16. September 2024
Auftragsverarbeitungs-Vertrag
Zwischen dem Verantwortlichen [Vertragspartei des Roger Hauptvertrages]
– nachfolgend „Auftraggeber“ genannt –
und dem Auftragsverarbeiter
Sanos Group AG, Industriestrasse 44, 8304 Wallisellen, Schweiz
– nachfolgend „Auftragnehmer“ genannt –
PRÄAMBEL
Für diesen Auftragsverarbeitungsvertrag gelten die Begriffe und Definitionen der Verordnung (EU) 2016/679 (nachfolgend „DSGVO“), insbesondere des Art. 4 DSGVO.
1. GEGENSTAND
1.1 Gegenstand dieses Auftragsverarbeitungsvertrages ist die Festlegung des datenschutzrechtlichen Rahmens für die vertraglichen Beziehungen zwischen den Parteien.
1.2 Die Beschreibung des jeweiligen Auftrags mit den Angaben über Gegenstand des Auftrags, Umfang, Art und Zweck der Datenverarbeitung, Art der personenbezogenen Daten sowie Kategorien der betroffenen Personen befindet sich in der Anlage unter der Ziffer 1.
2. ORT DER DATENVERARBEITUNG
Die vertraglich vereinbarte Verarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, sofern sich aus der Anlage nichts anderes ergibt. Jede Verlagerung der Verarbeitung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers in schriftlicher Form und darf nur erfolgen, wenn die besonderen Voraussetzungen für die Übermittlung in ein Drittland nach Art. 44 ff. DSGVO erfüllt sind.
3. LAUFZEIT
3.1 Dieser Vertrag wird auf unbestimmte Zeit geschlossen und kann von jeder Partei mit einer Frist von einem Monat gekündigt werden. Soweit im Zeitpunkt der Kündigung noch ein Hauptvertrag oder mehrere Hauptverträge, bei denen der Auftragnehmer im Auftrag personenbezogene Daten des Auftraggebers verarbeitet, in Kraft sind, gelten die Bestimmungen dieses Vertrages bis zu der regulären Beendigung des Hauptvertrages/der Hauptverträge fort.
3.2 Der Auftraggeber kann diesen Vertrag ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.
4. WEISUNG
4.1 Der Auftragnehmer verarbeitet die personenbezogenen Daten nur im Rahmen der vom Auftraggeber erteilten Weisungen. Dies gilt nicht, soweit der Auftragnehmer durch das Recht der EU oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet ist. In diesem Fall teilt der Auftragnehmer diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die Mitteilung ist durch das betreffende Recht wegen eines wichtigen öffentlichen Interesses verboten.
4.2 Falls Weisungen, die unter Ziffer 1 der Anlage dieses Vertrages getroffenen Festlegungen ändern, aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue Vereinbarung in schriftlicher Form erfolgt.
4.3 Unabhängig von der Form der Erteilung dokumentieren sowohl der Auftragnehmer als auch der Auftraggeber jede Weisung des Auftraggebers in Textform. Die Weisungen sind für ihre Geltungsdauer dieses Vertrages und anschließend noch für drei Jahre aufzubewahren.
4.4 Der Auftragnehmer weist den Auftraggeber unverzüglich darauf hin, wenn eine vom Auftraggeber erteilte Weisung seiner Auffassung nach gegen gesetzliche Vorschriften verstößt. In einem solchen Fall ist der Auftragnehmer nach rechtzeitiger vorheriger Ankündigung gegenüber dem Auftraggeber berechtigt, die Ausführung der Weisung auszusetzen, bis der Auftraggeber die Weisung geändert hat oder diese bestätigt. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.
4.5 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen.
5. UNTERSTÜTZUNGSPFLICHTEN DES AUFTRAGNEHMERS
5.1 Der Auftragnehmer ergreift angesichts der Art der Verarbeitung geeignete technische und organisatorische Maßnahmen, um den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen der betroffenen Personen nach Art. 12 bis 22 DSGVO zu unterstützen
5.2 Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragnehmer den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO. Im Einzelnen bei der Sicherheit der Verarbeitung, bei Meldungen von Verletzungen an die Aufsichtsbehörde, der Benachrichtigung betroffener Personen bei einer Verletzung, der Datenschutz-Folgeabschätzung und bei der Konsultation der zuständigen Aufsichtsbehörde.
5.3 Sofern sich eine betroffene Person oder eine Datenschutzaufsichtsbehörde im Zusammenhang mit den unter dieser Vereinbarung verarbeiteten personenbezogenen Daten direkt an den Auftragnehmer wendet, informiert der Auftragnehmer den Auftraggeber hierüber unverzüglich und stimmt die weiteren Schritte mit ihm ab.
6. PRÜFUNGSRECHTE DES AUFTRAGGEBERS
6.1 Der Auftragnehmer stellt dem Auftraggeber auf dessen Anfrage alle erforderlichen Informationen zum Nachweis der in diesem Vertrag und Art. 28 DSGVO geregelten Pflichten zur Verfügung. Insbesondere erteilt der Auftragnehmer dem Auftraggeber Auskünfte über die gespeicherten Daten und die Datenverarbeitungsprogramme.
