Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO


zwischen
Begünstigten einer aktivitätsbasierten Sportförderung
(nachfolgend „Mitglied“ genannt)

und der

MySportsGmbH, Raboisen 6, Hamburg
(nachfolgend „MySports“ genannt)

Präambel

Das Mitglied ist Begünstigter einer aktivitätsbasierten Sportförderung und hat sich für den entsprechenden Dienst von MySports registriert. Die im Zuge dieses Dienstes seitens MySports zu erbringenden Leistungen bedingen, dass MySports mit personenbezogenen Daten des Mitglieds umgeht. Dieser Vertrag konkretisiert die für beide Parteien insoweit im Rahmen einer sogenannten Auftragsdatenverarbeitung gemäß Art. 28 EU-Datenschutz-Grundverordnung ( "DSGVO" ) geltenden datenschutzrechtlichen Rechte und Pflichten.

  1. 1.Gegenstand des Vertrags, Art der Daten, Kreis der Betroffenen

    1. 1.1MySports erbringt gegenüber dem Mitglied folgende Dienstleistungen:

      1. (i)Übermittlung von Vorname, Nachname, Geburtsdatum, E-Mail sowie dem Mitglied vom Sponsoring-Unternehmen zugewiesener Arbeitnehmernummer/Fördercode an das Sponsoring-Unternehmen über ein Webportal zur Verifizierung der Teilnahmeberechtigung des Mitglieds durch das Sponsoring-Unternehmen,

      2. (ii)Auslesen der für den Anspruch des Mitglieds auf Sportförderung relevanten Aktivitätsdaten im Nutzerkonto des Mitglieds sowie in vom Mitglied genutzten Apps, soweit diese an den Dienst von MySports angebunden sind,

      3. (iii)Erhebung der für den Anspruch des Mitglieds auf Sportförderung relevanten Aktivitätsdaten des Mitglieds bei solchen Sport- und Fitnesseinrichtungen, welche die Mitgliederverwaltungssoftware der Magicline GmbH nutzen,

      4. (iv)Verarbeitung der Aktivitätsdaten zur Ermittlung der Höhe des Anspruchs des Mitglieds auf aktivitätsbasierte Sportförderung,

      5. (v)Übermittlung des ermittelten Anspruchs des Mitglieds auf Sportförderung an das Sponsoring-Unternehmen, über ein Webportal,

      6. (vi)Hosting der relevanten Aktivitätsdaten sowie des ermittelten Anspruchs des Mitglieds auf Sportförderung für das Mitglied.

    2. 1.2MySports ist verpflichtet, sämtliche personenbezogenen Daten, auf welche MySports im Zuge der Erfüllung der nach diesem Vertrag geschuldeten Leistungen Zugriff erlangt, nach Vorgaben des Mitglieds streng räumlich getrennt von jedweden Daten von MySports sowie Daten Dritter zu verarbeiten.

    3. 1.3Von der Auftragsdatenverarbeitung sind folgende Daten des Mitglieds betroffen:

      1. (i)Vorname, Nachname, Adresse, Geburtsdatum, E-Mailadresse des Mitglieds und ggf. Arbeitnehmernummer, Mobiltelefonnummer,

      2. (ii)Daten über Art und Umfang der Nutzung relevanter Sport- und Fitnesseinrichtungen durch das Mitglied (Häufigkeit und Dauer der Nutzung),

      3. (iii)Daten über Art und Umfang von Outdoor-Aktivitäten des Mitglieds (Art, Dauer und Intensität der betreffenden Aktivitäten).

    4. 1.4Zweck der Verarbeitung der vorbezeichneten Daten ist die technische Unterstützung des Mitglieds bei der Ermittlung und Darlegung des Anspruchs des Mitglieds auf aktivitätsbasierte Sportförderung.

  2. 2.Weisungsbefugnis

    1. 2.1MySports verarbeitet Daten ausschließlich gemäß den Regelungen des mit dem Mitglied geschlossenen Vertrages sowie im Rahmen der vom Mitglied erteilten Weisungen. MySports verwendet die zur Datenverarbeitung überlassenen Daten nicht anderweitig und bewahrt sie nicht länger auf, als es das Mitglied bestimmt.

