Vielen Dank für Ihr Interesse an Coaching Cosmos. Ihr Vertragspartner ist die Coaching Cosmos GmbH, Hongkongstraße 7, 20457 Hamburg.
Wir bieten Ihnen eine internetbasierte Plattform zum professionellen Coaching für Ihre Mitarbeiter:innen und Ihr Management. Daneben bieten wir Ihnen individuelle Coachings und Schulungen sowohl online als auch in Präsenz an. Unser Angebot wendet sich ausdrücklich nicht an Verbraucher.
Die folgenden allgemeinen Geschäftsbedingungen finden auf alle unsere Dienstleistungen Anwendung, ohne dass eine erneute Bezugnahme erforderlich ist. Für den Fall, dass Sie entgegenstehende Geschäftsbedingungen vereinbaren wollen, schließen wir deren Anwendbarkeit ausdrücklich aus.
I. Unsere Onlineangebote
-
Bereitstellung über unsere Website, Auftragsverhältnis
-
Über unsere Website stellen wir Ihnen Onlineangebote bereit, über das Ihre Mitarbeiter:innen Zugriff auf Schulungsinhalte im Wege des Selbstcoachings haben und Kompetenzanalysen durchführen können.
-
Die Verarbeitung der Daten Ihrer Mitarbeiter:innen erfolgt im Auftrag. Die Bedingungen für die Auftragsverarbeitung finden Sie im Anschluss an diese AGB.
-
-
Ihr Benutzerkonto, Ihre Nutzung
-
Wir kommunizieren mit Ihnen im Allgemeinen elektronisch, d.h. per E-Mail oder durch Mitteilung in Ihrem Nutzerkonto. Sie erhalten Ihre Rechnung ausschließlich elektronisch.
-
Wir richten Ihnen ein Master User Konto ein. Mit diesem können Sie Nutzerkonten Ihrer Mitarbeiter:innen und Dienstleister einrichten. In diesem Falle sind Sie für alle Nutzungen der jeweiligen Unterkonten verantwortlich. Bitte stellen Sie sicher, dass die Nutzer Ihrer Unterkonten die in diese Allgemeinen Geschäftsbedingungen enthaltenen Anforderungen einhalten.
-
Bitte achten Sie darauf, dass die Zugangsdaten sicher bleiben. Bitte geben Sie Benutzernamen und Passworte nicht an unbefugte Dritte weiter. Bitte informieren Sie uns unverzüglich, sobald ein Benutzerkonto nicht mehr sicher ist. Wir fragen Sie außerhalb des Zugangs auf unserer Seite nicht nach Ihrem Passwort.
-
Ihnen ist es nicht gestattet, Dritten die Nutzung unseres Dienstes zu ermöglichen. Nicht als Dritte gelten mit Ihnen im Sinne des § 15 AktG verbundene Unternehmen sowie deren Mitarbeiter:innen.
-
-
Vertragsgemäße Nutzung
-
Sie sind zur rechtmäßigen Nutzung unserer Onlineangebote verpflichtet.
-
Wir sind berechtigt, Ihren Zugang bei einem rechtswidrigem Verstoß durch Sie bzw. Ihre Mitarbeiter:innen gegen eine der in diesem Vertrag festgelegten wesentlichen Pflichten oder gesetzliche Pflichten zu sperren. Wir werden den Zugang umgehend wiederhergestellen, wenn der Verstoß dauerhaft beseitigt bzw. die Wiederholungsgefahr durch Abgabe einer angemessenen strafbewährten Unterlassungserklärung sichergestellt ist. Ihre verpflichtung zur Zahlung der Entgelte bleibt im Falle einer Sperre bestehen.
-
Falls wir eine begründete Annahme haben, dass Ihre Zugangsdaten von Dritten unberechtigt genutzt werden, sind wir ebenfalls berechtigt, Ihren Zugang zeitweilig zu sperren.
