Vereinbarung zur Auftragsdatenverarbeitung nach Artikel 28 Absatz 3 DSGVO
Für den Erfüllungsnachweis der Vorgaben gemäß Artikel 28 Absatz 3 der Europäischen Datenschutz- Grundverordnung (DSGVO)
schließen wir mit unseren Auftraggebern eine Vereinbarung nach folgender Vorlage ab:
https://namensaktie.de/vorlage_vereinbarung_zur_auftragsdatenverarbeitung_nach_dsgvo.pdf
(14-Seitiges PDF-Dokument [230 kByte] inkl. technischer Dokumentation und Zertifizierungsnachweis)
Dateien gesichert versenden
Wenn Sie uns vertrauliche Dateien zusenden möchten, empfehlen wir
die Verschlüsselung nach dem PGP-Standard.
Unseren öffentlichen PGP-Schlüssel können Sie hier downloaden:
namensaktie_public_pgp_key.asc
(rechte Maustaste –> Ziel speichern unter)
Alternativ stellen wir Ihnen auf Anfrage ein Upload-Formular zur
Verfügung, das den Dateienversand über eine gesicherte
SSL-Verbindung ermöglicht.
Wenn Sie bereits Nutzer eines evolAr®- Aktienregisterservers sind,
finden Sie ein persönliches Upload-Formular im Vorstandsmenü unter
"Service".
Signierte Dokumente
Angebote, Rechnungen oder ähnliche Dokumente schützen wir vor nachträglicher
Manipulation mit einer fortgeschrittenen Signatur. Dazu verwenden
wir seit 01.07.2019 folgendes Zertifikat:
namensaktie_signaturzertifikat.crt
(rechte Maustaste –> Ziel speichern unter)
Für einen schnellen Vergleich des im Dokument enthaltenen Zertifikats mit dem hier veröffentlichten Zertifikat empfiehlt es sich, den sha1-Fingerabdruck auf Übereinstimmung zu prüfen:
CE CC 24 8E 9E F3 A0 34 2A 87 D5 34 31 43 24 34 A9 BD F2 44
(Hinweis: Bei den Buchstaben wird Groß- und Kleinschreibung nicht unterschieden)
Dokumente, die vor dem 01.07.2019 signiert wurden, enthalten den sha1-Fingerabdruck:
37 AA 06 C4 C6 4B 2F 6C F4 F7 E1 52 25 36 11 18 6F 65 4D 48
Bei pdf-Dokumenten können Sie das Zertifikat und den Fingerabdruck
(SHA-1-Digest) direkt im Adobe-Reader mit den entsprechenden
Funktionen anzeigen lassen.
Verschlüsselte E-Mails (S/MIME)
Das vorgenannte Signaturzertifikat ist auch für die E-Mail-Verschlüsselung nach dem S/MIME-Standard gültig.
Das zusätzlich erforderliche Root-Zertifikat können Sie hier downloaden:
namensaktie_ca.crt
(rechte Maustaste –> Ziel speichern unter)
Datenschutzhinweise evolAr®- Aktienregisterserver
Im öffentlich zugänglichen Bereich der durch uns betreuten
Aktienregister befindet sich ein Link zu folgenden
Standard-Datenschutzhinweisen. Diese können im Vorstandsmenü unter
"Stammdaten -> Datenschutzhinweise" individuell ergänzt werden.
IMPRESSUM
Verantwortlich für die technische Realisierung webbasierter Aktienregister unter der Domain "evolar.de":
namensaktie.de GmbH
Robert-Matzke-Str. 9
D-01127 Dresden
Tel.: 0351-40765085
E-Mail: mail@namensaktie.de
Handelsregister Dresden: HRB 18137
Geschäftsführer und Supportleiter: Andreas Börnig
Netzwerktechnik und Datenschutz: Dr. Detlef Werner
Verantwortlich für AG-spezifische Inhalte und Services:
Sofern die öffentliche Bereitstellung von integrierten Ergänzungstools (z.B.: Handelsunterstützung, Proxyvoting, Videokonferenz etc.) eine eigene Impressumspflicht begründen oder die Benennung von AGB erforderlich machen, finden Sie Hinweise dazu am Schluss diese Ausführungen unter ERGÄNZENDE HINWEISE DER AKTIENGESELLSCHAFT.
