SC Otterndorf e. V. - wir bewegen die Region - Ju-Jutsu - Gesundheitssport - Selbstbehauptung -

Datenschutzerklärung ab 25.05.2018

Datenschutzordnung (gültig ab 25.05.2018)

Datenschutzordnung im Sportverein 

Präambel 

Der SC Otterndorf e. V.verarbeitet in vielfacher Weise automatisiert personenbezogene Daten (z.B. im Rahmen der Vereinsverwaltung, der Organisation des Sportbetriebs, der Öffentlichkeitsarbeit des Vereins). Um die Vorgaben der EU-Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes zu erfüllen, Datenschutzverstöße zu vermeiden und einen einheitlichen Umgang mit personenbezogenen Daten innerhalb des Vereins zu gewährleisten, gibt sich der Verein die nachfolgende Datenschutzordnung.

  • 1 Allgemeines

Der Verein verarbeitet personenbezogene Daten u.a. von Mitgliedern, Teilnehmerinnen und Teilnehmern am Sport- und Kursbetrieb und Mitarbeiterinnen und Mitarbeitern sowohl automatisiert in EDV-Anlagen als auch nicht automatisiert in einem Dateisystem, z.B. in Form von ausgedruckten Listen. Darüber hinaus werden personenbezogene Daten im Internet veröffentlicht und an Dritte weitergeleitet oder Dritten offengelegt. In all diesen Fällen ist die EU-Datenschutz-Grundverordnung, das Bundesdatenschutzgesetz und diese Datenschutzordnung durch alle Personen im Verein, die personenbezogene Daten verarbeiten, zu beachten.

  • 2 Verarbeitung personenbezogener Daten der Mitglieder
  1. Der Verein verarbeitet die Daten unterschiedlicher Kategorien von Personen. Für jede Kategorie von betroffenen Personen wird im Verzeichnis der Verarbeitungstätigkeiten ein Einzelblatt angelegt.
  1. Im Rahmen des Mitgliedschaftsverhältnisses verarbeitet der Verein insbesondere die folgenden Daten der Mitglieder: Geschlecht, Vorname, Nachname, Anschrift (Straße, Hausnummer, Postleitzahl, Ort), Geburtsdatum, Datum des Vereinsbeitritts, Abteilungs- und ggf. Mannschaftszugehörigkeit, Bankverbindung, ggf. die Namen und Kontaktdaten der gesetzlichen Vertreter, Telefonnummern und E-Mail-Adressen, ggf. Funktion im Verein, ggf. Haushalts- und Familienzugehörigkeit bei Zuordnung zum Familienbeitrag.
  1. Im Rahmen der Zugehörigkeit zu den Landesverbänden, deren Sportarten im Verein betrieben werden, werden personenbezogene Daten der Mitglieder an diese weitergeleitet, soweit die Mitglieder eine Berechtigung zur Teilnahme am Wettkampfbetrieb der Verbände beantragen (z.B. Startpass, Spielerpass, Lizenz) und an solchen Veranstaltungen teilnehmen.
  • 3 Datenverarbeitung im Rahmen der Öffentlichkeitsarbeit
  1. Im Rahmen der Öffentlichkeitsarbeit über Vereinsaktivitäten werden personenbezogene Daten in Aushängen, in der Vereinszeitung und in Internetauftritten veröffentlicht und an die Presse weitergegeben.
  1. Hierzu zählen insbesondere die Daten, die aus allgemein zugänglichen Quellen stammen: Teilnehmer an sportlichen Veranstaltungen, Mannschaftsaufstellung, Ergebnisse, Torschützen, Alter oder Geburtsjahrgang.
  1. Die Veröffentlichung von Fotos und Videos, die außerhalb öffentlicher Veranstaltungen gemacht wurden, erfolgt ausschließlich auf Grundlage einer Einwilligung der abgebildeten Personen.
  1. Auf der Internetseite des Vereins werden die Daten der Mitglieder des Vorstands, der Abteilungsleiterinnen und Abteilungsleiter und der Übungsleiterinnen und Übungsleiter mit Vorname, Nachname, Funktion, E-Mail-Adresse und Telefonnummer veröffentlicht.
  • 4 Zuständigkeiten für die Datenverarbeitung im Verein

Verantwortlich für die Einhaltung der datenschutzrechtlichen Vorgaben ist der Vorstand nach § 26 BGB. Funktional ist die Aufgabe dem Ressort Allgemeine Verwaltung (alt: z.B. dem Geschäftsführer) zugeordnet, soweit die Satzung oder diese Ordnung nicht etwas Abweichendes regelt.

Der Ressortleiter Allgemeine Verwaltung stellt sicher, dass Verzeichnisse der Verarbeitungstätigkeiten nach Art. 30 DSGVO geführt und die Informationspflichten nach Art. 13 und 14 DSGVO erfüllt werden. Er ist für die Beantwortung von Auskunftsverlangen von betroffenen Personen zuständig.

  • 5 Verwendung und Herausgabe von Mitgliederdaten und -listen
  1. Listen von Mitgliedern oder Teilnehmern werden den jeweiligen Mitarbeiterinnen und Mitarbeitern im Verein (z.B. Vorstandsmitgliedern, Abteilungsleitern, Übungsleitern) insofern zur Verfügung gestellt, wie es die jeweilige Aufgabenstellung erfordert. Beim Umfang der dabei verwendeten personenbezogenen Daten ist das Gebot der Datensparsamkeit zu beachten.
  1. Personenbezogene Daten von Mitgliedern dürfen an andere Vereinsmitglieder nur herausgegeben werden, wenn die Einwilligung der betroffenen Person vorliegt. Die Nutzung von Teilnehmerlisten, in die sich die Teilnehmer von Versammlungen und anderen Veranstaltungen zum Beispiel zum Nachweis der Anwesenheit eintragen, gilt nicht als eine solche Herausgabe.
  1. Macht ein Mitglied glaubhaft, dass es eine Mitgliederliste zur Wahrnehmung satzungsgemäßer oder gesetzlicher Rechte benötigt (z.B. um die Einberufung einer Mitgliederversammlung im Rahmen des Minderheitenbegehrens zu beantragen), stellt der Vorstand eine Kopie der Mitgliederliste mit Vornamen, Nachnamen und Anschrift als Ausdruck oder als Datei zur Verfügung. Das Mitglied, welches das Minderheitenbegehren initiiert, hat vorher eine Versicherung abzugeben, dass diese Daten ausschließlich für diesen Zweck verwendet und nach der Verwendung vernichtet werden.
  • 6 Kommunikation per E-Mail
  1. Für die Kommunikation per E-Mail richtet der Verein einen vereinseigenen E-Mail-Account ein, der im Rahmen der vereinsinternen Kommunikation ausschließlich zu nutzen ist.
  1. Beim Versand von E-Mails an eine Vielzahl von Personen, die nicht in einem ständigen Kontakt per E-Mail untereinander stehen und/oder deren private E-Mail-Accounts verwendet werden, sind die E-Mail-Adressen als „bcc“ zu versenden.
  • 7 Verpflichtung auf die Vertraulichkeit

Alle Mitarbeiterinnen und Mitarbeiter im Verein, die Umgang mit personenbezogenen Daten haben (z.B. Mitglieder des Vorstands, Abteilungsleiterinnen und Abteilungsleiter, Übungsleiterinnen und Übungsleiter), sind auf den vertraulichen Umgang mit personenbezogenen Daten zu verpflichten.

  • 8 Datenschutzbeauftragter

Da im Verein in keinem Fall 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, hat der Verein keinen Datenschutzbeauftragten zu benennen.

  • 9 Einrichtung und Unterhaltung von Internetauftritten
  1. Der Verein unterhält zentrale Auftritte für den Gesamtverein. Die Einrichtung und Unterhaltung von Auftritten im Internet obliegt dem Ressortleiter Öffentlichkeitsarbeit. Änderungen dürfen ausschließlich durch den Ressortleiter Öffentlichkeitsarbeit, den Ressortleiter Allgemeine Verwaltung und den Administrator vorgenommen werden.
  1. Der Ressortleiter Öffentlichkeitsarbeit ist für die Einhaltung der Datenschutzbestimmungen im Zusammenhang mit Online-Auftritten verantwortlich.
  1. Abteilungen, Gruppen und Mannschaften bedürfen für die Einrichtung eigener Internetauftritte (z.B. Homepage, Facebook, Twitter) der ausdrücklichen Genehmigung des Ressortleiters Öffentlichkeitsarbeit. Für den Betrieb eines Internetauftritts haben die Abteilungen, Gruppen und Mannschaften Verantwortliche zu benennen, denen gegenüber der Ressortleiter Öffentlichkeitsarbeit weisungsbefugt ist. Bei Verstößen gegen datenschutzrechtliche Vorgaben und Missachtung von Weisungen des Ressortleiters Öffentlichkeitsarbeit, kann der Vorstand nach § 26 BGB die Genehmigung für den Betrieb eines Internetauftritts widerrufen. Die Entscheidung des Vorstands nach § 26 BGB ist unanfechtbar.
  • 10 Verstöße gegen datenschutzrechtliche Vorgaben und diese Ordnung
  1. Alle Mitarbeiterinnen und Mitarbeiter des Vereins dürfen nur im Rahmen ihrer jeweiligen Befugnisse Daten verarbeiten. Eine eigenmächtige Datenerhebung, -nutzung oder –weitergabe ist untersagt.
  1. Verstöße gegen allgemeine datenschutzrechtliche Vorgaben und insbesondere gegen diese Datenschutzordnung können gemäß den Sanktionsmitteln, wie sie in der Satzung vorgesehen sind, geahndet werden.
  • 11 Inkrafttreten

Diese Datenschutzordnung wurde durch den Gesamtvorstand des Vereins am 25.05.2018 beschlossen und tritt mit Veröffentlichung auf der Homepage des Vereins in Kraft.

Datenschutzerklärung

Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten (nachfolgend kurz „Daten“) innerhalb unseres Onlineangebotes und der mit ihm verbundenen Webseiten, Funktionen und Inhalte sowie externen Onlinepräsenzen, wie z.B. unser Social Media Profile auf (nachfolgend gemeinsam bezeichnet als „Onlineangebot“). Im Hinblick auf die verwendeten Begrifflichkeiten, wie z.B. „Verarbeitung“ oder „Verantwortlicher“ verweisen wir auf die Definitionen im Art. 4 der Datenschutzgrundverordnung (DSGVO).