-
-
Ihre Daten, Ihre Inhalte
-
Wir beanspruchen keine Rechte an den Ihren Daten oder den Daten Ihrer Mitarbeiter:innen. Sie sind dafür verantwortlich, dass sämtliche Daten Ihnen rechtmäßig zustehen und deren Nutzung nicht gegen geltendes Recht verstößt.
-
Wenn Ihr Vertrag endet, werden wir die Daten Ihrer Mitarbeiter:innen ohne weitere Rückfrage löschen.
-
-
Verfügbarkeit, Störungsmeldungen
-
Wir bemühen uns nach Kräften, fehlende Verfügbarkeit, Verbindungsabbrüche oder andere Einschränkungen unseres Angebots auszuschließen. Allerdings weisen wir darauf hin, dass derartige Vorfälle auch durch den Einsatz modernster Technologien nicht vollständig ausgeschlossen werden können, dies gilt insbesondere für Inhalte, Systeme oder Verbindung außerhalb unseres Einflussbereichs.
-
Auch wenn wir Ihnen die höchste Service-Qualität bieten möchten, können wir Ihnen derzeit nur eine Verfügbarkeit unseres Dienstes von 98 % im Jahresmittel versprechen.
-
Störungen können Sie nur zu den normalen Servicezeiten Montag-Freitag 9:00- 17:00 Uhr per E-Mail, telefonisch oder Telefax melden. Bitte geben Sie alle zur Entstörung erforderlichen Daten sowie die Kontaktdaten des Meldenden an.
-
Sie erhalten während der Servicezeit innerhalb von 120 Minuten nach Meldung der einer Störung eine Benachrichtigung. Diese erfolgt per Telefon, Fax oder E-Mail und enthält folgende Angaben:
-
Kurzbeschreibung der Störung;
-
mögliche Fehlerursachen;
-
voraussichtliche Ausfalldauer;
-
allgemeine Informationen
Ist eine Ausfalldauer erkennbar, so erfolgt eine umgehende Zwischenmeldung.
-
-
II. Individuelle Coachings und Workshops
-
Beauftragung, Durchführung
-
Wir bieten Ihren Mitarbeiter:innen in Abstimmung mit Ihnen individuelle Coachings und Workshops an. Diese sind Gegenstand einer individuellen Beauftragung.
-
Die Coachings oder Workshops können in Präsenz an einem zu vereinbarenden Ort oder virtuell durchgeführt werden.
-
-
Verbindlichkeit, Stornoregelungen
-
Eine Beauftragung eines individuellen Coachings oder eines Workshops ist verbindlich. Wir bieten allerdings die folgende Stornoregelung auf der Basis des vereinbarten Entgelts an:
-
bis 3 Werktage vor Coaching: kostenfrei
-
weniger als 3 Werktage vor Coachingtermin 50 %.
-
-
Wir sind berechtigt, mit einer Frist von 3 Werktagen selbst den Termin zu stornieren.
-
III. Allgemeine Bestimmungen
-
Geheimhaltung, Referenz
-
Vertrauliche Informationen, die im Zusammenhang mit unserem Vertrag bekannt werden, sind für einen Zeitraum von mindestens drei Jahren nach Ende unseres Vertrages geheim zu halten. Eine Weitergabe an Dritte ist nur zulässig, soweit dies aus gesetzlichen Gründen oder zur Vertragserfüllung notwendig ist und die Empfänger im Wesentlichen vergleichbaren Vertraulichkeitspflichten in diesem geregelt, unterliegen.
-
Eine Vertrauliche Information ist jede Information, die (a) weder dem Empfänger noch der Öffentlichkeit vor der Weitergabe bekannt war und (b) an deren Geheimhaltung der Inhaber der Information ein legitimes Geheimhaltungsinteresse hat. Insbesondere die folgenden Informationen gelten als vertraulich:
-
Informationen zur Funktionsweise von Coaching Cosmos
-
Schulungsmaterialien
-
Inhalt des Vertrages, insbesondere Preis, Leistung und Zahlungsbedingen.
