webinterface.git

@@ -5,6 +5,7 @@

     "require": {

         "bjeavons/zxcvbn-php": "0.3",

         "giggsey/libphonenumber-for-php": "^8.8",

-        "globalcitizen/php-iban": "^2.6"

+        "globalcitizen/php-iban": "^2.6",

+        "mpdf/mpdf": "^7.0"

     }

 }

@@ -4,7 +4,7 @@

         "Read more about it at https://getcomposer.org/doc/01-basic-usage.md#composer-lock-the-lock-file",

         "This file is @generated automatically"

     ],

-    "content-hash": "8e82fcd9fc27b40fafb297fc10633829",

+    "content-hash": "d23e4112dab248fe88e5e21fba2f1972",

     "packages": [

         {

             "name": "bjeavons/zxcvbn-php",

@@ -195,6 +195,217 @@

             ],

             "description": "php-iban is a library for parsing and validating IBAN (and IIBAN) bank account information.",

             "time": "2017-08-10T17:28:10+00:00"

+        },

+        {

+            "name": "mpdf/mpdf",

+            "version": "v7.0.3",

+            "source": {

+                "type": "git",

+                "url": "https://github.com/mpdf/mpdf.git",

+                "reference": "5681a0cae1eea197143d5d27f06e19b0523cd8d6"

+            },

+            "dist": {

+                "type": "zip",

+                "url": "https://api.github.com/repos/mpdf/mpdf/zipball/5681a0cae1eea197143d5d27f06e19b0523cd8d6",

+                "reference": "5681a0cae1eea197143d5d27f06e19b0523cd8d6",

+                "shasum": ""

+            },

+            "require": {

+                "ext-gd": "*",

+                "ext-mbstring": "*",

+                "paragonie/random_compat": "^1.4|^2.0",

+                "php": "^5.6 || ~7.0.0 || ~7.1.0 || ~7.2.0",

+                "psr/log": "^1.0",

+                "setasign/fpdi": "1.6.*"

+            },

+            "require-dev": {

+                "mockery/mockery": "^0.9.5",

+                "phpunit/phpunit": "^5.0",

+                "squizlabs/php_codesniffer": "^2.7.0",

+                "tracy/tracy": "^2.4"

+            },

+            "suggest": {

+                "ext-bcmath": "Needed for generation of some types of barcodes",

+                "ext-xml": "Needed mainly for SVG manipulation",

+                "ext-zlib": "Needed for compression of embedded resources, such as fonts"

+            },

+            "type": "library",

+            "extra": {

+                "branch-alias": {

+                    "dev-development": "7.0-dev"

+                }

+            },

+            "autoload": {

+                "psr-4": {

+                    "Mpdf\\": "src/"

+                }

+            },

+            "notification-url": "https://packagist.org/downloads/",

+            "license": [

+                "GPL-2.0"

+            ],

+            "authors": [

+                {

+                    "name": "Matěj Humpál",

+                    "role": "Developer, maintainer"

+                },

+                {

+                    "name": "Ian Back",

+                    "role": "Developer (retired)"

+                }

+            ],

+            "description": "A PHP class to generate PDF files from HTML with Unicode/UTF-8 and CJK support",

+            "homepage": "https://mpdf.github.io",

+            "keywords": [

+                "pdf",

+                "php",

+                "utf-8"

+            ],

+            "time": "2018-01-03T07:32:36+00:00"

+        },

+        {

+            "name": "paragonie/random_compat",

+            "version": "v2.0.12",

+            "source": {

+                "type": "git",

+                "url": "https://github.com/paragonie/random_compat.git",

+                "reference": "258c89a6b97de7dfaf5b8c7607d0478e236b04fb"

+            },

+            "dist": {

+                "type": "zip",

+                "url": "https://api.github.com/repos/paragonie/random_compat/zipball/258c89a6b97de7dfaf5b8c7607d0478e236b04fb",

+                "reference": "258c89a6b97de7dfaf5b8c7607d0478e236b04fb",

+                "shasum": ""

+            },

+            "require": {

+                "php": ">=5.2.0"

+            },

+            "require-dev": {

+                "phpunit/phpunit": "4.*|5.*"

+            },

+            "suggest": {

+                "ext-libsodium": "Provides a modern crypto API that can be used to generate random bytes."