Verantwortlicher

Hans-Werner Rudat
SC Otterndorf e.V.
Schulstr. 10
D-21776 Wanna
www.sc-otterndorf.de
Tel. +49 4757 820099
E-Mail: vorstand@sc-otterndorf.de

Arten der verarbeiteten Daten:

– Bestandsdaten (z.B., Namen, Adressen).
– Kontaktdaten (z.B., E-Mail, Telefonnummern).
– Inhaltsdaten (z.B., Texteingaben, Fotografien, Videos).
– Nutzungsdaten (z.B., besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten).
– Meta-/Kommunikationsdaten (z.B., Geräte-Informationen, IP-Adressen).

Kategorien betroffener Personen

Besucher und Nutzer des Onlineangebotes (Nachfolgend bezeichnen wir die betroffenen Personen zusammenfassend auch als „Nutzer“).

Zweck der Verarbeitung

– Zurverfügungstellung des Onlineangebotes, seiner Funktionen und Inhalte.
– Beantwortung von Kontaktanfragen und Kommunikation mit Nutzern.
– Sicherheitsmaßnahmen.
– Reichweitenmessung/Marketing

Verwendete Begrifflichkeiten

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (z.B. Cookie) oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

„Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff reicht weit und umfasst praktisch jeden Umgang mit Daten.

„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Als „Verantwortlicher“ wird die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, bezeichnet.

„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Maßgebliche Rechtsgrundlagen

Nach Maßgabe des Art. 13 DSGVO teilen wir Ihnen die Rechtsgrundlagen unserer Datenverarbeitungen mit. Sofern die Rechtsgrundlage in der Datenschutzerklärung nicht genannt wird, gilt Folgendes: Die Rechtsgrundlage für die Einholung von Einwilligungen ist Art. 6 Abs. 1 lit. a und Art. 7 DSGVO, die Rechtsgrundlage für die Verarbeitung zur Erfüllung unserer Leistungen und Durchführung vertraglicher Maßnahmen sowie Beantwortung von Anfragen ist Art. 6 Abs. 1 lit. b DSGVO, die Rechtsgrundlage für die Verarbeitung zur Erfüllung unserer rechtlichen Verpflichtungen ist Art. 6 Abs. 1 lit. c DSGVO, und die Rechtsgrundlage für die Verarbeitung zur Wahrung unserer berechtigten Interessen ist Art. 6 Abs. 1 lit. f DSGVO. Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe des Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen Zugangs zu den Daten, als auch des sie betreffenden Zugriffs, der Eingabe, Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, Löschung von Daten und Reaktion auf Gefährdung der Daten gewährleisten. Ferner berücksichtigen wir den Schutz personenbezogener Daten bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO).

Zusammenarbeit mit Auftragsverarbeitern und Dritten

Sofern wir im Rahmen unserer Verarbeitung Daten gegenüber anderen Personen und Unternehmen (Auftragsverarbeitern oder Dritten) offenbaren, sie an diese übermitteln oder ihnen sonst Zugriff auf die Daten gewähren, erfolgt dies nur auf Grundlage einer gesetzlichen Erlaubnis (z.B. wenn eine Übermittlung der Daten an Dritte, wie an Zahlungsdienstleister, gem. Art. 6 Abs. 1 lit. b DSGVO zur Vertragserfüllung erforderlich ist), Sie eingewilligt haben, eine rechtliche Verpflichtung dies vorsieht oder auf Grundlage unserer berechtigten Interessen (z.B. beim Einsatz von Beauftragten, Webhostern, etc.).

Sofern wir Dritte mit der Verarbeitung von Daten auf Grundlage eines sog. „Auftragsverarbeitungsvertrages“ beauftragen, geschieht dies auf Grundlage des Art. 28 DSGVO.

Übermittlungen in Drittländer

Sofern wir Daten in einem Drittland (d.h. außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder dies im Rahmen der Inanspruchnahme von Diensten Dritter oder Offenlegung, bzw. Übermittlung von Daten an Dritte geschieht, erfolgt dies nur, wenn es zur Erfüllung unserer (vor)vertraglichen Pflichten, auf Grundlage Ihrer Einwilligung, aufgrund einer rechtlichen Verpflichtung oder auf Grundlage unserer berechtigten Interessen geschieht. Vorbehaltlich gesetzlicher oder vertraglicher Erlaubnisse, verarbeiten oder lassen wir die Daten in einem Drittland nur beim Vorliegen der besonderen Voraussetzungen der Art. 44 ff. DSGVO verarbeiten. D.h. die Verarbeitung erfolgt z.B. auf Grundlage besonderer Garantien, wie der offiziell anerkannten Feststellung eines der EU entsprechenden Datenschutzniveaus (z.B. für die USA durch das „Privacy Shield“) oder Beachtung offiziell anerkannter spezieller vertraglicher Verpflichtungen (so genannte „Standardvertragsklauseln“).

Rechte der betroffenen Personen

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend Art. 15 DSGVO.

Sie haben entsprechend. Art. 16 DSGVO das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.

Sie haben nach Maßgabe des Art. 17 DSGVO das Recht zu verlangen, dass betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe des Art. 18 DSGVO eine Einschränkung der Verarbeitung der Daten zu verlangen.

Sie haben das Recht zu verlangen, dass die Sie betreffenden Daten, die Sie uns bereitgestellt haben nach Maßgabe des Art. 20 DSGVO zu erhalten und deren Übermittlung an andere Verantwortliche zu fordern.

Sie haben ferner gem. Art. 77 DSGVO das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen.

Widerrufsrecht

Sie haben das Recht, erteilte Einwilligungen gem. Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft zu widerrufen

Widerspruchsrecht

Sie können der künftigen Verarbeitung der Sie betreffenden Daten nach Maßgabe des Art. 21 DSGVO jederzeit widersprechen. Der Widerspruch kann insbesondere gegen die Verarbeitung für Zwecke der Direktwerbung erfolgen.

Cookies und Widerspruchsrecht bei Direktwerbung

Als „Cookies“ werden kleine Dateien bezeichnet, die auf Rechnern der Nutzer gespeichert werden. Innerhalb der Cookies können unterschiedliche Angaben gespeichert werden. Ein Cookie dient primär dazu, die Angaben zu einem Nutzer (bzw. dem Gerät auf dem das Cookie gespeichert ist) während oder auch nach seinem Besuch innerhalb eines Onlineangebotes zu speichern. Als temporäre Cookies, bzw. „Session-Cookies“ oder „transiente Cookies“, werden Cookies bezeichnet, die gelöscht werden, nachdem ein Nutzer ein Onlineangebot verlässt und seinen Browser schließt. In einem solchen Cookie kann z.B. der Inhalt eines Warenkorbs in einem Onlineshop oder ein Login-Status gespeichert werden. Als „permanent“ oder „persistent“ werden Cookies bezeichnet, die auch nach dem Schließen des Browsers gespeichert bleiben. So kann z.B. der Login-Status gespeichert werden, wenn die Nutzer diese nach mehreren Tagen aufsuchen. Ebenso können in einem solchen Cookie die Interessen der Nutzer gespeichert werden, die für Reichweitenmessung oder Marketingzwecke verwendet werden. Als „Third-Party-Cookie“ werden Cookies bezeichnet, die von anderen Anbietern als dem Verantwortlichen, der das Onlineangebot betreibt, angeboten werden (andernfalls, wenn es nur dessen Cookies sind spricht man von „First-Party Cookies“).

Wir können temporäre und permanente Cookies einsetzen und klären hierüber im Rahmen unserer Datenschutzerklärung auf.

Falls die Nutzer nicht möchten, dass Cookies auf ihrem Rechner gespeichert werden, werden sie gebeten die entsprechende Option in den Systemeinstellungen ihres Browsers zu deaktivieren. Gespeicherte Cookies können in den Systemeinstellungen des Browsers gelöscht werden. Der Ausschluss von Cookies kann zu Funktionseinschränkungen dieses Onlineangebotes führen.

Ein genereller Widerspruch gegen den Einsatz der zu Zwecken des Onlinemarketing eingesetzten Cookies kann bei einer Vielzahl der Dienste, vor allem im Fall des Trackings, über die US-amerikanische Seite http://www.aboutads.info/choices/ oder die EU-Seite http://www.youronlinechoices.com/ erklärt werden. Des Weiteren kann die Speicherung von Cookies mittels deren Abschaltung in den Einstellungen des Browsers erreicht werden. Bitte beachten Sie, dass dann gegebenenfalls nicht alle Funktionen dieses Onlineangebotes genutzt werden können.

Löschung von Daten

Die von uns verarbeiteten Daten werden nach Maßgabe der Art. 17 und 18 DSGVO gelöscht oder in ihrer Verarbeitung eingeschränkt. Sofern nicht im Rahmen dieser Datenschutzerklärung ausdrücklich angegeben, werden die bei uns gespeicherten Daten gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. D.h. die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen.

Nach gesetzlichen Vorgaben in Deutschland, erfolgt die Aufbewahrung insbesondere für 10 Jahre gemäß §§ 147 Abs. 1 AO, 257 Abs. 1 Nr. 1 und 4, Abs. 4 HGB (Bücher, Aufzeichnungen, Lageberichte, Buchungsbelege, Handelsbücher, für Besteuerung relevanter Unterlagen, etc.) und 6 Jahre gemäß § 257 Abs. 1 Nr. 2 und 3, Abs. 4 HGB (Handelsbriefe).

Nach gesetzlichen Vorgaben in Österreich erfolgt die Aufbewahrung insbesondere für 7 J gemäß § 132 Abs. 1 BAO (Buchhaltungsunterlagen, Belege/Rechnungen, Konten, Belege, Geschäftspapiere, Aufstellung der Einnahmen und Ausgaben, etc.), für 22 Jahre im Zusammenhang mit Grundstücken und für 10 Jahre bei Unterlagen im Zusammenhang mit elektronisch erbrachten Leistungen, Telekommunikations-, Rundfunk- und Fernsehleistungen, die an Nichtunternehmer in EU-Mitgliedstaaten erbracht werden und für die der Mini-One-Stop-Shop (MOSS) in Anspruch genommen wird.

