-
Notifications
You must be signed in to change notification settings - Fork 0
/
avv.tex
695 lines (648 loc) · 45.8 KB
/
avv.tex
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
\documentclass[10pt]{article}
\usepackage[margin=2cm]{geometry}
\usepackage[ngerman]{babel}
\usepackage[inkscapeformat=png]{svg}
\usepackage{fancyhdr}
\usepackage{longtable}
\usepackage{lastpage}
\usepackage{inter}
\renewcommand\familydefault{\sfdefault}
\usepackage[onehalfspacing]{setspace}
\usepackage[iso,german]{isodate}
\usepackage{xcolor}
\usepackage{hyperref}
\setcounter{tocdepth}{1}
\setlength\parindent{0pt}
\usepackage{titlesec}
\titleformat{\subsection}[runin]{\normalfont\bfseries}{\thesubsection}{0.5em}{}[]
\titleformat{\subsubsection}[runin]{\normalfont\bfseries}{\thesubsubsection}{0.5em}{}[]
\def\Year{\expandafter\YEAR\the\year}
\def\YEAR#1#2#3#4{#1#2#3#4}
\fancyhead{}
\pagestyle{fancy}
\renewcommand{\headrulewidth}{0pt}
\fancyfoot{}
\fancyfoot[L]{\textcolor{gray}{\thepage\space/\space\pageref{LastPage}}}
\fancyfoot[R]{\textcolor{gray}{\href{https://helpwave.de}{helpwave.de}}}
\begin{document}
\begin{center}
\includesvg[width=0.2\linewidth]{logo.svg}\\[4ex]
{\huge \sffamily Vertrag über die Auftragsverarbeitung personenbezogener Daten \\[1ex]
Auftragsverarbeitungsvereinbarung – „AVV“ \\
\vspace{1em}
\Large gemäß Art. 28 DSGVO}\\
\vspace{1em}
{\large
helpwave GmbH \\
Jülicher Straße 209d \\
52070 Aachen \\
HRB 27480}\\
\vspace{1em}
Stand: \today
\end{center}
\vspace{2ex}
\tableofcontents
\newpage
\section{Gegenstand der AVV}
\subsection{} Vertragsbestandteil ist die Nutzung der Software mediQuu Netzmanager
(login.mediquu.de), App zum Doc (login.app-zum-doc.de), mediQuu Chat
(chat.mediquu.de / mediquu.chat) oder mediQuu Connect als Software as a Service,
die Nutzung der zugehörigen Desktop- und Mobil-Anwendungen inkl. zugehöriger
technischer Dienste (im Folgenden „Software“ genannt), sowie Fernwartung auf
Wunsch und unter Aufsicht des Auftraggebers.
\subsection{} Diese Auftragsverarbeitungsvereinbarung („AVV“) wird zwischen der helpwave GmbH (nachstehend „Auftragsverarbeiter“
genannt) und dem Kunden (nachstehend „Auftraggeber“ genannt) geschlossen. Der Kunde ist hierbei die Person, welche einen Nutzungsvertrag mit der helpwave GmbH abgeschlossen hat. Gemeinsam werden der Auftragsverarbeiter und der
Auftraggeber nachstehend als die „Parteien“ bezeichnet.
\subsection{} Diese AVV ergänzt den zwischen den Parteien geschlossenen Nutzungsvertrag auf Basis der aktuell geltenden Nutzungsbedingungen des Auftragsverarbeiters
(nachstehend „Hauptvertrag“ genannt). Aus dem Hauptvertrag ergeben sich Gegenstand und Dauer, die Art und der Zweck der Verarbeitung sowie die genutzte(n) Anwendung(en), für die diese AVV gilt.
\section{Rechte und Pflichten des Auftraggebers}
\subsection{} Der Auftraggeber stellt die Daten dem Auftragsverarbeiter über die von diesem eingesetzte Software durch Eingabe über Formulare bzw. Uploads oder telefonisch oder per E-Mail zur Verfügung bzw. ermöglicht die Verarbeitung der Daten durch den Auftragsverarbeiter. Sämtliche Daten, die der Auftraggeber über die Felder in den Formularen einträgt, werden nach dem Auslösen eines mit dem Formular verbundenen Buttons über das Verschlüsselungsprotokoll Secure Sockets Layer (SSL) über eine verschlüsselte Verbindung in die Software des Auftragsverarbeiters übertragen.
\subsection{} Der Auftraggeber bleibt als „Verantwortlicher“ i. S. d. Art. 4 Nr. 7 DSGVO Herr der Daten. Er ist für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe anden Auftragsverarbeiter sowie für die Rechtmäßigkeit der Datenverarbeitung
verantwortlich. Er ist außerdem verantwortlich für die Beurteilung der Zulässigkeit
der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen.
\subsection{} Die Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragsverarbeiter mit personenbezogenen Daten gerichtete Anordnung des Auftraggebers. Die Weisungen des Auftraggebers sind schriftlich, per online Formular oder per E-Mail zu erteilen.
\subsection{} Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen
Vereinbarungen und nach Weisung des Auftraggebers. Der Auftraggeber hat das
Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu
erteilen. Die Weisungen werden anfänglich durch den Hauptvertrag und die AVV
festgelegt und können vom Auftraggeber danach in Schriftform oder in Textform (E-
Mail) an die vom Auftragsverarbeiter bezeichnete Stelle durch einzelne Weisungen
geändert, ergänzt oder ersetzt werden (Einzelweisung). Änderungen des
Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam
abzustimmen und zu dokumentieren. Weisungen, die im Vertrag nicht vorgesehen
sind, werden als Antrag auf Leistungsänderung behandelt.
\subsection{} Weisungen sind vom Auftraggeber an den Auftragsverarbeiter postalisch, z. Hd.
Felix Evers, c/o Collective Incubator, Jülicher Straße 209d, 52070 Aachen oder per E-Mail (in Textform) an contact@helpwave.de oder
eine neue, schriftlich mitgeteilte E-Mail-Adresse, zu richten. Mündlich erteilte
Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Zur
Weisung befugt ist der jeweilige Vertragsnehmer oder ein autorisierter Mitarbeiter
in dessen Auftrag. Bei einem Wechsel oder einer längerfristigen Verhinderung des
Ansprechpartners sind dem Auftragsverarbeiter unverzüglich in den Stammdaten der
Software ein Nachfolger bzw. der Vertreter einzutragen.