    2. 2.2Das Mitglied erteilt alle Weisungen gegenüber MySports in der Regel schriftlich oder per E-Mail. Mündlich erteilte Weisungen müssen unverzüglich schriftlich oder per E-Mail bestätigt werden.

  3. 3.Datenschutzbeauftragter von MySports, Verzeichnis der Verarbeitungstätigkeit

    1. 3.1Bei MySports ist als betrieblicher Datenschutzbeauftragter bestellt: Marc Althaus, DS Extern GmbH, Bredkamp 53a, 22589 Hamburg, https://www.dsextern.de/anfragen

    2. 3.2Der Datenschutzbeauftragte hat die Ausführungen der DSGVO sowie anderer Vorschriften über den Datenschutz im Hinblick auf das Auftragsverhältnis sicherzustellen. Hierzu führt der Datenschutzbeauftragte regelmäßige Kontrollen durch. Über die Kontrollen wird ein Protokoll angefertigt. Stellt der Datenschutzbeauftragte im Rahmen seiner Aufgaben Unregelmäßigkeiten bei der Datenverarbeitung fest, so informiert er unverzüglich die Geschäftsführung von MySports. Ein Wechsel des Datenschutzbeauftragten wird dem Mitglied unverzüglich mitgeteilt.

  4. 4.Vertraulichkeit

    1. 4.1MySports darf, soweit in diesem Vertrag (vgl. Ziffer 1.1.) nicht ausdrücklich anderweitig geregelt, ohne schriftliche Weisung des Mitglieds die überlassenen personenbezogenen Daten nicht an Dritte weitergeben.

    2. 4.2MySports muss alle im Rahmen des Auftrages überlassenen Unterlagen, Dokumente und andere Informationsträger absolut vertraulich behandeln. Dies gilt auch für alle weiteren Informationen, die MySports bei der Durchführung des Auftrages bekannt werden. Diese Verpflichtung gilt während und auch nach Beendigung des Vertrages.

    3. 4.3MySports verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Mitglieds Vertraulichkeit im Sinne von Art. 28 Abs. 3 b) DSGVO zu wahren. MySports sichert zu, dass sie bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet. MySports überwacht die Einhaltung der datenschutzrechtlichen Vorschriften im eigenen Unternehmen.

  5. 5.Berichtigung, Sperrung und Löschung von Daten

    In Bezug auf die Berichtigung, Sperrung und Löschung von personenbezogenen Daten des Mitglieds wird MySports nur auf Weisung des Mitglieds tätig.

  6. 6.Unterauftragsverhältnisse

    1. 6.1Zum Zeitpunkt des Abschlusses dieses Vertrages sind die in der Anlage 2 aufgeführten Unternehmen als Unterauftragnehmer für Teilleistungen für MySports tätig und verarbeiten und/oder nutzen in diesem Zusammenhang auch unmittelbar die Daten des Mitglieds. Für diese Unterauftragnehmer gilt die Einwilligung für das Tätigwerden als erteilt. Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff DSGVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

    2. 6.2MySports informiert das Mitglied über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von anderen als den in Anlage 2 genannten Unterauftragnehmern, wodurch das Mitglied die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Gleiches gilt, wenn MySports zur Erfüllung der vertraglich übernommenen Leistungspflichten sonstige dritte Unternehmen zur Leistungserfüllung heranzieht. Hierbei muss jeder neue Unterauftragnehmer vor Beauftragung dem Mitglied schriftlich angezeigt werden, sodass das Mitglied gegen die Beauftragung innerhalb von 2 Wochen nach Zugang der Anzeige Einspruch erheben kann.

    3. 6.3Verweigert das Mitglied durch seinen Einspruch die Zustimmung aus anderen als aus wichtigen Gründen, kann MySports den Vertrag mit dem Mitglied zum Zeitpunkt des geplanten Einsatzes des Unterauftragnehmers kündigen, ohne dass dem Mitglied gegen MySports in diesem Zusammenhang Schadensersatz- oder sonstige Zahlungsansprüche zustehen.

    4. 6.4MySports muss jeden Unterauftragnehmer unter besonderer Berücksichtigung der Eignung hinsichtlich der Erfüllung der zwischen dem Mitglied und MySports vereinbarten technischen und organisatorischen Maßnahmen gewissenhaft auswählen.

