.

Ausführliche Anleitungen zur Verwaltung der eigenen Daten im Zusammenhang mit Google-Produkten finden Sie hier.

Rechtsgrundlage:

Rechtsgrundlage für die Einbindung von Google Maps und dem damit verbundenen Datentransfer zu Google ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Empfänger:

Durch den Besuch der Webseite erhält Google Informationen, dass Sie die entsprechende Unterseite unserer Webseite aufgerufen haben. Dies erfolgt unabhängig davon, ob Google ein Nutzerkonto bereitstellt, über das Sie eingeloggt sind, oder ob keine Nutzerkonto besteht. Wenn Sie bei Google eingeloggt sind, werden Ihre Daten direkt Ihrem Konto zugeordnet.

Wenn Sie die Zuordnung in Ihrem Profil bei Google nicht wünschen, müssen Sie sich vor Aktivierung des Buttons bei Google ausloggen. Google speichert Ihre Daten als Nutzungsprofile und nutzt sie für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechter Gestaltung seiner Webseite. Eine solche Auswertung erfolgt insbesondere (selbst für nicht eingeloggte Nutzer) zur Erbringung bedarfsgerechter Werbung und um andere Nutzer des sozialen Netzwerks über Ihre Aktivitäten auf unserer Webseite zu informieren. Ihnen steht ein Widerspruchsrecht zu gegen die Bildung dieser Nutzerprofile, wobei Sie sich zur Ausübung dessen an Google richten müssen.

Speicherdauer:

Wir erheben keine personenbezogenen Daten, durch die Einbindung von Google Maps.

Drittlandtransfer:

Google verarbeitet Ihre Daten in den USA und hat sich dem EU_US Privacy Shield unterworfen https://www.privacyshield.gov/EU-US-Framework.

Widerruf der Einwilligung:

Wenn Sie nicht möchten, dass Google über unseren Internetauftritt Daten über Sie erhebt, verarbeitet oder nutzt, können Sie in Ihrem Browsereinstellungen JavaScript deaktivieren. In diesem Fall können Sie unsere Webseite jedoch nicht oder nur eingeschränkt nutzen.

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung Ihrer personenbezogenen Daten erfolgt freiwillig, allein auf Basis Ihrer Einwilligung. Sofern Sie den Zugriff unterbinden, kann es hierdurch zu Funktionseinschränkungen auf der Website kommen.

Eingebettete YouTube-Videos

Art und Zweck der Verarbeitung:

Auf einigen unserer Webseiten betten wir YouTube-Videos ein. Betreiber der entsprechenden Plugins ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA (nachfolgend „YouTube“). Wenn Sie eine Seite mit dem YouTube-Plugin besuchen, wird eine Verbindung zu Servern von YouTube hergestellt. Dabei wird YouTube mitgeteilt, welche Seiten Sie besuchen. Wenn Sie in Ihrem YouTube-Account eingeloggt sind, kann YouTube Ihr Surfverhalten Ihnen persönlich zuzuordnen. Dies verhindern Sie, indem Sie sich vorher aus Ihrem YouTube-Account ausloggen.

Wird ein YouTube-Video gestartet, setzt der Anbieter Cookies ein, die Hinweise über das Nutzerverhalten sammeln.

Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch YouTube erhalten Sie in den Datenschutzerklärungen des Anbieters, Dort erhalten Sie auch weitere Informationen zu Ihren diesbezüglichen Rechten und Einstellungsmöglichkeiten zum Schutze Ihrer Privatsphäre (https://policies.google.com/privacy). Google verarbeitet Ihre Daten in den USA und hat sich dem EU-US Privacy Shield unterworfen https://www.privacyshield.gov/EU-US-Framework

Rechtsgrundlage:

Rechtsgrundlage für die Einbindung von YouTube und dem damit verbundenen Datentransfer zu Google ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Empfänger:

Der Aufruf von YouTube löst automatisch eine Verbindung zu Google aus.

Speicherdauer und Widerruf der Einwilligung:

Wer das Speichern von Cookies für das Google-Ad-Programm deaktiviert hat, wird auch beim Anschauen von YouTube-Videos mit keinen solchen Cookies rechnen müssen. YouTube legt aber auch in anderen Cookies nicht-personenbezogene Nutzungsinformationen ab. Möchten Sie dies verhindern, so müssen Sie das Speichern von Cookies im Browser blockieren.

Weitere Informationen zum Datenschutz bei „YouTube“ finden Sie in der Datenschutzerklärung des Anbieters unter: https://www.google.de/intl/de/policies/privacy/

Drittlandtransfer:

Google verarbeitet Ihre Daten in den USA und hat sich dem EU_US Privacy Shield unterworfen https://www.privacyshield.gov/EU-US-Framework.

Bereitstellung vorgeschrieben oder erforderlich:

Google Analytics

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Ireland Limited. Wenn der Verantwortliche für die Datenverarbeitung auf dieser Website außerhalb des Europäischen Wirtschaftsraumes oder der Schweiz sitzt, dann erfolgt die Google Analytics Datenverarbeitung durch Google LLC. Google LLC und Google Ireland Limited werden nachfolgend "Google" genannt.

Google Analytics verwendet sog. "Cookies", Textdateien, die auf dem Computer des Seitenbesuchers gespeichert werden und die eine Analyse der Benutzung der Website durch den Seitenbesucher ermöglichen. Die durch das Cookie erzeugten Informationen über die Benutzung dieser Website durch den Seitenbesucher (einschließlich der gekürzten IP-Adresse) werden in der Regel an einen Server von Google übertragen und dort gespeichert.

Google Analytics wird ausschließlich mit der Erweiterung "_anonymizeIp()" auf dieser Website verwendet. Diese Erweiterung stellt eine Anonymisierung der IP-Adresse durch Kürzung sicher und schließt eine direkte Personenbeziehbarkeit aus. Durch die Erweiterung wird die IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die im Rahmen von Google Analytics von dem entsprechenden Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Im Auftrag des Seitenbetreibers wird Google die anfallenden Informationen benutzen, um die Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen dem Seitenbetreiber gegenüber zu erbringen (Art. 6 Abs. 1 lit. f DSGVO). Das berechtigte Interesse an der Datenverarbeitung liegt in der Optimierung dieser Website, der Analyse der Benutzung der Website und der Anpassung der Inhalte. Die Interessen der Nutzer werden durch die Pseudonymisierung hinreichend gewahrt.

Rechtsgrundlage:

Rechtsgrundlage für die Einbindung von Google Analytics und dem damit verbundenen Datentransfer zu Google ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Speicherdauer und Widerruf der Einwilligung

Informationen zur Datennutzung durch Google, Einstellungs- und Widerspruchsmöglichkeiten, finden sich in der Datenschutzerklärung von Google (https://policies.google.com/privacy)

Drittlandtransfer:

Google LLC. bietet eine Garantie auf Basis der Standardvertragsklauseln ein angemessenes Datenschutzniveau einzuhalten. Die gesendeten und mit Cookies, Nutzerkennungen (z. B. User-ID) oder Werbe-IDs verknüpften Daten werden nach 50 Monaten automatisch gelöscht. Die Löschung von Daten, deren Aufbewahrungsdauer erreicht ist, erfolgt automatisch einmal im Monat.

Bereitstellung vorgeschrieben oder erforderlich:

Die Erfassung durch Google Analytics kann ferner verhindert werden, indem der Seitenbesucher die Cookie-Einstellungen für diese Website anpasst. Der Erfassung und Speicherung der IP-Adresse und der durch Cookies erzeugten Daten kann außerdem jederzeit mit Wirkung für die Zukunft widersprochen werden. Das entsprechende Browser- Plugin kann unter dem folgenden Link heruntergeladen und installiert werden: https://tools.google.com/dlpage/gaoptout.

Der Seitenbesucher kann die Erfassung durch Google Analytics auf dieser Webseite verhindern, indem er auf folgenden Link klickt. Es wird ein Opt-Out-Cookie gesetzt, der die zukünftige Erfassung der Daten beim Besuch dieser Website verhindert.

Weitere Informationen zur Datennutzung durch Google, Einstellungs- und Widerspruchsmöglichkeiten, finden sich in der Datenschutzerklärung von Google (https://policies.google.com/privacy) sowie in den Einstellungen für die Darstellung von Werbeeinblendungen durch Google (https://adssettings.google.com/authenticated).

