Zusatzvereinbarung über 

Auftragsverarbeitung 

nach Art. 28 DSGVO 

- nachfolgend „AVV oder Vereinbarung“ genannt -

 

zwischen

 

Praxis
Adresse

 

- nachfolgend „Auftraggeber oder Verantwortlicher“ genannt -

 

und

 

Digital Solvings GmbH

Am Schlossgraben 3-5

48683 Ahaus

 

- nachfolgend „Auftragnehmer oder Diatro“ genannt -

 

- nachfolgend einzeln „Partei“ bzw. gemeinsam „Parteien“ genannt – 

 

 

 

 

 

 

 

 

 

     PRÄAMBEL

Der Auftragnehmer ist ein innovatives medizinisches Softwareunternehmen aus Ahaus, das auf die intelligente und web-basierte Abrechnung von Patienten spezialisiert ist. 

Der Auftraggeber ist ein niedergelassener Arzt. 

Die Parteien haben einen Vertrag über die Bereitstellung der Diatro SaaS-Software (nachfolgend „Software“) zur Nutzung ihrer Funktionalitäten, die technische Ermöglichung der Nutzung der Software und die Einräumung von Nutzungsrechten an der Software geschlossen. Die Software umfasst die zum Zeitpunkt des Vertragsschlusses vorhandenen Funktionalitäten, namentlich die Ermöglichung des digitalen Versands von Rechnungen über erbrachte Leistungen.

Dieser AVV dient der Absicherung der Parteien gegen die zweckfremde Verwendung der im Rahmen der Nutzung generierten Informationen und personenbezogenen Daten, der Wahrung der gesetzlichen Bestimmungen des Datenschutzes durch die Parteien.

Dieser AVV ist Bestandteil jedes Vertrags der Parteien, es sei denn, in einem zeitlich nach Zustandekommen dieser AVV abzuschließenden Vertrag wird Abweichendes ausdrücklich vereinbart. Dieses Dokument einschließlich aller Anlagen konkretisiert zudem die datenschutzrechtlichen Verpflichtungen der Parteien aus dem zugrundeliegenden Hauptvertrag wie folgt:

  1. Anwendungsbereich und Begriffsbestimmungen
    1. Die nachfolgenden Bestimmungen finden Anwendung auf alle Leistungen des Auftragnehmers, die im Rahmen der gegenseitigen Geschäftsbeziehung als Auftragsverarbeitung im Sinne des Art. 28 DSGVO zu qualifizieren sind. 
    2. Sofern in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ von Daten benutzt wird, ist darunter allgemein die Verwendung von personenbezogenen Daten zu verstehen. Datenverarbeitung oder das Verarbeiten von Daten bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff hat überdies die Bedeutung, die ihm gem. Art. 4 Nr. 2 DSGVO zuerkannt ist
    3. Auf die weiteren Begriffsbestimmungen in Art. 4 DSGVO wird verwiesen.

 

  1. Gegenstand und Dauer des Auftrags
    1. Unter dieser AVV verarbeitet Diatro personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers. Gegenstand des Auftrags ist die Erbringung von Serviceleistungen durch Diatro gegenüber dem Auftraggeber entsprechend des mit Diatro konkret vereinbarten Umfangs bei der Nutzung der Diatro-Software gemäß des Hauptvertrages. In diesem Vertrag werden die Parteien die Angaben nach Art. 28 Abs. 3 DSGVO, insbesondere Gegenstand und Dauer der Auftragsdatenverarbeitung, sowie Umgang, Art und Zweck der vorgesehenen Datenverarbeitung, Art der Daten und Kreis der Betroffenen, festlegen. Eine hiervon abweichende Datenverarbeitung durch Diatro der vom Auftragnehmer überlassenen personenbezogenen Daten ist ausdrücklich ausgeschlossen.
    2. Die Auftragsdatenverarbeitung durch Diatro im Auftrag des Auftraggebers erfolgt gemäß Art. 28 DSVO. Der Auftraggeber bleibt stets die für die Datenverarbeitung verantwortliche Stelle im Sinne der DSGVO, bzw. „für die Verarbeitung Verantwortlicher“ im Sinne der DSGVO.
  2. Rangverhältnis der vertraglichen Vereinbarungen

Die Bestimmungen dieser AVV gehen den weiteren vertraglichen Vereinbarungen der Parteien vor, insbesondere Verträgen, sofern und soweit die Bestimmungen in diesen weiteren vertraglichen Vereinbarungen von denjenigen dieser AVV zum Nachteil des Auftraggebers abweichen. Ziff. 1.1. bleibt hiervon unberührt.