    5. 6.5Ist MySports im Sinne dieser Vereinbarung befugt, die Dienste eines Unterauftragnehmers in Anspruch zu nehmen, um bestimmte Verarbeitungstätigkeiten zur Erfüllung der gegenüber dem Mitglied bestehenden Leistungspflichten auszuführen, so werden diesem Unterauftragnehmer im Wege eines Vertrags dieselben Pflichten auferlegt, die in diesem Vertrag zwischen dem Mitglied und MySports festgelegt sind. Dies gilt insbesondere hinsichtlich der Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit sowie den in diesem Vertrag beschriebenen Kontroll- und Überprüfungsrechten des Mitglieds. Hierbei müssen ferner hinreichend Garantien dafür geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt.

    6. 6.6Durch schriftliche Aufforderung ist das Mitglied berechtigt, von MySports Auskunft über die datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen. Unter den in § 8 dieses Vertrages geregelten Voraussetzungen müssen Vor-Ort Kontrollen des Mitglieds beim Unterauftragnehmer möglich sein.

    7. 6.7Ein zustimmungspflichtiges Unterauftragsverhältnis liegt nicht vor, wenn MySports Dritte im Rahmen einer Nebenleistung zur Hauptleistung beauftragt, wie beispielsweise bei Personal-, Post- und Versanddienstleistungen. MySports ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Mitglieds auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen. Die Nebenleistungen sind vorab detailliert zu benennen.

  7. 7.Hinweispflicht von MySports

    1. 7.1Ist MySports der Ansicht, dass eine Weisung gegen das DSGVO oder andere Vorschriften über den Datenschutz verstößt, weist MySports das Mitglied unverzüglich darauf hin.

    2. 7.2Die Pflichten von MySports bei Störungen, Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung ergeben sich aus den gesetzlichen Datenschutzbestimmungen, insbesondere Art 33 DSGVO.

  8. 8.Kontrolle durch das Mitglied sowie Mitwirkungs- und Duldungspflichten

    1. 8.1Das Mitglied ist berechtigt, durch einen zur Geheimhaltung verpflichteten Bevollmächtigten, vor Beginn der Dienstleistung sowie regelmäßig während der Dauer der Dienstleistung in angemessenen Abständen die Einhaltung der technischen und organisatorischen Maßnahmen zum Datenschutz und die Datenverarbeitung von MySports und deren Unterauftragnehmern zu überprüfen.

    2. 8.2Anstatt einer Vor-Ort-Kontrolle darf MySports den Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen auch durch die Vorlage eines geeigneten aktuellen Prüfberichts von unabhängigen Personen (z. B. Wirtschaftsprüfer, Datenschutzbeauftragter oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z. B. nach BSI-Grundschutz – („Prüfungsbericht“) erbringen. Der Prüfungsbericht muss es dem Mitglied in angemessener Weise ermöglichen, sich von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen.

  9. 9.Festlegung der technischen und organisatorischen Maßnahmen

    1. 9.1MySports trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko für die Rechte und Freiheiten der Betroffenen angemessenes Schutzniveau zu gewährleisten. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Die konkreten, von MySports ergriffenen technischen und organisatorischen Maßnahmen werden in Anlage 1 aufgelistet.

    2. 9.2Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, darf MySports andere und gleichwertige Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 1 festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen der Maßnahmen müssen von MySports dokumentiert und dem Mitglied auf Anforderung zur Verfügung gestellt werden.

  10. 10.Laufzeit dieses Vertrages

    1. 10.1Dieser Vertrag beginnt mit seinem Abschluss und wird für die Dauer der Teilnahme des Mitglieds am Dienst von MySports zur aktivitätsbasierten Sportförderung abgeschlossen (auflösende Befristung).

    2. 10.2Die fristlosen Kündigungsrechte der Parteien bleiben hiervon unberührt. Das Mitglied ist berechtigt, diesen Vertrag fristlos zu kündigen, wenn ein schwerwiegender Verstoß von MySports gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, MySports eine Weisung des Mitglieds nicht ausführen kann oder will oder die Wahrnehmung von Kontrollrechten durch das Mitglied vertragswidrig verweigert.

