Vielen Dank für Ihr Interesse an Coaching Cosmos. Ihr Vertragspartner ist die Coaching Cosmos GmbH, Hongkongstraße 7, 20457 Hamburg.

Wir bieten Ihnen eine internetbasierte Plattform zum professionellen Coaching für Ihre Mitarbeiter:innen und Ihr Management. Daneben bieten wir Ihnen individuelle Coachings und Schulungen sowohl online als auch in Präsenz an. Unser Angebot wendet sich ausdrücklich nicht an Verbraucher.

Die folgenden allgemeinen Geschäftsbedingungen finden auf alle unsere Dienstleistungen Anwendung, ohne dass eine erneute Bezugnahme erforderlich ist. Für den Fall, dass Sie entgegenstehende Geschäftsbedingungen vereinbaren wollen, schließen wir deren Anwendbarkeit ausdrücklich aus.

I. Unsere Onlineangebote

  1. Bereitstellung über unsere Website, Auftragsverhältnis

    1. Über unsere Website stellen wir Ihnen Onlineangebote bereit, über das Ihre Mitarbeiter:innen Zugriff auf Schulungsinhalte im Wege des Selbstcoachings haben und Kompetenzanalysen durchführen können.

    2. Die Verarbeitung der Daten Ihrer Mitarbeiter:innen erfolgt im Auftrag. Die Bedingungen für die Auftragsverarbeitung finden Sie im Anschluss an diese AGB.

  2. Ihr Benutzerkonto, Ihre Nutzung

    1. Wir kommunizieren mit Ihnen im Allgemeinen elektronisch, d.h. per E-Mail oder durch Mitteilung in Ihrem Nutzerkonto. Sie erhalten Ihre Rechnung ausschließlich elektronisch.

    2. Wir richten Ihnen ein Master User Konto ein. Mit diesem können Sie Nutzerkonten Ihrer Mitarbeiter:innen und Dienstleister einrichten. In diesem Falle sind Sie für alle Nutzungen der jeweiligen Unterkonten verantwortlich. Bitte stellen Sie sicher, dass die Nutzer Ihrer Unterkonten die in diese Allgemeinen Geschäfts­bedingungen enthaltenen Anforderungen einhalten.

    3. Bitte achten Sie darauf, dass die Zugangsdaten sicher bleiben. Bitte geben Sie Benutzernamen und Passworte nicht an unbefugte Dritte weiter. Bitte informieren Sie uns unverzüglich, sobald ein Benutzerkonto nicht mehr sicher ist. Wir fragen Sie außerhalb des Zugangs auf unserer Seite nicht nach Ihrem Passwort.

    4. Ihnen ist es nicht gestattet, Dritten die Nutzung unseres Dienstes zu ermöglichen. Nicht als Dritte gelten mit Ihnen im Sinne des § 15 AktG verbundene Unternehmen sowie deren Mitarbeiter:innen.

  3. Vertragsgemäße Nutzung

    1. Sie sind zur rechtmäßigen Nutzung unserer Onlineangebote verpflichtet.

    2. Wir sind berechtigt, Ihren Zugang bei einem rechtswidrigem Verstoß durch Sie bzw. Ihre Mitarbeiter:innen gegen eine der in diesem Vertrag festgelegten wesentlichen Pflichten oder gesetzliche Pflichten zu sperren. Wir werden den Zugang umgehend wiederhergestellen, wenn der Verstoß dauerhaft beseitigt bzw. die Wiederholungsgefahr durch Abgabe einer angemessenen strafbewährten Unterlassungserklärung sichergestellt ist. Ihre verpflichtung zur Zahlung der Entgelte bleibt im Falle einer Sperre bestehen.

    3. Falls wir eine begründete Annahme haben, dass Ihre Zugangsdaten von Dritten unberechtigt genutzt werden, sind wir ebenfalls berechtigt, Ihren Zugang zeitweilig zu sperren.

  4. Ihre Daten, Ihre Inhalte

    1. Wir beanspruchen keine Rechte an den Ihren Daten oder den Daten Ihrer Mitarbeiter:innen. Sie sind dafür verantwortlich, dass sämtliche Daten Ihnen rechtmäßig zustehen und deren Nutzung nicht gegen geltendes Recht verstößt.