+            },

+            "type": "library",

+            "autoload": {

+                "files": [

+                    "lib/random.php"

+                ]

+            },

+            "notification-url": "https://packagist.org/downloads/",

+            "license": [

+                "MIT"

+            ],

+            "authors": [

+                {

+                    "name": "Paragon Initiative Enterprises",

+                    "email": "security@paragonie.com",

+                    "homepage": "https://paragonie.com"

+                }

+            ],

+            "description": "PHP 5.x polyfill for random_bytes() and random_int() from PHP 7",

+            "keywords": [

+                "csprng",

+                "pseudorandom",

+                "random"

+            ],

+            "time": "2018-04-04T21:24:14+00:00"

+        },

+        {

+            "name": "psr/log",

+            "version": "1.0.2",

+            "source": {

+                "type": "git",

+                "url": "https://github.com/php-fig/log.git",

+                "reference": "4ebe3a8bf773a19edfe0a84b6585ba3d401b724d"

+            },

+            "dist": {

+                "type": "zip",

+                "url": "https://api.github.com/repos/php-fig/log/zipball/4ebe3a8bf773a19edfe0a84b6585ba3d401b724d",

+                "reference": "4ebe3a8bf773a19edfe0a84b6585ba3d401b724d",

+                "shasum": ""

+            },

+            "require": {

+                "php": ">=5.3.0"

+            },

+            "type": "library",

+            "extra": {

+                "branch-alias": {

+                    "dev-master": "1.0.x-dev"

+                }

+            },

+            "autoload": {

+                "psr-4": {

+                    "Psr\\Log\\": "Psr/Log/"

+                }

+            },

+            "notification-url": "https://packagist.org/downloads/",

+            "license": [

+                "MIT"

+            ],

+            "authors": [

+                {

+                    "name": "PHP-FIG",

+                    "homepage": "http://www.php-fig.org/"

+                }

+            ],

+            "description": "Common interface for logging libraries",

+            "homepage": "https://github.com/php-fig/log",

+            "keywords": [

+                "log",

+                "psr",

+                "psr-3"

+            ],

+            "time": "2016-10-10T12:19:37+00:00"

+        },

+        {

+            "name": "setasign/fpdi",

+            "version": "1.6.2",

+            "source": {

+                "type": "git",

+                "url": "https://github.com/Setasign/FPDI.git",

+                "reference": "a6ad58897a6d97cc2d2cd2adaeda343b25a368ea"

+            },

+            "dist": {

+                "type": "zip",

+                "url": "https://api.github.com/repos/Setasign/FPDI/zipball/a6ad58897a6d97cc2d2cd2adaeda343b25a368ea",

+                "reference": "a6ad58897a6d97cc2d2cd2adaeda343b25a368ea",

+                "shasum": ""

+            },

+            "suggest": {

+                "setasign/fpdf": "FPDI will extend this class but as it is also possible to use \"tecnickcom/tcpdf\" as an alternative there's no fixed dependency configured.",

+                "setasign/fpdi-fpdf": "Use this package to automatically evaluate dependencies to FPDF.",

+                "setasign/fpdi-tcpdf": "Use this package to automatically evaluate dependencies to TCPDF."

+            },

+            "type": "library",

+            "autoload": {

+                "classmap": [

+                    "filters/",

+                    "fpdi.php",

+                    "fpdf_tpl.php",

+                    "fpdi_pdf_parser.php",

+                    "pdf_context.php"

+                ]

+            },

+            "notification-url": "https://packagist.org/downloads/",

+            "license": [

+                "MIT"

+            ],

+            "authors": [

+                {

+                    "name": "Jan Slabon",

+                    "email": "jan.slabon@setasign.com",

+                    "homepage": "https://www.setasign.com"

+                }

+            ],

+            "description": "FPDI is a collection of PHP classes facilitating developers to read pages from existing PDF documents and use them as templates in FPDF. Because it is also possible to use FPDI with TCPDF, there are no fixed dependencies defined. Please see suggestions for packages which evaluates the dependencies automatically.",

+            "homepage": "https://www.setasign.com/fpdi",

+            "keywords": [

+                "fpdf",

+                "fpdi",

+                "pdf"

+            ],

+            "time": "2017-05-11T14:25:49+00:00"

         }

     ],

     "packages-dev": [],

@@ -0,0 +1,33 @@

+<h1 id="anlage-1">Anlage 1</h1>

+<p>zum Vertrag zur Auftragsverarbeitung</p>

+<h1 id="maßnahmen-datenschutz-datensicherheit-schokokeks.org-gbr">Maßnahmen Datenschutz / Datensicherheit schokokeks.org GbR</h1>

+<p>schokokeks.org betreibt kein eigenes Rechenzentrum, die genutzten Server werden von der Hetzner Online GmbH angemietet und befinden sich in deren Rechenzentren. Die Sicherungsmaßnahmen bei der Hetzner Online GmbH sind in einem Vertrag zur Auftragsverarbeitung zwischen der schokokeks.org GbR und der Hetzner Online GmbH geregelt.</p>

+<p>Neben den hier dokumentierten spezifischen Maßnahmen verfolgen wir regelmäßig die Entwicklungen in Sachen IT-Sicherheit und passen unserer Systeme dem Stand der Technik an.</p>

+<h2 id="organisatorische-maßnahmen">Organisatorische Maßnahmen</h2>

+<p>Zugriff auf personenbezogene Daten haben ausschließlich die Firmeninhaber, im weiteren als Administratoren bezeichnet. schokokeks.org beschäftigt keine weiteren Mitarbeiter, die Zugriff auf personenbezogene Daten haben.</p>