    3. 10.3Jede Partei ist berechtigt, diesen Vertrag ohne Einhaltung einer Kündigungsfrist zu kündigen, wenn die Durchführung der Dienste von MySports zur aktivitätsbasierten Sportförderung und/oder die Durchführung dieses Vertrages von einer hierfür zuständigen Aufsichtsbehörde (insbesondere der zuständigen Datenschutzbehörde) beanstandet wird und eine von dieser Behörde zur Abstellung festgestellter Mängel gesetzte Frist erfolglos verstreicht oder von der hierfür zuständigen Behörde die weitere Durchführung der Dienste von MySports zur aktivitätsbasierten Sportförderung und/oder dieses Vertrages untersagt wird.

    4. 10.4Jede Kündigung bedarf der Schriftform.

  11. 11.Regelungen zur Berichtigung, Löschung und Sperrung von Daten

    1. 11.1MySports hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder zu sperren, wenn das Mitglied dies mittels einer Weisung verlangt und berechtigte Interessen von MySports dem nicht entgegenstehen.

    2. 11.2Bei Beendigung dieses Vertrags oder früher, nach Aufforderung durch das Mitglied, muss MySports sämtliche Unterlagen und Daten, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Mitglied aushändigen oder nach vorheriger Zustimmung datenschutzgerecht vernichten.

    3. 11.3Dokumentationen, die für MySports als Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, dürfen durch MySports entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden.

  12. 12.Sonstiges

    1. 12.1Mündliche Nebenabreden sind nicht getroffen. Änderungen und Ergänzungen dieses Vertrages bedürfen der in § 28 Abs. 9 DSGVO geregelten Form. Dies gilt auch für eine Änderung des Formerfordernisses selbst.

    2. 12.2Sollte eine Bestimmung des Vertrages unwirksam sein oder werden, so verpflichten sich die Parteien, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Willen der Parteien möglichst nahekommt. Das Gleiche gilt im Falle einer Regelungslücke.

    3. 12.3Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist – soweit rechtlich zulässig – Hamburg. Die Parteien vereinbaren die Anwendbarkeit des deutschen Rechts.

Anlage 1: Technisch organisatorische Maßnahmen

Maßnahmen zur Gewährung von Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  1. 1.Zutrittskontrolle

    Ziel der Zutrittskontrolle ist es, Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden. Alle Geschäftsräume befinden sich in einem räumlich abgeschlossenen Bereich im 1. OG. Der Eingang zum Büro ist mit einem Schließsystem und Sicherheitsschlüssel sowie über Transponderkarten gesichert. Die Eingangstür ist permanent verschlossen. Die Zutrittsberechtigungen sind beschränkt. Über die an die Mitarbeiter ausgegebenen Schlüssel und Transponderkarten können nur bestimmte Türen geöffnet werden.

    Die Schlüssel- und Transpondervergabe wird protokolliert. Der Serverraum verfügt über ein zusätzliches Schloss. Zutritt zu diesem Raum haben nur die Personen der Leitungsebene und der Systemadministration. Andere Mitarbeiter haben keinen Zutritt. Alle Mitarbeiter sind angewiesen, die Laptops in personalisierten Schränken zu verschließen. Ein Zutritt für Wartungspersonal findet immer nur unter Aufsicht statt. Akten und Datenträger mit personenbezogenen Daten werden verschlossen aufbewahrt, wenn die entsprechenden Räume nicht besetzt sind.

  2. 2.Zugangskontrolle

    Ziel der Zugangskontrolle ist es, mit Hilfe geeigneter Maßnahmen zu verhindern, dass Unbefugte Datenverarbeitungssysteme, mit denen personenbezogene Daten verarbeitet oder genutzt werden, nutzen können.

    Der Schutz der Serversysteme vor unberechtigtem Zugang wird durch redundant ausgelegte Firewalls (basierend auf Packet-Filter) und Load-balancer bewerkstelligt. Es wurden restriktive Firewall-Regeln implementiert. Ein automatisiertes Patch-Management ist aktiv.

    Weitere Maßnahmen zur Zugangskontrolle sind Intrusion-Detection-Systeme (Snort, Fail2Ban, Rootkit-Detection). Alle Systeme sind mit einem Passwortschutz versehen. Eine Passwortrichtlinie wurde erstellt und in allen Systemen implementiert. Alle Mitarbeiter sind angehalten, den unbefugten Zugang zu IT-Systemen durch geeignete Mittel wie u. a. Sperrung des Bildschirms und Verschlüsselung von Daten zu verhindern. Sämtliche Administrationstätigkeiten auf den externen Servern erfolgen über verschlüsselte Verbindungen. Externe Verbindungen zum Unternehmensnetzwerk werden über verschlüsselte VPN-Verbindungen hergestellt. Eine Firewall ist eingerichtet und wird von der IT-Abteilung administriert. Ungenutzte Netzwerkanschlüsse sind deaktiviert.