6.2 Der Auftraggeber oder von ihm beauftragte Dritte sind – grundsätzlich nach Terminvereinbarung – berechtigt, die Einhaltung der Pflichten aus diesem Vertrag und aus Art. 28 DSGVO zu überprüfen und beim Auftragnehmer Inspektionen vor Ort durchzuführen. Der Auftragnehmer ermöglicht dies und trägt dazu bei.
6.3 Der Auftragnehmer hat dem Auftraggeber auf Anforderung geeigneten Nachweis über die Einhaltungen der Verpflichtungen gemäß Art. 28 Abs. 1 und Abs. 4 DSGVO zu erbringen. Dieser Nachweis kann durch die Bereitstellung von Dokumenten und Zertifikaten, die genehmigte Verhaltensregeln i. S. v. Art. 40 DSGVO oder genehmigte Zertifizierungsverfahren i. S. v. Art. 42 DSGVO abbilden, erbracht werden.
7. DATENSCHUTZBEAUFTRAGTER DES AUFTRAGNEHMERS
Der Datenschutzbeauftragte des Auftragnehmers ist in der Anlage dieses Vertrages unter Ziffer 3 angeführt.
8. VERTRAULICHKEIT
8.1 Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er wahrt bei der Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit. Diese Pflicht besteht auch nach Beendigung dieses Vertragsverhältnisses fort.
8.2 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht. Er verpflichtet diese Mitarbeiter durch schriftliche Vereinbarung für die Zeit der Tätigkeit und auch nach Beendigung des Beschäftigungsverhältnisses zur Wahrung der Vertraulichkeit, sofern sie nicht einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Unternehmen.
8.3 Auskünfte an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung, oder Zustimmung in einem elektronischen Format, durch den Auftraggeber erteilen.
9. TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN
9.1 Der Auftragnehmer führt geeignete technische und organisatorische Maßnahmen so durch, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist. Er gestaltet seine innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und ein angemessenes Schutzniveau erreicht wird. Insbesondere hat der Auftragnehmer unter Berücksichtigung des jeweiligen Stands der Technik die angemessene Sicherheit der Verarbeitung, insbesondere die Vertraulichkeit (inklusive Pseudonymisierung und Verschlüsselung), Verfügbarkeit, Integrität, und Belastbarkeit der für die Datenverarbeitung verwendeten Systeme und Dienstleistungen sicherzustellen.
9.2 Die in der Anlage angegebenen technischen und organisatorischen Maßnahmen werden als verbindlich festgelegt.
9.3 Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen Weiterentwicklung angepasst werden. Dabei müssen die angepassten Maßnahmen mindestens dem Sicherheitsniveau der in der Anlage unter der Ziffer 5 vereinbarten Maßnahmen entsprechen. Wesentliche Änderungen sind in schriftlicher Form oder einem elektronischen Format zu vereinbaren.
10. INFORMATIONSPFLICHTEN DES AUFTRAGNEHMERS UND VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN
10.1 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jegliche Verstöße oder vermutete Verstöße gegen diesen Vertrag oder Vorschriften, die den Schutz personenbezogener Daten betreffen.
10.2 Der Auftragnehmer unterstützt den Auftraggeber bei der Untersuchung, Schadensbegrenzung und Behebung der Verstöße.
10.3 Sollten die personenbezogenen Daten, die unter dieser Vereinbarung verarbeitet werden, beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang relevanten Stellen unverzüglich auch darüber informieren, dass die Herrschaft über die Daten beim Auftraggeber liegt.
10.4 Soweit Prüfungen der Datenschutzaufsichtsbehörden durchgeführt werden, verpflichtet sich der Auftragnehmer das Ergebnis dem Auftraggeber bekannt zu geben, soweit es die Verarbeitung der personenbezogenen Daten unter diesem Vertrag betrifft. Die im Prüfbericht festgestellten Mängel wird der Auftragnehmer unverzüglich abstellen und den Auftraggeber darüber informieren.
10.5 Diese Ziffer 10 gilt entsprechend für Vorkommnisse bei Prozessen, die von Unterauftragnehmern ausgeführt werden.
11. UNTERAUFTRAGNEHMER
11.1 Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer erfolgt nur nach Zustimmung des Auftraggebers in schriftlicher oder elektronischer Form.
11.2 Der Auftragnehmer hat vertraglich sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber Unterauftragnehmern gelten. Der Vertrag des Auftragnehmers mit dem Subunternehmer muss schriftlich oder in elektronischem Format abgeschlossen werden.
11.3 Eine Beauftragung von Subunternehmern in Drittstaaten erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
11.4 Der Auftraggeber erteilt hiermit seine Zustimmung zur Beauftragung der in der Anlage unter der Ziffer 4 aufgeführten Unterauftragnehmer.
11.5 Der Auftragnehmer stellt sicher, dass der Auftraggeber gegenüber dem Unterauftragnehmer dieselben Weisungsrechte und Kontrollrechte wie gegenüber dem Auftragnehmer nach diesem Vertrag hat. Kommt ein Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers.