Erbringung unserer satzungs- und geschäftsgemäßen Leistungen

Wir verarbeiten die Daten unserer Mitglieder, Unterstützer, Interessenten, Kunden oder sonstiger Personen entsprechend Art. 6 Abs. 1 lit. b. DSGVO, sofern wir ihnen gegenüber vertragliche Leistungen anbieten oder im Rahmen bestehender geschäftlicher Beziehung, z.B. gegenüber Mitgliedern, tätig werden oder selbst Empfänger von Leistungen und Zuwendungen sind. Im Übrigen verarbeiten wir die Daten betroffener Personen gem. Art. 6 Abs. 1 lit. f. DSGVO auf Grundlage unserer berechtigten Interessen, z.B. wenn es sich um administrative Aufgaben oder Öffentlichkeitsarbeit handelt.

Die hierbei verarbeiteten Daten, die Art, der Umfang und der Zweck und die Erforderlichkeit ihrer Verarbeitung bestimmen sich nach dem zugrundeliegenden Vertragsverhältnis. Dazu gehören grundsätzlich Bestands- und Stammdaten der Personen (z.B., Name, Adresse, etc.), als auch die Kontaktdaten (z.B., E-Mailadresse, Telefon, etc.), die Vertragsdaten (z.B., in Anspruch genommene Leistungen, mitgeteilte Inhalte und Informationen, Namen von Kontaktpersonen) und sofern wir zahlungspflichtige Leistungen oder Produkte anbieten, Zahlungsdaten (z.B., Bankverbindung, Zahlungshistorie, etc.).

Wir löschen Daten, die zur Erbringung unserer satzungs- und geschäftsmäßigen Zwecke nicht mehr erforderlich sind. Dies bestimmt sich entsprechend der jeweiligen Aufgaben und vertraglichen Beziehungen. Im Fall geschäftlicher Verarbeitung bewahren wir die Daten so lange auf, wie sie zur Geschäftsabwicklung, als auch im Hinblick auf etwaige Gewährleistungs- oder Haftungspflichten relevant sein können. Die Erforderlichkeit der Aufbewahrung der Daten wird alle drei Jahre überprüft; im Übrigen gelten die gesetzlichen Aufbewahrungspflichten.

Amazon-Partnerprogramm

Wir sind auf Grundlage unserer berechtigten Interessen (d.h. Interesse am wirtschaftlichem Betrieb unseres Onlineangebotes im Sinne des Art. 6 Abs. 1 lit. f. DSGVO) Teilnehmer des Partnerprogramms von Amazon EU, das zur Bereitstellung eines Mediums für Websites konzipiert wurde, mittels dessen durch die Platzierung von Werbeanzeigen und Links zu Amazon.de Werbekostenerstattung verdient werden kann (sog. Affiliate-System). D.h. als Amazon-Partner verdienen wir an qualifizierten Käufen.

Amazon setzt Cookies ein, um die Herkunft der Bestellungen nachvollziehen zu können. Unter anderem kann Amazon erkennen, dass Sie den Partnerlink auf dieser Website geklickt und anschließend ein Produkt bei Amazon erworben haben.

Weitere Informationen zur Datennutzung durch Amazon und Widerspruchsmöglichkeiten erhalten Sie in der Datenschutzerklärung des Unternehmens: https://www.amazon.de/gp/help/customer/display.html?nodeId=201909010.

Hinweis: Amazon und das Amazon-Logo sind Warenzeichen von Amazon.com, Inc. oder eines seiner verbundenen Unternehmen.

Newsletter

Mit den nachfolgenden Hinweisen informieren wir Sie über die Inhalte unseres Newsletters sowie das Anmelde-, Versand- und das statistische Auswertungsverfahren sowie Ihre Widerspruchsrechte auf. Indem Sie unseren Newsletter abonnieren, erklären Sie sich mit dem Empfang und den beschriebenen Verfahren einverstanden.

Inhalt des Newsletters: Wir versenden Newsletter, E-Mails und weitere elektronische Benachrichtigungen mit werblichen Informationen (nachfolgend „Newsletter“) nur mit der Einwilligung der Empfänger oder einer gesetzlichen Erlaubnis. Sofern im Rahmen einer Anmeldung zum Newsletter dessen Inhalte konkret umschrieben werden, sind sie für die Einwilligung der Nutzer maßgeblich. Im Übrigen enthalten unsere Newsletter Informationen zu unseren Leistungen und uns.

Double-Opt-In und Protokollierung: Die Anmeldung zu unserem Newsletter erfolgt in einem sog. Double-Opt-In-Verfahren. D.h. Sie erhalten nach der Anmeldung eine E-Mail, in der Sie um die Bestätigung Ihrer Anmeldung gebeten werden. Diese Bestätigung ist notwendig, damit sich niemand mit fremden E-Mailadressen anmelden kann. Die Anmeldungen zum Newsletter werden protokolliert, um den Anmeldeprozess entsprechend den rechtlichen Anforderungen nachweisen zu können. Hierzu gehört die Speicherung des Anmelde- und des Bestätigungszeitpunkts, als auch der IP-Adresse. Ebenso werden die Änderungen Ihrer bei dem Versanddienstleister gespeicherten Daten protokolliert.

Anmeldedaten: Um sich für den Newsletter anzumelden, reicht es aus, wenn Sie Ihre E-Mailadresse angeben. Optional bitten wir Sie einen Namen, zwecks persönlicher Ansprache im Newsletters anzugeben.

Der Versand des Newsletters und die mit ihm verbundene Erfolgsmessung erfolgen auf Grundlage einer Einwilligung der Empfänger gem. Art. 6 Abs. 1 lit. a, Art. 7 DSGVO i.V.m § 7 Abs. 2 Nr. 3 UWG oder falls eine Einwilligung nicht erforderlich ist, auf Grundlage unserer berechtigten Interessen am Direktmarketing gem. Art. 6 Abs. 1 lt. f. DSGVO i.V.m. § 7 Abs. 3 UWG.

Die Protokollierung des Anmeldeverfahrens erfolgt auf Grundlage unserer berechtigten Interessen gem. Art. 6 Abs. 1 lit. f DSGVO. Unser Interesse richtet sich auf den Einsatz eines nutzerfreundlichen sowie sicheren Newslettersystems, das sowohl unseren geschäftlichen Interessen dient, als auch den Erwartungen der Nutzer entspricht und uns ferner den Nachweis von Einwilligungen erlaubt.

Kündigung/Widerruf – Sie können den Empfang unseres Newsletters jederzeit kündigen, d.h. Ihre Einwilligungen widerrufen. Einen Link zur Kündigung des Newsletters finden Sie am Ende eines jeden Newsletters. Wir können die ausgetragenen E-Mailadressen bis zu drei Jahren auf Grundlage unserer berechtigten Interessen speichern bevor wir sie löschen, um eine ehemals gegebene Einwilligung nachweisen zu können. Die Verarbeitung dieser Daten wird auf den Zweck einer möglichen Abwehr von Ansprüchen beschränkt. Ein individueller Löschungsantrag ist jederzeit möglich, sofern zugleich das ehemalige Bestehen einer Einwilligung bestätigt wird.

Newsletter – CleverReach

Der Versand der Newsletter erfolgt mittels des Versanddienstleisters CleverReach GmbH & Co. KG, Mühlenstr. 43, 26180 Rastede, Deutschland. Die Datenschutzbestimmungen des Versanddienstleisters können Sie hier einsehen: https://www.cleverreach.com/de/datenschutz/. Der Versanddienstleister wird auf Grundlage unserer berechtigten Interessen gem. Art. 6 Abs. 1 lit. f. DSGVO und eines Auftragsverarbeitungsvertrages gem. Art. 28 Abs. 3 S. 1 DSGVO eingesetzt.

Der Versanddienstleister kann die Daten der Empfänger in pseudonymer Form, d.h. ohne Zuordnung zu einem Nutzer, zur Optimierung oder Verbesserung der eigenen Services nutzen, z.B. zur technischen Optimierung des Versandes und der Darstellung der Newsletter oder für statistische Zwecke verwenden. Der Versanddienstleister nutzt die Daten unserer Newsletterempfänger jedoch nicht, um diese selbst anzuschreiben oder um die Daten an Dritte weiterzugeben.

Newsletter – Erfolgsmessung

Die Newsletter enthalten einen sog. „web-beacon“, d.h. eine pixelgroße Datei, die beim Öffnen des Newsletters von unserem Server, bzw. sofern wir einen Versanddienstleister einsetzen, von dessen Server abgerufen wird. Im Rahmen dieses Abrufs werden zunächst technische Informationen, wie Informationen zum Browser und Ihrem System, als auch Ihre IP-Adresse und Zeitpunkt des Abrufs erhoben.

Diese Informationen werden zur technischen Verbesserung der Services anhand der technischen Daten oder der Zielgruppen und ihres Leseverhaltens anhand derer Abruforte (die mit Hilfe der IP-Adresse bestimmbar sind) oder der Zugriffszeiten genutzt. Zu den statistischen Erhebungen gehört ebenfalls die Feststellung, ob die Newsletter geöffnet werden, wann sie geöffnet werden und welche Links geklickt werden. Diese Informationen können aus technischen Gründen zwar den einzelnen Newsletterempfängern zugeordnet werden. Es ist jedoch weder unser Bestreben, noch, sofern eingesetzt, das des Versanddienstleisters, einzelne Nutzer zu beobachten. Die Auswertungen dienen uns viel mehr dazu, die Lesegewohnheiten unserer Nutzer zu erkennen und unsere Inhalte auf sie anzupassen oder unterschiedliche Inhalte entsprechend den Interessen unserer Nutzer zu versenden.

Ein getrennter Widerruf der Erfolgsmessung ist leider nicht möglich, in diesem Fall muss das gesamte Newsletterabonnement gekündigt werden.

