Privacy Policy for Coworking-M1

Last updated: January 17, 2019 11:22

In order to use our services you have to register to the web service „Cobot“ on this URL:

http://members.coworking-m1.de/

Find the data processing agreement for this service on the following pages.

If you want to change or delete your data (name, email, address, etc.) please send an email to:

datenaenderung@synthro.coop



Data Processing Agreement

Version: 1.0

BETWEEN

(1) Upstream-Agile GmbH, Adalbertstraße 7-8, 10999 Berlin, registered with the commercial register of the local court (Amtsgericht) of Charlottenburg under HRB 110149 B (“Upstream”); and

(2) its business persons (section 14 BGB) using the software via www.cobot.me (the “Client”).

1 OBJECT OF THIS AGREEMENT

(1) Pursuant to the Terms of Service by Upstream entered into between Upstream and Client or available at www.cobot.me (the “Services Agreement”), Upstream has agreed to provide the Client with certain services (the “Services”). To the extent that Upstream is processing Client’s personal data as defined in German or European laws (“Personal Data”) as part of the Services, the terms contained in this Data Processing Agreement (“Agreement”) will apply. This Agreement shall be entered into according to the applicable law, mainly the German Data Protection Act (Bundesdatenschutzgesetz, BDSG) as well as the European General Data Protection Regulation EU no. 2016/679 (“GDPR”), as applicable.

(2) If the Services are altered during the term of the Services Agreement and the altered Services involve new or amended processing of Client’s Personal Data, the parties will ensure that Annex 1 attached to this Agreement is updated as appropriate before such processing commences.

(3) If there is any conflict or inconsistency between this Agreement and the Services Agreement, this Agreement will take precedence and apply to the extent of the conflict or inconsistency. The parties hereby agree that the Services Agreement is amended accordingly to give effect to this clause 1(3).

(4) In respect of all processing of Client’s Personal Data carried out pursuant to the Services Agreement, Upstream is the processor according to Article 4 para. 8 GDPR (or BDSG) and the Client is the controller acc. Article 4 para. 7 GDPR (or BDSG).

(5) For entering into this Agreement section 3.1 of the Services Agreement shall apply.

2 PROCESSING

(1) The Client is responsible for ensuring the data protection standards set by applicable national law (“Applicable Law” or “Data Protection Legislation”). Upstream will support the Client in fulfilling the necessary data protection standards.

(2) Upstream shall implement a compliance mechanism to prove compliance with the GDPR and BDSG on request of the Client. Furthermore, Upstream shall:

(a) unless Applicable Law requires otherwise, only process Client’s Personal Data on and in accordance with the Client’s documented instructions as set out in this Agreement or otherwise in writing including electronic form (“Processing Instructions”);

(b) unless prohibited by Applicable Law, notify the Client if Applicable Law requires it to process Client’s Personal Data other than in accordance with Processing Instructions (such notification to be given before such processing commences). Upstream will bind its personnel accordingly in writing;

(c) notify the Client if, in its opinion, the processing of Client’s Personal Data in accordance with Processing Instructions infringes Data Protection Legislation;

(d) maintain a record of all categories of processing carried out on behalf of the Agency and make it available on request to the Client and the competent data protection authority

(e) co-operate and assist the Client with any privacy impact assessments and consultations with (or notifications to) relevant regulatory authorities that are reasonably relevant pursuant to Data Protection Legislation in relation to the Client’s Personal Data and the Services. Upstream may charge such request based on its reasonable efforts for any services, which are not necessary to fulfil by Upstream.

(2) After the business purposes for which Client’s Personal Data was processed have been fulfilled (or earlier upon the Client’s written request) Upstream shall, at the Client’s option, either delete or return all Client’s Personal Data and delete any existing copies of the same (unless storage of such copies is required by Applicable Law).

(3) Upstream shall ensure that its personnel are reliable and receive adequate training on compliance with this Agreement and Data Protection Legislation and are obligated to maintain the security and confidentiality of any Personal Data to which they have access even after their engagement ends.

3 CLIENT WARRANTIES

(1) The Client warrants and represents that:

(a) the processing of Client’s Personal Data by the Client will be carried out in accordance with the contractual obligations;

(b) Upstream is entitled to process Client’s Personal Data pursuant to the Services Agreement for the purpose of providing the Services and such use will comply with Data Protection Legislation;

(c) all Processing Instructions shall at all times be in accordance with Data Protection Legislation; and

(d) it is satisfied that Upstream’s processing operations are suitable for the purposes for which the Client proposes to use the Services and engage Upstream to process Client’s Personal Data.

4 SECURITY AND DELEGATION

Upstream shall:

(1) implement and maintain throughout the term of the Services Agreement appropriate technical and organisational measures, which are described in Annex 4, intended to protect Client’s Personal Data against accidental, unauthorised or unlawful access, disclosure, alteration, loss, damage or destruction; and

(2) take reasonable steps to ensure that its personnel do not process Client’s Personal Data other than in accordance with processing instructions by Client (unless required to do so by Applicable Law) and are obligated to maintain the security and confidentiality of any Client’s Personal Data to which they have access. The personnel shall be bound in writing to fulfil these obligations.

(3) Upstream undertakes to comply with the requirements of data secrecy pursuant to BDSG when processing the Client’s Personal Data, and may only assign those staff members with the processing and usage of the Client’s Personal Data who have undertaken in writing to comply with the requirements of data secrecy pursuant to section 53 BDSG.

(4) During the selection and deployment of staff, Upstream shall take steps to ensure that staff members comply with the statutory provisions on data protection, and do not forward to third parties, or otherwise exploit, information originating from the Client’s sphere.

5 NOTIFICATIONS

(1) Upstream shall, without undue delay, notify the Client if:

(a) it becomes aware of a personal data breach; or

(b) it receives a request from or on behalf of a data subject of Client’s Personal Data to exercise any of the rights given to data subjects by Data Protection Legislation; or

(c) it receives a request from the Press, a Data Protection authority or another public authority.

(2) Upstream shall (at the Client’s expense) provide such further information and assistance as the Client reasonably requires in handling and responding to such notifications in accordance with its obligations under Data Protection Legislation.

(3) Upstream shall document any personal data breaches, comprising the facts relating to the personal data breach, its effects and the remedial action taken and will supply the list to Client on request.

6 INSPECTIONS AND ASSISTANCE WITH REGULATORS

(1) Subject to reasonable written advance notice from the Client Upstream shall:

(a) permit the Client to conduct (and shall contribute to) audits and inspections of its systems and processes in relation to the processing of Client’s Personal Data subject to the Client ensuring:

(aa) that such audit or inspection is announced to Upstream at least 2 weeks in advance in writing as far as legally possible and undertaken during normal business hours (Mondays to Fridays at business days (Berlin), 9 a.m. to 6 p.m.) and with respect and minimal disruption to Upstream’s business and the business of other clients of Upstream; and

(bb) that all information obtained or generated by the Client or its auditor(s) in connection with such audits and inspections is kept strictly confidential (save for disclosure to a regulatory authority or as otherwise required by Applicable Law);

(b) give the Client such information as is reasonably necessary to verify that Upstream is in compliance with its obligations under Data Protection Legislation; and

(c) co-operate and assist the Client with data protection impact assessments and consultations with any regulatory authority that are relevant pursuant to Data Protection Legislation in relation to the Client’s Personal Data and the Client may not use without the support of Upstream.

