EN

Technische und organisatorische Maßnahmen zur Datensicherheit

1. Konkretisierung des Auftrags (aus Vereinbarung)

Gegenstand des Auftrags ist die Nutzerdatenverarbeitung im Rahmen des Adventskalenders, von Onlinespielen und ggf. damit verbundenen Gewinnspielen sowie begleitenden Kommunikationsfunktionen.

Hinweis zur Verantwortlichkeit: Die konkreten Datenarten und Kategorien betroffener Personen werden durch den Auftraggeber im Rahmen seiner jeweiligen Nutzung der Systeme festgelegt. Der Auftragnehmer stellt die technische Infrastruktur zur Verfügung und verarbeitet die Daten ausschließlich nach Weisung des Auftraggebers.

1.1 Datenarten (gemäß Vereinbarung)

  • Personenbezogene Daten der Nutzer/Teilnehmer (ggf. mit Newsletter-Anmeldung).
  • Zugriffsdaten der Nutzer zur fehlerfreien Bereitstellung und zur Analyse des Nutzerverhaltens.
  • Kommunikations- und Kontaktdaten, Namen, Webseitenzugriffe und sonstige über die Website generierte Daten.
  • Mitarbeiterkonten (z. B. Profilfotos, Kontaktdaten, Nutzernamen, Passwörter) für die Administration.

1.2 Kategorien betroffener Personen (gemäß Vereinbarung)

  • Teilnehmer/Nutzer der Aktionen (Adventskalender, Onlinespiele, Gewinnspiele).
  • Administratoren/Mitarbeitende mit Benutzerkonten zur Verwaltung der Aktionen.
  • Kommunikationspartner (z. B. Personen, die über bereitgestellte Kanäle kontaktiert werden).

1.3 Verantwortlichkeiten

  • Die Verantwortung für die Einhaltung und Umsetzung der technischen und organisatorischen Maßnahmen liegt bei der Geschäftsführung von REDCODE.DE.
  • Die Datenschutzkoordination ist für die operative Umsetzung und Dokumentation der Maßnahmen zuständig.

1.4 Ort der Verarbeitung / Drittlandverlagerung (gemäß Vereinbarung)

  • Leistungserbringung grundsätzlich in EU/EWR.
  • Drittlandverlagerung nur mit vorheriger Zustimmung des Auftraggebers und bei Vorliegen der Voraussetzungen der Artt. 44 ff. DSGVO.

2. Technische und organisatorische Maßnahmen

Die konkreten Maßnahmen sind im Anhang dokumentiert. Nachfolgend die in der Vereinbarung aufgeführten, bereits umgesetzten Maßnahmen (Auszug in der ursprünglichen Struktur):

Trennungskontrolle

  • Personenbezogene Daten werden im Rahmen der Aktion (insbesondere Teilnehmerregistrierung) in einer Datenbank gespeichert.
  • Daten, die zu unterschiedlichen Zwecken erhoben wurden, werden getrennt verarbeitet (logische Mandantentrennung, Berechtigungskonzept).
  • Produktions-, Test- und Entwicklungsfassungen der Software und Daten befinden sich auf unterschiedlichen Datenverarbeitungssystemen.
  • Produktionssysteme (Rechenzentren) unterliegen einem höheren physischen und technischen Schutz (Zutritts- und Brandschutz, redundante Systeme, Firewall, Backup). Entwicklungssysteme in den Geschäftsräumen werden ausschließlich für interne Zwecke genutzt und enthalten keine personenbezogenen Teilnehmerdaten.

Weitergabekontrolle

  • Die Daten stehen dem Auftraggeber zum Download zur Verfügung; der Download erfolgt verschlüsselt und ist nur mit Zugangsdaten möglich.
  • Jeder Download wird mit der vollen IP-Adresse des Benutzers und dem Zeitpunkt protokolliert, um eine Nachvollziehbarkeit sicherzustellen.
  • Es ist keine andere Form der Weitergabe der personenbezogenen Daten vorgesehen.

Eingabekontrolle

  • Eine nachträgliche Änderung und Löschung von Daten durch die Nutzer ist nicht vorgesehen.
  • Spam-Schutz (z. B. CAPTCHA oder CSRF-Token) gegen automatisierte Anforderungen.
  • Sofern eine Newsletter-Anmeldung vorgesehen ist, Double-Opt-in (Bestätigungslink per E-Mail und Bestätigungsseite).

Zugangs- und Zugriffskontrolle

  • Berechtigungskonzept inkl. Benutzerprofilen und Passwortvergabe.
  • Einsatz von VPN-Technologie, Intrusion-Detection-Systemen sowie Software- und Hardware-Firewall.
  • Administrative Zugriffe auf Systeme mit personenbezogenen Daten werden protokolliert und regelmäßig überprüft.

Auftragskontrolle

  • Gesonderte Vereinbarungen zur Auftragsverarbeitung mit Kontrollrechten gegenüber dem Auftragsverarbeiter; Verarbeitung ausschließlich nach Weisung; grundsätzlich Speicherung, keine Bearbeitung/Veränderung.
  • Eine Verarbeitung personenbezogener Daten durch Unterauftragnehmer erfolgt ausschließlich nach vorheriger Genehmigung und unter Abschluss entsprechender Auftragsverarbeitungsverträge.

Zutrittskontrolle

  • Absicherung der Räumlichkeiten u. a. durch Alarmanlage, Chipkarten-/Transponder-Schließsystem und Bewegungsmelder.

Verfügbarkeitskontrolle

  • Schutz der Daten u. a. durch USV, Feuer- und Rauchmeldeanlagen, regelmäßige Backups und Tests der Datenwiederherstellung.
  • Die Wiederherstellung der Daten aus Sicherungen wird regelmäßig überprüft und dokumentiert.

Löschung personenbezogener Daten

  • Personenbezogene Daten werden nach Wegfall des Zwecks oder auf Weisung des Auftraggebers gelöscht.
  • Daten aus Sicherungen werden im Rahmen der turnusmäßigen Backup-Zyklen überschrieben.
  • Die Löschung wird dokumentiert; Anfragen oder Anweisungen zur Löschung werden zentral erfasst und nach Umsetzung bestätigt.
  • Eine längere Speicherung erfolgt nur, wenn dies aufgrund gesetzlicher Aufbewahrungspflichten erforderlich ist.

Fortentwicklung der TOM

  • Die TOM unterliegen technischem Fortschritt und Weiterentwicklung; alternative adäquate Maßnahmen sind zulässig, ohne das Sicherheitsniveau zu unterschreiten.
  • Änderungen der TOM werden dokumentiert und auf Anfrage des Auftraggebers zur Verfügung gestellt.

3. Anfragen und Rechte betroffener Personen

  • Der Auftragnehmer stellt dem Auftraggeber die Informationen zur Verfügung, die dieser zur Sicherstellung der Rechte betroffener Personen (Kapitel III DSGVO) benötigt.
  • Macht eine betroffene Person Rechte (Auskunft, Berichtigung, Löschung etc.) unmittelbar gegenüber dem Auftragnehmer geltend, verweist der Auftragnehmer unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.
  • Der Auftragnehmer unterstützt den Auftraggeber bei Informationspflichten im Fall von Verletzungen personenbezogener Daten sowie – soweit erforderlich – bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen.

Änderungshistorie

  • v8 (17.10.2025): Angepasst an die Sicherheits- und Datenschutzrichtlinie (Stand 30. September 2025).