\subsection{} Der Auftragsverarbeiter ist berechtigt, die Durchführung von Weisungen, die seiner
Meinung nach gegen datenschutzrechtliche Vorschriften verstoßen, solange
auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber schriftlich oder
per E-Mail (in Textform) bestätigt oder geändert werden. Im Falle der Aussetzung
einer Weisung hat er den Auftraggeber über den Verstoß der Weisung gegen
datenschutzrechtliche Bestimmungen zu informieren. Eine Mitteilung erfolgt an
denjenigen Mitarbeiter des Auftraggebers, der die Weisung erteilt hat. Die
Mitteilung erfolgt in Textform an eine vom Auftraggeber mitgeteilte E-Mail-Adresse.
\subsection{} Der Auftraggeber kann die Einhaltung der Vorschriften zum Datenschutz und der
vertraglichen Vereinbarung durch den Auftragsverarbeiter kontrollieren,
insbesondere durch die Einholung von Auskünften, die Einsichtnahme in die
gespeicherten Daten und die Datenverarbeitungsprogramme beim
Auftragsverarbeiter. Er darf das Ergebnis der Kontrollen dokumentieren.
\subsection{} Der Auftraggeber kann die Kontrollen selbst durchführen oder durch einen
beauftragten Dritten durchführen lassen. Der Auftragsverarbeiter ist entsprechend
zur Auskunft und Mitwirkung verpflichtet. Kontrollen vor Ort beim Auftragsverarbeiter können nach gemeinsamer Absprache zwischen den Parteien
zu den üblichen Bürozeiten des Auftragsverarbeiters stattfinden. Hierbei achtet der
Auftraggeber darauf, dass er den üblichen Betrieb des Auftragsverarbeiters soweit
durch die Kontrollmaßnahmen nicht beeinträchtigt. Der Auftragsverarbeiter
unterstützt den Auftraggeber insbesondere bei Datenschutzkontrollen durch die
Aufsichtsbehörde, soweit es sich um die Datenverarbeitung im Rahmen dieser
Vereinbarung handelt, und setzt Anforderungen der Aufsichtsbehörde in
Abstimmung mit dem Auftraggeber unverzüglich um.
\subsection{} Bei Kontrollen des Auftraggebers vor Beginn der Datenverarbeitung und während
der Laufzeit der AVV stellt der Auftragsverarbeiter sicher, dass sich der
Auftraggeber von der Einhaltung der getroffenen technischen und
organisatorischen Maßnahmen überzeugen kann. Hierzu weist der
Auftragsverarbeiter dem Auftraggeber auf Anfrage die Umsetzung der technischen
und organisatorischen Maßnahmen gemäß Art. 32 DSGVO nach. Dabei kann der
Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag
betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder
Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision,
Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren,
Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder
Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden.
\subsection{} Die Aufwände (Kosten), die eine solche Kontrolle verursachen, werden, soweit sie
vier Zeitstunden übersteigen und nichts anderes vereinbart wurde,
vom Auftraggeber getragen und mit einem Stundensatz von 97,50 € netto an den
Auftragnehmer vergütet. Zu den Kosten zählen auch die Aufwände, die dem
Auftragsverarbeiter aufgrund der durchzuführenden Kontrollen
entstehen. Kontrollmaßnahmen sind vor ihrer Durchführung hinsichtlich der Art
und Weise sowie den zu erwartenden Aufwänden zwischen den Parteien
abzustimmen. Aufwände, die für eine optionale Nachweiserbringung in Form von
Testaten, von Berichten oder Berichtsauszügen unabhängiger Instanzen oder einer
geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit anfallen,
werden vom Auftragnehmer getragen, soweit dieser solche Nachweiserbringungen
aus eigenem Entschluss veranlasst. Soweit der Auftraggeber optionale
Nachweiserbringungen verlangt, werden die Art und der Umfang sowie
die Übernahme von dadurch entstehenden Kosten werden vorher zwischen den
Parteien abgestimmt.
\subsection{} Sowohl der Auftraggeber als auch der Auftragsverarbeiter haben die jeweils andere
Partei unverzüglich und vollständig zu informieren, wenn bei der Prüfung Fehler
oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen festgestellt
werden.
\section{Pflichten des Auftragsverarbeiters}
\subsection{} Der Auftragsverarbeiter verarbeitet üblicherweise die folgenden Daten im Auftrag
des Auftraggebers bzw. die Möglichkeit, dass der Auftragsverarbeiter Zugriff auf
folgende personenbezogene Daten hat, kann nicht ausgeschlossen werden:
\begin{itemize}
\item Datenarten: Namen, Adressen, Telefonnummern und sonstige Kontaktdaten,
Vertragsdaten, Zahlungsdaten, Inhaltsdaten und sonstige leistungsrelevante
Kundendaten des Auftraggebers, sowie alle weiteren auf Wunsch des
Auftraggebers gespeicherten Daten. Der Auftraggeber hat in der Anwendung
mediQuu Netzmanager zudem die Möglichkeit, weitere Felder anzulegen, die mit
einem vom Auftraggeber selbst-gewählten Passwort Ende-zu-Ende-verschlüsselt
werden und durch den Auftragsverarbeiter nicht verarbeitet werden können.
\item Betroffenenkreis: Betroffene sind Kunden (Patienten), Vertragspartner und
Mitarbeiter des Auftraggebers, sowie Mitglieder eines ärztlichen Netzwerkes des
Auftraggebers.
\end{itemize}
\subsection{} Der Auftragsverarbeiter bestätigt, dass ihm die einschlägigen datenschutzrechtlichen
Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer
Datenverarbeitung und gewährleistet, dass er seinen Pflichten nach Art. 32 DSGVO
nachkommt, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der
technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit
der Verarbeitung einzusetzen.
\subsection{} Der Auftragsverarbeiter verarbeitet die Daten ausschließlich wie vertraglich
vereinbart oder wie vom Auftraggeber angewiesen, es sei denn der
Auftragsverarbeiter ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet.
