Auftragsverarbeitungsvertrag

Diese Version ist eine Übersetzung der englischen Version und dient nur zu Informationszwecken. Im Falle von Unstimmigkeiten ist die englische Fassung maßgebend.

Verantwortlicher für die Datenverarbeitung: Kunde mit Sitz innerhalb der EU (der “Verantwortliche“) und 

(der „Auftragsverarbeiter“)
(einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet)
sind zu folgendem Schluss gekommen:

Auftragsverarbeitungsvertrag

(der „Vertrag“)
in Bezug auf die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im
Auftrag des Datenverantwortlichen.

Die verarbeiteten personenbezogenen Daten

1.1 Diese Vereinbarung (die “Vereinbarung“) wurde im Zusammenhang mit der Nutzung der Dienste des Auftragsverarbeiters durch den Verantwortlichen im Rahmen des Abonnements sowie zusätzlicher Leistungen gemäß den allgemeinen Geschäftsbedingungen von One.com (die “Hauptvereinbarung”) geschlossen. 

1.2 Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen die in Anhang 1 genannten Arten personenbezogener Daten in Bezug auf die dort aufgeführten betroffenen Personen. Die personenbezogenen Daten beziehen sich auf die in Anhang 1 genannten betroffenen Personen. 

1.3 Der Auftragsverarbeiter darf mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beginnen, nachdem die Hauptvereinbarung in Kraft getreten ist. Mit Beendigung der Hauptvereinbarung endet die Verarbeitung, und die personenbezogenen Daten werden gemäß den Anweisungen in Anhang 1 dieser Vereinbarung gelöscht.

1.4 Der Vertrag und der Hauptvertrag ergänzen sich gegenseitig und können nicht separat gekündigt werden. Der Vertrag kann jedoch durch einen anderen gültigen Vertrag mit dem Datenverarbeiter ersetzt werden, ohne den Hauptvertrag zu beenden.

2. Zweck

2.1 Der Datenverarbeiter darf personenbezogene Daten ausschließlich zu Zwecken verarbeiten, die für die Erfüllung seiner Pflichten und damit für die Erbringung der im Hauptvertrag festgelegten Dienstleistungen erforderlich sind.

3. Pflichten des Datenverantwortlichen

3.1 Der Datenverantwortliche garantiert, dass die personenbezogenen Daten für legitime und objektive Zwecke verarbeitet werden und dass der Datenverarbeiter nicht mehr personenbezogene Daten verarbeitet, als für die Erfüllung dieser Zwecke erforderlich sind.

3.2 Der Datenverantwortliche trägt die Verantwortung dafür, dass zum Zeitpunkt der Übermittlung der personenbezogenen Daten an den Datenverarbeiter eine gültige Rechtsgrundlage für die Verarbeitung besteht. Auf Verlangen des Datenverarbeiters verpflichtet sich der Datenverantwortliche, schriftlich Rechenschaft abzulegen und/oder die Grundlage für die Verarbeitung zu dokumentieren.

3.3 Darüber hinaus garantiert der Datenverantwortliche, dass die betroffenen Personen, auf die sich die personenbezogenen Daten beziehen, hinreichend über die Verarbeitung ihrer personenbezogenen Daten informiert worden sind.

4. Pflichten des Datenverarbeiters

4.1 Jedwede Verarbeitung der vom Datenverantwortlichen zur Verfügung gestellten personenbezogenen Daten durch den Datenverarbeiter muss in Übereinstimmung mit den vom Datenverantwortlichen vorbereiteten Anweisungen erfolgen. Der Datenverarbeiter ist darüber hinaus verpflichtet, alle jeweils geltenden Datenschutzgesetze einzuhalten. Wenn das EU-Recht oder das Recht eines EUMitgliedstaates, dem der Datenverarbeiter unterliegt, vorschreibt, dass der Datenverarbeiter verpflichtet ist, die in Anhang 1 aufgeführten personenbezogenen Daten zu verarbeiten, muss der Datenverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren. Dies trifft jedoch nicht zu, wenn diese Gesetzgebung derartige Informationen aus wichtigen Gründen des öffentlichen Interesses verbietet. Der Datenverarbeiter ist verpflichtet, den Datenverantwortlichen unverzüglich zu informieren, wenn eine Anweisung nach Ansicht des Datenverarbeiters gegen die EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößt. 