  1. Umfang, Art und Zweck der Datenverarbeitung

Umfang, Art und Zweck der Datenerhebung, -verarbeitung und/oder -nutzung personenbezogener Daten durch Diatro ergeben sich aus dem Hauptvertrag. Dieser umfasst die Ausführung und die Nutzung der Software, insbesondere zur Zustellung der digitalen Patientenabrechnungen über die Software.

  1. Kreis der Betroffenen

Der Kreis der durch den Umgang mit den personenbezogenen Daten im Rahmen des Hauptvertrages betroffenen Personen umfasst:

  1. Art der personenbezogenen Daten

Von der Auftragsverarbeitung sind folgende Datenarten betroffen:

  1. Rechte und Pflichten des Auftraggebers
    1. Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie zur Wahrung der Rechte der Betroffenen ist allein der Auftraggeber Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.
    2. Der Auftraggeber ist als Verantwortlicher jederzeit dazu berechtigt, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen oder Weisungen in Textform sind auf Verlangen von Diatro vom Auftraggeber schriftlich oder in Textform zu bestätigen.
    3. Soweit es der Verantwortliche für erforderlich hält, können weisungsberechtigte Personen benannt werden. Die Anfrage schriftlich oder in Textform (E-Mail) zu stellen. Für den Fall, dass sich diese weisungsberechtigten Personen bei dem Auftraggeber ändern, wird dies Diatro unter Benennung der jeweils neuen Person rechtzeitig mitgeteilt.
    4. Der Auftraggeber informiert Diatro, wenn Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch Diatro festgestellt werden.
    5. Der Auftraggeber ist berechtigt, sich vor Beginn der Datenverarbeitung und sodann regelmäßig nach rechtzeitiger vorheriger Anmeldung zu den üblichen Geschäftszeiten und unter Berücksichtigung der Interessen von Diatro von der Einhaltung der bei Diatro getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit zu überzeugen. Der Auftraggeber kann diese Kontrolle auch durch einen Dritten durchführen lassen. Für die Durchführung der Maßnahmen hat der Auftraggeber eine übliche Vergütung der hiermit betrauten Personen zu leisten.
  2. Pflichten von Diatro
    1. Datenverarbeitung

Diatro ist verpflichtet, personenbezogene Daten unter diesem AVV ausschließlich nach Maßgabe dieser Vereinbarung und/oder des zugrundeliegenden Hauptvertrages sowie nach den Weisungen des Auftraggebers zu verarbeiten. 

    1. Betroffenenrechte

Diatro wird den Auftraggeber bei der Erfüllung der Rechte der Betroffenen, insbesondere im Hinblick auf Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen seiner Möglichkeiten unterstützen. Für die Ausführungen gilt Ziff. 7.5 entsprechend. 

Diatro hat auf Weisung des Auftraggebers die personenbezogenen Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder die Verarbeitung einzuschränken.

Soweit sich ein Betroffener unmittelbar an Diatro zwecks Berichtigung, Löschung oder Einschränkung der Verarbeitung seiner Daten wendet, wird Diatro dieses Ersuchen unverzüglich nach Erhalt an den Auftraggeber weiterleiten. Für die Ausführungen der Anfragen bleibt der Auftraggeber verantwortlich.

    1. Kontrollpflichten

Diatro stellt durch geeignete Kontrollen, bspw. interne Audits, Datenschutzkonzept, o.ä, sicher, dass die im Auftrag verarbeiteten personenbezogenen Daten ausschließlich nach Maßgabe dieser Vereinbarung und den entsprechenden Weisungen verarbeitet werden.