(2) The cost of such audit, inspection, provision of information or data protection impact assessment shall be borne by the Client.

(3) Such audits may be (partly) fulfilled by relating to certification mechanisms, Codes of Conduct, special seals regarding GDPR or BDSG or certificates such as ISO27001, self-assessments or audits conducted by the Data Protection Officer.

(4) The Client may require Upstream to conduct an audit or inspection of the Sub-Processor’s systems and processes in relation to the processing of Client’s Personal Data. The cost of such an audit or inspection shall be borne by the Client.

7 DURATION OF THE AGREEMENT, TERMINATION RIGHTS

(1) This Agreement is entered into for the term of the Services Agreement.

8 SUB-PROCESSORS

(1) Upstream shall use any sub-processor as Upstream’s processor according to Article 4 para. 8 GDPR (or BDSG) to process Client’s Personal Data (each a “Sub-Processor”) only after informing the Client in writing (including electronic form, section 126b BGB) about name, address, and personal data processed by the Sub-Processor. If the Client does not object to the Sub-Processor within 2 weeks after being informed, the respective Sub-Processor is approved by Client. Upstream has to enter a contract with Sub-Processor which contains substantially similar obligations with respect to the processing of Client’s Personal Data as to which Upstream is bound by this Agreement. The Sub-Processors named in Annex 3 attached to this Agreement shall be deemed accepted by Client.

(2) Upstream shall be obligated to contractually safeguard the Client's control rights, in relation to the Sub-Processor. Upon the Client's request, Upstream shall be obligated to inform the Client of the contents of the contract with relevance for the exercising of the control rights, and of the implementation by the Sub-Processor of his obligations with data protection relevance.

(3) With respect to the Sub-Processor's activities, Upstream shall ensure that the data protection provisions regarding data processing services as well as Upstream's obligations under this Agreement shall also be complied with in the subcontracting relationship. Upstream shall verify compliance with the obligations by the Sub-Processor by corresponding controls, and shall enforce them in the event of violations. Data may only be forwarded to the Sub-Processor once compliance with the data safety requirements has been documented by the Sub-Processor.

9 LIABILITY

(1) Upstream and Client shall be jointly liable for any damages arising from any processing of data not complying with the provisions of GDPR and/or BDSG vis-à-vis any affected individual.

(2) In respect to Client, Upstream shall only be liable for any damages in connection with any processing of personal data under this Agreement if such damages are resulting from (i) a breach of a duty assigned to Upstream as data processor according to the applicable provisions of GDPR or BDSG, (ii) Upstream acting against a respective (legal) order by Client, and/or (iii) Upstream omitting such (legal) order by Client, whereas the limitations and provisions of the Services Agreement shall apply.

(3) For any other liability based on other legal provisions than the GDPR or BDSG the provisions set forth in the Services Agreement shall apply.

10 GENERAL

(1) Annex 1 to this Agreement describes the processing of Client’s Personal Data permitted in connection with the Services Agreement; Annex 2 lists the Sub-Processors (if any) who the Client agrees may process Client’s Personal Data; Annex 3 sets out the agreed Sub-Processors; Annex 4 sets out the technical and organizational measures taken by Upstream. All Annexes are integrated parts of this Agreement.

(2) The invalidity of a provision of this Agreement shall not affect the validity of the remaining provisions. If a provision proves to be invalid, the Parties shall replace it with a new provision which approximates the intentions of the Parties as closely as possible.

(3) Any changes or amendments to this Agreement must be made in the same form as this agreement is agreed on. This also applies to the waiver of this form clause itself.

(4) The sole place of jurisdiction for any and all disputes arising from and in connection with this agreement shall be Berlin, unless there is a sole statutory place of jurisdiction.

(5) The Agreement shall be subject to German law under exclusion of any conflict of aw rules or the United Nations Convention on Contracts for the International Sale of Goods.

(6) In the event of any discrepancies of provisions of the Services Agreement and this Agreement, the provisions of this Agreement shall prevail.

Annex 1

Personal data and the purpose of their processing by Upstream on behalf of the Client:

The list shall state the extent, the nature and purpose of any contemplated collection, processing and use of data, the type of data, and the circle of data subjects.

Data Categories:

Names and surnames

Email addresses

Telephone numbers

Photos

User Account Information

Means of Payment

Booking Information

Device IDs

IP addresses

Billing address

Data Categories due to functions/fields added by Client or by Upstream on respective request

Purpose(s) of collecting, processing or using of data:

Fulfilling the obligations and services under the Terms of Service

Quality Assurance for Client

Categories of data subjects the data relate to:

Client’s employees and

interns, freelancers,

Client’s customers and their representatives,

Data Subjects due to functions/fields added by Client or by Upstream on respective request

Upstream is instructed as follows:

- The Client hereby instructs Upstream to process the above-mentioned personal data for the above-mentioned purposes. Changes may apply through further instructions.

Annex 2

Persons eligible to issue instructions:

Persons eligible to issue instructions on behalf of the Client:

Contact at Client:

Person and contact details named “Owner” within the Client’s account.

An additional contact shall be named by Client via email to contact details below.

Person eligible to receive instructions on behalf of Upstream:

Contact at Upstream:

E-mail: dataprocessing@cobot.me

Annex 3: List of Subcontractors / Individual Deliverables

Subcontractor(s): Description of the individual deliverables:

Amazon Web Services, Inc.

P.O. Box 81226

Seattle, WA 98108-1226 Cloud Infrastructure and Storage

salesforce.com, inc.

The Landmark @ One Market Street,

San Francisco, CA 94105, USA Cloud Platform Service and Storage

Wildbit LLC

225 Chestnut Street, Philadelphia, PA, 19106

Transactional Email Service

Google LLC

1600 Amphitheatre Parkway

Mountain View, CA 94043

USA Managing/Synchronize Bookings - Google Calendar integration

IronWifi LLC

3071 N Orange Blossom Trail

Ste C Orlando, FL 32804

USA Monitor and Bill Service Usage through the space local network. Access Management

Zapier, Inc.

548 Market St. #62411

San Francisco, CA 94104-5401

USA Event message infrastructure provide to allow cobot to be integrated with other applications to automate business processes.

Slack Technologies, Inc.,

155 5th Street, 6th Floor

San Francisco, CA 94103

Slack Technologies Limited

5th Floor, Marine House, Clanwilliam Court Dublin 2

Ireland Team communication platform that can be uses by spaces to facilitate internal communication.

Intercom Inc.,

55 2nd St, 4th Fl.

San Francisco, CA, 94105,

USA

Intercom R&D Unlimited Company

2nd floor, Stephen court, 18-21 St. Stephen’s green

Dublin 2

Ireland Customer Support platform we use to provide support to you via an online chat or email

Annex 4:

Data Safety Requirements

Object and scope of Annex 4:

GDPR and BDSG requires individual requirements to data safety, which must be implemented by suitable technical and organizational measures. Only an overall view and evaluation of all measures taken will allow the conclusion that the reasonable level of data safety as required by the law can be guaranteed. If personal data are processed by a service provider, Upstream is obligated under section 32 GDPR and 64 BDSG to define the technical and organizational measures relating to data safety.

Organizational provision on processing:

Upstream maintains a system to examine, assess, and evaluate regularly the effectivity of the Security of processing as described in this Annex 4. Upstream will, on request, prove such system of evaluation to the Client.