-
-
Wir werden Ihr Logo und Ihren Firmennamen auf unserer Website, in Firmenpräsentationen und anderen Kommunikationsmitteln als Referenz nutzen, es sei denn Sie widersprechen dem ausdrücklich.
-
-
Zahlungsbedingungen
-
Alle in der Beauftragung angegebenen Preise verstehen sich zuzüglich der gesetzlichen Umsatzsteuer.
-
Alle Rechnungen sind von Ihnen innerhalb von 7 Tagen zu zahlen. Im Falle des Zahlungsverzugs sind Sie zur Zahlung der gesetzlichen Verzugszinsen verpflichtet, diese betragen derzeit 9 %-Punkte über dem Basiszinssatz der EZB.
-
Sie können unseren Rechnungen innerhalb von zwei Monaten schriftlich (Email) widersprechen. Sollte bei uns kein Widerspruch innerhalb dieser Frist eingehen, gilt die Rechnung als von Ihnen anerkannt.
-
Für den Fall, dass Sie Ihre Rechnungen nicht fristgerecht zahlen, sind wir - nach erfolgloser weiterer Mahnung - berechtigt, Ihre Nutzung zu sperren oder einzelne Teile unserer Dienste einzuschränken, bis wir die offenen Beträge erhalten haben. Für die Zeit der Sperrung oder Einschränkung haben Sie dennoch die vereinbarte Vergütung zu zahlen.
-
-
Laufzeit und Beendigung
-
Wenn Sie sich für eines unserer Produkte entscheiden, gilt die im Auftrag angegebene Laufzeit. Das Recht zur Kündigung aus wichtigem Grunde bleibt unberührt.
-
Sofern wir Ihnen gegenüber eine Kündigung ausgesprochen haben, ist Ihnen eine Neuanmeldung ohne unsere vorherige ausdrückliche Zustimmung untersagt.
-
-
Qualität, Haftung
-
Wir stellen Ihnen und Ihren Mitarbeiter:innen ein Werkzeug zur Verfügung, das hilft, persönliche Erkenntnisse zu gewinnen. D.h. die Qualität der Ergebnisse hängt stark von der richtigen und offenen Anwendung durch die Nutzer ab.
-
Wir haften in Fällen von
-
Vorsatz in voller Höhe der entstehenden Schäden;
-
grober Fahrlässigkeit beschränkt auf den typischen vorhersehbaren Schaden, der durch Anwendung der gebotenen Sorgfalt hätte vermieden werden können;
-
einer Nichtbeachtung einer von uns abgegebenen Qualitätsgarantie beschränkt auf den vorhersehbaren Schaden, der bei Vorliegen der garantierten Qualität hätte vermieden werden können;
-
in allen übrigen Fällen haften wir nicht außer es handelt sich um die Verletzung einer wesentlichen Vertragspflicht. Eine solche wesentliche Vertragspflicht ist dann anzunehmen, wenn die Pflicht selbst wesentliche Voraussetzung für die Vertragserfüllung ist oder deren Verletzung den Vertragszweck gefährdet und Sie berechtigterweise auf deren Erfüllung vertrauen durften.
Die Haftungsbeschränkung gilt nicht für Ansprüche
-
wegen Verletzungen des Körpers oder Verlust des Lebens.
-
nach dem deutschen Produkthaftungsgesetz
-
aufgrund Betrugs oder vorsätzlicher Täuschung.
-
-
-
Streitbeilegung
-
Wir hoffen sehr, dass Sie stets mit unserem Service zufrieden sind. Falls Sie Fragen oder Beschwerden haben, werden wir unser Bestes tun, um alle Themen zu lösen.
-
Ausschließlicher Gerichtsstand für alle Rechtsstreitigkeiten aus und im Zusammenhang mit diesem Vertrag ist Hamburg, sofern Sie Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen sind oder sofern Sie keinen Gerichtsstand in Deutschland haben.