+<p>Auf abgestufte Zugriffsrechte innerhalb des Unternehmens wird daher verzichtet.</p>

+<h2 id="vertraulichkeitintegrität">Vertraulichkeit/Integrität</h2>

+<ul>

+<li>Sämtliche Datenverbindungen, mit denen administrative Tätigkeiten zur Datenverarbeitung durchgeführt werden, sind mit Verschlüsselungsverfahren nach dem aktuellen Stand der Technik geschützt (SSH/TLS).<br />

+Diese Verschlüsselungsverfahren garantieren die Vertraulichkeit und Integrität der Datenverbindungen.</li>

+<li>Den Kunden bereitgestellte Services werden ebenfalls mit Verschlüsselungsverfahren geschützt. Für Web-Services wird HTTPS angeboten. Datenverbindungen vom Kunden zu unseren E-Mail- und XMPP-Services werden ausschließlich über die verschlüsselten Varianten angeboten. Beim Verstand und Empfang von E-Mails und XMPP-Nachrichten (Server-to-Server) wird STARTTLS angeboten.</li>

+<li>Alle von schokokeks.org bereitgestellten Webangebote (Konfigurationsinterface, Webmail, Wiki, Webseite etc.) werden ausschließlich über HTTPS angeboten. Durch den Einsatz von HSTS werden außerdem SSL-Stripping-Angriffe verhindert.</li>

+<li>Zugriffe auf sämtliche Daten können nur mittels Public-Key- Authentifizierung oder mittels starker Passwörter von den Administratoren durchgeführt werden. Aufgrund des höheren Sicherheitsniveaus wird eine Public-Key-Authentifizeirung in der Regel bevorzugt.</li>

+<li>Passwörter werden im System nicht im Klartext gespeichert (gehashte Passwörter).</li>

+<li>Passwörter für alle Systemzugänge müssen eine Mindestkomplexität aufweisen.</li>

+<li>Bei nicht mehr verwendeten Systemen wird vor einer Kündigung beim jeweiligen Dienstleister eine vollständige Löschung der Festplatten (&quot;shredden&quot;) vorgenommen.</li>

+<li>Logdateien werden Datensparsam angelegt. Grundsätzlich werden Logs mit personenbezogenen Daten nur für einen begrenzten Zeitraum gespeichert (maximal 10 Tage). Falls praktikabel wird vollständig auf das Anlegen von Logfiles mit personenbezogenen Daten verzichtet. Die Web-Services von schokokeks.org werden ohne Logfiles betrieben, Zugriffslogs werden nur in Ausnahmefällen zu Debuggingzwecken kurzzeitig aktiviert.</li>

+<li>Kunden können mit schokokeks.org mittels Ende-zu-Ende-verschlüsselter Nachrichten (E-Mails nach dem OpenPGP-Standard) kommunizieren. Vertrauliche Nachrichten (z.B. Rechnungen) werden - wenn möglich - stets verschlüsselt auf elektronischem Weg verschickt.</li>

+</ul>

+<h2 id="verfügbarkeit">Verfügbarkeit</h2>

+<ul>

+<li>Kundendaten werden in automatisierten Backups gesichert, die einmal täglich durchgeführt werden.</li>

+<li>Die Backups werden mit aktuellen, standardisierten kryptographischen Verfahren verschlüsselt.</li>

+<li>Ein externes Monitoring überprüft regelmäßig die Verfügbarkeit der bereitgestellten Services. Bei Service-Ausfällen werden die Administratoren unverzüglich mobil alarmiert.</li>

+</ul>

+<h2 id="belastbarkeit">Belastbarkeit</h2>

+<ul>

+<li>Softwareupdates und insbesondere Sicherheitsaktualisierungen werden unverzüglich installiert. Dies gilt sowohl für alle verwendeten Betriebssysteme und für separat davon verwaltete Spezial-Software wie beispielsweise Webanwendungen.</li>

+<li>Die Systeme werden regelmäßig automatisiert auf die Verfügbarkeit von Updates geprüft.</li>

+<li>Verfügbare Härtungsmaßnahmen (z. B. ASLR, Stack-Cookies) werden wenn möglich auf den verwendeten Betriebssystemen eingesetzt. Damit wird eine sofortige Ausnutzung von neu entdeckten Sicherheitslücken in vielen Fällen erschwert oder verhindert.</li>

+</ul>

@@ -0,0 +1,9 @@

+<h1 id="anlage-2">Anlage 2</h1>

+<p>zum Vertrag zur Auftragsverarbeitung</p>

+<h1 id="unterauftragnehmer">Unterauftragnehmer</h1>

+<p>schokokeks.org arbeitet momentan mit folgenden Dienstleistern zusammen um die Dienste gemäß Vereinbarung zu erbringen:</p>