Sofern solche gesetzlichen Verpflichtungen für ihn bestehen, teilt der
Auftragsverarbeiter diese dem Auftraggeber vor der Verarbeitung mit, es sei denn,
die Mitteilung ist ihm gesetzlich verboten.
\subsection{} Der Auftragsverarbeiter ist nicht befugt, die ihm überlassenen Daten an Dritte
weiterzugeben, sofern dies nicht zur Erbringung der vereinbarten Leistungen
unbedingt erforderlich ist. Kopien und Duplikate der Daten bedürfen der vorherigen
Zustimmung des Auftraggebers. Hiervon ausgenommen sind Sicherungskopien,
soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung
erforderlich sind, sowie Daten, deren Speicherung im Hinblick auf die Einhaltung
gesetzlicher Aufbewahrungspflichten erforderlich sind.
\subsection{} Der Auftragsverarbeiter nennt dem Auftraggeber seinen Datenschutzbeauftragten
als Ansprechpartner für im Rahmen dieses Vertrages anfallende Datenschutzfragen.
Ein Wechsel dieser Kontaktperson wird dem Auftraggeber unverzüglich mitgeteilt.
\subsection{} Der Auftragsverarbeiter verpflichtet sich bei der Datenverarbeitung das
Datengeheimnis, das Sozialgeheimnis nach § 35 Abs. 1 SGB I sowie das
Fernmeldegeheimnis nach § 88 TKG zu wahren, die bei der Datenverarbeitung
beschäftigten Personen bei der Aufnahme ihrer Beschäftigung auf das
Datengeheimnis zu verpflichten und sie entsprechend zu unterrichten. Die
Verpflichtung gilt auch 5 Jahre nach Beendigung der AVV fort.\subsection{} Der Auftragsverarbeiter gewährleistet, dass es den mit der Verarbeitung der Daten
des Auftraggebers befassten Mitarbeitern und anderen für den Auftragsverarbeiter
tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten.
Außerdem gewährleistet der Auftragsverarbeiter, dass sich die zur Verarbeitung der
personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben
oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese
Vertraulichkeits- und Verschwiegenheitsverpflichtung besteht auch nach Beendigung
des Hauptvertrages und der AVV fort.
\subsection{} Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn ihm
Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt
werden oder in Fällen von Unregelmäßigkeiten bei der Auftragsverarbeitung,
schwerwiegenden Betriebsstörungen und bei Verdacht auf Datenschutzverletzungen.
\subsection{} Der Auftragsverarbeiter verpflichtet sich, den Auftraggeber nach Möglichkeit auf der
Basis der ihm zur Verfügung stehenden Informationen mit geeigneten technischen
und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur
Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO
genannten Rechte der betroffenen Person nachzukommen und die in Art. 32 bis 36
DSGVO genannten Pflichten einzuhalten. Der Auftragsverarbeiter informiert den
Auftraggeber außerdem unverzüglich über jegliche Kommunikation der
Aufsichtsbehörden (z.B. Anfragen, Mitteilung von Maßnahmen oder Auflagen)
gegenüber dem Auftragsverarbeiter im Zusammenhang mit der Datenverarbeitung
unter dieser AVV. Auskünfte an Dritte, auch an Aufsichtsbehörden, darf der
Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch und in
Abstimmung mit dem Auftraggeber erteilen. Zwingende gesetzliche Auskunfts- und
Herausgabepflichten des Auftragsverarbeiters bleiben unberührt.
\subsection{} Der Auftragsverarbeiter berichtigt, sperrt oder löscht die
vertragsgegenständlichen Daten auf Weisung des Auftraggebers, wenn dies vom
Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine
entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der
Auftragsverarbeiter die datenschutzkonforme Vernichtung von Datenträgern und
sonstigen Materialien auf Grund einer Einzelbeauftragung auf Kosten des
Auftraggebers oder gibt diese Datenträger an den Auftraggeber zurück.
\subsection{} Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung
durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung –
hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte
Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem
Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger
Zustimmung datenschutzgerecht löschen bzw. zu vernichten. Gleiches gilt für Test-
und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen
Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der
jeweiligen Aufbewahrungsfristen (HGB, AO) über das Vertragsende hinausaufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber
übergeben.
\subsection{} Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene
Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich
der Auftragsverarbeiter im Rahmen seiner Möglichkeiten den Auftraggeber bei der
Abwehr des Anspruchs zu unterstützen. Die Art und der Umfang darüber
hinausgehender Unterstützungsmaßnahmen, wie z. B. die Beauftragung eines
Dritten, sowie die Übernahme von dadurch beim Auftragnehmer entstehenden
Kosten werden vorher zwischen den Parteien abgestimmt.
\subsection{} Der Auftragsverarbeiter weist dem Auftraggeber die Einhaltung der in diesem
Vertrag niedergelegten datenschutzrechtlichen Pflichten mit geeigneten Mitteln
nach. Er erstellt und führt ein Verzeichnis zu allen Kategorien der von ihm im Auftrag
des Auftraggebers durchgeführten Tätigkeiten mit den Pflichtvorgaben des Art. 32
Abs. 2 DSGVO.
\section{Anfragen betroffener Personen}
\subsection{} Die Rechte der durch die Datenverarbeitung beim Auftragsverarbeiter betroffenen
Personen sind gegenüber dem Auftraggeber geltend zu machen. Er ist verantwortlich
für die Wahrung dieser Rechte. Wendet sich eine betroffene Person mit Forderungen
zur Berechtigung, Löschung oder Auskunft an den Auftragsverarbeiter, verweist
dieser die betroffene Person an den Auftraggeber, sofern eine Zuordnung an den
Auftraggeber anhand der Angaben der betroffenen Person möglich ist. Der
Auftragsverarbeiter leitet den Antrag der betroffenen Person unverzüglich an den
Auftraggeber weiter.