4.2 Der Datenverarbeiter ist verpflichtet, alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen zu treffen, einschließlich aller zusätzlichen Maßnahmen, die gewährleisten, dass die personenbezogenen Daten nicht versehentlich oder unrechtmäßig zerstört werden, verloren gehen oder beeinträchtigt werden oder unbefugten Dritten zugänglich gemacht werden, missbraucht werden oder auf andere Weise in einer Weise verarbeitet werden, die zu irgendeinem Zeitpunkt gegen die geltenden Datenschutzvorschriften verstößt. Diese Maßnahmen werden in Anhang 2 ausführlicher beschrieben. 

4.3 Der Datenverarbeiter ist verpflichtet sicherzustellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Mitarbeiter sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen. 

4.4 Auf Verlangen des Datenverantwortlichen ist der Datenverarbeiter verpflichtet, zu erklären und/oder zu dokumentieren, dass der Datenverantwortliche die Anforderungen der geltenden Datenschutzgesetze einhält, einschließlich der Dokumentation der Datenflüsse des Datenverantwortlichen sowie der Verfahren/Richtlinien für die Verarbeitung personenbezogener Daten. 

4.5 Unter Berücksichtigung der Art der Verarbeitung muss der Datenverarbeiter den Datenverantwortlichen nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Verpflichtung unterstützen, auf Anfragen zur Ausübung der Rechte der betroffenen Person wie in Kapitel 3 der Allgemeinen Datenschutzverordnung festgelegt zu reagieren. 

4.6 Der Datenverarbeiter oder ein anderer Datenverarbeiter (unterbeauftragter Datenverarbeiter) muss Anfragen und Einwände von betroffenen Personen an den Datenverantwortlichen weiterleiten, damit der Datenverantwortliche diese weiterverarbeiten kann, sofern der Datenverarbeiter nicht berechtigt ist, diese Anfragen selbst zu bearbeiten. Auf Verlangen des Datenverantwortlichen ist der Datenverarbeiter verpflichtet, den Datenverantwortlichen bei der Beantwortung solcher Anfragen und/oder Einwände zu unterstützen.

4.7 Wenn der Datenverarbeiter personenbezogene Daten in einem anderen EUMitgliedsstaat verarbeitet, ist er verpflichtet, die Rechtsvorschriften bezüglich der Sicherheitsmaßnahmen in diesem Mitgliedsstaat einzuhalten. 

4.8 Der Auftragsverarbeiter muss den Verantwortlichen benachrichtigen, wenn es zu einer Betriebsunterbrechung, dem Verdacht auf einen Verstoß gegen Datenschutzvorschriften oder anderen Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten kommt. Die Frist für die Benachrichtigung des Verantwortlichen über eine Sicherheitsverletzung beträgt 48 Stunden ab dem Zeitpunkt, an dem der Auftragsverarbeiter von der Sicherheitsverletzung Kenntnis erlangt. Auf Anfrage des Verantwortlichen muss der Auftragsverarbeiter diesen bei der Aufklärung des Umfangs der Sicherheitsverletzung unterstützen, einschließlich der Vorbereitung einer etwaigen Meldung an die zuständige Datenschutzbehörde und/oder an die betroffenen Personen. 

4.9 Der Auftragsverarbeiter muss dem Verantwortlichen alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung von Artikel 28 der Datenschutz-Grundverordnung sowie dieser Vereinbarung nachzuweisen. In diesem Zusammenhang gestattet der Auftragsverarbeiter Überprüfungen, einschließlich Inspektionen, durch den Verantwortlichen oder einen von diesem beauftragten Prüfer, und wirkt daran mit. Die Kosten für eine solche Überprüfung oder Inspektion trägt der Verantwortliche.