Hosting und E-Mail-Versand

Die von uns in Anspruch genommenen Hosting-Leistungen dienen der Zurverfügungstellung der folgenden Leistungen: Infrastruktur- und Plattformdienstleistungen, Rechenkapazität, Speicherplatz und Datenbankdienste, E-Mail-Versand, Sicherheitsleistungen sowie technische Wartungsleistungen, die wir zum Zwecke des Betriebs dieses Onlineangebotes einsetzen.

Hierbei verarbeiten wir, bzw. unser Hostinganbieter Bestandsdaten, Kontaktdaten, Inhaltsdaten, Vertragsdaten, Nutzungsdaten, Meta- und Kommunikationsdaten von Kunden, Interessenten und Besuchern dieses Onlineangebotes auf Grundlage unserer berechtigten Interessen an einer effizienten und sicheren Zurverfügungstellung dieses Onlineangebotes gem. Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 28 DSGVO (Abschluss Auftragsverarbeitungsvertrag).

Erhebung von Zugriffsdaten und Logfiles

Wir, bzw. unser Hostinganbieter, erhebt auf Grundlage unserer berechtigten Interessen im Sinne des Art. 6 Abs. 1 lit. f. DSGVO Daten über jeden Zugriff auf den Server, auf dem sich dieser Dienst befindet (sogenannte Serverlogfiles). Zu den Zugriffsdaten gehören Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider.

Logfile-Informationen werden aus Sicherheitsgründen (z.B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) für die Dauer von maximal 7 Tagen gespeichert und danach gelöscht. Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.

Einbindung von Diensten und Inhalten Dritter

Wir setzen innerhalb unseres Onlineangebotes auf Grundlage unserer berechtigten Interessen (d.h. Interesse an der Analyse, Optimierung und wirtschaftlichem Betrieb unseres Onlineangebotes im Sinne des Art. 6 Abs. 1 lit. f. DSGVO) Inhalts- oder Serviceangebote von Drittanbietern ein, um deren Inhalte und Services, wie z.B. Videos oder Schriftarten einzubinden (nachfolgend einheitlich bezeichnet als “Inhalte”).

Dies setzt immer voraus, dass die Drittanbieter dieser Inhalte, die IP-Adresse der Nutzer wahrnehmen, da sie ohne die IP-Adresse die Inhalte nicht an deren Browser senden könnten. Die IP-Adresse ist damit für die Darstellung dieser Inhalte erforderlich. Wir bemühen uns nur solche Inhalte zu verwenden, deren jeweilige Anbieter die IP-Adresse lediglich zur Auslieferung der Inhalte verwenden. Drittanbieter können ferner so genannte Pixel-Tags (unsichtbare Grafiken, auch als „Web Beacons“ bezeichnet) für statistische oder Marketingzwecke verwenden. Durch die „Pixel-Tags“ können Informationen, wie der Besucherverkehr auf den Seiten dieser Website ausgewertet werden. Die pseudonymen Informationen können ferner in Cookies auf dem Gerät der Nutzer gespeichert werden und unter anderem technische Informationen zum Browser und Betriebssystem, verweisende Webseiten, Besuchszeit sowie weitere Angaben zur Nutzung unseres Onlineangebotes enthalten, als auch mit solchen Informationen aus anderen Quellen verbunden werden.

Google Maps, Google fonts

Wir binden die Landkarten des Dienstes “Google Maps” und „Google fonts“ des Anbieters Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, ein. Zu den verarbeiteten Daten können insbesondere IP-Adressen und Standortdaten der Nutzer gehören, die jedoch nicht ohne deren Einwilligung (im Regelfall im Rahmen der Einstellungen ihrer Mobilgeräte vollzogen), erhoben werden. Die Daten können in den USA verarbeitet werden. Datenschutzerklärung: https://www.google.com/policies/privacy/, Opt-Out: https://adssettings.google.com/authenticated.

Verwendung von Facebook Social Plugins

Wir nutzen auf Grundlage unserer berechtigten Interessen (d.h. Interesse an der Analyse, Optimierung und wirtschaftlichem Betrieb unseres Onlineangebotes im Sinne des Art. 6 Abs. 1 lit. f. DSGVO) Social Plugins („Plugins“) des sozialen Netzwerkes facebook.com, welches von der Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland betrieben wird („Facebook“). Die Plugins können Interaktionselemente oder Inhalte (z.B. Videos, Grafiken oder Textbeiträge) darstellen und sind an einem der Facebook Logos erkennbar (weißes „f“ auf blauer Kachel, den Begriffen „Like“, „Gefällt mir“ oder einem „Daumen hoch“-Zeichen) oder sind mit dem Zusatz „Facebook Social Plugin“ gekennzeichnet. Die Liste und das Aussehen der Facebook Social Plugins kann hier eingesehen werden: https://developers.facebook.com/docs/plugins/.

Facebook ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten (https://www.privacyshield.gov/participant?id=a2zt0000000GnywAAC&status=Active).

Wenn ein Nutzer eine Funktion dieses Onlineangebotes aufruft, die ein solches Plugin enthält, baut sein Gerät eine direkte Verbindung mit den Servern von Facebook auf. Der Inhalt des Plugins wird von Facebook direkt an das Gerät des Nutzers übermittelt und von diesem in das Onlineangebot eingebunden. Dabei können aus den verarbeiteten Daten Nutzungsprofile der Nutzer erstellt werden. Wir haben daher keinen Einfluss auf den Umfang der Daten, die Facebook mit Hilfe dieses Plugins erhebt und informiert die Nutzer daher entsprechend unserem Kenntnisstand.

Durch die Einbindung der Plugins erhält Facebook die Information, dass ein Nutzer die entsprechende Seite des Onlineangebotes aufgerufen hat. Ist der Nutzer bei Facebook eingeloggt, kann Facebook den Besuch seinem Facebook-Konto zuordnen. Wenn Nutzer mit den Plugins interagieren, zum Beispiel den Like Button betätigen oder einen Kommentar abgeben, wird die entsprechende Information von Ihrem Gerät direkt an Facebook übermittelt und dort gespeichert. Falls ein Nutzer kein Mitglied von Facebook ist, besteht trotzdem die Möglichkeit, dass Facebook seine IP-Adresse in Erfahrung bringt und speichert. Laut Facebook wird in Deutschland nur eine anonymisierte IP-Adresse gespeichert.

Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Facebook sowie die diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz der Privatsphäre der Nutzer, können diese den Datenschutzhinweisen von Facebook entnehmen: https://www.facebook.com/about/privacy/.

Wenn ein Nutzer Facebookmitglied ist und nicht möchte, dass Facebook über dieses Onlineangebot Daten über ihn sammelt und mit seinen bei Facebook gespeicherten Mitgliedsdaten verknüpft, muss er sich vor der Nutzung unseres Onlineangebotes bei Facebook ausloggen und seine Cookies löschen. Weitere Einstellungen und Widersprüche zur Nutzung von Daten für Werbezwecke, sind innerhalb der Facebook-Profileinstellungen möglich: https://www.facebook.com/settings?tab=ads  oder über die US-amerikanische Seite http://www.aboutads.info/choices/  oder die EU-Seite http://www.youronlinechoices.com/. Die Einstellungen erfolgen plattformunabhängig, d.h. sie werden für alle Geräte, wie Desktopcomputer oder mobile Geräte übernommen.

Erstellt mit Datenschutz-Generator.de von RA Dr. Thomas Schwenke

Anlage 4: Informationspflichten nach Artikel 13 und 14 DSGVO 

Nach Artikel 13 und 14 EU-DSGVO hat der Verantwortliche einer betroffenen Person, deren Daten er verarbeitet, die in den Artikeln genannten Informationen bereit zu stellen. Dieser

Informationspflicht kommt dieses Merkblatt nach.

  1. Namen und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seiner Vertreter:

 

SC Otterndorf e. V.

Schulstr. 10

21776 Wanna

 

gesetzlich vertreten durch den Vorstand nach § 26 BGB

 

Hans-Werner Rudat und Ingo Weber

                                               Schulstr. 10 und Schleusenstr. 85

                                               21776 Wanna und 21762 Otterndorf

                                               vorstand@sc-otterndorf.de

 

  1. Kontaktdaten des Datenschutzbeauftragten/der Datenschutzbeauftragten:

 

Nicht erforderlich

 

  1. Zwecke, für die personenbezogenen Daten verarbeitet werden:
  • Die personenbezogenen Daten werden für die Durchführung des Mitgliedschaftsverhältnisses verarbeitet (z.B. Einladung zu Versammlungen, Beitragseinzug, Organisation des Sportbetriebes).
  • Ferner werden personenbezogene Daten zur Teilnahme am Wettkampf-, Turnier- und Spielbetrieb der Landesfachverbände an diese weitergeleitet.
  • Darüber hinaus werden personenbezogene Daten im Zusammenhang mit sportlichen Ereignissen einschließlich der Berichterstattung hierüber auf der Internetseite des Vereins, in Auftritten des Vereins in Sozialen Medien sowie auf Seiten der Fachverbände veröffentlicht und an lokale, regionale und überregionale Printmedien übermittelt.

 

  1. Rechtsgrundlagen, auf Grund derer die Verarbeitung erfolgt:
  • Die Verarbeitung der personenbezogenen Daten erfolgt in der Regel aufgrund der Erforderlichkeit zur Erfüllung eines Vertrages gemäß Artikel 6 Abs. 1 lit. b) DSGVO. Bei den Vertragsverhältnissen handelt es sich in erster Linie um das Mitgliedschafts-verhältnis im Verein und um die Teilnahme am Spielbetrieb der Fachverbände.
  • Werden personenbezogene Daten erhoben, ohne dass die Verarbeitung zur Erfüllung des Vertrages erforderlich ist, erfolgt die Verarbeitung aufgrund einer Einwilligung nach Artikel 6 Abs. 1 lit. a) i.V.m. Artikel 7 DSGVO.
  • Die Veröffentlichung personenbezogener Daten im Internet oder in lokalen, regionalen oder überregionalen Printmedien erfolgt zur Wahrung berechtigter Interessen des Vereins (vgl. Artikel 6 Abs. 1 lit. f) DSGVO). Das berechtigte Interesse des Vereins besteht in der Information der Öffentlichkeit durch Berichtserstattung über die Aktivitäten des Vereins. In diesem Rahmen werden personenbezogene Daten einschließlich von Bildern der Teilnehmer zum Beispiel im Rahmen der

Berichterstattung über sportliche Ereignisse des Vereins veröffentlicht.