\subsection{} Der Auftragsverarbeiter haftet nicht, wenn das Ersuchen der betroffenen Person vom
Auftraggeber schuldhaft nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
\section{Technische und Organisatorische Maßnahmen}
\subsection{} Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche
Organisation so gestalten, dass sie den besonderen Anforderungen des
Datenschutzes gerecht wird. Er wird technische und organisatorischen Maßnahmen
treffen, die den Anforderungen der EU-Datenschutzgrundverordnung (Art. 32
DSGVO) genügen. Der Auftragsverarbeiter hat technische und organisatorische
Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und
Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
dauerhaft sicherstellen. Die Datenverarbeitung findet insbesondere auf IT-Systemen
statt, die diesen Anforderungen entsprechen. In diesem Rahmen gewährleistet der
Auftragsverarbeiter dem Auftraggeber, die Umsetzung aller Maßnahmen gemäß
Anhang 1 dieser AVV.
\subsection{} Die für den Schutz der verarbeiteten Daten maßgeblichen Entscheidungen im
Hinblick auf Maßnahmen, Verfahren und Organisation werden dem Auftraggeber
vorab mitgeteilt.
\subsection{} Die Datensicherheitsmaßnahmen können der technischen und organisatorischen
Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte
Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit
erforderliche Änderungen hat der Auftragsverarbeiter unverzüglich umzusetzen.
Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche
Änderungen sind zwischen den Parteien zu vereinbaren.
\section{Subunternehmer}
\subsection{} Der Auftragsgeber stimmt einer Beauftragung von Subunternehmern zu.
\subsection{} Ein zustimmungsbedürftiges Subunternehmerverhältnis liegt vor, wenn der
Auftragsverarbeiter weitere Auftragsverarbeiter mit der ganzen oder einer
Teilleistung der im Hauptvertrag vereinbarten Leistung beauftragt, auf die
vorliegende AVV Anwendung findet.
\subsection{} Der Auftraggeber stimmt der Beauftragung der in Anhang 2 der vorliegenden AVV
genannten Unterauftragnehmer zu unter der Bedingung einer
vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO. Weiterhin
informiert der Auftragsverarbeiter über die bestehenden
Unterbeauftragungsverhältnisse auf der folgenden Webseite
\href{https://www.mediquu.de/subunternehmer}{www.mediquu.de/subunternehmer}. Bei einer Änderung der Subunternehmer
informiert der Auftragsverarbeiter den Auftraggeber per E-Mail. Der
Auftragsverarbeiter gewährleistet, dass bei einer Änderung der
Unterbeauftragungsverhältnisse das Datenschutzniveau mindestens gehalten, wenn
nicht sogar verbessert wird. Der Auftraggeber kann der Änderung innerhalb einer
Frist von zwei Wochen aus wichtigem Grund gegenüber dem Auftragsverarbeiter
widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur
Änderung als erteilt.
\subsection{} Subunternehmer gelten nicht als „Dritte“ im Sinne dieser Vereinbarung.
\subsection{} Die Datenübertragung zum Subunternehmer erfolgt per SSL Verschlüsselung.
\subsection{} Die Verarbeitung der Daten beim Subunternehmer erfolgt ausschließlich zur
Erfüllung der vom Auftraggeber beauftragten Leistung.
\subsection{} Der Auftragsverarbeiter hat die vertraglichen Vereinbarungen mit den
Subunternehmern so zu gestalten, dass sie den Datenschutzbestimmungen im
Vertragsverhältnis zwischen Auftraggeber und Auftragsverarbeiter entsprechen. Der
Auftraggeber behält sich das Recht vor, die Einhaltung dieser Bestimmungen
regelmäßig zu kontrollieren.\subsection{} Bei der Unterbeauftragung sind dem Auftraggeber Kontroll- und Überprüfungsrechte
entsprechend dieser Vereinbarung und des Art. 32 DSGVO beim Subunternehmer
einzuräumen. Dies umfasst auch das Recht des Auftraggebers, vom
Auftragsverarbeiter auf schriftliche Anforderung Auskunft über den wesentlichen
Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im
Subunternehmerverhältnis, erforderlichenfalls durch Einsicht in die relevanten
Vertragsunterlagen, zu erhalten.
\subsection{} Die Aufwände (Kosten), die eine solche Kontrolle verursachen, werden, soweit sie
vier Zeitstunden übersteigen und nichts anderes vereinbart wurde, vom
Auftraggeber getragen und mit einem Stundensatz von 97,50 € netto an helpwave
vergütet. Art und Weise der Kontrollmaßnahmen beim Subunternehmer sowie deren
Umfang und der zu erwartende Aufwand (Kosten) ist vorab mit dem
Auftragsverarbeiter gesondert zu verabreden.
\subsection{} Soweit der Auftragsverarbeiter zur Erfüllung der Vertragspflichten aus dem
Hauptvertrag mit dem Auftraggeber sich den Leistungen beim Hosting von der
Deutschen Telekom oder Hetzner bedient, macht sich der Auftragsverarbeiter die
seitens Hetzner oder der Deutschen Telekom getroffenen technischen und
organisatorischen Maßnahmen gem. Art. 32 DSGVO zu eigen. Die Kontrollrechte des
Auftraggebers hierzu richten sich nach § 2 der AVV.
\section{Vertragsdauer und Kündigung}
\subsection{} Die Laufzeit dieser AVV richtet sich nach der Laufzeit des Hauptvertrages, sofern sich
aus den Bestimmungen dieser AVV nicht darüber hinausgehende Verpflichtungen
ergeben.
\subsection{} Es ist den Parteien bewusst, dass ohne Vorliegen eines gültigen AV-Vertrages z. B. bei
Beendigung des vorliegenden Vertragsverhältnisses, keine (weitere)
Auftragsverarbeitung durchgeführt werden darf.
\subsection{} Beide Parteien können die AVV mit einer Frist von 1 (einem) Monat kündigen.
\subsection{} Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
Der Auftraggeber kann diese AVV insbesondere dann außerordentlich und ohne
Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des
Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieser
AVV vorliegt.
\subsection{} Die Kündigung muss schriftlich erfolgen.
\section{Haftung}
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der
in Art. 82 DS-GVO getroffenen Regelung.
\section{Sonstiges}
\subsection{} Soweit diese Vereinbarung vor dem 25.05.2018 und damit vor dem Wirksamwerden
der DSGVO abgeschlossen wurde, sind sich die Parteien einig, dass bis zu diesem
Zeitpunkt das jeweils national geltende Datenschutzrecht entsprechend anzuwenden
ist.