Google ReCaptcha

Zum Schutz Ihrer Anfragen per Internetformular verwenden wir den Dienst reCAPTCHA des Unternehmens Google LLC (Google). Die Abfrage dient der Unterscheidung, ob die Eingabe durch einen Menschen oder missbräuchlich durch automatisierte, maschinelle Verarbeitung erfolgt. Die Abfrage schließt den Versand der IP-Adresse und ggf. weiterer von Google für den Dienst reCAPTCHA benötigter Daten an Google ein. Zu diesem Zweck wird Ihre Eingabe an Google übermittelt und dort weiter verwendet. Ihre IP-Adresse wird von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung dieses Dienstes auszuwerten. Die im Rahmen von reCaptcha von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Für diese Daten gelten die abweichenden Datenschutzbestimmungen des Unternehmens Google. Weitere Informationen zu den Datenschutzrichtlinien von Google finden Sie unter: https://policies.google.com/privacy?hl=de

Rechtsgrundlage:

Rechtsgrundlage für die Einbindung von ReCaptcha und dem damit verbundenen Datentransfer zu Google ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Speicherdauer und Widerruf der Einwilligung

Informationen zur Datennutzung durch Google, Einstellungs- und Widerspruchsmöglichkeiten, finden sich in der Datenschutzerklärung von Google (https://policies.google.com/privacy)

Drittlandtransfer:

Bereitstellung vorgeschrieben oder erforderlich:

Social Plugins

Art und Zweck der Verarbeitung:

Auf unseren Webseiten werden Social Plugins der unten aufgeführten Anbieter eingesetzt. Die Plugins können Sie daran erkennen, dass sie mit dem entsprechenden Logo gekennzeichnet sind.

Über diese Plugins werden unter Umständen Informationen, zu denen auch personenbezogene Daten gehören können, an den Dienstebetreiber gesendet und ggf. von diesem genutzt. Wir verhindern die unbewusste und ungewollte Erfassung und Übertragung von Daten an den Diensteanbieter durch eine 2-Klick-Lösung. Um ein gewünschtes Social Plugin zu aktivieren, muss dieses erst durch Klick auf den entsprechenden Schalter aktiviert werden. Erst durch diese Aktivierung des Plugins wird auch die Erfassung von Informationen und deren Übertragung an den Diensteanbieter ausgelöst. Wir erfassen selbst keine personenbezogenen Daten mittels der Social Plugins oder über deren Nutzung.

Wir haben keinen Einfluss darauf, welche Daten ein aktiviertes Plugin erfasst und wie diese durch den Anbieter verwendet werden. Derzeit muss davon ausgegangen werden, dass eine direkte Verbindung zu den Diensten des Anbieters ausgebaut wird sowie mindestens die IP-Adresse und gerätebezogene Informationen erfasst und genutzt werden. Ebenfalls besteht die Möglichkeit, dass die Diensteanbieter versuchen, Cookies auf dem verwendeten Rechner zu speichern. Welche konkreten Daten hierbei erfasst und wie diese genutzt werden, entnehmen Sie bitte den Datenschutzhinweisen des jeweiligen Diensteanbieters. Hinweis: Falls Sie zeitgleich bei Facebook angemeldet sind, kann Facebook Sie als Besucher einer bestimmten Seite identifizieren.

Wir haben auf unserer Website die Social-Media-Buttons folgender Unternehmen eingebunden:

SSL-Verschlüsselung

Um die Sicherheit Ihrer Daten bei der Übertragung zu schützen, verwenden wir dem aktuellen Stand der Technik entsprechende Verschlüsselungsverfahren (z. B. SSL) über HTTPS.

Änderung unserer Datenschutzbestimmungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Fragen an den Datenschutzbeauftragten

Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail oder wenden Sie sich direkt an die für den Datenschutz verantwortliche Person

Daniela Mokros
Hebbelstraße 29
14469 Potsdam
Telefon 0331 - 60 127 003
Fax 0331 - 60 127 004

Die Datenschutzerklärung wurde mithilfe der activeMind AG erstellt, den Experten für externe Datenschutzbeauftragte (Version #2019-04-10).

Webseitenanalyse (Jimdo Statistiken)

Wenn du unsere Website besuchst, sammeln wir Informationen über deine Nutzung durch ein Webanalyse-Tool, das von unserem Hosting-Service bereitgestellt wird. Dieses Tool sammelt und kombiniert deine IP-Adresse und deinen User Agent, verkürzt sie und speichert diese Daten mit einer Hash-Funktion. Durch diesen Vorgang wird eine Besucherkennung erstellt, die mit einem zufällig generierten Wert (SALT) verschlüsselt ist, der sich alle 24 Stunden ändert. Diese Methode stellt sicher, dass deine IP-Adresse nicht aus dem gespeicherten Besucheridentifikator rekonstruiert werden kann, so dass deine Anonymität gewahrt bleibt. Außerdem führen wir diese Informationen nicht mit anderen Daten zusammen und sie werden nur auf dem Server des Hosting-Anbieters gespeichert.

Wir verarbeiten auch Webanalysedaten, HTTP-Daten und Webanalyseprofildaten. Das von uns verwendete Webanalysetool erstellt und speichert ein Webanalyseprofil, das Details über deine Nutzung der Website enthält, wie z. B. Seitenaufrufe, Besuchshäufigkeit, Verweildauer auf jeder Seite und den User Agent deines Geräts. Dazu gehören Nutzungsdaten (wie besuchte Webseiten und Zugriffszeiten) und Kommunikationsdaten (wie Browsertyp, Betriebssystem und IP-Adressen).

Mit der Verarbeitung dieser Daten wollen wir das Nutzerverhalten in zusammengefasster Form analysieren, um die Darstellung und den Inhalt unserer Website zu verbessern. Die Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse (Art. 6 Abs. 1 lit. (f) GDPR), insbesondere an der Durchführung von Webmessungen, um unsere Produkte und unsere Website zu verbessern.

Die erhobenen Daten werden mit unserem Website-Hosting-Anbieter geteilt und innerhalb der EU verarbeitet.

Auftragsverarbeitungsvertrag (AVV) Jotform

Diese Datenverarbeitungsvereinbarung ("AVV") spiegelt die Zustimmung der wider

Vertragsparteien hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen der

Jotform-Nutzungsbedingungen gelten für seine Starter-, Bronze-, Silber- und Gold-Kunden von

Jotform ("Nutzungsbedingungen") oder an unsere Firmenkunden als Teil des Masters Es gilt die

Abonnementvereinbarung ("MSA").

Die Dauer dieses AVV orientiert sich an der Dauer des Jotform-Abonnements des

Datenverantwortlichen. Hier fehlende Begriffsbestimmungen haben, wie oben bestimmt, dieselbe

Bedeutung wie in den Nutzungsbedingungen oder dem MSA.

Zusätzliche Begriffsbestimmungen

“Datenverantwortlicher” bezieht sich auf den Kunden von Jotform, der das Abonnement

abgeschlossen hat.

“Datenschutzrecht” bezieht sich auf alle einschlägigen Gesetze zum Datenschutz und der

Privatsphäre unter uneingeschränktem Einschluss der allgemeinen Datenschutz-

Grundverordnung (DSGVO), und einschlägiger Gesetze und Verordnungen zur DSGVO und

Regeln, Verordnungen sowie rechtsverbindliche Gerichtsentscheidungen, die von den

zuständigen Datenschutzaufsichtsbehörden eingesetzt und der vom Vereinigten Königreich

(“UK”) verabschiedeten allgemeinen Datenschutzverordnung, dem UK Data Protection Act 2018

(und damit einhergehender Verordnungen), den UK Privacy und Electronic Communications

Regulations 2003, im Einklang mit einschlägigen nationalen Gesetzen zur Umsetzung in den

Mitgliedsstaaten der EU oder wo zutreffend anderen Ländern, so wie sie umgesetzt oder von Zeit

zur Zeit überarbeitet, verschärft oder ersetzt werden. Die Begriffsbestimmungen “Verarbeiten”,

“Verarbeitung” und “verarbeitet” werden entsprechend ausgelegt.

“Betroffene Person” bezeichnet das Individuum, von dem die personenbezogenen Daten erhoben

werden.

“Datenschutzverletzung” bezeichnet Vorkommnisse in der Sicherheit, die zu versehentlichem

oder unrechtmäßigen Verlust von Daten, ihrer Zerstörung, ihrer Änderung, ihre unrechtmäßige

Offenlegung oder zu Zugriff auf übertragene, gespeicherte oder auf andere Weise verarbeitete

personenbezogenen Daten führen.

“DSGVO” bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679 des Europäischen

Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der

Verarbeitung personenbezogener Daten zum freien Datenverkehr.

“Anweisungen“ sind die schriftlichen Anweisungen des Verantwortlichen an den

Auftragsverarbeiter dass der Auftragsverarbeiter personenbezogene Daten nach Bedarf

verarbeitet, um dem Verantwortlichen Zugriff auf und zu gewähren Nutzung der Plattform.

“Personenbezogene Daten” bezeichnet alle Informationen, die einer Person zugeordnet werden

können, die unter die Datenschutz-Grundverordnung fallen.

“Plattform” bezeichnet die Jotform Plattform zur Erstellung von Formularen.

