Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") gilt zwischen dem Kunden der Pflegetech GmbH als Verantwortlichem im Sinne des Art. 4 Nr. 7 DSGVO (nachfolgend „Verantwortlicher") und der
Pflegetech GmbH
Georg-Kandenwein-Straße 65
73235 Weilheim an der Teck
vertreten durch den Geschäftsführer Ali Almohamad
Handelsregister: Amtsgericht Stuttgart, HRB 794491
(nachfolgend „Auftragsverarbeiter") – gemeinsam „Parteien".
Dieser AVV ist Bestandteil der Allgemeinen Geschäftsbedingungen der Pflegetech GmbH und gilt als vereinbart mit Abschluss des Hauptvertrags (Angebot/Leistungsvereinbarung), ohne dass es einer gesonderten Unterzeichnung bedarf (Art. 28 Abs. 9 DSGVO – elektronisches Format). Auf Wunsch stellt die Pflegetech GmbH eine unterschriftsfähige Fassung dieses AVV zur Verfügung.
Präambel
Der Auftragsverarbeiter erbringt für den Verantwortlichen IT-Dienstleistungen auf Grundlage des zwischen den Parteien geschlossenen Hauptvertrags (Angebot/Leistungsvereinbarung nebst AGB, nachfolgend „Hauptvertrag"). Dabei verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen. Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, „DSGVO").
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Erbringung der im Hauptvertrag vereinbarten Leistungen. Dieser Vertrag deckt sämtliche zwischen den Parteien vereinbarten Leistungsmodule ab; welche Leistungsmodule gebucht sind, ergibt sich aus dem Hauptvertrag (Anlage 1, Ziffer 1). Bucht der Verantwortliche während der Vertragslaufzeit weitere Leistungsmodule hinzu, gilt dieser Vertrag ohne weitere Vereinbarung auch für diese. Die Einzelheiten der Verarbeitung (Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen) ergeben sich aus Anlage 1. Die Leistungen und dieser Vertrag gelten zugleich für sämtliche Einrichtungen, Standorte bzw. Mandanten des Verantwortlichen, die unter derselben Rechtsträgerschaft tätig sind; gesonderter Einzelverträge für diese Einrichtungen bedarf es nicht.
(2) Die Dauer dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Dieser Vertrag endet automatisch mit der Beendigung des Hauptvertrags; die Pflichten zur Löschung bzw. Rückgabe der Daten (§ 10) bestehen darüber hinaus fort.
(3) Die Verarbeitung findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Jede Verlagerung der Verarbeitung in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Die in Anlage 3 beschriebenen Verarbeitungen und etwaigen Drittlandbezüge (einschließlich der dort genannten Garantien, z. B. EU-Standardvertragsklauseln) gelten als genehmigt.
§ 2 Art und Zweck der Verarbeitung, Datenkategorien, Betroffene
Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten – einschließlich besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (insbesondere Gesundheitsdaten von Pflegebedürftigen) – sowie die Kategorien betroffener Personen sind in Anlage 1 zu diesem Vertrag festgelegt.
§ 3 Verantwortlichkeit und Weisungsrecht
(1) Der Verantwortliche ist im Rahmen dieses Vertrags für die Einhaltung der gesetzlichen Bestimmungen des Datenschutzrechts allein verantwortlich, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter sowie für die Rechtmäßigkeit der Datenverarbeitung („Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO).
(2) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Hauptvertrag und dieser Vertrag gelten als dokumentierte Erstweisung.
(3) Weisungen sind grundsätzlich in Textform (z. B. E-Mail) zu erteilen. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Weisungsberechtigte Personen des Verantwortlichen sowie Weisungsempfänger des Auftragsverarbeiters können in Textform benannt werden.
(4) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. Der Auftragsverarbeiter ist berechtigt, die Ausführung der betreffenden Weisung auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.
§ 4 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitspflicht besteht auch nach Beendigung der jeweiligen Tätigkeit fort.
(2) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM). Die zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen sind in Anlage 2 beschrieben. Der Auftragsverarbeiter darf diese Maßnahmen an die technische und organisatorische Weiterentwicklung anpassen, sofern das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen angesichts der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Verletzungen des Schutzes personenbezogener Daten, Benachrichtigung betroffener Personen, Datenschutz-Folgenabschätzung, vorherige Konsultation).