    1. Informationspflichten

Diatro wird den Auftraggeber darauf aufmerksam machen, wenn eine erteilte Weisung nach eigener Auffassung gegen gesetzliche Vorschriften verstößt. Diatro ist dann dazu berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

Bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten gem. Art. 30 DSGVO wird Diatro den Auftraggeber auf Verlangen im Hinblick auf das in Rede stehende System und der dadurch erfolgenden Datenverarbeitung unterstützen und die jeweils erforderlichen Angaben in geeigneter Weise zur Verfügung stellen.

Diatro führt zudem entsprechend den Vorgaben gem. Art. 28 Abs. 2 DSGVO ein eigenes Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Verarbeitungstätigkeiten.

Diatro wird dem Auftraggeber jeden groben Verstoß gegen datenschutzrechtliche Vorschriften, gegen die getroffenen Regelungen im Hauptvertrag und der Vereinbarung und/oder die erteilten Weisungen, der im Zuge der Verarbeitung von Daten durch ihn, bei ihm beschäftigte Personen oder andere mit der Verarbeitung betraute Dritte erfolgt ist, unverzüglich mitzuteilen.

    1. Ort der Datenverarbeitung

Die Verarbeitung und Nutzung der Daten durch Diatro findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung durch den Auftraggeber und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Dies gilt auch für etwaige Datensicherungen durch Diatro.

    1. Löschung der personenbezogenen Daten nach Auftragsbeendigung

Nach Beendigung des Hauptvertrages ist Diatro auf Anfrage des Auftraggebers verpflichtet, sämtliche unter dieser AVV in seinen Besitz gelangten personenbezogenen Daten, Unterlagen und erstellte Verarbeitungs- und Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen sowie datenschutz- und datensicherheitskonform und gemäß den Weisungen des Auftraggebers zu löschen, sofern und soweit Diatro nicht zur weiteren Verarbeitung gesetzlich verpflichtet ist.  