“Verarbeitung” bezeichnet jeden Vorgang oder Ablauffolgen, die personenbezogene Daten

durchlaufen und beinhaltet das Erfassen, Aufnehmen, Sortieren, Strukturieren, Speichern, sowie

die Änderung oder Anpassung, das Abrufen, das Nutzen, das Offenlegen durch Übertragen, die

Verbreitung oder sonstige Offenlegung, Anpassung und Zusammenführung, Einschränkung oder

das Löschen von personenbezogenen Daten.

“Datenverarbeiter” bezeichnet Jotform Ltd.

“Standardvertragsklauseln” bezieht sich auf den in Anhang 1 anliegenden

Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 über die Übertragung von

personenbezogenen Daten an Datenverarbeiter in Drittländer, welche nicht über ein

ausreichendes Niveau an Datenschutz verfügen, sowie alle geänderten im UK-Anhang

beschriebenen Klauseln, die hier als Anhang 2 anliegen, wie sie vom UK im Rahmen des UK

GDPR, dem UK Data Protection Act 2018 (und damit einhergehender Regelungen), sowie den

UK Privacy and Electronic Communications Regulations 2003 getroffen wurden.

Details der Datenverarbeitung

1. Kategorien von betroffenen Personen: (a) Parteien, die ausgefüllte Formulare, die

personenbezogene Daten an den Datenverantwortlichen im Rahmen der Nutzung der Plattform

durch den Datenverantwortlichen übertragen haben, und (b) der Datenverantwortliche und

Akteure, die im Namen des Datenverantwortlichen agieren, die dem Datenverarbeiter ihre

personenbezogenen Daten im Rahmen der Nutzung der Plattform durch den

Datenverantwortlichen zur Verfügung stellen.

2. Arten von personenbezogenen Daten. Personenbezogene Daten, so wie in Artikel 4 der

DSGVO definiert.

3. Gegenstand und Natur der Datenverarbeitung. Der Gegenstand der Verarbeitung von

personenbezogenen Daten durch den Datenverarbeiter ist das Bereitstellen der Plattform an den

Datenverantwortlichen, soweit diese die Verarbeitung der personenbezogenen Daten erfordert.

Die personenbezogenen Daten können so wie hier vorgegeben verarbeitet werden.

4. Zweck der Verarbeitung. Die Verarbeitung personenbezogener Daten erfolgt zum Zweck der

Bereitstellung der Plattform.

5. Dauer der Verarbeitung. Personenbezogene Daten werden so lange verarbeitet, wie ein

Abonnement für die Plattform aktiv ist.

Pflichten des Datenverantwortlichen

Im Rahmen dieser Vereinbarung ist der Datenverantwortliche allein verantwortlich für die

Einhaltung von gesetzlichen Vorgaben in Bezug auf Datenschutz und Privatsphäre gilt für den

Controller, insbesondere in Bezug auf die Offenlegung und die Übertragung personenbezogener

Daten an den Datenverarbeiter und die Verarbeitung personenbezogener Daten.

Der Datenverantwortliche ist verpflichtet, den Datenverarbeiter ohne schuldhaftes Verzögern und

in vollem Umfang über alle Fehler oder Unregelmäßigkeiten in Bezug auf die rechtlichen

Vorgaben bei der Verarbeitung von personenbezogenen Daten zu informieren.

Pflichten des Datenverarbeiters

1. Einhaltung der Anweisungen. Der Datenverantwortliche erkennt an und stimmt zu, dass er für

die personenbezogenen Daten verantwortlich ist und Jotform diese als Datenverarbeiter

verarbeitet. Der Datenverarbeiter darf personenbezogene Daten nur im Rahmen der

Anweisungen und im Rahmen des einschlägigen Rechts erfassen, verarbeiten und nutzen.

2. Sicherheit. Der Datenverarbeiter verpflichtet sich, alle notwendigen technischen und

organisatorischen Maßnahmen zu ergreifen, um personenbezogene Daten vor versehentlicher

oder unrechtmäßiger Zerstörung, Verlust, Abänderung, ungerechtfertigter Offenlegung oder

Zugriff, wie in Anhang 2 der Standardvertragsklauseln beschrieben, zu schützen. Solche

Maßnahmen beinhalten, beschränken sich allerdings nicht auf:

i. Vorkehrungen zur Verhinderung von Zugriffen von unberechtigten Personen auf

personenbezogene Daten im Verarbeitungssystem (Physische Zugriffskontrolle)

ii. Vorkehrungen zur Verhinderung der Nutzung der Systeme, der zur Verarbeitung von

personenbezogenen Daten eingesetzt werden, ohne Zugangsberechtigung (Logische

Zugriffskontrolle),

iii. Das Sicherstellen, dass Personen mit Zugriffsrechten auf das Verarbeitungssystem für

personenbezogene Daten nur auf die personenbezogenen Daten Zugriff erhalten, die sie im

Rahmen ihrer Zugriffsrechte aufrufen dürfen und dass im Rahmen der Verarbeitung, bei der

Nutzung oder nach der Speicherung personenbezogene Daten nicht gelesen, kopiert, geändert

oder gelöscht werden können (Datenzugriffskontrolle)

iv. Das Sicherstellen, dass personenbezogene Daten bei der Übertragung, beim Transfer oder

beim Speichern auf Speichermedien nicht ohne Genehmigung gelesen, kopiert, geändert oder

gelöscht werden können und dass die Zielunternehmen für alle Übertragungen von

personenbezogenen Daten über Datenübertragungseinrichtungen feststehen und verifiziert

werden (Datentransferkontrolle)

v. Die Einrichtung einer Dokumentation, um zu dokumentieren, ob und durch wen

personenbezogene Daten in das Verarbeitungssystem von personenbezogenen Daten

eingespeist oder verändert wurden. (Eingabekontrolle)

vi. Das Sicherstellen, dass personenbezogene Daten nur im Rahmen der Anweisungen

verarbeitet werden.

vii. Das Sicherstellen, dass personenbezogene Daten vor versehentlichem Untergang oder

Zerstörung geschützt sind. (Verfügbarkeitskontrolle)

Der Datenverarbeiter unterstützt den Datenverantwortlichen bei der Erfüllung der Einrichtung der

Sicherheitsmaßnahmen in Bezug auf personenbezogene Daten (einschließlich, wenn zutreffend,

die Pflichten des Datenverantwortlichen aus den Artikeln 32 bis 34 der DSGVO), indem er (i) die

in Anhang II beschriebenen Sicherheitsmaßnahmen einsetzt, (ii) sich verpflichtet, sich an die

Regelungen von Abschnitt 4 dieses AVV (Datenschutzverletzungen) zu halten, und (iii) dem

Datenverantwortlichen alle Informationen in Bezug auf die Verarbeitung im Falle einer

Datenschutzverletzung zur Verfügung stellt.

3. Vertraulichkeit. Der Datenverarbeiter hat dafür Sorge zu tragen, dass alle Mitarbeiter, die vom

Datenverarbeiter autorisiert wurden, personenbezogene Daten in seinem Namen zu verarbeiten,

der Vertraulichkeit in Bezug auf den Umgang und die Verarbeitung personenbezogener Daten

unterliegen.

4. Datenschutzverletzungen. Der Datenverarbeiter wird den Datenverantwortlichen über

Datenschutzverletzungen, die personenbezogene Daten, wie sie im Datenschutzgesetz geregelt

sind, betreffen, informieren. Wenn vom Datenverantwortlichen gewünscht, wird der

Datenverarbeiter den Datenverantwortlichen zeitnah so unterstützen, dass der

Datenverantwortliche die Möglichkeit hat, die Datenschutzverletzung an die betroffenen

Personen und, wenn im Rahmen geltenden Rechts vonnöten, ebenfalls die verantwortlichen

Behörden darüber zu informieren.

5. Datenabfrage durch betroffene Personen. Der Datenverarbeiter ermöglicht eine angemessene

Unterstützung, auch durch passende technische und organisatorische Maßnahmen und

entsprechend der Natur der Verarbeitung, um es dem Datenverantwortlichen zu ermöglichen,

Anfragen von betroffenen Personen, die ihren Rechtsanspruch im Rahmen eines

Datenschutzgesetzes in Bezug auf personenbezogene Daten (darunter Zugriff, Berichtigung,

Einschränkung, Löschung oder Übertragbarkeit personenbezogener Daten, wo zutreffend),

soweit dies vom Gesetz vorgesehen ist, zu beantworten. Wird eine solche Anfrage direkt an den

Datenverarbeiter gestellt, wird der Datenverarbeiter den Datenverantwortlichen umgehend

darüber in Kenntnis setzen und die betroffene Person darauf hinweisen, dass sie diese Anfrage

an den Datenverantwortlichen zu stellen hat. Der Datenverantwortliche ist allein dafür

verantwortlich, auf die Anfragen von betroffenen Personen zu reagieren.

