1 / 16

Auftragsverarbeitungsvereinbarung
gemäß Art. 28 EU Datenschutzgrundverordnung

zwischen dem Parking Kunden

- Verantwortlicher - nachstehend „Auftraggeber“ genannt

und

Sedo GmbH

Im Mediapark 6B

50670 Köln

- Auftragsverarbeiter - nachstehend „Auftragnehmer“ genannt

- nachstehend gemeinsam „Parteien“ genannt -

 2 / 16

Präambel

Zwischen den Parteien besteht ein Vertragsverhältnis gemäß den Allgemeinen Geschäftsbedingungen
für den Domain-Parking-Service des Auftragnehmers in der jeweils aktuell gültigen Fassung
(nachfolgend „AGB“ oder „Hauptvertrag“ genannt). Der Auftragnehmer bietet seinen Kunden eine
Domain Handelsplattform an, auf welcher unter anderem die Kunden ihre Domains monetarisieren
können. In diesem Rahmen werden durch den Auftragnehmer im Auftrag des Auftraggebers
personenbezogene Daten verarbeitet, um den Domain-Parking-Service zu ermöglichen. Vor diesem
Hintergrund muss zu den AGB der vorliegende Auftragsverarbeitungsvertrag zwischen den Parteien
geschlossen werden, um den Anforderungen der EU Datenschutzgrundverordnung (nachfolgend
„DSGVO“ genannt“) zu genügen.

§1 Begriffsbestimmungen

(1) „Parking Kunde“ ist jede natürliche oder juristische Person, die bei der Sedo GmbH registriert
ist und basierend auf den Sedo Allgemeinen Geschäftsbedingungen für den Domain-Parking-
Service den Sedo Domain Parking Service in Anspruch nimmt.
(2) „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine
natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu
einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-
Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen,
physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen
Identität dieser Person sind, identifiziert werden kann.
(3) „Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang
oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das
Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die
Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch
Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die
Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
(4) „Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der
Verarbeitung von personenbezogenen Daten entscheidet („Verantwortlicher“ im Sinne des
Artikel 4 Nr. 7 DSGVO und unter auslegender Betrachtung von § 46 Nr. 7 DSAnpUG-EU/BDSG
n. F.).
(5) „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
 3 / 16

§ 2 Gegenstand und Dauer des Auftrags

(1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten (nachstehend
„Daten“ genannt) durch den Auftragnehmer für den Auftraggeber in dessen Auftrag und nach
dessen Weisung im Zusammenhang mit des Domain-Parking-Services in Ergänzung zu den
AGB.
(2) Diese Vereinbarung tritt mit Abschluss des Vertrages in Kraft und endet im Regelfall mit
Kündigung des zugrundeliegenden Hauptvertrages. Das Recht zur außerordentlichen
Kündigung bleibt unberührt.

§ 3 Bereitstellung von Daten durch den Auftraggeber

(1) Der Auftragnehmer erhält Zugriff auf folgende Daten (dadurch, dass der Auftraggeber ihm die
Daten bereitstellt oder ihm einen Zugriff auf die Daten ermöglicht), bzw. der Auftraggeber
erlaubt dem Auftragnehmer, folgende Daten zu erheben:

a) Datenarten:

• IP-Adresse;
• Geräte ID;
• Cookie ID.

b) Betroffenenkreis:

• Internetuser.

(2) Der Zugriff auf die Daten bzw. die Datenerhebung erfolgt wie folgt:

Als Teil einer normalen Internetverbindung erhält der Auftragnehmer Zugriff auf die Quell-IP
wie in einem http-Header angegeben. Der Header wird von allen Proxys zwischen dem
Auftraggeber und dem Auftragnehmer eingespeist.

§ 4 Allgemeines zu den Rechten und Pflichten des Auftraggebers

(1) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn der Auftraggeber Fehler
oder Unregelmäßigkeiten bei der Prüfung der Auftragsverarbeitung oder auf andere Weise
feststellt.

