DPA

AUFTRAGSVERARBEITUNG

Vereinbarung Datenschutz, Art. 28 DSGVO

Stand: Januar 2020

 

Dieser Vertrag regelt die datenschutzrechtlichen Pflichten der Agentur gegenüber dem Kunden.

 

 

Präambel:

Die Parteien haben einen Mediavertrag über die Erbringung von Medialeistungen geschlossen. Bei einer Beauftragung in den Mediengattungen Beilagen, Online, Out of Home oder Dialogmarketing, oder bei einer Beauftragung zur Durchführung von Befragungen, Markt-Media-Studien, Gewinnspielen oder Community Management und Analytics, gelten folgende Regelungen bezüglich der Verarbeitung von personenbezogenen Daten.

 

1.     Der Gegenstand und die Dauer des Auftrags, die Art und der Zweck der Verarbeitung, die Art der Daten und die Kategorien der Betroffenen ergeben sich aus dem Mediavertrag nebst Anlagen, Änderungen und Ergänzungen zwischen den Parteien. Dabei muss nicht zwingend ein beidseitig unterschriebener Mediavertrag vorliegen, insbesondere kann es sich auch um eine Beauftragung handeln. Der Auftrag endet mit Beendigung des Mediavertrages und der Erfüllung der Pflichten nach Ziffer 10. Soweit im Mediavertrag zu den vorgenannten Regelungen keine Vereinbarung getroffen wurde, gilt Anlage 2 zu diesem Vertrag.

 

2.     Die Agentur hält in ihrem Verantwortungsbereich die vereinbarten technischen und organisatorischen Maßnahmen gemäß Art. 5 Abs. 1 und Art. 32 DSGVO (Datenschutz-Grundverordnung) ein und hat seine innerbetriebliche Organisation gemäß datenschutzrechtlichen Anforderungen gestaltet. Dies beinhaltet die in der Anlage 1 dargestellten technischen und organisatorischen Maßnahmen.

 

3.     Die Agentur hat nur nach Weisung des Kunden die Daten, die im Auftrag verarbeitet werden, zu berichtigen oder zu löschen oder die Verarbeitung einzuschränken. Soweit ein Betroffener sich unmittelbar an die Agentur zwecks Berichtigung oder Löschung seiner Daten oder der Einschränkung der Verarbeitung wenden sollte, wird die Agentur dieses Ersuchen unverzüglich an den Kunden weiterleiten.

 

Die Agentur wird den Kunden im Falle der Geltendmachung gesetzlicher Betroffenenrechte unterstützen; dies umfasst insbesondere die Unterstützung bei der Beantwortung von Anträgen auf Wahrung der Betroffenenrechte mittels geeigneter technisch-organisatorischer Maßnahmen.

 

4.     Die Agentur gewährleistet die Einhaltung der folgenden Pflichten:

 

a)      Schriftliche Bestellung eines Datenschutzbeauftragten, namentlich:

legal data Schröder Rechtsanwaltsgesellschaft mbH

Dr. Georg F. Schröder, LL.M.

Rechtsanwalt / Datenschutzbeauftragter

Prannerstr. 1

80333 München / Germany

Tel.: +49-89 - 954 597 520

E-Mail:       georg.schroeder@legaldata.law

                    datenschutz@serviceplan.com

Sofern ein Wechsel in der Person des Datenschutzbeauftragten stattfindet, wird dies dem Kunden unverzüglich mitgeteilt.

 

b)      Alle Personen, die auftragsgemäß auf personenbezogene Daten des Kunden zugreifen können, müssen schriftlich zur Vertraulichkeit verpflichtet sein und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden. Auf Anfrage des Kunden wird die Agentur diesem die Verpflichtungserklärungen vorlegen. Dies ist nicht notwendig, soweit für die betreffenden Personen eine angemessene gesetzliche Verschwiegenheitspflicht besteht.

 

c)      Duldung öffentlicher Kontrollen durch die zuständigen Datenschutzaufsichtsbehörden in gleichem Umfang, wie die Datenschutzaufsichtsbehörden Prüfungen beim Kunden durchführen dürfen. Unterstützung des Kunden bei Kontrollen und Anfragen der Aufsichtsbehörden.

 

d)      Die unverzügliche Information des Kunden über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde. Dies gilt auch, soweit eine zuständige Behörde nach Art. 82 ff. DSGVO bei der Agentur ermittelt.

 

e)      Die angemessene Unterstützung des Kunden bei der Gewährleistung der Sicherheit der Verarbeitung gem. Art. 32 DSGVO.

 

f)       Die angemessene Unterstützung des Kunden bei Datenschutz-Folgenabschätzungen gem. Art. 35 DSGVO und bei der vorherigen Konsultation der zuständigen Datenschutzaufsichtsbehörden nach Art. 36 DSGVO.

 

g)      Die angemessene Unterstützung des Kunden bei der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO) und bei der Benachrichtigung der von Verletzungen des Schutzes personenbezogener Daten betroffenen Personen (Art. 34 DSGVO).

 

h)      Die Vorlage der nach Art. 30 Abs. 2 DSGVO erforderlichen Angaben.

 

5.     Sofern und insoweit im Mediavertrag keine abweichenden Regelungen vereinbart sind, gilt Folgendes: Der Kunde ist damit einverstanden, dass die Agentur zur Erfüllung ihrer vertraglichen Leistungen verbundenen und dritten Unternehmen Unteraufträge erteilt. Grundsätzlich gilt: Bei Erteilung eines Unterauftrags werden die vertraglichen Vereinbarungen zwischen Agentur und dem Unterauftragnehmer so gestaltet, dass sie den Anforderungen zu Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages entsprechen. Der Kunde kann bei nachgewiesenen diesbezüglichen berechtigten Interessen einer Unterbeauftragung widersprechen. Die Agentur erteilt dem Kunden auf dessen schriftliche Aufforderung hin Auskunft über den wesentlichen Vertragsinhalt (Leistungen ausschließlich Preise) und die Umsetzung der datenschutzrelevanten Pflichten des Unterauftragnehmers.

