Datenschutz und Datensicherheit gehören zu den wichtigsten Prämissen unseres Unternehmens. Nachfolgend informieren wir, welche Informationen in unserer Datenbank erfasst und wie diese Informationen genutzt werden. Die Datenschutzvereinbarung wird in Verbindung mit einem unterschriebenen Kundenauftrag gültig. Eine Gegenzeichnung ist deshalb nicht erforderlich.

1. Erhebung und Verarbeitung persönlicher Daten

Persönliche Daten werden durch IMMOAKTIV nur dann erhoben, wenn Sie aktiv mit uns Kontakt aufnehmen, z.B. bei der Anforderung von Produktinformationen, einer Verfügbarkeitsabfrage oder bei der Bestellung eines unserer Produkte. Alle in diesem Rahmen anfallenden personenbezogenen Daten werden nur zur Wahrung eigener Geschäftsinteressen im Hinblick auf die Beratung und Betreuung unserer Kunden und Interessenten oder zum Zwecke der Vertragsabwicklung erhoben, verarbeitet und genutzt. Ihre Angaben werden entsprechend den geltenden deutschen datenschutzrechtlichen Bestimmungen vertraulich behandelt und nicht an Dritte, weder zu kommerziellen noch zu nichtkommerziellen Zwecken, weitergegeben.
Wir erheben, verarbeiten und nutzen in der Regel folgende Daten zur Begründung und Abwicklung des Vertragsverhältnisses (Bestandsdaten): Name, Anschrift, Telefonnummer, E-Mail-Adresse, Bankverbindung des Kunden bzw. Anschrift und Bankverbindung des Rechnungsempfängers, geschuldete Entgelte, Zahlungen mit Buchungsdatum.
Nach Maßgabe der gesetzlichen Vorschriften kann IMMOAKTIV Behörden und Gerichten Auskunft über gespeicherte Daten zur Strafverfolgung oder zur Gefahrenabwehr erteilen und Daten übermitteln.
Um den Service optimal nach Ihren Anforderungen gestalten zu können, wird die Nutzung der Dienste ggf. unter einem Pseudonym protokolliert. Die unter einem Pseudonym protokollierten Daten werden nicht mit den Daten des Trägers des Pseudonyms zusammengeführt. Die Protokolle behandelt IMMOAKTIV vertraulich. Sie werden nicht an Dritte weitergegeben, ohne sie vorher zu anonymisieren. Sie können die Einwilligung in diese Nutzung jederzeit widerrufen.
In einigen Bereichen unserer Angebote setzt IMMOAKTIV sogenannte Session-Cookies ein, um Ihnen unsere Leistungen für die Dauer Ihres Besuchs individueller zur Verfügung stellen zu können. Dies sind kleine Kennungen, die unser Webserver an Ihren Computer senden kann und außerhalb unserer Webseiten keine Bedeutung haben. Sie können Ihren Browser so einstellen, dass er Sie über die Platzierung von Cookies informiert. So wird der Gebrauch von Cookies für Sie transparent.

2. Auskunftsrechte

Auf Anforderung teilen wir Ihnen gerne schriftlich mit, ob und welche persönlichen Daten wir über Sie gespeichert haben.

3.Sicherheit

Zum Schutz Ihrer durch uns erhobenen und verarbeiteten Daten vor unberechtigtem Zugriff und Missbrauch haben wir umfangreiche technische und organisatorische Sicherheitsmaßnahmen getroffen. Diese werden regelmäßig überprüft und dem technologischen Fortschritt angepasst.

4. Fragen?

Wenn Sie weitere Fragen hinsichtlich der Verarbeitung Ihrer Daten haben, können Sie sich direkt an den betrieblichen Datenschutzbeauftragten von IMMOAKTIV wenden, der Ihnen auch im Falle von Auskunftsersuchen, Beschwerden oder Widerrufen zur Verfügung steht.

Datenschutzbeauftragter
Robert Althammer
Antagus AG
Prüllstrasse 74
93093 Donaustauf
datenschutz@antagus.org

Öffentliches Verfahrensverzeichnis

Name der verantwortlichen Stelle:
Antagus AG

Vorstand:
Wolfgang Graf von Hardenberg

Beauftragter Leiter der Datenverarbeitung:
Wolfgang Graf von Hardenberg
Florian Heinz

Anschrift der verantwortlichen Stelle:
Antagus AG
Prüllstrasse 74
93093 Donaustauf

Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung:
IMMOAKTIV erbringt Internet-Dienstleistungen und die dazugehörigen Produkte und Services, u.a. in den Bereichen Immobilien und E-Commerce. IMMOAKTIV erhebt, verarbeitet und nutzt personenbezogene Daten zur Erfüllung der zuvor beschriebenen Zwecke.