DATENSCHUTZHINWEISE
Die namensaktie.de GmbH stellt als Application Service Provider Datenbankserver und Programmlogik zur Führung kundenspezifischer Aktienregister zur Verfügung. Die Speicherung und Verarbeitung der Daten erfolgt unter Einhaltung der Europäischen Datenschutz Grundverordnung (EU-DSGVO) auf dedizierten Servern in Deutschland oder Finnland.
Im Folgenden informieren wir Aktionäre und potentielle Aktionäre über den Umfang der personenbezogenen Datenspeicherung und die angewendeten Datenschutzmaßnahmen. Dabei ist zu berücksichtigen, dass neben den auf die Einhaltung des Datengeheimnis verpflichteten Kundenbetreuern der namensaktie.de GmbH (dokumentierte Vertraulichkeitserklärung gemäß Art 5 DSGVO) auch die Vorstände der jeweiligen Aktiengesellschaft bzw. deren autorisierte Vertreter Zugriff auf personenbezogene Daten nehmen können. Sofern die Datenschutzrichtlinien der jeweiligen Aktiengesellschaft von unseren abweichen, finden Sie die Hinweise dazu am Schluss dieser Ausführungen unter ERGÄNZENDE HINWEISE DER AKTIENGESELLSCHAFT.
- Welche Daten werden wann und zu welchem Zweck gespeichert?
- Wer hat Zugriff auf personenbezogene Daten?
- Server- und Datenbankstandorte, Daten- und Datenleitungsverschlüsselung
- Login- Verfahren mit Kennung und Passwort
( 1 )
Welche Daten werden wann und zu welchem Zweck gespeichert
Die Art der Datenspeicherung richtet sich nach den unterschiedlichen Möglichkeiten
zur Nutzung des Aktienregisters:
a) Allgemeine Datenspeicherung bei jedem Zugang über das Internet
- Browsertyp/ -version
- verwendetes Betriebssystem
- Referrer URL (die zuvor besuchte Seite)
- Hostname des zugreifenden Rechners (IP Adresse)
- Uhrzeit der Serveranfrage.
Zweck der Datenspeicherung:
Die Speicherung erfolgt ausschließlich zur statistischen Auswertung. Der
Hostname des zugreifenden Rechners (IP Adresse) wird nur bei Angriffen auf
die Netzinfrastruktur ausgewertet.
Änderungs- und Löschmöglichkeiten durch den Anwender:
Keine
Cookies:
Temporäre Speicherung eines Session-Cookie auf dem Gastrechner, der nach
Beendigung der Sitzung automatisch gelöscht wird. Bleibende Informationen
werden auf dem Gastrechner nicht gespeichert.
b) Zusätzlich Datenspeicherung beim Anlegen eines Aktionärskontos (registrierter
Gast)
*sofern diese Funktion freigegeben ist
- Name / Vorname (falls beim Anlegen bereits angegeben)
- E-Mail-Adresse (zwingend)
- Zugangspasswort (zwingend)
- Uhrzeit des letzten Login
Zweck der Datenspeicherung:
Die Daten werden ausschließlich zur Bereitstellung ergänzender Funktionen
bzw. unternehmensinterner Informationen verwendet. Ein Informationsversand
an die eingetragene E-Mail Adresse erfolgt nur, wenn dies ausdrücklich gewünscht
wird. Die Weitergabe personenbezogener Daten an Dritte ist ausgeschlossen,
sofern gesetzliche Anordnungen nichts anderes vorschreiben.
Änderungs- und Löschmöglichkeiten durch den Anwender:
Zusätzliche Angaben (Adresse, Telefon u.s.w.) können freiwillig ergänzt
werden. Mit Ausnahme des Namens (nach erstmaliger Angabe) sind sämtliche selbst eingegebene Daten
änderbar. Die Löschung des gesamten Datensatzes durch den Anwender ist möglich.