    2. Wenn Ihr Vertrag endet, werden wir die Daten Ihrer Mitarbeiter:innen ohne weitere Rückfrage löschen.

  5. Verfügbarkeit, Störungsmeldungen

    1. Wir bemühen uns nach Kräften, fehlende Verfügbarkeit, Verbindungsabbrüche oder andere Einschränkungen unseres Angebots auszuschließen. Allerdings weisen wir darauf hin, dass derartige Vorfälle auch durch den Einsatz modernster Technologien nicht vollständig ausgeschlossen werden können, dies gilt insbesondere für Inhalte, Systeme oder Verbindung außerhalb unseres Einflussbereichs.

    2. Auch wenn wir Ihnen die höchste Service-Qualität bieten möchten, können wir Ihnen derzeit nur eine Verfügbarkeit unseres Dienstes von 98 % im Jahresmittel versprechen.

    3. Störungen können Sie nur zu den normalen Servicezeiten Montag-Freitag 9:00- 17:00 Uhr per E-Mail, telefonisch oder Telefax melden. Bitte geben Sie alle zur Entstörung erforderlichen Daten sowie die Kontaktdaten des Meldenden an.

    4. Sie erhalten während der Servicezeit innerhalb von 120 Minuten nach Meldung der einer Störung eine Benachrichtigung. Diese erfolgt per Telefon, Fax oder E-Mail und enthält folgende Angaben:

      • Kurzbeschreibung der Störung;

      • mögliche Fehlerursachen;

      • voraussichtliche Ausfalldauer;

      • allgemeine Informationen

      Ist eine Ausfalldauer erkennbar, so erfolgt eine umgehende Zwischenmeldung.

II. Individuelle Coachings und Workshops

  1. Beauftragung, Durchführung

    1. Wir bieten Ihren Mitarbeiter:innen in Abstimmung mit Ihnen individuelle Coachings und Workshops an. Diese sind Gegenstand einer individuellen Beauftragung.

    2. Die Coachings oder Workshops können in Präsenz an einem zu vereinbarenden Ort oder virtuell durchgeführt werden.

  2. Verbindlichkeit, Stornoregelungen

    1. Eine Beauftragung eines individuellen Coachings oder eines Workshops ist verbindlich. Wir bieten allerdings die folgende Stornoregelung auf der Basis des vereinbarten Entgelts an:

      • bis 3 Werktage vor Coaching: kostenfrei

      • weniger als 3 Werktage vor Coachingtermin 50 %.

    2. Wir sind berechtigt, mit einer Frist von 3 Werktagen selbst den Termin zu stornieren.

III. Allgemeine Bestimmungen

  1. Geheimhaltung, Referenz

    1. Vertrauliche Informationen, die im Zusammenhang mit unserem Vertrag bekannt werden, sind für einen Zeitraum von mindestens drei Jahren nach Ende unseres Vertrages geheim zu halten. Eine Weitergabe an Dritte ist nur zulässig, soweit dies aus gesetzlichen Gründen oder zur Vertragserfüllung notwendig ist und die Empfänger im Wesentlichen vergleichbaren Vertraulichkeitspflichten in diesem geregelt, unterliegen.

    2. Eine Vertrauliche Information ist jede Information, die (a) weder dem Empfänger noch der Öffentlichkeit vor der Weitergabe bekannt war und (b) an deren Geheimhaltung der Inhaber der Information ein legitimes Geheimhaltungsinteresse hat. Insbesondere die folgenden Informationen gelten als vertraulich:

      • Informationen zur Funktionsweise von Coaching Cosmos

      • Schulungsmaterialien

      • Inhalt des Vertrages, insbesondere Preis, Leistung und Zahlungsbedingen.

    3. Wir werden Ihr Logo und Ihren Firmennamen auf unserer Website, in Firmenpräsentationen und anderen Kommunikationsmitteln als Referenz nutzen, es sei denn Sie widersprechen dem ausdrücklich.