(2) Bei Ausübung seiner Befugnisse aus dieser Vereinbarung nimmt der Auftraggeber Rücksicht
auf die Rechte, Rechtsgüter und Interessen des Auftragnehmers.
 4 / 16

§ 5 Umgang mit den Daten und Weisungsrecht des Auftraggebers

(1) Der Auftragnehmer verarbeitet die Daten ausschließlich im Rahmen der getroffenen
Vereinbarung und nach Weisung des Auftraggebers. Er verwendet die Daten für keine anderen
Zwecke und ist insbesondere nicht berechtigt, die ihm überlassenen Daten an Dritte
weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.
Hiervon ausgenommen sind Sicherheitskopien zur Gewährleistung einer ordnungsgemäßen
Datenverarbeitung.
(2) Der Auftraggeber kann im Einzelfall die Auftragsverarbeitung durch Weisungen konkretisieren.
Dem Weisungsrecht unterliegt die Entscheidung, ob eine Verarbeitung stattfindet und welche
Daten durch den Auftragnehmer verarbeitet werden. Die Entscheidung über die Mittel der
Verarbeitung trifft allein der Auftraggeber, indes besteht eine vertragliche Pflicht zur
Ausführung der Verarbeitung mit bestimmten Mitteln oder auf bestimmte Art und Weise nur
nach vorheriger Einigung der Parteien, die auch die entsprechende Gegenleistung des
Auftraggebers umfasst. Das Weisungsrecht erstreckt sich nicht auf die vom Auftragnehmer zu
ergreifenden technischen und organisatorischen Maßnahmen und findet im Allgemeinen seine
Grenzen in den Regelungen dieser Vereinbarung.
(3) Weisungen für die Auftragsverarbeitung hat der Auftraggeber dem Auftragnehmer
mindestens in Textform mitzuteilen und ihre Erteilung zu dokumentieren. Weisungen muss
der Auftraggeber an die Geschäftsleitung des Auftragnehmers oder an einen von dieser
ausdrücklich benannten Weisungsempfänger richten. Weisungsbefugt sind die
Geschäftsleitung des Auftraggebers sowie jeder von diese ausdrücklich zu diesem Zweck
ermächtigte Mitarbeiter des Auftraggebers.
(4) Der Auftragnehmer muss den Auftraggeber darauf hinweisen, wenn eine Weisung des
Auftraggebers nach Ansicht des Auftragnehmers gegen geltendes Datenschutzrecht verstößt.
Der Auftragnehmer ist berechtigt, die Durchführung einer beanstandeten Weisung solange
auszusetzen, bis der Auftraggeber die beanstandete Weisung überprüft und gegenüber dem
Auftragnehmer als auszuführende Weisung bestätigt hat. Auch eine Bestätigung ist nur
wirksam, wenn sie mindestens in Textform mitgeteilt wird und ihre Erteilung ist ebenfalls vom
Auftraggeber zu dokumentieren.

§ 6 Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und
erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung,
insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem
Auftraggeber zur Prüfung zu übergeben.
 5 / 16

(2) Der Auftragnehmer hat die Sicherheit gem. Artikeln 28 Abs. 3 lit. c, 32 DSGVO insbesondere in
Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu
treffenden Maßnahmen um solche der Datensicherheit und zur Gewährleistung eines dem
Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der
Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die
Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die
unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und
Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen
[Einzelheiten in Anlage 1].
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt
und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative
adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten
Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

§ 7 Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig,
sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren
Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an
den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den
Auftraggeber weiterleiten.
(2) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden,
Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des
Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

§ 8 Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche
Pflichten gemäß Artikeln 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung
folgender Vorgaben:

a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Artikeln

38 und 39 DS-GVO ausübt.
Der Datenschutzbeauftragte kann jederzeit elektronisch über dataprotection@sedo.de
kontaktiert werden.
b) Die Wahrung der Vertraulichkeit gemäß Artikeln 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO.
Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf
die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum
 6 / 16

Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer
unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten
ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der
in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur
Verarbeitung verpflichtet sind.
c) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde
bei der Erfüllung ihrer Aufgaben zusammen.
d) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und
Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt
auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder
Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der
Auftragsverarbeitung beim Auftragnehmer ermittelt.
e) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem
Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen
Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der
Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach
besten Kräften und Möglichkeiten zu unterstützen.
f) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen
und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem
Verantwortungsbereich im Einklang mit den Anforderungen des geltenden
Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person
gewährleistet wird.

§ 9 Unterauftragsverhältnisse

(1) Dem Auftragnehmer ist es gestattet, seine Leistungen durch Dritte erbringen zu lassen und
Unterauftragsdatenverarbeiter einzusetzen.
(2) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu
verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu
gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen,
Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von
Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit,

Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von

Datenverarbeitungsanlagen in Anspruch nimmt.
 7 / 16

§ 10 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen
durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat
das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von
der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu
überzeugen.
(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten
des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet
sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und
insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen
nachzuweisen.