-
Die nachfolgenden Bedingungen gelten für die Verarbeitung personenbezogener Daten durch uns, die Coaching Cosmos GmbH, Hongkongstraße 7, 20457 Hamburg im Wege eines Auftragsverhältnisses nach Art. 28 DSGVO.
-
Auftragsverarbeitung
-
Vertragliche Grundlage für die Verarbeitung sind die mit Ihnen geschlossenen Vereinbarungen über die Erbringung von Leistungen (nachfolgend – auch für mehrere Leistungen - „Hauptvertrag“).
-
Diese Bedingungen gelten als Rahmenvereinbarung für die Erbringung der datenschutzrechtlichen Anforderungen und werden durch spezifische Anlagen ergänzt, um die gesetzlich notwendigen Festlegungen zu treffen. Dies sind insbesondere Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, die Kategorie der Daten und die Kategorien betroffener Personen Anlage 1 (Angaben zur Datenverarbeitung) sowie die Anlage 2 (Technische und organisatorische Maßnahmen).
-
-
Verantwortlichkeit und Verarbeitung auf Weisung
-
Als unser Auftraggeber sind Sie für die Einhaltung der anwendbaren gesetzlichen Bestimmungen zum Datenschutz und die Rechtmäßigkeit der Verarbeitung im Sinne des Art. 4 Nr. 7 DSGVO verantwortlich.
-
Wir handeln ausschließlich weisungsgebunden. Die uns erteilten Weisungen sind diesen Bedingungen, den Anlagen sowie dem Hauptvertrag zu entnehmen. Ferner können Sie uns Weisungen in Textform erteilen. Sofern Sie uns Weisungen im Ausnahmefall mündlich erteilen, werden wir diese unverzüglich in Textform bestätigen. Außerhalb der Weisung werden wir nur unter den Voraussetzungen des Art. 28 Abs. 3 a DSGVO Daten verarbeiten. Wir stellen sicher, dass die zur Verarbeitung der Daten befugten Personen Ihre Weisungen kennen und beachten.
-
Wir berichtigen oder löschen die vertragsgegenständlichen Daten oder schränken deren Verarbeitung nur ein (sperren), wenn Sie uns entsprechend anweisen. Vorbehaltlich einer abweichenden Weisung erfolgt die Löschung bzw. Sperrung entsprechend der Angabe in der Anlage 1 (Angaben zur Datenverarbeitung)
-
Sie erhalten unverzüglich von uns eine Mitteilung, wenn wir zu der Auffassung kommen, dass eine Weisung gegen das Datenschutzrecht verstößt. Wir sind berechtigt, die Umsetzung Ihrer Weisung solange aussetzen, bis Sie uns diese in Textform bestätigt oder geändert haben. Wir dürfen die Ausführung offensichtlich datenschutzrechtswidriger Weisungen jederzeit ablehnen.
-
Wir benennen gegenseitig einen oder mehrere Ansprechpartner in datenschutzrechtlichen Angelegenheiten, einschließlich der bestellten Datenschutzbeauftragten. Dies und eine etwaige Änderung der Ansprechpartner erfolgt in Textform.
-
Wir haben die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet bzw. sichergestellt, dass eine angemessene gesetzlichen Verschwiegenheitspflicht besteht. Die Vertraulichkeits- und Verschwiegenheitspflicht besteht auch nach Beendigung der Verarbeitung fort.
-
Wir übermitteln Daten an Empfänger in einem Drittland außerhalb der EU und EWR nur unter den in Art. 44 ff. DSGVO vorgeschriebenen Bedingungen. Derzeit erfolgt keine Übermittlung von Daten an solche Drittländer, es sei denn Sie haben uns dazu ausdrücklich in Textform angewiesen.
-
-
Sicherheit der Datenverarbeitung
-
Wir stellen die Sicherheit der Verarbeitung der uns zur Auftragsverarbeitung überlassenen Daten sicher. Wir haben die von uns getroffenen technischen und organisatorischen Maßnahmen in der Anlage 2 (Technische und organisatorische Maßnahmen) für unser Auftragsverhältnis beschrieben.