  2. Zahlungsbedingungen

    1. Alle in der Beauftragung angegebenen Preise verstehen sich zuzüglich der gesetzlichen Umsatzsteuer.

    2. Alle Rechnungen sind von Ihnen innerhalb von 7 Tagen zu zahlen. Im Falle des Zahlungsverzugs sind Sie zur Zahlung der gesetzlichen Verzugszinsen verpflichtet, diese betragen derzeit 9 %-Punkte über dem Basiszinssatz der EZB.

    3. Sie können unseren Rechnungen innerhalb von zwei Monaten schriftlich (Email) widersprechen. Sollte bei uns kein Widerspruch innerhalb dieser Frist eingehen, gilt die Rechnung als von Ihnen anerkannt.

    4. Für den Fall, dass Sie Ihre Rechnungen nicht fristgerecht zahlen, sind wir - nach erfolgloser weiterer Mahnung - berechtigt, Ihre Nutzung zu sperren oder einzelne Teile unserer Dienste einzuschränken, bis wir die offenen Beträge erhalten haben. Für die Zeit der Sperrung oder Einschränkung haben Sie dennoch die vereinbarte Vergütung zu zahlen.

  3. Laufzeit und Beendigung

    1. Wenn Sie sich für eines unserer Produkte entscheiden, gilt die im Auftrag angegebene Laufzeit. Das Recht zur Kündigung aus wichtigem Grunde bleibt unberührt.

    2. Sofern wir Ihnen gegenüber eine Kündigung ausgesprochen haben, ist Ihnen eine Neuanmeldung ohne unsere vorherige ausdrückliche Zustimmung untersagt.

  4. Qualität, Haftung

    1. Wir stellen Ihnen und Ihren Mitarbeiter:innen ein Werkzeug zur Verfügung, das hilft, persönliche Erkenntnisse zu gewinnen. D.h. die Qualität der Ergebnisse hängt stark von der richtigen und offenen Anwendung durch die Nutzer ab.

    2. Wir haften in Fällen von

      • Vorsatz in voller Höhe der entstehenden Schäden;

      • grober Fahrlässigkeit beschränkt auf den typischen vorhersehbaren Schaden, der durch Anwendung der gebotenen Sorgfalt hätte vermieden werden können;

      • einer Nichtbeachtung einer von uns abgegebenen Qualitätsgarantie beschränkt auf den vorhersehbaren Schaden, der bei Vorliegen der garantierten Qualität hätte vermieden werden können;

      • in allen übrigen Fällen haften wir nicht außer es handelt sich um die Verletzung einer wesentlichen Vertragspflicht. Eine solche wesentliche Vertragspflicht ist dann anzunehmen, wenn die Pflicht selbst wesentliche Voraussetzung für die Vertragserfüllung ist oder deren Verletzung den Vertragszweck gefährdet und Sie berechtigterweise auf deren Erfüllung vertrauen durften.

      Die Haftungsbeschränkung gilt nicht für Ansprüche

      • wegen Verletzungen des Körpers oder Verlust des Lebens.

      • nach dem deutschen Produkthaftungsgesetz

      • aufgrund Betrugs oder vorsätzlicher Täuschung.

  5. Streitbeilegung

    1. Wir hoffen sehr, dass Sie stets mit unserem Service zufrieden sind. Falls Sie Fragen oder Beschwerden haben, werden wir unser Bestes tun, um alle Themen zu lösen.

    2. Ausschließlicher Gerichtsstand für alle Rechtsstreitigkeiten aus und im Zusammenhang mit diesem Vertrag ist Hamburg, sofern Sie Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen sind oder sofern Sie keinen Gerichtsstand in Deutschland haben.

Die nachfolgenden Bedingungen gelten für die Verarbeitung personenbezogener Daten durch uns, die Coaching Cosmos GmbH, Hongkongstraße 7, 20457 Hamburg im Wege eines Auftragsverhältnisses nach Art. 28 DSGVO.

  1. Auftragsverarbeitung

    1. Vertragliche Grundlage für die Verarbeitung sind die mit Ihnen geschlossenen Verein­barungen über die Erbringung von Leistungen (nachfolgend – auch für mehrere Leis­tungen - „Hauptvertrag“).