+<ul>

+<li>Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Registergericht Ansbach, HRB 6089</li>

+<li>http.net Internet GmbH, Franzstr. 51, 52064 Aachen, Amtsgericht Aachen, HRB 19464</li>

+</ul>

+<p>Ergänzungen zu dieser Liste werden allen Vertragspartnern vorab mitgeteilt.</p>

@@ -0,0 +1,34 @@

+<?php

+/*

+This file belongs to the Webinterface of schokokeks.org Hosting

+

+Written 2008-2018 by schokokeks.org Hosting, namely

+  Bernd Wurst <bernd@schokokeks.org>

+  Hanno Böck <hanno@schokokeks.org>

+

+To the extent possible under law, the author(s) have dedicated all copyright and related and neighboring rights to this software to the public domain worldwide. This software is distributed without any warranty.

+

+You should have received a copy of the CC0 Public Domain Dedication along with this software. If not, see 

+http://creativecommons.org/publicdomain/zero/1.0/

+

+Nevertheless, in case you use a significant part of this code, we ask (but not require, see the license) that you keep the authors' names in place and return your changes to the public. We would be especially happy if you tell us what you're going to do with this code.

+*/

+

+require_once('contract.php');

+require_role(ROLE_CUSTOMER);

+

+$pdfdata = get_contract_pdf($_REQUEST['id']);

+if (! $pdfdata)

+{

+	system_failure('Die PDF-Version dieses Vertrags konnte nicht ausgelesen werden. Bitte wenden Sie sich an den Support.');

+}

+else

+{

+    $filename = 'av_vertrag.pdf';

+	header('Content-type: application/pdf');

+	header('Content-disposition: attachment; filename='.$filename);

+	echo $pdfdata;

+	die();

+}

+

+?>

@@ -0,0 +1,23 @@

+<?php

+/*

+This file belongs to the Webinterface of schokokeks.org Hosting

+

+Written 2008-2018 by schokokeks.org Hosting, namely

+  Bernd Wurst <bernd@schokokeks.org>

+  Hanno Böck <hanno@schokokeks.org>

+

+To the extent possible under law, the author(s) have dedicated all copyright and related and neighboring rights to this software to the public domain worldwide. This software is distributed without any warranty.

+

+You should have received a copy of the CC0 Public Domain Dedication along with this software. If not, see 

+http://creativecommons.org/publicdomain/zero/1.0/

+

+Nevertheless, in case you use a significant part of this code, we ask (but not require, see the license) that you keep the authors' names in place and return your changes to the public. We would be especially happy if you tell us what you're going to do with this code.

+*/

+

+require_once('contract.php');

+

+require_role(array(ROLE_CUSTOMER));

+

+echo contract_html();

+die();

+?>

@@ -0,0 +1,78 @@

+<?php

+/*

+This file belongs to the Webinterface of schokokeks.org Hosting

+

+Written 2008-2018 by schokokeks.org Hosting, namely

+  Bernd Wurst <bernd@schokokeks.org>

+  Hanno Böck <hanno@schokokeks.org>

+

+To the extent possible under law, the author(s) have dedicated all copyright and related and neighboring rights to this software to the public domain worldwide. This software is distributed without any warranty.

+

+You should have received a copy of the CC0 Public Domain Dedication along with this software. If not, see 

+http://creativecommons.org/publicdomain/zero/1.0/

+

+Nevertheless, in case you use a significant part of this code, we ask (but not require, see the license) that you keep the authors' names in place and return your changes to the public. We would be especially happy if you tell us what you're going to do with this code.

+*/

+

+require_role(ROLE_CUSTOMER);

+

+

+function get_orderprocessing_contract() {

+    $args = array(

+        "cid" => (int) $_SESSION['customerinfo']['customerno']);

+    $result = db_query("SELECT id, signed, type, startdate, enddate FROM kundendaten.contract WHERE customer=:cid AND type='orderprocessing' AND (enddate IS NULL OR enddate < CURDATE())", $args);

+    if ($result->rowCount() == 0) {

+        return NULL;

+    }

+    $line = $result->fetch();

+    return $line;

+}

+

+

+function contract_html() {

+    use_module('contacts');

+    require_once('contacts.php');

+    

+    $kundenkontakte = get_kundenkontakte();

+    $kunde = get_contact($kundenkontakte['kunde']);

+    $adresse = nl2br("\n".filter_input_general($kunde['address'])."\n".filter_input_general($kunde['country']).'-'.filter_input_general($kunde['zip']).' '.filter_input_general($kunde['city']));

+    $name = filter_input_general($kunde['name']);

+    if ($kunde['company']) {

+        $name = filter_input_general($kunde['company'])."<br />".filter_input_general($kunde['name']);

+    }

+    $email = filter_input_general($kunde['email']);

+    $address = "<strong>$name</strong>$adresse</p><p>E-Mail-Adresse: $email";