 

6.     Die Verarbeitung der Daten durch die Agentur ist räumlich auf die EU und den EWR beschränkt. Die Übermittlung von Daten durch die Agentur an einen Empfänger mit Sitz außerhalb des EWR ist nur unter den Voraussetzungen der Art. 44 ff. DSGVO zulässig und bedarf der gesonderten vorherigen schriftlichen Zustimmung des Kunden. Die Agentur wird insbesondere die EU-Standardvertragsklauseln (vgl. den Beschluss 2021/914 der EU-Kommission vom 04.06.2021 oder eine Nachfolgeentscheidung) mit dem Empfänger der Daten abschließen, wenn keine anderweitigen geeigneten Datenschutzgarantien vorhanden sind, z.B. ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DS-GVO oder verbindliche interne Datenschutzvorschriften nach Art. 47 DS-GVO.

 

7.     Der Kunde kann sich nach rechtzeitiger schriftlicher Anmeldung zu Prüfzwecken in den Betriebsstätten zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse der für die Auftragsdatenverarbeitung einschlägigen Gesetze über den Datenschutz überzeugen. Die Agentur ist verpflichtet, die Kontrollen des Kunden nach diesem Vertrag zu dulden, Mitwirkungsleistungen zu erbringen, soweit für die Kontrolle des Kunden nach diesem Vertrag erforderlich, und dem Kunden auf schriftliche Anforderung innerhalb einer angemessenen Frist Auskünfte zu geben, die zur Durchführung einer umfassenden Auftragskontrolle erforderlich sind. Die Agentur ermöglicht dem Kunden insbesondere, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der bei der Agentur getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

 

8.     Die Agentur erstattet in allen Fällen dem Kunden unverzüglich nach Kenntniserlangung eine Meldung, wenn durch ihn, die bei ihm beschäftigten Personen oder die von ihm eingesetzten Unterauftragnehmer Verstöße gegen Vorschriften zum Schutz der Daten des Kunden (insbesondere die DSGVO) oder gegen die in dieser Vereinbarung getroffenen Festlegungen vorgefallen sind bzw. ein entsprechender Verdacht besteht. Die Agentur wird entsprechende Vorfälle dokumentieren, unverzüglich aufklären und Abhilfe schaffen. Er wird den Kunden über den Fortgang der Angelegenheit bis zur Behebung des Vorfalls informiert halten. Sollte die Verletzung zu einem Risiko für die Rechte und Freiheiten der Betroffenen gem. Art. 33 DSGVO führen, wird die Agentur den Kunden bei der Aufklärung des Vorfalls und im Rahmen der entsprechenden Meldung an die Datenschutzaufsichtsbehörde bzw. die Betroffenen umfassend unterstützen.

 

9.     Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Kunden. Der Kunde behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf die Agentur nur nach vorheriger schriftlicher Zustimmung durch den Kunden erteilen. Mündliche Weisungen wird der Kunde unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen.

 

Die Agentur verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Kunden nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. Die Agentur hat den Kunden unverzüglich zu informieren, wenn sie der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Die Agentur ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Kunden bestätigt oder geändert wird. Die Agentur wird die Weisungen soweit erforderlich dokumentieren.

 

10. Vorbehaltlich abweichender Vereinbarungen und gesetzlicher oder satzungsmäßiger Pflichten ist die Agentur nach Vertragsende verpflichtet, ihr überlassene Datenträger an den Kunden unverzüglich zurückzugeben und ihm in Zusammenhang mit dem Auftrag übergebene und noch nicht gelöschte personenbezogene Daten zu löschen. Über die Herausgabe oder Löschung nach Vertragsende muss der Kunde innerhalb einer von der Agentur gesetzten Frist entscheiden. Wenn die Agentur zu vernichtende Unterlagen oder Datenträger mit personenbezogenen Daten dem Kunden nicht zurückgibt, so ist die Agentur verpflichtet, die Unterlagen ordnungsgemäß zu entsorgen, ohne dass unbefugte Dritte von den Daten Kenntnis erlangen können. Entstehen bei der Agentur nach Vertragsbeendigung Kosten durch die Herausgabe oder Löschung der Daten des Kunden, so trägt diese der Kunde.

 

 

 

Anlage 1: Technische und organisatorische Maßnahmen der Agentur (Art. 32 DSGVO, § 64 BDSG)

 

1.       Allgemeines

 

Die Agentur ist ein Gruppenunternehmen der Serviceplan-Gruppe („Serviceplan“). Serviceplan hat unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

 

Serviceplan hat angemessene technische und organisatorische Maßnahmen etabliert, um

 

·       den Zutritt zu Orten zu beschränken, an denen personenbezogene Daten oder andere vertrauliche Informationen aufbewahrt werden.

 

·       Systeme, auf denen personenbezogene Daten oder andere vertrauliche Informationen gespeichert sind, gegen einen unbefugten Zugriff zu sichern.

 

·       zu gewährleisten, dass nur autorisierte Personen Zutritt zu Serverräumen haben.

 

·       zu gewährleisten, dass Versuche eines unberechtigten Zutritts entdeckt und verhindert werden.

 

·       jede Person, die Zugriff auf personenbezogene Daten oder andere vertraulichen Informationen nehmen möchte, eindeutig zu identifizieren.

 

·       einen solchen Zugriff ausschließlich berechtigten Personen zu gestatten.

 

·       zu verhindern, dass personenbezogene Daten oder andere vertrauliche Informationen unbefugt eingesehen, kopiert, verändert oder gelöscht werden können.

 

·       Berechtigungsprofile einzurichten und zu konfigurieren, die sicherstellen, dass Mitarbeiter jeweils nur Zugriff auf solche personenbezogenen Daten und anderen vertraulichen Informationen bzw. zu solchen Ressourcen haben, die sie zur Erfüllung der ihnen jeweils zugewiesenen Pflichten zwingend benötigen.

 

·       feststellen zu können, ob, wann und von wem personenbezogene Daten und andere vertrauliche Informationen in die CRM-Systeme eingegeben wurden, bzw. ob, wann und von wem auf solche Daten zugegriffen wurde oder diese kopiert, verändert oder gelöscht wurden.

 

·       zu gewährleisten, dass personenbezogene Daten und andere vertrauliche Informationen nur gemäß diesem Sicherheitskonzept und sonstiger Vorgaben (z.B. anwendbare Gesetze, Kundenverträge, interne Richtlinien) verarbeitet werden.