    2. Diese Bedingungen gelten als Rahmenvereinbarung für die Erbringung der daten­schutz­rechtlichen Anforderungen und werden durch spezifische Anlagen er­gänzt, um die gesetzlich notwendigen Festlegungen zu treffen. Dies sind insbeson­dere Gegen­stand und Dauer sowie Art und Zweck der Verarbeitung, die Kategorie der Daten und die Kategorien betroffener Personen Anlage 1 (Angaben zur Daten­ver­arbeitung) sowie die Anlage 2 (Technische und organisatorische Maß­nahmen).

  2. Verantwortlichkeit und Verarbeitung auf Weisung

    1. Als unser Auftraggeber sind Sie für die Einhaltung der anwendbaren gesetzlichen Bestimmungen zum Datenschutz und die Rechtmäßigkeit der Verarbeitung im Sinne des Art. 4 Nr. 7 DSGVO verantwortlich.

    2. Wir handeln ausschließlich weisungsgebunden. Die uns erteilten Weisungen sind diesen Bedingungen, den Anlagen sowie dem Hauptvertrag zu entnehmen. Ferner können Sie uns Weisungen in Textform erteilen. Sofern Sie uns Weisungen im Aus­nahmefall mündlich erteilen, werden wir diese unverzüglich in Textform bestätigen. Außerhalb der Weisung werden wir nur unter den Voraussetzungen des Art. 28 Abs. 3 a DSGVO Daten verarbeiten. Wir stellen sicher, dass die zur Verarbeitung der Daten befugten Personen Ihre Weisungen kennen und beachten.

    3. Wir berichtigen oder löschen die vertragsgegenständlichen Daten oder schränken deren Verarbeitung nur ein (sperren), wenn Sie uns entsprechend anweisen. Vor­be­halt­lich einer abweichenden Weisung erfolgt die Löschung bzw. Sperrung entsprechend der Angabe in der Anlage 1 (Angaben zur Daten­ver­arbeitung)

    4. Sie erhalten unverzüglich von uns eine Mitteilung, wenn wir zu der Auffassung kommen, dass eine Weisung gegen das Datenschutzrecht verstößt. Wir sind be­rechtigt, die Umsetzung Ihrer Weisung solange aussetzen, bis Sie uns diese in Text­form bestätigt oder geändert haben. Wir dürfen die Ausführung offensichtlich daten­schutz­rechtswidriger Weisungen jederzeit ablehnen.

    5. Wir benennen gegenseitig einen oder mehrere Ansprechpartner in datenschutz­rechtlichen Angelegenheiten, einschließlich der bestellten Datenschutzbeauftragten. Dies und eine etwaige Änderung der Ansprechpartner erfolgt in Textform.

    6. Wir haben die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet bzw. sichergestellt, dass eine angemessene gesetzlichen Verschwie­gen­heits­pflicht besteht. Die Vertraulichkeits- und Verschwiegenheitspflicht besteht auch nach Beendigung der Verarbeitung fort.

    7. Wir übermitteln Daten an Empfänger in einem Drittland außerhalb der EU und EWR nur unter den in Art. 44 ff. DSGVO vorgeschriebenen Bedingungen. Derzeit erfolgt keine Übermittlung von Daten an solche Drittländer, es sei denn Sie haben uns dazu ausdrücklich in Textform angewiesen.

  3. Sicherheit der Datenverarbeitung

    1. Wir stellen die Sicherheit der Verarbeitung der uns zur Auftragsverarbeitung über­lassenen Daten sicher. Wir haben die von uns getroffenen technischen und orga­nisatorischen Maßnahmen in der Anlage 2 (Technische und organisatorische Maß­nahmen) für unser Auftragsverhältnis beschrieben.

    2. Wir sind berechtigt, die technischen und organisatorischen Maßnahmen anzupassen. Hierbei verpflichten wir uns allerdings, dass das bei Beauftragung vereinbarte Schutz­niveau insgesamt nicht unterschritten wird. Wir werden Ihnen wesentliche Än­de­run­gen in Textform mitteilen.