+ 

+    $date = date('d.m.Y');

+

+    $DIR=realpath(dirname(__FILE__).'/..');

+

+    $vertrag = file_get_contents($DIR.'/vertrag.html');

+    $vertrag = str_replace('((ADRESSE))', $address, $vertrag);

+    $vertrag = str_replace('((DATUM))', $date, $vertrag);

+

+    $vertrag = str_replace('</body>', '', $vertrag);

+    $vertrag = str_replace('</html>', '', $vertrag);

+

+    return $vertrag."<br><br><pagebreak>\n".file_get_contents($DIR.'/anlage1.html')."<br><br><pagebreak>\n".file_get_contents($DIR.'/anlage2.html')."</body></html>";

+}

+

+

+function save_op_contract($pdfdata) {

+    $args = array("cid" => $_SESSION['customerinfo']['customerno'],

+            "pdfdata" => $pdfdata);

+    db_query("INSERT INTO kundendaten.contract (customer, signed, type, startdate, pdfdata) VALUES (:cid, NOW(), 'orderprocessing', CURDATE(), :pdfdata)",

+        $args);

+}

+

+

+function get_contract_pdf($id) {

+    $args = array("id" => $id,

+        "cid" => $_SESSION['customerinfo']['customerno']);

+    $result = db_query("SELECT pdfdata FROM kundendaten.contract WHERE id=:id AND customer=:cid", $args);

+    $line = $result->fetch();

+    return $line['pdfdata'];

+}

+

+

+?>

@@ -0,0 +1,43 @@

+<?php

+/*

+This file belongs to the Webinterface of schokokeks.org Hosting

+

+Written 2008-2018 by schokokeks.org Hosting, namely

+  Bernd Wurst <bernd@schokokeks.org>

+  Hanno Böck <hanno@schokokeks.org>

+

+To the extent possible under law, the author(s) have dedicated all copyright and related and neighboring rights to this software to the public domain worldwide. This software is distributed without any warranty.

+

+You should have received a copy of the CC0 Public Domain Dedication along with this software. If not, see 

+http://creativecommons.org/publicdomain/zero/1.0/

+

+Nevertheless, in case you use a significant part of this code, we ask (but not require, see the license) that you keep the authors' names in place and return your changes to the public. We would be especially happy if you tell us what you're going to do with this code.

+*/

+

+require_once('contract.php');

+require_once('inc/debug.php');

+require_once('inc/icons.php');

+

+require_role(array(ROLE_CUSTOMER));

+

+title("AV-Vertrag");

+

+

+output('<p>Sofern Sie über Ihre Website oder durch Ihr E-Mail-Postfach Daten von Dritten erheben, verarbeiten oder auf dem von uns bereitgestellten Speicherplatz solche Daten ablegen, müssen Sie möglicherweise einen Vertrag zur Auftragsverarbeitung mit uns abschließen. Ob Sie dazu gemäß der DS-GVO verpflichtet sind, kann im Zweifel eine individuelle Rechtsberatung in Ihrem Unternehmen beantworten.</p>

+<p>Der von uns angebotene Vertrag zur Auftragverarbeitung gibt Ihnen hierzu Rechtssicherheit. Da wir schon immer das Prinzip der Datensparsamkeit anwenden und unsere Abläufe darauf und auf höchstmöglicher Sicherheit aufbauen, verändert dieser Vertrag unsere Abläufe nicht wesentlich. Ihre Pflichten aus dem Vertrag begrenzen sich maßgeblich auf die Klärung der Zuständigkeit bzgl. der Rechte der betroffenen Personen.</p>

+

+');

+

+$contract = get_orderprocessing_contract();

+if ($contract) {

+    $sign = date('d.m.Y', strtotime( $contract['signed'] ));

+    output('<p>Sie haben am <strong>'.$sign.'</strong> einen Vertrag zur Auftragsverarbeitung mit uns abgeschlossen.</p>

+    <p>'.internal_link('download', 'Vertrag als PDF herunterladen', "id={$contract['id']}").'</p>');

+    output('<p>Wenn Sie Änderungen oder eine Auflösung dieses Vertrags wünschen, wenden Sie sich bitte an den Support</p>');

+} else {

+    addnew('new_op', 'Einen Vertrag zur Auftragsverarbeitung abschließen');

+}

+

+

+

+?>

@@ -0,0 +1,25 @@

+<?php

+/*

+This file belongs to the Webinterface of schokokeks.org Hosting

+

+Written 2008-2018 by schokokeks.org Hosting, namely

+  Bernd Wurst <bernd@schokokeks.org>

+  Hanno Böck <hanno@schokokeks.org>

+

+To the extent possible under law, the author(s) have dedicated all copyright and related and neighboring rights to this software to the public domain worldwide. This software is distributed without any warranty.