    Bei den durch Serviceplattformen angebotenen Diensten von MySports sind alle webbasierten Zugänge SSL/TLS-verschlüsselt.

  3. 3.Zugriffskontrolle

    Ziel der Zugriffskontrolle ist es, zu gewährleisten, dass nur die zur Benutzung der Datenverarbeitungssysteme Berechtigten und ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

    Ein Zugriffsberechtigungskonzept wurde erstellt und implementiert. Mitarbeiter haben nur Zugriff auf die Daten, die sie zur Erfüllung ihrer Aufgaben benötigen. Die Zugriffsberechtigungen werden dokumentiert und technisch durch die Nutzung eines Verzeichnisdienstes implementiert.

    Unberechtigte Zugriffe auf Daten werden zudem durch folgende Maßnahmen verhindert:

    • Einsatz einer Sicherheitssoftware gegen Viren, Trojaner und andere Schadsoftware

    • restriktive Vergabe von Zugriffsberechtigungen für Systemdateien

    • datenschutzkonformes Datenträger- und Aktenvernichtungskonzept

    Berechtigungsstufen werden ausschließlich analog zu den Aufgaben vergeben, mit denen der Mitarbeiter betraut ist. Der Systemzugriff auf die Server ist neben zentralen Firewallregeln mit personalisiertem Private-Key-Verfahren geschützt.

  4. 4.Trennungsgebot

    Ziel des Trennungsgebots ist es, zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Zweckbindung).

    Generell werden Daten, die zu unterschiedlichen Zwecken erhoben wurden, entsprechend gekennzeichnet und getrennt gespeichert.

    Kundendaten werden logisch getrennt in mandantenfähiger Form in den Datenbanken der MySports Software verarbeitet und gespeichert.

  5. 5.Pseudonymisierung

    Ziel der Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen.

    Alle Daten, die zu Wartungs- und Testzwecken durch Mitarbeiter der MySports verarbeitet werden, werden ausschließlich pseudonymisiert oder anonymisiert verarbeitet.

Maßnahmen zur Gewährung von Integrität (Art. 32 Abs. 1 lit b DSGVO)

  1. 1.Weitergabekontrolle

    Ziel der Weitergabekontrolle ist es, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

    Maßnahmen der Weitergabekontrolle:
    Die Mitarbeiter sind angewiesen, personenbezogene Daten und andere sensible Daten auf elektronischem Wege nur verschlüsselt zu übertragen. Daten in Papierform oder als Datenträger werden blickdicht verschlossen durch Kuriere transportiert. Die Aushändigung und der Empfang der Daten werden dokumentiert.

  2. 2.Eingabekontrolle

    Ziel der Eingabekontrolle ist es, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten in die Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

    Maßnahmen der Eingabekontrolle:
    Veränderungen von personenbezogenen Daten und Daten der Kunden werden protokolliert. Die Mitarbeiter werden regelmäßig zum ordnungsgemäßen Einsatz der Programme geschult, um Eingabefehler zu vermeiden.

Maßnahmen zur Gewährleistung von Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  1. 1.Verfügbarkeitskontrolle

    Ziel der Verfügbarkeitskontrolle ist es, zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

    Maßnahmen der Verfügbarkeitskontrolle:
    Beide Rechenzentren verfügen über ausreichend dimensionierte Klimatisierung und Stromversorgung (einschließlich Schutz vor Stromausfall durch USV und Notstromaggregate).

    Brandschutz und Brandbekämpfung
    RZ1

    • Überwiegender Einsatz von nichtbrennbaren, halogenfreien Materialien mit niedriger Rauchentwicklung

    • Strikte Trennung von Lager- und Colocationflächen

    • Einteilung des Gebäudes in unabhängige versiegelte Brandabschnitte

    • „Very Intelligent Early Warning (V.I.E.W.)“-Brandfrühwarnsystem

    • Entrauchungssystem bei Feueralarm

    • Doppelt verriegelte Trockenrohr-Sprinkleranlage


    RZ2

    • Brandfrüherkennungssystem

    • Inergen-Löschgasanlage

    • Strikte Trennung von Lager- und Colocationflächen

    • Einteilung des Gebäudes in unabhängige versiegelte Brandabschnitte


    Die Verfügbarkeit der auf den Servern gespeicherten Kundendaten wird durch die folgenden Maßnahmen sichergestellt:

    • Segmentierung der Netzwerke und strikte Trennung der unterschiedlichen Datenströme (IP-Management-, Backup-LAN usw.)