    3. Falls Sie eigene technische und organisatorische Maßnahmen für eine uns über­tra­gene Datenverarbeitung vornehmen bzw. wünschen, werden wir Sie gerne im Rahmen unserer Möglichkeiten unterstützen.

  4. Umgang mit Datenschutzverletzungen und Verarbeitungsfehlern

    1. Wir werden Sie unverzüglich unterrichten, wenn wir feststellen oder ein konkreter Verdacht besteht, dass es in unserem Verantwortungsbereich zu einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO ge­kommen ist. Gleiches gilt für Fehler bei der Verarbeitung durch uns.

    2. Wir werden unverzüglich die erforderlichen Maßnahmen zur Behebung der Daten­schutz­verletzung oder der Fehler sowie zur Minderung möglicher nachteiliger Folgen, insbe­sondere für die betroffenen Personen treffen. Hierbei werden wir uns mit Ihnen ab­stim­men.

    3. Die Mitteilung nach Ziffer 4.1 und die Maßnahmen im Sinne der Ziffer 4.2 werden in Textform dokumentiert.

  5. Unterbeauftragung weiterer Auftragsverarbeiter

    1. Wir werden Ihnen die Unterbeauftragung oder Änderung von Unterauftragnehmern in Textform rechtzeitig vorab anzeigen. Sie können der Unterbeauftragung innerhalb von vier Wochen nach Mitteilung in Textform aus wichtigem Grund widersprechen. Ein wichtiger Grund liegt insbesondere vor, wenn begründete Zweifel bestehen, dass der Unterauftragnehmer die vereinbarte Leistung entsprechend den anwend­baren gesetzlichen Bestimmungen zum Datenschutz oder gemäß dieser AVV erbringt.

    2. Wir sind berechtigt, die Verarbeitung personenbezogener Daten ganz oder teilweise durch weitere Auftragsverarbeiter (kurz: „Unterauftragnehmer“) erbringen lassen. Hier­bei werden wir mit dem Unterauftragnehmer die mit Ihnen getroffenen Rege­lungen inhaltsgleich vereinbaren. Insbesondere müssen dabei die technischen und organisatorischen Maßnahmen mindestens das vereinbarte Schutzniveau auf­weisen.

    3. Reine Nebenleistungen zur Unterstützung unserer geschäftlichen Tätigkeit außerhalb der Auftragsverarbeitung sind keine Unterauftragsverhältnisse. Wir werden jedoch die zur Gewährleistung des Schutzes der Daten angemessene Vorkehrungen ergreifen.

  6. Rechte betroffener Personen, Anfragen von Aufsichtsbehörden

    1. Wir werden uns unverzüglich gegenseitig informieren, sofern

      • eine betroffene Person Ansprüche gemäß Kapitel III der DSGVO geltend macht. Wir unterstützen Sie im Rahmen unserer Möglichkeiten bei der Bearbeitung solcher Ansprüche sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.

      • eine Aufsichtsbehörde von Befugnissen nach Art. 58 DSGVO Gebrauch macht.

    2. Die entsprechenden Verpflichtungen sind im Rahmen des vertraglichen Verant­wortungsbereichs zu erfüllen. Hierzu werden wir uns vor einer Beantwortung oder Maß­nahme wechselseitig abstimmen.