Technical provisions on processing:

1. Physical Access Control (Zugangskontrolle)

Unauthorized access (in the physical sense) to systems and facilities shall be prevented.

Upstream has technical and organizational measures to control access to premises and facilities, particularly to check authorization. These are:

Locking system with code lock

Manual locking system

chip/transponder based lock system

Safety locks

Key management (key issuance)

careful selection of security staff

Identity check at entry (gatekeeper)

Visitors are accompanied by authorized employees, everywhere on the premises

careful selection of cleaning personnel

2. Data Medium Control (Datenträgerkontrolle)

Unauthorized reading, copying, changing or deleting of data media shall be prevented.

Authentication with username / password

Use of antivirus software

Use of firewalls with VPN-technology

Use of Intrusion-Detection-Systems

Case-locking

Forbid use of external interfaces such as USB systems

Encryption of data mediums in laptops / notebooks

Defining user profiles

Assign user profiles to IT-systems

Allocate user rights

Immediate blocking of authorization when employees leave the company

Periodic monitoring of the validity of authorizations (once per year)

Securing screen workstations during times of absence and running system

3. Storage Control (Speicherkontrolle)

Unauthorized entering of personal data as well as unauthorized access, changes or deletion of saved personal data shall be prevented.

Authentication with username / password

Use of antivirus software

Use of firewalls with VPN-technology

Use of centralized Smartphone-Administrations-Software (e.g. for external deletion of Data)

Use of Intrusion-Detection-Systems

Case-locking

Forbid use of external interfaces such as USB systems

Encryption of data mediums in laptops / notebooks

Defining user profiles

Assign user profiles to IT-systems

Allocate user rights

Immediate blocking of authorization when employees leave the company

Periodic monitoring of the validity of authorizations (once per year)

Securing screen workstations during times of absence and running system

Upstream has Requirements-driven definition of the authorization scheme and access rights, and monitoring and logging of accesses. These are:

Use of document shredders or appropriate service providers

Logging of access to applications, especially if entering, changing or deletion of data takes place

Amount of user with admin rights reduced to the minimum

Differentiated authorizations for read, edit or delete data

Secure storage of data mediums

Authentication procedures (incl. special characters, minimum length, multi factor)

Assignment of rights by system administrator

4. User Control (Benutzerkontrolle)

Unauthorized use of automated processing systems with the support of implementations for data transfer shall be prevented.

Upstream has technical (ID/password security) and organizational (user master data) measures for user identification and authentication. These are:

Authentication with username / password (and second factor where possible)

Use of antivirus software

Use of firewalls with VPN-technology

Use of Intrusion-Detection-Systems

Case-locking

Forbid use of external interfaces such as USB systems

Encryption of data mediums in laptops / notebooks

Defining user profiles

Assign user profiles to IT-systems

Allocate user rights

Immediate blocking of authorization when employees leave the company

Periodic monitoring of the validity of authorizations

Securing screen workstations during times of absence and running system

5.Access Control (Zugriffskontrolle)

Unauthorized access to IT systems must be prevented, i.e. ensure that only persons with respective authorization may access personal data according to such authorization.

Upstream has technical (ID/password security) and organizational (user master data) measures for user identification and authentication. These are:

Authentication with username / password

Use of antivirus software

Use of firewalls with VPN-technology

Use of Intrusion-Detection-Systems

Case-locking

Forbid use of external interfaces such as USB systems

Encryption of data mediums in laptops / notebooks

Defining user profiles

Assign user profiles to IT-systems

Allocate user rights

Immediate blocking of authorization when employees leave the company

Periodic monitoring of the validity of authorizations

Securing screen workstations during times of absence and running system

6. Transfer Control (Übertragungskontrolle)

Ensure to check and record how and where personal data are transferred or otherwise accessed by data and IT systems.

Upstream has measures to transport, transmit and communicate or store data on data media (manual or electronic) and for subsequent checking. These are:

Transport Encryption (HTTPS)

VPN Tunnelling (VPN = Virtual Private Network)

Information disclosure of anonymised or pseudonymised data records

Documentation of data recipients and time periods of transfer or rather agreed deletion deadline

Use of group guidelines

7. Data Entry Control (Eingabekontrolle)

Full documentation of data management and maintenance must be maintained.

Upstream has measures for subsequent checking whether data have been entered, changed or removed (deleted), and by whom. These are:

No local admin privileges (except development staff)

Transparency of data input, modification and deletion by individual use of user names (not user groups)

Access policies and authorization mechanism of data input, modification and deletion within an authorisation concept

Monitoring of applications and data processing

8. Transport Control (Transportkontrolle)

Aspects of the transport of data media and disclosure of personal data must be controlled: electronic transfer, data transport, transmission control, etc.

Upstream has measures to transport, transmit and communicate or store data on data media (manual or electronic) and for subsequent checking. These are:

Transport Encryption (HTTPS)

VPN Tunnelling (VPN = Virtual Private Network)

Use of group guidelines

9. Data Restoring Control (Wiederherstellbarkeit)

Ensure that used systems may be restored in the event of any disorder.

Automated Restoration Protocols

Remote data backup in secure outsourced locations

Hot Replica

Multi Version Backups

10. Reliability Control (Zuverlässigkeit)

Ensuring that all functions of the IT system are at disposal and any malfunctions or errors are reported.

Notification and Response Protocols

Application Monitoring and Alerts

Infrastructure Monitoring and Alerts

11. Data Integrity (Datenintegrität)

Ensuring that saved personal data may not be damaged by malfunction(s) of the system.

Uninterruptible power supply (UPS)

Infrastructure Monitoring/ Redundant Hardware

Remote data backup in secure outsourced locations

An emergency plan and contact

A disaster recovery plan

Tests of data recovery (ability to restore the availability and access to personal data)

Testing, assessing and evaluating the effectiveness of technical and organisational measures

12. Job control (Auftragskontrolle)

Commissioned data processing shall be carried out according to instructions.

Upstream has measures (technical/organizational) to segregate the responsibilities between the principal (responsible data authority) and the processor. These are:

Criteria for selecting the contractor (particularly in regarding to data security)

Prior verification of documentations of processor’s security measures

Obligation of employees of processor to data secrecy

Processor appointed a data protection officer

Contracts between processor and principal complying with provisions in GDPR and BDSG

13. Availability Control (Verfügbarkeitskontrolle)

The data must be protected against accidental destruction or loss.

Upstream has measures to assure data security (physical/logical). These are:

Fire extinguishers in server rooms

Installation of fire and smoke detection systems

Uninterruptible power supply (UPS)

Mirroring of hard disks, e.g. RAID technology

Air conditioning in server rooms

Monitoring of temperature and humidity in server rooms

Power outlet strip with surge protection in server rooms

Alarm during unauthorized entry into server room

Remote data backup in secure outsourced locations

An emergency plan and contact

A disaster recovery plan

Tests of data recovery (ability to restore the availability and access to personal data)

Testing, assessing and evaluating the effectiveness of technical and organisational measures

14. Isolation Control (Trennbarkeit)

Personal data, which were collected for differing purposes shall be processed separately.