6. Unterauftragsverarbeiter. Der Datenverarbeiter hat das Recht, Google Cloud und/oder Amazon

Web Services als Unterauftragsverarbeiter zur Erfüllung seiner Pflichten zur Bereitstellung von

Speicher für die Plattform zu nutzen. Sollte der Datenverarbeiter andere Unterauftragsverarbeiter

anweisen wollen, wird der Datenverarbeiter den Datenverantwortlichen darüber schriftlich

informieren und dem Datenverantwortlichen die Möglichkeit geben, innerhalb von 30 (dreißig)

Tagen nach Bekanntmachung der Inanspruchnahme anderer Unterauftragsverarbeiter zu

widersprechen. Der Widerspruch muss begründet sein (beispielsweise wenn der

Datenverantwortliche beweisen kann, dass die Nutzung des Unterauftragsverarbeiters den

Schutz seiner personenbezogenen Daten gefährden würde). Wenn der Datenverarbeiter und der

Datenverantwortliche einen Widerspruch nicht lösen können, hat der Datenverantwortliche das

Recht, sein Abonnement schriftlich beim Datenverarbeiter zu beenden.

Wenn der Datenverarbeiter Unterauftragsverarbeiter in Anspruch nimmt, stellt der

Datenverarbeiter sicher, dass es zwischen ihm und dem Unterauftragsverarbeiter einen Vertrag

gibt, der die im AVV für den Datenverarbeiter festgelegten Pflichten des Datenverarbeiters auf

diesen überträgt. Falls der Unterauftragsverarbeiter seinen Pflichten bezüglich des

Datenschutzes nicht nachkommt, trägt der Datenverarbeiter gegenüber dem

Datenverantwortlichen die Verantwortung. Der Datenverantwortliche hat das Recht, die

Informationen vom Datenverarbeiter einzuholen, die nach bestem Wissen und Gewissen

notwendig sind, um sicherzustellen, dass der Unterauftragsverarbeiter seinen Pflichten

gegenüber dem Datenverarbeiter, die Daten im Einklang mit geltendem Datenschutzrecht zu

verarbeiten, nachkommt.

Die Bestimmungen dieses Abschnitts sind ebenfalls dann einschlägig, wenn der Datenverarbeiter

einen Unterauftragsverarbeiter in einem Land außerhalb des Europäischen Wirtschaftsraumes

(“EWR”), das von der Europäischen Kommission als Land mit einem unzureichenden

Datenschutzniveau für personenbezogene Daten eingestuft wird, in Anspruch nimmt. Wenn der

Datenverarbeiter im Rahmen der Durchführung dieses AVVs personenbezogene Daten an einen

neuen Unterauftragsverarbeiter außerhalb des EWRs überträgt, ist Jotform verpflichtet, vor einer

solchen Übertragung sicherzustellen, dass es einen rechtlichen Rahmen gibt, der dafür sorgt,

dass das notwendige Niveau erreicht wird.

7. Datenübertragung.

In die USA: Der Verantwortliche erkennt an und stimmt zu, dass personenbezogene Daten in

sehr seltenen Fällen in die Vereinigten Staaten übertragen werden könnten, auch wenn der

Verantwortliche sich möglicherweise dafür entschieden hat, personenbezogene Daten in der EU

oder im Vereinigten Königreich zu speichern, wenn der Auftragsverarbeiter eine Anfrage nach

den Daten erhalten würde im Zusammenhang mit einem Gerichtsverfahren oder einer

Strafverfolgungsanfrage und wenn der Auftragsverarbeiter der Ansicht ist, dass er die Daten

bereitstellen muss. In solchen Fällen gilt das Datenschutzrahmenwerk (DPF / Privacy Shield) und

die Standardvertragsklauseln finden keine Anwendung. Jotform Inc. ist beim DPF

selbstzertifiziert.

Außerhalb der USA oder in ein anderes Land ohne Angemessenheitsbeschluss der

Europäischen Kommission: Die Standardvertragsklauseln in Anlage 1 gelten für

personenbezogene Daten, die außerhalb des EWR entweder direkt oder per Weiterübermittlung

in jedes Land übertragen werden, das nicht von der Europäischen Union anerkannt wird Die

Kommission gewährleistet ein angemessenes Schutzniveau für personenbezogene Daten (wie

im Datenschutzgesetz beschrieben), mit Ausnahme personenbezogener Daten, die außerhalb

des Vereinigten Königreichs übertragen werden und durch das UK Addendum geregelt werden,

das hier als Anlage 2 beigefügt ist.

8. Löschung oder Herausgabe personenbezogener Daten. Außer im Rahmen geltenden

Datenschutzrechts löscht der Datenverarbeiter alle personenbezogenen Daten (inklusive

Kopien), die er gemäß der Vorgaben dieses AVV besitzt, nach Beendigung oder Ablauf des

Abonnements des Datenverantwortlichen. Wenn der Datenverarbeiter die personenbezogenen

Daten aus technischen oder sonstigen Gründen nicht löschen kann, wird der Datenverarbeiter

Schritte einleiten, um sicherzustellen, dass die personenbezogenen Daten nicht weiterverarbeitet

werden können.

9. Sonstige Bestimmungen. Wenn und soweit eine der Anforderungen des DSGVO-Abschnitts

28(a)-(h) hierin nicht ausdrücklich angesprochen wird, gilt hiermit, dass diese DPA diese

Anforderungen als von den Parteien vereinbarte Bestimmungen einschließt.

Überprüfungen

Während der Laufzeit des Abonnements hat der Datenverantwortliche einmal im Jahr das Recht,

vom Datenverarbeiter Informationen einzuholen, die das Handeln im Einklang mit den Pflichten

aus Artikel 28 der DSGVO darlegen und der Datenverarbeiter ist verpflichtet, den

Datenverantwortlichen bei dieser Überprüfung zu unterstützen. Der Datenverarbeiter ist nicht

verpflichtet, Informationen zur Verfügung zu stellen oder preiszugeben, die gegen geltendes

Recht, eine Verschwiegenheitserklärung oder andere Pflichten Dritten gegenüber verstoßen.

Allgemeine Bestimmungen

Im Falle von Unstimmigkeiten soll dieser AVV über den Bedingungen des Vertrags stehen. Wenn

einzelne Abschnitte dieses AVV unrechtmäßig oder nicht durchführbar sind, hat dies keinen

Einfluss auf die Durchsetzbarkeit der anderen Abschnitte dieses AVV.

Wenn im UK-Nachtrag nicht anders bestimmt, stimmen die im untenstehenden Abschnitt

“Vertragsparteien AVV” die Vertragspartner den Standardvertragsklauseln in Anhang 1 (wo und

soweit zutreffend), dem UK-Nachtrag als Anhang 2 anliegend, soweit rechtlich zutreffend und alle

weiteren Anhänge. Im Falle eines Konflikts oder Widerspruchs zwischen diesem AVV, den

Standardvertragsklauseln aus Anhang 1 und dem UK-Anhang in Anhang 2, haben die

Standardvertragsklauseln dort Vorrang, wo die EU-DSGVO einschlägig ist und der UK-Anhang

dort, wo die UK-DSGVO einschlägig ist. Ab dem 25. Mai 2018 verarbeitet Jotform

personenbezogene Daten in Einklang mit den Voraussetzungen des Datenschutzrechts, die hier

Anwendung finden, die direkt auf die Vorgaben des Datenverarbeiters auf der Plattform

Anwendung finden.

Wenn der Datenverantwortliche in den USA ansässig ist, ist der Vertragspartner dieses AVVs

Jotform Inc. Wenn der Datenverantwortliche in UK oder in der EU ansässig ist, ist der

Vertragspartner dieses AVVs Jotform Ltd. Wenn der Datenverantwortliche in Australien,

Neuseeland oder Asien ansässig ist, ist der Vertragspartner dieses AVVs Jotform Pty Ltd. Wenn

der Datenverantwortliche an einem anderen Ort, der nicht in diesem Absatz aufgeführt wurde,

ansässig ist, ist der Vertragspartner dieses AVVs die Firma Jotform, über die der

Datenverantwortliche sein Abonnement auf der Jotform Plattform abgeschlossen hat. Die

Klauseln dieses AVV sollen nach Unterschrift durch den Kunden als ebenfalls von Jotform

unterzeichnet gelten, ohne dass es der Unterschrift durch Jotform bedarf.

Der Datenverantwortliche soll diesen AVV elektronisch unterzeichnen.

Die Vertragsparteien einigen sich hiermit auf die Bedingungen dieses AVV.

Daniela Mokros

Daniela Mokros 26. März 2025

Geschäftsführerin

Hebbelstraße 29, 6

Potsdam, 14469

Germany

Anhang 1

Die Vertragsparteien einigen sich auf die folgenden Standardvertragsklauseln – abgeändert

gemäß der EU im Juni 2021. Diese sind einschlägig für alle Übermittlungen von

personenbezogenen Daten in Länder außerhalb des EWR ohne Angemessenheitsentscheidung.