  1. Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten:
  • Personenbezogene Daten der Mitglieder, die am Spiel- und Wettkampfbetrieb der

Landesfachverbände teilnehmen, werden zum Erwerb einer Lizenz, einer           Wertungskarte, eines Spielerpasses oder sonstiger Teilnahmeberechtigung an den        jeweiligen Landesfachverband weitergegeben.

  • Die Daten der Bankverbindung der Mitglieder werden zum Zwecke des Beitragseinzugs an das Bankinstitut (Name eingeben) weitergeleitet.

 

  1. Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht

möglich ist, die Kriterien für die Festlegung der Dauer:

  • Die personenbezogenen Daten werden für die Dauer der Mitgliedschaft gespeichert.

Mit Beendigung der Mitgliedschaft werden die Datenkategorien gemäß den gesetzlichen

Aufbewahrungsfristen weitere zehn Jahre vorgehalten und dann gelöscht. In der Zeit     zwischen Beendigung der Mitgliedschaft und der Löschung wird die Verarbeitung dieser    Daten eingeschränkt.

  • Bestimmte Datenkategorien werden zum Zweck der Vereinschronik im Vereinsarchiv gespeichert. Hierbei handelt es sich um die Kategorien Vorname, Nachname, Zugehörigkeit zu einer Mannschaft, besondere sportliche Erfolge oder Ereignisse, an denen die betroffene Person mitgewirkt hat. Der Speicherung liegt ein berechtigtes Interesse des Vereins an der zeitgeschichtlichen Dokumentation von sportlichen Ereignissen und Erfolgen und der jeweiligen Zusammensetzung der Mannschaften zugrunde.
  • Alle Daten der übrigen Kategorien (z.B. Bankdaten, Anschrift, Kontaktdaten) werden mit

Beendigung der Mitgliedschaft gelöscht.

 

  1. Der betroffenen Person stehen unter den in den Artikeln jeweils genannten Voraussetzungen die nachfolgenden Rechte zu:
  • das Recht auf Auskunft nach Artikel 15 DSGVO,
  • das Recht auf Berichtigung nach Artikel 16 DSGVO,
  • das Recht auf Löschung nach Artikel 17 DSGVO,
  • das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO,
  • das Recht auf Datenübertragbarkeit nach Artikel 20 DSGVO,
  • das Widerspruchsrecht nach Artikel 21 DSGVO,
  • das Recht auf Beschwerde bei einer Aufsichtsbehörde nach Artikel 77 DSGVO
  • das Recht, eine erteilte Einwilligung jederzeit widerrufen zu können, ohne dass die

Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung

hierdurch berührt wird.

 

  1. Die Quelle, aus der die personenbezogenen Daten stammen:

Die personenbezogenen Daten werden grundsätzlich im Rahmen des Erwerbs der        Mitgliedschaft erhoben.

Ende der Informationspflicht

Anlage 7b: § 13 Telemediengesetz

Pflichten des Diensteanbieters

(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

  1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
  2. die Einwilligung protokolliert wird,
  3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

(3) Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 2 Nr. 4 hinzuweisen. Absatz 1 Satz 3 gilt entsprechend.

(4) Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann,
  2. die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren
    Beendigung gelöscht oder in den Fällen des Satzes 2 gesperrt werden,
  3. der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann,
  4. die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können,
  5. Daten nach § 15 Abs. 2 nur für Abrechnungszwecke zusammengeführt werden können und
  6. Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können.

An die Stelle der Löschung nach Satz 1 Nr. 2 tritt eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.

(5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.

(6) Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
  2. diese
  3. a) gegen Verletzungen des Schutzes personenbezogener Daten und
  4. b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind.

Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

(8) Der Diensteanbieter hat dem Nutzer nach Maßgabe von § 34 des Bundesdatenschutzgesetzes auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden.

Version 20180524 Seite 1 von 6
Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO als Anlage zu einem
oder mehreren von dem Auftraggeber genutztem Vertrag oder Verträgen
Zwischen der Firma
1&1 Internet SE
Elgendorfer Straße 57
56410 Montabaur
Deutschland
– Nachfolgend „Auftragnehmer“ genannt –
und
Verein: SC Otterndorf e. V.
Name: Hans-Werner Rudat
Straße, Hausnummer: Schulstr. 10
Postleitzahl, Ort: 21776 Wanna
Land: D
Kundennummer: 546666898
– Nachfolgend „Auftraggeber“ genannt –
Version 20180524 Seite 2 von 6
Präambel
Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus
der im Einzelvertrag (nachstehend „Vertrag“) in ihren Einzelheiten beschriebenen
Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in
Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers, oder durch den
Auftragnehmer Beauftragte personenbezogene Daten (nachstehend „Daten“) des Auftraggebers
verarbeiten.
Diese Anlage ist nur gültig in Verbindung mit einem aktiven Vertrag über die folgenden Produkte:
Server
Cloud Server, Virtual Server Cloud, Managed Cloud Hosting, Dedicated Server (& Managed), Bare
Metal Server, Dynamic Cloud Server, Virtual Server (Lin/Win), Container Cluster
Webhosting & Homepage
Webhosting, WordPress Hosting, MyWebsite, E-Shop, ipayment
Office & Online Marketing
Online-Buchhaltung, E-Mail Marketing
§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
(1) Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der
Verarbeitung. Gegenstand dieser Anlage ist nicht die originäre Nutzung oder Verarbeitung von
personenbezogenen Daten durch den Auftragnehmer. Als Hosting Dienstleister und
Administrator von Server-Systemen kann auf Seiten des Auftragnehmers ein Zugriff auf
personenbezogene Daten allerdings nicht ausgeschlossen werden.
Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Vertrages, sofern sich aus den
Bestimmungen dieser Anlage nicht darüber hinausgehende Verpflichtungen ergeben.
§ 2 Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies
umfasst Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der
Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen
Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der
Datenverarbeitung allein verantwortlich („Verantwortlicher“ i.S.v. Art. 4 Nr.7 DS-GVO).
(2) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber
danach in schriftlicher Form, oder in einem elektronischen Format („Textform“) an die vom
Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt, oder ersetzt
werden („Einzelweisung“).
Version 20180524 Seite 3 von 6
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und
der Weisungen des Arbeitgebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne von Art.
28 Abs. 3 lit. a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich,
wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Die
Durchführung von rechtswidrigen Weisungen darf der Auftragnehmer ablehnen.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation
so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird
technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des
Auftraggebers treffen, die den Anforderungen der Datenschutzgrundverordnung (Art. 32 DSGVO)
genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu
treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme und
Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.
(3) Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur
Minderung möglicher nachteiliger Folgen der betroffenen Personen.
(4) Die Beschreibung Technischer und Organisatorischen Maßnahmen gemäß Anhang 1 ist
Bestandteil dieser Vereinbarung.
Der Auftragnehmer wird die Einhaltung der vereinbarten Schutzmaßnahmen und deren
geprüfter Wirksamkeit durch Bereitstellung eines Zertifikates zu Datenschutz und
Informationssicherheit nachweisen.
Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer
vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte
Schutzniveau nicht unterschritten wird.
Der Auftragnehmer unterstützt soweit erforderlich den Auftraggeber im Rahmen seiner
Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemäß
Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 und 34 DS-GVO genannten
Pflichten.
(5) Der Auftragnehmer stellt sicher, dass es den mit der Verarbeitung der Daten des Auftraggebers
befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die
Daten außerhalb der Weisung zu verarbeiten. Ferner stellt der Auftragnehmer sicher, dass sich
die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit
verpflichtet haben, oder einer angemessenen gesetzlichen Schweigepflicht unterliegen. Die
Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrags fort.
(6) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des
Schutzes personenbezogener Daten des Auftraggebers bekannt werden.
Version 20180524 Seite 4 von 6
(7) Für alle im Rahmen dieser Anlage anfallenden Datenschutzfragen ist der Ansprechpartner:
1&1 Internet SE
Der Datenschutzbeauftragte
Elgendorfer Str. 57
56410 Montabaur
datenschutz@1und1.de
(8) Der Auftragnehmer stellt sicher, seinen Pflichten nach Art. 32 Abs.1 lit. d) DS-GVO
nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der
technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der
Verarbeitung einzusetzen.
(9) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der
Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine
datenschutzkonforme Lösung oder eine entsprechende Einschränkung der Datenverarbeitung
nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von
Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den
Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag
bereits vereinbart.
In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw.
Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern
nicht im Vertrag bereits vereinbart.
(10) Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf
Verlangen des Auftraggebers entweder herauszugeben oder zu löschen.
(11) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich
etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den
Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu
unterstützen.
§ 4 Pflichten des Auftraggebers
(1) Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er in den
Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher
Bestimmungen feststellt.
(2) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich
etwaiger Ansprüche nach Art. 82 DS-GVO, gilt § 3 Abs. 11 dieser Anlage entsprechend.
§ 5 Anfragen betroffener Personen
Version 20180524 Seite 5 von 6
(1) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung, oder
Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den
Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der
betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person
unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im
Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet bei
Erfüllung seiner Pflichten nicht dafür, wenn das Ersuchen der betroffenen Person vom
Auftraggeber nicht, nicht richtig, oder nicht fristgerecht beantwortet wird.
§ 6 Nachweismöglichkeiten
(1) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten
Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten, ohne Störung des
Betriebsablaufs nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit
durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener
Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der
Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen
abhängig machen. Für die Unterstützung bei der Durchführung einer Inspektion darf der
Auftragnehmer eine Vergütung verlangen. Der Aufwand einer Inspektion ist für den
Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
(2) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des
Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 1 entsprechend. Eine
Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese
Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei
der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
§ 7 Drittstaatentransfer
(1) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet überwiegend in einem
Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens
über den Europäischen Wirtschaftsraum statt. Ausnahmen sind der Liste gem. §8 Abs. 2 dieser
Anlage zu entnehmen.
§ 8 Subunternehmer (weitere Auftragsverarbeiter)
(1) Mit der Hinzuziehung von verbundenen und fremden Unternehmen zur Wartung, Pflege der
Rechenzentrumsstruktur, Telekommunikationsdienstleistungen und Benutzerservice durch
den Auftragnehmer ist der Auftraggeber einverstanden.
Version 20180524 Seite 6 von 6
(2) Eine Liste der aktuell eingesetzten Unterauftragnehmer steht dem Auftraggeber im
Kundenportal stets zum Abruf zur Verfügung. Diese Liste wird quartalsweise aktualisiert.
(3) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer,
seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu
übertragen. Die volle Verantwortung für die vom Auftragnehmer eingeschalteten
Subunternehmer bleibt beim Auftragnehmer.
§ 9 Informationspflichten, Schriftformklausel, Rechtswahl
(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder
Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren, oder durch sonstige Ereignisse,
oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber
unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang
Verantwortlichen unverzüglich drüber informieren, dass die Hoheit und das Eigentum an den
Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im Sinne der DS-GVO liegen.
(2) Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den
Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt
dies die Wirksamkeit dieser Anlage zum Datenschutz im Übrigen nicht.
(3) Es gilt deutsches Recht.
(4) Diese Anlage ersetzt alle vorangegangenen Vereinbarungen dieser Art
§ 10 Haftung und Schadensersatz
(1) Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der
in Art. 82 DS-GVO getroffenen Regelung.
Dieser Vertrag wird elektronisch geschlossen und ist ohne Unterschrift gültig
Anlagenverzeichnis
Anhang 1: TOMs

