/>
die.interaktiven GmbH & Co. KG

Datenschutzcenter

In unserem Datenschutz-Center stellen wir Ihnen alle für die DSGVO benötigten Dokumente an einer Stelle zur Verfügung. Darüber hinaus finden Sie nachfolgend unser Leistungsverzeichnis, eine Übersicht unserer Unterauftragnehmer sowie Informationen zu unseren technischen und organisatorische Maßnahmen (kurz: TOM) um Ihre Daten und die Daten Ihrer Kunden zu schützen.

Die aktuellste Fassung unseres Vertrages zur Auftragsdaten Verarbeitung können Sie hier herunterladen.

Leistungsverzeichnis

Business Applications

Gegenstand Art und Zweck der Verarbeitung Datenarten / -kategorien Kategorien der betroffenen Personen

Technische (Weiter-)Entwicklung der Salesforce Kundeninstanz, Beratung und Projekmanagement

Lesenden Zugriff auf der Salesforce Plattform um basierend auf den Daten und deren Struktur um beraten zu können Zugriff auf alle aus die Salesforce Kundeninstanz gespeicherte Daten, z.B. Kommunikationsdaten (z.B. Telefon, E-Mail, Anschrift), Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse), Kundenhistorie, Auftrag-Abrechnungs- und Zahlungsdaten, Planungs- und Steuerungsdaten, Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen), Kreditinformation, Personalinformation, Vorstrafen und potenziell auf jegliche elektronische Kommunikation. Abonnenten
Beschäftigte
Interessenten
Lieferanten
Handelsvertreter
Kunden
Mitbewerber
Partner
Bewerber
Verbraucher

Technische (Weiter-)Entwicklung der Salesforce Kundeninstanz, Administration

Lesenden und schreibenden Zugriff auf der Salesforce Plattform um die Plattform warten zu können

Zugriff auf alle aus die Salesforce Kundeninstanz gespeicherte Daten, z.B. Kommunikationsdaten (z.B. Telefon, E-Mail, Anschrift), Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse), Kundenhistorie, Auftrag-Abrechnungs- und Zahlungsdaten, Planungs- und Steuerungsdaten, Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen), Kreditinformation, Personalinformation, Vorstrafen und potenziell auf jegliche elektronische Kommunikation. Abonnenten
Beschäftigte
Interessenten
Lieferanten
Handelsvertreter
Kunden
Mitbewerber
Partner
Bewerber
Verbraucher
Technische (Weiter-)Entwicklung der Salesforce Kundeninstanz, Programmierung Lesenden und schreibenden Zugriff auf die Salesforce Plattform, um die Plattform weiter entwicklen zu können Zugriff auf alle in der Salesforce Kundeninstanz gespeicherte Daten, z.B. Kommunikationsdaten (z.B. Telefon, E-Mail, Anschrift), Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse), Kundenhistorie, Auftrags-Abrechnungs- und Zahlungsdaten, Planungs- und Steuerungsdaten, Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen), Kreditinformation, Personalinformation, Vorstrafen und potenziell auf jegliche elektronische Kommunikation. Abonnenten
Beschäftigte
Interessenten
Lieferanten
Handelsvertreter
Kunden
Mitbewerber
Partner
Bewerber
Verbraucher

Technische (Weiter-)Entwicklung der Salesforce Kundeninstanz, Beratung zur System Architektur

Lesenden Zugriff auf die Salesforce Plattform, um basierend auf den Daten und deren Struktur beraten zu können Zugriff auf alle in der Salesforce Kundeninstanz gespeicherte Daten, z.B. Kommunikationsdaten (z.B. Telefon, E-Mail, Anschrift), Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse), Kundenhistorie, Auftrags-Abrechnungs- und Zahlungsdaten, Planungs- und Steuerungsdaten, Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen), Kreditinformation, Personalinformation, Vorstrafen und potenziell auf jegliche elektronische Kommunikation. Abonnenten
Beschäftigte
Interessenten
Lieferanten
Handelsvertreter
Kunden
Mitbewerber
Partner
Bewerber
Verbraucher

Technische (Weiter-)Entwicklung der Salesforce Kundeninstanz, Auswertung von Analyseergebnissen und Massendaten

Lesenden und schreibenden Zugriff auf die Salesforce Plattform, um die Daten auswerten zu können Zugriff auf alle in der Salesforce Kundeninstanz gespeicherte Daten, z.B. Kommunikationsdaten (z.B. Telefon, E-Mail, Anschrift), Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse), Kundenhistorie, Auftrags-Abrechnungs- und Zahlungsdaten, Planungs- und Steuerungsdaten, Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen), Kreditinformation, Personalinformation, Vorstrafen und potenziell auf jegliche elektronische Kommunikation.

