Pilotkunde werden
 

Datenschutzerklärung

Stand 10.07.2014

goalio verpflichtet sich, die anwendbaren Regeln des Bundes- und Landesdatenschutzrechtes zu beachten und zur Wahrung der Datensicherheit angemessene technische Vorkehrungen zu treffen.

[Begriffsdefinition] Die vorliegende Datenschutzerklärung regelt die Obhubts- und Geheimhaltungspflichten im Rahmen des von goalio entwickelten internetbasierten Softwaresystems beim ASP-Anwender (im Folgenden „Anwendung“ genannt). ASP steht als Abkürzung für Application Service Provider (Anwendungsdienstleister). Die Anwendung wird zur Unterstützung der Organisation des ASP-Anwenders eingesetzt werden.

 

Abschnitt 1: Allgemeine Datenschutzerklärung

 

§ 1 Geheimhaltungs- und Obhutspflichten

[Pflichten von goalio] goalio verpflichtet sich, alle Informationen vertraulich zu behandeln, die im Rahmen der Abwicklung dieses Vertragsverhältnisses vom ASP-Anwender zugänglich gemacht werden. goalio verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. goalio hat mit der gebotenen Sorgfalt darauf hinzuwirken, dass alle Personen, die von ihr mit der Erfüllung dieses Vertrages betraut sind, die gesetzlichen Bestimmungen zum Datenschutz und zum Umgang mit personenbezogenen Daten beachten und insbesondere erlangte Informationen nicht an Dritte weitergeben oder anderweitig verwerten.

[Datenschutz bei Nutzung der Werbeflächen] Die Geheimhaltungspflichten vonseiten goalios gegenüber dem ASP-Anwender, entsprechend § 1 Abs. (1), gelten auch bei Einbindung eines Werbepartners uneingeschränkt weiter, so dass goalio zu keiner Zeit personenbezogene Daten an Dritte weitergibt.

 

§ 2 Löschung von Daten und Rückgabe von Datenträgern

[Löschung der Datenbestände] Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den ASP-Anwender – spätestens mit Beendigung des Hauptvertrages – hat goalio sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem ASP-Anwender auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Bestehen gesetzliche Aufbewahrungspflichten, werden die Daten für eine weitere Verwendung gesperrt. Das Protokoll der Löschung ist auf Anforderung vorzulegen. goalio wird dem ASP-Anwender hierbei entstehenden Aufwand auf Stundenbasis in Rechnung stellen.

[Dokumentationen] Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch goalio entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem ASP-Anwender übergeben.

[Antrag auf Berichtigung oder Löschung] goalio hat nur nach Weisung des ASP-Anwenders die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren.

 

§ 3 Datensicherung

[Anfertigung von Kopien] Kopien und Duplikate werden ohne Wissen des ASP-Anwenders nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

[Sicherheitskopien] goalio erstellt regelmäßig Sicherungskopien der Datenbank des ASP-Anwenders, mit Hilfe derer goalio eine Datenwiederherstellung zu einem früheren Datenbank-Stand durchführen kann. Die Sicherungskopien werden ausschließlich zu diesem Zweck erstellt und nur auf schriftlichen Antrag des ASP-Anwenders eingesetzt.

 

§ 4 Datenzugriffsrechte

[Zugriff auf Daten] Der Zugriff auf sämtliche in der Anwendung gespeicherten Daten ist für den ASP-Anwender jederzeit und ausschließlich über die Anwendung selbst möglich. Dies geschieht durch Login über das Internet. Mindestens ein Administrator hat Zugriff auf alle in der Anwendung gespeicherten Daten.

[Personenbezogene Daten] Erhebt, verarbeitet oder nutzt der ASP-Anwender personenbezogene Daten, so steht er dafür ein, dass er dazu nach den anwendbaren, insbesondere datenschutzrechtlichen Bestimmungen berechtigt ist und stellt im Falle eines Verstoßes goalio von Ansprüchen Dritter frei. Soweit die zu verarbeitenden Daten personenbezogene Daten sind, liegt eine Auftragsdatenverarbeitung vor und goalio wird die gesetzlichen Erfordernisse der Auftragsdatenverarbeitung und Weisungen des Kunden (z.B. zur Einhaltung von Löschungs- und Sperrungspflichten) beachten. Die Weisungen müssen rechtzeitig schriftlich mitgeteilt werden.

 

§ 5 Quellcodeschutz

[Quellcodeschutz] Alle Rechte am Quellcode der Anwendung des ASP-Anwenders einschließlich des Rechtes zu seiner Veränderung verbleiben bei goalio. Auch der Zugriff auf oder die Einsichtnahme in den Quellcode der Anwendung ist dem ASP-Anwender nicht gestattet. goalio hat das Recht, den Quellcode der Anwendung zu verschlüsseln.

[Kopierschutz] Der ASP-Anwender ist nicht berechtigt, Kopien von Teilen der Anwendung oder der Anwendung in Gänze anzufertigen, es sei denn, goalio hat hierin ausdrücklich schriftlich eingewilligt.