4.10 Zusätzlich zu den oben genannten Punkten ist der Datenverarbeiter verpflichtet, den Datenverantwortlichen dabei zu unterstützen, die Einhaltung der Verpflichtungen des Datenverantwortlichen gemäß Artikel 32-36 der Allgemeinen Datenschutzverordnung sicherzustellen. Im Rahmen dieser Unterstützung werden die Art der Verarbeitung sowie die dem Datenverarbeiter zur Verfügung stehenden Informationen berücksichtigt.

5. Übermittlung von Daten an Sub-Datenverarbeiter oder Dritte

5.1 Der Datenverarbeiter ist verpflichtet, die in Artikel 28, Absatz 2 und 4 der Allgemeinen Datenschutzverordnung festgelegten Bedingungen einzuhalten, wenn er einen anderen 4 Datenverarbeiter (Sub-Datenverarbeiter) beauftragt. Dies bedeutet, dass der Datenverarbeiter keinen anderen Datenverarbeiter (Sub-Datenverarbeiter) mit der Durchführung des Vertrags beauftragt, ohne dass der Datenverantwortliche zuvor eine spezifische oder allgemeine schriftliche Genehmigung erteilt hat. 

5.2 Der Datenverantwortliche erteilt dem Datenverarbeiter hiermit eine allgemeine Vollmacht zum Abschluss von Vereinbarungen mit Sub-Datenverarbeitern. Der Datenverarbeiter ist verpflichtet, den Datenverantwortlichen spätestens 30 Tage vor dem Beginn der Verarbeitung der personenbezogenen Daten durch einen neuen SubDatenverarbeiter über alle Änderungen bezüglich der Hinzufügung oder des Austauschs von Sub-Datenverarbeitern zu informieren. Der Datenverantwortliche kann gegen derartige Änderungen innerhalb von 14 Tagen nach Erhalt der Mitteilung angemessene und relevante Einwände erheben. Möchte der Datenverarbeiter weiterhin einen SubDatenverarbeiter einsetzen, gegen den der Datenverantwortliche Einspruch erhoben hat, haben die Parteien das Recht, den Vertrag zu kündigen, vgl. Ziffer 7. 

5.3 Hat der Datenverantwortliche zugestimmt, dass der Datenverarbeiter einen SubDatenverarbeiter einsetzen kann, muss der Datenverarbeiter dem Sub-Datenverarbeiter die gleichen Verpflichtungen auferlegen, wie sie in dem Vertrag festgelegt sind. Dies geschieht durch einen Vertrag oder einen anderen Rechtsakt gemäß EU-Recht oder dem Recht eines Mitgliedstaates. Es muss beispielsweise sichergestellt werden, dass der SubDatenverarbeiter ausreichende Garantien dafür bietet, geeignete technische und organisatorische Maßnahmen zu ergreifen, damit die Verarbeitung den Anforderungen der Datenschutzgrundverordnung entspricht („Back-to-Back“-Bedingungen). 

5.4 Sollte der Sub-Datenverarbeiter seinen Datenschutzpflichten nicht nachkommen, so haftet der Datenverarbeiter gegenüber dem Datenverantwortlichen weiterhin in vollem Umfang für die Erfüllung der Pflichten des Sub-Datenverarbeiters. 

5.5 Die Offenlegung, Übermittlung und interne Nutzung der personenbezogenen Daten der verantwortlichen Stelle an Drittländer oder internationale Organisationen darf nur in Übereinstimmung mit schriftlichen Anweisungen der verantwortlichen Stelle erfolgen, sofern dies nicht durch EU-Recht oder das Recht eines Mitgliedstaates, dem der Datenverarbeiter unterliegt, vorgeschrieben ist. In diesem Fall muss der Datenverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese gesetzliche Verpflichtung informieren, sofern das Gesetz eine solche Benachrichtigung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet. 

5.6 Sollten die in Anhang 1 genannten personenbezogenen Daten an SubDatenverarbeiter außerhalb der EU/des EWR übermittelt werden, muss in dem genannten Vertrag festgehalten werden, dass die im Land des für die Datenverarbeitung Verantwortlichen geltenden Datenschutzgesetze für die Sub-Datenverarbeiter gelten. Ist der empfangende Sub-Datenverarbeiter in der EU/EWR ansässig, muss in diesem Vertrag mit dem Datenverarbeiter zudem festgehalten werden, dass die spezifischen gesetzlichen Anforderungen des empfangenden EU-Landes in Bezug auf Datenverarbeiter, beispielsweise hinsichtlich der Meldepflicht gegenüber nationalen Behörden, eingehalten werden müssen.

