Enterprise
Zurück

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

Auftraggeber (Verantwortlicher):

Ihr Unternehmen gemäß Ihren Angaben im Registrierungsprozess

Auftragnehmer (Auftragsverarbeiter):

Krankikom GmbH

Calaisplatz 5

47051 Duisburg

§ 1 Gegenstand der Vereinbarung

Gegenstand der Auftragsverarbeitung ist die Bereitstellung, der Betrieb der SaaS-Plattform AI Value und Nutzung gemäß unseren Nutzungsbedingungen, die eine KI-gestützte Sichtbarkeitsanalyse von Unternehmen ermöglicht. Der Auftragsverarbeiter stellt die hierfür notwendige technische Infrastruktur zur Verfügung und verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten der betroffenen Personen.

Besonderheiten der Verarbeitung durch KI-Systeme

Die im Rahmen dieses Vertrags verarbeiteten Daten werden zur Durchführung der vereinbarten Analysen teilweise unter Nutzung externer Dienste verarbeitet, die auf Verfahren des maschinellen Lernens (KI-Systeme) beruhen. Die Verarbeitung erfolgt automatisiert und dient ausschließlich dem Zweck, die vertraglich vereinbarten Auswertungen und Reports zu erstellen.

Der Auftragnehmer stellt sicher, dass die eingesetzten KI-Dienste ausschließlich zu den beschriebenen Zwecken genutzt werden, dass keine weitergehende Verarbeitung oder Profilbildung im Auftrag des Unterauftragsverarbeiters erfolgt und dass die Verarbeitung im Einklang mit Art. 28 DSGVO sowie Art. 44 ff. DSGVO steht.

Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO auf Grundlage dieses Vertrages.

Die vertraglich vereinbarte Dienstleistung wird sowohl in Mitgliedstaaten der Europäischen Union bzw. des Europäischen Wirtschaftsraums als auch in Drittländern erbracht. Eine Übermittlung personenbezogener Daten in ein Drittland erfolgt insbesondere, soweit dies für die Nutzung externer KI-Dienste oder anderer technischer Dienstleister erforderlich ist.

Der Auftragsverarbeiter stellt sicher, dass bei jeder Verarbeitung in einem Drittland die besonderen Voraussetzungen der Art. 44 ff. DSGVO eingehalten werden. Dies geschieht insbesondere durch den Einsatz von EU-Standarddatenschutzklauseln, gegebenenfalls in Verbindung mit zusätzlichen technischen und organisatorischen Maßnahmen, oder – soweit vorhanden – auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission.

Der Auftraggeber wird über die eingesetzten Unterauftragsverarbeiter in Drittländern informiert. Eine Verarbeitung personenbezogener Daten in einem Drittland ohne geeignete Garantien nach Art. 44 ff. DSGVO findet nicht statt.

§ 2 Dauer des Auftrags

  1. VertragslaufzeitDie Laufzeit dieses Auftrags beginnt mit Unterzeichnung des Vertrags und gilt unbefristet, bis er durch eine der Parteien gemäß den folgenden Kündigungsbedingungen beendet wird.

  1. Kündigung durch ordentliche FristBeide Parteien können diesen Vertrag mit einer Frist von drei Monaten zum Monatsende schriftlich kündigen.

  1. Außerordentliche KündigungDer Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn:
  • Ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt,
  • Der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will,
  • Oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.

Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

  1. Anpassungen und ErweiterungenSollte der Auftrag um zusätzliche Leistungen erweitert werden, so wird eine entsprechende Ergänzung dieser Vereinbarung erforderlich. Solche Erweiterungen werden in einer ergänzenden Leistungsvereinbarung festgehalten und bedürfen der schriftlichen Zustimmung beider Parteien.

  1. Nachwirken der VerpflichtungenDie in diesem Vertrag festgelegten Verpflichtungen zur Vertraulichkeit und zum Datenschutz bestehen auch nach Beendigung des Vertrags für die gesetzlich vorgesehene Dauer fort.