+

+You should have received a copy of the CC0 Public Domain Dedication along with this software. If not, see 

+http://creativecommons.org/publicdomain/zero/1.0/

+

+Nevertheless, in case you use a significant part of this code, we ask (but not require, see the license) that you keep the authors' names in place and return your changes to the public. We would be especially happy if you tell us what you're going to do with this code.

+*/

+

+$role = $_SESSION['role'];

+

+

+if (($role & ROLE_CUSTOMER))

+{

+  $menu["contract_list"] = array("label" => "AV-Vertrag", "file" => "list", "weight" => 10, "submenu" => "index_index");

+}

+

+?>

@@ -0,0 +1,4 @@

+name = contract

+description = Verträge verwalten

+permission = Vertrag verwalten

+

@@ -0,0 +1,36 @@

+<?php

+/*

+This file belongs to the Webinterface of schokokeks.org Hosting

+

+Written 2008-2018 by schokokeks.org Hosting, namely

+  Bernd Wurst <bernd@schokokeks.org>

+  Hanno Böck <hanno@schokokeks.org>

+

+To the extent possible under law, the author(s) have dedicated all copyright and related and neighboring rights to this software to the public domain worldwide. This software is distributed without any warranty.

+

+You should have received a copy of the CC0 Public Domain Dedication along with this software. If not, see 

+http://creativecommons.org/publicdomain/zero/1.0/

+

+Nevertheless, in case you use a significant part of this code, we ask (but not require, see the license) that you keep the authors' names in place and return your changes to the public. We would be especially happy if you tell us what you're going to do with this code.

+*/

+

+require_once('contract.php');

+require_once('inc/debug.php');

+require_once('inc/icons.php');

+

+require_role(array(ROLE_CUSTOMER));

+

+title("Neuen AV-Vertrag abschließen");

+

+

+output('<p>Bitte kontrollieren Sie den Vertragstext und bestätigen Sie anschließend den Abschluss des Vertrags.</p>

+<iframe class="contract_preview" src="html?id=preview&type=orderprocessing"></iframe>');

+

+$html = '<p><input type="checkbox" name="agree" value="yes" id="agree"> <label for="agree">Ja, ich stimme diesem Vertrag zu und möchte diesen hiermit unterzeichnen</label></p>

+<p><input type="submit" value="Unterzeichnen"></p>';

+

+output(html_form('contract_new_op', 'sign', 'type=op', $html));

+

+

+

+?>

@@ -0,0 +1,35 @@

+<?php

+/*

+This file belongs to the Webinterface of schokokeks.org Hosting

+

+Written 2008-2018 by schokokeks.org Hosting, namely

+  Bernd Wurst <bernd@schokokeks.org>

+  Hanno Böck <hanno@schokokeks.org>

+

+To the extent possible under law, the author(s) have dedicated all copyright and related and neighboring rights to this software to the public domain worldwide. This software is distributed without any warranty.

+

+You should have received a copy of the CC0 Public Domain Dedication along with this software. If not, see 

+http://creativecommons.org/publicdomain/zero/1.0/

+

+Nevertheless, in case you use a significant part of this code, we ask (but not require, see the license) that you keep the authors' names in place and return your changes to the public. We would be especially happy if you tell us what you're going to do with this code.

+*/

+

+require_once('contract.php');

+

+require_role(array(ROLE_CUSTOMER));

+

+if (isset($_REQUEST['agree']) && $_REQUEST['agree'] == 'yes') {

+    require_once('vendor/autoload.php');

+

+    $mpdf = new \Mpdf\Mpdf();

+    $mpdf->WriteHTML(contract_html());

+    $pdfdata = $mpdf->Output('', \Mpdf\Output\Destination::STRING_RETURN);

+

+    save_op_contract($pdfdata);

+

+    redirect('list');

+} else {

+    system_failure("Sie müssen dem Vertrag zustimmen!");

+}

+

+?>

@@ -0,0 +1,27 @@

+/*

+ * -------------------------------------------------------------------------------

+ * This file belongs to the Webinterface of schokokeks.org Hosting

+ * 

+ * Written 2008-2018 by schokokeks.org Hosting, namely

+ *    Bernd Wurst <bernd@schokokeks.org>

+ *    Hanno Böck <hanno@schokokeks.org>

+ *

+ * To the extent possible under law, the author(s) have dedicated all copyright 

+ * and related and neighboring rights to this software to the public domain 

+ * worldwide. This software is distributed without any warranty.

+ *

+ * You should have received a copy of the CC0 Public Domain Dedication along 

+ * with this software. If not, see 

+ * http://creativecommons.org/publicdomain/zero/1.0/

+ *

+ * Nevertheless, in case you use a significant part of this code, we ask (but 

+ * not require, see the license) that you keep the authors' names in place and 

+ * return your changes to the public. We would be especially happy if you tell 

+ * us what you're going to do with this code.