Upstream has implemented measures to provide for separate processing (storage, amendment, deletion, transmission) of personal data for different purposes. These are:

Segregation of functions (production/testing)

separate databases

physically separated storage on systems and data mediums

Encryption of data, which are used for same reason

Development of an authorization concept

Regulation of database access rights

Logical client separation

15. Data Protection Management

Upstream has implemented measures to guarantee a procedure for the regular review, evaluation and evaluation of the effectiveness of technical and organisational measures to ensure the safety of processing. These are:

Development of a safety concept

Audits of the data protection officer, IT revision

IT security tests

Automated Vulnerability Monitoring of Software Components


Deutsche Version:

Standard m1x

Datenschutzrichtlinie für Coworking-M1

Zuletzt aktualisiert: Dienstag, 22. Mai 2018, 18:10 Uhr

Um unsere Dienste nutzen zu können, müssen Sie sich unter dieser URL für den Webservice "Cobot" registrieren:

http://members.coworking-m1.de/

Die Vereinbarung zur Datenverarbeitung für diesen Service finden Sie auf den folgenden Seiten.

Wenn Sie Ihre Daten (Name, E-Mail, Adresse, etc.) ändern oder löschen möchten, senden Sie bitte eine E-Mail an:

datenaenderung@synthro.coop

Datenverarbeitungsvertrag

Version: 1.0

ZWISCHEN

(1) Upstream-Agile GmbH, Adalbertstraße 7-8, 10999 Berlin, eingetragen im Handelsregister des Amtsgerichts Charlottenburg unter HRB 110149 B ("Upstream"); und

(2) seinen Kaufleuten (§ 14 BGB), die die Software über www.cobot.me nutzen (der "Kunde").

1 GEGENSTAND DIESER VEREINBARUNG

(1) Gemäß den zwischen Upstream und dem Kunden abgeschlossenen oder unter www.cobot.me (der "Dienstleistungsvertrag") abrufbaren Allgemeinen Geschäftsbedingungen von Upstream hat sich Upstream verpflichtet, dem Kunden bestimmte Dienstleistungen (die "Dienstleistungen") zu erbringen. Soweit Upstream die personenbezogenen Daten des Kunden im Sinne des deutschen oder europäischen Rechts ("personenbezogene Daten") im Rahmen der Dienste verarbeitet, gelten die Bestimmungen dieses Datenverarbeitungsvertrages ("Vertrag"). Diese Vereinbarung wird nach dem geltenden Recht, insbesondere dem Bundesdatenschutzgesetz (BDSG) sowie der Europäischen Allgemeinen Datenschutzverordnung EU Nr. 2016/679 ("GDPR"), abgeschlossen.

(2) Wenn die Dienstleistungen während der Laufzeit des Dienstleistungsvertrages geändert werden und die geänderten Dienstleistungen eine neue oder geänderte Verarbeitung der personenbezogenen Daten des Kunden beinhalten, werden die Parteien sicherstellen, dass der diesem Vertrag beigefügte Anhang 1 vor Beginn dieser Verarbeitung entsprechend aktualisiert wird.

(3) Im Falle eines Konflikts oder einer Inkonsistenz zwischen dieser Vereinbarung und der Dienstleistungsvereinbarung hat diese Vereinbarung Vorrang und gilt für den Umfang des Konflikts oder der Inkonsistenz. Die Parteien vereinbaren hiermit, dass der Dienstleistungsvertrag entsprechend geändert wird, um dieser Klausel 1(3) Wirkung zu verleihen.

(4) Bei der gesamten Verarbeitung personenbezogener Daten des Kunden im Rahmen des Dienstleistungsvertrages ist Upstream der Auftragsverarbeiter gemäß § 4 Abs. 8 GDPR (oder BDSG) und der Kunde ist der Verantwortliche gemäß § 4 Abs. 8 GDPR (oder BDSG). Artikel 4 Abs. 1 7 GDPR (oder BDSG).

(5) Für den Abschluss dieses Vertrages gilt Abschnitt 3.1 des Dienstleistungsvertrages.

2 VERARBEITUNG

(1) Der Kunde ist für die Einhaltung der Datenschutzstandards verantwortlich, die durch das geltende nationale Recht ("Anwendbares Recht" oder "Datenschutzgesetzgebung") festgelegt sind. Upstream unterstützt den Kunden bei der Erfüllung der erforderlichen Datenschutzstandards.

(2) Upstream führt auf Wunsch des Kunden einen Compliance-Mechanismus ein, um die Einhaltung des GDPR und des BDSG nachzuweisen. Darüber hinaus wird Upstream:

(a) Sofern das geltende Recht nichts anderes vorschreibt, verarbeiten wir personenbezogene Daten des Kunden nur auf und in Übereinstimmung mit den dokumentierten Anweisungen des Kunden, wie sie in diesem Vertrag dargelegt sind, oder anderweitig schriftlich, einschließlich elektronischer Form ("Verarbeitungsanweisungen");

(b) den Kunden, sofern nicht nach geltendem Recht verboten, zu benachrichtigen, wenn das geltende Recht dies erfordert, dass er die personenbezogenen Daten des Kunden anders als in Übereinstimmung mit den Verarbeitungsanweisungen verarbeitet (eine solche Benachrichtigung ist vor Beginn der Verarbeitung vorzunehmen). Upstream wird sein Personal entsprechend schriftlich binden;

(c) den Kunden zu informieren, wenn seiner Meinung nach die Verarbeitung der personenbezogenen Daten des Kunden gemäß den Verarbeitungsanweisungen gegen die Datenschutzgesetzgebung verstößt;

d) führt ein Protokoll über alle Kategorien von Verarbeitungen, die im Namen der Agentur durchgeführt werden, und stellt es dem Kunden und der zuständigen Datenschutzbehörde auf Anfrage zur Verfügung.

(e) den Kunden bei allen Bewertungen und Beratungen über die Auswirkungen auf die Privatsphäre und bei Konsultationen (oder Mitteilungen an die zuständigen Regulierungsbehörden) zu unterstützen, die gemäß den Datenschutzgesetzen in Bezug auf die personenbezogenen Daten des Kunden und die Dienstleistungen von angemessener Bedeutung sind. Upstream kann eine solche Anfrage auf der Grundlage seines angemessenen Aufwands für alle Dienste berechnen, die nicht zur Erfüllung durch Upstream erforderlich sind.

(2) Nach Erfüllung der Geschäftszwecke, für die die personenbezogenen Daten des Kunden verarbeitet wurden (oder früher auf schriftliche Anfrage des Kunden), wird Upstream nach Wahl des Kunden entweder alle personenbezogenen Daten des Kunden löschen oder zurückgeben und bestehende Kopien davon löschen (sofern die Speicherung dieser Kopien nicht nach geltendem Recht erforderlich ist).

(3) Upstream stellt sicher, dass sein Personal zuverlässig ist und eine angemessene Schulung über die Einhaltung dieser Vereinbarung und der Datenschutzgesetze erhält und verpflichtet ist, die Sicherheit und Vertraulichkeit aller personenbezogenen Daten, zu denen es Zugang hat, auch nach Beendigung seines Engagements zu wahren.