 

·       zu gewährleisten, dass personenbezogene Daten und andere vertrauliche Informationen, die für unterschiedliche Zwecke erhoben werden, getrennt verarbeitet werden können und

 

·       zu gewährleisten, dass personenbezogene Daten und andere vertrauliche Informationen nach Möglichkeit pseudonymisiert oder verschlüsselt werden.

 

·       zu gewährleisten, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen und Diensten im Zusammenhang mit der Verarbeitung personenbezogener Daten und anderer vertraulicher Informationen auf Dauer sichergestellt werden.

 

·       zu gewährleisten, dass die Verfügbarkeit personenbezogener Daten und anderer vertraulicher Informationen und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.

 

·       zu gewährleisten, dass alle Mitarbeiter, die Zugang zu personenbezogenen Daten oder anderen vertraulichen Informationen haben, ihrer Pflichten und der Konsequenzen ihrer Verletzung gewahr sind.

 

·       zu gewährleisten, dass Mitarbeiter durch Awareness-Maßnahmen in Ihrer Rolle im Incident Mangement (Störungsmanagement) geschult sind.

 

·       durch Prozesse zu gewährleisten, dass Datenschutzverletzungen innerhalb von 24 Stunden an die verantwortliche Stelle gemeldet werden.

 

Maßnahmen in wichtigen Einzelbereichen sind in den folgenden Abschnitten zusammengefasst, wobei sich die Darstellung an den Vorgaben aus Art. 32 Abs. 1 DS-GVO in Verbindung mit den technischen Vorgaben des BSI Grundschutzes orientiert.

 

2.       Zutrittskontrolle

 

Serviceplan ergreift angemessene Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

 

·       Ein unbefugter Zutritt zu den Gebäuden und Räumen ist durch verschiedene bauliche Maßnahmen, technische Einrichtungen und organisatorische Vorkehrungen ausgeschlossen.

 

·       Mechanische Türschlösser oder elektrische Türschlösser (Transponderkarte und Ausweisleser)

 

·       Differenzierte Schlüsselregelung und Quittierung der Schlüsselausgabe

 

·       Gesicherte Aufbewahrung von Generalschlüsseln und Regelungen zur Generalschlüsselentnahme

 

·       Klare Zuweisung der Berechtigungen (Zugang Gebäude, Büro, Serverraum)

 

·       Regelmäßige Prüfung der Zutrittsberechtigungen

 

·       Gast-Prinzip: Besucher können sich nicht frei und unkontrolliert im Gebäude bewegen

 

3.       Datenträger- und Speicherkontrolle

 

Serviceplan ergreift angemessene Maßnahmen, um zu verhindern, dass Datenträger von Unbefugten gelesen, kopiert, verändert oder gelöscht werden können. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

 

·       Minimierung des Einsatzes von mobilen Datenträgern

 

·       Datenübertragung bevorzugt wird über einen verschlüsselten und mit persönlichem Zugriff versehenen HTTPS-Server oder Server mit sonstiger Verschlüsselungsmethode

 

·       Umgehende Löschung bzw. Deaktivierung von Berechtigungen, die nicht oder nicht mehr benötigt werden

 

·       Sichere Löschung bzw. Vernichtung und Entsorgung von elektronischen Datenträgern und sonstige Unterlagen mit vertraulichen Informationen, die nicht weiter benötigt werden

 

·       Zertifizierte Entsorgung von alten Sicherungsbänder

 

4.       Benutzerkontrolle

 

Serviceplan ergreift angemessene Maßnahmen, um zu verhindern, dass automatisierte Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte genutzt werden. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

 

·       Differenzierte Berechtigungen und restriktive Rechtevergabe nach dienstlichen Erfordernissen (Need-To-Know-Prinzip) und zugehörige Dokumentation

 

·       Alle Geräte bedürfen einer Authentisierung, entweder durch Pin-Eingabe o.ä., oder durch Einsatz von Standardverfahren zur biometrischen Authentifizierung (z.B. Fingerprintscanner am Laptop / Smartphone)

 

·       Konfiguration der Endgeräte zur dauerhaften Sperrung nach mehrmaliger fehlgeschlagener Authentisierung

 

·       Automatischer Standby-Betrieb für alle Arbeitsstationen und mobilen Endgeräte mit erneuter Authentisierung bei Weiterverwendung

 

·       Komplexitätsvorgabe für Passwörter (z.B. 8 Zeichen, komplex, Kennworthistorie)

 

·       Verschärfte Komplexitätsvorgabe für Passwörter von Administratoren

 

·       Verbot der Weitergabe für Benutzerkennungen und Kennwörter

 

·       Umgehende Benachrichtigungspflicht gegenüber den IT-Verantwortlichen bei erkanntem oder vermutetem Passwortverlust oder sonstigen Anhaltspunkten für eine unbefugte Verwendung von Benutzerkennungen

 

·       Protokollierung von System-, Applikations- und Datenzugriffen

 

·       Bekanntgabe der anwendbaren IT-Sicherheitsrichtline an alle internen und externen Mitarbeiter

 

·       Schulungsmaßnahmen für Mitarbeiter zum Umgang mit personenbezogenen Daten

 

5.       Zugriffskontrolle

 

Serviceplan ergreift angemessene Maßnahmen, um zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

 

·       Differenzierte Berechtigungen und restriktive Rechtevergabe nach dienstlichen Erfordernissen (Need-To-Know-Prinzip) und zugehörige Dokumentation

 

·       Grundsätzlich können folgende Rechte vergeben werden:

 

-          Erstellen (create): Anlegen, Erstellen einer Datei

-          Lesen (read): Lesen einer vorhandenen Datei

-          Modifizieren (modify): Verändern einer vorhandenen Datei

 

·       Systemseitige Autorisierung, d.h. Prüfung, ob der Nutzer zur Durchführung einer bestimmten Aktion berechtigt ist.

 

·       Privilegierte Zugriffsrechte definiert (Administratoren, Consultants, Dienstleister, Supervisoren)

 

·       Umgehende Löschung bzw. Deaktivierung von Berechtigungen, die nicht oder nicht mehr benötigt werden. Regelmäßige Prüfung der Erforderlichkeit der Rechtevergabe.

 

·       Mitarbeiter dürfen sich nur innerhalb der Systeme und Datenbereiche bewegen, welche sie zur Erfüllung ihres Arbeitsauftrags benötigen. Sollte im Einzelfall ein Zugriff auf Ressourcen möglich sein, die außerhalb des Aufgabengebiets des Benutzers liegen, ist der Vorgesetzte zu verständigen.