§ 11 Mitteilung bei Verstößen des Auftragnehmers

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis
36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten
bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu
gehören u.a.
a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und
organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung
sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen
Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige
Feststellung von relevanten Verletzungsereignissen ermöglichen;
b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den
Auftraggeber zu melden;
c) die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht
gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang
sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;
d) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung;
e) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit
der Aufsichtsbehörde.
(2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf
ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine
Vergütung beanspruchen.
 8 / 16

§ 12 Löschung und Rückgabe von personenbezogenen Daten

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt.
Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer
ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die
Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch
den Auftraggeber – spätestens mit Beendigung des Hauptvertrages – hat der Auftragnehmer
sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und
Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis
stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung
datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll
der Löschung ist auf Anforderung vorzulegen.
(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung
dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen
über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei
Vertragsende dem Auftraggeber übergeben.

§ 13 Sonstiges

(1) Die Unwirksamkeit einer Bestimmung dieser Vereinbarung berührt die Gültigkeit der übrigen
Bestimmungen nicht. Sollte sich eine Bestimmung als unwirksam erweisen, werden die
Parteien diese durch eine neue ersetzen, die dem von den Parteien Gewollten am nächsten
kommt.
(2) Änderungen dieser Vereinbarungen sowie Nebenabreden bedürfen der Schriftform. Dies gilt
auch für das Abbedingen dieser Schriftformklausel selbst.
(3) Alleiniger Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit dieser
Vereinbarung ist, vorbehaltlich eines etwaigen ausschließlich gesetzlichen Gerichtsstandes,
Der Sitz des Auftragnehmers.
(4) Es gilt deutsches Recht.
 9 / 16

Köln, 27.06.2019
Ort, Datum:

Controller:
Sedo GmbH
Name:

Unternehmen:
______________________________
Adresse:
Matthias Conrad, CEO

________________________________
E-Mail:
Barbara Stolz, CFO
Login-Name:

Name, Position:
 10 / 16

Anlage 1: Technisch-organisatorische Maßnahmen

I. Vertraulichkeit (Art. 32 Abs. 1 lit. B) DSGVO)

1. Zutrittskontrolle
Mit der Zutrittskontrolle soll verhindert werden, dass unberechtigte Personen Zutritt zu den
informationsverarbeitenden Systemen der Sedo GmbH (nachfolgend „Sedo“ genannt) bekommen. Das
von Sedo genutzte Rechenzentrum gewährleistet einen hohen Schutz durch moderne
Sicherheitstechnik und umfassende Objekt- und Datenschutzmaßnahmen. Der Zutritt zum
Rechenzentrum ist dabei nur einem eingeschränkten Kreis von autorisierten Mitarbeitern möglich.

1.1 Organisatorische Maßnahmen

1.1.1 Zugang Rechenzentrum

Das Rechenzentrum wird durch die InterNetX GmbH (nachfolgend „InterNetX“ genannt) betrieben und
unterliegt deren Sicherheitsstandards. Dazu gehören:

• Zugang nur für Mitarbeiter von Sedo oder InterNetX gemäß der aktuellen Zutrittsliste
• Zutritt für autorisierte Besucher. Die Autorisierung erfolgt gemäß der bestehenden Zutrittsliste
für berechtigte Mitarbeiter.

2. Zugangskontrolle
Mit der Zugangskontrolle soll ein Eindringen unberechtigter Personen in die
informationsverarbeitenden Systeme der Sedo verhindert werden. Hierzu sind technische und
organisatorische Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung
implementiert.

2.1 Organisatorische Maßnahmen

2.1.1 Benutzer- und Berechtigungsverfahren

Benutzer, die im Rahmen ihrer Aufgabenerfüllung zu einem System Rechte erlangen sollen, müssen
diese Berechtigungen über einen formalen Benutzer- und Berechtigungsprozess beantragen. Im
Benutzer- und Berechtigungs-Verwaltungssystem werden die Benutzerkennungen und
Berechtigungen von Benutzern geführt. Technisch erfolgt die Genehmigung für das Erteilen und
Löschen von Zugriffsrechten über Ticketsysteme, in denen der Vorgang dokumentiert wird. Im
Verwaltungssystem werden Berechtigungen von Benutzern gesperrt, sobald der Benutzer das
 11 / 16

Unternehmen verlässt bzw. wenn die Berechtigungen unberechtigt benutzt werden. Auch im Rahmen
der Systemdiagnose werden obsolete Zugriffsrechte gelöscht. Technisch ist jeder berechtigte Benutzer
auf eine einzelne Benutzer-ID auf dem Zielsystem beschränkt.

