Auftragsverarbeitung gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Stand 08.02.2022

Version: 2.0

 Die node.energy GmbH, c/o GreenTech Hub, Carl-von-Noorden-Platz 5 60596 Frankfurt am Main, verpflichtet sich gegenüber dem Auftraggeber, im Folgenden auch „Verantwortlicher“ nach Maßgabe der folgenden Bestimmungen.

1.  Gegenstand und Dauer des Auftrags

1.1. Gegenstand des Auftrags

Gegenstand des Auftrags ergibt sich aus dem zugrundeliegenden Vertrag bestehend in der Regel aus einem gegengezeichneten Angebot einschließlich der Allgemeinen Geschäftsbedingungen sowie zugehöriger Anlagen und weiterer in Bezug genommenen Dokumente (im Folgenden: Hauptvertrag).

1.2. Dauer des Auftrags

Gegenstand des Auftrags ergibt sich aus dem zugrundeliegenden schriftlichen Vertrag.

2. Umfang, Art und Zweck der Datenverwendung, Datenarten und Kreis der Betroffenen 

2.1. Umfang, Art und Zweck der Datenverwendung

Die Tätigkeit des Auftragnehmers / Auftragsverarbeiters dient den im Hauptvertrag vereinbarten Zwecken.

2.2. Datenarten

Datenarten, die Gegenstand dieses Auftrags sind, ergeben sich aus Ziffer 4.

2.3. Kreis der Betroffenen

Im Wege der Auftragserfüllung verwendet der Auftragnehmer / Auftragsverarbeiter personenbezogene Daten der unter Ziffer 5 bestimmten Kreise von Betroffenen.

3. Sonstige Regelungen

3.1 Informationspflicht des Auftragnehmers

Sollte die auftragsgemäße Erfüllung des Auftragsgegenstandes gem. Ziffer 1. (Gegenstand und Dauer des Auftrags) dieser Vereinbarung beim Auftragnehmer /Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz-oder ein Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, informiert der Auftragnehmer / Auftragsverarbeiter den Auftraggeber / Verantwortlichen unverzüglich. Der Auftragnehmer /Auftragsverarbeiter wird alle in diesem Zusammenhang Beteiligte unverzüglich darüber informieren, dass die Verfügungsbefugnisse an den Daten ausschließlich beim Auftraggeber / Verantwortlichen liegen.

Bei etwaigen Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen die Regelungen dieses Vertrags den Regelungen des Hauptvertrages vor.

Sollten einzelne Teile dieses Vertrags unwirksam sein, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht.

Jede Veränderung dieser Vereinbarung einschließlich ihrer Kündigung und dieser Klausel bedarf der Schriftform, was auch in einem elektronischen Format erfolgen kann.

3.2. Weisungsgebundene Verarbeitung und Remonstrationspflicht

Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

Weisungen werden vom Verantwortlichen grundsätzlich in Textform (z.B. per E-Mail) erteilt. Soweit eine Weisung ausnahmsweise mündlich erfolgt, wird diese vom Auftragsverarbeiter entsprechend in Textform (z.B. per E-Mail) bestätigt.

Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf hinweisen, wenn die Befolgung einer vom Verantwortlichen erteilten Weisung nach seiner Ansicht gegen die DSGVO oder eine andere Vorschrift über den Datenschutz verstößt (Remonstrationspflicht).

3.3. Vertraulichkeits-/ Verschwiegenheitspflicht

Der Auftragsverarbeiter wird zur Durchführung des Vertrages nur Personenbeschäftigen, die er zur Vertraulichkeit verpflichtet hat oder die einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

3.4. Sicherheit der Verarbeitung / Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO

Der Auftragsverarbeiter ergreift alle erforderlichen technischen und organisatorischen Maßnahmen gem. Artikel 32 DSGVO. Diese sind in Anlage 1 zu dieser AVV spezifiziert.

Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Während der Dauer dieses Auftrags sind diese durch den Auftragsverarbeiter fortlaufend an die Anforderungen dieses Auftrags anzupassen und dem technischen Fortschritt entsprechend weiterzuentwickeln. Das Sicherheitsniveau der in Anlage 1 dokumentierten technischen und organisatorischen Maßnahmen darf nicht unterschritten werden.

Der Auftragsverarbeiter verpflichtet sich, Änderungen der technischen und organisatorischen Maßnahmen, die einen wesentlichen Einfluss auf das gewährleistete Sicherheitsniveau haben, als Ergänzung der Anlage 1 schriftlich zu dokumentieren, was auch in einem elektronischen Format erfolgen kann, und dem Verantwortlichen zur Kenntnis zu geben.