§ 3 Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen:

Zweck der Verarbeitung

Personenbezogene Daten werden nach Maßgabe des Verantwortlichen und im Einklang mit der Europäischen Datenschutz-Grundverordnung (DSGVO) verarbeitet. Die Zwecke umfassen:

  1. Bereitstellung und Betrieb der technischen Infrastruktur
    • Hosting und Verwaltung zur Sicherstellung der technischen Erreichbarkeit 
  3. Betrieb und Pflege der SaaS AI Value einschließlich Benutzerverwaltung und -authentifizierung
    • Betrieb, Verwaltung und Wartung der Saas AI Value Platform 
    • Nutzerverwaltung, einschließlich Zugangsverwaltung und Rechteverwaltung für die Nutzer
  5. Durchführung der vom Kunden beauftragten Analysen und Erstellung von Reports
  6. Abrechnung und Vertragsdurchführung
  7. Sicherstellung von Stabilität, Sicherheit und Weiterentwicklung des Dienstes
  8. Support und Kundenkommunikation

 

Art der Verarbeitung

(entsprechend der Definition von Art. 4 Nr. 2 DSGVO)

  • Erhebung von Nutzerdaten durch Registrierung und Eingabe im System
  • Speicherung der Daten in Datenbanken des Auftragsverarbeiters
  • Übermittlung von Daten an externe KI-Dienstleister im Rahmen der Analysefunktion (ggf. Drittländer, unter Abschluss geeigneter Garantien)
  • Verarbeitung und Auswertung der Eingaben durch automatisierte Systeme
  • Bereitstellung der Analyseergebnisse im Dashboard des Kunden
  • Speicherung, Aktualisierung und Löschung der Daten gemäß vertraglichen Vorgaben
  • Durchführung von Backups, Logging, Fehlermanagement und Sicherheitsmaßnahmen

Art der personenbezogenen Daten

(entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DSGVO)

  • Technische Daten, Logfile und Sicherheitsdaten: IP-Adressen, Geräte- und Browserinformationen, Logfiles
  • Stammdaten: Name, Vorname, Unternehmenszugehörigkeit, Position, E-Mail-Adresse.
  • Zugangsdaten und Registrierungsdaten: Nutzername, gehashtes Passwort, Rollen- und Rechteinformationen.
  • Vertrags- und Abrechnungsdaten: Rechnungsanschrift, Bank- oder Zahlungsinformationen, Vertragslaufzeiten.
  • Nutzungsdaten: Eingaben (Prompts), KI-generierte Analyseergebnisse, verwendete Funktionen, Zeitstempel und Session-Informationen.
  • Kommunikationsdaten: Supportanfragen, E-Mail-Korrespondenz, Chatverläufe, Ticketsystem-Daten.
  • Technische Daten: IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Zugriffszeiten, Logdateien.
  • Marketingdaten: E-Mail-Adresse zur Direktwerbung im Rahmen einer bestehenden Geschäftsbeziehung 

Kategorien betroffener Personen

(entsprechend der Definition von Art. 4 Nr. 1 DSGVO)

  • Nutzer des Produktes und interne Ansprechpartner: Kunden und deren Mitarbeiter und Dienstleister
  • ggf. Einzelunternehmer, deren Unternehmensnamen oder Domains in das System eingegeben werden und daher als personenbezogene Daten zu bewerten sein können

Empfänger personenbezogener Daten

Ihre Daten werden ausschließlich im Rahmen und zur Erfüllung der vorgenannten Zwecke weitergegeben. Somit sind Empfänger Ihrer Daten externe KI-Anbieter, die Eingaben (Prompts) verarbeiten und Analysen erstellen. Weiterhin sind dies Hosting- und IT-Dienstleister, die die technische Infrastruktur betreiben und warten. Zahlungsdienstleister erhalten Ihre Daten, soweit dies zur Abwicklung von Zahlungen erforderlich ist. Insofern gesetzliche Verpflichtungen bestehen, denen die Krankikom GmbH unterliegt, erhalten Beratungs- und Prüfungsstellen (z. B. Steuerberater, Wirtschaftsprüfer) ihre Daten.