3 KUNDENGARANTIEN

(1) Der Kunde garantiert und sichert dies zu:

(a) Die Verarbeitung der personenbezogenen Daten des Kunden durch den Kunden erfolgt in Übereinstimmung mit den vertraglichen Verpflichtungen;

(b) Upstream ist berechtigt, die personenbezogenen Daten des Kunden gemäß dem Dienstleistungsvertrag zum Zwecke der Erbringung der Dienstleistungen zu verarbeiten, und eine solche Nutzung entspricht den Datenschutzgesetzen;

(c) alle Verarbeitungsanweisungen müssen jederzeit mit den Datenschutzgesetzen übereinstimmen; und

(d) es wurde festgestellt, dass die Verarbeitungsvorgänge von Upstream für die Zwecke geeignet sind, für die der Kunde die Dienste nutzen und Upstream mit der Verarbeitung der personenbezogenen Daten des Kunden beauftragen möchte.

4 SICHERHEIT UND DELEGATION

Stromabwärts werden:

(1) während der Laufzeit des Dienstleistungsvertrages geeignete technische und organisatorische Maßnahmen, die in Anhang 4 beschrieben sind, umzusetzen und aufrechtzuerhalten, um die personenbezogenen Daten des Kunden vor versehentlichem, unbefugtem oder rechtswidrigem Zugriff, Offenlegung, Änderung, Verlust, Beschädigung oder Zerstörung zu schützen; und

(2) angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass sein Personal die personenbezogenen Daten des Kunden nur in Übereinstimmung mit den Verarbeitungsanweisungen des Kunden verarbeitet (sofern dies nicht nach geltendem Recht erforderlich ist) und verpflichtet ist, die Sicherheit und Vertraulichkeit der personenbezogenen Daten des Kunden, zu denen er Zugang hat, zu wahren. Das Personal ist zur Erfüllung dieser Verpflichtungen schriftlich verpflichtet.

(3) Upstream verpflichtet sich, bei der Verarbeitung der personenbezogenen Daten des Kunden die Anforderungen des Datengeheimnisses nach BDSG zu erfüllen und darf nur diejenigen Mitarbeiter mit der Verarbeitung und Nutzung der personenbezogenen Daten des Kunden beauftragen, die sich schriftlich zur Einhaltung der Anforderungen des Datengeheimnisses nach § 53 BDSG verpflichtet haben.

(4) Bei der Auswahl und dem Einsatz von Personal trifft Upstream Maßnahmen, um sicherzustellen, dass die Mitarbeiter die gesetzlichen Datenschutzbestimmungen einhalten und keine Informationen aus der Sphäre des Kunden an Dritte weitergeben oder anderweitig nutzen.

5 BENACHRICHTIGUNGEN

(1) Upstream wird den Kunden unverzüglich informieren, wenn:

(a) es von einer Verletzung personenbezogener Daten Kenntnis erlangt; oder

(b) sie eine Anfrage von oder im Namen einer betroffenen Person von personenbezogenen Daten des Kunden erhält, um eines der Rechte auszuüben, die den betroffenen Personen durch die Datenschutzgesetzgebung gewährt werden; oder

c) er erhält einen Antrag der Presse, einer Datenschutzbehörde oder einer anderen Behörde.

(2) Upstream stellt (auf Kosten des Kunden) weitere Informationen und Unterstützung zur Verfügung, die der Kunde bei der Bearbeitung und Beantwortung solcher Mitteilungen gemäß seinen datenschutzrechtlichen Verpflichtungen benötigt.

(3) Upstream dokumentiert alle Verstöße gegen personenbezogene Daten, einschließlich der Fakten über die Verletzung personenbezogener Daten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen, und stellt dem Kunden die Liste auf Anfrage zur Verfügung.

6 INSPEKTIONEN UND UNTERSTÜTZUNG DER REGULIERUNGSBEHÖRDEN

(1) Vorbehaltlich einer angemessenen schriftlichen Vorankündigung durch den Kunden Upstream wird:

(a) dem Kunden zu gestatten, Audits und Inspektionen seiner Systeme und Prozesse im Zusammenhang mit der Verarbeitung der personenbezogenen Daten des Kunden durchzuführen (und dazu beizutragen), sofern der Kunde dies sicherstellt:

aa) dass diese Prüfung oder Inspektion Upstream mindestens 2 Wochen im Voraus schriftlich angekündigt wird, soweit dies gesetzlich möglich ist, und während der normalen Geschäftszeiten (Montag bis Freitag an Werktagen (Berlin), 9 bis 18 Uhr) und unter Berücksichtigung und mit minimaler Unterbrechung des Upstream-Geschäfts und der Geschäfte anderer Kunden von Upstream durchgeführt wird; und

(bb) dass alle Informationen, die der Kunde oder seine Auditoren im Zusammenhang mit solchen Audits und Inspektionen erhalten oder erzeugt haben, streng vertraulich behandelt werden (außer zur Offenlegung an eine Regulierungsbehörde oder wie vom anwendbaren Recht vorgeschrieben);

(b) dem Kunden die Informationen zur Verfügung zu stellen, die vernünftigerweise notwendig sind, um zu überprüfen, ob Upstream seinen Verpflichtungen aus dem Datenschutzrecht nachkommt; und

(c) den Kunden bei Folgenabschätzungen und Konsultationen mit allen Regulierungsbehörden, die gemäß den Datenschutzgesetzen in Bezug auf die personenbezogenen Daten des Kunden relevant sind, zusammenzuarbeiten und zu unterstützen, und der Kunde darf diese nicht ohne die Unterstützung von Upstream nutzen.

(2) Die Kosten für eine solche Auditierung, Inspektion, Bereitstellung von Informationen oder eine Folgenabschätzung zum Datenschutz gehen zu Lasten des Kunden.

(3) Diese Audits können (teilweise) durch Zertifizierungsmechanismen, Verhaltenskodizes, spezielle Siegel bezüglich GDPR oder BDSG oder Zertifikate wie ISO27001, Selbstbewertungen oder Audits durch den Datenschutzbeauftragten durchgeführt werden.

(4) Der Kunde kann von Upstream verlangen, dass er ein Audit oder eine Inspektion der Systeme und Prozesse des Unterauftragsverarbeiters im Zusammenhang mit der Verarbeitung der personenbezogenen Daten des Kunden durchführt. Die Kosten für ein solches Audit oder eine solche Inspektion trägt der Auftraggeber.

7 LAUFZEIT DES VERTRAGES, KÜNDIGUNGSRECHTE

(1) Diese Vereinbarung wird für die Dauer der Dienstleistungsvereinbarung abgeschlossen.

8 SUBPROZESSOREN

(1) Upstream wird jeden Unterauftragsverarbeiter als Prozessor von Upstream gemäß § 4 Abs. 8 GDPR (oder BDSG) zur Verarbeitung der personenbezogenen Daten des Kunden (jeweils ein "Unterauftragsverarbeiter") nur dann einsetzen, wenn er den Kunden schriftlich (einschließlich elektronischer Form, § 126b BGB) über Name, Adresse und die vom Unterauftragsverarbeiter verarbeiteten personenbezogenen Daten informiert. Widerspricht der Auftraggeber dem Unterauftragsverarbeiter nicht innerhalb von 2 Wochen nach seiner Benachrichtigung, wird der jeweilige Unterauftragsverarbeiter vom Auftraggeber genehmigt. Upstream muss einen Vertrag mit dem Unterauftragsverarbeiter abschließen, der im Wesentlichen ähnliche Verpflichtungen in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden enthält, an die Upstream durch diese Vereinbarung gebunden ist. Die in Anlage 3 zu diesem Vertrag genannten Unterauftragsverarbeiter gelten als vom Auftraggeber akzeptiert.

