Datenschutz-Gesamtdokumentation

heronOS GmbH
Holteistr. 17
10245 Berlin

Inhalt:

• Vertrag zur Auftragsdatenverarbeitung

• Anhang 1: Information zu Subunternehmen zwecks Datenschutz 

• Anlage 2: Cookie-Übersicht

• Anlage 3: erhobene Browserdaten

• Anlage 4: Einsatz von Matomo (Webanalytics) 

• Technische und Organisatorische Maßnahmen (TOMs) 
  
  

Vertrag zur Auftragsdatenverarbeitung

zwischen der heronOS GmbH, Holteistr. 17 10245 Berlin (im Folgenden "heronOS" genannt)

und Ihrem Kunden _______________________

Präambel

Diese Vereinbarung definiert die Verpflichtungen der Vertragspartner zum Datenschutz, die sich aus der Zusammenarbeit ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit der Zusammenarbeit in Zusammenhang stehen und bei denen Beschäftigte der heronOS oder durch die heronOS Beauftragte personenbezogene Daten (Daten) des Auftraggebers verarbeiten.

§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

Aus den allgemeinen Geschäftsbedingungen der heronOS ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung. Die personenbezogene Verarbeitung der Daten durch die heronOS findet ausschließlich im Sinne und Auftrag des Kunden statt.

Diese Vereinbarung gilt für die Dauer der Zusammenarbeit zwischen dem Kunden und der heronOS.

§ 2 Anwendungsbereich und Verantwortlichkeit

• Die heronOS verarbeitet Daten im Auftrag des Kunden. Dies umfasst Tätigkeiten, gemäß AGBs, die über IT-Systeme zur Verfügung gestellt werden, welche es dem Kunden möglich machen, Daten über das Internet auszutauschen. Dabei ist sowohl die Interaktion zwischen Mitarbeitern des Kunden mit den Nutzern möglich als auch die Interaktion des Nutzers mit sogenannten Ai-Fachkräften. Der Kunde ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an die heronOS sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO).
  
  
• Daten werden nur insoweit verarbeitet, als dies für die Erbringung der Leistung notwendig ist. Ändert sich das Angebot des Kunden an die Nutzer, so ist diese unverzüglich der heronOS mitzuteilen.

§ 3 Pflichten der heronOS

• Die heronOS darf Daten von Nutzern nur im Rahmen des Auftrages verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikels 28 Abs. 3 a) DSGVO vor. Die heronOS informiert den Kunden unverzüglich, wenn sie der Auffassung ist, dass die Nutzung der Daten durch den Kunden gegen anwendbare Gesetze verstößt. Die heronOS darf die Umsetzung der Zusammenarbeit so lange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
  
  
• Die heronOS wird in ihrem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Sie wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der DSGVO (Art. 32 DSGVO) genügen. Die heronOS hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Kunden sind diese Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt der heronOS vorbehalten, wobei jedoch sichergestellt sein muss, dass das vereinbarte Schutzniveau nicht unterschritten wird.
  
  
• Die heronOS unterstützt entsprechend der AGBs den Kunden im Rahmen ihrer Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gemäß Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.
  
  
• Die heronOS gewährleistet, dass es den mit der Verarbeitung der Daten des Kunden befassten Mitarbeitern und anderen für die heronOS tätigen Personen untersagt ist, die Daten außerhalb der Zwecke, welche in den allgemeinen Geschäftsbedingungen festgelegt sind, zu verarbeiten. Ferner wird gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
  
  
• Die heronOS unterrichtet den Kunden unverzüglich, wenn ihr Verletzungen des Schutzes personenbezogener Daten des Kunden bekannt werden. Die heronOS trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Kunden ab.

• Die heronOS gewährleistet, ihren Pflichten nach Art. 32 Abs. 1 d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
  
  
• Die heronOS berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Kunde dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt die heronOS die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Kunden oder gibt diese Datenträger an den Kunden zurück, sofern nicht anders vereinbart. In besonderen, vom Kunden zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht bereits vereinbart.
  
  
• Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Kunden entweder herauszugeben oder so zu berichtigen, dass eine personenbezogene Verarbeitung nicht mehr möglich ist.
  