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, dessen Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte gemäß Kapitel III DSGVO (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) nachzukommen. Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet dieser das Ersuchen unverzüglich an den Verantwortlichen weiter.
(5) Der Auftragsverarbeiter hat einen internen Datenschutzbeauftragten benannt. Dieser ist erreichbar unter: Pflegetech GmbH – Datenschutzbeauftragter, Georg-Kandenwein-Straße 65, 73235 Weilheim an der Teck, E-Mail: [email protected].
(6) Der Auftragsverarbeiter führt ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO.
(7) Die Verarbeitung erfolgt ausschließlich im Rahmen des Hauptvertrags und dieses Vertrags. Der Auftragsverarbeiter verwendet die Daten für keine anderen Zwecke, insbesondere nicht für eigene Zwecke, und fertigt keine über die Auftragserfüllung und gesetzliche Aufbewahrungspflichten hinausgehenden Kopien an.
§ 5 Meldung von Verletzungen des Schutzes personenbezogener Daten
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die im Rahmen der Auftragsverarbeitung eingetreten ist, unverzüglich nach Bekanntwerden.
(2) Die Meldung enthält, soweit möglich, die Informationen gemäß Art. 33 Abs. 3 DSGVO (Art der Verletzung, Kategorien und ungefähre Zahl der Betroffenen und Datensätze, wahrscheinliche Folgen, ergriffene bzw. vorgeschlagene Maßnahmen).
(3) Der Auftragsverarbeiter dokumentiert Verletzungen einschließlich aller damit zusammenhängenden Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen und unterstützt den Verantwortlichen bei dessen Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO.
§ 6 Unterauftragsverhältnisse (Subauftragsverarbeiter)
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Einschaltung weiterer Auftragsverarbeiter (Subauftragsverarbeiter). Die zum Zeitpunkt des Vertragsschlusses eingesetzten Subauftragsverarbeiter sind in Anlage 3 aufgeführt und vom Verantwortlichen genehmigt.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung eines Subauftragsverarbeiters rechtzeitig vor deren Wirksamwerden in Textform. Der Verantwortliche kann der Änderung innerhalb von 14 Tagen nach Zugang der Information aus wichtigem datenschutzrechtlichem Grund widersprechen. Erfolgt kein Widerspruch, gilt die Änderung als genehmigt. Im Falle eines berechtigten Widerspruchs ist der Auftragsverarbeiter berechtigt, die betroffene Leistung mit einer angemessenen Frist zu kündigen, wenn die Leistungserbringung ohne den Subauftragsverarbeiter nicht zumutbar möglich ist.
(3) Der Auftragsverarbeiter erlegt jedem Subauftragsverarbeiter im Wege eines Vertrags dieselben Datenschutzpflichten auf, die in diesem Vertrag festgelegt sind, insbesondere die Gewährleistung hinreichender Garantien für geeignete technische und organisatorische Maßnahmen (Art. 28 Abs. 4 DSGVO). Kommt der Subauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Subauftragsverarbeiters.
(4) Nicht als Unterauftragsverhältnisse gelten Nebenleistungen Dritter ohne unmittelbaren Bezug zur Auftragsverarbeitung (z. B. Telekommunikationsleistungen, Post-/Transportdienste, Reinigung, Bewachung), sofern dabei kein Zugriff auf personenbezogene Daten des Verantwortlichen erfolgt.
§ 7 Kontrollrechte des Verantwortlichen
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
(2) Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrags – einschließlich der technischen und organisatorischen Maßnahmen – vor Beginn der Verarbeitung und sodann regelmäßig zu überprüfen oder durch einen zur Verschwiegenheit verpflichteten, nicht im Wettbewerb zum Auftragsverarbeiter stehenden Prüfer überprüfen zu lassen.
(3) Der Nachweis kann auch durch geeignete aktuelle Testate, Zertifizierungen (z. B. ISO 27001 der eingesetzten Rechenzentren), genehmigte Verhaltensregeln oder aussagekräftige Selbstauskünfte erbracht werden. Nur soweit hierdurch keine ausreichende Klärung möglich ist, erfolgt eine Vor-Ort-Kontrolle.