5.7 Der Auftragsverarbeiter ist verpflichtet, mit Unterauftragsverarbeitern innerhalb der EU/des EWR schriftliche Vereinbarungen zur Auftragsverarbeitung abzuschließen. Für Unterauftragsverarbeiter außerhalb der EU/des EWR muss der Auftragsverarbeiter angemessene Garantien sicherstellen – zum Beispiel durch die aktuelle Version der Standardvertragsklauseln der EU-Kommission – und eine Vereinbarung zur Auftragsverarbeitung abschließen.

5.8 Zum Zeitpunkt der Unterzeichnung dieses Vertrags beauftragt der Datenverarbeiter die in Anhang 3 aufgeführten Sub-Datenverarbeiter.

6. Haftung

6.1 Die Haftung der Parteien wird durch den Hauptvertrag geregelt.

6.2 Die Haftung der Parteien in Bezug auf Schadenersatz im Rahmen dieses Vertrags wird durch den Hauptvertrag geregelt.

7. Datum des Inkrafttretens und Beendigung

7.1 Dieser Vertrag tritt zeitgleich mit dem Hauptvertrag in Kraft. Im Falle der Beendigung des Hauptvertrags endet auch der vorliegende Vertrag. Der Datenverarbeiter unterliegt jedoch weiterhin den in diesem Vertrag festgeschriebenen Verpflichtungen, solange der Datenverarbeiter personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet. 

7.2 Nach Beendigung der Verarbeitungsdienstleistungen ist der Datenverarbeiter verpflichtet, auf Verlangen des Datenverantwortlichen alle personenbezogenen Daten zu löschen oder an den Datenverantwortlichen zurückzugeben sowie vorhandene Kopien zu löschen, sofern die Aufbewahrung der personenbezogenen Daten nicht durch EU- oder nationales Recht vorgeschrieben ist.

8. Geltendes Recht und Gerichtsbarkeit

8.1 Jegliche Ansprüche oder Streitigkeiten, die sich aus oder im Zusammenhang mit diesem Vertrag ergeben, müssen von einem zuständigen Gericht in erster Instanz in derselben Rechtsordnung und mit derselben Rechtswahl wie im Hauptvertrag festgelegt geregelt werden.

9. Unterschriften

Anhang 1

Kategorien betroffener Personen, Arten von personenbezogenen Daten und Anweisungen 

1. Kategorien von betroffenen Personen:

• Der Auftragsverarbeiter verarbeitet Kontaktinformationen von Website-Besuchern des Verantwortlichen sowie von tatsächlichen, potenziellen oder ehemaligen Kunden und/oder Mitgliedern, Mitarbeitenden, Lieferanten, Geschäfts- und Kooperationspartnern sowie verbundenen Unternehmen. 
• Der Auftragsverarbeiter stellt dem Verantwortlichen sein System als gehosteten Dienst zur Verfügung und ist daher nicht in der Lage, alle Kategorien betroffener Personen zu bestimmen. Sofern der Verantwortliche Daten zu weiteren Kategorien betroffener Personen beim Auftragsverarbeiter speichert, obliegt es dem Verantwortlichen, diese Informationen zu dokumentieren. 

2. Arten von personenbezogenen Daten:

Grundsätzlich werden alle personenbezogenen Daten, die über den Webspace des Verantwortlichen verarbeitet werden, vom Auftragsverarbeiter verarbeitet. Die nachfolgende, nicht abschließende Liste enthält die am häufigsten über Webspaces verarbeiteten Arten personenbezogener Daten. Der Verantwortliche entscheidet selbst, welche personenbezogenen Daten er über die Infrastruktur des Auftragsverarbeiters verarbeitet. Dies kann auch besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO umfassen.