  
• Im Falle einer Inanspruchnahme des Kunden durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Ar. 82 DSGVO verpflichtet sich die heronOS den Kunden bei der Abwehr des Anspruchs im Rahmen ihrer Möglichkeiten zu unterstützen. Der hierdurch entstehende Aufwand ist durch den Kunden in der Höhe der entstandenen Kosten zu vergüten.

§ 4 Pflichten des Kunden

• Der Kunde hat die heronOS unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
  
  
• Im Falle einer Inanspruchnahme des Kunden durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO gilt § 3 Abs. 10 entsprechend.
  
  
• Der Kunde nennt der heronOS den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

§ 5 Anfragen betroffener Personen

Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an die heronOS, wird die heronOS die betroffene Person an den Kunden verweisen, sofern eine Zuordnung an den Kunden nach Angaben der betroffenen Person möglich ist. Die heronOS leitet den Antrag der betroffenen Person unverzüglich an den Kunden weiter. Die heronOS unterstützt den Kunden im Rahmen ihrer Möglichkeiten. Die heronOS haftet nicht, wenn das Ersuchen der betroffenen Person vom Kunden nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

§ 6 Nachweismöglichkeiten

• Die heronOS weist dem Kunden die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach. Üblicherweise geschieht dies durch die Durchführung eines Selbstaudits.
  
  
• Sollten im Einzelfall Inspektionen durch den Kunden oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Die heronOS darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und von den eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Kunden beauftragte Prüfer in einem Wettbewerbsverhältnis zur heronOS stehen, hat die heronOS gegen diesen ein Einspruchsrecht. Der Aufwand einer Inspektion ist für die heronOS grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
  
  
• Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Kunden eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitserklärung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

§ 7 Subunternehmer

• Der Einsatz von Subunternehmern als weitere Auftragsverarbeiter ist zulässig, wenn der Auftraggeber schriftlich informiert wird oder wurde (z.B. Datenschutzvereinbarung heronOS).
• Ein Subunternehmerverhältnis, über welches informiert werden muss, liegt vor, wenn die heronOS weitere Auftragnehmer mit der ganzen oder einer Teilleistung innerhalb der nach den AGB vereinbarten Leistungen beauftragt. Die heronOS wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten.
  
  
• Der Kunde stimmt zu, dass die heronOS Subunternehmer hinzuzieht. Vor Hinzuziehung oder Ersetzung informiert die heronOS den Kunden. Der Kunde kann der Änderung – innerhalb von zwei Wochen und aus wichtigem Grund – gegenüber der heronOS widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben. Liegt ein wichtiger datenschutzrechtlicher Grund vor, und sofern eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich ist, wird dem Kunden ein Sonderkündigungsrecht eingeräumt.
  
  
• Erteilt die heronOS Aufträge an Subunternehmer, so obliegt es der heronOS, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag auf den Subunternehmer zu übertragen.
  
  
• Alle Subunternehmer werden in Anhang 1 dargestellt.

§ 8 Informationspflichten, Schriftform, Rechtswahl

• Sollten die Daten des Kunden bei der heronOS durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat die heronOS den Kunden unverzüglich zu informieren. Die heronOS wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Kunden als Verantwortlicher im Sinne der DSGVO liegen.
  
  
• Änderungen und Ergänzungen dieses Vertrags und aller seiner Bestandteile – einschließlich etwaiger Zusicherungen der heronOS – bedürfen der schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
  
  
• Bei etwaigen Widersprüchen gehen Regelungen dieses Vertrages zum Datenschutz den Regelungen aller anderen Vereinbarungen vor. Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.
  
  
• Es gilt ausschließlich das Recht der Bundesrepublik Deutschland.