+ * -------------------------------------------------------------------------------

+ */

+

+iframe.contract_preview {

+    width: 90%;

+    height: 50em;

+}

@@ -0,0 +1,100 @@

+<!DOCTYPE html>

+<html>

+<head>

+  <meta charset="utf-8">

+  <meta name="generator" content="pandoc">

+  <meta name="viewport" content="width=device-width, initial-scale=1.0, user-scalable=yes">

+  <title></title>

+  <style type="text/css">code{white-space: pre;}</style>

+  <!--[if lt IE 9]>

+    <script src="//cdnjs.cloudflare.com/ajax/libs/html5shiv/3.7.3/html5shiv-printshiv.min.js"></script>

+  <![endif]-->

+</head>

+<body>

+<h2 id="auftraggeber-verantwortlicher">Auftraggeber (Verantwortlicher):</h2>

+<p>((ADRESSE))</p>

+<h2 id="auftragnehmer-auftragsverarbeiter">Auftragnehmer (Auftragsverarbeiter):</h2>

+<p>schokokeks.org Hosting<br />

+B. Wurst und J. Böck GbR<br />

+Köchersberg 32<br />

+71540 Murrhardt</p>

+<p>E-Mail-Adresse: root@schokokeks.org</p>

+<p>Vertreten durch Bernd Wurst und Johannes Böck</p>

+<h1 id="gegenstand-und-dauer-der-vereinbarung">1. Gegenstand und Dauer der Vereinbarung</h1>

+<p>Der Auftrag umfasst die Bereitstellung von Webhosting-Dienstleistungen sowie der damit in Zusammenhang stehenden Leistungen wie beispielsweise Domainregistrierungen, E-Mail-Verarbeitung, etc.</p>

+<p>Der Auftragnehmer stellt dafür Infrastruktur zur Verfügung, die der Auftragnehmer zur Speicherung von Daten nutzen kann (z.B. Zugriff über SSH, FTP, Webserver).</p>

+<p>Der Vertragsgegenstand ist nicht die Verarbeitung oder Nutzung von personenbezogenen Daten durch den Auftragnehmer. Lediglich kann ein Zugriff auf die Daten oder eine automatisierte Verarbeitung der Daten durch den Auftragnehmer nicht ausgeschlossen werden (z.B. im Rahmen von Backups oder Supportleistungen).</p>

+<p>Der Auftragnehmer wird personenbezogene Daten von Dritten nur in sofern erheben, wie dies im Rahmen des E-Mail- und Webhosting üblich bzw. vom Auftraggeber explizit angefordert wurde (z.B. Logfiles).</p>

+<p>Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).</p>

+<h2 id="dauer-des-auftrags">Dauer des Auftrags</h2>

+<p>Die Laufzeit dieses Vertrags ist gebunden an die Erbringung der Hosting- Dienstleistungen durch den Auftragnehmer an den Auftraggeber. Der Vetrag endet automatisch, wenn der Auftragnehmer keine Hosting-Dienstleistungen mehr an den Auftraggeber erbringt.</p>

+<p>Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.</p>

+<p>Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.</p>

+<h1 id="art-und-zweck-der-verarbeitung-art-der-personenbezogenen-daten-sowie-kategorien-betroffener-personen">2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen</h1>

+<p>Art und Umfang der Datenverarbeitung ergeben sich aus der zugrunde liegenden Hosting-Vereinbarung.</p>

+<p>Der Auftragnehmer wird die ihm zur Verfügung gestellten personenbezogenen Daten ausschließlich zur Erfüllung seiner vertraglich geschuldeten Leistung verarbeiten. Dem Auftragnehmer ist es gestattet, betrieblich erforderliche Duplikate der Daten anzufertigen. Die Integrität und Vertraulichkeit der Daten muss dabei gewährleistet bleiben.</p>

+<p>Der Auftragnehmer wird vom Auftraggeber zum jeweiligen Zweck übermittelte Daten speichern und verarbeiten um die vertragsgemäße Leistung zu erbringen. Dies beinhaltet z.B. die Weitergabe von Domain-Inhaber-Daten an die zuständige Registrierungsstelle.</p>

+<h2 id="art-der-personenbezogenen-daten">Art der personenbezogenen Daten</h2>

+<p>(entsprechend der Definition von Art. 4 Nr. 1 DS-GVO)</p>

+<ul>

+<li>Personenstammdaten</li>

+<li>Kommunikationsdaten</li>

+<li>Vertragsstammdaten</li>

+<li>Abrechnungs- und Zahlungsdaten</li>

+</ul>

+<h2 id="kategorien-betroffener-personen">Kategorien betroffener Personen</h2>

+<p>(entsprechend der Definition von Art. 4 Nr. 1 DS-GVO)</p>

+<ul>

+<li>Kunden / Abonnenten (des Auftraggebers)</li>

+<li>Interessenten</li>

+<li>Beschäftigte</li>

+<li>Lieferanten / Handelsvertreter / Kontaktpersonen</li>

+</ul>

+<h1 id="rechte-und-pflichten-sowie-weisungsbefugnisse-des-auftraggebers">3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers</h1>