\subsection{} Sollte das Eigentum des Auftraggebers beim Auftragsverarbeiter durch Maßnahmen
Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder
Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der
Auftragsverarbeiter den Auftraggeber unverzüglich zu verständigen. Der
Auftragsverarbeiter wird alle in diesem Zusammenhang Verantwortlichen
unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten
ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der EU-
Datenschutzgrundverordnung liegen.
\subsection{} Nebenabreden sind nicht getroffen worden. Änderungen und Ergänzungen dieser
AVV und all ihrer Bestandteile bedürfen der Schriftform. Dies gilt auch für die
Abänderung des Schriftformerfordernisses selbst.
\subsection{} Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der
verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
\subsection{} Es gilt deutsches Recht.
\subsection{} Gerichtsstand ist Aachen.
\subsection{} Sollten einzelne Teile dieser AVV unwirksam sein oder werden, so berührt dies die
Wirksamkeit dieser AVV im Übrigen nicht.
\newpage
\appendix
\begin{center}
\Huge Technische und organisatorische Maßnahmen (TOM) \\
\Large i.S.d. Art. 32 DSGVO \\
\small Stand: \today
\end{center}
Die Anwendungsdaten werden in zwei verschiedenen Räumlichkeiten verarbeitet, im Büro
der helpwave GmbH (im Folgenden „helpwave“) und in von Unterauftragnehmern
zur Verfügung gestellten Rechenzentren. helpwave nutzt für den Betrieb der datenhaltenden
Server das Rechenzentrum der Open Telekom Cloud der Telekom Deutschland GmbH (im
Folgenden „Deutsche Telekom“), die Unterauftragnehmer von helpwave ist. Für einzelne
Anwendungen werden zudem Abschottungssysteme (Gatekeeper oder Load-Balancer)
eingesetzt, um den Standort der eigentlichen Datenhaltungssysteme zu verschleiern. Hierfür
werden Systeme im Rechenzentrum der Firma Hetzner eingesetzt. Diese leiten die Daten
jedoch nur in verschlüsselter Form (SSL) an die Systeme bei der Deutschen Telekom weiter.
Nachfolgende Ausführungen zum Bereich „Rechenzentrum“ beziehen sich immer sowohl auf
das Rechenzentrum der Deutschen Telekom, als auch auf das bei Hetzner. Die
Unterauftragnehmer sind vertraglich gebunden und werden entsprechend der Vereinbarung
zur Auftragsvereinbarung durch helpwave geprüft.
\\
Im Folgenden wird daher – sofern erforderlich bzw. zielführend – zwischen Maßnahmen für
die Rechenzentren und für die Büroräume von helpwave unterschieden.
\\
Weitere Informationen zu den Technisch-organisatorischen Maßnahmen der
Rechenzentrumsbetreiber finden Sie hier: \\
\begin{itemize}
\item Deutsche Telekom: \href{https://www.telekom.com/resource/blob/532978/d65e16421b37487e249f0ce4980117ad/dl-tom-1-data.pdf}{www.telekom.com} \\
\item Hetzner: \href{https://www.hetzner.com/AV/TOM.pdf}{www.hetzner.com}\\
\end{itemize}
\section{Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)}
\subsection{Zutrittskontrolle}
\subsubsection{Rechenzentrum}
Die Rechenzentren der von helpwave beauftragten Unterauftragnehmer erfüllen mindestens
folgende Anforderungen an:
\begin{itemize}
\item Alarmüberwachung
\item Personenüberprüfung und -identifikation bei Zutritt
\item Zutrittsprotokollierung
\item Kameraüberwachung sowie Bewegungs- und Einbruchsmelder
\item Personenkontrolle und -überwachung durch Vor-Ort-Personal
\end{itemize}
Diese Sicherheitsmaßnahmen werden durch die Unterauftragnehmer rund um die Uhr an sieben Tagen pro Woche sichergestellt.
\subsubsection{Buroräume}
Die Büroräume der helpwave GmbH liegen im 3. OG in der Jülicher Straße 209d in 52070 Aachen. In diesen Büroräumen befinden sich keine stationären Datenverarbeitungsanlagen, die zur Verarbeitung von Daten der Kunden von helpwave genutzt werden. Die Verarbeitung
erfolgt ausschließlich auf mobilen Geräten mit besonderen Schutzmechanismen und nur
durch autorisierte Personen.
Der Zugang zu den Büroräumen ist durch folgende Maßnahmen geschützt:
\begin{itemize}
\item Schließsystem mit Sicherheitsschlössern
\item Dokumentierte Aus- und Rückgabe der Schlüssel
\end{itemize}
\subsection{Zugangskontrolle}
Für die Rechner der Mitarbeitenden ebenso wie für eigene Server (bei der Deutschen
Telekom/Hetzner) unternimmt helpwave umfangreiche Maßnahmen, um die Nutzung durch
Unbefugte zu verhindern:
\begin{itemize}
\item Alle nicht-öffentlichen Dienste sind grundsätzlich durch individuelle
Benutzername/Passwort-Kombinationen geschützt.
\item Die Anmeldung bei kritischen Diensten ist entweder
\begin{itemize}
\item ausschließlich mit einem Benutzernamen und einem Sicherheitszertifikat oder mit
\item Benutzername, Passwort und Zwei-Faktor-Authentifizierung möglich, d.h. unser Verwendung eines zusätzlichen, getrennt generierten Einmaltokens. und erfolgt ausschließlich über gesicherte Verbindungen (bspw. SSH-Tunnel).
\end{itemize}
\item Ein externer Zugang zum Büronetzwerk ist nicht möglich.
\item Sofern die Mitarbeitenden firmeneigene Smartphones nutzen, sind diese durch
Vollverschlüsselung geschützt und können bei Diebstahl oder Verlust aus der Ferne
gelöscht werden.
\item Die Daten auf den Rechnern der Mitarbeitenden sind vollständig verschlüsselt und
nur nach Anmeldung durch den Nutzer entschlüsselbar, um einen Zugriff auf die
Daten bei Verlust oder Diebstahl des Rechners zu verhindern.
\item Die Festplatten der datenhaltenden Systeme im Rechenzentrum der Deutschen
Telekom sind verschlüsselt.