(2) Upstream ist verpflichtet, die Kontrollrechte des Kunden gegenüber dem Unterauftragsverarbeiter vertraglich zu sichern. Upstream ist auf Verlangen des Kunden verpflichtet, den Kunden über den für die Ausübung der Kontrollrechte relevanten Vertragsinhalt und über die Umsetzung seiner datenschutzrelevanten Verpflichtungen durch den Unterauftragnehmer zu informieren.

(3) In Bezug auf die Tätigkeiten des Unterauftragsverarbeiters stellt Upstream sicher, dass die Datenschutzbestimmungen für Datenverarbeitungsdienste sowie die Verpflichtungen von Upstream aus dieser Vereinbarung auch im Unterauftragsverhältnis eingehalten werden. Der Upstream überprüft die Einhaltung der Verpflichtungen durch den Unterauftragsverarbeiter durch entsprechende Kontrollen und setzt sie im Falle von Verstößen durch. Die Weitergabe der Daten an den Unterauftragsverarbeiter darf erst erfolgen, wenn die Einhaltung der Anforderungen an die Datensicherheit vom Unterauftragsverarbeiter dokumentiert wurde.

9 HAFTUNG

(1) Upstream und Kunde haften gesamtschuldnerisch für alle Schäden, die sich aus der Verarbeitung von Daten ergeben, die nicht den Bestimmungen des GDPR und/oder BDSG gegenüber einer betroffenen Person entsprechen.

(2) In Bezug auf den Kunden haftet Upstream nur dann für Schäden im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen dieses Vertrags, wenn diese Schäden auf (i) einer Verletzung einer Verpflichtung beruhen, die Upstream als Datenverarbeiter gemäß den anwendbaren Bestimmungen des GDPR oder BDSG übertragen wurde, (ii) Upstream gegen eine entsprechende (gesetzliche) Anordnung des Kunden handelt und/oder (iii) Upstream eine solche (gesetzliche) Anordnung des Kunden unterlässt, wobei die Beschränkungen und Bestimmungen des Dienstleistungsvertrags gelten.

(3) Für jede andere Haftung aufgrund anderer gesetzlicher Bestimmungen als des GDPR oder BDSG gelten die Bestimmungen des Dienstleistungsvertrages.

10 ALLGEMEINES

(1) Anlage 1 zu dieser Vereinbarung beschreibt die Verarbeitung der im Zusammenhang mit der Dienstleistungsvereinbarung zulässigen personenbezogenen Daten des Kunden; Anlage 2 listet die Unterauftragsverarbeiter (falls vorhanden) auf, denen der Kunde zustimmt, die personenbezogenen Daten des Kunden zu verarbeiten; Anlage 3 enthält die vereinbarten Unterauftragsverarbeiter; Anlage 4 enthält die von Upstream getroffenen technischen und organisatorischen Maßnahmen. Alle Anhänge sind integrierte Bestandteile dieser Vereinbarung.

(2) Die Unwirksamkeit einer Bestimmung dieser Vereinbarung berührt nicht die Gültigkeit der übrigen Bestimmungen. Erweist sich eine Bestimmung als ungültig, so ersetzen die Parteien sie durch eine neue Bestimmung, die den Absichten der Parteien so nahe wie möglich kommt.

(3) Änderungen oder Ergänzungen dieser Vereinbarung müssen in der gleichen Form vorgenommen werden, in der diese Vereinbarung vereinbart wurde. Dies gilt auch für den Verzicht auf diese Formklausel selbst.

(4) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist Berlin, es sei denn, es besteht ein einziger gesetzlicher Gerichtsstand.

(5) Der Vertrag unterliegt deutschem Recht unter Ausschluss der Kollisionsnormen oder des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf.

(6) Im Falle von Unstimmigkeiten zwischen den Bestimmungen des Dienstleistungsvertrags und dieses Vertrags haben die Bestimmungen dieses Vertrags Vorrang.

Anhang 1

Personenbezogene Daten und der Zweck ihrer Verarbeitung durch Upstream im Auftrag des Kunden:

In der Liste sind Umfang, Art und Zweck der geplanten Erhebung, Verarbeitung und Nutzung von Daten, die Art der Daten und der Kreis der betroffenen Personen anzugeben.

Datenkategorien:

Vor- und Nachnamen

E-Mail-Adressen

Telefonnummern

Fotos

Informationen zum Benutzerkonto

Zahlungsmittel

Buchungsinformationen

Geräte-IDs

IP-Adressen

Rechnungsadresse

Datenkategorien aufgrund von Funktionen/Feldern, die vom Kunden oder von Upstream auf Anfrage hinzugefügt wurden.

Zweck(e) der Erhebung, Verarbeitung oder Nutzung von Daten:

Erfüllung der Verpflichtungen und Leistungen aus den Allgemeinen Geschäftsbedingungen

Qualitätssicherung für den Kunden

Kategorien von Personen, auf die sich die Daten beziehen:

Mitarbeiter des Kunden und

Praktikanten, Freiberufler,

Kunden des Kunden und deren Vertreter,

Datensubjekte aufgrund von Funktionen/Feldern, die vom Kunden oder von Upstream auf entsprechende Anfrage hinzugefügt wurden.

Vorgelagert wird wie folgt angewiesen:

- Der Kunde weist Upstream hiermit an, die oben genannten personenbezogenen Daten für die oben genannten Zwecke zu verarbeiten. Änderungen können durch weitere Anweisungen erfolgen.

Anhang 2

Personen, die berechtigt sind, Anweisungen zu erteilen:

Personen, die berechtigt sind, im Namen des Kunden Anweisungen zu erteilen:

Kontakt beim Kunden:

Person und Kontaktdaten mit dem Namen "Eigentümer" im Konto des Kunden.

Ein zusätzlicher Kontakt wird vom Kunden per E-Mail an die untenstehenden Kontaktdaten benannt.

Person, die berechtigt ist, Anweisungen im Namen von Upstream zu erhalten:

Kontakt bei Upstream:

E-Mail: dataprocessing@cobot.me

Anlage 3: Liste der Subunternehmer / Einzelne Leistungen

Subunternehmer: Beschreibung der einzelnen Leistungen:

Amazon Web Services, Inc.

Postfach 81226

Seattle, WA 98108-1226 Cloud-Infrastruktur und -Speicher

salesforce.com, inc.

Das Wahrzeichen @ One Market Street,

San Francisco, CA 94105, USA Cloud Platform Service and Storage (Cloud-Plattform-Service und -Speicherung)

Wildbit LLC

225 Chestnut Street, Philadelphia, PA, 19106

Transaktionaler E-Mail-Service

Google LLC

1600 Amphitheater Parkway

Bergblick, CA 94043

USA Verwalten/Synchronisieren von Buchungen - Google Kalender Integration

IronWifi LLC

3071 N Orangenblütenweg

Ste C Orlando, FL 32804

USA Monitor und Bill Service Usage über das lokale Netzwerk im Weltraum. Zugriffsmanagement

Zapier, Inc.

548 Markt St. #6241111

San Francisco, CA 94104-5401

USA Event Message Infrastructure bietet die Möglichkeit, Cobot mit anderen Anwendungen zu integrieren, um Geschäftsprozesse zu automatisieren.