  7. Ihre Kontroll- und Informationsrechte

    1. Wir werden Ihnen die Einhaltung unserer Pflichten mit geeigneten Mitteln nach­wie­sen.

    2. Für die Überprüfung der Einhaltung der vereinbarten Schutzmaßnahmen und deren geprüfter Wirksamkeit können wir auf angemessene Zertifizierungen oder andere geeignete Prüfungsnachweise verweisen. Angemessen sind insbesondere Zertifi­zie­rungen nach Art. 40 DSGVO oder Nachweise nach Art. 42 DSGVO. Daneben kommen unter anderem in Betracht: Zertifizierung nach ISO 27001 oder ISO 27017, ISO 27001-Zertifizierung auf Basis von IT-Grundschutz, eine Zertifi­zie­rung nach aner­kann­ten und geeigneten Branchenstandards oder ein Prüfungs­nach­weis gemäß SOC/PS 951. Die Zertifizierungs- und Prüfungsverfahren sind von einem anerkann­ten unabhängigen Dritten durchzuführen. Werden Ihnen unsere Zerti­fikate oder Prü­fungs­nachweise zur Verfügung stellen. Ferner stellen wir Ihnen auf Anforderung die Tätigkeitsberichte des Datenschutzbeauftragten oder Auszüge aus Berichten der Wirtschaftsprüfer zum Nachweis der Einhaltung der vereinbarten Schutzmaßnahmen zur Verfügung.

    3. Sie sind berechtigt, zu den üblichen Geschäftszeiten ohne Störung des Betriebs­ablaufs, regelmäßig nach vorheriger Anmeldung unter Berücksichtigung einer ange­messenen Vorlaufzeit, Inspektionen zur Prüfung der Einhaltung der datenschutz­rechtlichen Bestimmungen durchzuführen. Wir sind berechtigt, die Inspektion von der Unterzeichnung einer Verschwiegenheitserklärung zur Sicherung der Daten anderer Kunden und zur Einhaltung der getroffenen technischen und organisa­torischen Maßnahmen abhängig zu machen. Wir sind berechtigt, der Auswahl des Prüfers aus wichtigem Grunde zu widersprechen. Ein wichtiger Grund ist insbe­sondere ein Wettbewerbsverhältnis zwischen der Prüfungsgesellschaft und uns.

    4. Wir werden die im Rahmen einer Prüfung getroffenen Feststellungen und die umzuset­zen­den Maßnahmen sowie die Verteilung der entstehenden Kosten abstimmen.

  8. Haftung und Schadenersatz

    1. Macht eine betroffene Person Ihnen oder uns gegenüber Schadenersatzansprüche wegen Verstoßes gegen datenschutzrechtliche Bestimmungen geltend, so werden wir uns wechselseitig hierüber unverzüglich informieren. Wir unterstützen uns gegenseitig bei der Abwehr von Schadenersatzansprüchen, es sei denn, dies würde die jeweilige Rechtsposition untereinander oder zur Aufsichtsbehörde gefährden.

    2. Wir haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

  9. Laufzeit, Beendigung

    1. Das Rahmenauftragsverhältnis besteht auf unbestimmte Zeit.

    2. Es endet mit Beendigung des zugehörigen Hauptvertrags, ohne dass es einer geson­derten Kündigung bedarf.

    3. Nach Beendigung werden wir nach Ihrer Wahl unverzüglich verarbeiteten Daten her­ausgeben oder datenschutzkonform löschen und Ihnen dies auf Wunsch in Textform (z.B. durch ein Löschprotokoll) bestätigen.

  10. Sonstiges

    1. Sollten Ihre Daten bei uns durch Pfändung oder Be­schlag­nahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnah­men Dritter gefährdet werden, so werden wir Sie unverzüglich darüber in Textform in­for­mieren. Wir werden alle in diesem Zusammenhang Verantwortlichen un­ver­züg­lich in Textform da­rüber informieren, dass die Verantwortung für die Daten aus­schließ­lich bei Ihnen liegt.

    2. Es gilt deutsches Recht. Sofern im Hauptvertrag eine Regelung zum Gerichtsstand getroffen worden ist, gilt diese. Anderenfalls ist der Gerichtsstand für sämtliche Ansprüche aus und im Zusammenhang mit diesem Auftragsverhältnis München.

Anlage 1 - Angaben zur Datenverarbeitung

Nachfolgend finden Sie die Angaben zur Datenverarbeitung durch die Coaching Cosmos GmbH.