(4) Vor-Ort-Kontrollen erfolgen nach rechtzeitiger Anmeldung (mindestens 14 Kalendertage im Voraus, außer bei konkretem Anlass) zu üblichen Geschäftszeiten, ohne den Betriebsablauf unverhältnismäßig zu stören. Der Auftragsverarbeiter kann für die Unterstützung von Kontrollen eine angemessene Vergütung verlangen, sofern die Kontrolle keinen konkreten Anlass (z. B. eine Datenpanne) hat.
§ 8 Pflichten des Verantwortlichen
(1) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse oder der Verarbeitung feststellt.
(2) Der Verantwortliche ist für die Wahrung der Betroffenenrechte und die Erfüllung der Informationspflichten (Art. 13, 14 DSGVO) gegenüber den betroffenen Personen verantwortlich.
(3) Der Verantwortliche stellt sicher, dass für die Verarbeitung der an den Auftragsverarbeiter übermittelten Daten – insbesondere für Gesundheits- und Sozialdaten – eine ausreichende Rechtsgrundlage besteht (u. a. Art. 6, 9 DSGVO, §§ 67 ff. SGB X, soweit anwendbar).
§ 9 Vertraulichkeit, besondere Geheimnisschutztatbestände
(1) Der Auftragsverarbeiter verpflichtet sich, die im Rahmen des Auftrags erlangten Kenntnisse vertraulich zu behandeln. Dies gilt zeitlich unbegrenzt auch nach Beendigung dieses Vertrags.
(2) Dem Auftragsverarbeiter ist bekannt, dass die verarbeiteten Daten Sozialdaten (§ 35 SGB I, §§ 67 ff. SGB X) sowie einem Berufs- oder besonderen Amtsgeheimnis unterliegende Daten (§ 203 StGB) enthalten können. Der Auftragsverarbeiter verpflichtet seine eingesetzten Mitarbeiter entsprechend und weist sie auf die besonderen Geheimhaltungspflichten und die Strafbarkeit von Verstößen hin.
§ 10 Löschung und Rückgabe von Daten
(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten zurück oder löscht sie datenschutzgerecht, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht. Die Rückgabe erfolgt in einem gängigen, maschinenlesbaren Format. Erteilt der Verantwortliche innerhalb von 30 Kalendertagen nach Vertragsende keine anderslautende Weisung, werden die Daten einschließlich vorhandener Sicherungskopien nach Ablauf dieser Frist datenschutzgerecht gelöscht.
(2) Die Löschung ist dem Verantwortlichen auf Verlangen in Textform zu bestätigen.
(3) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, dürfen vom Auftragsverarbeiter entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden.
§ 11 Haftung
Für die Haftung der Parteien gelten Art. 82 DSGVO sowie die Haftungsregelungen des Hauptvertrags. Die Parteien stellen sich wechselseitig von der Haftung frei, soweit eine Partei den Schaden allein zu vertreten hat.
§ 12 Beitritt weiterer Verantwortlicher
Diesem Vertrag können mit Zustimmung beider Parteien jederzeit weitere Rechtsträger über eine Beitrittserklärung in Textform als Verantwortliche beitreten. Ab dem Zeitpunkt des Beitritts gelten die beitretenden Parteien als zusätzliche Vertragsparteien mit den Rechten und Pflichten eines Verantwortlichen nach diesem Vertrag.
§ 13 Schlussbestimmungen
(1) Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen hinsichtlich des Datenschutzes die Regelungen dieses Vertrags vor.
(2) Änderungen und Ergänzungen dieses Vertrags bedürfen mindestens der Textform. Der Auftragsverarbeiter kann diesen AVV mit Wirkung für die Zukunft anpassen, soweit dies aufgrund geänderter rechtlicher oder technischer Rahmenbedingungen erforderlich ist; Änderungen werden dem Verantwortlichen mit angemessener Frist vor Wirksamwerden in Textform mitgeteilt. § 6 Abs. 2 (Widerspruchsrecht bei Subauftragsverarbeitern) bleibt unberührt.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz des Auftragsverarbeiters.