  1. Datenschutzkontrolle und Auditrechte
    1. Diatro erklärt sich damit einverstanden, dass der Verantwortliche nach vorheriger Absprache dazu berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Systeme sowie sonstige Kontrollen vor Ort. Zur Ausübung des Kontrollrechts, räumt Diatro dem Auftraggeber zu diesem Zweck das Recht ein, sich nach rechtzeitiger Anmeldung und unter Berücksichtigung der Interessen von Diatro zu Prüfzwecken in den Betriebsräumen zu dessen üblichen Geschäftszeiten ohne Störung des Betriebsablaufes von der Angemessenheit der von Diatro getroffenen und vertraglich vereinbarten organisatorischen und technischen Maßnahmen zur Einhaltung der Erfordernisse der für die Auftragsdatenverarbeitung einschlägigen Bestimmungen zu überzeugen. Hierbei gilt Ziff. 7.5. entsprechend.
    2. Diatro wird den Auftraggeber bei der Durchführung von Kontrollen nach Kräften unterstützen und an der vollständigen und zügigen Abwicklung und erforderlichen Aufklärung mitwirken.
    3. Diatro wird eventuelle Kontrollmaßnahmen der Datenschutzaufsichtsbehörde gem. Art. 58 DSGVO dulden. Er wird den Auftraggeber nach Maßgabe von Ziff. 14 nach Ankündigung oder Kenntniserlangung über die Durchführung der Kontrollmaßnahme sowie bei anderweitigen Anfragen, Ermittlungen oder Erkundigungen der Datenschutzaufsichtsbehörde, nach Maßgabe von Ziff. 13 informieren, soweit die Maßnahmen oder Anfragen Datenverarbeitungen betreffen können, die Diatro für den Auftraggeber erbringt.
    4. Auf Verlangen bestätigt Diatro schriftlich die Einhaltung der in Anlage 1 festgelegten technischen und organisatorischen Maßnahmen.
  2. Unterauftragsverhältnisse und Subunternehmer
    1. Diatro ist nach Maßgabe der nachfolgenden Bestimmungen dazu berechtigt, Subunternehmer mit der Auftragsverarbeitung zu beauftragen (allgemeine Genehmigung nach Art. 28 Abs.2 DSGVO).
    2. Diatro ist dazu verpflichtet, seine vertraglichen Vereinbarungen mit den Subunternehmern im Einklang mit den hiesigen Vereinbarungen im Verhältnis zwischen Diatro und dem Auftraggeber auszugestalten, also insbesondere nach Maßgabe dieser AVV dem Auftraggeber gegenüber dem Subunternehmer diejenigen Rechte zu verschaffen, die dem Auftraggeber gegenüber Diatro zustehen. 
    3. Diatro informiert den Auftraggeber immer rechtzeitig, d.h. spätestens 1 Woche vor Beginn der geplanten Unterbeauftragung, über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Subunternehmer. 
    4. Der Auftraggeber ist als Verantwortlicher berechtigt, für bestimmte Subunternehmer im Rahmen des bei Erteilung der Zustimmung bestehenden Geschäftsbereichs des Subunternehmers oder für bestimmte Geschäftsarten eine generelle Zustimmung zu erteilen. Die generelle Zustimmung benennt den Subunternehmer und den Geschäftsbereich bzw. Art, Inhalt und Umfang der Geschäftsart abschließend. Der Verantwortliche ist berechtigt, eine solche generelle Zustimmung jederzeit mit Wirkung für die Zukunft aus sachlichen Gründen zu widerrufen. 
    5. Auf Verlangen hat Diatro dem Auftraggeber den Namen, die Anschrift und das Tätigkeitsfeld des jeweiligen Subunternehmers, sowie den Vertragszweck schriftlich oder in Textform mitteilen. Diatro hat dem Auftraggeber auf Anfrage eine Kopie des Unterauftragsverarbeitungsvertrages zur Verfügung stellen, sofern und soweit keine Interessen von Diatro entgegenstehen. Ein Anspruch auf eine Zustimmung zur Einschaltung eines weiteren Subunternehmers besteht dann, wenn das zuvor erlangte Sicherheitsniveau durch die Beauftragung nicht unterschritten wird.
    6. Bei Einschaltung eines weiteren Subunternehmers muss stets ein Schutzniveau, welches mit demjenigen dieser Vereinbarung vergleichbar ist, gewährleistet werden. 
    7. Diatro im Unterauftragsverarbeitungsvertrag mit weiteren Subunternehmern sicherzustellen, dass die vereinbarten Bestimmungen zwischen dem Auftraggeber und Diatro und ggf. ergänzende Weisungen vom Auftraggeber auch gegenüber den weiteren Subunternehmern vollumfänglich gelten.
    8. Diatro arbeitet derzeit bei der Erfüllung des Auftrags mit dem in Anlage 2 benannten Subunternehmer zusammen, mit deren Beauftragung sich der Auftraggeber einverstanden erklärt.
  3. Datengeheimnis
    1. Diatro ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit und des Datengeheimnisses im Sinne des § 53 BDSG verpflichtet.
    2. Diatro wird bei der Erfüllung des Auftrags nur Mitarbeiter oder sonstige Erfüllungsgehilfen einzusetzen, die auf das Datengeheimnis gemäß § 53 BDSG bzw. auf die Vertraulichkeit im Umgang mit überlassenen personenbezogenen Daten verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind.
  4. Technische und organisatorische Maßnahmen
    1. Die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen werden als verbindlich festgelegt.
    2. Diatro beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung gem. Art 32 i.V.m Art. 5 Abs. 1 DSGVO. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen. Er wird für die Dauer des Vertragsverhältnisses alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Standes der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Um stets ein angemessenes Sicherheitsniveau der Verarbeitung gewährleisten zu können, hat Diatro darauf hinzuwirken, dass die implementierten Maßnahmen regelmäßig evaluiert und ggf. angepasst werden. Wesentliche Änderungen der technischen und organisatorischen Maßnahmen wird Diatro Der Auftraggeber rechtzeitig mitteilen.