2.2 Technische Maßnahmen

2.2.1 Authentisierungsverfahren
Zugangsberechtigungen sind so feingranular wie möglich konfiguriert, so dass Personen nur dort
Zugang haben, wo sie diesen auf Grund ihrer Funktion und ihrer Aufgabenerfüllung benötigen. Die
Zugangskontrollverfahren gelten für alle Mitarbeiter der Sedo.

Alle Systeme sind durch zweistufige Authentifizierungsverfahren (z.B. Benutzer-ID und Passwort)
geschützt, die unberechtigte Zugriffe unterbinden. Werden im Rahmen des
Authentifizierungsverfahrens Passwörter eingesetzt, müssen diese den internen Passwortrichtlinien
für Mitarbeiter und Systeme entsprechen. Passwörter, die nach den Richtlinien nicht der Qualität
entsprechen, sind nicht erlaubt. Die Systeme werden nach einer bestimmen Zeit der Inaktivität
automatisch gesperrt. Zusätzlich werden Accounts automatisch deaktiviert, wenn deren Passwörter
nicht geändert werden. Dreifache Fehleingabe von Passwörtern führt zu einer automatischen Sperre
des Accounts, um Brute Force Angriffen entgegenzuwirken.

Ein Fernzugriff auf interne Systeme ist nur in authentifizierter Form möglich. Der Zugriff auf interne
Systeme wird nur Geräten gewährt, die sich im Besitz der Sedo befinden und administriert werden.

3. Zugriffskontrolle

Mit der Zugriffskontrolle sollen unerlaubte Handlungen in den informationsverarbeitenden Systemen

der Sedo verhindert werden, indem Maßnahmen zur Überwachung und Protokollierung der Zugriffe
implementiert werden.

3.1 Berechtigungsvergabe
Die Systeme wurden in der Weise konfiguriert, dass ein regulärer Zugriff mit administrativen Rechten
nur für interne, autorisierte Mitarbeiter aus gesicherten Netzsegmenten möglich ist. Hier wurden
bedarfsorientierte Berechtigungskonzepte ausgestaltet, die die Zugriffsrechte sowie deren
Überwachung und Protokollierung definieren. Eine Berechtigungsvergabe wird stets nach dem Need-
to-Know-Prinzip vergeben. Je nach Autorisierung werden differenzierte Berechtigungen, untergliedert
nach Rollen und Profilen, von Benutzern eingerichtet. Weitere Autorisierungen an Systemen bedürfen
der Einrichtung von Berechtigungen nach dem implementierten Benutzer- und Berechtigungsprozess.
 12 / 16

3.2 Veränderungen
Modifikationen an Zugriffsrechten können lediglich von Systemadministratoren vorgenommen
werden, die die Freigabe des jeweiligen Vorgesetzten eines Mitarbeiters erhalten haben.

3.3 Löschung

Das Löschen von Benutzerberechtigungen (z.B. nach dem Austritt eines Mitarbeiters) erfolgt zeitnah,
spätestens jedoch innerhalb eines Arbeitstages. Das Löschen von Zugriffsrechten geschieht auch im
Rahmen der Systemdiagnose. Hier werden obsolete Zugriffsrechte bereinigt. Im Verwaltungssystem
werden Berechtigungen von Benutzern gesperrt, sobald der Benutzer das Unternehmen verlässt bzw.
wenn die Berechtigungen nicht mehr benötigt oder unberechtigt benutzt werden.

Im Rahmen der Systemdiagnose werden obsolete Zugriffsrechte, die z.B. über einen längeren Zeitraum
inaktiv waren, gelöscht.

4. Trennungskontrolle

Durch Sedo getroffene Maßnahmen zur Trennungskontrolle sind die Trennung von Test- und
Routineprogrammen, die Trennung durch getroffene Zugriffsregelungen sowie die Dateiseparierung.

Beispielsweise müssen alle Produktivsysteme getrennt von den Entwicklungs- und Testsystemen
betrieben werden. Technisch wird das durch eine Segmentierung von Netzen mit einem aktivierten
Firewall-Regelwerk realisiert. Testdaten dürfen nicht in Produktivumgebungen eingesetzt werden.

II. Integrität (Art. 32 Abs. 1 lit. B) DSGVO)

1. Weitergabekontrolle

Im Rahmen der Weitergabekontrolle werden Maßnahmen beim Transport, der Übertragung und
Übermittlung sowie bei der nachträglichen Überprüfung von personenbezogenen Daten definiert.