[Pflichten des ASP-Anwenders] Der ASP-Anwender wird alle Informationen vertraulich behandeln, die ihm im Rahmen der Abwicklung dieses Vertragsverhältnisses zugänglich gemacht werden und über das rein äußere Erscheinungsbild der Anwendung sowie die bloße Auflistung des Funktionsumfangs hinausgehen. Dies betrifft insbesondere Informationen über von goalio verwendete Methoden und Verfahren sowie die Anwendung betreffende Informationen. Der ASP-Anwender ist darüber hinaus verpflichtet, die Geheimhaltung gegenüber Dritten auch durch seine Mitarbeiter sicherzustellen, insbesondere den unbefugten Zugriff Dritter auf die Anwendung sowie damit in Verbindung stehende Informationen durch geeignete Vorkehrungen zu verhindern.

 

§ 6 Mitteilungspflichten bei Verstößen

[Verstöße durch bei goalio beschäftigte Personen] goalio erstattet in allen Fällen dem ASP-Anwender eine Meldung, wenn durch ihn oder die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des ASP-Anwenders oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind.

[Informationspflichten bei Datenverlust] Es ist bekannt, dass nach § 42a BDSG Informationspflichten im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem ASP-Anwender mitzuteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des ASP-Anwenders. goalio hat im Benehmen mit dem ASP-Anwender angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den ASP-Anwender Pflichten nach § 42a BDSG treffen, hat goalio ihn hierbei zu unterstützen.

 

§ 7 Hosting

[Hosting bei Fremdunternehmen] goalio hat das Recht, die Anwendung auf dem Server eines professionellen Rechenzentrums zu hosten (zur Zeit des Vertragsschlusses beim ISO 270001 zertifizierten Unterauftragnehmer YUNICON, als eine Marke der Hatchery Group GmbH & Co. KG, Nonnendammallee 22, 13599 Berlin, Tel.: +49 30–43203638). Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des ASP-Anwenders und darf nur erfolgen, wenn die besonderen Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind.

 

Abschnitt 2: Ergriffene Maßnahmen zum Datenschutz nach § 9 BDSG

 

§ 8 Maßnahmen zum Datenschutz

[Maßnahmen zur Datensicherung] Im Folgenden werden die von goalio getroffenen technischen und organisatorischen Maßnahmen dokumentiert, wie sie § 9 BDSG und seine Anlage zur Gewährleistung der Konformität mit dem Bundesdatenschutzgesetz vorschreibt. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es goalio gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

[Gegenüberstellung empfohlener und getroffener Maßnahmen] Die von goalio getroffenen Maßnahmen werden im Folgenden in Tabellenform dargestellt. In der linken Tabellenspalte werden solche Maßnahmen erfasst, die von der Gesellschaft für Datenschutz und Datensicherung e.V. (im Folgenden: „GDD“) als besonders geeignet vorgeschlagen werden. In der rechten Spalte sind die entsprechenden von goalio getroffenen Maßnahmen zur Datensicherung dokumentiert.

1. Zutrittskontrolle

Der unbefugte räumliche Zutritt wird verhindert. Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:

GDD-Maßnahmenvorschlag

Maßnahmen Yunicon

Zutrittskontrollsystem,
Ausweisleser, Magnetkarte, Chipkarte zu beachten: § 6c BDSG
Umzäuntes, gesichertes Gelände und Gebäude , Vereinzelungsanlage, Zutrittskontrolle für Gelände, Gebäude, Räume, und Käfige mit Chipkarte, Videoüberwachung außen-/innen, 24/7 Sicherheitsdienst.

2. Zugangskontrolle

Das Eindringen Unbefugter in die DV-Systeme wird verhindert. Technische und organisatorische Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:

GDD-Maßnahmenvorschlag

Maßnahmen goalio

Kennwortverfahren
goalio: Der Zugriff auf die Anwendung ist ausschließlich mit einem persönlichen Usernamen und Passwort über das Internet möglich. Die Passwörter werden in besonders starken Varianten erstellt.
Der Zugriff auf die goalio - Server ist ausschließlich besonders berechtigten Mitarbeitern möglich. Der Zugriff erfolgt ausschließlich über verschlüsselte Verbindungen (SSH) über das private/public key Verfahren.
Automatische Sperrung (z.B. Kennwort oder Pausenschaltung)
Nach 10 erfolglosen Passworteingaben sperrt die Anwendung nachfolgende Eingaben automatisch für einen Zeitraum von zwei Minuten.
Einrichtung eines Benutzerstammsatzes pro User
Jede Kundendatenbank ist stets nur über die entsprechende Kundenanwendung erreichbar. Ein Zugriff auf eine parallel installierte Datenbank eines anderen Kunden ist nicht möglich.
Innerhalb der Anwendung erhält jeder Nutzer einen eigenen Account.
Verschlüsselung von Datenträgern
Der Zugang zu den Servern erfolgt stets verschlüsselt.