Slack Technologies, Inc...,

155 5. Straße, 6. Stockwerk

San Francisco, CA 94103

Slack Technologies Limited

5. Stock, Marine House, Clanwilliam Court Dublin 2

Kommunikationsplattform des Ireland Teams, die von Räumen genutzt werden kann, um die interne Kommunikation zu erleichtern.

Intercom Inc,

55 2nd St, 4th Fl.

San Francisco, CA, 94105,

USA

Intercom F&E Unbegrenzte Gesellschaft

2. Stock, Stephen Court, 18-21 St. Stephen's grün

Dublin 2

Irland Kundensupport-Plattform, die wir nutzen, um Ihnen über einen Online-Chat oder eine E-Mail Unterstützung zu bieten.

Anhang 4:

Anforderungen an die Datensicherheit

Gegenstand und Umfang von Anhang 4:

GDPR und BDSG erfordern individuelle Anforderungen an die Datensicherheit, die durch geeignete technische und organisatorische Maßnahmen umgesetzt werden müssen. Nur eine Gesamtübersicht und Bewertung aller getroffenen Maßnahmen lässt den Schluss zu, dass das gesetzlich vorgeschriebene angemessene Maß an Datensicherheit gewährleistet werden kann. Werden personenbezogene Daten von einem Dienstleister verarbeitet, ist Upstream gemäß §§ 32 GDPR und 64 BDSG verpflichtet, die technischen und organisatorischen Maßnahmen zur Datensicherheit festzulegen.

Organisatorische Bereitstellung bei der Verarbeitung:

Upstream unterhält ein System zur regelmäßigen Überprüfung, Bewertung und Bewertung der Wirksamkeit der in diesem Anhang 4 beschriebenen Sicherheit der Verarbeitung. Upstream wird dem Kunden auf Anfrage ein solches Bewertungssystem nachweisen.

Technische Vorschriften für die Verarbeitung:

1. Zugangskontrolle (Physical Access Control)

Unbefugter Zugang (im physischen Sinne) zu Systemen und Einrichtungen ist zu verhindern.

Upstream verfügt über technische und organisatorische Maßnahmen zur Zugangskontrolle zu Gebäuden und Einrichtungen, insbesondere zur Berechtigungsprüfung. Das sind:

Schließsystem mit Codeschloss

Manuelles Verriegelungssystem

chip/transponderbasiertes schliesssystem

Sicherheitsschlösser

Schlüsselmanagement (Schlüsselausgabe)

sorgfältige Auswahl des Sicherheitspersonals

Identitätsprüfung am Eingang (Gatekeeper)

Die Besucher werden von autorisierten Mitarbeitern begleitet, überall auf dem Gelände.

sorgfältige Auswahl des Reinigungspersonals

2. Datenträgerkontrolle (Datenträgerkontrolle)

Das unbefugte Lesen, Kopieren, Ändern oder Löschen von Datenträgern ist zu verhindern.

Authentifizierung mit Benutzername / Passwort

Verwendung von Antivirensoftware

Einsatz von Firewalls mit VPN-Technologie

Einsatz von Intrusion-Detection-Systemen

Gehäuseverriegelung

Verbieten Sie die Verwendung externer Schnittstellen wie z.B. USB-Systeme.

Verschlüsselung von Datenträgern in Laptops / Notebooks

Definition von Benutzerprofilen

Zuordnung von Benutzerprofilen zu IT-Systemen

Benutzerrechte zuweisen

Sofortige Sperrung der Berechtigung bei Austritt von Mitarbeitern aus dem Unternehmen

Periodische Überwachung der Gültigkeit von Berechtigungen (einmal pro Jahr)

Sicherung von Bildschirmarbeitsplätzen während der Abwesenheit und des laufenden Systems

3. Speicherkontrolle (Speicherkontrolle)

Die unbefugte Eingabe personenbezogener Daten sowie der unbefugte Zugriff, die Änderung oder Löschung gespeicherter personenbezogener Daten wird verhindert.

Authentifizierung mit Benutzername / Passwort

Verwendung von Antivirensoftware

Einsatz von Firewalls mit VPN-Technologie

Einsatz einer zentralen Smartphone-Administrationssoftware (z.B. für die externe Löschung von Daten)

Einsatz von Intrusion-Detection-Systemen

Gehäuseverriegelung

Verbieten Sie die Verwendung externer Schnittstellen wie z.B. USB-Systeme.

Verschlüsselung von Datenträgern in Laptops / Notebooks

Definition von Benutzerprofilen

Zuordnung von Benutzerprofilen zu IT-Systemen

Benutzerrechte zuweisen

Sofortige Sperrung der Berechtigung bei Austritt von Mitarbeitern aus dem Unternehmen

Periodische Überwachung der Gültigkeit von Berechtigungen (einmal pro Jahr)

Sicherung von Bildschirmarbeitsplätzen während der Abwesenheit und des laufenden Systems

Upstream verfügt über eine bedarfsgerechte Definition des Berechtigungssystems und der Zugriffsrechte sowie über die Überwachung und Protokollierung der Zugriffe. Das sind:

Einsatz von Aktenvernichtern oder geeigneten Dienstleistern

Protokollierung des Zugriffs auf Anwendungen, insbesondere wenn die Eingabe, Änderung oder Löschung von Daten erfolgt.

Anzahl der Benutzer mit Administratorrechten auf das Minimum reduziert

Differenzierte Berechtigungen zum Lesen, Bearbeiten oder Löschen von Daten

Sichere Speicherung von Datenträgern

Authentifizierungsverfahren (inkl. Sonderzeichen, Mindestlänge, Multifaktor)

Vergabe von Rechten durch den Systemadministrator

4. Benutzerkontrolle (Benutzerkontrolle)

Die unbefugte Nutzung automatisierter Verarbeitungssysteme mit Unterstützung von Implementierungen zur Datenübertragung ist zu verhindern.

Upstream verfügt über technische (ID/Passwortsicherheit) und organisatorische (Benutzerstammdaten) Maßnahmen zur Benutzeridentifikation und -authentifizierung. Das sind:

Authentifizierung mit Benutzername / Passwort (und nach Möglichkeit zweitem Faktor)

Verwendung von Antivirensoftware

Einsatz von Firewalls mit VPN-Technologie

Einsatz von Intrusion-Detection-Systemen

Gehäuseverriegelung

Verbieten Sie die Verwendung externer Schnittstellen wie z.B. USB-Systeme.

Verschlüsselung von Datenträgern in Laptops / Notebooks

Definition von Benutzerprofilen

Zuordnung von Benutzerprofilen zu IT-Systemen

Benutzerrechte zuweisen

Sofortige Sperrung der Berechtigung bei Austritt von Mitarbeitern aus dem Unternehmen

Periodische Überwachung der Gültigkeit von Berechtigungen

Sicherung von Bildschirmarbeitsplätzen während der Abwesenheit und des laufenden Systems

5. Zugriffskontrolle (Zugriffskontrolle)

Unbefugter Zugriff auf IT-Systeme ist zu verhindern, d.h. sicherzustellen, dass nur Personen mit entsprechender Berechtigung gemäß dieser Berechtigung auf personenbezogene Daten zugreifen können.