Beschreibung der Kategorien der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien:
Bestands-, Entgelt-, Verbindungs- und Nutzungsdaten der Kunden; Adressdaten von Interessenten; Adressdaten zur eigenen werblichen Nutzung; Adressdaten von Werbeverweigerern; Mitarbeiter- und Bewerberdaten; Daten von Lieferanten, soweit sie für die Erfüllung der unter oben genannten Zwecke erforderlich sind.

Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können:
Öffentliche und externe Stellen aufgrund einer Rechtsvorschrift sowie interne Abteilungen und verbundene Unternehmen sowie Vertragspartnern zur Erfüllung der oben genannten Zwecke. Eine Weitergabe an Dritte zur werblichen Nutzung erfolgt nicht.

Regelfristen für die Löschung der Daten:

Kundendaten

Bestands- und Entgeltdaten werden mit Ablauf des auf die Beendigung des Vertragsverhältnisses folgenden Kalenderjahres gelöscht, soweit nicht gesetzliche Regelungen eine längere Speicherung erfordern (z.B. steuerrechtliche Bestimmungen).

Verbindungs- und Nutzungsdaten werden ausschließlich zur Berechnung und zum Nachweis der Entgelte bis zu sechs Monate nach Rechnungsversand gespeichert. IMMOAKTIV wird Verkehrsdaten spätestens sechs Monate nach Versendung der Rechnung löschen, falls Sie nicht gegen die Höhe der in Rechnung gestellten Verbindungsentgelte vor Ablauf der Frist Einwendungen erhoben haben. In einem solchen Fall können die Verkehrsdaten gespeichert werden, bis die Einwendungen abschließend geklärt sind. Sie haben das Recht, eine vollständige Speicherung der Verkehrsdaten oder eine vollständige Löschung der Verkehrsdaten nach Rechnungsversand zu verlangen. Eine Speicherung der Verkehrsdaten nach dem Rechnungsversand unterbleibt, falls Sie von dem Recht auf vollständige Löschung Gebrauch gemacht haben.

Interessenten-, Werbe-, Mitarbeiter-, Bewerber- und Lieferantendaten

Diese Daten werden gelöscht sobald der jeweilige Zweck entfällt und gesetzliche Regelungen nicht eine längere Speicherung erfordern.

Geplante Datenübermittlung in Drittstaaten:
Eine Übermittlung personenbezogener Daten in Drittstaaten findet nicht statt.

IMMOAKTIV ist an einer schnellen und effizienten Klärung von Streitfällen interessiert. In dem Falle, dass ein Streitfall nicht im normalen, internen Verfahren gelöst werden kann, besteht die Möglichkeit, ein unabhängiges Schlichtungsverfahren zu vereinbaren. Der Vorschlag für die Schlichtungsstelle kann dabei von IMMOAKTIV oder vom Kunden kommen. IMMOAKTIV hat hierfür bereits ein entsprechendes Verfahren installiert. Die Entscheidung der Schlichtungsstelle ist für beide Seiten nicht bindend. Für alle Streitschlichtungsverfahren gelten die Gesetze der Bundesrepublik Deutschland.

 

Regelung bezüglich des § 11 Abs. 2 S. 2 Nr. 1 BDSG

Die Datenschutzbestimmungen sind Bestandteil der AGB und somit Vertragsbestandteil, IMMOAKTIV ist nachstehend kurz als Auftragnehmerin bezeichnet, der Kunde als Auftraggeber.

1) Der Gegenstand und die Dauer der Auftragsdatenverarbeitung sind im Kundenauftrag festgelegt. Die Mitarbeiter, die mit der Datenvereinbarung in Berührung kommen, sind in diese Vereinbarung eingebunden. Des Weiteren exportiert die Auftragnehmerin Immobilienangebote im Kundenauftrag an externe Immobilienportale. Deren Nutzungsbedingungen sind zu akzeptieren. Die Auftragnehmerin hat keinen Einfluss darauf, wie und unter welchen Sicherheitsvorkehrungen die Daten in externen Portalen verwaltet werden.

2) Der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen (§ 11 Abs. 2 S. 2 Nr. 2 BDSG) und der Umfang, die Art und der Zweck der Zugriffsmöglichkeit die Auftragnehmerin auf Daten des Auftraggebers ergeben sich aus dem Vertrag und den AGB.