Standardvertragsklauseln

Abschnitt I

Klausel 1

Zweck und Anwendungsbereich

(a) Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum

Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien

Datenverkehr und zur Aufhebung der Richtlinie 95/46/ EG (Datenschutz-Grundverordnung) bei

der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden.

(b) Die Parteien:

(i) die natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n)

Rechtskörperschaft(en) (im Folgenden “Einrichtung(en)”), die die personenbezogenen Daten, die

wie in Anhang I. beschrieben, übermittelt/n (im Folgenden „Datenexporteur“), und

(ii) die Einrichtung(en) in einem Drittland, die personenbezogene Daten vom Datenexporteur

direkt oder indirekt durch eine andere Einrichtung, die ebenfalls diesen Klauseln unterliegt und in

Anhang I. aufgeführt wird (im Folgenden jeweils „Datenimporteur“)

haben sich auf die folgenden Standardvertragsklauseln (fortan „Klauseln“) geeinigt.

beschrieben.

(d) Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen ist Bestandteil dieser

Klauseln.

Klausel 2

Wirkung und Unabänderbarkeit der Klauseln

(a) Diese Klauseln enthalten geeignete Garantien einschließlich durchsetzbarer Rechte

betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 (1) und Artikel 46(2) (c) der

Verordnung (EU) 2016/679 sowie – in Bezug auf die Übermittlungen von Verantwortlichen an

Auftragsverarbeiter und/oder von Auftragsverarbeiter an Auftragsverarbeiter –

Standardvertragsklauseln gemäß Artikel 28 Abs. 7 der Verordnung (EU) 2016/679, sofern diese

nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der

entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der

Anlage. Das hält die Parteien nicht davon ab, die Standardvertragsklauseln, die im Rahmen

dieser Klauseln festgelegt sind, in einem umfangreicheren Vertrag und/oder durch das Zufügen

weiterer Klauseln oder weiterer Garantien, zu erweitern, sofern diese weder unmittelbar noch

mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten

der betroffenen Personen beschneiden.

(b) Diese Klauseln beschränken nicht die Pflichten des Datenexporteurs im Rahmen der

Verordnung (EU) 2016/679.

Klausel 3

Drittbegünstigte

(a) Betroffene Personen können sich auf diese Klauseln berufen und sie als Drittbegünstigte

gegen den Datenexporteur und/oder Datenimporteur unter Berücksichtigung der folgenden

Ausnahmen durchsetzen:

(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;

(ii) Klausel 8.1(b), 8.9(a), (c), (d) und (e);

(iii) Klausel 9 – Satz 9(a), (c), (d) und (e);

(iv) Klausel 12 – Klausel 12(a), (d) und (f);

(v) Klausel 13;

(vi) Klausel 15.1(c), (d) und (e);

(vii) Klausel 16(e);

(viii) Klausel 18 – Satz 18(a) und (b);

(b) Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von

Buchstabe a unberührt.

Klausel 4

Auslegung

(a) Da, wo diese Klauseln sich den Begriffen bedienen, die in der Verordnung (EU) 2016/679

beschrieben sind, sollen sie dieselbe Bedeutung haben wie in der Verordnung.

(b) Diese Klauseln sollen im Rahmen der Verordnung (EU) 2016/679 gelesen und ausgelegt

werden.

Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 steht.

Klausel 5

Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit

zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen,

zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.

Klausel 6

Beschreibung der Übermittlung(en)

Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten

personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in

Anhang I aufgeführt.

Klausel 7

Kopplungsklausel

(a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung

der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie

die Anlage ausfüllt und Anhang I unterzeichnet.

(b) Nach Ausfüllen der Anlage und Unterzeichnung von Anhang I wird die beitretende Partei

Vertragspartner dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder

eines Datenimporteurs entsprechend ihrer Bezeichnung in Anhang I.

Rechte oder Pflichten aus diesen Klauseln.

Abschnitt II – Pflichten der Parteien

Klausel 8

Datenschutzgarantien

Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben,

dass der Datenimporteur – durch die Umsetzung geeigneter technischer und organisatorischer

Maßnahmen – in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.

8.1 Weisungen

(a) Der Datenimporteur verarbeitet die personenbezogenen Daten nur im Rahmen der

schriftlichen Anweisungen durch den Datenexporteur. Der Datenexporteur kann solche

Anweisungen während der Dauer des Vertrags immer wieder neu gestalten.

(b) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen

nicht befolgen kann.

8.2 Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I

genannten spezifischen Zweck(e) der Übermittlung, es sei denn, er hat vom Datenexporteur

andere Anweisungen erhalten.

8.3 Transparenz

Auf Anfrage erstellt der Datenexporteur eine Kopie dieser Klauseln einschließlich der von ihnen

ausgefüllten Anlage unentgeltlich für die betroffene Person. Soweit es zum Schutz von

Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang

II beschriebenen Maßnahmen und personenbezogenen Daten, ist der Datenexporteur berechtigt,

diese Teile des Texts der Anlagen an diese Klauseln vor dem Weiterreichen der Kopie

unkenntlich zu machen. Weiterhin soll allerdings eine aussagekräftige Zusammenfassung

angefügt werden, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen

würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen

Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten

Informationen offenzulegen. Diese Klausel gilt unbeschadet der Pflichten des Datenexporteurs

gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

8.4 Richtigkeit

Wenn der Datenimporteur darüber Kenntnis erlangt, dass die personenbezogenen Daten, die er

empfangen hat, sachlich unrichtig oder nicht auf dem neusten Stand sind, informiert er den

Datenexporteur unverzüglich. In diesem Fall ist der Datenimporteur verpflichtet, mit dem

Datenexporteur zusammenzuarbeiten und die Daten zu löschen oder zu berichtigen.

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe

Die Verarbeitung durch den Datenimporteur erfolgt nur so lange, wie in Anhang I angegeben.

Nach Ende der Erbringung der Verarbeitungsleistungen ist der Datenimporteur verpflichtet nach

Wahl des Datenexporteurs alle personenbezogenen Daten im Namen des Datenexporteurs zu

löschen und dem Datenexporteur zu bestätigen, dass dies getan ist oder alle

personenbezogenen Daten, die im Namen des Datenexporteurs in dessen Namen verarbeitet

wurden, zurückzugeben und existierende Kopien zu vernichten. Bis zu dem Zeitpunkt, zu dem

die Daten gelöscht oder zurückgegeben wurden, ist der Datenimporteur weiterhin im Rahmen

dieser Klauseln verantwortlich. Für den Fall, dass der Datenimporteur lokalen Gesetzen

unterliegt, die in an der Rückgabe oder Löschung der personenbezogenen Daten hindern, gilt,

dass der Datenimporteur garantiert, dass er die Daten weiterhin im Rahmen dieser Klauseln

verwaltet und sie nur so lange und so wie von lokalen Gesetzen vorgesehen verarbeitet. Diese

Klausel gilt unbeschadet der Pflichten aus Klausel 14(e), die vorsieht, dass der Datenexporteur

über die gesamte Dauer des Vertrages informiert werden muss, wenn es Grund zur Annahme

gibt, dass er Gesetzen oder Verfahren bereits unterliegt oder unterliegen wird, die nicht mit den

Vorgaben aus Klausel 14(a) vereinbar sind.

8.6 Sicherheit der Verarbeitung

(a) Der Datenimporteur und während der Übermittlung auch der Datenexporteur treffen geeignete

technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten

zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob

unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur

unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den

personenbezogenen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener

Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen sie dem Stand der

Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den

Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die

betroffene Person gebührend Rechnung. Die Parteien ziehen insbesondere eine

‚Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung in Betracht,

wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung

sollen weitere Informationen, die zulassen, die personenbezogenen Daten einer bestimmten

betroffenen Person zuzuordnen, wenn möglich, allein in der Kontrolle des Datenexporteurs

verbleiben. Im Rahmen der Verpflichtung unter dieser Klausel muss der Datenimporteur

wenigstens die technischen und organisatorischen Maßnahmen, die in Anhang II aufgeführt

werden, umsetzten. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen,

dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.