Insofern erforderlich und gemäß der DSGVO vorgesehen, haben wir Empfänger durch Auftragsverarbeitungsverträge nach Art. 28 DSGVO zur Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet.

§ 4 Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

Der Auftraggeber behält hinsichtlich der Verarbeitung der personenbezogenen Daten das alleinige Weisungsrecht. Der Auftragnehmer verarbeitet die Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und gemäß den Weisungen des Auftraggebers, soweit diese schriftlich oder in Textform erteilt und dokumentiert werden.

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich. Der Auftragnehmer verpflichtet sich, den Auftraggeber bei der Wahrnehmung dieser Rechte zu unterstützen, soweit dies im Rahmen der vertraglich vereinbarten Leistungen möglich ist.

Der Auftraggeber ist berechtigt, jederzeit Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Der Auftragnehmer verpflichtet sich, die Weisungen des Auftraggebers gewissenhaft und vollständig umzusetzen, auch hinsichtlich zukünftiger Erweiterungen, soweit diese in der Leistungsvereinbarung vorgesehen sind. Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn er der Ansicht ist, dass eine Weisung gegen geltende Datenschutzvorschriften verstößt. In einem solchen Fall ist der Auftragnehmer berechtigt, die Durchführung der Weisung auszusetzen, bis der Auftraggeber sie bestätigt oder angepasst hat.

Der Auftraggeber ist berechtigt, sich wie unter § 6 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

Sollten Änderungen der Verarbeitungstätigkeiten erforderlich werden – etwa durch die Implementierung zusätzlicher Funktionen oder Systeme – so wird der Auftragnehmer den Auftraggeber unverzüglich darüber in Kenntnis setzen und notwendige Anpassungen der Weisungen mit dem Auftraggeber abstimmen. Der Auftragnehmer ist verpflichtet, alle Weisungen, die der Auftraggeber im Rahmen seiner Weisungsbefugnis erteilt, zu dokumentieren und für Nachweiszwecke sicher zu verwahren.

§ 5 Weisungsempfänger des Auftragnehmers

Für Weisung zu nutzende Kommunikationskanäle:

Krankikom GmbH

Calaisplatz 5, 47051 Duisburg

service.inconsult@krankikom.de

§ 6 Pflichten des Auftragnehmers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).

Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

Die Wahrung der Vertraulichkeit. Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Verschwiegenheit/die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. 

Der Auftragnehmer hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen:

Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte und der Freiheiten der betroffenen Person gewährleistet wird. Dabei sind die Maßgaben des Art. 32 DSGVO zu berücksichtigen und umzusetzen.

Einhaltung der Grundsätze für die rechtmäßige Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. (1) lit. a) –f) DSGVO. 

Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. (3) Satz 2 lit e) und f) DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den zuständigen Datenschutzbeauftragten des Auftraggebers weiterzuleiten. 

Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. (3) Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.

Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. (3) Satz 2 lit. h) DSGVO).

Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird bis auf weiteres folgendes vereinbart: Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) ist mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, sind die Maßnahmen nach Art. 32 DS-GVO auch in diesem Fall sicherzustellen. 

Die Verarbeitung im Auftrag wird nur auf vom Auftragnehmer verwalteten Geräten durchgeführt, sodass grundsätzlich alle Anforderungen aus Anlage 1 umzusetzen sind. Die Arbeit mit Privathardware ist den Beschäftigten untersagt. 

Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen, z. B. das Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis oder Berufsgeheimnisse nach § 203 StGB etc.

Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. (3) Satz 2 lit. b) und Art. 29 DSGVO).

Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz zu erreichen unter

Der Datenschutzbeauftragte der Krankikom GmbH 

c/o migosens GmbH, Heiko Gossen

Wiesenstr. 35

45473 Mülheim an der Ruhr

dsb-krankikom@dsb24.net

Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

§ 7 Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. (3) Satz 2 lit. f) DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.