3) Art der Daten
Die von der Auftragstätigkeit betroffenen Datenkategorien von Kunden, Lieferanten, Geschäftspartnern und Beschäftigten der Auftragnehmerin lauten wie folgt:
• Stammdaten
• Kontaktdaten
• Vertragsdaten
• Vertragssteuerungsdaten
• Protokolldaten
• Bankdaten

4) Kreis der Betroffenen
Der Kreis, der durch den Umgang mit ihren Daten im Rahmen dieses Auftrags, Betroffenen umfasst:
• Kunden und potentielle Kunden des Auftraggebers (Endverbraucher)
• Beschäftigte, Lieferanten und Geschäftspartner des Auftraggebers.

5) Technisch-organisatorische Maßnahmen zur Erfüllung der Vorschriften des § 11 Abs. 2 S. 2 Nr. 3 BDSG.
Die Auftragnehmerin beachtet die Grundsätze ordnungsgemäßer Speicherbuchführung und gewährleistet die im Rahmen der ordnungsgemäßen Abwicklung des Auftrags erforderlichen technischen und organisatorischen Maßnahmen gem. § 9 BDSG und Anlage.

6) Auftraggeber und Auftragnehmerin sind sich einig, dass die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der Weiterentwicklung unterliegen. Insoweit ist es der Auftragnehmerin gestattet, alternative adäquate Maßnahmen umzusetzen. Sie muss den Auftraggeber hierüber auf Anfrage informieren, wenn das Sicherheitsniveau der festgelegten Maßnahme unterschritten wird. Wesentliche Änderungen sind zu dokumentieren.

7) Die Auftragnehmerin ermöglicht und unterstützt die Prüfung der Umsetzung der vereinbarten Maßnahmen vor Beginn, sowie während der Verarbeitung durch der Auftraggeber. Hierzu gewährt die Auftragnehmerin Einblick in ein im Hinblick auf den Auftrag umfassendes und aktuelles Datenschutz- und IT-Sicherheitskonzept.

8) Berichtigung, Sperrung, Löschung von Daten (§ 11 Abs. 2 S. 2 Nr. 4 BDSG)
Die Rechte der durch den Datenumgang bei der Auftragnehmerin betroffenen Personen, insbesondere auf Berichtigung, Löschung und Sperrung sind gegenüber des Auftraggebers geltend zu machen. Sie ist allein verantwortlich für die Wahrung dieser Rechte.
Die Auftragnehmerin ist verpflichtet, im Rahmen Ihrer Tätigkeit für den Auftraggeber an sie gerichtete Ersuchen Betroffener zur sachgerechten Bearbeitung unverzüglich an den Auftraggeber weiterzuleiten. Sie ist nicht berechtigt, diese Ersuchen ohne Abstimmung mit dem Auftraggeber selbständig zu bescheiden.
Die Auftragnehmerin hat den Auftraggeber bei der Umsetzung der Rechte der Betroffenen, insbesondere im Hinblick auf Berichtigung, Sperrung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen ihrer Möglichkeiten zu unterstützen.

9) Pflichten der Auftragnehmerin (§ 11 Abs. 2 S. 2 Nr. 5 BDSG)
Die Auftragnehmerin hat bezogen auf diesen Auftrag insbesondere folgende Pflichten gemäß § 11 Abs. 4 BDSG:
• Schriftliche Bestellung - soweit gesetzlich erforderlich - eines Datenschutzbeauftragten, der seine Tätigkeit gemäß §§ 4f, 4g BDSG ausüben kann. Dessen Kontaktdaten werden dem Auftraggeber auf Anforderung, zum Zweck der direkten Kontaktaufnahme, mitgeteilt.
• Die Wahrung des Datengeheimnisses entsprechend § 5 BDSG. Alle Personen, die auftragsgemäß auf die unter Punkt 2.2 aufgeführten Daten des Auftraggebers zugreifen könnten, müssen auf das Datengeheimnis verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten, sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden.
• Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechen § 9 BDSG und Anlage.
• Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach § 38 BDSG. Dies gilt auch, soweit eine zuständige Behörde nach §§ 43, 44 BDSG bei die Auftragnehmerin ermittelt.