12. LÖSCHUNG UND RÜCKGABE PERSONENBEZOGENER DATEN
12.1 Der Auftragnehmer ist nach Abschluss der jeweils im Hauptvertrag vereinbarten Verarbeitungsleistungen verpflichtet, alle personenbezogenen Daten, die er im Zuge der Auftragsverarbeitung erhalten hat, nach Wahl des Auftraggebers an den Auftraggeber zurückzugeben oder zu löschen. Dies schließt insbesondere die Ergebnisse der Datenverarbeitung, überlassene Dokumente und überlassene Datenträger und Kopien der personenbezogenen Daten mit ein. Die Pflicht zur Löschung oder Rückgabe besteht nicht, sofern der Auftragnehmer nach dem Recht der EU oder der Mitgliedstaaten zur weiteren Speicherung der Daten gesetzlich verpflichtet ist. Besteht eine weitere Verpflichtung zur Speicherung, hat der Auftragnehmer die Verarbeitung der personenbezogenen Daten einzuschränken und die Daten nur für die Zwecke zu nutzen, für die eine Verpflichtung zur Speicherung besteht. Die Pflichten zur Sicherheit der Verarbeitung bestehen für den Zeitraum der Speicherung fort. Der Auftragnehmer hat die Daten unverzüglich zu löschen, sobald die Pflicht zur Speicherung entfällt.
12.2 Die Löschung hat so zu erfolgen, dass die Daten nicht wiederherstellbar sind.
12.3 Die Vorgänge sind mit Angabe von Datum und durchführender Person zu protokollieren. Die Protokolle sowie ein Nachweis der Durchführung in schriftlicher Form sind dem Auftraggeber innerhalb von 48 Stunden nach Durchführung der Vorgänge zur Verfügung zu stellen.
13. HAFTUNG
Der Auftragnehmer haftet im Rahmen der gesetzlichen Bestimmungen für Schäden, die infolge schuldhaften Verhaltens gegen die Datenschutzbestimmungen oder gegen diese Datenschutzvereinbarung entstehen.
14. SCHLUSSBESTIMMUNGEN
14.1 Die Einrede des Zurückbehaltungsrechts im Sinne von § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten ausgeschlossen.
14.2 Die Anlage oder im Falle mehrerer abgeschlossener Hauptverträge die Anlagen zu diesem Vertrag sind wesentlicher Bestandteil desselben.
14.3 Für Änderungen oder Nebenabreden ist die Schriftform oder ein elektronisches Format erforderlich. Dies gilt auch für Änderungen dieses Formerfordernisses.
14.4 Erweist sich eine Bestimmung dieser Vereinbarung als unwirksam, so berührt dies die Wirksamkeit der übrigen Bestimmungen der Vereinbarung nicht.
ANLAGE ZUM AUFTRAGSVERARBEITUNGSVERTRAG
1) GEGENSTAND DES AUFTRAGES
- Gegenstand des Vertrags ist die Verarbeitung im Rahmen der Allgemeinen Geschäftsbedingungen (AGB) zwischen Auftragnehmer und Auftraggeber und der damit einhergehenden Nutzung der Software.
- Umfang, Art (Art. 4 Nr. 2 DSGVO) und Zweck der Datenverarbeitung
Die Software des Auftraggebers “Roger” ermöglicht es, Patienten zu verwalten, inklusive dazugehöriger Patienten-Kommunikation und damit einhergehenden Erstellung, Bearbeitung und Sicherung von Informationen.
Das Erfassen, die Organisation, Speicherung, Auslesung, Abfrage, Verwendung, Übermittlung, Verknüpfung und Löschen für die Bereitstellung der Software “Roger”. - Art der Daten
Roger verbindet sich über eine Schnittstelle mit der Praxisverwaltungssoftware des Auftraggebers. Dabei werden sensible Gesundheitsdaten der Patienten an Roger übertragen. Die folgenden Gesundheitsdaten erhebt, verarbeitet und nutzt Roger ausschließlich, um die Leistungen gemäß der AGB erbringen zu können:- Daten über Behandlungspläne einzelner Patienten
- Behandlungsplannummer
- Art des Plans (z.B. Zahnersatz, Implantat, Füllung etc.)