 

·       Verpflichtung aller internen und externen Mitarbeiter zur Vertraulichkeit

 

6.       Übertragungs- und Transportkontrolle

 

Serviceplan ergreift angemessene Maßnahmen, um zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

 

·       Nach Möglichkeit: Verschlüsselung von mobilen Endgeräten

 

·       Tunnelverbindung (VPN = Virtual Private Network) zum Zugriff auf das Unternehmensnetzwerk

 

·       In Abhängigkeit vom Schutzbedarf sind Verschlüsselung bzw. sichere Transportbehältnisse und Wege zu benutzen

 

·       Alle veröffentlichten Dienste sind transportverschlüsselt (z.B. https, Website, TLS/ITC).

 

·       Keine Weiterleitung von E-Mails an private E-Mail-Accounts von Mitarbeitern. Weiterleitungen werden ohne weiteres gemäß der IT-Sicherheitsrichtline dokumentiert.

 

·       Der Versand oder Transport von Datenträgern erfolgt in der Weise, dass eine Beschädigung der Datenträger möglichst ausgeschlossen werden kann (z.B. luftgepolsterte Umschläge).

 

7.       Eingabekontrolle

 

Serviceplan ergreift angemessene Maßnahmen, um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob, von wem und zu welcher Zeit personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

 

Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

 

·       Automatische Protokollierung der Systemnutzung unter Beachtung der datenschutzrechtlichen Grenzen

 

·       Regelmäßige Auswertung von Protokollen

 

 

8.       Wiederherstellbarkeit

 

Serviceplan ergreift angemessene Maßnahmen, um sicherzustellen, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können. Es wird zentral über die Regeln zur Dateiablage entschieden und in Zusammenarbeit mit den Administratoren werden die Modalitäten der Datensicherung festgelegt. Alle Regelungen werden in einem Datensicherungsplan festgehalten. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

 

·       Differenziertes Backup-Konzept zur schnellen Wiederherstellung von Daten

 

·       Regelmäßige Datensicherung, einschließlich Backup auf einem redundanten Speichersystem

 

·       Durchführung von Testrücksicherungen

 

·       Indizierung - je nach System - von Daten zur leichteren Auffindbarkeit als Teil des Dokumentenmanagement-Prozesses

 

9.       Verfügbarkeitskontrolle

 

Serviceplan ergreift angemessene Maßnahmen, um zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

 

·       Brandschutzeinrichtungen (z.B. Feuerlöscher im Serverraum, Brandschutztüren, Brandklasseneinteilung der Räume)

 

·       Einsatz von Firewalls, Virenscannern und sonstigen Intrusion Detection und
Prevention Systemen, einschließlich regelmäßiger Updates:

 

·       Vorkehrungen zur Sicherung und Wiederherstellbarkeit des Datenbestandes
(s. oben unter Ziffer 8 „Wiederherstellbarkeit“).

 

·       Einsatz von Firewalls, Virenscannern und sonstigen Intrusion Detection und
Prevention Systemen, einschließlich regelmäßiger Updates:

 

·       Sicherung der Daten nach dem Generationenprinzip

 

·       Urlaubs-, Krankheits- uns sonstige Vertretungsregelungen: Für alle Technologien/Systeme sind feste Mitarbeiter samt Vertretern zuständig

 

·       Notfallplan zur Business Continuity vorhanden

 

10.     Zuverlässigkeit

 

Serviceplan ergreift angemessene Maßnahmen, um sicherzustellen, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

 

·       Der Verantwortliche für die Datensicherung überprüft regelmäßig, ob die Datensicherung tatsächlich korrekt durchgeführt wurde

 

·       Prüfpunkte sind dabei:

 

-          Die Auswertung von Log-Dateien und Fehlerprotokollen.

-          Das Datum der Sicherungsdatei.

-          Die Stichprobenprüfung der Dateiinhalte und

-          Die Plausibilität der Dateigröße.

-          In Einzelfällen, z.B. wenn kryptographische Verfahren eingesetzt werden, ein Dateivergleich.

 

·       Proaktive Überwachung aller wesentlichen Systeme (wie des Backup-Systems)

 

·       Auswahl von Dienstleistern nach Zuverlässigkeitskriterien

 

 

11.     Funktionstrennung

 

Serviceplan ergreift angemessene Maßnahmen, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

 

·       Physisch und/oder logisch getrennte Speicherung, Veränderung, Löschung und Übermittlung von Daten, die unterschiedlichen Zwecken dienen (Mandantenfähigkeit)

 

·       Funktionstrennung, insbesondere zwischen Produktions- und Testdaten

 

·       Räumlich getrennte Aufbewahrung von Sicherungsdatenträgern

 

12.     Regelmäßige Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen

 

Serviceplan ergreift angemessene Maßnahmen, um sicherzustellen, dass die Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert wird. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

 

·       Bei Erforderlichkeit: Durchführung von Datenschutz-Folgenabschätzungen durch den gruppenweit bestellten Datenschutzbeauftragten

 

·       Prozess zur Sicherstellung der Erfüllung von Betroffenenrechten vorhanden

 

·       Prüfung der Rekonstruktion von Daten mit Hilfe von Datensicherungsbeständen nach jeder Änderung des Datensicherungsverfahrens, ansonsten in regelmäßigen Abständen. Hierbei ist sicherzustellen, dass eine vollständige Datenrekonstruktion möglich ist.

 

·       Schulung der Mitarbeiter im Umgang mit Daten und zur Schärfung des IT-Sicherheitsbewusstseins.

 

·       Eskalations- und Meldewege bei sicherheitsrelevanten Vorkommnissen sind den Mitarbeitern bekannt

 

Die Verfügbarkeit der IT-Verantwortlichen und des betrieblichen Datenschutzbeauftragten und seiner Mitarbeiter als Ansprechpartner bei allen Fragen rund um die IT-Nutzung und IT-Sicherheit ist gewährleistet.