10) Unterauftragsverhältnisse (§ 11 Abs. 2 S. 2 Nr. 6 BDSG)
Seit 1992 arbeitet die Auftragnehmerin in Timisoara in Rumänien im Support- und Entwicklungsbereich. Dieser Sachverhalt ist allgemein und auch dem Auftraggeber bekannt. Die Einschaltung von weiteren Unterauftragnehmern ist grundsätzlich nur mit schriftlicher Zustimmung des Auftraggebers gestattet. Nicht als Unterauftragsverhältnis, im Sinne dieser Regelung, sind solche Dienstleistungen zu verstehen, die die Auftragnehmerin bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern.  Die Auftragnehmerin ist allerdings verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch auf fremdvergebene Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

11) Soweit die Berechtigung zur Begründung von Unterauftragsverhältnissen erteilt wird, hat die Auftragnehmerin die vertraglichen Vereinbarungen mit dem/den Unterauftragnehmer/n so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftraggeber und Auftragnehmerin entsprechen. Die Einschaltung weiterer Unterauftragnehmer ist dabei auszuschließen.
Bei der Unterbeauftragung sind dem Auftraggeber die Kontroll- und Überprüfungsrechte entsprechend Punkt 7 dieser Vereinbarung und des § 11 BDSG i.V.m. Nr. 6 der Anlage zu § 9 S. 1 BDSG beim Unterauftragnehmer einzuräumen. Dies umfasst auch das Recht des Auftraggebers, auf schriftliche Anforderung von der Auftragnehmerin Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten.

12) Kontrollrechte des Auftraggebers (§ 11 Abs. 2 S. 2 Nr. 7 BDSG)
Der Auftraggeber hat das Recht, die in Nr. 6 der Anlage zu § 9 BDSG vorgesehene Auftragskontrolle nach Absprache die Auftragnehmerin durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Die Auftragnehmerin verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen.  Die Auftragnehmerin verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung ihrer bei der Verarbeitung der oben genannten Daten bestehende Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und Nachweise zu führen. Dies gilt auch, soweit die Auftragnehmerin die Kontrolle ihrer Unterauftragnehmer für den Auftraggeber durchführt.

13) Mitteilungspflichten bei Verstößen der Auftragnehmerin oder bei ihr beschäftigter Personen gegen Datenschutzvorschriften oder gegen den Auftrag (§ 11 Abs. 2 S. 2 Nr. 8 BDSG) - Stellt die Auftragnehmerin fest, dass die bei ihm gespeicherten auftragsrelevanten Daten des Auftraggebers unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat sie dies ohne Ansehen auf die Verursachung unverzüglich dem Auftraggeber mitzuteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs (z.B. längerer Ausfall eines Server-Systems), beim Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit den personenbezogenen Daten des Auftraggebers.
Soweit den Auftraggeber Pflichten nach § 42a BDSG treffen, z.B. im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten durch Dritte, hat die Auftragnehmerin ihn hierbei zu unterstützen.
Der Auftraggeber informiert die Auftragnehmerin, wenn sie Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

14) Weisungsbefugnisse des Auftraggebers (§ 11 Abs. 2 S. 2 Nr. 9 BDSG) - Für die Beurteilung der Zulässigkeit der Erhebung, Verarbeitung oder Nutzung sowie für die Wahrung der Rechte der Betroffenen, insbesondere nach §§ 6, 7 und 8 BDSG, ist allein der Auftraggeber verantwortlich (§ 11 Abs. 1 BDSG). Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen. Der Auftraggeber ist berechtigt, umfassende Weisungen über Art und Umfang der Datenverarbeitung im Hinblick auf die Umsetzung von Datenschutzanforderungen zu erteilen, vgl. § 11 Abs. 3 S. 1 BDSG. Die Weisungen bedürfen der Textform. Ist die Auftragnehmerin gem. § 11 Abs. 3 S. 2 BDSG der Ansicht, dass eine Weisung gegen das Bundesdatenschutzgesetz oder andere Vorschriften über den Datenschutz verstößt, hat sie der Auftraggeber unverzüglich darauf hinzuweisen. Sie ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch der Auftraggeber bestätigt oder geändert wird. Die Auftragnehmerin verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind. -7- CR_V.1.2

15) Löschung von Daten und Rückgabe überlassener Datenträger (§ 11 Abs. 2 S. 2 Nr. 10 BDSG) -  Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat die Auftragnehmerin sämtliche in ihrem Besitz gelangten Unterlagen, erstellten Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen und einen Personenbezug zulassen könnten, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Zu einem Datenträgeraustausch zwischen den Beteiligten dieser Auftragsdatenverarbeitung kommt es nicht. Insoweit ist eine Rückgabe hier nicht zu regeln. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch die Auftragnehmerin entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Sie kann diese zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

 

Grundregeln zum Datenschutz (Maßnahmen zu §9 Satz 1 des BDSG)

Praktische Umsetzung

1. Zutrittskontrolle 
Unbefugte haben keinen Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden. Nur das autorisierte Wartungspersonal darf dieses Rechenzentrum betreten. Dieses ist durch einen Zugangscode und ein Alarmsystem geschützt. Externe Besucher dürfen das Rechenzentrum nur in Gegenwart von autorisierten Personen betreten.