Abonnenten
Beschäftigte
Interessenten
Lieferanten
Handelsvertreter
Kunden
Mitbewerber
Partner
Bewerber
Verbraucher

Technische Entwicklung von Mobile Apps, Programmierung

Lesenden und schreibenden Zugriff auf Mobile Apps, Datenbanken und Server, um die mobile Anwendungen weiter entwicklen zu können Zugriff auf alle in der Salesforce Kundeninstanz gespeicherte Daten, z.B. Kommunikationsdaten (z.B. Telefon, E-Mail, Anschrift), Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse), Kundenhistorie, Auftrags-Abrechnungs- und Zahlungsdaten, Planungs- und Steuerungsdaten, Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen), Kreditinformation, Personalinformation, Vorstrafen und potenziell auf jegliche elektronische Kommunikation.

Abonnenten
Beschäftigte
Interessenten
Lieferanten
Handelsvertreter
Kunden
Mitbewerber
Partner
Bewerber
Verbraucher

Online-Präsenzen (Webseiten, Landingpages, Online-Apps etc.)

Gegenstand Art und Zweck der Verarbeitung Datenarten / -kategorien Kategorien der betroffenen Personen
Technische Arbeiten an der Online-Präsenz Zugriff auf im Content-Management-System hinterlegte Inhalte und Benutzerdaten für die technische Bearbeitung und Erweiterung der Plattform.
Zugriff auf Logfiles zur Absicherung des Servers / der Webseite.
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Redaktionelle Arbeiten an der Online-Präsenz Zugriff auf im Content-Management-System hinterlegte Inhalte wie z.B. Kontaktdaten für Ansprechpartner. Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Digitale Strategie / Strategische
(Weiter-)Entwicklung der Online-Plattformen / Beratung
Ggf. Zugriff auf Analysedaten zur Auswertung des Benutzerverhaltens.
Zugriff auf im Content-Management-System hinterlegte Inhalte und Benutzerdaten.
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Entwicklung einer Online-Präsenz inkl. Beratung, Gestaltung und Programmierung Ggf. Zugriff auf Analysedaten zur Auswertung des Benutzerverhaltens.
Zugriff auf für die Webseite vorgesehene Inhalte wie z.B. Ansprechpartner, um diese auf die Webseite zu übertragen.
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner

Online-Shop

Gegenstand Art und Zweck der Verarbeitung Datenarten / -kategorien Kategorien der betroffenen Personen
Technische Bearbeitung des Online-Shops Zugriff auf im Online-Shop gespeicherte Benutzerdaten und Inhalte für die technische Bearbeitung.
Zugriff auf Logfiles zur Absicherung des Servers / des Online-Shops.
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Redaktionelle Arbeiten an den Online-Shops Zugriff auf Inhalte des Online-Shops, wie z.B. Ansprechpartner. Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Konzeption und Umsetzung eines Online-Shops inkl. Beratung, Gestaltung und Programmierung Ggf. zugriff auf Analysedaten zur Auswertung des Benutzerverhaltens.
Zugriff auf für den Webshop vorgesehene Inhalte wie z.B. Ansprechpartner, um diese auf die Webseite zu übertragen.
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Digitale Strategie / Strategische
(Weiter-) Entwicklung des Online-Shops
Ggf. Zugriff auf Analysedaten zur Auswertung des Benutzerverhaltens.
Ggf. Zugriff auf Benutzerkonten zum Auswerten von Kaufverhalten und zur Optimierung des Kauferlebnisses.
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Technische Weiterentwicklung des Online-Shops Zugriff auf im Online-Shop gespeicherte Benutzerdaten und Inhalte für die technische Administration.
Zugriff auf Logfiles zur Absicherung des Servers / des Online-Shops.
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner

Hosting

Gegenstand Art und Zweck der Verarbeitung Datenarten / -kategorien Kategorien der betroffenen Personen
Hosting der Webseite Durch die Bereitstellung von Webspace und Datenbanken haben wir potentiell Zugriff auf Besucherdaten und Webseiten-Inhalte.
Zugriff auf Logfiles.
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Hosting des Online-Shops Durch die Bereitstellung von Webspace und Datenbanken haben wir potentiell Zugriff auf Kundendaten und Webseiten-Inhalte.
Zugriff auf Logfiles.
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Hosting von Entwicklungsumgebung Durch die Bereitstellung einer Entwicklungsumgebung haben wir potentiell Zugriff auf Daten, die in den Datenbanken und auf dem Webspace hinterlegt sind. Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner

SEO & Online-Marketing

Gegenstand Art und Zweck der Verarbeitung Datenarten / -kategorien Kategorien der betroffenen Personen
Betreuung von Online-Kampagnen Zugriff auf Analysetools / Analyseergebnisse zum Auswerten des Benutzerverhaltens. Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Beratung zum Thema Online-Marketing (Mit Auswertung von Analyseergebnissen) Zugriff auf Analysetools / Analyseergebnisse zum Auswerten des Benutzerverhaltens. Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Suchmaschinenoptimierung (On-, und Offpage) Zugriff auf Analysetools / Analyseergebnisse zum Auswerten des Benutzerverhaltens.
Zugriff auf Webseiteninhalte.
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner

Newsletter

Gegenstand Art und Zweck der Verarbeitung Datenarten / -kategorien Kategorien der betroffenen Personen
Betreuung von E-Mail-Marketing-Kampagnen Zugriff auf Empfängerinformationen zum Verwalten von E-Mail Kampagnen.
Zugriff auf das Newsletter-Tracking.
Zugriff auf Newsletter-Inhalte.
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Erstellen von Newsletter inkl. Beratung, Gestaltung, Programmierung, Testen Zugriff auf Newsletter-Inhalte Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Versenden von Newslettern Zugriff auf Empfängerinformationen zum Versenden von Newslettern
Zugriff auf Newsletter-Inhalte.
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Verwalten der Newsletter-Empfänger Zugriff auf Empfängerinformationen zum Versenden von Newslettern
Zugriff auf Newsletter-Inhalte.
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner

(Offline-)Marketing

Gegenstand Art und Zweck der Verarbeitung Datenarten / -kategorien Kategorien der betroffenen Personen
Erstellen eines Marketing-Konzepts (Mit Auswertung von Analysedaten) Ggf. Zugriff auf Analysetools und Analyseergebnisse.
Zugriff auf Inhalte für Marketingmaßnahmen.
Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner
Erstellen von Printmedien Zugriff auf Inhalte für Printmedien. Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Planungs- und Steuerungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Kunden
Interessenten
Abonnenten
Beschäftigte
Lieferanten
Handelsvertreter
Ansprechpartner

Unterauftragnehmer

Hosting

Unterauftragnehmer (Name, Rechtsform, Sitz der Gesellschaft) Verarbeitungsstandort Art der Dienstleistung

1&1 Internet SE, DE

DE

Hosting

Amazon Web Services, Inc., USA

mixed

Hosting, IaaS, PaaS

Cloudflare, Inc, USA

mixed

Hosting, CDN

domainfactory GmbH, DE

DE, FR

Hosting

Google Cloud Platform (GCP)

mixed

IaaS, PaaS

Hetzner Online GmbH, DE

DE

Hosting

Host Europe GmbH, DE

FR

Hosting

Mittwald CM Service GmbH & Co. KG, DE

DE

Hosting

Nimblu PlusServer GmbH, DE

DE

Hosting

platform.sh

DE, EU

IaaS, PaaS

Marketing

Unterauftragnehmer (Name, Rechtsform, Sitz der Gesellschaft) Verarbeitungsstandort Art der Dienstleistung

CleverReach GmbH & Co. KG, DE

EU

Newslettersystem

Dotmailer Limited

UK

Marketing Automation

Inxmail GmbH, DE

DE

Newslettersystem

MailChimp, USA

US

Newslettersystem

Marketing Cloud

USA

Marketing Automation

PARDOT EMEA, UK

UK

Marketing Automation

Dienstleister

Unterauftragnehmer (Name, Rechtsform, Sitz der Gesellschaft) Verarbeitungsstandort Art der Dienstleistung

clever + zöger GmbH, DE

DE

Development

Kellerkinder / k10r GmbH

DE

Development

UAB Techsma

LT

Development

Zepcom

PK

Development

Freelancer

Unterauftragnehmer (Name, Rechtsform, Sitz der Gesellschaft) Verarbeitungsstandort Art der Dienstleistung