Anlage 2: Datenschutzrechtliche Spezifikationen

 

Umfang, die Art und der Zweck der vorgesehenen Erhebung nach Werbemaßnahme, in der jeweiligen Mediengattung bzw. auf dem jeweiligen Medium

 

 

Beilagen- und Haushaltsverteilung:

Vom Kunden zur Verfügung gestellte vollständige Adressen von Personen / Endkunden, die Mängel in der Haushaltverteilung der Handzettel / Beilagen melden

 

Online:

Werbemittelauslieferung, Media-Measurement, Kampagnenwirkungstracking, nutzungsbasierte Onlinewerbung (Re-Targeting, Ableitung von statistischen Zwillingen), SEA, SEO, Affiliate Marketing, Amazon Media Services, eCommerce Services, Performance Display, Content Marketing, Social Advertising

 

Community Management und Analytics:

Community Management, Social Media Analytics, Influencer Management

 

Out of Home (Geoanalyse):

Adressanreicherung, Ableiten von statistischen Zwillingen, Schaffen von Verdichtungsräumen, Verortung und visuelle Darstellung (Geokodierung), Reverse-Geokodierung (Generierung von Anschriften aus Geokodierungen)

 

Dialogmarketing:

Konzeption und Produktion von Online Newslettern, Push-Notifications und Landing Pages

 

Befragungen / Markt Media Studien als Rohdatensatz:

Von externen Felddienstleistern / Instituten bereitgestellter Datensatz auf Personenebene, um aggregierte Aussagen in einer Personengruppe zu treffen

 

Gewinnspiele:

Erhebung von personenbezogenen Daten zur Verlosung der Gewinner

 

 

Art der Daten nach Werbemaßnahme, in der jeweiligen Mediengattung bzw. auf dem jeweiligen Medium

 

Beilagen:

Personenstammdaten (Name, Anschrift), Kommunikationsdaten (Telefon, E-Mail)

 

Online:

IP-Adressen, Pseudonyme Cookie Identifier, Pseudonyme mobile Advertising Identifier, Sales-IDs

 

Community Management und Analytics:

Avatare und Photographien, Social Media Handle, Kommunikationsdaten (Telefon, E-Mail), Marketingpräferenzen

 

Out of Home (Geoanalyse):

Anonymisierte Adressdaten (Straße, PLZ, Ort), Umsatzzahlen auf PLZ-Ebene, Informationen von statistischen Ämtern, Markt-Media-Studien, POI-Datenbanken, Daten aus kommerziellen Individualdatenbanken, Mobilfunk-Standort-Vektordaten, Media-Daten, Straßen-Frequenzdaten (Atlas-Studie), öffentlich zugängliche Informationen

 

Dialogmarketing:

Personenstammdaten, Kommunikationsdaten (z.B. Telefon, E-Mail), Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse), Kundenhistorie (Buchungshistorie), Verhaltensdaten (Öffnungen, Clicks), IP-Adressen

 

Befragungen / Markt Media Studien als Rohdatensatz:

Pseudonymisierte Befragungsdaten (inkl. Soziomerkmale mit evtl. PLZ) auf Personenebene. Namen, Anschrift und E-Mail Adresse verbleiben beim Felddienstleister

 

Gewinnspiele:

Personenstammdaten (Name, Anschrift), Kommunikationsdaten (Telefon, E-Mail), IP Adresse

 

Betroffene nach Werbemaßnahme, in der jeweiligen Mediengattung bzw. auf dem jeweiligen Medium

 

Beilagen:

Endkunden des Kunden

 

Online:

Konsumenten auf werbetragenden Webseiten/Apps/Social Media Kanälen und Webseiten/Apps/Social Media Kanälen des Kunden

 

Community Management und Analytics:

Konsumenten auf werbetragenden Social Media Kanälen und Social Media Kanälen des Kunden

 

Out of Home (Geoanalyse):

Potentielle Endkunden des Kunden / Teilnehmer einer Studie

 

Dialogmarketing:

Interessenten, Endkunden des Kunden, Abonnenten des Kunden

 

Befragungen / Markt Media Studien als Rohdatensatz:

Teilnehmer eines Online Access Panels: „Panellisten“

 

Gewinnspiele:

Teilnehmer des Gewinnspiels

ORDER PROCESSING

Agreement on Data Protection, Art. 28 GDPR

January 2020

 

This Agreement sets forth the duties of the Agency towards the Customer under data protection law aspects.

 

Preamble:

The parties have entered into a Media Agreement for the provision of media services. For the commission in the media types loose inserts, Online, Out of Home or Dialogue Marketing, or for the commission to conduct surveys, market-media studies, prize-lotteries/raffles or community management and analytics, the following regulations regarding the processing of personal data apply.

 

1.     The subject matter and the term of the order, the type and the purpose of the processing, the type of data and the categories of the data subjects result from the Media Agreement together with attachments, changes and additions between the parties. It is not necessary to have a mutually signed agreement, in particular it can also be a commission. The order ends upon the expiration of the Media Agreement and the compliance with the duties in section 10. If no provisions are stipulated in the Media Agreement in respect of the aforementioned regulation, Annex 2 to this Agreement shall apply.

 

2.     In its area of responsibility, the Agency shall meet the agreed technical and organisational measures pursuant to sec. 5 para. 1 and sec. 32 GDPR (General Data Protection Regulation) and shall structure its internal business organisation in line with data protection law requirements. This encompasses the technical and organisational measures set out in Annex 1.

 

3.     The Agency shall not correct or erase or restrict the processing of data processed to order, unless upon the Customer’s instruction. If a data subject contacts the Agency directly for the correction or erasure of his/her data or the restriction of the processing, the Agency shall pass on such request to the Customer without delay.

 

In the event of assertion of legal rights of a data subject, the Agency shall support the Customer; this comprises, but is not limited to the support in answering applications for the safeguarding of rights of a data subject by way of appropriate technical and/or organisational measures.

 

4.     The Agency shall ensure the compliance with the following duties:

 

a)      Written appointment of a data protection officer, in particular:

legal data Schröder Rechtsanwaltsgesellschaft mbH

Dr. Georg F. Schröder, LL.M.

Lawyer / Data Protection Officer

Prannerstr. 1

80333 München / Germany

Phone: +49-89 - 954 597 520

E-Mail:       georg.schroeder@legaldata.law

                    datenschutz@serviceplan.com

 

If the person acting as data protection officer is replaced, the Customer shall be informed thereof without delay.