- Aufstellungsdatum
- Druckdatum
- Versanddatum
- Abrechnungsdatum
- Eingliederungsdatum
- Deaktivierung eines Plans
- Genehmigungsdatum einer gesetzlichen Krankenkasse
- Gutachterdatum
- Kostenschätzung eines Plans
- Material- und Laborkosten
- Honorar
- Patientendaten
- Patientennummer
- Name
- Mobiltelefonnummer
- E-Mail-Adresse
- Geburtsdatum
- Versicherungsform (privat, GKV)
- Versicherungsträger (z.B. AOK Nord)
- Anamnesedaten vorliegend
- Datum des letzten Factoring Einverständnis
- Datum der Einladungen der eGK
- Behandlungstermine
- Termindaten
- Terminkategorie
- Termin abgesagt
- Daten über die Praxis:
Die personenbezogenen Daten der Praxis werden verarbeitet, um den Nutzern die Navigation auf Roger zu ermöglichen, um die Identifizierung eines Nutzers durch Verknüpfung mit einem Abonnementvertrag zu ermöglichen, um die Handlungen des Nutzers auf dem Portal zu verfolgen, um dessen Nutzung zu verbessern und auf Supportanfragen zu reagieren, die er oder ein anderer Nutzer des Abonnementvertrags formulieren könnte und allgemein seine Dienste zu verbessern. Dabei werden folgende Daten erhoben und verarbeitet:- Name der Praxis
- Standorte
- Anzahl Behandlungsstühle
- Eingesetzte Software
- Telefon
- Öffnungs- oder Sprechzeiten
- Daten über Praxismitarbeiter
- Name
- Beruf bzw. Rolle in der Praxis (z.B. Zahnarzt, Prohpylaxehelfer, ZFA)
- Behandlernummer
- Behandlerkürzel
- Avatar
- Technische Daten:
Das sind Daten, die Roger informieren, welche Hard- und Software vom Nutzer der Roger Software verwendet wird und in welchem Zustand sie sich befindet- PVS Version
- Browser-Version des Endgeräts
- Betriebssoftware des Endgeräts (z.B. Windows oder Apple)
- Daten über die Auslastung der lokalen Hardware (CPU, Arbeitsspeicher)
- Teamviewer Daten
- Daten über Behandlungspläne einzelner Patienten
- Kreis der Betroffenen:
Betroffenengruppe: Mitarbeiter des Auftraggebers/des Verantwortlichen
Beschreibung: Eigene Mitarbeiter des Auftraggebers/ des Verantwortlichen
Beispiele: Praxispersonal
Betroffenengruppe: Patienten/ Kunden des Auftraggebers/des Verantwortlichen
Beschreibung: Jede Person, mit der ein Vertragsverhältnis (mit der jeweiligen verantwortlichen Stelle) besteht
Beispiele: Patienten
Betroffenengruppe: Kinder
Beschreibung: Personen unter 16 Jahren
2) BERECHTIGTE PERSONEN
2.1 Weisungsberechtigte Personen des Auftraggebers sind:
Vertragspartei des Roger Hauptvertrages, Praxistelefon, Praxismail
2.2 Weisungsempfänger beim Auftragnehmer sind:
Victor Charlier
+41 76 506 56 96
victor.charlier@goroger.ch
3) DATENSCHUTZBEAUFTRAGTE DES AUFTRAGNEHMERS
QUR.DIGITAL GMBH
Katharina Böck
Große Elbstraße 42, 22767 Hamburg
Tel.: +49(0)40 3252 4552
info@qur.digital
4) UNTERAUFTRAGNEHMER
Zum Kreis der genehmigten Unterauftragnehmer bei Abschluss dieses Vertrages gehören:
1) “Twilio”, eine API Plattform für Telefondienstleistungen des US-Anbieters Twilio Inc. 375 Beale Street, Suite 300 San Francisco, CA 94105, US.
Verarbeitete Datenkategorien: Telefonnummern, SMS Nachrichten
Beschreibung der Tätigkeit: Roger nutzt den Anbieter “Twilio”, um den Erhalt und Versand von SMS Nachrichten zwischen dem Auftraggeber und Patienten zu ermöglichen. Die Datenschutzbestimmungen des Anbieters können Sie hier einsehen: https://www.twilio.com/legal/privacy.
Ort der Datenverarbeitung: USA
Garantien 44 ff.: Standardvertragsklauseln
2) Sentry, 1501 Mariposa St #408, San Francisco, CA 94107, USA
Verarbeitete Datenkategorien: IP adresse (gekürzt)
Beschreibung der Tätigkeit: Die Daten der Auftraggeber, wie z.B. Angaben zum Gerät oder Fehlerzeitpunkt werden pseudonymisiert erhoben und nicht personenbezogen genutzt sowie anschließend gelöscht. Weitere Informationen hierzu finden Sie in der Datenschutzerklärung von Sentry: https://sentry.io/privacy/
Ort der Datenverarbeitung: USA
Garantien 44 ff.: Standardvertragsklauseln
3) Google LLC,1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, “Google”
Verarbeitete Datenkategorien: IP adresse (gekürzt)
Beschreibung der Tätigkeit: Roger verwendet Firebase Authentication, um den Aufbau sicherer Authentifizierungssysteme zu vereinfachen und gleichzeitig das Anmeldeerlebnis für Endnutzer zu verbessern. Es bietet eine End-zu-Ende Identitätslösung, die unter anderem E-Mail- und Passwortkonten unterstützt. Roger nutzt alle Möglichkeiten, um die Erhebung personenbezogener Daten zu deaktivieren oder vorab zu anonymisieren (IP Adresse), so dass außer einer temporären FireBase Instance ID (FireBase Token) keine personenbezogenen Daten durch FireBase verarbeitet werden. Weitere Informationen hierzu finden Sie in der Datenschutzerklärung von Firebase: https://firebase.google.com/support/privacy
Ort der Datenverarbeitung: USA
Garantien 44 ff.: Standardvertragsklauseln
4) 360Dialog GmbH, Torstraße 61, 10119 Berlin, Germany
Verarbeitete Datenkategorien: Telefonnummern, WhatsApp Nachrichten
Beschreibung der Tätigkeit: 360Dialog ist ein offizieller WhatsApp Solution Provider (BSP) und ermöglicht seinen Auftraggebern die Nutzung der WhatsApp Business API. 360Dialog speichert die verarbeiteten Daten in Deutschland und verschlüsselt die Inhalte der Nachrichten so, dass WhatsApp und der Mutterkonzern Facebook auf den Inhalt der verschickten Nachrichten keinen Zugang haben. Roger nutzt 360 Dialog nur, wenn der Auftraggeber WhatsApp Nachrichten versenden möchte. Unseren AV Vertrag mit 360 Dialog finden Sie unter https://tinyurl.com/ywz6wypp
Ort der Datenverarbeitung: DE
5) Google Cloud EMEA Limited Velasco Clanwilliam Place Dublin 2 Ireland
Verarbeitete Datenkategorien: (Verschlüsselte) Gesundheitsdaten
Beschreibung der Tätigkeit: Wir nutzen die Google Cloud Platform, um die für den Betrieb der Software nötigen Daten zu speichern. Dabei verwenden wir ein Verwaltungssystem für Verschlüsselungs-Keys, die Google nicht zugänglich sind. Dadurch hat Google ausschließlich Zugriff auf vollständig verschlüsselte Daten und könnte auch von Dritten nicht verpflichtet werden, die Daten zu entschlüsseln und offenzulegen.