-
Wir sind berechtigt, die technischen und organisatorischen Maßnahmen anzupassen. Hierbei verpflichten wir uns allerdings, dass das bei Beauftragung vereinbarte Schutzniveau insgesamt nicht unterschritten wird. Wir werden Ihnen wesentliche Änderungen in Textform mitteilen.
-
Falls Sie eigene technische und organisatorische Maßnahmen für eine uns übertragene Datenverarbeitung vornehmen bzw. wünschen, werden wir Sie gerne im Rahmen unserer Möglichkeiten unterstützen.
-
-
Umgang mit Datenschutzverletzungen und Verarbeitungsfehlern
-
Wir werden Sie unverzüglich unterrichten, wenn wir feststellen oder ein konkreter Verdacht besteht, dass es in unserem Verantwortungsbereich zu einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO gekommen ist. Gleiches gilt für Fehler bei der Verarbeitung durch uns.
-
Wir werden unverzüglich die erforderlichen Maßnahmen zur Behebung der Datenschutzverletzung oder der Fehler sowie zur Minderung möglicher nachteiliger Folgen, insbesondere für die betroffenen Personen treffen. Hierbei werden wir uns mit Ihnen abstimmen.
-
Die Mitteilung nach Ziffer 4.1 und die Maßnahmen im Sinne der Ziffer 4.2 werden in Textform dokumentiert.
-
-
Unterbeauftragung weiterer Auftragsverarbeiter
-
Wir werden Ihnen die Unterbeauftragung oder Änderung von Unterauftragnehmern in Textform rechtzeitig vorab anzeigen. Sie können der Unterbeauftragung innerhalb von vier Wochen nach Mitteilung in Textform aus wichtigem Grund widersprechen. Ein wichtiger Grund liegt insbesondere vor, wenn begründete Zweifel bestehen, dass der Unterauftragnehmer die vereinbarte Leistung entsprechend den anwendbaren gesetzlichen Bestimmungen zum Datenschutz oder gemäß dieser AVV erbringt.
-
Wir sind berechtigt, die Verarbeitung personenbezogener Daten ganz oder teilweise durch weitere Auftragsverarbeiter (kurz: „Unterauftragnehmer“) erbringen lassen. Hierbei werden wir mit dem Unterauftragnehmer die mit Ihnen getroffenen Regelungen inhaltsgleich vereinbaren. Insbesondere müssen dabei die technischen und organisatorischen Maßnahmen mindestens das vereinbarte Schutzniveau aufweisen.
-
Reine Nebenleistungen zur Unterstützung unserer geschäftlichen Tätigkeit außerhalb der Auftragsverarbeitung sind keine Unterauftragsverhältnisse. Wir werden jedoch die zur Gewährleistung des Schutzes der Daten angemessene Vorkehrungen ergreifen.
-
-
Rechte betroffener Personen, Anfragen von Aufsichtsbehörden
-
Wir werden uns unverzüglich gegenseitig informieren, sofern
-
eine betroffene Person Ansprüche gemäß Kapitel III der DSGVO geltend macht. Wir unterstützen Sie im Rahmen unserer Möglichkeiten bei der Bearbeitung solcher Ansprüche sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.
-
eine Aufsichtsbehörde von Befugnissen nach Art. 58 DSGVO Gebrauch macht.
-
-
Die entsprechenden Verpflichtungen sind im Rahmen des vertraglichen Verantwortungsbereichs zu erfüllen. Hierzu werden wir uns vor einer Beantwortung oder Maßnahme wechselseitig abstimmen.
-
-
Ihre Kontroll- und Informationsrechte
-
Wir werden Ihnen die Einhaltung unserer Pflichten mit geeigneten Mitteln nachwiesen.