3.5. Inanspruchnahme der Dienste weiterer Auftragsverarbeiter 

Der Auftragsverarbeiter darf weitere Auftragsverarbeiter in Anspruch nehmen. Die zum Zeitpunkt des Vertragsschlusses in Anspruch genommenen weiteren Auftragsverarbeiter sind in diesem Vertrag unter Ziffer 6. (Unterauftragnehmer)aufgeführt. Sofern der Auftragsverarbeiter den Verantwortlichen nicht vor dem Wirksamwerden dieser Vereinbarung über die Zusammenarbeit mit weiteren Auftragsverarbeitern schriftlich informiert hat, was auch in einem elektronischen Format erfolgen kann, darf der Auftragsverarbeiter andere Auftragsverarbeiter nur einsetzen, hinzuziehen oder bestehende weitere Auftragsverarbeiter ersetzen, wenn er den Verantwortlichen zuvor mit ausreichendem zeitlichen Vorlauf (mindestens drei Wochen) über die beabsichtigte Änderung schriftlich oder in Textform informiert hat. Gegenderartige Veränderungen kann der Verantwortliche Einspruch erheben. Erhebt der Verantwortliche Einspruch, so darf er Auftragsverarbeiter die beabsichtige Änderungen nicht vornehmen.

Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags, der schriftlich abzufassen ist, was auch in einem elektronischen Format erfolgen kann, oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichtenauferlegt, die in diesem Vertrag festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

3.6. Mitwirkungs-/ Unterstützungspflichten

Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen bei der Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person (Berücksichtigung von Betroffenenrechten hinsichtlich der Gewährleistung von Transparenz; Recht auf Auskunft; Berichtigungsrecht; Recht auf Löschung („Vergessenwerden“); Recht auf Einschränkung der Verarbeitung; Mitteilungsrecht bei Berichtigung und Löschung sowie Einschränkung der Verarbeitung; Recht auf Datenübertragbarkeit; Widerspruchsrecht; Rechte bei automatisierten Einzelfallentscheidungen) auf erstes Anfordern im Rahmen des Erforderlichen zu unterstützen.

Der Auftragsverarbeiter ist insbesondere verpflichtet, personenbezogene Daten auf Weisung des Verantwortlichen unverzüglich zu berichtigen, zu löschen oder zusperren.

3.7. Unterstützung zur Pflichterfüllung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen sowie nach Maßgabe von § 7 bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten (Gewährleistung der Sicherheit der Verarbeitung; Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörden; Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Datenbetroffenen Person; Datenschutz-Folgenabschätzung; Vorherige Konsultation).

3.8. Meldungen von Verletzungen des Schutzes von personenbezogenen Daten 

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn ihm eine potentielle Verletzung des Schutzes der personenbezogenen Daten bekannt wird. Der Auftragsverarbeiter hat den Verantwortlichen hierbei nach Möglichkeit auch über die Art der Verletzung mit Angabe der Kategorien und der Anzahl der betroffenen Personen, der betroffenen Datensätze und deren Anzahl zu informieren.

Der Auftragsverarbeiter ist verpflichtet, bei allen potentiellen Verletzungen des Schutzes von personenbezogenen Daten unverzüglich sämtliche erforderlichen und zumutbaren Maßnahmen zur Behebung der Verletzung des Schutzes der personenbezogenen Daten und gegebenenfalls zur Abmilderung ihrer möglichen nachteiligen Auswirkungen zu ergreifen. Der Auftragsverarbeiter informiert den Verantwortlichen möglichst frühzeitig und dann laufend über alle solche etwa von ihm ergriffenen Maßnahmen.

Der Auftragsverarbeiter ist verpflichtet, sämtliche potentiellen Verletzungen des Schutzes von personenbezogenen Daten einschließlich aller damit im Zusammenhangstehenden Fakten in einer Weise zu dokumentieren, die dem Verantwortlichen den Nachweis der Einhaltung etwa einschlägiger gesetzlicher Meldepflichten (z.B. nach Art. 33, 34 DSGVO) ermöglicht.

3.9. Löschung und Rückgabe personenbezogener Daten

Soweit gesetzliche oder anderweitige Aufbewahrungspflichten nicht entgegenstehen, wird der Auftragsverarbeiter nach Beendigung des Auftrags die verwendeten personenbezogenen Daten unverzüglich datenschutzkonform löschen.