3. Zugriffskontrolle

Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen werden verhindert. Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:

GDD-Maßnahmenvorschlag

Maßnahmen goalio

Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte)
goalio: Der Zugang zu den goalio-Servern ist ausschließlich besonders berechtigten Mitarbeitern der goalio UG (haftungsbeschränkt) möglich.
Innerhalb der Anwendung erfolgt eine differenzierte Aufteilung in Rechte und Rollen. Die Möglichkeiten eines Nutzers sich innerhalb der Anwendung zu bewegen und Aktionen durchzuführen wird durch eine Zuteilung entsprechender Rollen und Rechte begrenzt. Änderungen am Datenbestand werden protokolliert.

4. Weitergabekontrolle

Die sichere Weitergabe personenbezogener Daten wird gewährleistet. Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung:

GDD-Maßnahmenvorschlag

Maßnahmen goalio

Verschlüsselung / Tunnelverbindung (VPN = Virtual Private Network)
Die Kommunikation zwischen Client und Server erfolgt ausschließlich verschlüsselt. goalio setzt dabei auf eine 128 Bit Verschlüsselung (SSL). Zu keiner Zeit werden sicherheitsrelevante oder kundenspezifische Daten unverschlüsselt übertragen.

5. Eingabekontrolle

Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und –pflege wird gewährleistet. Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:

GDD-Maßnahmenvorschlag

Maßnahmen goalio

Protokollierungs- und Protokollauswertungssysteme
Änderungen am Datenbestand werden protokolliert.

6. Auftragskontrolle

Die weisungsgemäße Auftragsdatenverarbeitung wird gewährleistet. Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer:

GDD-Maßnahmenvorschlag

Maßnahmen goalio

Eindeutige Vertragsgestaltung
Der Kundenvertrag von goalio enthält eine spezielle BDSG-konforme Datenschutzanlage.

7. Verfügbarkeitskontrolle

Die Daten werden gegen zufällige Zerstörung oder Verlust geschützt. Maßnahmen zur Datensicherung (physikalisch / logisch):

GDD-Maßnahmenvorschlag

Maßnahmen goalio

Backup-Verfahren
Die Datenbank wird täglich lokal gesichert („mysql-dump“) und zusammen mit den Anwendungsdaten ebenfalls einmal täglich auf physisch an anderen Orten stehenden Servern (remote) rückgesichert.
Spiegeln von Festplatten, z.B. RAID-Verfahren
Die Daten werden über ein Raid-System gespiegelt.
Virenschutz / Firewall
Die goalio Server sind durch eine Firewall geschützt. Diese erlaubt den Zugang zum Server über 4 Ports - 80 (http), 443 (https), 22 (ssh) und 25 (smtp).

8. Trennungskontrolle

Daten, die zu unterschiedlichen Zwecken erhoben werden, werden auch getrennt verarbeitet. Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:

GDD-Maßnahmenvorschlag

Maßnahmen goalio

„Interne Mandantenfähigkeit“ / Zweckbindung
Auf jedem Server können mehrere Kundenanwendungen installiert sein. Dabei ist sichergestellt, dass jede Anwendung stets nur in einem eigenen separaten Umfeld arbeitet. Ein Zugriff von der Anwendung eines Kunden auf die Anwendung eines anderen Kunden ist daher nicht möglich. Auf den Servern befinden sich ausschließlich für den Betrieb der goalio Vereinsorganisation notwendige Programme. Diese werden stets auf einem aktuellen Stand gehalten.

 

Abschnitt 3: Sonstige Bestimmungen

 

§ 9 Änderung der Datenschutzhinweise

[Informationspflicht] goalio behält sich vor, diese Datenschutzhinweise zu aktualisieren. Im Falle von Änderungen, die für den ASP-Anwender nachteilig sein könnten, wird goalio den ASP-Anwender mit angemessener Frist hierüber informieren und gegebenenfalls eine notwendige Einwilligung einholen.

 

§ 10 Schlussbestimmungen

[Geltungserhaltende Reduktion] Ist eine Bestimmung ganz oder teilweise unwirksam, so verpflichten sich die Vertragsparteien, diese ganz oder teilweise durch eine solche wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der ganz oder teilweise unwirksamen Bestimmung möglichst nahe kommt. Die Gültigkeit der Bestimmung im Übrigen oder der anderen Bestimmungen wird hiervon nicht berührt.

[Erfüllungsort] Der Erfüllungsort dieses ASP-Vertrages ist der Sitz des ASP-Anwenders, ersatzweise der Sitz von goalio.

[Anwendbares Recht] Auf diesen Vertrag findet das Recht der Bundesrepublik Deutschland Anwendung. Der Gerichtsstand dieses Vertrages ist Potsdam.

[Änderungen oder Ergänzungen] Änderungen oder Ergänzungen dieses Vertrages bedürfen der Schriftform.