+<p>Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.</p>

+<p>Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.</p>

+<p>Der Auftraggeber ist berechtigt, sich wie unter Nr. 4 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.</p>

+<p>Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.</p>

+<p>Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.</p>

+<h1 id="pflichten-des-auftragnehmers">4. Pflichten des Auftragnehmers</h1>

+<p>Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).</p>

+<p>Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.</p>

+<p>Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu.</p>

+<p>Zur Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz- Folgeabschätzungen des Auftraggebers ist die Mitwirkung der Auftragnehmers regelmäßig nicht erforderlich, da der Auftraggeber selbst Zugriffsmöglichkeiten auf die von ihm in Anspruch genommenen Speicherorte hat.</p>

+<p>Sofern eine Mitwirkung des Auftragnehmers erforderlich ist, steht dem Auftraggeber dabei ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung gemäß Art. 29 i.V.m. 28 DS-GVO zu. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.</p>

+<p>Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.</p>

+<p>Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.</p>

+<p>Die Verarbeitung und Speicherung der Daten erfolgt ausschließlich in einem physikalisch geschützten Rechenzentrum. Daher ist eine Kontrolle der vertraglichen Vereinbarungen nach Art. 28 Abs. 3 Satz 2 lit. h DS-GVO auf eine Überprüfung der elektronisch zugänglichen Informationen beschränkt. Eine Inspektion vor Ort in den Rämlichkeiten des Auftragnehmers ist ausgeschlossen, eine Datenspeicherung und -verarbeitung findet dort nicht statt.</p>

+<p>Ersatzweise wird verwiesen auf entsprechende Zertifizierungen und Kontrollvorkehrungen beim jeweils betroffenen Unterauftragnehmer. Der Auftragnehmer hat zu diesem Zweck einen einschlägigen Vertrag zur Auftragsverarbeitung mit dem Unterauftragnehmer abgeschlossen.</p>

+<p>Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind.</p>

+<p>Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.</p>

+<p>Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.</p>

+<h1 id="mitteilungspflichten-des-auftragnehmers-bei-störungen-der-verarbeitung-und-bei-verletzungen-des-schutzes-personenbezogener-daten">5. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten</h1>

+<p>Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.</p>

+<h1 id="unterauftragsverhältnisse-mit-subunternehmern-art.-28-abs.-3-satz-2-lit.-d-ds-gvo">6. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)</h1>

+<p>Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer gestattet. Dieser Vertrag stellt zugleich die entsprechende Genehmigung nach Art. 28 Abs. 2 Satz 1 DS-GVO dar.</p>

+<p>Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).</p>

+<p>Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.</p>

+<p>Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).</p>

+<p>Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.</p>

+<p>Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.</p>

+<p>Zurzeit sind für den Auftragnehmer die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.</p>

+<p>Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).</p>

+<h1 id="technische-und-organisatorische-maßnahmen-nach-art.-32-ds-gvo-art.-28-abs.-3-satz-2-lit.-c-ds-gvo">7. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)</h1>

+<p>Der Auftragnehmer gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den Anforderungen des Datenschutzes gerecht wird. Er trifft dabei technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten um den Anforderungen der DS-GVO zu entsprechen.</p>

+<p>In Anlage 1 sind die aktuell getroffenen Maßnahmen aufgeführt.</p>

+<p>Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative geeignete Maßnahmen umzusetzen. Er muss den Auftraggeber hierüber auf Anfrage informieren und sicherstellen, dass das Sicherheitsniveau der festgelegten Maßnahme nicht unterschritten wird. Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme.</p>

+<p>Wesentliche Änderungen sind zu dokumentieren.</p>

+<h1 id="verpflichtungen-des-auftragnehmers-nach-beendigung-des-auftrags-art.-28-abs.-3-satz-2-lit.-g-ds-gvo">8. Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO</h1>

+<p>Die vom Auftraggeber auf dem vom Auftragnehmer bereitgestellten Speicherplatz gespeicherten Daten werden nach Beendigung des Auftragsverhältnisses in vollem Umfang gelöscht. Sofern nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht, hat der Auftraggeber diese Speicherung selbst vorzunehmen.</p>

+<p>Zu einem Datenträgeraustausch gemäß Art. 28 Abs. 3 Satz 2 lit. g DS-GVO zwischen den Beteiligten dieser Auftragsverarbeitung kommt es nicht. Insoweit ist eine Rückgabe nicht zu regeln.</p>

+<h1 id="sonstiges">9. Sonstiges</h1>

+<p>Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.</p>

+<p>Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.</p>

+<p>Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.</p>

+<p>Datum: ((DATUM))</p>

+<p>Der Vertrag wurde elektronisch geschlossen und ist daher nicht unterschrieben.</p>

+<p>Anlage 1: Maßnahmen<br />

+Anlage 2: Subunternehmer</p>

+</body>

+</html>