(4) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anlage 1: Gegenstand der Verarbeitung
1. Gebuchte Leistungsmodule
Dieser AVV gilt für die vom Verantwortlichen im Hauptvertrag gebuchten Leistungsmodule. In Betracht kommen:
- Cloud-Hosting – für Pflegesoftware (z. B. MediFox DAN, euregon .snap, Connext Vivendi, Myneva, Fibunet) sowie sonstige Fach- und Unternehmenssoftware des Verantwortlichen (z. B. Agenda, Buchhaltungs- und Abrechnungssoftware) – Bereitstellung, Betrieb, Wartung und Administration der Server-Infrastruktur, auf der der Verantwortliche seine Software betreibt; Speicherung der Datenbanken und Dokumente; regelmäßige Datensicherung (Backups) mit einer Vorhaltezeit von sieben (7) Tagen. Der Auftragsverarbeiter hat kein Interesse an einem inhaltlichen Zugriff auf die gespeicherten Daten; ein Zugriff erfolgt ausschließlich, soweit dies für Administration, Wartung und Störungsbeseitigung zwingend erforderlich ist. Im Übrigen besteht lediglich eine theoretische Zugriffsmöglichkeit.
- Geräteverwaltung (MDM) – Einrichtung, Verwaltung, Absicherung und Aktualisierung der Endgeräte des Verantwortlichen (z. B. Laptops, Smartphones, Tablets) über eine zentrale Verwaltungsplattform. Verarbeitet werden dabei in erster Linie Geräte-, Inventar- und Nutzerkontodaten der Beschäftigten des Verantwortlichen; auf Inhaltsdaten (z. B. Pflegedokumentation auf den Geräten) greift der Auftragsverarbeiter nicht zu, eine theoretische Zugriffsmöglichkeit im Rahmen von Support-Einsätzen kann jedoch nicht ausgeschlossen werden.
- SaaS-Software Logensa – Bereitstellung und Betrieb der SaaS-Lösung Logensa einschließlich Speicherung der vom Verantwortlichen darin verarbeiteten Daten; das Hosting erfolgt auf der eigenen, in Anlage 3 genannten Infrastruktur des Auftragsverarbeiters. Der Auftragsverarbeiter greift auf die Inhaltsdaten nur zu, soweit dies für Betrieb, Wartung und Support zwingend erforderlich ist.
- Cloud-Telefonie (VoIP) – Einrichtung, Konfiguration und Betreuung der cloudbasierten Telefonanlage des Verantwortlichen. Besteht der Telefonie-Vertrag direkt zwischen dem Verantwortlichen und dem Telefonie-Anbieter (z. B. Starface GmbH), ist dieser Anbieter eigener Auftragsverarbeiter des Verantwortlichen; der Auftragsverarbeiter verarbeitet Daten in diesem Fall nur im Rahmen der Einrichtung und Betreuung (Verbindungs- und Konfigurationsdaten wie Rufnummern und Nebenstellen). Gesprächsinhalte werden vom Auftragsverarbeiter weder aufgezeichnet noch ausgewertet.
- E-Mail-Archivierung – revisionssichere, GoBD-konforme Archivierung der geschäftlichen E-Mail-Kommunikation des Verantwortlichen. Der Auftragsverarbeiter hat kein Interesse an einer inhaltlichen Kenntnisnahme der archivierten Kommunikation; ein Zugriff erfolgt nur zur Sicherstellung des ordnungsgemäßen Betriebs der Archivierungslösung, im Übrigen besteht lediglich eine theoretische Zugriffsmöglichkeit.
- IT-Gesamtbetreuung / IT-Support inkl. Fernwartung – Störungsbeseitigung, Administration und Unterstützung der Nutzer. Der Auftragsverarbeiter hat kein Interesse an einem durch Support und Fernwartung möglichen Datenzugriff; im Rahmen der Fernwartung erfolgt weder eine Datenerhebung noch eine Speicherung durch den Auftragsverarbeiter. Fernwartungszugriffe auf Endgeräte erfolgen verschlüsselt und – soweit ein Nutzer angemeldet ist – erst nach gezielter Freigabe durch den Verantwortlichen; es ist jedoch nicht auszuschließen, dass dem Auftragsverarbeiter dabei personenbezogene Daten (einschließlich Gesundheitsdaten) zur Kenntnis gelangen. Diese werden in keiner Form weiterverarbeitet.