• Kontakt- und Identifikationsinformationen einschließlich E-Mail-Adressen
• IP-Adressen
• Domainnamen
• Benutzernamen
• Informationen zur Mitgliedschaft
• Analysen und Nutzungsdaten
• Auftragsgeschichte und Informationen
• Verträge
• Kommunikation
• Status der Marketing-Einwilligung
• Personenbezogene Daten, die in E-Mails enthalten sind
• Weitere Arten von personenbezogenen Daten können vorkommen 

3. Anweisungen

Service 

Der Auftragsverarbeiter darf personenbezogene Daten der betroffenen Personen verarbeiten, um die Leistungen der Hauptvereinbarung bereitzustellen, weiterzuentwickeln, zu verwalten und zu administrieren – einschließlich der Gewährleistung der Stabilität und Verfügbarkeit unserer Server sowie zur Erfüllung gesetzlicher Anforderungen. 

Aufbewahrungszeitraum 

Die in unseren Systemen gespeicherten/gehosteten personenbezogenen Daten werden innerhalb eines angemessenen Zeitraums gelöscht oder anonymisiert, nachdem der Verantwortliche die Hauptvereinbarung vollständig beendet hat.

Ort der Verarbeitung 

Die Verarbeitung personenbezogener Daten, die unter die Vereinbarung fällt, darf ohne die vorherige schriftliche Zustimmung des Verantwortlichen nicht an anderen Standorten als dem Rechenzentrum des Auftragsverarbeiters in Kopenhagen und den in Anhang 3 aufgeführten Standorten der Unterauftragsverarbeiter erfolgen. 