(b) Der Datenimporteur gewährleistet, dass Mitarbeiter nur den Zugang zu den

personenbezogenen Daten haben, der nötig ist, um den Vertrag zu erfüllen, zu bearbeiten und zu

überwachen. Der Datenimporteur gewährleistet, dass sich die zur Verarbeitung der

personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer

angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln

ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung des Schutzes

personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen

nachteiligen Auswirkungen. Der Datenimporteur informiert weiterhin unverzüglich den

Datenexporteur, nachdem er von der Verletzung des Schutzes personenbezogener Daten

Kenntnis erlangt hat. Eine solche Information beinhaltet die Details des Kontaktpunktes, wo

weitere Informationen erfragt werden können, eine Beschreibung der Art der Verletzung

(inklusive, wenn möglich der Kategorien und der etwaigen Anzahl der betroffenen Personen und

die betroffenen gespeicherten Daten), der vorhersehbaren Folgen und der getroffenen oder

vorgeschlagenen Maßnahmen, um die Verletzung zu beheben, sowie, wenn möglich,

Maßnahmen, um negative Folgen zu vermeiden. Falls und soweit es unmöglich ist, all die

Informationen zur selben Zeit zur Verfügung zu stellen, soll die erste Meldung alle vorhandenen

Informationen enthalten und weitere Informationen sollen dann, wenn sie zugänglich werden,

unverzüglich mitgeteilt werden.

(d) Der Datenimporteur kooperiert mit dem Datenexporteur unter Berücksichtigung der Art der

Verarbeitung der Informationen, die dem Datenimporteur zur Verfügung stehen, und unterstützt

den Datenexporteur, damit der Datenexporteur der Pflicht aus der Verordnung (EU) 2016/679,

insbesondere der Meldepflicht an die Aufsichtsbehörde und die betroffenen Personen

nachkommen kann.

8.7 Sensible Daten

Sofern die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder

ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder

die Gewerkschaftszugehörigkeit hervorgeht oder die genetische Daten oder biometrische Daten

zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit,

das Sexualleben oder die sexuelle Orientierung einer Person oder Daten über strafrechtliche

Verurteilungen oder Straftaten enthalten (im Folgenden „sensible Daten“ wendet der

Datenimporteur spezielle Beschränkungen und/oder zusätzliche Garantien an, die in Anhang I

beschrieben werden.

8.8 Weiterübermittlung

Der Datenimporteur gibt die personenbezogenen Daten nur auf dokumentierte Weisung des

Datenexporteurs an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden,

die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der

Europäischen Union ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im

Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung

daran einverstanden erklärt oder falls

(a) Die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach

Artikel 45 der Verordnung (EU) 2016/679 gilt, der diese abdeckt,

(b) Der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder 47 der Verordnung

(EU) 2016/679 im Hinblick auf die betreffende Verarbeitung gewährleistet,

Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs- oder regulatorischen

Verfahren von Nöten ist, oder

(d) Die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen

Personen oder anderen natürlichen Personen zu schützen.

Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen

Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.

8.9 Dokumentation und Einhaltung der Klauseln

(a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs, die sich auf die Verarbeitung

im Rahmen dieser Klauseln beziehen, unverzüglich und ausreichend.

(b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt

der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Datenexporteurs

durchgeführten Verarbeitungstätigkeiten.

notwendig sind, um zu beweisen, dass die Pflichten, die sich aus diesen Klauseln ergeben,

eingehalten werden und nach Anfrage des Datenexporteurs erlaubt er diesem und hilft in

angemessenen Abständen oder bei der Vermutung, dass sich nicht an die Regeln gehalten wird,

bei Prüfung der Verarbeitungstätigkeiten im Rahmen dieser Klauseln. Wenn sich der

Datenexporteur für eine Überprüfung oder eine Prüfung entscheidet, soll er die einschlägigen

Zertifikate des Datenimporteurs beachten.

(d) Der Datenexporteur kann wählen, ob er die Prüfung selbst vornimmt oder einen

unabhängigen Prüfer einsetzt. Die Prüfung darf die Kontrolle der Räumlichkeiten oder

physischen Anlagen des Datenimporteurs beinhalten und soll, wenn angemessen, mit vorheriger

Ankündigung erfolgen.

(e) Die Parteien stellen die Informationen auf die in (b) und (c) verwiesen wird, sowie die

Ergebnisse einer jeden Prüfung der zuständigen Aufsichtsbehörde auf Verlangen zur Verfügung.

Klausel 9

Einsatz von Unterauftragsverarbeitern

(a) Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs für die

Beauftragung von Unterauftragsverarbeiten, die in einer vereinbarten Liste aufgeführt sind. Der

Datenimporteur unterrichtet den Datenexporteur wenigstens dreißig Tage im Voraus schriftlich

über die beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von

Unterauftragsverarbeitern und räumt dem Datenexporteur damit ausreichend Zeit ein, um vor der

Beauftragung des/der Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu

können. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur

Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung

bestimmter Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), so muss diese

Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben

Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln

binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für betroffene Personen. Die

Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der

vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt

sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß

diesen Klauseln unterliegt.

solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es

zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen einschließlich

personenbezogener Daten notwendig ist, kann der Datenimporteur den Wortlaut der

Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

(d) Der Datenimporteur haftete gegenüber dem Datenexporteur in vollem Umfang dafür, dass der

Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen

Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der

Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt.

(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine

Drittbegünstigtenklausel, wonach der Datenexporteur – sollte der Datenimporteur faktisch oder

rechtlich nicht mehr bestehen oder zahlungsunfähig sein – das Recht hat, den

Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die

personenbezogenen Daten zu lösen oder zurückzugeben.

Klausel 10

Rechte betroffener Personen

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jeden Antrag, den er

von einer betroffenen Person erhalten hat. Er beantwortet diesen Antrag nicht selbst, es sei denn,

er wurde vom Datenexporteur dazu ermächtigt.

(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung von dessen Pflicht,

Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU 2016/679)

zu beantworten. Zu diesem Zweck legen die Parteien in Anhang II unter Berücksichtigung der Art

der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die

Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen

Unterstützung fest.

Weisungen des Datenexporteurs.

Klausel 11

Rechtsbehelf

(a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht

zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine

Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle

Beschwerden, die er von einer betroffenen Person erhält.

(b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien bezüglich

der Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften um eine

zügige, gütliche Beilegung. Die Parteien halten einander über derartige Streitigkeiten auf dem

Laufenden und bemühen sich gegebenenfalls gemeinsam um deren Beilegung.

der Datenimporteur die Entscheidung der betroffenen Person an,

(i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats ihres gewöhnlichen

Aufenthaltsorts oder ihres Arbeitsorts oder bei der zuständigen Aufsichtsbehörde gemäß Klausel

13 einzureichen,

(ii) den Streitfall an die zuständigen Gerichte im Sinne der Klausel 18 zu verweisen.

(d) Die Parteien erkennen an, dass die betroffene Person von einer Einrichtung, Organisation

oder Vereinigung ohne Gewinnerzielungsabsicht gemäß Artikel 80 (1) der Verordnung (EU)

2016/679 vertreten werden kann.

(e) Der Datenimporteur unterwirft sich einem nach geltendem Unionsrecht oder dem geltenden

Recht eines Mitgliedstaats verbindlichen Beschluss.

(f) Der Datenimporteur erklärt sich damit einverstanden, dass die Entscheidung der betroffenen

Person nicht ihre materiellen Rechte oder Verfahrensrechte berührt, Rechtsbehelfe im Einklang

mit geltenden Rechtsvorschriften einzulegen.

Klausel 12

Haftung

(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den

anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.

(b) Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat

Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der

Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person verursacht, indem er

deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt.

und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder

immateriellen Schaden, den der Datenexporteur oder der Datenimporteur (oder dessen

Unterauftragsverarbeiter) der betroffenen Person verursacht, indem er deren Rechte als

Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des

Datenexporteurs und, sofern der Datenexporteur ein im Auftrag eines Verantwortlichen

handelnder Auftragsverarbeiter ist, unbeschadet der Haftung des Verantwortlichen gemäß der

Verordnung (EU) 2016/679 oder gegebenenfalls der Verordnung (EU) 2018/1725.

(d) Die Parteien erklären sich damit einverstanden, dass der Datenexporteur, der nach (c) für

durch den Datenimporteur (oder dessen Unterauftragsverarbeiter) verursachte Schäden haftet,

berechtigt ist, vom Datenimporteur den Teil des Schadenersatzes zurückzufordern, der der

Verantwortung des Datenimporteurs für den Schaden entspricht.

(e) Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines

Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien

gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jeder der Parteien

gerichtlich vorzugehen.

(f) Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach (e) haftbar gemacht

wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes

zurückzufordern, der deren Verantwortung für den Schaden entspricht.

(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters

berufen, um sich seiner eigenen Haftung zu entziehen.

Klausel 13

Aufsicht

(a) Die Parteien erklären sich damit einverstanden, dass die zuständige Aufsichtsbehörde, die für

die Kontrolle der Einhaltung der Pflichten des Datenexporteurs in Einklang mit Verordnung (EU)

2016/679 bezüglich der Datenübermittlung die niederländische Datenschutzbehörde (Autoriteit

Persoonsgegevens) sein soll, welche als zuständige Aufsichtsbehörde agieren soll.