 

  1. Informationspflicht des Auftragnehmers
    1. Eine Weitergabe von Informationen durch Diatro an eine auskunftsersuchende Stelle erfolgt lediglich nach vorheriger Abstimmung mit dem Auftraggeber, sofern Diatro zur Informationserteilung nicht durch behördliche Maßnahmen oder gerichtliche Entscheidungen verpflichtet ist.
    2. Über Maßnahmen der Aufsichtsbehörde nach Art. 58 DSGVO, insbesondere über Ermittlungsmaßnahmen der Behörde, wird Diatro den Auftraggeber zeitnah nach Kenntnisnahme in Kenntnis setzen, sofern hierdurch die Datenverarbeitung für den Auftraggeber betroffen ist. Diatro ist bekannt, dass nach Art. 33,34 DSGVO Informationspflichten bei Verletzung des Schutzes personenbezogener Daten bzw. bei unrechtmäßiger Kenntniserlangung von Daten durch Dritte bestehen können. 
  2. Formklausel
    1. Änderungen und Ergänzungen dieser AVV, der mit Bezug hierauf zwischen den Parteien getroffenen weiteren Vereinbarungen sowie alle unmittelbar den Inhalt oder den Umfang der von den Parteien unter dieser AVV geschuldeten Leistungen und sonstigen Handlungen ändernde Erklärungen bedürfen zu ihrer Wirksamkeit der Textform. Dies gilt auch für eine Änderung dieser Schriftformklausel. 
    2. Alle Erklärungen der Parteien, insbesondere Unterrichtungen, Anzeigen, Mitteilungen und sonstige der jeweils anderen Partei zu übermittelnde Informationen, bedürfen zu Ihrer Wirksamkeit der Textform. Auf Verlangen der empfangenden Partei, das unverzüglich nach Zugang der Erklärung in Textform geltend zu machen ist, ist eine in Textform übermittelte Erklärung von der erklärenden Partei schriftlich zu bestätigen. Erfolgt die Bestätigung nicht, gilt die in Textform erteilte Erklärung als nicht abgegeben.
  3. Gerichtsstand
    1. Ausschließlicher, auch internationaler Gerichtsstand für alle sich aus dieser AVV unmittelbar oder mittelbar ergebenden Streitigkeiten das sachlich zuständige Gericht am Sitz von Diatro in Ahaus. Die Gerichtsstandsvereinbarung findet keine Anwendung, wenn die Streitigkeit andere als vermögensrechtliche Ansprüche betrifft oder für die Streitigkeit bereits nach den gesetzlichen Bestimmungen ein ausschließlicher Gerichtsstand begründet wird.
    2. Diatro steht es frei, den Auftragnehmer an seinem allgemeinen Gerichtsstand in Anspruch zu nehmen.
  4. Sonstiges
    1. Im Falle von Widersprüchen zwischen den Bestimmungen in dieser Vereinbarung und den Regelungen des Hauptvertrages gehen die Bestimmungen dieser Vereinbarung vor.
    2. Sollte eine Bestimmung dieser Vereinbarung unwirksam oder nicht durchsetzbar sein oder werden, so bleiben die übrigen Bestimmungen dieser Vereinbarung hiervon unberührt. Die unwirksame oder nicht durchsetzbare Bestimmung ist durch eine wirksame und durchsetzbare Bestimmung zu ersetzen, welche dem Zweck der ersetzenden Bestimmung am nächsten kommt.
    3. Diese Vereinbarung unterliegt deutschem Recht. 
    4. Sofern der Zugriff auf die Daten, die der Auftraggeber Diatro zur Datenverarbeitung übermittelt hat, durch Maßnahmen Dritter (z.B. Maßnahmen eines Insolvenzverwalters, Beschlagnahme durch Finanzbehörden, etc.) gefährdet wird, hat Diatro den Auftraggeber unverzüglich hierüber zu benachrichtigen.