Upstream verfügt über technische (ID/Passwortsicherheit) und organisatorische (Benutzerstammdaten) Maßnahmen zur Benutzeridentifikation und -authentifizierung. Das sind:

Authentifizierung mit Benutzername / Passwort

Verwendung von Antivirensoftware

Einsatz von Firewalls mit VPN-Technologie

Einsatz von Intrusion-Detection-Systemen

Gehäuseverriegelung

Verbieten Sie die Verwendung externer Schnittstellen wie z.B. USB-Systeme.

Verschlüsselung von Datenträgern in Laptops / Notebooks

Definition von Benutzerprofilen

Zuordnung von Benutzerprofilen zu IT-Systemen

Benutzerrechte zuweisen

Sofortige Sperrung der Berechtigung bei Austritt von Mitarbeitern aus dem Unternehmen

Periodische Überwachung der Gültigkeit von Berechtigungen

Sicherung von Bildschirmarbeitsplätzen während der Abwesenheit und des laufenden Systems

6. Transferkontrolle (Übertragungskontrolle)

Sicherstellen, dass überprüft und aufgezeichnet wird, wie und wo personenbezogene Daten übertragen oder anderweitig von Daten und IT-Systemen abgerufen werden.

Upstream hat Maßnahmen zum Transport, zur Übertragung und Kommunikation oder zur Speicherung von Daten auf Datenträgern (manuell oder elektronisch) und zur späteren Überprüfung. Das sind:

Transportverschlüsselung (HTTPS)

VPN-Tunneling (VPN = Virtual Private Network)

Offenlegung von anonymisierten oder pseudonymisierten Datensätzen

Dokumentation der Datenempfänger und der Zeiträume der Übermittlung bzw. der vereinbarten Löschfrist

Anwendung von Konzernrichtlinien

7. Eingabekontrolle (Eingabekontrolle)

Die vollständige Dokumentation der Datenverwaltung und -pflege muss gepflegt werden.

Im Vorfeld gibt es Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, geändert oder entfernt (gelöscht) wurden. Das sind:

Keine lokalen Admin-Rechte (außer Entwicklungspersonal)

Transparenz der Dateneingabe, -änderung und -löschung durch individuelle Verwendung von Benutzernamen (keine Benutzergruppen)

Zugriffsrichtlinien und Autorisierungsmechanismus zur Eingabe, Änderung und Löschung von Daten innerhalb eines Berechtigungskonzepts

Antragsüberwachung und Datenverarbeitung

8. Transportsteuerung (Transportkontrolle)

Aspekte des Transports von Datenträgern und der Offenlegung personenbezogener Daten müssen kontrolliert werden: elektronische Übermittlung, Datentransport, Übertragungskontrolle usw.

Upstream hat Maßnahmen zum Transport, zur Übertragung und Kommunikation oder zur Speicherung von Daten auf Datenträgern (manuell oder elektronisch) und zur späteren Überprüfung. Das sind:

Transportverschlüsselung (HTTPS)

VPN-Tunneling (VPN = Virtual Private Network)

Anwendung von Konzernrichtlinien

9. Datenwiederherstellungskontrolle (Wiederherstellbarkeit)

Stellen Sie sicher, dass gebrauchte Systeme im Falle einer Störung wiederhergestellt werden können.

Automatisierte Wiederherstellungsprotokolle

Ferndatensicherung an sicheren, ausgelagerten Standorten

Heißer Nachbau

Mehrversions-Backups

10. Zuverlässigkeitskontrolle (Zuverlässigkeit)

Sicherstellen, dass alle Funktionen des IT-Systems zur Verfügung stehen und Störungen oder Fehler gemeldet werden.

Benachrichtigungs- und Antwortprotokolle

Anwendungsüberwachung und Warnmeldungen

Infrastrukturüberwachung und Warnmeldungen

11. Datenintegrität (Datenintegrität)

Sicherstellen, dass die gespeicherten personenbezogenen Daten nicht durch Fehlfunktionen des Systems beschädigt werden können.

Unterbrechungsfreie Stromversorgung (USV)

Infrastrukturüberwachung / Redundante Hardware

Ferndatensicherung an sicheren, ausgelagerten Standorten

Ein Notfallplan und Ansprechpartner

Ein Disaster-Recovery-Plan

Tests zur Datenrettung (Fähigkeit zur Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten)

Prüfung, Bewertung und Bewertung der Wirksamkeit von technischen und organisatorischen Maßnahmen

12. Auftragskontrolle (Auftragskontrolle)

Die Auftragsdatenverarbeitung ist nach den Anweisungen durchzuführen.

Upstream hat Maßnahmen (technisch/organisatorisch), um die Verantwortlichkeiten zwischen dem Auftraggeber (zuständige Datenbehörde) und dem Verarbeiter zu trennen. Das sind:

Kriterien für die Auswahl des Auftragnehmers (insbesondere im Hinblick auf die Datensicherheit)

Vorabüberprüfung der Unterlagen über die Sicherheitsmaßnahmen des Verarbeiters

Verpflichtung der Mitarbeiter des Verarbeiters zum Datengeheimnis

Der Verarbeiter hat einen Datenschutzbeauftragten ernannt.

Verträge zwischen Verarbeiter und Auftraggeber unter Einhaltung der Bestimmungen des GDPR und BDSG

13. Verfügbarkeitskontrolle (Verfügbarkeitskontrolle)

Die Daten sind vor unbeabsichtigter Zerstörung oder Verlust zu schützen.

Upstream hat Maßnahmen zur Gewährleistung der Datensicherheit (physikalisch/logisch). Das sind:

Feuerlöscher in Serverräumen

Installation von Brand- und Rauchmeldeanlagen

Unterbrechungsfreie Stromversorgung (USV)

Spiegelung von Festplatten, z.B. RAID-Technologie

Klimatisierung von Serverräumen

Überwachung von Temperatur und Luftfeuchtigkeit in Serverräumen

Steckdosenleiste mit Überspannungsschutz in Serverräumen

Alarm bei unbefugtem Betreten des Serverraums

Ferndatensicherung an sicheren, ausgelagerten Standorten

Ein Notfallplan und Ansprechpartner

Ein Disaster-Recovery-Plan

Tests zur Datenrettung (Fähigkeit zur Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten)

Prüfung, Bewertung und Bewertung der Wirksamkeit von technischen und organisatorischen Maßnahmen

14. Isolationskontrolle (Trennbarkeit)

Personenbezogene Daten, die für unterschiedliche Zwecke erhoben wurden, werden gesondert verarbeitet.

Upstream hat Maßnahmen ergriffen, um eine getrennte Verarbeitung (Speicherung, Änderung, Löschung, Übermittlung) personenbezogener Daten für verschiedene Zwecke zu ermöglichen. Das sind:

Funktionstrennung (Produktion/Prüfung)

separate Datenbanken

physisch getrennte Speicherung auf Systemen und Datenträgern

Verschlüsselung von Daten, die aus dem gleichen Grund verwendet werden.

Entwicklung eines Berechtigungskonzeptes

Regelung der Zugriffsrechte auf Datenbanken

Logische Mandantentrennung

15. Datenschutzmanagement

Upstream hat Maßnahmen ergriffen, um ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu gewährleisten. Das sind:

Entwicklung eines Sicherheitskonzeptes

Audits des Datenschutzbeauftragten, IT-Revisionen

IT-Sicherheitstests

Automatisierte Schwachstellenüberwachung von Softwarekomponenten

2019 COWORKING-M1 | IMPRESSUM | DATENSCHUTZRICHTLINIE