§ 8 Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. (3) Satz 2 lit. d) DSGVO)

Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer nur mit Genehmigung des Auftraggebers gestattet, Art. 28 Abs. 2 DSGVO, welche auf einem der o. g. Kommunikationswege (Ziff. 4) mit Ausnahme der mündlichen Gestattung erfolgen muss. Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer dem Auftraggeber Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Außerdem muss der Auftragnehmer dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt.

Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

Der Auftraggeber ist berechtigt, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.

Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO). Der Auftragnehmer haftet gem. Art. 28 Abs. 4 DSGVO gegenüber dem Auftraggeber für die Einhaltung der Pflichten jedes Subunternehmers, wenn diese ihren Datenschutzpflichten nicht nachkommen.

Der Auftragnehmer sichert zu, eingesetzten Unterauftragnehmern im Wege eines Vertrages gem. Art. 28 Abs. 3 DSGVO die Pflichten aufzuerlegen, die aus diesem Vertrag hervorgehen. Unterauftragnehmer werden sorgfältig ausgewählt und regelmäßig überprüft. 

§ 9 Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. (3) Satz 2 lit. c) DSGVO)

Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

Das im Anhang 1 beschriebene Datenschutzkonzept stellt die Auswahl der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragnehmer dar.

Zusätzliche technische und organisatorische Vorgaben für die Arbeit aus dem Home Office ergeben sich aus den TOM für externes Arbeiten (siehe Anhang 2).

Der Auftragnehmer hat bei gegebenem Anlass, auf Anfrage, eine Überprüfung,

Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. (1) lit. d) DSGVO). Das Ergebnis samt vollständigem Auditbericht ist dem Auftraggeber mitzuteilen. Die sich hieraus ergebenden Aufwände werden dem Auftraggeber in Rechnung gestellt. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind zwischen Auftragnehmer und Auftraggeber abzustimmen.

Soweit die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.

Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

Wesentliche Änderungen muss der Auftragnehmer mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.

§ 10 Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. (3) Satz 2 lit. g) DS-GVO

Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz sowie an Subunternehmen gelangte und noch in seinem Besitz befindlichen Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder auf Wunsch des Auftraggebers datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen. Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

§ 11 Haftung

Für die zivilrechtliche Haftung der Parteien gelten die gesetzlichen Regelungen. 

Hinsichtlich der datenschutzrechtlichen Haftung wird auf Art. 82 DS-GVO verwiesen. 

§ 12 Sonstiges

Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer aufzubewahren.

Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich. 

Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Datum:

Unterschriften:

_________________                                                       _________________

Auftraggeber     Auftragnehmer 

ANHANG 1 

Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter hat die in diesem Anhang beschriebenen Maßnahmen umzusetzen, sofern die jeweilige Maßnahme direkt oder indirekt zum Schutz der personenbezogenen Daten unter der zwischen den Parteien geschlossenen Vereinbarung zur Verarbeitung von Daten im Auftrag beiträgt oder beitragen kann. 

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der hier festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind mit dem Verantwortlichen abzustimmen und zu dokumentieren. Der Auftragsverarbeiter muss in Zweifelsfällen belegen, dass die alternative Maßnahme das gleiche Schutzziel und ein vergleichbares Schutzniveau gewährleistet.

Durch weitere organisatorische Maßnahmen stellt der Auftragsverarbeiter sicher, dass sämtliche Anforderungen des Datenschutzes eingehalten werden.

(1) Dies umfasst neben der Durchführung von notwendigen Schulungen und Sensibilisierung der Mitarbeiter auch Richtlinien, Prozesse, Formulare etc. verbindlich implementiert zu haben. Durch den ständigen Wandel und die Weiterentwicklungen im Bereich der IT-Systeme und Anwendungen befinden sich die Administratoren in einem kontinuierlichen Lernprozess zwecks Anpassung der IT-Systeme an die aktuellen Gegebenheiten.

(2) Die allgemeinen Grundsätze des Datenschutzes (vgl. Art. 5 Abs.1 DSGVO) sind umfassend einzuhalten und entsprechende Nachweise sind vorzuhalten (Art. 5 Abs.2 DSGVO).