Version 20180522 Seite 1 von 9
Technische und organisatorische Maßnahmen nach Art.32 DSGVO
1. Zutrittskontrolle
Mit der Zutrittskontrolle soll verhindert werden, dass unberechtigte Personen Zutritt zu den
informationsverarbeitenden Systemen der 1&1 Internet SE bekommen. Die Rechenzentren der
1&1 Internet SE gewährleisten einen hohen Schutz durch moderne Sicherheitstechnik und
umfassende Objekt- und Datenschutzmaßnahmen. Der Zutritt zum Rechenzentrum ist dabei nur
einem eingeschränkten Kreis von autorisierten Mitarbeitern möglich.
1.1. Organisatorische Maßnahmen
1.1.1. Empfang- und Ausweispflicht
Der Standort des Rechenzentrumgebäudes wird tagsüber zu den normalen Geschäftszeiten
durch einen Pförtner überwacht, außerhalb der Geschäftszeiten durch einen Sicherheitsdienst.
Auffälligkeiten werden durch die Einbruchmeldeanlage und Kontrollgänge des
Sicherheitsdienstes entdeckt. Am Standort des Rechenzentrums besteht für alle Besucher und
externen Mitarbeiter die Pflicht, Ausweise zu tragen. Externe Personen dürfen sich grundsätzlich
nur in Begleitung eines internen Mitarbeiters innerhalb der Gebäude aufhalten. Interne
Mitarbeiter besitzen durch ihre Zutrittskarten die entsprechende Berechtigung, Zutritt zu den
Geschäftsräumen zu erlangen.
Die Ausweis-Richtlinie sieht folgende Anforderungen beim Ausstellen vor:
• Die Ausweise, das Ausweis-Logbuch, sowie alle zugehörigen Dokumente und
Unterlagen sind verschlossen aufzubewahren.
• Zugänge zu EDV-gestützten Verwaltungstools sind mit Passwörtern zu versehen, sodass
unbefugte keinen Zugriff auf die Arbeitsstationen, über die die Ausweise verwaltet
werden, erhalten können.
• Ausweise sind so zu gestalten, dass deren Gültigkeit abläuft.
• Ein Ausweisbuch über Ausgabe und Rücknahme der Ausweise ist in Papierform zu
führen.
• Die Einträge des Ausweisbuches sind mindestens 6 Monate aufzubewahren.
• Jeweils ein „Besuch“ soll auf einem Blatt vermerkt werden, sodass verschiedene
Besucher, wenn sie nicht an einem Besuch teilgenommen haben, nicht über andere
Besucher Kenntnis erlangen können.
1.1.2. Schlüsselvergabe
Durch das installierte Zutrittskontrollsystem können nur Personen in das Rechenzentrum
gelangen, die im Vorfeld Berechtigungen im Rahmen ihrer Aufgabenerfüllung (z.B.
Systemoperatoren, die Hardware austauschen müssen) erhalten haben. Die
Zutrittsberechtigungen werden zentral über ein Zugriffsrechtemanagement, d.h. durch die
Einrichtung von Profilen, Vergabe/Sperrung von Berechtigungen eingerichtet. Hierfür existiert ein
formaler Genehmigungsprozess. Der Zutritt zum Rechenzentrum erfolgt über eine neutrale
Version 20180522 Seite 2 von 9
Zutrittskarte, die nach Anforderung und Unterschrift des Empfängers dem Berechtigten
ausgehändigt wird. Die Vergabe der Zutrittskarten wird dokumentiert. Bei Verlust der
Zutrittskarte wird diese sofort über das installierte Verwaltungssystem gesperrt. Die
Berechtigungen können losgelöst von der physischen Verfügbarkeit der Zutrittskarte geändert,
gelöscht, oder gesperrt werden.
1.2. Technische Maßnahmen
Das Rechenzentrum wird durch folgende technische Maßnahmen vor unberechtigtem Zutritt
geschützt:
• ZK-System (Zutrittskontrollsystem)
• EMA (Einbruchmeldeanlage) mit VdS1- Zulassung
• Videokameras
• Sicherheitstüren
• Bereichswechselkontrolle
Ein wichtiger Bestandteil des Sicherheitskonzeptes ist der Zutritt zum zentralen Rechenzentrum
über eine Personalvereinzelungsanlage.
1.2.1. Türsicherung
Eine Sicherheitsschleuse gewährleistet, dass nur einzelne berechtigte Personen das
Rechenzentrum betreten können. Um die Sicherheitsschleuse betreten zu können, wird ein
elektronischer Schlüssel (so genannter ID-Informationsträger) und eine PIN benötigt, der für den
Zugang explizit freigeschaltet sein muss. Nur nach positiver Prüfung der Sicherheitsmerkmale
wird der Zutritt zum Rechenzentrum durch die Sicherheitsschleuse gewährt.
1.2.2. Zutrittskontrollsystem und Überwachung
Der Standort des Rechenzentrums verfügt über Zugangsleser an allen Außentüren, sowie Leser
an den Schrankenanlagen. Alle Außenzugänge, Etagentüren, sowie Bürobereiche sind mit
digitalen Schließzylindern ausgerüstet. Alle Zugänge zum Rechenzentrum sind Videoüberwacht,
die durch eine zentrale Videoüberwachungsanlage gesteuert wird. Die Aufzeichnungen werden
über einen Zeitraum von 6 Monaten gespeichert. Die Fluchtwegtüren am Standort des
Rechenzentrums sind zusätzlich mit einer Fluchttürsteuerung ausgerüstet, die nach Vorgaben
des VdS geplant und zertifiziert, sowie regelmäßig gewartet wird.
2. Zugangskontrolle
Mit der Zugangskontrolle soll ein Eindringen unberechtigter Personen in die
Informationsverarbeitenden Systeme der 1&1 Internet SE verhindert werden. Hierzu sind
technische und organisatorische Maßnahmen hinsichtlich der Benutzeridentifikation und
Authentifizierung implementiert.
Version 20180522 Seite 3 von 9
2.1. Organisatorische Maßnahmen
2.1.1. Benutzer- und Berechtigungsverfahren
Benutzer, die im Rahmen ihrer Aufgabenerfüllung zu einem System Rechte erlangen sollen,
müssen diese Berechtigungen über einen formalen Benutzer- und Berechtigungsprozess
beantragen. Die Anforderungen zur Benutzer- und Berechtigungsvergabe sind durch die interne
Sicherheitsrichtlinie zum Identity- und Accessmanagement beschrieben und die
Berechtigungsvergabe in einer Verfahrensanweisung dokumentiert. Im Benutzer- und
Berechtigungs-Verwaltungssystem werden die Benutzerkennungen und Berechtigungen von
Benutzern geführt. Technisch erfolgt die Genehmigung für das Erteilen und Löschen von
Zugriffsrechten über Ticketsysteme, in denen der Vorgang dokumentiert wird. Im
Verwaltungssystem werden Berechtigungen von Benutzern gesperrt, sobald der Benutzer das
Unternehmen verlässt, bzw. wenn die Berechtigungen nicht mehr benötigt oder unberechtigt
benutzt werden. Auch im Rahmen der Systemdiagnose werden obsolete Zugriffsrechte gelöscht.
Technisch ist jeder berechtigte Benutzer auf eine einzelne Benutzer-ID auf dem Zielsystem
beschränkt
2.2. Technische Maßnahmen
2.2.1. Authentisierungsverfahren
Zugangsberechtigungen sind so feingranular wie möglich konfiguriert, sodass Personen nur dort
Zugang haben, wo sie diesen auf Grund ihrer Funktion und ihrer Aufgabenerfüllung benötigen.
Die Zugangskontrollverfahren gelten für alle Mitarbeiter der 1&1 Internet SE. Alle Systeme sind
durch zweistufige Authentifizierungsverfahren (z.B. Benutzer-ID und Passwort) geschützt, die
unberechtigte Zugriffe unterbinden. Werden im Rahmen des Authentifizierungsverfahrens
Passwörter eingesetzt, müssen diese den internen Passwortrichtlinien für Mitarbeiter und
Systeme entsprechen. Passwörter, die nach den Richtlinien nicht der Qualität entsprechen, sind
nicht erlaubt. Die Systeme werden nach einer bestimmten Zeit der Inaktivität automatisch
gesperrt. Zusätzlich werden Accounts automatisch deaktiviert, wenn deren Passwörter nicht
geändert werden.
Ein Fernzugriff auf interne Systeme ist nur in authentifizierter Form möglich, bei dem z.B.
asymmetrische Authentisierungsverfahren (Public-/Private-Key-Verfahren) eingesetzt werden, die
zusätzlich zur Nachweisbarkeit protokolliert werden. Der Zugriff auf interne Systeme wird nur
Geräten gewährt, die sich im Besitz der 1&1 Internet SE befinden und administriert werden. Der
Zugriff auf interne Systeme über WLAN-Verbindungen kann nur durch einen zusätzlichen VPNTunnel
erfolgen. Die von der 1&1 Internet SE betriebenen WLAN-Zugangsgeräte erkennen und
protokollieren nicht autorisierte Access-Points.
2.2.2. Verschlüsselung
Daten mit hohen Schutzbedarfen werden nach aktuellem Stand der Technik mit verschlüsselten
Verfahren analog der internen IT-Sicherheitsrichtlinie zur Kryptographie gesichert. Die
eingesetzten Verschlüsselungsverfahren basieren auf Empfehlungen des Bundesamts für
Sicherheit in der Informationstechnik (BSI). Werden Daten anhand Datenträger ausgetauscht,
wird dokumentiert, wer zu welchem Zeitpunkt zu welchem Zweck von wem einen Datenträger
erhält. Datenträger, die nicht mehr zum produktiven Einsatz kommen, werden durch sichere
Version 20180522 Seite 4 von 9
Lösch- und Überschreib-Verfahren nach Empfehlungen des BSI entsorgt. Es gelten hier die
Regelungen der internen Sicherheitsrichtlinie zur Entsorgung von Medien.
3. Zugriffskontrolle