1.1 Organisatorische Maßnahmen

1.1.1 Schulungsmaßnahmen zu Datengeheimnis

Alle Mitarbeiter der Sedo sind auf das Daten- und Geschäftsgeheimnis hin verpflichtet worden. Diese
wird auch in regelmäßigen Abständen erneut eingeholt, womit eine gewisse Sensibilisierung erzielt
wird.
 13 / 16

1.1.2 Klassifizierung der Informationen

Jede Information muss nach ihrem Schutzbedarf eingestuft werden. Handelt es sich um vertrauliche
Informationen müssen diese besonders behandelt werden. Vertrauliche, dienstliche Informationen
dürfen nur über sichere Kommunikationswege übertragen werden (z.B. verschlüsselte E-Mails).

1.2 Technische Maßnahmen

1.2.1 Zugriffs- und Transportsicherung

Grundsätzlich können auf die Systeme, die personenbezogene Daten verarbeiten, nur autorisierte
Nutzer zugreifen. Die Übertragung von Daten erfolgt ausschließlich durch das System selbst an
autorisierte Empfänger, über kryptographisch stark gesicherte Wege.

Der Zugriffsschutz auf Systeme mit sensiblen Informationen wird auf mehreren Ebenen realisiert: Auf
Dateisystem-, auf Betriebssystem- und auf Netzwerkebene. Die Schutzmechanismen erlauben nur
speziell autorisierten Administratoren den Zugriff auf die jeweilige Ebene.

Um Datenverlust vorzubeugen, müssen alle arbeitsrelevanten Daten auf Servern gespeichert werden.
Diese Daten werden regelmäßig gemäß den definierten Backup-Konzepten gesichert, so dass ein
Datenverlust dadurch weitestgehend ausgeschlossen ist.

2. Eingabekontrolle
Um die Nachvollziehbarkeit und Dokumentation der Datenverwaltung und –pflege sicherzustellen,
werden Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert
oder gelöscht worden sind, implementiert.

2.1 Protokollierung
Durch die Einhaltung der oben aufgeführten Regeln zur Zugriffskontrolle wurde die Grundlage für die
Eingabekontrolle der Systeme geschaffen, die personenbezogenen Daten verarbeiten. Grundsätzlich
wird im Rechte- und Rollen-Konzept zwischen Systemusern, Prozessusern und personalisierten Usern
unterschieden. Die Sedo Systeme protokolieren mit, durch welche Nutzer Änderungen vorgenommen
wurden.
 14 / 16

III. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit- b) DSGVO)

1. Verfügbarkeitskontrolle

Alle Dienste der Sedo und ihrer Tochterunternehmen sind hochsensibel in Bezug auf deren
Verfügbarkeit und müssen vor zufälliger Zerstörung oder Verlust geschützt werden. In diesem
Zusammenhang werden Maßnahmen zur Datensicherung und –erhaltung umgesetzt.

1.1 Organisatorische Maßnahmen

1.1.1 Backup-Verfahren
Alle Daten werden in regelmäßigen Abständen gesichert, wobei die Sicherung dokumentiert an einem
anderen Ort als das zu sichernde System verwahrt wird. Die Backups verlassen jedoch nicht das
Rechenzentrum der Sedo. Zum Schutz der Archive und Backups sind die zuvor genannten
Zutrittskontrollen implementiert. Der Zugang auf die Backup-Software ist limitiert auf dedizierte
Backup-Administratoren. Die Häufigkeit von Datenbackups richtet sich nach der Kritikalität der
Informationen und ist individuell anpassbar. Funktionalitätstests von Datenbackups werden z.T.
automatisiert und z.T. stichprobenartig von den zuständigen Systemadministratoren vorgenommen.

Wiederherstellungsprozesse für verschiedene Systeme werden stichprobenartig getestet.

Die bei Notfällen und Incidents benötigten Eskalationspfade wurden im Praxisbetrieb erprobt.

1.2 Technische Maßnahmen

1.2.1 Firewall
Die Netze und Systeme der Sedo sind mit einer Firewall gegen Hackerangriffe geschützt, die regelmäßig
von autorisierten Systemadministratoren gewartet und aktualisiert werden. Die Firewall- Regeln sind
so ausgelegt, dass nur benötigte Dienste erlaubt sind und in der Grundeinstellung jeden
Netzwerkverkehr blockieren. Alle Internetverbindungen sind durch mindestens eine Firewall
geschützt.