(b) Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen

Aufsichtsbehörde zu unterwerfen und bei allen Verfahren, mit denen die Einhaltung dieser

Klauseln sichergestellt werden soll, mit ihr zusammenzuarbeiten. Insbesondere erklärt sich der

Datenimporteur damit einverstanden, Anfragen zu beantworten, sich Prüfungen zu unterziehen

und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen

und Ausgleichsmaßnahmen, nachzukommen. Er bestätigt der Aufsichtsbehörde in schriftlicher

Form, dass die erforderlichen Maßnahmen ergriffen wurden.

ABSCHNITT III – LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES

ZUGANGS VON BEHÖRDEN ZU DEN DATEN

Klausel 14

Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln

auswirken

(a) Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die

Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften

und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung

personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen

Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln

hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die

den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen

hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um

eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele

sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.

(b) Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die

folgenden Aspekte gebührend berücksichtigt haben:

(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette,

der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte

Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und

das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die

Übertragung erfolgt, den Speicherort der übermittelten Daten,

(ii) die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und

Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von

Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten

gestatten) sowie die geltenden Beschränkungen und Garantien,

(iii) alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur

Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich

Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten

im Bestimmungsland angewandt werden.

nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur

Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur

weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.

(d) Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu

dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den

Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln

Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die

nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine

Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein

Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im

Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht.

(f) Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig

Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln

nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen

(z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und

Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um

Abhilfe zu schaffen, [in Bezug auf Modul drei: gegebenenfalls in Absprache mit dem

Verantwortlichen]. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung

ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden

können, oder wenn er von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In

diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die

Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei

Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur

gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes

vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16

Buchstaben d und e Anwendung.

Klausel 15

Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten

15.1 Benachrichtigung

(a) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit

möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs)

unverzüglich zu benachrichtigen,

(i) wenn er von einer Behörde, einschließlich Justizbehörden ein nach den Rechtsvorschriften

des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener

Daten erhält, die gemäß diesen Klauseln übermittelt werden (diese Benachrichtigung muss

Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die

Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten), oder

(ii) wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des

Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß diesen

Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren

Informationen enthalten.

(b) Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt,

den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der

Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu

bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können.

Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf

Verlangen des Datenexporteurs nachweisen zu können.

Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen

Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuche zur

Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten,

ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher

Anfechtungen usw.).

(d) Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den

Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen

Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel

14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese

Klauseln nicht einhalten kann.

15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung

(a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des

Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der

Befugnisse liegt, die der ersuchenden Behörde übertragen wurden und das Ersuchen

anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende

Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des

Bestimmungslandes gemäß geltenden völkerrechtlichen Verpflichtungen und nach den

Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom

Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt

der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis

die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die

angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden

Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des

Datenimporteurs gemäß Klausel 14 Buchstabe e.

(b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine

etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem

Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des

Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen

Aufsichtsbehörde zur Verfügung.

Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die

zulässige Mindestmenge an Informationen bereitzustellen.

ABSCHNITT IV – SCHLUSSBESTIMMUNGEN

Klausel 16

Verstöße gegen die Klauseln und Beendigung des Vertrages

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen

Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

(b) Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht

einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den

Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet

von Klausel 14 Buchstabe f.

personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur

gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer

angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung

wiederhergestellt wurde,

(ii) der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt

oder

(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer

zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat,

nicht nachkommt.

In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde über derartige

Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von

diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern

die Parteien nichts anderes vereinbart haben

(d) Personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt

wurden, müssen nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder

vollständig gelöscht werden. Dies gilt gleichermaßen für alle Kopien der Daten. Der

Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder

Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher.

Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder

Löschung der übermittelten personenbezogenen Daten untersagen, sichert der Datenimporteur

zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in

dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen

Rechtsvorschriften erforderlich ist.

(e) Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn

i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung

(EU)2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die

diese Klauseln gelten, oder ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des

Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet

anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU)

2016/679 gelten.

Klausel 17

Anwendbares Recht

Diese Klauseln unterliegen dem Recht des EU-Mitgliedstaats, in dem der Datenexporteur

niedergelassen ist. Wenn dieses Recht keine Drittbegünstigtenklauseln zulässt, unterliegen diese

Klauseln dem Recht eines anderen EU-Mitgliedstaats, das Rechte als Drittbegünstigte zulässt.

Die Parteien vereinbaren, dass dies das Recht von Irland ist.

Klausel 18

Gerichtsstand und Zuständigkeit

(a) Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-

Mitgliedstaats beigelegt.

(b) Die Parteien vereinbaren, dass dies die Gerichte von Irland sind.

auch vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthaltsort

hat.

(d) Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu

unterwerfen.

Anhang I - Parteien; Details der Verarbeitung

Der Datenexporteur ist der Kunde/Datenverantwortliche, wie in der Vereinbarung zur

Datenverarbeitung definiert.

Der Datenimporteur ist Jotform Ltd.

Betroffene Personen beinhaltet Parteien, die Fragebögen eingereicht haben (welche dem

Datenverantwortlichen von Jotform bereitgestellt wurden oder die vom Datenverantwortlichen

mithilfe der bereitgestellten Dienste erstellt wurden), welche an den Datenverantwortlichen

übermittelt wurden; und die Angestellten, Mitarbeiter und Vertragspartner des

Datenverantwortlichen, wenn deren Daten im Rahmen dieser Vereinbarung an Jotform

weitergeleitet worden sind.

Die übermittelten personenbezogenen Daten betreffen die folgenden Personen: Der

Datenexporteur darf personenbezogene Daten in dem Umfang, wie er nur durch den

Datenexporteur festgesetzt und kontrolliert wird, an Jotform und seine Unterauftragsverarbeiter

übermitteln. Diese können personenbezogene Daten von betroffenen Personen der folgenden

Kategorien beinhalten:

• Interessenten, Kunden, Wiederverkäufer, Referrer, Geschäftspartner und Lieferanten des

Kunden (soweit es sich bei ihnen um natürliche Personen handelt);

• Angestellte oder Ansprechpartner von Interessenten, Kunden, Wiederverkäufern, Referrern,

Subunternehmer, Geschäftspartner und Lieferanten des Datenexporteurs (soweit es sich bei

ihnen um natürliche Personen handelt);

• Mitarbeiter, Vertreter, Berater oder Freelancer des Datenexporteurs (soweit es sich bei

ihnen um natürliche Personen handelt); und/oder

• Natürliche Personen, die vom Datenexporteur ermächtigt worden sind, die dem

Datenexporteur von Jotform Ltd. bereitgestellten Dienstleistungen zu nutzen.

Kategorien von Daten: Die übermittelten personenbezogenen Daten können die folgenden

Kategorien von personenbezogenen Daten beinhalten (Aufzählung nicht abschließend): Name,

Titel, Position, Arbeitgeber, Kontaktinformationen (E-Mail, Telefonnummer, Fax, Adresse etc.),

Identifikationsdaten, Informationen zum Beruf, Angaben zum Privatleben, Verbindungs- oder

Ortsdaten (inklusive der IP-Adresse).

Besondere Kategorien von personenbezogenen Daten (wenn zutreffend): Die übermittelten

personenbezogenen Daten betreffen die folgenden Kategorien sensibler Daten: Der

Datenexporteur kann Jotform und seinen Unterauftragsverarbeitern im selbst gewählten Rahmen

sensible personenbezogene Daten übermitteln. Diese sensiblen Daten beinhalten, sind jedoch

nicht beschränkt auf personenbezogene Daten, die die rassische oder ethnische Herkunft, die

politische Meinung, religiöse oder weltanschauliche Überzeugungen oder

Gewerkschaftszugehörigkeit beinhalten, sowie die Verarbeitung von Daten, die die Gesundheit

einer Person, ihre sexuelle Orientierung oder ihr Geschlecht betreffen.

Verarbeitungstätigkeit: Die übermittelten personenbezogenen Daten werden grundsätzlich wie

folgt verarbeitet: Die Verarbeitung der Daten zur Erbringung der Dienstleistung durch Jotform

dem Kunden gegenüber.

Verarbeitungsorte: Die Daten werden durch Jotform in den U.S.A. oder durch

Unterauftragsverarbeiter (siehe unten) und, wenn notwendig, damit Jotform die Dienstleistung

erbringen kann und im Rahmen der rechtlichen Verpflichtungen Jotforms, in Ländern wie dem

Vereinigten Königreich oder der Türkei verarbeitet.

Unterauftragsverarbeiter: Unter https://www.jotform.com/subprocessors/ können Sie eine Liste

mit allen Unterauftragsverarbeitern einsehen. Normalerweise werden die Daten nicht an

Unterauftragsverarbeiter übermittelt. Wenn eine Übermittlung stattfindet, dann nur um die

Erbringung der Dienstleistung für den Kunden zu garantieren.

Verarbeitungsdauer bis zur Übermittlung: normalerweise weniger als einen Tag. Die Daten

werden so lange gespeichert wie nötig, um die Dienstleistung dem Kunden gegenüber zu

erbringen, genauer gesagt, wie im Vertrag oder in den auf den Kunden zutreffenden AGB

festgesetzt.