Bitkomponist Design & Development, DE

DE

Development

Fäßler Web UG Webentwicklung und IT-Dienstleistungen, DE

DE

Development

Tracking

Unterauftragnehmer (Name, Rechtsform, Sitz der Gesellschaft) Verarbeitungsstandort Art der Dienstleistung

Google Ireland Limited, IRL

mixed

Tracking 

etracker GMBH, DE

DE

Tracking 

Werbung

Unterauftragnehmer (Name, Rechtsform, Sitz der Gesellschaft) Verarbeitungsstandort Art der Dienstleistung

Cirruspath Inc.

mixed

 

DataValidation by Synapp.io

EU

 

Facebook Ireland Limited, IRL

mixed

Werbeplattform 

Google Ireland Limited, IRL

mixed

Werbeplattform 

HubSpot Inc., USA

DE, US

Werbeplattform 

LinkedIn Ireland Unlimited Company, IRL

mixed

Werbeplattform 

Outbrain UK Limited, UK

mixed

Werbeplattform 

Plista GmbH, DE

mixed

Werbeplattform 

Taboola, Inc., USA

mixed

Werbeplattform 

Xing, SE, DE

mixed

Werbeplattform 

Shops

Unterauftragnehmer (Name, Rechtsform, Sitz der Gesellschaft) Verarbeitungsstandort Art der Dienstleistung

CloudCraze Software LLC

US

eCommerce Plattform

Shopware AG, DE

DE

eCommerce Plattform 

Tools

Unterauftragnehmer (Name, Rechtsform, Sitz der Gesellschaft) Verarbeitungsstandort Art der Dienstleistung

salesforce.com Germany GmbH, DE

DE, FR

CRM-System, Auftragsverwaltung

Atlassian (JIRA,Confluence,Trello), USA

US

Ticketsystem und Dokumentverwaltung des Auftragnehmers

Google LLC, USA

US

Cloud-Basierte Office Applikationen und Dokumentenablage, Google G Suite 

Slack Technologies, USA

US

Software zur Teamkommunikation 

Adobe Systems Software Ireland Limited, IRL

US

Creative Cloud, Software as a Service, Cloud-Speicher 

Apple Distribution International, IRL

US

iCloud, Cloud Speicher

InVisionApp Inc., USA

US

Prototyping, Cloud Service

AgileBits, Inc., CAN

CA

1Password, Passwortverwaltung 

Microsoft Corporation, USA

US

Office365 

REISSWOLF Archivservice GmbH, DE

DE

Akten-, und Datenvernichtung 

Sage GmbH

DE

Buchhaltung/Rechnungswesen 

Muskat & Rauber Partnergesellschaft mbB

DE

Gehaltsabrechnung

Envoy

US

Besucherregistrierung

Robin

US

Raumplanung

Audi Bank

DE

Darlehensvertrag

BMW Bank GmbH

DE

Fahrzeugleasing

Volkswagen Leasing

DE

Fahrzeugleasing

COFACE RATING GMBH

DE

Auskunftei/Forderungsversicherung

Technisch-Organisatorische Maßnahmen

Stand: 04.07.2018

1. Vertraulichkeit (Art. 32 Abs. 1 DS-GVO)

Zutrittskontrolle 
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen:

Schutzmaßnahmen des Gebäudes Tag/Nacht

  • Chipkarten-/ Transponder- Schließsystem
  • Empfangsregelung Dokumentation
  • Chipkartenregelung nur über personalisierte RFID

Chipregelung:
Die Chipvergabe wird protokolliert und erfolgt nur an ausgewählte Personen
Betreten der Geschäftsräume ist nur in Begleitung gestattet
Zutritt zu Geschäftsräumen über Chip (identifizierbar über feste Chip-Nummer), reduzierte Benutzer

Zugangskontrolle
Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, ZweiFaktor-Authentifizierung, Verschlüsselung von Datenträgern:
Verschlüsselung von Notebooks, USB Sticks und von sonstigen mobilen Datenträgern auf denen sich Daten des Auftraggebers befinden

Benutzerrechte vergeben

  • Passwortvergabe
  • Authentifikation mit Benutzername / Passwort
  • Server Zugang und Gehäuseverriegelung
  • Verschlüsselung von mobilen Endgeräten
  • Zutrittsregelung
  • Einsatz von VPN- Technologie
  • Sicherheitsschlösser
  • Sorgfältige Auswahl von externem Personal für Serviceleistungen

Zugang zu Daten des Auftraggebers durch Dritte ausschließen

  • Zuordnung von Benutzerrechten
  • Zuordnung von Benutzerprofilen zu IT- Systemen