(3) Der Grundsatz der datenschutzfreundlichen Voreinstellung ist einzuhalten (Art. 25 DSGVO).

(4) Es ist ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzuführen. Diese wird in regelmäßigen Reviews fortlaufend mit dem Datenschutzbeauftragten durchgeführt.

(5) Eine Verarbeitungsübersicht über die im Auftrag vorgenommenen Datenverarbeitungen ist zu führen und dem Verantwortlichen auf Anforderung zur Verfügung zu stellen (Art. 30 Abs.2 DSGVO).

(6) Es ist sicherzustellen, dass Weisungen des Verantwortlichen unverzüglich den entsprechenden Personen zur weiteren Einhaltung weitergeleitet werden und die Verarbeitung von Auftragsdaten grundsätzlich nur gem. Auftrag bzw. Weisung erfolgt.

(7) Es ist ein Incident-Response-Management zu etablieren, welches auch die Meldewege definiert, sodass relevante Vorfälle unverzüglich dem Verantwortlichen gemeldet werden.

Vertraulichkeit

Zutrittskontrolle

Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

  1. Krankikom Büro- und Serverräume

Die Räume der Krankikom GmbH befinden sich in der 3., 4., 5., und 6. Etage des Gebäudes Calaisplatz 5, 47051 Duisburg. Besucher müssen sich am Empfang anmelden, werden erfasst und mit einem Besucherbatch zwecks Identifikation ausgestattet und werden am Empfang abgeholt oder gebeten im Konferenzraum zu warten.

Die Mitarbeiter der Krankikom sind sensibilisiert, Personen, die Ihnen nicht bekannt sind anzusprechen und ihre Hilfe anzubieten.

Der Umgang mit Besuchern ist in einer verbindlichen Richtlinie festgehalten.

In sensiblen Sicherheitsbereichen, wie den Serverräumen, wird Fremdpersonal nur nach terminlicher Vereinbarung eingelassen.

Die Mitarbeiter sind mit einem Transponder ausgestattet. Das Gebäude ist in verschiedene Sicherheitsbereiche aufgeteilt.

Es liegt ein Schließplan zugrunde, indem die Zutrittsberechtigungen dokumentiert sind.

Die Serverräume sind ständig verschlossen. Der Kreis der Zutrittsberechtigten ist auf die notwendige Anzahl beschränkt. Der Serverraum ist mit einem Codeschloss versehen.

Es ist eine Einbruchmeldeanlage installiert. Die Mitarbeiter sind schriftlich über den Umgang (Aktivierung und Deaktivierung) mit der Einbruchmeldeanlage informiert.

  1. Rechenzentrum myLoc – IT AG (Housing Farm)

Am Gatherhof 44, 40472 Düsseldorf

Der abgetrennte Krankikom-Cage im Serverraum ist 24 Stunden an sieben Tage die Woche ausschließlich für autorisierte Mitarbeiter (Admins / IT-Abteilung) von Krankikom und ausgewählte Mitarbeiter von myLoc für notwendige technische Wartungsarbeiten zugänglich. Zudem überwacht ein externer Sicherheitsdienst (Securitas) den Campus.

Es existiert ein abgeteilter Empfangsbereich mit Sicherheitspersonal von dem aus sich die Mitarbeiter mit einer personalisierten Keycard Zutritt verschaffen können. Die Öffnung der Türen wird protokolliert. Eine Sichtung der Protokolle wird anlassbezogen vorgenommen. Eine Dokumentation der Zutritte durch myLoc-Mitarbeiter erfolgt indirekt über die Dokumentation der durchgeführten Arbeiten, aus der sich der unter Umständen notwendige Zutritt zum Cage ableitet.

Alle Räume sind über eine Alarmanlage gesichert und es läuft eine permanente Videoüberwachung (CCTV) bis zu den äußeren Zutrittstüren. Die Aufnahmen werden 30 Tage gesichert, eine Sichtung der Aufnahmen wird im Falle eines Sicherheitsvorfalls vorgenommen.

myLoc-Mitarbeiter haben keinerlei Zugriff auf die Datenverarbeitungssysteme, alle Server sind verschlüsselt.