Name der
Datenverarbeitung

Zwecke der
Datenverarbeitung

Rechtsgrund­lage

Beschreibung der Verarbeitung

Verarbeitung besonderer Arten personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO

Betroffene / betroffene Personengruppen

Personenbezogene Daten / Datenkategorien

Empfänger / Empfänger­kategorien

Dritt­staaten­transfer

Regelfristen für die Löschung

Selbstcoachingsystem,

Kompetenzanalyse,
Betriebsklimaanalyse, Umfragen;

Cockpit für

Personalabteilungen

Durchführung von

betrieblichen Analysen

Maßnahmen zur

Personalentwicklung

Auftragsverarbeitung

Art. 28 DSGVO,

Art. 6 lit b. DSGVO

Nutzer füllen Fragebögen online aus; Daten werden automatisiert ausgewertet Im Rahmen des Coachings werden via Chat und

Dateitransfer Informationen zwischen Coach und Nutzer geteilt

Nein

Mitarbeiter:innen des Auftraggebers, Coaches,

Mitarbeiter:innen von Coaching Cosmos

Name, Unternehmen,
E-Mail Adresse;

berufliches Profil, Inhaltsdaten von Befragungen,

Informationen

Mitarbeiter:innen des Auftraggebers und des Auftragnehmers

Nein

Eine Löschung erfolgt auf Wunsch des Auftraggebers sowie nach Beendigung des Auftragsverhältnisses

innerhalb von drei Monaten.

 


 

Angaben zu Unterauftragnehmern

Die Coaching Cosmos GmbH nutzt zur Erbringung ihrer Leistungen die Dienste der

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Tel.: +49 (0)9831 505-0
Fax: +49 (0)9831 505-3
E-Mail: info@hetzner.com

Die Hetzner Online GmbH erbringt Hosting-Dienstleistungen

Mit der Hetzner Online GmbH ist ein Auftragsverhältnis im Sinne des Art. 28 DSGVO vereinbart worden.

Die Hetzner Online GmbH ist nach DIN ISO/IEC 27001 zertifiziert worden. Der international anerkannte Standard für Informationssicherheit bescheinigt der Hetzner Online GmbH, dass ein geeignetes Informationssicherheitsmanagementsystem, kurz ISMS, implementiert und adaptiert wurde. Das ISMS findet an den Standorten Nürnberg und Falkenstein bei der Infrastruktur und dem Betrieb der gesamten Datacenterparks Anwendung und wurde durch die FOX Certification geprüft. Das Zertifikat weist ein adäquates Sicherheitsmanagement, die Sicherheit der Daten, die Vertraulichkeit der Informationen und die Verfügbarkeit der IT- Systeme nach. Es bestätigt zudem, dass die Sicherheitsstandards kontinuierlich verbessert und nachhaltig kontrolliert werden.

Anlage 2 – Technische und organisatorische Maßnahmen nach Art. 32 DSGVO


 

1.
Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

a) Zutrittskontrolle

Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:

☒ Zutrittskontrollsystem, Ausweisleser (Magnet-/Chipkarte)

☒ Türsicherungen (elektrische Türöffner, Zahlenschloss, etc.)

☐ Sicherheitstüren / -fenster

☒ Gitter vor Fenstern/Türen

☒ Schlüsselverwaltung/Dokumentation der Schlüsselvergabe

☐ Werkschutz, Pförtner

☒ Alarmanlage

☐ Videoüberwachung

☐ Spezielle Schutzvorkehrungen des Serverraums

☐ Spezielle Schutzvorkehrungen für die Aufbewahrung von Back-Ups und/oder sonstigen Datenträgern

☐ Nicht-reversible Vernichtung von Datenträgern

☐ Mitarbeiter- und Berechtigungsausweise

☐ Sperrbereiche

☐ Besucherregelung (Bspw. Abholung am Empfang, Dokumentation von Besuchszeiten, Besucherausweis, Begleitung nach dem Besuch bis zum Ausgang)

b) Zugangskontrolle

Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben.

☒ Persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk

☒ Autorisierungsprozess für Zugangsberechtigungen

☒ Begrenzung der befugten Benutzer

☒ Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)

☒ Protokollierung des Zugangs

☒ Zusätzlicher System-Log-In für bestimmte Anwendungen

☒ Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)

☒ Firewall

c) Zugriffskontrolle

Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben.

☒ Verwaltung und Dokumentation von differenzierten Berechtigungen

☒ Abschluss von Verträgen zur Auftragsdatenverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von pbD, also der Umgang mit personenbezoge­nen Daten, Gegenstand der Dienstleistung ist.