Anhang 2

Sicherheitsvorkehrungen

Domain	Praktiken
Organisation der Informationssicherheit	Verantwortlicher für die Sicherheit. One.com hat einen Sicherheitsbeauftragten ernannt, der für die Koordinierung und Überwachung der Sicherheitsvorschriften und -verfahren verantwortlich ist. Der Sicherheitsbeauftragte wird von einer Gruppe von Führungskräften unterstützt und angewiesen. Sicherheitsrollen und Verantwortlichkeiten. Mitarbeiter von One.com, die Zugang zu Kundendaten haben, unterliegen einer Geheimhaltungspflicht, die bei der Einstellung ausdrücklich betont wird und die auch weiterhin beachtet werden muss. Risikomanagement One.com führt im Rahmen des Risikomanagements eine kontinuierliche Risikobewertung durch, bevor es die Kundendaten verarbeitet oder Dienstleistungen anbietet. Der Bereich des Risikomanagements ermöglicht es, sich auf relevante Bedrohungen zu konzentrieren, indem die Risiken über das akzeptierte Maß hinaus priorisiert, strukturiert und reduziert werden. Ein Backup ist implementiert. Der Datenverarbeiter speichert seine Sicherheitsdokumente nach Ablauf der Gültigkeit gemäß seinen Aufbewahrungsvorschriften.
Anlagenverwaltung	Inventarisierung der Assets. Der Datenverarbeiter führt ein Verzeichnis aller Medien, auf denen Kundendaten gespeichert sind. Der Zugang zu den Verzeichnissen dieser Medien ist auf das Personal des Datenverarbeiters beschränkt, das schriftlich autorisiert wurde, diesen Zugang zu erhalten. Asset-Handling – One.com führt eine Klassifizierung der Kundendaten durch, um sie zu identifizieren und den Zugang zu ihnen angemessen zu beschränken. – Die Mitarbeiter des Datenverarbeiters müssen die Genehmigung des Datenverarbeiters einholen, bevor sie Kundendaten auf mobilen Endgeräten speichern, remote auf Kundendaten zugreifen oder Kundendaten außerhalb der Einrichtungen des Datenverarbeiters verarbeiten.
Sicherheit im Bereich Human Resources	Sicherheitstraining. One.com informiert seine Mitarbeiter über relevante Sicherheitsverfahren und ihre jeweilige Rolle sowie über neue Bedrohungen usw., bei denen die Mitarbeiter eine wichtige Rolle spielen.
Physische Sicherheit und Umweltsicherheit	Physischer Zugang zu den Einrichtungen. One.com beschränkt den Zugang zu Einrichtungen, in denen sich Informationssysteme zur Verarbeitung von Kundendaten befinden, auf bestimmte autorisierte Personen. Physischer Zugang zu den Komponenten. One.com gewährleistet einen ausreichenden Schutz der Datenträger mit Kundendaten. Schutz vor Störungen. One.com setzt eine Vielzahl von Industriestandardsystemen ein, um sich gegen Datenverluste aufgrund von Stromausfällen, Überschwemmungen, Feuer oder Leitungsstörungen zu schützen. Komponentenentsorgung. One.com setzt branchenübliche Verfahren ein, um Kundendaten zu löschen, wenn diese nicht mehr benötigt werden.
Kommunikation und Betriebsmanagement	Unternehmenspolitik. One.com pflegt Sicherheitsdokumente, in denen die Sicherheitsmaßnahmen sowie die entsprechenden Verfahren und Verantwortlichkeiten der Mitarbeiter, die Zugang zu den Kundendaten haben, beschrieben werden. Verfahren zur Datenwiederherstellung – One.com speichert Kopien von Kundendaten und Datenwiederherstellungsverfahren an einem anderen Ort als dem Ort, an dem sich die primäre EDV-Anlage zur Verarbeitung der Kundendaten befindet. – One.com verfügt über spezielle Verfahren für den Zugriff auf Kopien von Kundendaten. Schadsoftware. One.com setzt Anti-Malware-Kontrollen ein, um zu verhindern, dass Schadsoftware unbefugten Zugriff auf Kundendaten erhält. Dies schließt auch Schadsoftware ein, die aus öffentlichen Netzwerken stammt. Auch ein Virenschutz wurde implementiert. Aufzeichnung von Ereignissen. One.com protokolliert den Zugriff auf und die Nutzung von Informationssystemen, die Kundendaten enthalten, oder ermöglicht es dem Kunden, diese zu protokollieren. Dabei werden die Zugriffs-ID, der Zeitpunkt, die erteilte oder verweigerte Genehmigung und die entsprechende Aktivität registriert. Verschlüsselung. Die Kommunikation über das Internet zwischen Systemen, die persönliche Daten verarbeiten, erfolgt verschlüsselt.
Zugriffskontrolle	Zugriffspolitik. One.com pflegt ein Verzeichnis der Sicherheitsrechte von Personen, die Zugang zu Kundendaten haben. Zugangsberechtigung – One.com deaktiviert Authentifizierungsnachweise, die über einen Zeitraum von maximal sechs Monaten nicht verwendet wurden. – One.com identifiziert die Personen, die autorisierten Zugriff auf Daten und Ressourcen erteilen, ändern oder löschen dürfen. – One.com gewährleistet, dass für den Fall, dass mehr als eine Person Zugang zu Systemen mit Kundendaten hat, die einzelnen Personen getrennte Kennungen/Logins haben. Geringste Rechte – One.com beschränkt den Zugang zu Kundendaten auf die Personen, die einen solchen Zugang benötigen, um ihre Aufgabe zu erfüllen. Integrität und Vertraulichkeit Integrität und Vertraulichkeit – One.com weist seine Mitarbeiter an, administrative Sitzungen beim Verlassen des Firmengeländes zu deaktivieren oder wenn Computer anderweitig unbeaufsichtigt gelassen werden. – One.com speichert Passwörter derart, dass sie während ihrer Gültigkeit nicht lesbar sind. Authentifizierung – One.com setzt branchenübliche Verfahren zur Identifizierung und Authentifizierung von Benutzern ein, die versuchen, auf Informationssysteme zuzugreifen. – Basieren die Authentifizierungsmechanismen auf Passwörtern, verlangt der Datenverarbeiter, dass die Passwörter regelmäßig erneuert werden. – One.com gewährleistet, dass deaktivierte oder abgelaufene Kennungen nicht an andere Personen vergeben werden. – One.com überwacht bzw. ermöglicht dem Kunden die Überwachung wiederholter Versuche, sich mit einem ungültigen Passwort Zugang zum Informationssystem zu verschaffen. – One.com wendet branchenübliche Verfahren zur Deaktivierung von beschädigten oder versehentlich preisgegebenen Passwörtern an. – One.com wendet zum Schutz von Passwörtern branchenübliche Verfahren an, einschließlich Verfahren zur Wahrung der Vertraulichkeit und Integrität von Passwörtern bei der Vergabe und Verteilung sowie bei der Speicherung. Netzwerkdesign. One.com verfügt über Kontrollen, die verhindern, dass Personen Zugriffsrechte nutzen, die ihnen nicht zugewiesen wurden, um sich dadurch Zugang zu Kundendaten zu verschaffen, für die sie keine Zugriffsberechtigung haben.
Management von Informationssicherheitsvorfällen	Prozess zur Reaktion auf Vorfälle – One.com führt ein Protokoll über Sicherheitsverletzungen mit einer Beschreibung der Verletzung, dem Zeitraum, den Folgen der Verletzung, dem Namen des Meldenden und demjenigen, dem die Verletzung gemeldet wurde, sowie dem Verfahren zur Wiederherstellung der Daten. – Bei jeder Sicherheitsverletzung, die einen Sicherheitsvorfall darstellt, erfolgt die Benachrichtigung durch One.com ohne unangemessene Verzögerung und in jedem Fall innerhalb von 72 Stunden. – One.com erfasst die Weitergabe von Kundendaten oder ermöglicht es dem Kunden, diese zu erfassen. Dies beinhaltet auch, welche Daten weitergegeben wurden, an wen und zu welchem Zeitpunkt.
Management der Geschäftskontinuität	– One.com verfügt über Notfall- und Krisenpläne für die Einrichtungen, in denen sich die Informationssysteme der Datenverarbeiter befinden, mit denen Kundendaten verarbeitet werden. – Der redundante Speicher von One.com und die Verfahren zur Wiederherstellung von Daten sind derart konzipiert, dass der Versuch unternommen wird, die Kundendaten in ihrem ursprünglichen oder zuletzt replizierten Zustand vor dem Zeitpunkt ihres Verlusts oder ihrer Zerstörung zu rekonstruieren.