3.10. Pflichtennachweis und Unterstützung bei Überprüfungen

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Er ermöglicht Überprüfungen - einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und trägt zu ihrer Durchführung bei.

 

4. Gegenstand des Auftrags

Folgende Datenarten sind Gegenstand dieses Auftrags:

  • Adressdaten
  • Vertragsdaten
  • Namen
  • Energieverbrauchs- und Erzeugungsdaten
  • Zugangsdaten
  • Nutzerkennungen
  • Passwörter
  • Zugangsdaten
  • Nutzerkennungen
  • Passwörter

5. Kreise von Betroffenen

Folgende Kreise von Betroffenen sind Gegenstand des Auftrags:

  • Beschäftigte des Nutzerunternehmens
  • Auszubildende und Praktikanten des Nutzerunternehmens
  • freie Mitarbeiter des Nutzerunternehmens
  • Kunden des Nutzerunternehmens
  • Interessenten des Nutzerunternehmens
  • Lieferanten und Dienstleister des Nutzerunternehmens
  • Mieter des Nutzerunternehmens
  • Geschäftspartner des Nutzerunternehmens
  • Berater des Nutzerunternehmens

6. Unterauftragnehmer

1.   Microsoft Ireland Operations Ltd.

  • Adresse: 70 Sir John Rogerson’s Quay, Dublin 2,Irland
  • Gegenstand:
  • Bereitstellung von Azure Kubernetes Engine zum Hosten der Web-Applikation
  • Bereitstellung von Postgres-Datenbanken und ObjectStorage
  • Sonstige Cloud-Dienste
  • Ort der Datenverarbeitung: Frankfurt am Main, Backups ggf. in anderen Rechenzentren im Europäischen Wirtschaftsraum

2.   Functional Software, Inc. (Sentry)

  • Adresse: 132 Hawthorne St, San Francisco, CA 94107, USA
  • Gegenstand: Sammeln von Fehler-Logs(pseudonymisiert)
  • USA (Standardvertragsklauseln [SCC], siehe https://sentry.io/legal/dpa/3.0.0/ )

Anlage 1 Technische und organisatorische Maßnahmen

Stand: 02/11/2021

Das nachfolgende Dokument dient nur der erläuternden Darstellung gesetzlicher Anforderungen in Bezug auf den Datenschutz. Die Rechte und Pflichten der Parteien ergeben sich allein aus den vertraglichen Vereinbarungen und den gesetzlichen Bestimmungen zum Datenschutz. Insofern können aus diesem Dokument keine Ansprüche abgeleitet werden. Technische Änderungen und/oder Änderungen in der Organisation, die keinen Einfluss auf die Erfüllung der gesetzlichen Anforderungen der DS-GVO in der jeweils aktuellen Fassung haben, bedürfen keiner gesonderten Information gegenüber dem Vertragspartner.

Unter Berücksichtigung des

  • Stands der Technik,
  • der Implementierungskosten und
  • der Art, des Umfangs, der Umstände und
  • der Zwecke der Verarbeitung sowie
  • der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

trifft node.energy geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Beider Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch -ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oderunbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

1. Hosting

Zur Sicherstellung höchster Sicherheitsstandards arbeitet node.energy mit Microsoft Azure zusammen. Jegliche Datenbanken, Server sowie Netzwerkinfrastruktur die durch node.energy genutzt werden,  werden in Rechenzentren von Microsoft Azure gehostet. Microsoft Azure als auch der durch node.energy genutzte Dienst Microsoft 365 sind ISO 27001 sowie ISO 27018 (besonderer Verhaltenskodex zum Schutz personenbezogener Daten) zertifiziert.

https://docs.microsoft.com/de-de/compliance/regulatory/offering-ISO-27001?view=o365-worldwide

https://docs.microsoft.com/de-de/compliance/regulatory/offering-ISO-27018?view=o365-worldwide

Die Einstellungen in Microsoft Azure sind so gewählt, dass sichergestellt ist, dass deutsche Rechenzentren genutzt werden und dass die Daten auch in Ausnahmefällen innerhalb der EU verbleiben.