 

b)      All persons allowed to access personal data of the Customer in accordance with the order must be bound to confidentiality in writing and informed of the special data protection duties resulting from this order as well as the existing commitment to instructions and to a specific purpose. On the Customer’s request, the Agency shall submit the declarations of commitment to the Customer. This will not be necessary if the relevant persons are subject to a reasonable statutory obligation of non-disclosure.

 

c)      Toleration of public audits by the appropriate data protection supervisory authorities to the same extent as the data protection supervisory authorities are allowed to conduct audits with the Customer. Support of the Customer in connection with the audits and inquiries of the supervisory authorities.

 

d)      Immediate information of the Customer about audit actions and measures of the supervisory authority. This also applies if an appropriate authority conducts investigations against the Agency pursuant to Art. 82 et seq. GDPR.

 

e)      Reasonable support to the Customer in connection with the guarantee of processing security pursuant to Art. 32 GDPR.

 

f)       Reasonable support to the Customer in connection with data protection impact assessments pursuant to Art. 35 GDPR and the prior consultation of the appropriate data protection supervisory authorities pursuant to Art. 36 GDPR.

 

g)      Reasonable support to the Customer in connection with the reporting of breaches of the protection of personal data to the supervisory authority (Art. 33 GDPR) and the information of the persons affected by breaches of the protection of personal data (Art. 34 GDPR).

 

h)      The delivery of the information required by Art. 30 para. 2 GDPR.

 

5.     Unless otherwise agreed in the Media Agreement, the following applies: The Customer agrees that the Agency may award subcontracts to affiliated and third-party companies for the performance of its contractual services. Generally the following applies: For the awarding of a subcontract, the Agency shall design the contractual arrangements between the Agency and the subcontractor in such a manner as to align them to the data protection and data safety requirements between the parties to this Agreement. In the event of proven justified interests in this regard, the Customer may object to subcontracting. On the Customer’s written request, the Agency shall provide information to the Customer about the essential contents of the contract (services, without prices) and the implementation of the subcontractor’s duties with data protection relevance.

 

6.     The processing of the data by the Agency is limited to the territory of the EU and the EEA. The transfer of data by the Agency to a recipient resident outside the EEA is only permitted subject to the conditions of Art. 44 et seq. GDPR and requires the separate prior written consent of the Customer. In particular, the Agency will conclude the EU standard contractual clauses (cf. EU Commission Decision 2021/914 of 06/04/2021 or any successor decision) with the recipient of the data if no other appropriate data protection safeguards are available, e.g. an adequacy decision of the EU Commission pursuant to Article 45 GDPR or binding corporate rules pursuant to Article 47 GDPR.

 

7.     Upon timely written notification, the Customer may satisfy itself of the reasonable nature of the measures for the compliance with the technical and organisational requirements of the data protection laws applicable to order processing and may do so for inspection purposes on the business premises within the usual business hours without disturbing the business routine. The Agency shall tolerate the inspections of the Customer under this Agreement, provide collaboration services to the extent as required for the Customer’s inspection under this Agreement, and give information to the Customer on its written request within a reasonable period, which are required for conducting a comprehensive order control. The Agency shall particularly enable the Customer to satisfy itself of the compliance with the technical and organisational measures taken by the Agency prior to the commencement of data processing and then on a regular basis.

 

8.     In each case, the Agency shall inform the Customer immediately upon getting knowledge that the Agency, any of the individuals employed by the Agency or the subcontractors it uses violated the regulations on the protection of the Customer’s data (particularly the GDPR) or the stipulations set forth in this Agreement or if there is any suspicion in this respect. The Agency shall document such events, clarify them without delay and initiate corrective action. The Agency shall keep the Customer informed of the progress of the matter until the remediation of the event. If the violation should entail a risk to the rights and freedoms of the data subjects as defined in Art. 33 GDPR, the Agency shall provide comprehensive support to the Customer for the clarification of the event and in connection with the corresponding report to the data protection supervisory authority or the data subject, respectively.

 

9.     The handling of the data shall be in accordance with the agreements made and the Customer’s instruction on an exclusive basis. Within the framework of the order specification set forth in this Agreement, the Customer reserves a comprehensive power to give instructions relating to the type, scope and method of the data processing, which the Customer may specify in more detail by way of individual instructions. Changes of the subject matter of processing and changes of methods shall be coordinated jointly and documented. The Agency shall not give any information to third parties or the data subject, unless with the prior written consent of the Customer. Following oral instructions, the Customer will confirm such instructions immediately in writing or via email (in text form as defined in the German Civil Code).

 

The Agency shall not use the data for any other purposes and is particularly not entitled to pass them on to any third party. Copies and duplicates shall not be prepared without the Customer’s knowledge. Backup copies are excluded from the foregoing to the extent they are needed to ensure proper data processing; likewise, data are excluded which are required in the context of compliance with statutory retention periods. The Agency shall inform the Customer immediately if the Agency is of the opinion that an instruction would violate data protection regulations. The Agency has the right to suspend the implementation of the respective instruction until confirmed or changed by the responsible person within the Customer’s organisation. The Agency shall document the instructions as required.

 

10. Upon the end of the Agreement and subject to agreements providing otherwise and duties provided by law or the articles of association, the Agency shall immediately return to the Customer the data media provided to the Agency and to erase personal data the Agency received in connection with the order, which have not been erased before. The Customer shall decide on return or erasure upon the end of the Agreement within a period set by the Agency. If the Agency does not return to the Customer documents or data media with personal data subject to erasure, the Agency shall dispose of the documents in a proper manner, concurrently preventing that third parties could get knowledge of the data. If the Agency incurs costs due to the return or erasure of the Customer’s data after the end of the Agreement, the Customer shall bear such costs.

 

Annex 1: Technical and Organisational Measures of the Agency (Art. 32 GDPR, sec. 64 BDSG)

 

1.       General information

 

The Agency is a group company of Serviceplan Group (“Serviceplan”). Serviceplan has adopted a range of appropriate technical and organisational measures to ensure a level of protection adequate to the risk, taking into account the state of the art, the implementation costs and the nature, extent, circumstances and purposes of the processing as well as the varying probability of occurrence and severity of the risk to the rights and freedoms of natural persons.

 

Serviceplan has established appropriate technical and organisational measures in order to:

 

·       restrict access to locations where personal data or other confidential information is stored

 

·       secure systems on which personal data or other confidential information is stored against unauthorized access.