1.2.2 Hochverfügbarkeit und Stromversorgung

Aus der Hochverfügbarkeitsanforderung ergibt sich eine grundsätzlich redundant ausgelegte
Netzwerk-Infrastruktur, die Einzelfehler in fast allen Bereichen abfangen kann. Die Stromversorgungen
sind mehrfach unabhängig voneinander ausgelegt. Das Rechenzentrum ist mit einer
unterbrechungsfreien Stromzufuhr ausgestattet.

1.2.3 Brandschutz
Eine Druckgas-Löschanlage schützt die Sicherheitsräume im Rechenzentrum von InterNetX im
Brandfall. Das Gas bewirkt bei einem Brandfall eine Sauerstoffverdrängung im Raum, wodurch dem
 15 / 16

Brandherd die Grundlage Sauerstoff entzogen wird. Die Server werden durch den Löschvorgang nicht
beeinträchtigt und können normal weiter betrieben werden.

2. Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c) DSGVO)

Die Wiederherstellbarkeit der Systeme der Sedo wird bestimmt zum einen durch die
Wiederherstellbarkeit der Daten und zum anderen durch die Wiederherstellbarkeit der Systeme.

Die Daten sind durch Backups gesichert und können aus ihnen automatisiert wiederhergestellt werden
(siehe Backup).

Die Systeme werden automatisiert installiert und konfiguriert und können somit einfach und
wiederholbar installiert und wiederhergestellt werden.

IV. Verfahren zur regelmäßigen Überprüfung, Bewertung Evaluierung (Art.

32 Abs. 1 lit- b) DSGVO)

1. Datenschutz-Management
Alle bei der Sedo eingesetzte Beschäftigten werden auf das Daten- und Betriebsgeheimnis verpflichtet
und entsprechend zum Datenschutz sensibilisiert. Der Datenschutzbeauftragte kümmert sich um die
Wahrung der datenschutzrechtlichen Anforderungen. Es finden regelmäßige Kontrollen durch den
Datenschutzbeauftragten statt, wobei in diesem Rahmen regelmäßige Hinweise erfolgen, um das
Problembewusstsein zu fördern. Schließlich finden gelegentliche unvermutete Kontrollen der
Einhaltung von Datenschutz- und Datensicherheitsmaßnahmen statt.

2. Incident-Response-Management
Im Rahmen der datenschutzrechtlichen Mitarbeiterschulung werden die mit der Verarbeitung
eingesetzten Beschäftigten über den Umgang mit jeglichen Anfragen zum Datenschutz unterrichtet.
Aufgrund der flachen Hierarchien im Unternehmen werden jegliche Anfragen im Zusammenhang mit
dem Datenschutz unverzüglich an den Datenschutzbeauftragten und je nach Inhalt auch an die
Geschäftsleitung und dem CTO weitergeleitet. Eine entsprechende Bearbeitung jeglicher
datenschutzrelevanten Anfragen erfolgt zeitnah.
 16 / 16

3. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Bei der Weiterentwicklung der Leistungen der Sedo wird auf Privacy by Design als Grundsatz geachtet.
Alle Produktverantwortlichen haben dazu Schulungen erhalten. Zudem wurde für die Mitarbeiter ein
Datenschutz-Hinweis-Dokument erstellt, in welchem auch dieses Thema angesprochen wird und die
Mitarbeiter hierüber explizit informiert werden. Die Mitarbeiter erhalten dieses Dokument im Rahmen
der Datenschutzverpflichtungserklärung ausgehändigt.

Die Grundeinstellungen der Sedo Produkte sind darauf ausgelegt, dass Sedo die zur Erbringung der
vertraglichen Leistungen notwendigen Daten erfasst. Darüber hinaus werden keine Daten
verpflichtend erhoben.

4. Auftragskontrolle
Alle Weisungen des Auftraggebers zum Umgang mit personenbezogenen Daten werden dokumentiert
und an zentraler Stelle für die mit der Datenverarbeitung befassten Mitarbeiter hinterlegt. Grundlage
der Datenverarbeitung ist stets eine zwischen den Parteien vereinbarte
Auftragsverarbeitungsvereinbarung ggfls. in Verbindung mit dem Hauptvertrag. Der Auftragnehmer
verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen. Zweck, Art und
Umfang der Datenverarbeitung richten sich ausschließlich nach den Weisungen des Auftraggebers.
Eine hiervon abweichende Verarbeitung erfolgt nur nach Mitteilung des Auftraggebers.