Vereinbarung zur Auftragsdatenverarbeitung


Zwischen

Ihnen als Nutzer (nachfolgend „Nutzer“ oder „Sie“) unserer digitalen Plattform immoabrechner.de (nachfolgend „Portal“ oder „Plattform“)

und

uns, der ISG Abrechnungsmanagement GmbH, Ramskamp 69, 25337 Elmshorn (nachfolgend „ISG“, „wir“ oder „uns“),

gelten die

von der EU-Kommission im Durchführungsbeschluss (EU) 2021/915 der Kommission vom 4. Juni 2021 veröffentlichten Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments (nachfolgend „EU-Standardvertragsklauseln“)

unter Auswahl der dort in Ziffer 7.7 lit a) genannten Option 2 mit einem zu verwendenden Zeitraum von 14 Tagen

als vereinbart. Hierbei haben Sie in dem dort in Bezug genommenen Anhang I die Rolle des Verantwortlichen und wir die Rolle des Auftragsverarbeiters inne. Hinsichtlich des dort in Bezug genommen Anhang II sind die Kategorien betroffener Personen:

  • Verwalter (Eigentümer, Vermieter, Hausverwalter, …)
  • Mieter
  • Mietinteressenten
  • Dienstleister
  • Lieferanten
  • Ansprechpartner

die Kategorien personenbezogener Daten:

  • Personenstammdaten
  • Kommunikationsdaten
  • Vertragsstammdaten
  • Abrechnungs- und Schlüsselungsdaten
  • Kosten- und Zahlungsdaten
  • Orts- und Auskunftsdaten
  • Historien sowie

die Art, Zweck und Dauer der Verarbeitung in den Allgemeinen Geschäftsbedingungen benannt. Hinsichtlich des dort in Bezug genommen Anhang III stellen sich technischen und organisatorischen Maßnahmen wie folgt dar:

Pseudonymisierung: Auf den Servern werden per Grundeinstellung IP-Adressen in Logfiles, die z.B. zur Erstellung von Besucherstatistiken verwendet werden, durch die Ersetzung des letzten Oktetts der IP-Adresse anonymisiert.

Verschlüsselung: Datenübertragungswege werden verschlüsselt. Dabei kommen unterschiedliche Verfahren zum Einsatz (u.a. SSH, TLS, SFTP, SSL, Tunnel), um Übertragungen vor Fremdzugriff zu schützen.

Gewährleistung der Vertraulichkeit: Die personenbezogenen Daten des Verantwortlichen werden in Rechenzentren betrieben. Dort erfolgen die folgenden Maßnahmen zur Zutrittskontrolle:

  • Elektronische Zutrittskontrolle bei Betreten des Rechenzentrums als auch in den jeweiligen Sicherheitsbereich. Elektronisch: Zutritt ist durch ein materielles (RFID-Chip) und ein geistiges (PIN) Identifikationsmerkmal gesichert. Physikalisch: Jedes Serverracks verfügt über eine eigene Schließung. Die Außenhaut des Rechenzentrums und der Zutritt zu Sicherheitsbereichen im Rechenzentrum wird mit Videotechnik überwacht. Das Rechenzentrum wird regelmäßig innerhalb vorgegebener Zeitfenster durch einen Wachdienst begangen.
  • Die Server sind nur mit Konsolenpasswort oder über eine geschützte, verschlüsselte Verbindung administrierbar. Der Schutz erfolgt durch ein Passwort oder durch eine Authentifizierung mit Hilfe eines Schlüsselpaares (Private Key und Public Key).
  • Der Zugang zur Administrationsumgebung erfolgt passwortgeschützt über eine SSL-verschlüsselte Verbindung, wobei eine Mindeststärke des Passwortes zwingend erforderlich ist.
  • Zugang zu den Administrationsumgebungen erhalten nur die Mitarbeiter, die ihn im Rahmen ihrer regelmäßigen Tätigkeit brauchen.

Gewährleistung der Integrität: Die Nutzung der Online-Administration erfolgt über eine SSL-gesicherte Verbindung. Die Übertragung der Daten erfolgt standardmäßig durch Download über eine SSL-gesicherte Verbindung. Die Eingabe der Daten erfolgt durch den Nutzer selbst. Dafür werden online Formulare zur Verfügung gestellt, in denen einzelne Datenfelder mit Plausibilitätsprüfungen versehen sein können. Bei der Erhebung des Datensatzes werden Datum und Uhrzeit sowie die IP-Adresse des Nutzers festgehalten.

Gewährleistung der Verfügbarkeit: Zusätzlich zu den technischen Maßnahmen, die bereits durch die Rechenzentren im Rahmen der Infrastruktur bereitgestellt werden (z.B. unterbrechungsfreie Stromversorgung), sind Backup-Routinen eingerichtet.

Gewährleistung der Belastbarkeit der Systeme: Die Räumlichkeiten der Datenverarbeitungsanlagen sind mit Feuer- und Rauchmeldeanlagen, Klimatisierung sowie Einrichtungen zur unterbrechungsfreien Stromversorgung ausgestattet.

Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall: Es existiert eine zentrale Dokumentation der notwendigen Verfahrensweisen und Regelungen berechtigungsgesteuerter Zugriffsmöglichkeiten.

Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen: Unsere Mitarbeiter sind auf das Datengeheimnis und die Vertraulichkeit verpflichtet. Hierzu erfolgt auch eine regelmäßige Sensibilisierung.