Zugangskontrolle

Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Für den Zugang zu den Datenverarbeitungssystemen werden Passwörter vergeben. Jeder Anwender erhält einen eigenen Benutzernamen und ein eigenes, nur ihm bekanntes Passwort. Die Anforderungen an das Passwort sind in einer Passwort-Richtlinie hinterlegt und werden systemtechnisch überprüft.

Das Passwort muss mindestens 8-stellig sein und aus einer Kombination von Groß- und Kleinbuchstaben und Ziffern oder Sonderzeichen bestehen. Der Passwortwechsel wird vom Anmeldeserver automatisch alle 90 Tage initiiert. 

Über die aktivierte Einstellung der Passwort-Historie am Anmeldeserver ist die Nutzung der letzten 5 verwendeten Passworte ausgeschlossen. 

Die Administrator-Passworte sind in einem Passwort-Safe softwaremäßig sicher hinterlegt.

Die Nutzung der Zugangsberechtigungen wird vom Server protokolliert und bei Bedarf ausgewertet.

Die Zugangsberechtigungen werden über den Active Directory Service am Anmeldeserver vergeben und dokumentiert.

Über alle Aktivitäten der Datenverarbeitungsanlage werden Protokolle erstellt und bei Bedarf ausgewertet. 

Integrität

Zugriffskontrolle

Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Über das Berechtigungskonzept wird sichergestellt, das nur Berechtigte auf Daten zugreifen können, die ihrer Berechtigung unterliegen.

Die Zugriffe sind differenziert erteilt. So liegt ein Konzept vor, das die Zugriffe auf Betriebssysteme, Anwendungsprogramme, Dateien, Datensätze und Datenfelder regelt.

Die Verarbeitungsmöglichkeiten sind für die Rechte Lesen, Schreiben und Löschen definiert.

Weitergabekontrolle

Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Die Weitergabe von personenbezogenen Daten im Rahmen der Auftragsverarbeitung erfolgt nach den Vorgaben der Auftraggeber.

Folgende Verfahren wendet der Auftragnehmer standardmäßig an:

  • Datenverschlüsselung durch Archiv-Dateien mit Passwort
  • E-Mail-Verschlüsselung mit öffentlichem Schlüssel (PKI)
  • Hochladen auf einen ftp/sftp-Server
  • VPN-Verschlüsselung zwischen Krankikom-Clients und -Server

Mit der Verarbeitung betraute Mitarbeiter werden auftragsbezogen in die jeweilig geltenden Regelungen zur Weitergabekontrolle eingewiesen.

Datenträger werden über definierte Verfahren durch von Krankikom beauftragte spezialisierte Unternehmen vernichtet. Magnetische Datenträger wie Festplatten oder Sicherungsbänder, die nicht mehr verwendet werden, werden überschrieben oder physisch vernichtet. Ein Zugriff auf gespeicherte Information ist somit ausgeschlossen. Optische Datenträger, wie CDs oder DVDs werden mit einem Shredder zerstört.

Papier, das vertrauliche oder personenbezogene Daten enthält wird im firmeneigenen Shredder entsprechend DIN 32757 Stufe 3 vernichtet.

Elektronisch gespeicherte personenbezogene Daten werden nach den Vorgaben des Auftraggebers gelöscht, überlassene Datenträger nach den definierten Verfahren vernichtet.

Zum Ausschluss der Weitergabe von personenbezogenen Daten im Rahmen von Wartungen sind vor-Ort-Services für die Datenverarbeitungssysteme abgeschlossen worden.

Soweit die Pseudonymisierung und Anonymisierung von personenbezogenen Daten der Umsetzung der Verarbeitung im Auftrag nicht entgegenwirken, wird der Auftragnehmer, wenn möglich, eine Pseudonymisierung bzw. Anonymisierung der Daten vornehmen. 