\item Kundendaten, die sich auf den Geräten der Mitarbeiter zum Zwecke der
Vertragserfüllung befinden, sind in einem zusätzlich verschlüsselten Dateicontainer
gespeichert.
\item Durch den ausschließlichen Einsatz von Apple-Computern, auf denen zeitnah nach
einer Veröffentlichung alle zur Verfügung gestellten Sicherheitsupdates installiert
werden, reduzieren sich die Angriffsmöglichkeiten auf die Systeme deutlich.
\item Systeme sind von außen nur über die technisch notwendigen Ports zugreifbar.
Verwaltungsports werden ausschließlich für die Zeit der Verwaltung (z. B. Wartung)
freigeschaltet.
\end{itemize}
\subsection{Zugriffskontrolle}
helpwave stellt sicher, dass Personen nur entsprechend der ihnen eingeräumten
Zugriffsberechtigung auf IT-Systeme und die darauf gespeicherten Daten zugreifen können.
Dies wird durch folgende Maßnahmen erreicht:
\begin{itemize}
\item Benutzer und ihre Zugriffsrechte werden zentral verwaltet, aktiviert und gesperrt.
\item Ein Zugriff auf die datenhaltenden Systeme ist nur durch die Geschäftsführung möglich.
\item Die Verwaltung der Nutzer für sicherheits- und datenschutzrelevante Systeme ist nur für die Geschäftsführung möglich.
\item Kennwörter sind mindestens 12 Zeichen lang, Passwörter für datenhaltende Systeme
\item mindestens 30 Zeichen.
\item Kennwörter werden ausschließlich mit einem Randomisierer erzeugt, damit keine Wörterbuch-Attacken auf diese möglich sind.
\item Kennwörter werden mindestens alle 3 Monate geändert.
\item Für die ordnungsgemäße Vernichtung von Dokumenten und optischen Datenträgern wird ein Aktenvernichter genutzt.
\item Zugriffe auf datenhaltende Systeme im Rechenzentrum werden durch das
Rechenzentrum protokolliert und automatisiert an die Geschäftsführung von
helpwave mitgeteilt. Das beinhaltet den reinen Zugriff ebenso wie Änderung von
Firewall-Konfigurationen, wie bspw. das Aktivieren und Deaktivieren von
Verwaltungsports auf einzelnen Systemen.
\end{itemize}
\subsection{Trennungskontrolle}
Mit den folgenden Maßnahmen realisiert helpwave die Trennung der Daten verschiedener Kunden bzw. Kundenprojekte:
\begin{itemize}
\item Kundenprojekte werden, sofern erforderlich, auf jeweils eigenen Servern gespeichert
\item Produktiv- und Testsysteme werden getrennt betrieben
\item Alle angebotenen Produkte sind mandantenfähig, dass heißt, innerhalb einer einzelnen Anwendung erfolgt eine logische Trennung der Mandanten.
\end{itemize}
\subsection{Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)}
helpwave gewährleistet, dass Datensätze bei der Datenübermittlung an Dritte
pseudonymisiert und verschlüsselt werden.
\section{Integrität (Art. 32 Abs. 1 lit. b DS-GVO)}
\subsection{Weitergabekontrolle}
Daten zwischen Auftraggeber und Auftragnehmer werden, sofern nicht anders vom
Auftraggeber gewünscht, ausschließlich elektronisch übertragen, d. h. ein Datentransport
per Datenträger findet nicht statt. Sofern auf Wunsch des Auftraggebers ein Transport per
Datenträger stattfindet, wird dieser vollständig verschlüsselt und das Passwort für die
Entschlüsselung auf einem anderen Transportweg (bspw. persönlich oder per Telefon)
mitgeteilt.
Dementsprechend werden folgende Maßnahmen zur Sicherung der personenbezogenen
Daten bei der Übertragung vorgenommen:
\begin{itemize}
\item Daten werden ausschließlich transport-verschlüsselt (per SSH-, SSL-, TLS- oder VPN-Verbindung) übertragen.
\item Falls Anwendungsdaten zur Demonstration von Funktionen der Anwendung benötigt werden (sogenannte Test-Daten), werden diese vor der Übertragung auf das Testsystem pseudonymisiert.
\item Zugriffe auf die Systeme (außer über die Anwendung selbst) werden protokolliert.
\end{itemize}
\subsection{Eingabekontrolle}
Folgende Maßnahmen gewährleisten die Überprüfung und Feststellung, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind:
\begin{itemize}
\item Im Rahmen der Anwendungsentwicklung und des Betriebs der Anwendung erfolgt keine Eingabe oder Änderung von Anwendungsdaten durch helpwave. Dies obliegt allein dem Auftraggeber.
\item Das Löschen von Datensicherungsdateien im Rahmen des Betriebs erfolgt nach der vom Auftraggeber festgelegten Frist oder standardmäßig nach 14 Tagen.
\item Maßnahmen innerhalb der Anwendung, die die Nachvollziehbarkeit von Datenänderungen sicherstellt und Lösch- und Sperrfristen umsetzt, sind durch den Auftraggeber im Rahmen der Zusammenarbeit zu beauftragen oder – sofern technisch möglich – selbst in der Anwendung zu aktivieren.
\end{itemize}
\section{Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)}
\subsection{Verfügbarkeitskontrolle}
Die Verarbeitung personenbezogener Daten erfolgt im Rechenzentrum der Deutschen
Telekom und in den Büroräumen von helpwave. Bei Hetzner erfolgt aus Sicherheitsgründen eine Durchleitung der Daten zur Deutschen Telekom, es werden hier aber keine Daten gespeichert. Dementsprechend sind beim Schutz personenbezogener Daten vor zufälliger Zerstörung oder Verlust die Maßnahmen für die beiden Standorte (Deutsche Telekom/Büroräume helpwave) zu unterscheiden.