§ 9 Haftung und Schadenersatz

Der Kunde und die heronOS haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

Anhang 1: Information zu Subunternehmen zwecks Datenschutz

Anlage 2: Cookie-Übersicht

Anlage 3: erhobene Browserdaten

Anlage 4: Einsatz von Matomo (Webanalytics)

Einsatz von Matomo

Wir nutzen die selbst gehostete Analytics-Software Matomo ohne Zwang zur Einwilligung entsprechend Artikel 6 Abs. 1 lit. f DSGVO. Die Speicherung der folgenden Datenerfolgt, um die folgenden Funktionen gewährleisten zu können:

Identifikation des genutzten Geräts

• • Aus Sicherheitsgründen:
    • Blockieren von veralteten Geräten, um die Datensicherheit zu gewährleisten
    • Blockieren von veralteter Software, um die Datensicherheit zu gewährleisten
  • Nutzung der Software-Funktionen an verschiedenen Betriebssystemen, Browsern und anderer Software (z.B. Facebook)
  • Zur Verbesserung unserer Software:
    • Anpassung der Software an verschiedene Bildschirmgrößen
    • Fehlerbehebung in bestimmten Software-Umgebungen, welche wir ohne Matomo nicht loggen können
• Speicherung der IP-Adresse
  • Zur Verhinderung von strafrechtlich relevantem Verhalten
  • Zur Verhinderung von Angriffen auf unsere Software (Blacklisting)
  • Zur Unterstützung von Strafverfolgungsbehörden bei juristisch relevanten Sachverhalten

Weitere Daten speichern wir in diesem Zusammenhang nicht. Es erfolgt keine Profilbildung und keinCross-Site-Tracking, wiederkehrende Besuche tracken wir ebenso nicht. Es werden auch keine Tracking-Cookies gesetzt.

Anhang 5: Löschkonzept der heronOS GmbH

1. Einleitung

Dieses Löschkonzept beschreibt dieProzesse und Richtlinien der heronOS GmbH für die Speicherung, Nutzung undLöschung personenbezogener Daten gemäß DSGVO. Ziel ist eine transparente,rechtskonforme Datenverarbeitung und die Gewährleistung, dass Daten nur solange wie nötig aufbewahrt werden.

2. Anwendungsbereich

Das Konzept gilt für allepersonenbezogenen Daten, die von der heronOS GmbH verarbeitet werden –insbesondere von Kunden, Mitarbeitenden und Geschäftspartnern.

3. Datenfelder und Löschfristen

Alle verwendeten personenbezogenenDaten, ihre Zweckbindung und die jeweilige Löschfrist sind in der folgendenTabelle spezifiziert:

• aus Besuchern Leads zu machen.

4. Prozess zur Datenlöschung

Kennzeichnung zur Löschung:

Nach Vertragsende (z. B. Kündigungdurch den Kunden) werden alle personenbezogenen Daten im System technisch zurLöschung markiert. Für jede Kategorie gilt die jeweilige Frist (i. d. R. 6Monate oder 2 Wochen).

Automatisierte Löschroutine:

Wöchentliche Routine: Ein automatisierter Prozess prüft wöchentlich und löscht die zur Löschung markierten Daten.

Sofortige Löschung: Zugangsdaten, die der Kundenadmin löscht, werden sofort entfernt.

• Technische Speicherung: Während der Löschfristenverbleiben Daten in der Produktivdatenbank (DB „Production“ auf Telekom-Server). Nach Ablauf der Fristen werden sie vollständig entfernt.
• Entfernung/Archivierung: Nicht mehr benötigte Datenwerden endgültig gelöscht. Für rechtliche Zwecke relevante Daten werden separatim Buchhaltungssystem archiviert.
• Revision: Während gesetzlicher Aufbewahrungsdauerbleiben die entsprechenden Daten für Prüfungen durch Wirtschaftsprüfer etc. zugänglich.

5. Sicherheit und Pseudonymisierung

Alle personenbezogenen Daten werden durch technische und organisatorische Maßnahmen geschützt (gemäß Art. 32DSGVO).

Pseudonymisierte Daten sind so gespeichert, dass eine Zuordnung zu Person nur mit Zusatzwissen möglich ist.

6. Anpassungen

Das Löschkonzept wird regelmäßig überprüft und an neue gesetzliche bzw. interne Anforderungen angepasst. 
Fragen, Rückmeldungen oder Freigabenbitte an: datenschutz@heronOS.de