Eingabekontrolle

Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Über die Log-Files der Server, lässt sich nachvollziehen, wer sich an den Systemen an und abgemeldet hat. Über Log-Files der Anwendungen ist es möglich nachzuverfolgen, von welchem Anwender Daten eingegeben, verändert oder gelöscht worden sind.

Die Protokolle können bei Bedarf ausgewertet werden.

Auftragskontrolle

Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Auftragnehmer werden, nach den von ihnen getroffenen technischen und organisatorischen Maßnahmen, sorgfältig ausgewählt. Eine entsprechende Zertifizierung des Auftragnehmers ist eine notwendige Grundvoraussetzung. Krankikom besitzt mit seinen Dienstleistern entsprechende Datenschutzvereinbarungen. 

Die Verarbeitung personenbezogener Daten im Auftrag erfolgt nur entsprechend den Weisungen des Auftraggebers. Die Weisungen erfolgen schriftlich oder über das Angebot und die Auftragsbestätigung. 

Die Krankikom GmbH räumt dem Auftraggeber oder durch ihn beauftragte Dritte nach vorheriger Anmeldung während der üblichen Geschäftszeiten das Recht ein, ihre Grundstücke oder Geschäftsräume zu betreten und die ordnungsgemäße Einhaltung von Datenschutzverträgen, insbesondere die getroffenen technischen und organisatorischen Maßnahmen, zu überprüfen oder Besichtigungen durchzuführen. Der Auftraggeber kann geschäftliche Unterlagen, sowie die gespeicherten Daten und Datenverarbeitungsprogramme einsehen, soweit es im Rahmen des Auftrags für die Überwachung des Datenschutzes erforderlich ist.

Verfügbarkeitskontrolle

Es sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Die Daten der Krankikom GmbH werden regelmäßig gesichert. Es liegt ein Datensicherungskonzept vor. Einmal wöchentlich wird eine komplette Sicherung erstellt. Täglich werden veränderte Daten gesichert.

Die Wiederherstellbarkeit der Daten wird sporadisch überprüft. Im Datensicherungskonzept werden die Art der zu sichernden Daten, die Intervalle und die Art der Speicherung festgelegt. Die Verantwortlichkeit für die Datensicherung ist festgelegt. Die Durchführung der Datensicherung wird protokolliert und die Protokolle werden ausgewertet. Die Datensicherungen werden räumlich getrennt aufbewahrt.

Die Verfügbarkeit der Serversysteme und der darauf befindlichen Daten ist durch die Systemkonfiguration und den Einsatz einer unterbrechungsfreien Stromversorgung gesichert.

In den Serverräumen sind Rauchmelder installiert, die im Brandfall einen Alarm auslösen. Für den Brandfall sind ausreichende geeignete Feuerlöscher vorhanden; der Serverraum ist mit einem Kohlendioxid-Feuerlöscher ausgestattet.

Durch die vorhandenen Klimageräte kann eine Temperatur zwischen 20° - 22° Celsius eingehalten werden. Die Klimageräte sind redundant ausgelegt.

Mit den Herstellern der Systeme und IT-Dienstleistern sind Wartungs- und Serviceverträge abgeschlossen worden, um die Verfügbarkeit der Systeme sicherzustellen.

Es werden regelmäßig Sicherheitsupdates und Sicherheitspatches der eingesetzten Produkte durchgeführt. Die durchgeführten Patches und Updates werden dokumentiert.

Zum Schutz gegen Schadsoftware sind die Server und die Client-Systeme soweit erforderlich mit einer Virenschutzsoftware ausgestattet.

Trennungskontrolle

Personenbezogenen Daten werden mandantenbezogen verarbeitet.

Die personenbezogenen Daten werden nach Mandanten getrennt gespeichert.

Auflistung der Unterauftragsverarbeiter

Die folgende Auflistung gilt für personenbezogene Daten, die Krankikom im Auftrag des Kunden zur Verfügung stehen und von Krankikom und dem beauftragten Unterauftragsverarbeiter weiterverarbeitet werden:

  • myLoc-Rechenzentrum
Kontakt·Datenschutz·Impressum·Nutzungsbedingungen