\subsubsection{Rechenzentrum}
Die Deutsche Telekom/Hetzner sind für den Serverbetrieb im Rechenzentrum vertraglich
verpflichtet, mindestens mit den folgenden Maßnahmen die Verfügbarkeit sicherzustellen:
\begin{itemize}
\item Betrieb einer unterbrechungsfreien Stromversorgung
\item Temperatur- Feuchtigkeits- und Klimaüberwachung
\item Feuer- und Rauchmeldeanlagen
\item Automatische Löschanlagen
\item Vorhalten von Austauschgeräten zur schnellen Wiederherstellung bei Defekten
\end{itemize}
\subsection{Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)}
\subsubsection{Rechenzentrum}
Daten im Rechenzentrum der Deutschen Telekom werden zum Schutz vor unbeabsichtigtem
Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung wie folgt gesichert:
\begin{itemize}
\item Nächtliche Sicherung aller Daten als Festplattenabbild (die Festplatten sind software-verschlüsselt).
\item Backups werden 14 Tage rückwirkend vorgehalten.
\item Nach Ablauf der Zeit werden die Daten unwiderruflich gelöscht, sofern vom Auftraggeber nichts anderes gewünscht wird.
\item Datensicherungen befinden sich auf vom normalen Betrieb getrennten Systemen.
\item Datensicherungen von datenhaltenden Festplatten sind verschlüsselt.
\item Die Sicherung der Systeme erfolgt stets vollständig, um eine schnelle Wiederherstellung zu ermöglichen.
\item Der vom normalen Betrieb getrennte Speicher wird mit denselben Vorkehrungen gesichert wie die Infrastruktur des normalen Betriebs: Selektive Zugriffe nur für notwendige Personen (Geschäftsführung). Erst bei einer Wiederherstellung der Daten wird die Sicherung außerhalb des Sicherungsspeichers wieder entschlüsselt.
\item Die Übertragung der Sicherung zum speichernden System selbst erfolgt ebenfalls über eine verschlüsselte Verbindung. Die tägliche Datensicherung wird überwacht. Bei einem Fehler werden qualifizierte Mitarbeiter (Geschäftsführung) umgehend benachrichtigt. Um der Speicherbegrenzung gerecht zu werden, werden vor Inbetriebnahme einer wiederhergestellten Datensicherung die für personenbezogene Daten relevanten, automatisierten Sperr- und Löschregeln auf die Daten angewandt. Hierdurch wir sichergestellt, dass Daten, welche zwischenzeitlich gelöscht wurden aber in der Sicherung aber noch vorhanden waren, erneut gelöscht werden (Artikel 5 DSGVO).
\end{itemize}
\subsubsection{Büroräume}
\begin{itemize}
\item Daten, die sich auf Geräten innerhalb der Räumlichkeiten von helpwave oder auch
außerhalb auf mobilen Geräten der Geschäftsführung befinden, werden mindestens
2 Mal wöchentlich gesichert.
\item Die Sicherung erfolgt in verschlüsselter Form auf externen Datenträgern, die separat
gelagert werden.
\item Der Zugriff auf die Sicherungen ist nur mit einem Passwort möglich.
\item Daten, die gesichert werden, umfassen keine Daten, die der Auftraggeber in die
bereitgestellten Anwendungen eingegeben hat, sondern ausschließlich Daten zu
Verträgen zwischen Auftraggeber und Auftragnehmer und zugehörigen Daten, die für
die Erfüllung der Verträge erforderlich sind (z. B. Daten zu Supportanfragen).
\end{itemize}
\section{Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)}
Um zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur
entsprechend der Weisungen des Auftraggebers verarbeitet werden, unternimmt helpwave
u.a. die folgenden Maßnahmen:
\begin{itemize}
\item Überprüfung vorhandener Zertifizierungen von Unterauftragnehmern (speziell
gemäß ISO 27001)
\item Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung oder von EU-
Standardvertragsklauseln
\item Überprüfen von sonstigen Dokumentationen und Rechercheergebnissen, die eine
Beurteilung der Zuverlässigkeit eines Anbieters ermöglichen
\item Kontrolle der Vertragsausführung
\end{itemize}
\section{Datenschutz-Management (Art. 32 Abs. 4 DS-GVO)}
helpwave bemüht sich grundsätzlich, nur Mitgliedern der Geschäftsführung den Zugang zu
personenbezogenen Daten zu ermöglichen. Sofern jedoch in Ausnahmefällen die Mitarbeit
anderer Personen oder freier Mitarbeiter (die ggf. Zugang zu personenbezogenen Daten
haben) erforderlich ist, gewährleistet helpwave, dass diese die Daten nur auf Anweisung des
Verantwortlichen bzw. des Auftragverarbeiters verarbeiten und unternimmt hierzu folgende
Maßnahmen:
\begin{itemize}
\item Aufklärung über die Rechte und Pflichten im Umgang mit personenbezogenen Daten.
\item Abschluss einer Vertraulichkeitsverpflichtung zwischen helpwave und den Personen.
\item Regelmäßige Schulungen im Umgang mit personenbezogenen Daten.
\end{itemize}
\section{Incident-Response-Management}
Zum Schutz vor und im Falle von Sicherheitsverletzungen unternimmt helpwave die
folgenden Maßnahmen:
\begin{itemize}
\item Alle Systeme sind durch eine Firewall geschützt, die von der Deutschen Telekom bzw.
Hetzner zur Verfügung gestellt werden.
\item Zudem werden die Systeme durch ein Anti-DDoS-System vor sog. Denial-Of-Service-
Attacken geschützt.
\item Zugriffe auf Verwaltungsports werden umgehend an die Geschäftsführung von
helpwave gemeldet.
\item Sicherheitsverletzungen werden umgehend an Anwählte und Experten
weitergeleitet, die im Rahmen einer extra für diesen Fall abgeschlossenen
Versicherung durch die Provinzial in Münster (Cyber-Police) zur Verfügung gestellt
werden. Im Rahmen der Versicherung werden gemäß der Vorgaben der DS-GVO
entsprechende, kurzfristige Meldungen an die Aufsichtsbehörden durchgeführt und
Anlaufstellen für betroffene Kunden eingerichtet. Zudem werden forensische
Dienstleister mit der Untersuchung des Vorfalls beauftragt. Entsprechende weitere,
beratende Personen (bspw. der uns in Datenschutzfragen beratende Anwalt Herr Dr.
Eduard Wessel, Münster) werden informiert und konsultiert.
\item Im Anschluss an einen Vorfall wird dieser im Rahmen eines formalen Prozesses
dokumentiert und betroffenen Kunden werden informiert.
7. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
helpwave stellt eine datenschutzfreundliche Technikgestaltung wie folgt sicher:
\item Die über das Kommunikationssystems von helpwave geführten Chatverläufe erfolgen
sind stets verschlüsselt (Zwei-Wege-Kommunikation).
\item Ein Rollenkonzeption zur Einschränkung des Datenzugriffs und zu Beschränkung von
Benutzerrechten ist eingerichtet worden.
Darüber hinaus verwendet helpwave datenschutzfreundliche Voreinstellungen, die durch
folgende Maßnahmen gewährleistet werden:
\item Im Rahmen des Kommunikationssystems von helpwave werden Chatverläufe
automatisch verschlüsselt gespeichert.
\item Zugriffsrechte sind automatisch an die verschiedenen Benutzerrollen angepasst bzw.
beschränkt.
\item Zugriffsrechte der Mitarbeiter von helpwave auf Endgeräte, die an das Netzwerk von
helpwave angeschlossen sind, sind automatisch beschränkt. Alle Endgeräte sind
verschlüsselt und können zudem nur mit Benutzername und Passwort genutzt
werden.
\item Es können nur im Besitz von helpwave befindliche Endgeräte für die tägliche Arbeit
und Vertragserfüllung genutzt werden.
\item Es werden ausschließlich Daten erhoben, die für die Zwecke der Vertragserfüllung
oder den technischen Betrieb der zur Verfügung gestellten Anwendungen
erforderlich sind („Datensparsamkeit“).
\end{itemize}
\section{Auftragskontrolle}
Die Auftragskontrolle umfasst Maßnahmen, die gewährleisten, dass personenbezogene
Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen verarbeitet
werden können. Diese Maßnahmen umfassen bei helpwave:
\begin{itemize}
\item Alle Mitarbeiter der helpwave sind angewiesen, nur nach den vereinbarten
Vertragsinhalten zu arbeiten.
\item Alle bereitgestellten Daten verbleiben ausschließlich in der Verfügungsmacht der
helpwave.
\item Weitergabe personenbezogener Daten erfolgt im Rahmen der
datenschutzrechtlichen Bestimmungen.
\item Dienstleister der helpwave unterliegen einer laufenden Überprüfung gemäß
Abschnitt 4.
\item Alle Mitarbeiter der helpwave, die mit personenbezogenen Daten aus dem Bereich
der Auftraggeber in Kontakt kommen könnten, sind schriftlich auf die Einhaltung des
Datenschutzes verpflichtet. Sie sind entsprechend belehrt und angewiesen, dass sie
Arbeiten gemäß dem vorstehenden Absatz nur auf Anforderung des Auftraggebers
durchführen dürfen.
\end{itemize}
\newpage
\begin{center}
\Huge Subunternehmer der \\
helpwave GmbH \\
\vspace{1em}
\Large Stand: \today
\end{center}
\begin{longtable}{|l|l|}
\hline
\textbf{Provider} & \textbf{Kontaktinformation} \\ \hline
\endfirsthead
\hline
\textbf{Provider} & \textbf{Kontaktinformation} \\ \hline
\endhead
\hline
\endfoot
\hline
\endlastfoot
\begin{tabular}[c]{@{}l@{}}Hetzner\\ Hosting\end{tabular} &
\begin{tabular}[c]{@{}l@{}}https://www.hetzner.com\\ \\ Hetzner Online GmbH\\ Industriestr. 25\\ 91710 Gunzenhausen\\ \\ E-Mail: info@hetzner.com\end{tabular} \\ \hline
\begin{tabular}[c]{@{}l@{}}Deutsche Telekom\\ Hosting\end{tabular} &
\begin{tabular}[c]{@{}l@{}}https://cloud.telekom.de\\ \\ Telekom Deutschland GmbH\\ Landgrabenweg 151\\ D-53227 Bonn\\ \\ E-Mail: info@telekom.de\\ Telefon: 0228/181-0\end{tabular} \\ \hline
\begin{tabular}[c]{@{}l@{}}Fastbill\\ Buchhaltung \& Abrechnung\end{tabular} &
\begin{tabular}[c]{@{}l@{}}https://www.fastbill.com\\ \\ FastBill GmbH\\ Wildunger Str. 6\\ 60487 Frankfurt am Main\\ Telefon: +49 69 348 772 925\\ \\ E-Mail: support@fastbill.com\end{tabular} \\ \hline
\begin{tabular}[c]{@{}l@{}}Simple-Fax\\ Faxversand\end{tabular} &
\begin{tabular}[c]{@{}l@{}}https://simple-fax.de/\\ \\ simple Communication GmbH\\ Salzdahlumer Str. 196\\ 38126 Braunschweig\\ \\ E: info@simple-communication.de\\ T: +49 531 490 590 00\end{tabular} \\ \hline
\begin{tabular}[c]{@{}l@{}}Onlinebrief24.de\\ ePost-Validierung\end{tabular} &
\begin{tabular}[c]{@{}l@{}}https://www.onlinebrief24.de/\\ \\ letterei.de Postdienste GmbH\\ Frankfurter Str. 74\\ 64521 Groß-Gerau\\ 06152 / 9 98 98 - 24\\ \\ support@onlinebrief24.de\end{tabular} \\ \hline
\begin{tabular}[c]{@{}l@{}}Apple\\ Push-Dienst\end{tabular} &
\begin{tabular}[c]{@{}l@{}}https://www.apple.com\\ \\ Apple\\ One Apple Park Way\\ Cupertino, CA 95014\\ \\ \\ +1 (408) 996–1010\end{tabular} \\ \hline
\begin{tabular}[c]{@{}l@{}}Google\\ Push-Dienst\end{tabular} &
\begin{tabular}[c]{@{}l@{}}Google LLC\\ 1600 Amphitheatre Parkway\\ Mountain View, CA 94043\\ USA\end{tabular} \\ \hline
\begin{tabular}[c]{@{}l@{}}LOX24\\ SMS Versand\end{tabular} &
\begin{tabular}[c]{@{}l@{}}https://www.lox24.eu\\ \\ \\ LOX24 GmbH\\ Seestraße 109\\ D-13353 Berlin\\ \\ Telefon: +49 30 609 893 11\end{tabular} \\
\end{longtable}
\end{document}