- Sonstige individuell vereinbarte IT-Dienstleistungen gemäß Hauptvertrag.
Maßgeblich sind allein die im Hauptvertrag tatsächlich gebuchten Leistungsmodule. Die Beschreibungen der Datenarten (Ziffer 2) und Betroffenen (Ziffer 3) gelten jeweils nur, soweit sie für die gebuchten Leistungsmodule einschlägig sind.
2. Art der personenbezogenen Daten
- Stammdaten und Kontaktdaten (Name, Anschrift, Geburtsdatum, Telefon, E-Mail) von Klienten/Pflegebedürftigen, Angehörigen und Beschäftigten des Verantwortlichen
- Gesundheitsdaten und Pflegedaten (besondere Kategorien gemäß Art. 9 DSGVO): Pflegedokumentation, Diagnosen, Medikation, Pflegegrade, Vitalwerte, Berichte
- Sozialdaten im Sinne des § 67 SGB X (z. B. Leistungs- und Abrechnungsdaten gegenüber Pflege- und Krankenkassen)
- Abrechnungs- und Vertragsdaten (Bankverbindungen, Rechnungsdaten, Kostenträger)
- Beschäftigtendaten des Verantwortlichen (Stammdaten, Dienst- und Tourenpläne, Arbeitszeiten, ggf. Lohn-/Gehaltsdaten)
- Kommunikationsdaten (E-Mail-Inhalte und -Metadaten, Telefonie-Verbindungsdaten)
- Protokoll- und Nutzungsdaten (Log-Dateien, Anmeldedaten der Nutzer)
3. Kategorien betroffener Personen
- Klienten/Pflegebedürftige des Verantwortlichen sowie deren Angehörige, Betreuer und Kontaktpersonen
- Beschäftigte und freie Mitarbeiter des Verantwortlichen
- Ansprechpartner von Geschäftspartnern, Kostenträgern, Ärzten und sonstigen Dritten, deren Daten in den Systemen des Verantwortlichen verarbeitet werden
4. Datenschutzbeauftragte
Datenschutzbeauftragter des Verantwortlichen (sofern benannt): Der Verantwortliche teilt dem Auftragsverarbeiter die Kontaktdaten seines Datenschutzbeauftragten in Textform mit.
Datenschutzbeauftragter des Auftragsverarbeiters: Pflegetech GmbH – Datenschutzbeauftragter, Georg-Kandenwein-Straße 65, 73235 Weilheim an der Teck, E-Mail: [email protected]
Anlage 2: Technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO
1. Vertraulichkeit
Zutrittskontrolle: Die Server befinden sich in nach ISO 27001 zertifizierten Rechenzentren in Deutschland bzw. der EU mit Sicherheitszonen, Zutrittskontrollsystemen, Videoüberwachung und 24/7-Bewachung (siehe Anlage 3). Die Geschäftsräume des Auftragsverarbeiters sind verschlossen und nur für befugte Personen zugänglich.
Zugangskontrolle: Personalisierte Benutzerkonten; starke Passwortrichtlinien; Zwei-Faktor-Authentifizierung für administrative Zugänge; automatische Sperrung bei Inaktivität; verschlüsselte VPN-/RDP-Zugänge nach Stand der Technik.
Zugriffskontrolle: Rollen- und Berechtigungskonzept nach dem Need-to-know-Prinzip; Trennung von Administrations- und Nutzerkonten; Protokollierung administrativer Zugriffe; Zugriff auf Kundendaten nur soweit zur Leistungserbringung erforderlich.
Trennungskontrolle: Logische Mandantentrennung; getrennte Systeme bzw. getrennte virtuelle Server je Kunde; Trennung von Produktiv- und Testumgebungen.
2. Integrität
Weitergabekontrolle: Verschlüsselte Übertragung (TLS / VPN / verschlüsselte Remote-Protokolle); keine Weitergabe von Daten an Dritte außerhalb der dokumentierten Subauftragsverarbeiter; sichere Löschung bzw. Vernichtung von Datenträgern.