-
Für die Überprüfung der Einhaltung der vereinbarten Schutzmaßnahmen und deren geprüfter Wirksamkeit können wir auf angemessene Zertifizierungen oder andere geeignete Prüfungsnachweise verweisen. Angemessen sind insbesondere Zertifizierungen nach Art. 40 DSGVO oder Nachweise nach Art. 42 DSGVO. Daneben kommen unter anderem in Betracht: Zertifizierung nach ISO 27001 oder ISO 27017, ISO 27001-Zertifizierung auf Basis von IT-Grundschutz, eine Zertifizierung nach anerkannten und geeigneten Branchenstandards oder ein Prüfungsnachweis gemäß SOC/PS 951. Die Zertifizierungs- und Prüfungsverfahren sind von einem anerkannten unabhängigen Dritten durchzuführen. Werden Ihnen unsere Zertifikate oder Prüfungsnachweise zur Verfügung stellen. Ferner stellen wir Ihnen auf Anforderung die Tätigkeitsberichte des Datenschutzbeauftragten oder Auszüge aus Berichten der Wirtschaftsprüfer zum Nachweis der Einhaltung der vereinbarten Schutzmaßnahmen zur Verfügung.
-
Sie sind berechtigt, zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs, regelmäßig nach vorheriger Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit, Inspektionen zur Prüfung der Einhaltung der datenschutzrechtlichen Bestimmungen durchzuführen. Wir sind berechtigt, die Inspektion von der Unterzeichnung einer Verschwiegenheitserklärung zur Sicherung der Daten anderer Kunden und zur Einhaltung der getroffenen technischen und organisatorischen Maßnahmen abhängig zu machen. Wir sind berechtigt, der Auswahl des Prüfers aus wichtigem Grunde zu widersprechen. Ein wichtiger Grund ist insbesondere ein Wettbewerbsverhältnis zwischen der Prüfungsgesellschaft und uns.
-
Wir werden die im Rahmen einer Prüfung getroffenen Feststellungen und die umzusetzenden Maßnahmen sowie die Verteilung der entstehenden Kosten abstimmen.
-
-
Haftung und Schadenersatz
-
Macht eine betroffene Person Ihnen oder uns gegenüber Schadenersatzansprüche wegen Verstoßes gegen datenschutzrechtliche Bestimmungen geltend, so werden wir uns wechselseitig hierüber unverzüglich informieren. Wir unterstützen uns gegenseitig bei der Abwehr von Schadenersatzansprüchen, es sei denn, dies würde die jeweilige Rechtsposition untereinander oder zur Aufsichtsbehörde gefährden.
-
Wir haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.
-
-
Laufzeit, Beendigung
-
Das Rahmenauftragsverhältnis besteht auf unbestimmte Zeit.
-
Es endet mit Beendigung des zugehörigen Hauptvertrags, ohne dass es einer gesonderten Kündigung bedarf.
-
Nach Beendigung werden wir nach Ihrer Wahl unverzüglich verarbeiteten Daten herausgeben oder datenschutzkonform löschen und Ihnen dies auf Wunsch in Textform (z.B. durch ein Löschprotokoll) bestätigen.
-
-
Sonstiges
-
Sollten Ihre Daten bei uns durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so werden wir Sie unverzüglich darüber in Textform informieren. Wir werden alle in diesem Zusammenhang Verantwortlichen unverzüglich in Textform darüber informieren, dass die Verantwortung für die Daten ausschließlich bei Ihnen liegt.
-
Es gilt deutsches Recht. Sofern im Hauptvertrag eine Regelung zum Gerichtsstand getroffen worden ist, gilt diese. Anderenfalls ist der Gerichtsstand für sämtliche Ansprüche aus und im Zusammenhang mit diesem Auftragsverhältnis München.
-
Anlage 1 - Angaben zur Datenverarbeitung
Nachfolgend finden Sie die Angaben zur Datenverarbeitung durch die Coaching Cosmos GmbH.