    • tägliches Backup der eigenen Systeme

    • Einsatz von Firewalls an relevanten Netzwerkpunkten

    • Netzwerküberwachung durch hauseigenes NOC („Network Operation Center“)

    • ausschließliche Verwendung von Markenkomponenten

    Die Verfügbarkeit der externen Netzwerkanbindung wird durch eine Carrier- neutrale und redundante IP-Anbindung der Rechenzentren, redundante Glasfaserzuführung durch unterschiedliche Lieferanten der physikalischen Zugangsleitungen und BGP-Sessions zu Artfiles, Telia und Level3 bewerkstelligt.

    Auf Seiten der MySports sind weiterhin Sicherungsmaßnahmen wie Virenschutz und eine Firewall vorhanden. Beide werden regelmäßig aktualisiert. Eine Vertretungsregelung stellt die Verfügbarkeit in Abwesenheitsfällen sicher.

Rasche Wiederherstellbarkeit (Artikel 32 Abs. 1 lit. c DSGVO)

Es existiert ein regelmäßig laufender Prozess, der die Wiederherstellbarkeit der gesicherten Daten überprüft. Bei nicht erfolgreicher Wiederherstellbarkeit wird eine Benachrichtigung ausgelöst, die zeitnah abgearbeitet wird, um die Wiederherstellbarkeit wieder garantieren zu können.

Die Wiederherstellbarkeit von gesicherten Daten ist in den meisten Fällen innerhalb von 12 Stunden möglich. In besonderen Konstellationen kann die Wiederherstellung der Daten bis zu 24 Stunden dauern.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Artikel 32 Abs. 1 lit. d DSGVO; Artikel 25 Abs. 1 DSGVO)

  1. 1.Managementverfahren, datenschutzfreundliche Voreinstellungen

    MySports hat zusammen mit dem Datenschutzbeauftragten ein internes Datenschutz- Management-System installiert, in dem die Datenverarbeitungen und deren entsprechende Informationen dokumentiert werden. Mit Marc Althaus wurde ein externer Datenschutzbeauftragter bestellt und in die Prozesse mit eingebunden.

  2. 2.Auftragskontrolle

    Ziel der Auftragskontrolle ist es, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Studios und der Vorgaben des Art. 28 DSGVO verarbeitet werden.

    Maßnahmen der Auftragskontrolle:
    Bei der Vergabe von Aufträgen, die die Verarbeitung von personenbezogenen Daten beinhalten, werden die Anforderungen des Art. 28 DSGVO überwacht. Dies erfolgt u. a. durch die Schulung der Mitarbeiter, die Aufträge vergeben, die Erstellung eines Mustervertrages und die Prüfung aller Verträge vor Vergabe durch den Datenschutzbeauftragten. Sämtliche Aufträge werden schriftlich erteilt. Der Datenschutzbeauftragte begleitet den gesamten Prozess und unterstützt die Fachabteilung bei der Kontrolle des Auftragnehmers. Bei der Erfüllung von Aufträgen gemäß Art. 28 DSGVO als Auftragnehmer wird die Kontrolle der vertraglich zugesicherten datenschutzrechtlichen Rahmenbedingungen durch den Datenschutzbeauftragten überwacht.

Anlage 2: Zugelassene Subunternehmen gem. Ziffer 6

Name Anschrift Auftragsinhalt
Amazon Web Services, Inc. 410 Terry Avenue North Seattle, WA 98109-5210
USA		 Hosting der Cloud-Infrastruktur
Google LLC Amphitheatre Parkway Mountain View, CA 94043
USA		 Übermittlung von Adressdaten zur Ermittlung von Geo-Daten

Speicherung von E-Mails und Dokumenten
CloudAMQP 84codes AB
Sveavägen 98
113 50 Stockholm
Schweden		 Hosting der Cloud-Infrastruktur