☒ Autorisierungsprozess für Berechtigungen

☒ Profile/Rollen

☒ Verschlüsselung von CD/DVD- ROM, externen Festplatten und/oder Laptops (etwa per Betriebssystem, TrueCrypt, Safe Guard Easy, WinZip, PGP)

☒ Vier-Augen-Prinzip

☒ Fachkundige Akten- und Datenträgervernichtung gemäß DIN 66399

☒ Nicht-reversible Löschung von Datenträgern

☐ Sonstiges:

d) Trennungskontrolle

Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden.

☒ Speicherung der Datensätze in physikalisch getrennten Datenbanken

☒ Zugriffsberechtigungen nach funktioneller Zuständigkeit

☐ Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen

☐ Mandantenfähigkeit von IT-Systemen

☒ Verwendung von Testdaten

☒ Trennung von Entwicklungs- und Produktionsumgebung

☐ Sonstiges:

e) Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

Sofern Intranetintegration mit Kundenintranet vorliegt: Pseudonymisierung auf Intranetseite, Pseudonymisierungsmethodik nach Wahl des Kunden

2.
Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

a) Weitergabekontrolle

Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:

☒ Gesicherter File Transfer (z.B. sftp)

☒ Gesicherter Datentransport (z.B. SSL, ftp, ftps, TLS)

☒ Verschlüsselung von CD/DVD- ROM, externen Festplatten oder USB-Sticks (z.B. True Crypt, Safe Guard Easy, PGP)

☒ Gesichertes WLAN

☒ Regelung zum Umgang mit mobilen Speichermedien (z.B. Laptop, USB-Stick, Mobiltelefon)

☒ Protokollierung von Datenübertragung oder Datentransport

☒ Protokollierung von lesenden Zugriffen

☒ Protokollierung des Kopierens, Veränderns oder Entfernens von Daten

b) Eingabekontrolle

Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat.

☒ Zugriffsrechte

☒ Systemseitige Protokollierungen

☒ Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten

☒ Mehraugenprinzip

3.
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeitskontrolle und Belastbarkeitskontrolle

Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind.

☒ Sicherheitskonzept für Software- und IT-Anwendungen

☒ Back-Up Verfahren

☐ Aufbewahrungsprozess für Back-Ups (brandgeschützter Safe, getrennter Brandabschnitt, etc.)

☒ Gewährleistung der Datenspeicherung im gesicherten Netzwerk

☒ Bedarfsgerechtes Einspielen von Sicherheits-Updates

☒ Spiegeln von Festplatten

☐ Einrichtung einer unterbrechungsfreien Stromversorgung (USV)

☒ Geeignete Archivierungsräumlichkeiten für Papierdokumente

☒ Brand- und/oder Löschwasserschutz des Serverraums

☒ Klimatisierter Serverraum

☒ Virenschutz

☒ Firewall

☐ Notfallplan

☐ Erfolgreiche Notfallübungen

☒ Redundante, örtlich getrennte Datenaufbewahrung (Offsite Storage)

☐ Sonstiges:

4.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

a) Datenschutz-Management

Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:

☐ Datenschutzleitbild

☒ Datenschutz-Richtlinie

☒ Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit

☒ Bestellung eines Datenschutzbeauftragten

☒ Verpflichtung der Mitarbeiter auf das Datengeheimnis

☒ Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten

☒ Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)

☒ Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO)

☐ Sonstige:

b) Incident-Response-Management

Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

☒ Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)

☒ Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)

☐ Sonstige:

c) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

Es werden nur Daten auf, die zur Erbringung der Leistung notwendig sind. Wir benötigen lediglich eine E-Mail Adresse und ein selbst gewähltes Passwort.

d) Auftragskontrolle

Durch folgende Maßnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können.

☒ Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers

☒ Prozess zur Erteilung und/oder Befolgung von Weisungen

☒ Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern

☒ Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung

☒ Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragnehmer

☐ Unabhängige Auditierung der Weisungsgebundenheit

☒ Verpflichtung der Mitarbeiter auf das Datengeheimnis