Cookies:
Temporäre Speicherung eines Session-Cookie auf dem Gastrechner, der nach
Beendigung der Sitzung automatisch gelöscht wird. Bleibende Informationen
werden auf dem Gastrechner nicht gespeichert.
c) Zusätzliche Datenspeicherung vor einer Aktienübernahme
(Insider)
*sofern diese Funktion freigegeben ist
- Name / Vorname
- Geburtsdatum
- Wohn-Adresse
- E-Mail-Adresse
- Zugangspasswort
- Uhrzeit des letzten Login
- Firma bzw. Name der Institution
- Gründungsdatum
- gesetzlicher Vertreter
- Post-Anschrift
- E-Mail-Adresse
- Zugangspasswort
- Uhrzeit des letzten Login
Zweck der Datenspeicherung:
Die gespeicherten Daten werden vorbereitend erfasst und im Bedarfsfall zur
Erfüllung der gesetzlichen Anforderungen nach §67 Aktiengesetz (AktG) verwendet.
Bis dahin werden die Daten ausschließlich zur Bereitstellung ergänzender
Funktionen bzw. unternehmensinterner Informationen verwendet.
Für den Umgang mit den Daten gilt §67AktG Absatz (6):
(6) Der Aktionär kann von der Gesellschaft Auskunft über die zu seiner
Person in das Aktienregister eingetragenen Daten verlangen. Bei nichtbörsennotierten
Gesellschaften kann die Satzung Weiteres bestimmen. Die Gesellschaft darf
die Registerdaten für ihre Aufgaben im Verhältnis zu den Aktionären verwenden.
Zur Werbung für das Unternehmen darf sie die Daten nur verwenden, soweit
der Aktionär nicht widerspricht. Die Aktionäre sind in angemessener Weise
über ihr Widerspruchsrecht zu informieren.
Sofern freiwillig eine Handy-Nummer angegeben wurde, kann diese zur Übermittlung
von Bestätigungskennwörtern per SMS verwendet werden. Die Weitergabe personenbezogener
Daten an Dritte ist ausgeschlossen, sofern gesetzliche Anordnungen nichts
anderes vorschreiben.
Änderungs- und Löschmöglichkeiten durch den Anwender:
Zusätzliche Angaben (Telefon, Handy, Bankverbindung u.s.w.) können freiwillig
ergänzt werden. Mit Ausnahme des Namens (der Firma) sind sämtliche selbst
eingegebene Daten änderbar. Die Löschung des gesamten Datensatzes durch
den Anwender ist möglich, solange keine Transaktionen (z.B. Aktienkauf)
durchgeführt wurden.
Cookies:
Temporäre Speicherung eines Session-Cookie auf dem Gastrechner, der nach
Beendigung der Sitzung automatisch gelöscht wird. Bleibende Informationen
werden auf dem Gastrechner nicht gespeichert.
d) Zusätzliche Datenspeicherung bei registrierten Aktionären
Sobald eine Aktienübernahme gebucht wurde, werden Insider automatisch
als registrierte Aktionäre geführt. Die personenbezogenen Daten und deren
Verwendungszweck gleichen denen der Insider, ergänzt um die Informationen
zum Aktienbestand.
Änderungs- und Löschmöglichkeiten durch den Anwender:
Zusätzliche Angaben (Telefon, Handy, Bankverbindung u.s.w.) können freiwillig
ergänzt werden. Mit Ausnahme des Namens sind sämtliche selbst eingegebene
Daten änderbar. Die Löschung des gesamten Datensatzes durch den Anwender
ist nicht mehr möglich, da diese zu den Pflichtangaben nach §67AktG (Aktiengesetz)
gehören.
Cookies:
Temporäre Speicherung eines Session-Cookie auf dem Gastrechner, der nach
Beendigung der Sitzung automatisch gelöscht wird. Es werden keine bleibenden
Informationen auf dem Gastrechner gespeichert.
( 2 )
Wer hat Zugriff auf personenbezogene Daten
Protokollierten Zugriff (Erfassung von Name, Uhrzeit, IP-Nummer) auf personenbezogene
Daten können der Vorstand der AG bzw. von ihm autorisierte Personen sowie speziell
autorisierte Kundenbetreuer der namensaktie.de GmbH nehmen.
Sofern ein Zugriff von einem Kundenbetreuer der namensaktie.de GmbH erfolgt, geschieht
dies ausschließlich zu Kontrollzwecken bzw. im Rahmen vereinbarter Dienstleistungen
für die betreute AG. Grundsätzlich sind sämtliche Mitarbeiter der namensaktie.de
GmbH auf die Einhaltung des Datengeheimnis verpflichtet worden (dokumentierte Vertraulichkeitserklärung gemäß Art 5 DSGVO).