2. Zugangskontrolle
Nur befugte Personen dürfen Zugang zu Datenverarbeitungsanlagen (DV-Anlagen) erhalten. Zu diesem Zweck sind DV-Anlagen grundsätzlich mit zweistufigen Zugangskennungen zu schützen. Nachfolgende Hinweise müssen beachtet werden:
•    Nutzerkennungen, d.h. Nutzername und Passwort sind an den jeweiligen Nutzer gebunden und dürfen nicht weitergegeben werden - ein Verstoß gegen dieses Gebot ist mehr als lediglich ein Fahrlässigkeitsdelikt und zieht im Schadensfall arbeitsrechtliche Maßnahmen und eventuell einen Strafantrag nach sich.
•    Passwörter sind mehr als 7 Zeichen lang und beinhalten Sonderzeichen und Ziffern.
•    Bei eventuellem Bekanntwerden des Passwortes wird dieses umgehend geändert.
Die Zugriffe werden automatisch aufgezeichnet.

3. Zugriffskontrolle
Diese Maßnahme ist eng an die Zugangskontrolle gebunden. Berechtigte Personen, die sich mit ihrer Nutzerkennung ordnungsgemäß am DV-System identifiziert haben, besitzen entsprechend ihrer Nutzerrechte differenzierte und damit abgestufte Berechtigungen in den jeweiligen Software-Systemen. Der Versuch, sich weitere, nicht vergebene Nutzerrechte zu erschleichen, ist eine Straftat gemäß § 202a StGB (Ausspähen von Daten) und zieht arbeitsrechtliche und strafrechtliche Konsequenzen nach sich.

4. Weitergabekontrolle
Personenbezogene Daten und vertrauliche dienstliche Informationen dürfen nur über sichere Kommunikationswege übertragen werden. Eine Sendung per Email (insbesondere außerhalb des FZD) erfolgt nur in verschlüsselter Form. Soll die Exaktheit und Originalität des Dokumentes für den Empfänger nachvollziehbar sein, erfolgt die Verwendung einer digitalen Signatur. Der Umgang mit externen Datenträgern, wie z.B. USB-Sticks, externe Festplatten, SD-Speicherkarten erfolgt mit großer Sorgfalt. Personenbezogene und vertrauliche Inhalte werden verschlüsselt. Die Weitergabe oder elektronische Übermittlung personenbezogener und vertraulicher Daten und Datenträger ist nachvollziehbar.

5. Eingabekontrolle
Über die Werkzeuge der Nutzerverwaltung und der damit verbundenen Rechteverwaltung muss nachvollziebar sein, wer Neueingaben, Änderungen oder das Löschen personenbezogener und vertraulicher Informationen veranlasst hat. Verantwortlich bleibt in jedem Falle der angemeldete Nutzer, nicht der geduldete Fremdnutzer im Vertretungsfalle.

6. Auftragskontrolle
Bei personenbezogener Datenverarbeitung im Auftrag (z.B. Fremdwartung von Datenverarbeitungseinrichtungen, mit denen personenbezogene Informationen verarbeitet werden oder Entsorgung von Papier mit vertraulichen oder personenbezogenen Inhalten durch Fremdfirmen) wurden vertragliche Regelungen getroffen, um die Tätigkeit dieser externen Auftragnehmer transparent zu halten.

7. Verfügbarkeitskontrolle
Personenbezogene und andere vertrauliche Informationen werden so abgelegt, dass ein Verlust nicht möglich ist, oder dass im Falle eines Verlustes eine Rekonstruktion der Daten, mit einem vertretbaren technischen und organisatorischen Aufwand möglich ist. Deshalb sind lokale Datenablagen nicht als hinreichend sicher einzustufen. Nur zentrale Ressourcen können hinreichend gesichert und im Schadensfall wiederhergestellt werden.

8. Prinzip der Zweckbindung
Personenbezogene Daten werden nur für den Zweck genutzt, für den sie ursprünglich erhoben wurden. Die Verwendung derartiger Daten in Verbunddateien (Nutzung eines ursprünglichen Datenbestandes auch für andere Zwecke) muss innerbetrieblich definiert und festgeschrieben sein. Diese technisch - organisatorischen Maßnahmen sind in den Bereichen, in denen personenbezogene Daten erhoben, verarbeitet, genutzt und übermittelt werden, konkret umgesetzt.