Anhang der allgemeinen Geschäfts- und Nutzungsbedingungen

Kategorien betroffener Personen

Kunden, Mitarbeiter von Kunden, Lieferanten von Kunden, Geschäftspartner von Kunden

Kategorien personenbezogener Daten

Nutzerdaten, Grundstücksdaten, GPS-Standortdaten

Verarbeitete sensible Daten und angewandte Beschränkungen oder Garantien

Nicht anwendbar.

Art der Verarbeitung

Automatisierte Verarbeitung.

Verarbeitungszweck(e)

Bereitstellung und Betrieb der Plattform.

Dauer der Verarbeitung

Diese Auftragsverarbeitervereinbarung besteht für die Dauer des Hauptvertrages. Davon unbenommen die Beendigung gemäß Klausel 4.1.2 und Klausel 4.1.3.

Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten

• Implementierung starker Verschlüsselungsalgorithmen für Daten sowohl bei der Übertragung als auch bei der Speicherung in der Datenbank.

Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung

• Etablierung eines Zugriffskontrollsystems, das auf dem Prinzip der minimalen Rechte basiert.

• Regelmäßige Sicherheitsaudits und Penetrationstests.

Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

• Einrichtung von Backup- und Disaster-Recovery-Plänen.

• Regelmäßige Tests der Wiederherstellungsprozesse.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

• Durchführung von internen Audits.

Maßnahmen zur Identifizierung und Autorisierung der Nutzer

• Individuelle Registrierung der Nutzer mittels e-mail adresse sowie Passwortschutz dieser.

Maßnahmen zum Schutz der Daten während der Übermittlung

• Verwendung von verschlüsselten Kommunikationskanälen via TLS.

Maßnahmen zum Schutz der Daten während der Speicherung

• Anwendung von Festplattenverschlüsselung und Datenbankverschlüsselung.

• Zugriffsbeschränkungen auf physische und virtuelle Speichermedien.

Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden

• Einsatz von Sicherheitspersonal, Überwachungskameras und Alarmen.

• Implementierung von Zutrittskontrollen mit Kartenlesern.

Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen

• Einrichtung von zentralisierten Logging-Mechanismen.

• Periodische Überprüfung und Analyse von Protokolldateien.

Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration

• Anwendung von Sicherheits-Benchmarks und Konfigurationsrichtlinien.

• Regelmäßige Überprüfung und Anpassung der Systemkonfigurationen.

Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit

• Entwicklung und Durchsetzung von IT-Sicherheitsrichtlinien.

Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten

• Regelmäßige Qualitätskontrollen und -audits.

Maßnahmen zur Gewährleistung der Datenminimierung

• Die Dateneingabe wird ausschließlich über vordefinierte Eingabe-Felder ermöglicht, um die jeweiligen Bereiche zu befüllen. Es wird keine Möglichkeit geboten eigene Felder anzulegen.

Maßnahmen zur Gewährleistung der Datenqualität

• Einführung von Verfahren zur regelmäßigen Überprüfung und Aktualisierung der Daten.

Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung

• Festlegung und Durchsetzung von Löschfristen für Daten.

Maßnahmen zur Gewährleistung der Rechenschaftspflicht

• Vertragliche Verpflichtung im Auftragsverarbeitervertrag.

Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung

• Bereitstellung von Tools für die Datenportabilität.

• Entwicklung von Richtlinien für die sichere Datenlöschung.

• Implementierung automatisierter Löschmechanismen.

• Dokumentation und Nachvollziehbarkeit der Löschvorgänge.

AWS Web Services EMEA

Avenue John F. Kennedy 38 1855 Luxembourg LUXEMBURG

Speicherung von Kundendaten für das Hosting

Speicherung, Backup

Bis Vertragsende

Verschlüsselung

Allcloud

Rosenstraße 2 10178 Berlin DEUTSCHLAND

Dienstleister Unterstützung beim Hosting

Speicherung, Hosting

Bis Vertragsende

Verschlüsselung

Nur für den Prozess notwendige Daten werden verarbeitet

Deermapper

Petersbachstraße 28/6 8042 Graz ÖSTERREICH

Auslesen von Kundendaten für die Bereitstellung eines Moduls

Speicherung, Backup

Bis Vertragsende

Verschlüsselung

Nur für die Verwendung notwendige Daten werden verarbeitet

EVA

Rheinwerkallee 6 53227 Bonn DEUTSCHLAND

Auslesen von Kundendaten für die Bereitstellung eines Moduls und der Kontaktaufnahme zur Weiterverarbeitung im Zusammenhang mit dem Co2-Zertifizierungs-Prozess

Speicherung, Backup

Bis Vertragsende, darüber hinaus falls der Geschäftsprozess mit EVA weiter verfolgt wird

Verschlüsselung

Nur für die Verwendung notwendige Daten werden verarbeitet

Functional Software

Hawthorne Street 13 CA-94107 San Francisco USA

Speicherung von Kundenbenutzerdaten (Sentry)

Speicherung

Bis Vertragsende

Verschlüsselung

Nur für die Verwendung notwendige Daten werden verarbeitet

Google Inc.

Amphitheatre Parkway 1600 CA-94043 Mountain View USA

Speicherung von Kundenbenutzerdaten

Speicherung

Bis Vertragsende

Verschlüsselung

Nur für die Verwendung notwendige Daten werden verarbeitet

Mapbox

Beale Street 50 (Floor 9)
CA-94105 San Francisco USA

Bereitstellen von Karten-Funktionalität

Speicherung

Bis Vertragsende

Verschlüsselung

Nur für die Verwendung notwendige Daten werden verarbeitet

Treely

Littengasse 2b/c 6850 Dornbirn ÖSTERREICH

Auslesen von Kundendaten für die Bereitstellung eines Moduls und der Kontaktaufnahme zur Weiterverarbeitung im Zusammenhang mit dem Co2-Zertifizierungs-Prozess

Speicherung, Backup

Bis Vertragsende, darüber hinaus falls der Geschäftsprozess mit Treely weiter verfolgt wird

Verschlüsselung

Nur für die Verwendung notwendige Daten werden verarbeitet