Anhang 3

Liste der Unterauftragsverarbeiter

Massenhosting-Produkt

Anbieter	Standort	Funktion
Global Connect A/S	DK	Rechenzentrum
Digital Realty Trust Inc.	DK	Rechenzentrum (Backup)
One.com A/S*	DK	Überwachung der Systeme
One.com India pvt. Ltd.*	IN	Überwachung der Systeme

Unmanaged VPS

Anbieter	Standort	Funktion
Envia TEL GmbH	DE	Rechenzentrum
Dogado GmbH*	DE	Überwachung der Systeme

Managed VPS

Anbieter	Standort	Funktion
Global Connect A/S	DK	Rechenzentrum
Digital Realty Trust Inc	DK	Rechenzentrum (Backup)
WebPros International GmbH (Plesk)	CH (Schweiz)	Kontrollpanel-Anbieter
One.com A/S*	DK	Überwachung der Systeme
One.com India pvt. Ltd.*	IN	Überwachung der Systeme
Acronis International GmbH	CH (Schweiz)	Backup-Anbieter

Homepage-Baukasten

Anbieter	Standort	Funktion
Global Connect A/S	DK	Rechenzentrum
Digital Realty Trust Inc	DK	Rechenzentrum (Backup)
Amazon Web Services Inc.	US/DE	Homepage-Baukasten Testfunktionen (DE-Cluster)
SiteWit corp. (Kliken)	US	Website-Analyse
Termly Inc.*	US	Verwaltung von Einwilligungen
Shore GmbH*	DE	Buchungssystem
Google Inc.	US	Captcha
One.com A/S*	DK	Überwachung der Systeme
One.com India pvt. Ltd.*	IN	Überwachung der Systeme

Premium Care

Anbieter	Standort	Funktion
Liven Studio Ltd. (WP Umbrella)	US	Monitoring-Software für WordPress

WP.one

Anbieter	Standort	Funktion
Google Inc.	US/NL	Google Cloud (NL-Cluster)

*Mit * gekennzeichnete Unternehmen sind Teil von Group.one