Eingabekontrolle: Protokollierung von administrativen Eingaben und Änderungen auf Systemebene; Nachvollziehbarkeit durch personalisierte Konten.
3. Verfügbarkeit und Belastbarkeit
Regelmäßige, automatisierte Backups mit einer Vorhaltezeit von sieben (7) Tagen; dokumentierte Wiederherstellungsverfahren und regelmäßige Wiederherstellungstests; unterbrechungsfreie Stromversorgung, Klimatisierung sowie Brandfrüherkennung und -bekämpfung in den Rechenzentren; aktuelle Firewalls, Virenschutz und zeitnahes Einspielen von Sicherheitsupdates (Patch-Management); DDoS-Schutzmechanismen der Rechenzentrumsbetreiber; Monitoring der Systeme mit Alarmierung.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen; Verpflichtung aller Mitarbeiter auf Vertraulichkeit und Datenschutz; regelmäßige Schulung und Sensibilisierung der Mitarbeiter; Prozess zur Erkennung, Meldung und Behandlung von Sicherheitsvorfällen (Incident Management); Datenschutzfreundliche Voreinstellungen bei der Einrichtung von Systemen (Privacy by Design/Default); Auswahl und regelmäßige Kontrolle der Subauftragsverarbeiter.
Anlage 3: Genehmigte Subauftragsverarbeiter
Es kommen jeweils nur die Subauftragsverarbeiter zum Einsatz, die den vom Verantwortlichen gebuchten Leistungsmodulen (Anlage 1, Ziffer 1) zugeordnet sind.
| Unternehmen | Anschrift | Leistung / Modul | Ort der Verarbeitung |
|---|---|---|---|
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Deutschland | Rechenzentrums-/Serverinfrastruktur (IaaS) – Modul Cloud-Hosting | Deutschland (Nürnberg, Falkenstein) |
| netcup GmbH | Daimlerstraße 25, 76185 Karlsruhe, Deutschland | Rechenzentrums-/Serverinfrastruktur (IaaS) – Modul Cloud-Hosting | Deutschland |
| Zoho Corporation B.V. | Beneluxlaan 4B, 3527 HT Utrecht, Niederlande | Endpoint-Management-Plattform „Zoho Endpoint Central" – Modul Geräteverwaltung (MDM) | EU (Rechenzentren Amsterdam/Dublin); Support-Zugriffe der Zoho-Unternehmensgruppe aus Drittländern sind vertraglich über EU-Standardvertragsklauseln abgesichert |
| AnyDesk Software GmbH | Türlenstraße 2, 70191 Stuttgart, Deutschland | Fernwartungssoftware für Support-Zugriffe – Modul IT-Support/Fernwartung | Deutschland/EU |
| ELOVADE Deutschland GmbH | Garbenheimer Str. 36, 35578 Wetzlar, Deutschland | Cloud-Hosting und Betrieb der E-Mail-Archivierungslösung (MailStore) – Modul E-Mail-Archivierung | Deutschland |
Hinweis: Die Cloud-Telefonanlage (z. B. Starface) wird regelmäßig auf Grundlage eines direkten Vertrags zwischen dem Verantwortlichen und dem Telefonie-Anbieter betrieben; der Anbieter ist in diesem Fall eigener Auftragsverarbeiter des Verantwortlichen und kein Subauftragsverarbeiter der Pflegetech GmbH.
Hinweis: Das Kundenportal und Ticketsystem des Auftragsverarbeiters (Odoo) wird auf eigener, bei den oben genannten Rechenzentrumsbetreibern gehosteter Infrastruktur betrieben; ein zusätzlicher Subauftragsverarbeiter ist hierfür nicht erforderlich.
Die jeweils aktuelle Liste der Subauftragsverarbeiter kann beim Auftragsverarbeiter angefordert werden.
Weiterführende Dokumente
Dieser AVV ergänzt unsere Allgemeinen Geschäftsbedingungen und Datenschutzhinweise:
Fragen zur Auftragsverarbeitung? E-Mail: [email protected]