Anhang II - Sicherheitsmaßnahmen

Der Datenimporteur verpflichtet sich, die folgenden Sicherheitsmaßnahmen einzusetzen, um die

personenbezogenen Daten zu schützen:

Zugangskontrollen in den Bereichen der Verarbeitung

Der Datenimporteur/Unterauftragsverarbeiter trifft geeignete Maßnahmen, um zu verhindern,

dass Unbefugte Zugang zum Equipment für die Datenverarbeitung (insbesondere Telefone,

Datenbank- und Applikationsserver und ähnliche Hardware) auf denen die personenbezogenen

Daten verarbeiten oder genutzt werden, erlangen können, indem er:

• Sicherheitsbereiche einrichtet;

• Zugangswege beschränkt und schützt;

• Zugangsberechtigungen für Mitarbeiter und Dritte erstellt und diese dokumentiert;

• Den Zugang zum Rechenzentrum, in dem personenbezogene Daten verarbeitet werden so

beschränkt, dass er protokolliert, überwacht und zurückverfolgt werden kann; und

• Geeignete Sicherheitsmaßnahmen trifft, um das Rechenzentrum, in dem personenbezogene

Daten gespeichert werden, zu schützen.

Zugriffskontrollen auf die Datenverarbeitungssysteme

Der Datenimporteur/Unterauftragsverarbeiter trifft geeignete Maßnahmen, um seine

Datenverarbeitungssysteme vor dem Zugriff durch Unbefugte zu schützen, indem er:

• angemessene Verschlüsselungstechnologien einsetzt;

• Das Terminal und/oder den Terminalbenutzer des Datenimporteurs/Unterauftragsverarbeiters

und der Verarbeitungssysteme identifiziert;

• dafür sorgt, dass sich die Benutzer-Terminals bei Inaktivität automatisch sperren und

Zugangsdaten und Passwörter zur erneuten Aktivierung von Nöten sind;

• dafür sorgt, dass Benutzerkonten automatisch kurzzeitig gesperrt werden, wenn mehrfach ein

falsches Passwort eingegeben wird, dieses Ereignis dokumentiert wird und Hackversuche

überwacht werden (Alerts); und

• dafür Sorge getragen wird, dass alle Zugriffe auf die Daten dokumentiert, überwacht und

nachverfolgt werden.

Zugangskontrollen für die Nutzung bestimmter Bereiche der Datenverarbeitungssysteme

Der Datenimporteur/Unterauftragsverarbeiter verpflichtet sich, dass die Personen, die

Zugriffsrechte auf seine Datenverarbeitungssysteme haben, nur berechtigt sind, die Daten im

Rahmen ihrer Zugriffsrechte (Autorisation) aufzurufen und dass personenbezogene Daten ohne

vorherige Ermächtigung weder gelesen, kopiert oder verändert noch gelöscht werden

können. Dies wird durch unterschiedliche Maßnahmen erreicht, darunter:

• Mitarbeiterrichtlinien und Training bezüglich der Zugriffsrechte von Mitarbeitern auf

personenbezogene Daten;

• Die Zuordnung von individuellen Terminals und/oder Terminalnutzern und die Nutzungsrechte

bezüglich der individuellen Rolle;

• Die Möglichkeit zur Überwachung von Individuen, die personenbezogene Daten löschen,

hinzufügen oder ändern;

• Die Freigabe von Daten an befugte Personen sowie die Zuordnung spezifischer Rechte und

Rollen;

• Das Nutzen angemessener Verschlüsselungstechnologien;

• Die Kontrolle der Dateien sowie die kontrollierte und dokumentierte Löschung von Daten.

Verfügbarkeitskontrollen

Der Datenimporteur/Unterauftragsverarbeiter trifft geeignete Maßnahmen, um sicherzustellen,

dass personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind,

darunter:

• Eine Redundanz in der Infrastruktur;

• Ein Back-up in einem anderen Rechenzentrum, das zur Verfügung steht, falls das Primärsystem

ausfällt.

Übermittlungskontrollen

Der Datenimporteur/Unterauftragsverarbeiter trifft geeignete Maßnahmen, um

personenbezogene Daten dafür zu schützen, dass sie von Unbefugten während ihrer

Übertragung oder während des Transports der Daten gelesen, kopiert, verändert oder gelöscht

werden können. Dies wird durch unterschiedliche Maßnahmen erreicht, darunter:

• Das Nutzen einer angemessenen Firewall, VPN und Verschlüsselungstechnologien, um die

Gateways und Datenleitungen, durch welche die Daten fließen, zu schützen;

• Die Verschlüsselung bestimmter vertraulicher Mitarbeiterdaten (z. B. personenbezogene

Identifikationsdaten, wie die Ausweisnummer, Kredit- oder EC-Kartennummern) im eigenen

System;

• Benutzerbenachrichtigungen nach vollständiger Übermittlung der Daten (End to End Check);

• soweit möglich die Dokumentation, die Überwachung und die Nachverfolgung aller

Datenübermittlungen.

Eingabekontrollen

Der Datenimporteur/Unterauftragsverarbeiter trifft geeignete Maßnahmen zur Eingabekontrolle,

darunter:

• eine klare Richtlinie zur Befugnis für Eingabe, Lesen, Änderung und Löschung von Daten;

• eine Verifizierung von befugtem Personal;

• Schutzmaßnahmen für Dateneingaben in den Speicher sowie für das Lesen, das Ändern und

das Löschen von gespeicherten Daten;

• das Nutzen von einzigartigen Log-In-Daten oder Codes (Passwörter);

• das Abschließen der Räume (in der Hardware und anderes Equipment lagert) der

Datenverarbeitung;

• das automatische Ausloggen von Benutzer-IDs, die über längere Zeit nicht aktiv waren;

• der Nachweis der erstellen Eingabeberechtigungen im System des

Datenimporteurs/Unterauftragsverarbeiter; und

• die elektronische Erfassung von Eingaben.

Trennung bei der Verarbeitung nach Einsatzzwecken

Der Datenimporteur/Unterauftragsverarbeiter trifft geeignete Maßnahmen, um sicherzustellen,

dass die für unterschiedliche Zwecke gesammelten Daten getrennt voneinander verarbeitet

werden können, darunter:

• der getrennte Zugang durch Applikationssicherheitssysteme für die entsprechenden Nutzer;

• die modulare Trennung in der Datenbank des Datenimporteurs/Unterauftragsverarbeiters nach

Nutzungsart, d.h. nach Funktionalität und Funktion;

• die Speicherung der Daten auf Datenbankebene in verschiedenen normalisierten Tabellen, die

gemäß ihres Datenverantwortlichen/Kunden oder ihrer Funktion modular getrennt wurden;

• Schnittstellen, Stapelverarbeitungsprozesse und Berichte, die gemäß ihrem Nutzen und ihrer

Funktion erstellt werden, sodass Daten gemäß ihrem Zweck getrennt voneinander verarbeitet

werden können.

Dokumentation

Der Datenimporteur/Unterauftragsverarbeiter dokumentiert die technischen und

organisatorischen Maßnahmen für den Fall einer Prüfung und für die Beweiserbringung. Der

Datenimporteur/Unterauftragsverarbeiter ergreift angemessene Maßnahmen, um sicherzustellen,

dass seine Angestellten und andere Person am entsprechenden Arbeitsort sich der technischen

und organisatorischen Maßnahmen wie in diesem Anhang II beschrieben, bewusst sind und sich

an diese halten.

Überwachung

Der Datenimporteur/Unterauftragsverarbeiter ergreift angemessene Maßnahmen, um die

Zugangskontrollen zu den Systemen des Datenimporteurs/Unterauftragsverarbeiters durch die

Systemadministratoren zu überwachen und sicherzustellen, dass sie entsprechen ihrer erteilten

Anweisungen handeln. Das kann unter anderem dadurch erreicht werden, dass:

• Systemadministratoren individuell ausgewählt werden;

• angemessene Maßnahmen ergriffen werden, um die Zugriffsprotokolle auf die Infrastruktur

durch die Systemadministratoren zu überwachen und dafür Sorge zu tragen, dass sie wenigstens

sechs Monate lang sicher, akkurat und unverändert gespeichert werden;

• jährliche Prüfung der Aktivität der Systemadministratoren bezüglich der Vereinbarkeit mit ihren

übertragenen Aufgaben, den empfangenen Anweisungen durch den

Datenimporteur/Unterauftragsverarbeiter und geltendem Recht;

• das Führen einer stets aktualisierten Liste mit den Identifikationsdaten (z.B. Name, Vorname,

Funktion oder Organisationsbereich) der Administratoren und ihrer Aufgaben, welche auf Anfrage

unverzüglich an den Datenexporteur übergeben werden kann.

Page updated

Google Sites

Report abuse