Ort der Datenverarbeitung: DE
6) Sanos Technologies GmbH, Rykestraße 3, 10405 Berlin
Verarbeitete Datenkategorien: Siehe 1.3 der Anlage
Beschreibung der Tätigkeit: Die Sanos Technologies GmbH agiert als technischer Dienstleister für die Sanos Group AG und erhebt, speichert und verarbeitet die unter Punkt 3) genannten Daten im Auftrag der Muttergesellschaft.
Ort der Datenverarbeitung: DE
5. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
5.1 Zutrittskontrolle zu Räumlichkeiten und Einrichtungen, in denen Daten verarbeitet werden
Der Auftragsverarbeiter hat im Rahmen der Zutrittskontrolle folgende Maßnahmen ergriffen:
- Zutrittskontrolle Gebäude, Räume:some text
- Zutrittskontrollsysteme für für das Gebäude und auch für einzelne Räume/Räumlichkeiten, in denen die Datenverarbeitung stattfindet
- Eine Alarmanlage, die jede Nacht scharf gestellt wird, um unbefugten Zutritt außerhalb der Geschäftszeiten zu verhindern
- Videoüberwachung der Zu-Wege
- Nach Geschäftsschluss werden alle Räumlichkeiten verschlossen. Insbesondere Datenträger werden sicher aufbewahrt.
- Es besteht eine Sicherung von sonstigen Zu- und Ausgängen, z.B. Fenster, Notausgänge, Lüftungsöffnungen
- Kontrollierte, dokumentierte Schlüsselvergabe, nicht duplizierbare Schlüssel, sichere Verwahrung von zusätzlichen Schlüsseln, Zutrittskarten etc.
- Einbruchsichere Stahltüren, die einen erhöhten Schutz vor unbefugtem Zugang bieten.
- Türsicherung (Sicherheitsschlösser, elektrische Türöffner)
- Sicherung des Serverraums vor Zutritt unberechtigter Personensome text
- Anzahl der Personen, die Zugang zum Serverraum haben, auf das Notwendigste begrenzt
- Sensible Daten liegen ohnehin nur auf Servern außerhalb des Unternehmens
- Datenträger werden in einem Feuersicheren Tresor sicher aufbewahrt
- Protokollierung des Zugriffs zum Rechenzentrum (Digital nicht physisch)
5.2 Zugangs- und Zugriffskontrolle
Der Auftragsverarbeiter hat im Rahmen der Zugangs- und Zugriffskontrolle (zu IT-Systemen) folgende Maßnahmen ergriffen:
- Dokumentation der Ausgabe von Hardware an Mitarbeiter
- Login mit Benutzerkennung und Passwortsome text
- Passwortverschlüsselung (auch Administratoren können Passwörter nicht einsehen)
- Kennwort Verfahren/Passwort Regelungen werden automatisch durchgesetzt some text
- min. 3 von 4 Kriterien Sonderzeichen, Großbuchstaben und Kleinbuchstaben, Zahlen
- Mindestlänge von 12 Zeichen
- Zudem besteht bei Google Workspace Accounts die Pflicht zu einer 2 Factor-Authentifizierung
- Automatischer Logout erfolgt nach festgelegter Inaktivitätsdauer von wenigen (<15) Minuten
- Einsatz von Passwortmanager (1password) zum Generieren und Teilen von Passwörtern
- Schulung von Mitarbeitern, Awareness-Training
- Auswertungen / Reports zu Zugriffen auf Systeme
- Verschlüsselung von Datenträgern
- Rechte und Rollenmanagementsome text
- Kontinuierlich verbessertes Berechtigungskonzept
- Individuelle Einrichtung von Zugangsrechten (Zugangsrechte sind für die Mitarbeiter auf die Programme beschränkt, die sie auch verwenden müssen)
- Personalisierte Accounts (eindeutige Benutzer-ID/Benutzer-Zuordnung), kein „Account-Sharing” (Nutzung eines Accounts durch mehrere Personen)
- Einrichtung jeweils nur eines Benutzerstammsatzes pro User
- Anzahl der Systemadministratoren auf das Notwendigste begrenzt
- Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte, Bsp.: Begrenzung des Zugriffs auf Ordner nach dem „need-to-know“ Prinzip)
- Für die IT-Administration werden spezifische administrative Rollen definiert, die jeweils für Aufgaben wie die Anlage neuer Benutzer, die Durchführung von Backups und die Konfiguration der Firewall verantwortlich sind.