Mit der Zugriffskontrolle sollen unerlaubte Handlungen in den informationsverarbeitenden
Systemen der 1&1 Internet SE verhindert werden, indem Maßnahmen zur Überwachung und
Protokollierung der Zugriffe implementiert werden.
3.1. Berechtigungsvergabe
Die Systeme wurden in der Weise konfiguriert, dass ein regulärer Zugriff mit administrativen
Rechten nur für interne, autorisierte Mitarbeiter aus gesicherten Netzsegmenten möglich ist.
Hier wurden bedarfsorientierte Berechtigungskonzepte ausgestaltet, die die Zugriffsrechte,
sowie deren Überwachung und Protokollierung definieren. Eine Berechtigungsvergabe wird stets
nach dem Need-to-know-Prinzip vergeben. Je nach Autorisierung werden differenzierte
Berechtigungen, untergliedert nach Rollen und Profilen von Benutzern eingerichtet. Weitere
Autorisierungen an Systemen bedürfen der Einrichtung von Berechtigungen nach dem
implementierten Benutzer-und Berechtigungsprozess.
3.2. Auswertungen
Zugriffe auf System-IDs und auffällige Zugriffsversuche werden auf einem zentralen
Protokollierungsserver protokolliert. Der Zugriff auf die Protokollierungsserver ist nur lesend
durch autorisierte Administratoren möglich. Beim auffälligen Zugriffsversuch wird zusätzlich eine
Alarmierung (Security Monitoring) an den zuständigen Systemverantwortlichen ausgelöst.
3.3. Veränderungen
Modifikationen an Zugriffsrechten können lediglich von Systemadministratoren des operativen
Fachbereichs vorgenommen werden, die die Freigabe des Vorgesetzten erhalten haben.
Veränderungen der Zugriffsrechte und Berechtigungen geschehen in der Regel innerhalb eines
Arbeitstages, wenn nicht sogar bei Bedarf sofort. Netzwerkgeräte oder Systeme mit
voreingestellten Zugriffsmöglichkeiten dürfen nicht im Produktivbereich verwendet werden.
Näheres regeln die internen Sicherheitsrichtlinien.
3.4. Löschung
Das Löschen von Benutzerberechtigungen (z.B. Nach dem Austritt eines Mitarbeiters) erfolgt
zeitnah, spätestens jedoch innerhalb eines Arbeitstages. Das Löschen von Zugriffsrechten
geschieht auch im Rahmen der Systemdiagnose. Hier werden obsolete Zugriffsrechte bereinigt.
Im Verwaltungssystem werden Berechtigungen von Benutzern gesperrt, sobald der Benutzer das
Unternehmen verlässt bzw. wenn die Berechtigungen nicht mehr benötigt oder unberechtigt
benutzt werden. Im Rahmen der Systemdiagnose werden obsolete Zugriffsrechte, die z.B. über
einen längeren Zeitraum inaktiv waren, gelöscht.
Version 20180522 Seite 5 von 9
4. Weitergabekontrolle
Im Rahmen der Weitergabekontrolle werden Maßnahmen beim Transport, der Übertragung und
Übermittlung, sowie bei der nachträglichen Überprüfung von personenbezogenen Daten
definiert.
4.1. Organisatorische Maßnahmen
4.1.1. Schulungsmaßnahmen
Alle Mitarbeiter der 1&1 Internet SE sind auf das Datengeheimnis gem. § 5 BDSG hin
verpflichtet worden. Neue Mitarbeiter erhalten bei Eintritt eine Sicherheitsschulung. Für
verschiedene Fachbereiche gibt es speziell abgestimmte Sicherheitssensibilisierungsprogramme.
4.1.2. Klassifizierung der Informationen
Jede Information muss nach ihrem Schutzbedarf eingestuft werden. Handelt es sich um
vertrauliche Informationen, müssen diese besonders behandelt werden. Vertrauliche, dienstliche
Informationen dürfen nur über sichere Kommunikationswege übertragen werden. Der Umgang
mit Informationen wurde in der Richtlinie „Datenklassifikation“ und deren Anhang geregelt. Es
sind insbesondere folgende Regeln einzuhalten:
• Es müssen spezielle Verfahren und Regelungen zum Schutz der Informationen und
Datenträger beim Transport insbesondere über Unternehmensgrenzen hinweg definiert
und dokumentiert werden (z.B. Verfahrensanweisung für den Einsatz von Boten).
• Es müssen so weit wie möglich kryptographische Verfahren (z-B. Verschlüsselung bei der
Übertragung vertraulicher Daten) eingesetzt werden. Die Anforderungen aus der ITSicherheitsrichtlinie
Kryptographie sind zu berücksichtigen.
• Bei der Übergabe an externe Empfänger ist die erfolgte vollständige und sichere
Übergabe nachweisbar zu dokumentieren.
4.2. Technische Maßnahmen
4.2.1. Zugriffs-und Transportsicherung
Grundsätzlich können auf die Systeme, die personenbezogene Daten verarbeiten, nur
autorisierte Nutzer zugreifen. Die Übertragung von Daten erfolgt ausschließlich durch das
System selbst an autorisierte Empfänger, über kryptographisch stark gesicherte Wege, z.B. über
VPN mit IPSec nach aktuellem Stand der Technik und Empfehlungen des BSIs. Die Übertragung
wird in Logfiles protokolliert.
Um das System vor unberechtigten Zugriffen von Desktop-PCs der Mitarbeiter und somit vor
einer unautorisierten Weitergabe von Daten zu schützen, gelten die internen
Sicherheitsrichtlinien für Mitarbeiter der 1&1 Internet SE.
Die Integrität von wichtigen Systemdateien wird durch regelmäßige Überprüfung deren
kryptografischer Prüfsumme sichergestellt (HIDS).
Der Zugriffsschutz auf Systeme mit sensiblen Informationen wird auf mehreren Ebenen realisiert:
Auf Dateisystem-, auf Betriebssystem- und auf Netzwerkebene. Die Schutzmechanismen
erlauben nur speziell autorisierten Administratoren den Zugriff auf die jeweilige Ebene. Um
Datenverlust vorzubeugen, müssen alle arbeitsrelevanten Daten auf Servern gespeichert werden.
Version 20180522 Seite 6 von 9
Diese Daten werden regelmäßig gemäß den definierten Backup-Konzepten gesichert, sodass ein
Datenverlust dadurch weitestgehend ausgeschlossen ist.
4.2.2. Protokollierung
Der Zugriff und die Aktivitäten der Administratoren werden in speziellen Protokolldateien
aufgezeichnet. Die Protokollierung der Zugriffe erfolgt auf einen zentralen, dedizierten
Protokollierungsserver, der von den zu protokollierenden Systemen getrennt installiert ist. Der
Zugriff auf die Protokolle und auf den zentralen Protokollierungsserver ist geschützt und nur
autorisierten Administratoren gestattet. Systemadministratoren dürfen dabei die Protokolle auf
den Protokollierungsserver einsehen, aber nicht verändern. Der Transport der
Protokollierungsdaten geschieht über eine verschlüsselte Verbindung. Auf den
Protokollierungsserver werden verschiedene Verletzungen von Sicherheitskontrollen
protokolliert, wie z.B. nicht berechtigte Zugangsversuche oder signifikante Schutzverletzungen.
Bei besonders sensiblen Systemen ist der Zugriff nur nach dem 4-Augen-Prinzip möglich.
5. Eingabekontrolle
Um die Nachvollziehbarkeit und Dokumentation der Datenverwaltung und –pflege
sicherzustellen, werden Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten
eingegeben, verändert oder gelöscht worden sind, implementiert.
5.1. Protokollierungs- und Protokollauswertung
Durch die Einhaltung der oben aufgeführten Regeln zu Zutrittskontrolle, Zugangskontrolle und
Zugriffskontrolle wurde die Grundlage für die Eingabekontrolle der Systeme geschaffen, die
personenbezogenen Daten verarbeiten. Grundsätzlich wird im Rechte- und Rollen-Konzept
zwischen Systemusern, Prozessusern und personalisierten Usern unterschieden.
Angaben zur Protokollierung sind in Kapitel 4.2.2 zu finden.
Protokollauswertungen werden stichprobenartig von den Systemadministratoren vorgenommen,
insbesondere jedoch, wenn Auffälligkeiten oder der Verdacht auf eine Kompromittierung (z.B.
durch eine Alarmierung / Triggering eines Events) aufgetreten ist. Die Protokollauswertungen
sind als Informationen klassifiziert, die nur innerhalb der 1&1 Internet SE im Rahmen der
Aufrechterhaltung und Sicherstellung der Systemstabilität und –sicherheit zu verwenden sind.
6. Auftragskontrolle
Alle Weisungen des Auftraggebers zum Umgang mit personenbezogenen Daten werden
dokumentiert und an zentraler Stelle für die mit der Datenverarbeitung befassten Mitarbeiter der
1&1 Internet SE hinterlegt.
Die 1&1 Internet SE verarbeitet personenbezogene Daten ausschließlich im Rahmen der
getroffenen Vereinbarungen. Zweck, Art und Umfang der Datenverarbeitung richten sich
ausschließlich nach den Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung
erfolgt nur nach schriftlicher Einwilligung des Auftraggebers. Der Datenschutzbeauftragte des
Auftraggebers hat das jederzeitige Recht, nach Absprache die Umsetzung seiner Weisungen bei
Version 20180522 Seite 7 von 9
der 1&1 Internet SE zu kontrollieren. Die 1&1 Internet SE wird den Auftraggeber bei der