 

·       ensure that only authorized persons have admission to server rooms

 

·       ensure that attempts to gain unauthorised admission are detected and prevented

 

·       identify with certainty any person who wishes to have access to personal data or other confidential information

 

·       to grant such access only to authorised persons

 

·       prevent the unauthorised inspection, copying, alteration or deletion of personal data or other confidential information

 

·       create and configure authorization profiles to ensure that employees only have access to the personal information and other confidential information or resources they need to perform their assigned duties

 

·       be able to determine whether, when and by whom personal data and other confidential information has been entered into, accessed, copied, modified, or deleted from CRM systems

 

·       ensure that personal data and other confidential information is collected, processed and used only in accordance with this IT-security policy and other provisions (e.g. applicable laws, customer contracts, internal guidelines)

 

·       ensure that personal data and other confidential information collected for different purposes may be separately processed; and

 

·       ensure that personal data and other confidential information are, to the extent possible, pseudonymised or encrypted

 

·       ensure that the confidentiality, integrity, availability and resilience of systems and services relating to the processing of personal data and other confidential information are maintained on a permanent basis

 

·       ensure that the availability of, and access to, personal data and other confidential information may be rapidly restored in the event of a physical or technical incident

 

·       ensure that all employees who have access to personal data or other confidential information are aware of their duties and the consequences of their violation

 

·       ensure that employees are trained in their role in Incident Management through awareness measures

 

·       ensure, through procedures, that data breaches will be reported to the supervisory authority within 24 hours

 

Measures in important individual domains are summarised in the following sections, whereby the illustration is based on the requirements of Art. 32 para. 1 GDPR in conjunction with the technical requirements of the BSI Basic Protection.

 

2.       Admission control

 

Serviceplan adopts appropriate measures to prevent unauthorised persons from gaining entrance to data processing systems with which personal data are processed or used. For this purpose, Serviceplan implements the following measures, among others:

 

·       Unauthorized access to the buildings and rooms is prevented by various structural measures, technical equipment and organizational precautions.

 

·       Mechanical door locks or electrical door locks (transponder card and badge reader).

 

·       Differentiated key control and acknowledgement of key issuance

 

·       Secure storage of master keys and regulations for master key removal

 

·       Clear assignment of authorizations (access to building, office, server room)

 

·       Regular checking of access authorizations

 

·       Guest principle: visitors cannot move freely and uncontrolled in the building

 

3.       Data carrier and storage control

 

Serviceplan will adopt reasonable measures to prevent data carriers from being read, copied, modified or deleted by unauthorised persons. For this purpose, Serviceplan shall take the following measures, among others:

 

·       Minimization of the use of mobile data carriers.

 

·       Data transfer is preferred via an encrypted and personally accessible HTTPS server or server with other encryption method

 

·       Immediate deletion or deactivation of authorizations that are not or no longer needed

 

·       Secure deletion or destruction and disposal of electronic storage media and other records containing confidential information that are no longer needed

 

·       Certified disposal of old backup tapes

 

 

4.       User control

 

Serviceplan shall take appropriate measures to prevent automated processing systems from being used by unauthorised persons with the assistance of data transmission equipment. To this purpose, Serviceplan takes the following measures, among others:

 

·       Differentiated authorizations and restrictive assignment of rights according to official requirements (need-to-know principle) and associated documentation.

 

·       All devices require authentication, either by pin entry or similar, or by using standard procedures for biometric authentication (e.g., fingerprint scanner on laptop / smartphone)

 

·       Configuration of the end devices for permanent blocking after multiple failed authentications

 

·       Automatic standby mode for all workstations and mobile devices with renewed authentication on further use

 

·       Complexity requirement for passwords (e.g. 8 characters, complex, password history)

 

·       Stricter complexity requirement for passwords of administrators

 

·       Prohibition of disclosure for user IDs and passwords

 

·       Immediate notification obligation to IT managers in the event of detected or suspected password loss or other indications of unauthorized use of user IDs

 

·       Logging of system, application and data accesses

 

·       Notification of the applicable IT security policy to all internal and external employees

 

·       Training measures for employees on handling personal data

 

5.       Access control

 

Serviceplan undertakes reasonable steps to ensure that persons authorized to use a data processing system have access only to the data that is subject to their access authorization and that personal data cannot be read, copied, modified or removed without prior authorization during processing, use and after storage.

To this end, Serviceplan takes the following measures, among others:

 

·       Differentiated authorizations and restrictive assignment of rights according to official requirements (need-to-know principle) and associated documentation.

 

·       In principle, the following rights can be assigned:

 

-          Create (create): create, create a file

-          Read: Read an existing file

-          Modify: Modify an existing file

 

·       System-side authorization, i.e. checking whether the user is authorized to perform a certain action.

 

·       Privileged access rights defined (administrators, consultants, service providers, supervisors)

 

·       Immediate deletion or deactivation of authorizations that are not or no longer required. Regular review of the necessity of the assignment of rights.

 

·       Employees may only move within the systems and data areas that they need to fulfill their work assignment. If, in individual cases, access to resources is possible that lie outside the user's area of responsibility, the supervisor must be notified.

 

·       Obligation of all internal and external employees to maintain confidentiality

 

6.       Transmission and transport control

 

Serviceplan undertakes reasonable steps to ensure that personal data cannot be read, copied, modified or deleted without prior authorization during an electronic transmission or during its transport or storage on data carriers, and that it is verifiable and ascertainable where personal data are to be transmitted by data transmission facilities.

Serviceplan undertakes the following measures, among others, for this purpose:

 

·       If possible: encryption of mobile devices

 

·       Tunnel connection (VPN = Virtual Private Network) to access the corporate network

 

·       Depending on the need for protection, encryption or secure transport containers and paths are to be used

 

·       All published services are transport encrypted (e.g. https, website, TLS/ITC).

 

·       No forwarding of emails to employees' private email accounts. Forwardings are documented without further ado in accordance with the IT security guideline.

 

·       Data media are sent or transported in such a way that damage to the data media can be ruled out as far as possible (e.g. air-cushioned envelopes).

 

7.       Input control

 

Serviceplan undertakes reasonable steps to ensure that it is subsequently verifiable and ascertainable whether, by whom and at what time personal data has been entered into, modified in or deleted from data processing systems.