- Zwei Faktor Authentifizierung für Administratoren
- Jede dieser Rollen wird mit den minimal notwendigen Zugriffsrechten ausgestattet, um Sicherheitsrisiken zu minimieren und Verantwortlichkeiten klar abzugrenzen.
- Ordnungsgemäße Vernichtung/Löschung von Datenträgernsome text
- Alle physischen Dokumente mit sensiblen Daten müssen durch einen Aktenvernichter der Sicherheitsstufe P-4 oder höher vernichtet werden.
- Datenträger müssen vor ihrer Wiederverwendung durch sichere Löschmethoden, wie mehrfaches Überschreiben, vollständig gelöscht werden.
- Festplatten, CDs, DVDs und USB-Sticks sollten vor der Entsorgung physisch zerstört werden, um eine Wiederherstellung der Daten zu verhindern.
- Netzwerkschutzsome text
- Schadsoftware Schutz für den Server
- Firewall/Virenschutz für Rechner/Geräte
- Das Firmennetzwerk wird durch ein Eindringung-Erkennungssystem (Intrusion Detection System) kontinuierlich überwacht
- VPN Technologie um aus der Ferne zuzugreifen
- Incident Response Management
- Schutz von Schnittstellen gegen unbefugtes Eindringen von außen (z.B. WLAN, USB, Netzwerksteckdosen)
- Organisatorische Vorkehrungen zur Verhinderung unberechtigter Zugriffe auf personenbezogene Daten am Arbeitsplatz some text
- Clean-Desk-Policy
- Mitarbeiter werden regelmäßig in Datenschutzbestimmungen und den sicheren Umgang mit personenbezogenen Daten geschult. Diese Schulungen beinhalten konkrete Anweisungen, wie sie Daten am Arbeitsplatz schützen können.
- Einsatz von Kolide (https://www.kolide.com/) das zusätzlich andere Maßnahmen automatisch durchführt:some text
- Security und Compliance Checks
- Passwort Regelungen durchsetzung
- Eine zusätzliche Firewall bereitstellt
- Computer werden nach unverschlüsselten Keys durchsucht
- sämtliche Risikofaktoren werden unmittelbar gemeldet, und Maßnahmen zur Behebung durchgeführt
- Externe Dienstleister / Fremdpersonal: some text
- Fremdpersonal erhält nur Zugang zu Bereichen ohne offene, personenbezogene Daten; bei unvermeidbarem Zugang ist Begleitung erforderlich.
- Externe Dienstleister müssen vorab eine Vertraulichkeitsvereinbarung unterzeichnen.
- Fremdpersonal darf keine Systeme oder Akten mit personenbezogenen Daten öffnen; Wartung nur unter Aufsicht.
- Datenverarbeitungen durch Externe werden durch gezielte Überwachung der Fernwartung und die regelmäßige Auswertung von Logfiles kontrolliert
- Absicherung von Fernwartungs-Zugängen, Servern und Endgeräten, externen Schnittstellen (z.B. USB)
5.3 Eingabekontrolle
Der Auftragsverarbeiter hat im Rahmen der Eingabekontrolle folgende Maßnahmen ergriffen:
- Login- und Logout-Protokollierung
- Protokollierungen der Aktivitäten des IT-Systems selbst sowie der Aktivitäten der IT-Administratoren Tätigkeiten
- Protokollierung hinsichtlich der Benutzeraktivitäten
- Datenschutzgerechte Aufbewahrung dieser Protokolle
- Dokumentation von durchgeführten Wartungs-, Fernwartungs- oder Reparaturarbeiten am IT-System
- Sicherstellung der Integrität neuer Programme und Updates, z.B. durch einen Prozess zur Sicherstellung, dass Mitarbeiter nicht selbst Programme herunterladen oder installieren können
- Schadsoftware Check für erhaltene und auszuliefernde Datenträger
- Dokumentenmanagementsysteme
- Komplette Sicherung der betroffenen Systeme vor größeren Wartungs-/Fernwartungs- oder Reparaturarbeiten
5.4 Auftragskontrolle
Der Auftragsverarbeiter hat im Rahmen der Auftragskontrolle folgende Maßnahmen ergriffen:
- Kriterien zur sorgfältigen Auswahl der Unterauftragnehmer
- Eindeutige Vertragsgestaltung, schriftliche Festlegung der Weisungen