Durchführung von Kontrollen durch den Auftraggeber unterstützen und an der vollständigen
Abwicklung der Kontrolle mitwirken.
Die 1&1 Internet SE wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom
Auftraggeber erteilte Weisung nach ihrer Auffassung gegen gesetzliche Regelungen verstößt,
sowie dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen
die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des
Auftraggebers unverzüglich mitzuteilen, der im Zuge der Verarbeitung von Daten durch ihn oder
andere mit der Verarbeitung beschäftigten Personen erfolgt ist. Die 1&1 Internet SE ist bei der
Verarbeitung von Daten für den Auftraggeber zur Wahrung des Datengeheimnisses im Sinne
des § 5 BDSG verpflichtet. Sie verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten,
wie sie dem Auftraggeber obliegen. Nicht mehr benötigte Unterlagen mit personenbezogenen
Daten und Dateien werden erst nach vorheriger Zustimmung durch den Auftraggeber
datenschutzgerecht vernichtet.
7. Verfügbarkeitskontrolle
Alle Dienste der gesamten 1&1 Internet SE und ihrer Tochterunternehmen sind hochsensibel in
Bezug auf deren Verfügbarkeit und müssen vor zufälliger Zerstörung oder Verlust geschützt
werden. Die Kunden erwarten eine hochverfügbare Bereitstellung aller Netzwerk- und
Rechenzentrums-Dienstleistungen. In diesem Zusammenhang werden Maßnahmen zur
Datensicherung und –erhaltung umgesetzt.
7.1. Organisatorische Maßnahmen
7.1.1. Notfallhandbücher und Backup-Verfahren
Zur Sicherstellung der Notfallhandbücher und Backup-Verfahren werden in den als für
notwendig erachteten Abteilungen Notfallhandbücher erstellt. Die Notfallhandbücher definieren
Verantwortlichkeiten (z.B. Notfallverantwortlicher), sowie Eskalations-, Informations- und
Alarmierungspfade, legen Wiederanlaufpläne und Verfahren für einen Shutdown für einen
Mangelfall fest, regeln Ersatzbeschaffung von Hard- und Software und dokumentieren, wie
Daten gesichert und archiviert werden müssen. Die Notfallhandbücher sind damit ein
wesentlicher Bestandteil für den Umgang und der Behandlung der Systeme und Daten im
Notfall, die insbesondere auf die Backup-Strategien und Backup-Dokumentationen verweisen.
Alle Daten werden in regelmäßigen Abständen gesichert, wobei die Sicherung dokumentiert an
einem anderen Ort als das zu sichernde System verwahrt wird. Die Backups verlassen jedoch
nicht das Rechenzentrum der 1&1 Internet SE. Zum Schutz der Archive und Backups sind die
zuvor genannten Zutrittskontrollen implementiert. Der Zugang auf die Backup-Software ist
limitiert auf dedizierte Backup-Administratoren. Die Häufigkeit von Datenbackups richtet sich
nach der Kritikalität der Informationen und ist individuell anpassbar. Funktionalitätstests von
Datenbackups werden stichprobenartig von den zuständigen Systemadministratoren
vorgenommen. Die zum Backup benutzten Speichermedien werden nach einem sicheren Löschoder
Überschreibungsverfahren nach Empfehlung des BSI wiederverwendet.
Im Wiederherstellungsprozess wird beschrieben, wie und in welcher Reihenfolge die Systeme
und Daten installiert und wiederhergestellt werden müssen.
Version 20180522 Seite 8 von 9
Alle Prozesse zur Wiederherstellung der Daten, der Wiederanlaufplan der Systeme, sowie die
Notfallsituation müssen in regelmäßigen Abständen in einer Übung durchgeführt und getestet
werden. Die Tests und Übungen werden protokolliert und dokumentiert. Die bei Notfällen und
Incidents benötigten Eskalationspfade wurden im Praxisbetrieb erprobt.
7.2. Technische Maßnahmen
7.2.1. Firewall und Virenschutz
Die Netze und Systeme der 1&1 Internet SE sind mit einer Firewall gegen Hackerangriffe
geschützt, die regelmäßig von autorisierten Systemadministratoren gewartet und aktualisiert
werden. Die Firewall- Regeln sind so ausgelegt, dass nur benötigte Dienste erlaubt sind und in
der Grundeinstellung jeden Netzwerkverkehr blockieren. Alle Internetverbindungen sind durch
mindestens eine Firewall geschützt. Die Kontrolle sicherheitsrelevanter Konfigurationen erfolgt
hierbei im Rahmen von Sicherheitsaudits und Penetrationstests, die u.a. von der internen
Sicherheitsabteilung durchgeführt wird. Alle Netzwerkkomponenten werden einmal täglich,
sowohl intern als auch extern, durch automatische Scanner geprüft.
Das Virenschutzkonzept sieht einen mehrstufigen Schutz vor Schadsoftware über die Netzwerk-
Gateways und Systeme der 1&1 Internet SE vor. Der Schutz vor Schadsoftware wird zentral über
ein Systemmanagementsystem verwaltet und regelmäßig, mindestens einmal am Tag,
aktualisiert. Alle sensiblen und kritischen Systeme sind mit einem fehlertoleranten
Festplattenverbund (i.d.R. RAID 5) ausgestattet.
7.2.2. Hochverfügbarkeit und Stromversorgung
Aus der Hochverfügbarkeitsanforderung ergibt sich am Standort Karlsruhe, an dem das System
aufgestellt ist, eine grundsätzliche hochredundant ausgelegte Netzwerk-Infrastruktur, die
Einzelfehler in fast allen Bereichen und Doppelfehler in vielen Bereichen abfangen kann. Sensible
Dienste werden georedundant an verschiedenen Standorten betrieben. Die Stromversorgungen
sind mehrfach unabhängig voneinander ausgelegt. Das Rechenzentrum ist mit einer
unterbrechungsfreien Stromzufuhr ausgestattet. Die zentrale Elektrotechnik im
Hauptrechenzentrum in Karlsruhe ist in vier (3+1) Blöcke aufgeteilt. In jedem Block ist die
Technik Mittespannung, Niederspannung, USV und Netzersatzanlage (NEA) enthalten. Ein
Betriebsblock dient zur Redundanz.
Die Versorgungsblöcke sind räumlich voneinander getrennt, um eine gegenseitige Beeinflussung
im Schadens- oder Störfall zu verhindern. Jeder Block hat einen eigenen mittelspannungsseitigen
Abgang. Das Rechenzentrum ist an einem 20 kV Ring der Stadtwerke Karlsruhe angeschlossen,
der exklusiv dem Rechenzentrum vorbehalten ist. Um sich vor einem Totalausfall in der
Versorgung durch die Stadtwerke zu schützen, ist in zweiter Instanz zwischen Verbraucher und
Versorger eine redundant ausgelegte, unterbrechungsfreie Stromversorgung (USV) installiert. Die
gesamte Anlage wird über eine zentrale, redundant aufgebaute Netzleittechnik überwacht und
gesteuert. Zusätzlich wird permanent die Netzqualität nach DIN EN 50160 von allen Ein- und
Ausgängen der USV Anlagen überwacht.
7.2.3. Brandschutz
Eine Argon-Löschanlage schützt die Sicherheitsräume im Brandfall. Das ungiftige Gas bewirkt
bei einem Brandfall eine Sauerstoffverdrängung im Raum, wodurch dem Brandherd die
Version 20180522 Seite 9 von 9
Grundlage Sauerstoff entzogen wird. Die Server werden durch den Löschvorgang nicht
beeinträchtigt und können normal weiter betrieben werden.
Um einen Brandfall im Vorfeld zu verhindern ist des Weiteren eine Brandfrüherkennungsanlage
installiert, die ständig die Luftpartikel anhand eines vorgegebenen Soll-Kalibrierungszeitraumes
überwacht. Ändert sich die Zusammensetzung der Luftpartikel oder steigt die Zahl der für eine
Brandentstehung typischen Partikel, schlägt die Früherkennung Alarm. Die Anlage ist direkt auf
die Berufsfeuerwehr Karlsruhe aufgeschaltet. Die interne Alarmverfolgung erfolgt über eine
Notifikationssteuerung, Email sowie SMS Versand, an das Facility Management der 1&1 Internet
SE in Karlsruhe. Die Anlage wurde nach Vorgaben des VdS geplant und zertifiziert. In allen
Haustechnik-, Technik-, Lagerräumen, Fluren und Treppenhäusern sind Brandmelder, an allen
Zugangsbereichen sind Handmelder installiert. Die Gefahrenmeldeanlage wird nach Vorgaben
des VdS regelmäßig gewartet. Zur ersten Bekämpfung von Bränden sind Handfeuerlöscher
installiert.
8. Trennungskontrolle
Durch die 1&1 Internet SE getroffenen Maßnahmen zur Trennungskontrolle sind der
softwareseitige Ausschluss im Sinne einer Mandantentrennung, die Trennung von Test- und
Routineprogrammen, die Trennung durch getroffene Zugriffsregelungen, sowie
Dateiseparierung.
Beispielsweise müssen alle Produktivsysteme getrennt von den Entwicklungs- und Testsystemen
betrieben werden. Technisch wird das durch eine Segmentierung von Netzen mit einem
aktivierten Firewall-Regelwerk realisiert. Produktivdaten dürfen nicht als Kopie für Testzwecke
verwendet werden, ebenso dürfen Testdaten nicht in Produktivumgebung eingesetzt werden.
Details regeln die internen Sicherheitsrichtlinien zum sicheren Betrieb.