Dies vorausgeschickt ergreift node.energy darüber hinaus folgende Maßnahmen:

2. Pseudonymisierung

Personenbezogene Daten können in einer Weise verarbeitet werden, sodass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die eine unbefugte Identifizierung der Betroffenen gewährleisten. Dies erfolgt wie folgt:

  • getrennte Speicherung von Zusatzinformationen zur Identifikation bei externer Datenverarbeitung
  • Verschlüsselung von Zusatzinformationen zur Identifikation

3. Maßnahmen zur Verschlüsselung

  • Verschlüsselung von mobilen Endgeräten wie Laptops, Tablets, Smartphones
  • Verschlüsselung von mobilen Speichermedien (CD/DVD- ROM, USB-Stick, externen Festplatten)
  • Verschlüsselung von Dateien
  • Verschlüsselung von Systemen/Anlagen
  • Verschlüsselte Aufbewahrung von Passwörtern
  • Gesicherte Datenweitergabe (z.B. SSL,FTPS, TLS)
  • Gesichertes WLAN

4. Maßnahmen zur Sicherstellung von Vertraulichkeit

a.       Zutrittskontrolle

Darunter sind Maßnahmen zu verstehen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Die Büroräume von node.energy befinden sich in einem Bürohaus in Frankfurt. Die Zugänge zum Bürohaus und auch zu den Büroräumen von node.energy sind Tag und Nacht verschlossen. Zugang zu dem Bürohaus haben nur der Vermieter und die Mieter der Büroräume. Es kommt ein elektronisches Schließsystem zum Einsatz, das vom Vermieter verwaltet wird. Nicht befugten Personen ist der Zutritt zu den Räumlichkeiten von node.energy nicht gestattet. Sämtliche Personen, die Zutritt zu den Büroräumen erhalten, werden elektronisch erfasst. Besucher dürfen sich nicht ohne Begleitung in den Büroräumen frei bewegen. Eigene Rechenzentren und Serverräume befinden sich nicht in den Räumlichkeiten von node.energy.

Für die Zutrittskontrolle sind nachfolgende Maßnahmen von node.energy getroffen worden:

  • Zutrittskontrollsystem, Ausweisleser (Magnet-/Chipkarte)
  • Türsicherungen (elektrische Türöffner, Zahlenschloss, etc.)
  • Schlüsselverwaltung/Dokumentation der Schlüsselvergabe
  • Nicht-reversible Vernichtung von Datenträgern

b.      Zugangskontrolle

Durch die Zugangskontrolle wird verhindert, dass die Datenverarbeitungssysteme der node.energy von Unbefugten genutzt werden können. Hält sich die bei Zutritt kontrollierte Person bereits in einem Raum auf, in dem sich die Datenverarbeitungsanlage der node.energy befinden, wird sichergestellt, dass die betreffende Person diese Datenverarbeitungsanlagebenutzen darf. Es ist jederzeit nachvollziehbar, wer wann welches Datenverarbeitungssystem benutzt hat.

Für die Zugangskontrolle sind nachfolgende Maßnahmen von node.energy getroffen worden:

  • Persönlicher und individueller User-Log-In bei Anmeldung am System
  • Autorisierungsprozess für Zugangsberechtigungen
  • Begrenzung der befugten Benutzer
  • Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)
  • Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff
  • Automatische Sperrung der Clients nachgewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
  • Firewall

c.       Zugriffskontrolle

Darunter sind Maßnahmen zu verstehen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

node.energy stellt sicher, dass die berechtigten Personen ausschließlich auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung besitzen (need-to-know-Prinzip) und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Zugriff auf personenbezogene Daten wird kontrolliert, indem dieser in Logdateien des Systems manipulationssicher protokolliert wird. Wenn sich eine befugte Person in einem Raum mit einer Datenverarbeitungsanlage befindet und das System benutzt, ist sichergestellt sein, dass sie nur auf die Datenzugreifen kann, für die sie die entsprechende Berechtigung besitzt(Berechtigungskonzept). Dabei ist nachvollziehbar sein, wer wann auf welche Daten zugegriffen hat.

Zusätzlich ergreift node.energy weitere nachfolgende Maßnahmen:

  • Verwaltung und Dokumentation von differenzierten Berechtigungen
  • Autorisierungsprozess für Berechtigungen
  • Profile/Rollen
  • Verschlüsselung von CD/DVD- ROM, externen Festplatten und/oder Laptops (etwa per Betriebssystem, Safe GuardEasy, PGP)
  • „Mobile Device Management-System“
  • Fachkundige Akten- und Datenträgervernichtung gemäß DIN 66399
  • Nicht-reversible Löschung von Datenträgern
  • Sichtschutzfolien für mobile Datenverarbeitungssysteme

5. Maßnahmen zur Sicherstellung von Integrität

Darunter sind Maßnahmen zu verstehen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Die Eingabe, Änderung und Löschung von personenbezogenen Daten, die von node.energy im Auftrag verarbeitet werden, wird grundsätzlich protokolliert.