- Maßnahmen, die gewährleisten, dass die Verarbeitung personenbezogener Daten im Auftrag entsprechend den Weisungen des Auftraggebers erfolgen, z.B. schriftliche Weisungen, Dokumentation der Weisungen, Angebot und Auftragsbestätigung, Sicherstellung der Verpflichtung der Mitarbeiter des Auftragnehmers auf die datenschutzrechtliche Vertraulichkeit, vertraglich festgelegte Verantwortlichkeiten (Weisungsberechtigte und Weisungsempfänger), regelmäßige Kontrollen im Unternehmen
- Auftragsverarbeitungsverträge
- Schriftliche Auftragserteilung
- Prüfung der Wirksamkeit von Garantien der (Unter-)Auftragnehmer (z.B. über Zertifikate)
- Kontrolle der Vertragsausführung
- Kontrolle der TOM der Auftragnehmer
- Kontrollen der Subunternehmer (v. a. der technischen und organisatorischen Maßnahmen)
- Verzeichnis aller Auftragsverarbeitungsverträge
- Konzept für die Löschung der Daten nach Ende des Vertragsverhältnisses
- Vertragsstrafen bei Verstößen gegen die Vereinbarungen aus dem Auftragsverarbeitung Vertrag
Die personenbezogenen Daten der Auftraggeber, werden auf Servern von IT Dienstleistern innerhalb Deutschlands gespeichert, die diese Daten im Auftrag des Auftragnehmers und auf der Rechtsgrundlage des Art. 28 DSGVO verarbeiten und zur Einhaltung der gesetzlichen Bestimmungen über den Datenschutz und zur Datensicherheit verpflichtet sind. Das vom Auftragnehmer genutzte Rechenzentrum ist ein nach ISO 27001, ISO 27017 und ISO 27018 zertifizierter Hosting Provider. Die europäische ISO 27001 Zertifizierung stimmt überein mit den Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die europäische ISO Zertifizierung 27017 ist eine internationale Norm zur Absicherung von Cloud Services (Cloud Security), welche durch die ISO 27018 insbesondere im Hinblick auf den Schutz personenbezogener Daten (Cloud Privacy) ergänzt wird.
Customer Managed Keys (CMEK) im Rahmen der Google Cloud Nutzung
Wir verwenden ein Verwaltungssystem für Verschlüsselungs-Keys, die Google nicht zugänglich sind. Dadurch hat Google nur Zugriff auf vollständig verschlüsselte Daten und könnte auch von Dritten nicht verpflichtet werden, die Daten zu entschlüsseln und offenzulegen. Für mehr Informationen zum CMEK: https://cloud.google.com/kms/docs/cmek?hl=de
5.5 Getrennte Verarbeitung von Daten/Trennungskontrolle
Der Auftragsverarbeiter hat im Rahmen der Trennungskontrolle folgende Maßnahmen ergriffen:
- Logische und strikte Trennung von Daten, die verschiedene Kunden/Auftraggeber betreffen: some text
- durchgehende Überprüfung von Organisation Keys durch alles Systeme
- Trennung von Daten, die zu verschiedenen Zwecken verarbeitet werden
- Nutzung von unterschiedlichen, kundenspezifischen bzw. mandantenfähigen Systemen
- Detaillierte Zugriffskonzepte (z.B. Bearbeitung der Daten unterschiedlicher Auftraggeber durch jeweils andere Mitarbeiter)
- Interne Mandantenfähigkeit/Zweckbindung
- Funktionstrennung (Produktion/Test)
- Physikalische oder logische Trennung
- Einhaltung verschiedener Löschfristen wird gewährleistet
5.6 Weitergabekontrolle
Der Auftragsverarbeiter hat im Rahmen der Weitergabekontrolle folgende Maßnahmen ergriffen:
- WLAN-Zugänge gesichert
- Der Zugang zum Netzwerk wird in einen internen Bereich und einen öffentlichen Bereich, Gastzugang unterteilt, um die Sicherheit und den Schutz sensibler Daten zu gewährleisten.
- Sicherung von Daten bei Übertragung auf dem elektronischen Weg
- E-Mail-Verschlüsselung (SSL, TSL)
- Durchführung von regelmäßigen Schulungen für Mitarbeiter zur sicheren Datenübermittlung.
- Daten werden ausschließlich verschlüsselt und mit digitalen Signaturen Versehen weitergegeben
- Physische Datenübermittlung von Patienten-Date ist in der Sanos AG gänzlich untersagt
- Für alle anderen Daten besteht die Verpflichtung zur Versandbestätigung, zur Kennzeichnung der Sendungen als vertraulich oder sensibel sowie zur Nutzung verschließbarer Mappen.