ANLAGE 1 zum AVV von Diatro

 

Technische und organisatorische Maßnahmen

 

Zur Bereitstellung der Software setzt Diatro setzt den Hosting-Provider Strato AG, Pascalstraße 10, 10587 Berlin, ein. Dieser Provider ist nach ISO27001 zertifiziert und hat sich uns gegenüber verpflichtet,folgendetechnischeundorganisatorischeMaßnahmenzu implementieren:

 

 

  1. MaßnahmenzurSicherungderVertraulichkeit
    1. 1.1.Zutrittskontrolle

Maßnahmen,dieunbefugtenPersonendenZutrittzuIT-SystemenundDatenverarbeitungsanlagen mitdenenpersonenbezogeneDatenverarbeitetwerden,sowievertraulichenAktenundDatenträgern physischverwehren.

 

• Realisierung eines wirksamen Zutrittsschutzes

• Protokollierung des Zutritts

• Festlegung Zutrittsberechtigter Personen

• Verwaltung von personengebundenen Zutrittsberechtigungen

• Begleitung von Fremdpersonal

• Überwachung der Räume

 

 

    1. 1.2.Zugangskontrolle

Maßnahmen,dieverhindern,dassUnbefugtedatenschutzrechtlichgeschützteDatenverarbeitenoder nutzenkönnen.

 

• Festlegung des Schutzbedarfs

• Zugangsschutz

• Umsetzung sicherer Zugangsverfahren, starke Authentisierung

• Umsetzung einfacher Authentisierung per Username Passwort

• Protokollierung des Zugangs

• Monitoring bei kritischen IT-Systemen

• Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen

• Sperrung bei Fehlversuchen/Inaktivität und Prozess zur Rücksetzung gesperrter Zugangskennungen

• Verbot Speicherfunktion für Passwörter und/oder Formulareingaben (Server/Clients)

• Festlegung befugter Personen

• Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien und Zugangsberechtigungen

• Automatische Zugangssperre und Manuelle Zugangssperre

 

 

 

    1. 1.3.Zugriffskontrolle

Maßnahmen,diegewährleisten,dassdiezurBenutzungderDatenverarbeitungsverfahrenBerechtigtenausschließlichaufdieihrerZugriffsberechtigungunterliegendenpersonenbezogenenDatenzu- greifenkönnen,sodassDatenbeiderVerarbeitung,NutzungundSpeicherungnichtunbefugtgelesen,kopiert,verändertoderentferntwerdenkönnen.

 

• Erstellen eines Berechtigungskonzepts

• Umsetzung von Zugriffsbeschränkungen

• Vergabe minimaler Berechtigungen

• Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen

• Vermeidung der Konzentration von Funktionen

 

 

    1. 1.4.Trennungsgebot

Maßnahmen,diegewährleisten,dasszuunterschiedlichenZweckenerhobeneDatengetrenntverarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante VerwendungdieserDatenzuanderenZweckenausgeschlossenist.

 

• Datensparsamkeit im Umgang mit personenbezogenen Daten

• Getrennte Verarbeitung verschiedener Datensätze

• Regelmäßige Verwendungszweckkontrolle und Löschung

• Trennung von Test- und Entwicklungsumgebung

 

    1. 1.5.Pseudonymisierung

Maßnahmen,diedenunmittelbarenPersonenbezugwährendderVerarbeitungineinerWeisereduzieren,dassnurmitHinzuziehungzusätzlicherInformationeneineZuordnungzueinerspezifischen betroffenenPersonmöglichist.DieZusatzinformationensinddabeidurchgeeignetetechnischeund organisatorischeMaßnahmenvondemPseudonymgetrenntaufzubewahren.

• Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich sind, werden die technischen Voreinstellungen so festgelegt, dass Daten nur durch eine Aktion der Betroffenen Person erhoben, verarbeitet, weitergegeben oder veröffentlicht werden.

 

 

 

  1. Maßnahmen zur Sicherung der Integrität
    1. 2.1.Weitergabekontrolle

Maßnahmen,diegewährleisten,dasspersonenbezogeneDatenbeiderelektronischenÜbertragung oderwährendihresTransportsoderihrerSpeicherungaufDatenträgernichtunbefugtgelesen,kopiert,verändertoderentferntwerdenkönnensowieMaßnahmenmitdenenüberprüftundfestgestelltwerdenkann,anwelcheStelleneineÜbermittlungpersonenbezogenerDatenvorgesehenist.