Name der |
Zwecke der |
Rechtsgrundlage |
Beschreibung der Verarbeitung |
Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO |
Betroffene / betroffene Personengruppen |
Personenbezogene Daten / Datenkategorien |
Empfänger / Empfängerkategorien |
Drittstaatentransfer |
Regelfristen für die Löschung |
Selbstcoachingsystem, Kompetenzanalyse, Cockpit für Personalabteilungen |
Durchführung von betrieblichen Analysen Maßnahmen zur Personalentwicklung |
Auftragsverarbeitung Art. 28 DSGVO, Art. 6 lit b. DSGVO |
Nutzer füllen Fragebögen online aus; Daten werden automatisiert ausgewertet Im Rahmen des Coachings werden via Chat und Dateitransfer Informationen zwischen Coach und Nutzer geteilt |
Nein |
Mitarbeiter:innen des Auftraggebers, Coaches, Mitarbeiter:innen von Coaching Cosmos |
Name, Unternehmen, berufliches Profil, Inhaltsdaten von Befragungen, Informationen |
Mitarbeiter:innen des Auftraggebers und des Auftragnehmers |
Nein |
Eine Löschung erfolgt auf Wunsch des Auftraggebers sowie nach Beendigung des Auftragsverhältnisses innerhalb von drei Monaten. |
Angaben zu Unterauftragnehmern
Die Coaching Cosmos GmbH nutzt zur Erbringung ihrer Leistungen die Dienste der
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Tel.: +49 (0)9831 505-0
Fax: +49 (0)9831 505-3
E-Mail: info@hetzner.com
Die Hetzner Online GmbH erbringt Hosting-Dienstleistungen
Mit der Hetzner Online GmbH ist ein Auftragsverhältnis im Sinne des Art. 28 DSGVO vereinbart worden.
Die Hetzner Online GmbH ist nach DIN ISO/IEC 27001 zertifiziert worden. Der international anerkannte Standard für Informationssicherheit bescheinigt der Hetzner Online GmbH, dass ein geeignetes Informationssicherheitsmanagementsystem, kurz ISMS, implementiert und adaptiert wurde. Das ISMS findet an den Standorten Nürnberg und Falkenstein bei der Infrastruktur und dem Betrieb der gesamten Datacenterparks Anwendung und wurde durch die FOX Certification geprüft. Das Zertifikat weist ein adäquates Sicherheitsmanagement, die Sicherheit der Daten, die Vertraulichkeit der Informationen und die Verfügbarkeit der IT- Systeme nach. Es bestätigt zudem, dass die Sicherheitsstandards kontinuierlich verbessert und nachhaltig kontrolliert werden.
Anlage 2 – Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
1.
Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
a) Zutrittskontrolle
Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:
☒ Zutrittskontrollsystem, Ausweisleser (Magnet-/Chipkarte)
☒ Türsicherungen (elektrische Türöffner, Zahlenschloss, etc.)
☐ Sicherheitstüren / -fenster
☒ Gitter vor Fenstern/Türen
☒ Schlüsselverwaltung/Dokumentation der Schlüsselvergabe
☐ Werkschutz, Pförtner
☒ Alarmanlage
☐ Videoüberwachung
☐ Spezielle Schutzvorkehrungen des Serverraums
☐ Spezielle Schutzvorkehrungen für die Aufbewahrung von Back-Ups und/oder sonstigen Datenträgern
☐ Nicht-reversible Vernichtung von Datenträgern
☐ Mitarbeiter- und Berechtigungsausweise
☐ Sperrbereiche
☐ Besucherregelung (Bspw. Abholung am Empfang, Dokumentation von Besuchszeiten, Besucherausweis, Begleitung nach dem Besuch bis zum Ausgang)
b) Zugangskontrolle
Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben.
☒ Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk
☒ Autorisierungsprozess für Zugangsberechtigungen
☒ Begrenzung der befugten Benutzer
☒ Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)
☒ Protokollierung des Zugangs
☒ Zusätzlicher System-Log-In für bestimmte Anwendungen
☒ Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
☒ Firewall
c) Zugriffskontrolle
Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben.
☒ Verwaltung und Dokumentation von differenzierten Berechtigungen
☒ Abschluss von Verträgen zur Auftragsdatenverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von pbD, also der Umgang mit personenbezogenen Daten, Gegenstand der Dienstleistung ist.