To this end, Serviceplan takes among others the following measures:

 

·       Automatic logging of system usage in compliance with data protection limits

 

·       Regular evaluation of logs

 

8.       Recoverability

 

Serviceplan undertakes appropriate measures to ensure that used systems can be restored in the event of a fault. The rules for storing files are decided centrally and the data backup modalities are defined in cooperation with the administrators. All regulations are recorded in a data backup plan. For this purpose, Serviceplan takes among others the following measures:

 

·       Differentiated backup concept for fast data recovery

 

·       Regular data backup, including backup on a redundant storage system

 

·       Execution of test backups

 

·       Indexing - depending on the system - of data for easier retrieval as part of the document management process

 

9.       Availability control

 

Serviceplan undertakes reasonable steps to ensure that personally identifiable information is protected against accidental destruction or loss. To this end, Serviceplan takes among others the following measures:

 

·       Fire protection equipment (e.g. fire extinguishers in the server room, fire doors, fire classification of rooms).

 

·       Use of firewalls, virus scanners, and other intrusion detection and prevention systems, including regular updates:

 

·       Precautions to ensure the security and recoverability of the data stock (see section 8 "Recoverability" above).

 

·       Deployment of firewalls, virus scanners and other intrusion detection and prevention systems, including regular updates:

 

·       Backup of data according to the generation principle

 

·       Vacation, sick leave and other substitution arrangements: Permanent employees including substitutes are responsible for all technologies/systems

 

·       Emergency plan for business continuity in place

 

10.     Reliability

 

Serviceplan shall undertake reasonable measures to ensure that all functions of the system are available and any malfunctions are reported. To this end, Serviceplan takes among others the following measures:

 

·       The person responsible for the data backup regularly checks whether the data backup was actually carried out correctly.

 

·       Check points here are:

 

-          The evaluation of log files and error logs.

-          The date of the backup file.

-          The random check of the file contents and

-          The plausibility of the file size.

-          In individual cases, e.g. if cryptographic procedures are used, a file comparison.

 

·       Proactive monitoring of all essential systems (such as the backup system).

 

·       Selection of service providers according to reliability criteria

 

 

11.     Functional separation

 

Serviceplan will take reasonable steps to ensure that data collected for different purposes may be separately processed. To this purpose Serviceplan undertakes among others the following measures:

 

·       Physically and/or logically separate storage, modification, deletion and transmission of data that serve different purposes (multi-client capability)

 

·       Separation of functions, especially between production and test data

 

·       Spatially separate storage of backup data carriers

 

12.     Regular review, assessment and evaluation of technical and organisational measures

 

Serviceplan shall take appropriate measures to ensure that the effectiveness of the technical and organisational measures taken is regularly reviewed, evaluated and evaluated. To this end, Serviceplan takes among others the following measures:

 

·       If necessary: Performance of data protection impact assessments by the Group-wide appointed data protection officer.

 

·       Process in place to ensure compliance with data subject rights.

 

·       Checking the reconstruction of data using data backup files after each change to the data backup procedure, otherwise at regular intervals. In doing so, it must be ensured that complete data reconstruction is possible.

 

·       Training of employees in handling data and raising IT security awareness.

 

·       Escalation and reporting channels for security-relevant incidents are known to employees.

 

·       The availability of the IT officer and the company data protection officer and his staff as contacts for all questions relating to IT use and IT security is guaranteed.

Annex 2: Specifications Required under Data Protection Law

 

Scope, type and purpose of the envisaged collection per advertising scheme, in the respective media type or on the respective medium

Loose inserts and household distribution:

Complete addresses of persons / end customers made available by the Customer, which report deficiencies in the household distribution of leaflets / loose inserts

 

Online:

Advertising media delivery, media measurement, campaign action tracking, usage-based online advertising (Re-Targeting, derivation of statistical twins), SEA, SEO, Affiliate Marketing, Amazon Media Services, eCommerce Services, Performance Display, Content Marketing, Social Advertising

 

Community Management and Analytics:

Community Management, Social Media Analytics, Influencer Management

 

Out of Home (Geo Analysis):

Address enrichment, derivation of statistical twins, creation of agglomeration areas, localization and visual representation (geocoding), reverse geocoding (generation of addresses from geocoding)

 

Dialogue Marketing:

Conception and production of online newsletters, push notifications and landing pages

 

Surveys and market-media studies as raw data set:

Person-level data record provided by external field service providers / institutes to make aggregated statements about a group of persons

 

Prize lotteries/raffles:

Collection of personal data to draw and contact the winners

 

Type of data per advertising scheme, in the respective media type or on the respective medium

Loose inserts:

Personal master data (name, address), communication data (telephone, e-mail)

 

Online:

IP Addresses, Pseudonyms Cookie Identifiers, Pseudonyms Mobile Advertising Identifiers, Sales IDs

 

Community Management und Analytics:

Avatars and photographs, Social Media Handle, communication data (telephone, e-mail), marketing preferences

 

Out of Home (Geo Analysis):

Anonymized address data (street, postal code, city), sales figures at postcode level, information from statistical offices, market-media studies, POI databases, data from commercial individual databases, mobile radio-location-vector data, media data, street frequency data ( Atlas study), publicly available information

 

Dialogue Marketing:

Personal master data, communication data (for example telephone, e-mail), contract master data (contractual relationship, product or contract interest), customer history (booking history), behavioral data (openings, clicks), IP addresses

 

Surveys and market-media studies as raw data set:

Pseudonymised survey data (including socio-characteristics with possible postal code) at the person level. The name, address and e-mail address remain with the field service provider

 

Prize lotteries/raffles:

Personal master data (name, address), communication data (telephone, e-mail), IP Addresses

 

Data subjects per advertising scheme, in the respective media type or on the respective medium

Loose inserts:

End customer of the Customer

 

Online:

Consumers on promotional websites / apps / social media channels and websites / apps / social media channels of the Customer

 

Community Management und Analytics:

Consumers on promotional social media channels and social media channels of the Customer

 

Out of Home (Geo Analysis):

Potential end customers of the Customer / members of a research panel

 

Dialogue Marketing:

Interested parties, end customers of the Customer, subscribers of the Customer

 

Surveys and market-media studies as raw data set:

Participants of an Online Access Panel: "Panellists"

 

Prize lotteries/raffles:

participants of the prize competition