• Festlegung empfangs- /weitergabeberechtigter Instanzen/Personen

• Prüfung der Rechtmäßigkeit der Übermittlung ins Ausland

• Protokollierung von Übermittlungen gemäß Protokollierungskonzept

• Sichere Datenübertragung zwischen Server und Client

• Sicherung der Übertragung im Backend

• Sichere Übertragung zu externen Systemen

• Risikominimierung durch Netzseparierung

• Implementation von Sicherheitsgateways an den Netzübergabepunkten

• Härtung der Backendsysteme

• Beschreibung der Schnittstellen

• Umsetzung einer Maschine-Maschine-Authentisierung

• Sichere Ablage von Daten, inkl. Backups

• Gesicherte Speicherung auf mobilen Datenträgern

• Einführung eines Prozesses zur Datenträgerverwaltungen

• Prozess zur Sammlung und Entsorgung

• Datenschutzgerechter Lösch- und Zerstörungsverfahren

• Führung von Löschprotokollen

 

  1. 2.2.Eingabekontrolle

Maßnahmen,diegewährleisten,dassnachträglichüberprüftundfestgestelltwerdenkann,obund vonwempersonenbezogeneDateninDV-Systemeeingegeben,verändertoderentferntwordensind.

• Protokollierung der Eingaben

• Dokumentation der Eingabeberechtigungen 

 

 

 

 

 

 

 

 

 

 

 

  1. Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit
    1. 3.1.Verfügbarkeitskontrolle

Maßnahmen,diesicherstellen,dasspersonenbezogeneDatengegenzufälligeZerstörungoderVerlust geschütztsind.

• Brandschutz

• Redundanz der Primärtechnik

• Redundanz der Stromversorgung

• Redundanz der Kommunikationsverbindungen

• Monitoring

• Resourcenplanung und Bereitstellung

• Abwehr von systembelastendem Missbrauch

• Datensicherungskonzepte und Umsetzung

• Regelmäßige Prüfung der Notfalleinrichtungen

 

    1. 3.2.RascheWiderherstellbarkeit

Maßnahmen,diedieFähigkeitsicherstellen,dieVerfügbarkeitderpersonenbezogenenDatenund denZugangzuihnenbeieinemphysischenodertechnischenZwischenfallraschwiederherzustellen.

 

• Notfallplan

• Datensicherungskonzepte und Umsetzung

 

 

 

  1. Maßnahmen zur regelmäßigen Evaluation der Sicherheit der Datenverarbeitung

Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen. 

 

• Festlegung von Verantwortlichkeiten

• Umsetzung und Kontrolle geeigneter Prozesse

• Melde- und Freigabeprozess

• Umsetzung von Schulungsmaßnahmen 

• Verpflichtung auf Vertraulichkeit 

• Regelungen zur internen Aufgabenverteilung

• Beachtung von Funktionstrennung und –zuordnung

• Einführung einer geeigneten Vertreterregelung

 

 

 

 

 

 

  1. Maßnahmen zur Gewährleistung der Zuverlässigkeit

Maßnahmen, die gewährleisten, dass alle Funktionen des/ der Systeme zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden?

 

• Auswahl weiterer Auftragnehmer nach geeigneten Garantien

• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern

• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit STRATO

 

  1. Maßnahmen zur Gewährleistung der Zuverlässigkeit

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können?

• Informationssicherheitsmanagement nach ISO 27001

• Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen

• Prozess Sicherheitsvorfall-Management

• Durchführung von technischen Überprüfungen

ANLAGE 2 zum AVV von Diatro

 

 

Unterauftragsverarbeiter von Diatro

 

 

Name der Organisation

Aktivitäten im Rahmen der Unterauftragsverarbeitung

Land der Organisation

Serverstandort

Strato AG

Hosting-Service-Anbieter

Deutschland

Frankfurt

Firebase 

Infrastruktur-Anbieter

Irland

Frankfurt