Mitarbeitersind verpflichtet, stets mit ihren eigenen Accounts zu arbeiten. Benutzeraccounts dürfen nicht mit anderen Personen geteilt bzw. gemeinsam genutzt werden.

Maßnahmen zur Sicherstellung der Integrität sind wie folgt:

  • Zugriffsrechte
  • Systemseitige Protokollierungen
  • Dokumenten Management System (DMS) mit Änderungshistorie
  • Protokollierung des Kopierens, Veränderns oder Entfernens von Daten

6. Maßnahmen zur Sicherstellung und Wiederherstellung von Verfügbarkeit

node.energy stellt sicher, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind. Die Verfügbarkeit der Daten wird regelmäßig kontrolliert, d. h. es wird sichergestellt, dass die personenbezogenen Daten zu festgelegten Zeiten im festgelegten Umfang zur Verfügung gestellt werden. Die Verfügbarkeit selbst entspricht dabei den rechtlichen und betrieblichen Erfordernissen, so dass u. a. bei Wartungsfenstern für die Pflege und Wartung der Systeme und Software, diese den laufenden Betrieb nicht negativ beeinflussen.

Node.energy ergreift im Rahmen der Sicherstellung und Wiederherstellung von Verfügbarkeit weitere nachfolgende Maßnahmen:

  • Sicherheitskonzept für Software- und IT-Anwendungen
  • Back-Up Verfahren
  • Bedarfsgerechtes Einspielen von Sicherheits-Updates
  • Geeignete Archivierungsräumlichkeiten für Papierdokumente
  • Virenschutz
  • Firewall
  • Notfallplan
  • Erfolgreiche Notfallübungen
  • Redundante, örtlich getrennte Datenaufbewahrung (Offsite Storage)

7. Maßnahmen zur Sicherstellung der Belastbarkeit

node.energy stellt sicher, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind. Die Verfügbarkeit der Daten wird regelmäßig kontrolliert, d. h. es wird sichergestellt, dass die personenbezogenen Daten zu festgelegten Zeiten im festgelegten Umfang zur Verfügung gestellt werden. Die Verfügbarkeit selbst entspricht dabei den rechtlichen und betrieblichen Erfordernissen, so dass u. a. bei Wartungsfenstern für die Pflege und Wartung der Systeme und Software, diese den laufenden Betrieb nicht negativ beeinflussen.

Weitere Maßnahmen zur Sicherstellung der Belastbarkeit sind:

  • Ausreichende Kapazität von IT-Systeme und Anlagen
  • Logistisch gesteuerter Prozess zur Verhinderung von Leistungsspitzen
  • Fehler-Management

8. Maßnahmen zur Gewährleistung der Wirksamkeitskontrolle

Bei node.energy ist ein Datenschutzmanagement implementiert. Es gibt eine Leitlinie zu Datenschutz und Datensicherheit und Richtlinien, mit denen die Umsetzung der Ziele der Leitlinie gewährleistet wird.

Weitere Maßnahmen zur Gewährleistung der Wirksamkeitskontrolle sind:

  • Verfahren für regelmäßige Kontrollen/Audits
  • Penetrationstests
  • Notfalltests

9. Weisungskontrolle/Auftragskontrolle

Im Rahmen der Auftragskontrolle wird gewährleistet, dass personenbezogenen Daten, die im Auftrag verarbeitet werden, nur auf Grundlage des Vertrages entsprechend den Weisungen des Auftraggebers(Verantwortlichen) verarbeitet werden.

Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben jeweils anzuwenden den Datenschutzrechts ein Auftragsverarbeitungsvertrag nach zuvor durchgeführten Audit durch den Datenschutzbeauftragten von node.energy abgeschlossen. Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.

Weitere Maßnahmen zur Auftragskontrolle sind:

  • Vertrag zur Auftragsdatenverarbeitung gem. Art. 28 Abs. 3 DSGVO mit Regelungen zu den Rechten und Pflichten des Auftragsverarbeiters und Verantwortlichen
  • Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung
  • Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragnehmer
  • Verpflichtung der Mitarbeiter zur Vertraulichkeit
opti.node Login
opti.node Support
Marktkommunikation
Kooperationspartner
ImpressumDatenschutz