Zugriffe durch den Vorstand oder von ihm autorisierte Personen erfolgen, wenn nichts
anderes vereinbart wurde (z.B. Handelsunterstützung), im Rahmen des Aktiengesetzes
zur Wahrnehmung der Rechte und Erfüllung der Pflichten der AG gegenüber ihren Aktionären.
Sofern personenbezogene Daten von der AG zu weiteren Zwecken verwendet werden sollen,
sind diese unter dem Schlusspunkt "Ergänzende Angaben der AG" aufgeführt.
Die Möglichkeit eines direkten Zugriffs auf die Datenbanken kann nur von wenigen
speziell autorisierten Administratoren wahrgenommen werden. Namentlich sind dies
der Netzwerkadministrator Dr. Detlef Werner aus Köln und der Geschäftsführer
der namensaktie.de GmbH Andreas Börnig aus Dresden. Ein direkter Zugriff auf die
Datenbanken wird nur im dokumentierten Ausnahmefall vorgenommen.
( 3 )
Server- und Datenbankstandorte, Daten- und Datenleitungsverschlüsselung
Die namensaktie.de GmbH betreibt ihre Applikationen auf virtualisierten Servern
in verschlüsselten Partitionen (AES 256bit). Die dafür erforderlichen dedizierten Host-Rechner werden
bei spezialisierten Providern an unterschiedlichen Standorten angemietet; gegenwärtig (seit 2008) bei der
Hetzner Online GmbH (Rechenzentrum Falkenstein [D] und Helsinki [FI]). Diese Architektur gewährleistet eine nahezu vollständige
Abschottung der Serverumgebung und bietet einen optimalen Schutz vor unberechtigten
Zugriffen durch externes Wartungspersonal oder Datenverlusten bei unsachgemäßem
oder illegalem Umgang mit Hardwarekomponenten (z.B.: Austausch defekter Festplatten,
Hardwarediebstahl).
Die Administration der Server erfolgt durch Mitarbeiter der namensaktie.de GmbH. Sicherheitsmaßnahmen
gegen widerrechtliche Zugriffe werden entsprechend der technologischen Entwicklung
fortlaufend verbessert.
Die Kommunikation zwischen Server und Anwendern wird über verschlüsselte SSL-Datenverbindungen
(AES-256 256bit) sichergestellt.
Sicherungskopien der Datenbanken werden regelmäßig an unterschiedlichen Standorten
archiviert. Die Datenübertragung vom Rechenzentrum zum Sicherungsserver erfolgt
in diesem Fall über eine verschlüsselte SSH-2 Verbindung. Zum Schutz vor Datenverlust
durch Hardwarediebstahl werden die gesicherten Datenbanken vor der Archivierung
mit einer 256bit-Codierung verschlüsselt.
( 4 )
Login- Verfahren mit Kennung und Passwort
Der Zugang zu den personenbezogenen Daten registrierter Anwender wird nach Eingabe
einer Kennung und eines geheimen Passwortes freigegeben. Die Übertragung der eingegebenen
Daten erfolgt über eine gesicherte SSL-Verbindung, die ein Auslesen des Passwortes
auf diesem Wege unterbindet. In der Datenbank selbst sind Passwörter ausschließlich
in codierter Form (salted hash) gespeichert. Zum Schutz vor "Passwort Scanning" wird der Zugang
nach mehreren erfolglosen Login-Versuchen kurzzeitig gesperrt.
Dennoch besteht das Risiko eines unberechtigten Zugangs zu personenbezogenen Daten,
die im Verantwortungsbereich des Anwenders liegen. Insbesondere sind hier der unvorsichtige
Umgang mit Passwörtern oder die durch gedankenlose Internetnutzung ermöglichte unbemerkte
Installation von Schadprogrammen (Spyware) auf dem Rechner des Anwenders, zu nennen.
Hierauf haben die Betreiber des Aktienregisters keinen Einfluss und übernehmen für
daraus resultierende Schäden keine Haftung.
Linkempfehlungen:
ERGÄNZENDE HINWEISE DER AKTIENGESELLSCHAFT
Keine ergänzenden Hinweise