☒ Autorisierungsprozess für Berechtigungen
☒ Profile/Rollen
☒ Verschlüsselung von CD/DVD- ROM, externen Festplatten und/oder Laptops (etwa per Betriebssystem, TrueCrypt, Safe Guard Easy, WinZip, PGP)
☒ Vier-Augen-Prinzip
☒ Fachkundige Akten- und Datenträgervernichtung gemäß DIN 66399
☒ Nicht-reversible Löschung von Datenträgern
☐ Sonstiges:
d) Trennungskontrolle
Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden.
☒ Speicherung der Datensätze in physikalisch getrennten Datenbanken
☒ Zugriffsberechtigungen nach funktioneller Zuständigkeit
☐ Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen
☐ Mandantenfähigkeit von IT-Systemen
☒ Verwendung von Testdaten
☒ Trennung von Entwicklungs- und Produktionsumgebung
☐ Sonstiges:
e) Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
Sofern Intranetintegration mit Kundenintranet vorliegt: Pseudonymisierung auf Intranetseite, Pseudonymisierungsmethodik nach Wahl des Kunden
2.
Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
a) Weitergabekontrolle
Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:
☒ Gesicherter File Transfer (z.B. sftp)
☒ Gesicherter Datentransport (z.B. SSL, ftp, ftps, TLS)
☒ Verschlüsselung von CD/DVD- ROM, externen Festplatten oder USB-Sticks (z.B. True Crypt, Safe Guard Easy, PGP)
☒ Gesichertes WLAN
☒ Regelung zum Umgang mit mobilen Speichermedien (z.B. Laptop, USB-Stick, Mobiltelefon)
☒ Protokollierung von Datenübertragung oder Datentransport
☒ Protokollierung von lesenden Zugriffen
☒ Protokollierung des Kopierens, Veränderns oder Entfernens von Daten
b) Eingabekontrolle
Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat.
☒ Zugriffsrechte
☒ Systemseitige Protokollierungen
☒ Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten
☒ Mehraugenprinzip
3.
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Verfügbarkeitskontrolle und Belastbarkeitskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind.
☒ Sicherheitskonzept für Software- und IT-Anwendungen
☒ Back-Up Verfahren
☐ Aufbewahrungsprozess für Back-Ups (brandgeschützter Safe, getrennter Brandabschnitt, etc.)
☒ Gewährleistung der Datenspeicherung im gesicherten Netzwerk
☒ Bedarfsgerechtes Einspielen von Sicherheits-Updates
☒ Spiegeln von Festplatten
☐ Einrichtung einer unterbrechungsfreien Stromversorgung (USV)
☒ Geeignete Archivierungsräumlichkeiten für Papierdokumente
☒ Brand- und/oder Löschwasserschutz des Serverraums
☒ Klimatisierter Serverraum
☒ Virenschutz
☒ Firewall
☐ Notfallplan
☐ Erfolgreiche Notfallübungen
☒ Redundante, örtlich getrennte Datenaufbewahrung (Offsite Storage)
☐ Sonstiges:
4.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
a) Datenschutz-Management
Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:
☐ Datenschutzleitbild
☒ Datenschutz-Richtlinie
☒ Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit
☒ Bestellung eines Datenschutzbeauftragten
☒ Verpflichtung der Mitarbeiter auf das Datengeheimnis
☒ Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten
☒ Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
☒ Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)
☐ Sonstige:
b) Incident-Response-Management
Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:
☒ Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
☒ Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)
☐ Sonstige:
c) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
Es werden nur Daten auf, die zur Erbringung der Leistung notwendig sind. Wir benötigen lediglich eine E-Mail Adresse und ein selbst gewähltes Passwort.
d) Auftragskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können.
☒ Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers
☒ Prozess zur Erteilung und/oder Befolgung von Weisungen
☒ Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern
☒ Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung
☒ Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragnehmer
☐ Unabhängige Auditierung der Weisungsgebundenheit
☒ Verpflichtung der Mitarbeiter auf das Datengeheimnis