- Protokollierung der Empfänger von Daten
- Protokollierung von Daten Abrufen / Logging
- Tunnelverbindung (VPN = Virtual Private Network) um auf Daten zugreifen zu können
- Verschlüsselte Plattformen zur Weitergabe von Daten
- Verschlüsselte Datenübertragung/ Verschlüsselung von Daten auf Datenträgern
Sämtliche Kommunikation zwischen dem Nutzer und der Roger Software erfolgt ausschließlich auf Basis der jeweils aktuellsten Verschlüsselungstechnologie. Die Verschlüsselung erfolgt automatisch und erfordert keinen Eingriff durch den Auftraggeber. Ein oder mehrere Verschlüsselungsmechanismen werden dabei verwendet. Beispielsweise werden alle neu auf nicht flüchtigem Speicher gespeicherten Daten gemäß dem Standard AES-256 verschlüsselt, wobei jeder Verschlüsselungsschlüssel wiederum mit einem Satz von Master-Schlüsseln verschlüsselt wird, die regelmäßig durchgewechselt werden.
5.7 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Der Auftragsverarbeiter hat im Rahmen der Kontrolle zur Verfügbarkeit und Belastbarkeit folgende Maßnahmen ergriffen:
- Datensicherungsome text
- Regelmäßige Datensicherungen/Backup-Verfahren, Widerstandsfähigkeit (Resilience) von IT-Systemen
- Datensicherungen werden in der Cloud auf getrennten Servern sicher aufbewahrt.
- Das Datensicherungskonzept sollte regelmäßig auf alle relevanten Funktionalitäten getestet und bei Bedarf angepasst werden. Bei festgestellten Schwachstellen oder neuen Anforderungen wird das Konzept unverzüglich angepasst und optimiert.
- Notfallplan für einen IT-Notfall (Disaster Recovery Plan) und für Datenschutzverletzungensome text
- Der Disaster-Recovery-Plan wird regelmäßig intensiv getestet, um die Wirksamkeit und Reaktionsfähigkeit im Krisenfall sicherzustellen. Bei entdeckten Schwachstellen oder geänderten Anforderungen wird der Plan umgehend aktualisiert und verbessert.
- Klare Meldewege für IT-Notfälle und Datenschutzverletzungen
- Maßnahmen zur Sicherung des Serverraums und der IT-Infrastruktursome text
- Virenschutz, Firewall, Anti-Spy-Software, Spam-Filter, IDS oder IPS-Systeme
- Integrität der IT-Systeme
- Unterbrechungsfreie Stromversorgung
- Überspannungsschutz der Stromversorgung
- Klimatisierter Serverraum mit Überwachung der Funktionen
- Feuermeldesystem
- Brandschutz
- Automatischer Shutdown/Notabschaltung der Systeme, automatische Stromabschaltung
- Rauch- und Feuermelder, Sprinklersysteme, Feuertüren, Wasserschutzsysteme etc.
5.8 Organisationskontrolle
Der Auftragsverarbeiter hat im Rahmen der Organisationskontrolle folgende Maßnahmen ergriffen:
- Schriftliche Verpflichtung aller Mitarbeiter auf die datenschutzrechtliche Vertraulichkeit
- Verfahren zur Risikoabschätzung und zum Risikomanagement etabliert und dokumentiert
- Richtlinie zur Nutzung des betrieblichen Internetzugangs und des betrieblichen E-Mail-Accounts
- Regelmäßige Sensibilisierung/Schulung der Mitarbeiter, Richtlinien / Handbücher für die Mitarbeiter
- Organisation der Umsetzung des Datenschutzes (z.B. Bestellung eines Datenschutzbeauftragten; interne Mitarbeiter, die den Datenschutzbeauftragten unterstützen)
- Auditierung der internen Prozesse
- Aufstellung eines Datenschutzkonzeptes
- Vorliegen eines IT-Sicherheitskonzepts
- Richtlinie/Arbeitsanweisung zum Umgang mit personenbezogenen Daten im Homeoffice/ Mobile Office
- Richtlinie zur Nutzung privater Geräte für betriebliche Tätigkeiten (Bring-Your-Own-Device)
5.9 Privacy by Default und Privacy by Design
Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen:
Privacy by Default:
- Transparente Einstellungen und Optionen für den Nutzer zum Wählen der Einstellungen.
- Voreinstellungen, bei denen die Software nur die nötigsten Daten sammelt.
- Transparente Information der betroffenen Personen.
- Voreinstellungen, bei denen die Software die Zugänglichkeit von Daten auf das Nötigste beschränkt
Privacy by Design:
- Bei der Entwicklung oder beim Kauf von Software wird darauf geachtet, dass die Software so wenige Daten wie möglich für die Verarbeitung anfordert/benötigt
- Möglichkeiten bei der Software mit pseudonymisierten oder anonymisierten Daten zu arbeiten
5.2.10 Wirksamkeitskontrolle
Der Auftragsverarbeiter hat im Rahmen der Wirksamkeitskontrolle folgende Maßnahmen ergriffen:
- Regelmäßige Kontrollen der Wirksamkeit der eingesetzten technischen und organisatorischen Maßnahmen
- Regelmäßige Kontrolle der Funktionstüchtigkeit der Anti-Viren-Software und der Firewall
- Regelmäßige Kontrolle und Dokumentation des Berechtigungsmanagements
- Audit durch externen Anbieter (CISOCON GmbH, Kurfürstendamm 194 10707 Berlin)
- Penetrationstests