Besucherkontrolle

  • Personenkontrolle beim Empfang – Protokollierung der Besucher

Schutz

  • Einsatz von Anti-Viren- Software
  • Einsatz einer Hardware- Firewall

Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.:
Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen:

Schriftliches Berechtigungskonzept des Auftragnehmers

  • Erstellen eines Berechtigungskonzepts
  • Verwaltung der Rechte durch Systemadministrator
  • Sichere Aufbewahrung von Datenträgern Protokollierung Datenbankzugriff
  • Anzahl der Administratoren auf das ,,Notwendigste“ reduziert
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten Vernichtung/ Löschung
  • Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
  • Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz- Gütesiegel)
  • Ordnungsgemäße Vernichtung von Datenträgern (DIN 66399/neu)

Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing:

  • Logische Mandantentrennung (softwareseitig)
  • Erstellung eines Berechtigungskonzepts
  • Festlegung von Datenbankrechten
  • Trennung von Produktiv- und Testsystem

Trennung der Daten des Auftraggebers von eigenen Daten / anderen Auftragsdaten hat zu erfolgen

  • Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern

Sonstiges

  • Erstellung eines Berechtigungskonzepts
  • Festlegung von Datenbankrechten

Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen:

  • Ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte Verbindungen.

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur:

Art der Übertragung von Daten des Auftraggebers wird festgelegt auf

  • Zugriff auf Datenserver erfolgt per HTTPS-Protokoll
  • Protokollierung der Übermittlung über Server
  • Weitergabe von Daten in anonymisierter oder pseudonymisierter Form

Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement:

Veränderung / Erfassung von Daten des Auftraggebers

  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle

Benutzernamen (nicht Benutzergruppen)

  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; onsite/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Meldewege und Notfallpläne:

Daten auf Serversystemen, werden mindestens täglich inkrementell und wöchentlich „voll“ gesichert. Die Sicherungsmedien werden verschlüsselt an einen physisch getrennten Ort verbracht.

Technisch sind alle Sicherungsmaßnahmen wie USV usw getroffen.

Mitarbeiter sind verpflichtet, keine Unternehmensdaten oder Daten von Kunden auf lokalen Speichermedien, sondern stets auf den Servern zentral zu speichern, um eine ordnungsgemäße Sicherung der Daten zu gewährleisten.

Das Einspielen von Backups wird regelmäßig getestet.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Datenschutz-Management
Datenschutz Mitarbeiter Vereinbarungen, Verschlüsselung, Passwörter, Zutrittskontrolle, TOM´s , Aktualisierung des Verfahrensverzeichnis, Verfügbarkeitsprüfung

Incident-Response-Management (Vorfallsrisiko)
Mitarbeiterschulung Risiko- und Folgeabschätzung, Schadeneindämmung, Ausmerzung der Ursache, Wiederherstellung betroffener Systeme, Dokumentation, Analyse

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
Privacy by Design - datenschutzkonforme Konzeption und Entwicklung von IT-Systemen Privacy by Default - Datenbanken und Benutzer Gruppenrechte Datenschutzfreundliche Voreinstellungen i.S.d. Art. 25 DSGVO sind vom Auftraggeber einzuhalten und umzusetzen. Der Auftragnehmer unterstützt den Auftraggeber bei Wünschen zur Umsetzung der Vorgaben aus Art. 25 DSGVO im Rahmen seiner Möglichkeiten und gegen Übernahme entstehender Mehrkosten, sofern die Umsetzung nach der DSGVO nicht eine eindeutige Pflicht darstellt und vom Auftragnehmer zu erfüllen ist.

Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement wie Nachkontrollen der technischen und organisatorischen Maßnahmen.

  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
  • schriftliche Weisungen an den Auftragnehmer (z.B. durch AV-Vertrag oder NDA)
  • Auftragnehmer hat Datenschutzbeauftragten bestellt
  • Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart
  • vorherige Prüfung der und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen
  • Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis (BDSGneu)
  • laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten (1-2 Audits pro Jahr)

TOMs Grundlage nach EU DSGVo:

Maßnahmen
Beschreibung
Datum Feststellung
Stand der Technik objektive techn. Auswahl
Stand der Technik subjektiv Auswahl
Schutzbedarf
Wirksamkeitsprüfung
Wiedervorlage Turnus
Verantwortlich / 4-Augen Prinzip
Unternehmens / Konzern Mindeststandards