Auftragsverarbeitungsvertrag
Zwischen
Auftraggeber – als Verantwortlicher (nachfolgend "Auftraggeber")
und
MAWI Software Solutions
Cosimastraße 121, 81925 München
– als Auftragsverarbeiter (nachfolgend "Auftragnehmer")
Präambel
Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Rahmen der Leistungserbringung durch den Auftragnehmer im Auftrag des Auftraggebers gemäß Art. 28 DSGVO. Ziel ist die Sicherstellung der datenschutzkonformen Verarbeitung durch geeignete technische und organisatorische Maßnahmen (TOM).
1. Begriffsbestimmungen
Für in dieser Vereinbarung benutzte Begriffe, für die Art. 4 DS-GVO eine Begriffsbestimmung vorsieht, gilt diese gesetzliche Definition in der im Zeitpunkt des Vertragsschlusses geltenden Fassung auch für diesen Vertrag.
2. Datenschutz-Aufsichtsbehörde
Zuständige Aufsichtsbehörde für den Auftragnehmer ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Wagmüllerstraße 18, 80538 München
E-Mail: poststelle@datenschutz-bayern.de
Beide Parteien arbeiten mit der zuständigen Aufsichtsbehörde gemäß Art. 31 DSGVO zusammen.
3. Vertragsgegenstand und Art der Verarbeitung
(1) Der Auftragnehmer stellt SaaS-Leistungen zur Verfügung (Plattformbetrieb, API-Zugänge, KI-basierte Sprachverarbeitung, Kommunikation), bei denen personenbezogene Daten verarbeitet werden. Die konkrete Verarbeitung ergibt sich aus dem Hauptvertrag sowie Anlage 1.
(2) Der Zweck ist die Nutzung der Plattform durch den Auftraggeber zur Kommunikation mit Endkunden, einschließlich API- und Sprachschnittstellen.
(3) Die Verarbeitung kann auch in Drittländern erfolgen, sofern die Voraussetzungen der Art. 45–49 DSGVO erfüllt sind. Eine Liste der genehmigten Subprozessoren findet sich in Anlage 3.
4. Weisungen
(1) Der Auftragnehmer handelt ausschließlich auf dokumentierte Weisung des Auftraggebers.
(2) Änderungen von Weisungen erfolgen schriftlich oder in Textform.
(3) Offensichtlich rechtswidrige Weisungen darf der Auftragnehmer ablehnen.
5. Art der Daten und betroffene Personen
Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf die in Anlage 1 näher spezifizierten personenbezogenen Daten der ebenfalls in Anlage 1 näher spezifizierten betroffenen Personen. Diese Daten umfassen die in Anlage 1 aufgeführten und als solche gekennzeichneten besonderen Kategorien personenbezogener Daten.
6. Schutzmaßnahmen des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht ohne entsprechende Weisung an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen in Papierform und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Der Auftragnehmer gewährleistet, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO, insbesondere mindestens die in Anlage 2 aufgeführten Maßnahmen getroffen hat. Sofern auch besondere Kategorien personenbezogener Daten verarbeitet werden, trifft der Auftragnehmer zusätzlich die sich aus § 22 Abs. 2 BDSG ergebenden angemessenen und spezifischen Maßnahmen, welche in Anlage 2 genauer spezifiziert sind. Der Auftragnehmer legt auf Anforderung des Auftraggebers die näheren Umstände der Festlegung welche Maßnahmen getroffen werden und die Umsetzung der Maßnahmen offen.
Eine Verbesserung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten und der Auftraggeber über wesentliche Veränderungen unverzüglich informiert wird.
(3) Die Kontaktdaten des Datenschutzbeauftragten oder – sofern ein Datenschutzbeauftragter nach Art. 37 Abs. 1 DS-GVO bzw. § 38 BDSG bzw. einem Landesdatenschutzgesetz nicht bestellt werden muss – des Ansprechpartners für den Datenschutz, veröffentlicht der Auftragnehmer auf seiner Internetseite https://voicery.ai/privacy auf der sich der Auftraggeber über die aktuellen Kontaktdaten jederzeit informieren kann. Ein Wechsel in der Person des Datenschutzbeauftragten/Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen.
(4) Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 Abs. 1 S. 2 lit. b DS-GVO), über die sich aus diesem Vertrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehren und mit der gebotenen Sorgfalt die Einhaltung der vorgenannten Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen der Mitarbeiter auf Verlangen in geeigneter Weise nachzuweisen.
7. Informationspflichten
(1) Bei Störungen bei den Verarbeitungstätigkeiten, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers oder Verdacht auf sonstige sicherheitsrelevante Vorfälle beim Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde, die für den Auftraggeber relevante Verarbeitungen oder Sachverhalte betreffen. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält, soweit möglich, folgende Informationen:
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze
b) eine Beschreibung der wahrscheinlichen Folgen der Verletzung
c) eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
(2) Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der betroffenen Daten und zur Minderung möglicher nachteiliger Folgen für die betroffene(n) Person(en), informiert hierüber den Auftraggeber, ersucht ihn um weitere Weisungen und erteilt dem Auftraggeber jederzeit weitere Auskünfte, soweit dessen Daten von einer Verletzung nach Abs. 1 betroffen sind.
(3) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber liegt.
(4) Über wesentliche Änderungen der Sicherheitsmaßnahmen nach § 6 Abs. 2 hat der Auftragnehmer den Auftraggeber unverzüglich zu unterrichten.
(5) Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gem. Art. 30 Abs. 2 DS-GVO enthält. Das Verzeichnis ist dem Auftraggeber auf Anforderung zur Verfügung zu stellen.
(6) An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber sowie bei der Erstellung einer Datenschutz-Folgenabschätzung gem. Art. 35 DS-GVO und ggf. bei der vorherigen Konsultation der Datenschutz-Aufsichtsbehörden gem. Art. 36 DS-GVO hat der Auftragnehmer im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
8. Kontrollrechte
(1) Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers. Hierfür kann er zB Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers, sofern möglich, nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören. Hierbei hat er eine Ankündigungsfrist von mindestens 2 Wochen einzuhalten, sofern nicht ein akuter Vorfall auf die Nichteinhaltung der technisch-organisatorischen Maßnahmen durch den Auftragnehmer schließen lässt. In einem solchen Fall wird der Auftragnehmer dem Auftraggeber unverzüglich die Kontrolle ermöglichen. Der Auftraggeber hat den Verdacht der Nichteinhaltung der technisch-organisatorischen Maßnahmen beim Auftragnehmer glaubhaft zu machen.
(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers gemäß Anlage 2 erforderlich sind.
(3) Der Auftraggeber dokumentiert das Ergebnis der von ihm durchgeführten Kontrollen und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
(4) Der Auftragnehmer stellt dem Auftraggeber auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung.
(5) Der Auftragnehmer weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach § 6 Abs. 4 auf Verlangen nach.
(6) Der Auftraggeber vergütet dem Auftragnehmer den angemessenen Aufwand, der ihm im Rahmen der Kontrolle entsteht.
9. Unterauftragsverarbeiter
(1) Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung der in Anlage 3 genannten Subunternehmer durchgeführt. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) befugt. Er setzt den Auftraggeber hiervon unverzüglich in Kenntnis. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (zB durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.
(2) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören zB Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen Subunternehmerverhältnisse iSv Abs. 1 dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.
10. Betroffenenrechte
(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Rechten der Betroffenen gemäß Art. 12–22 DSGVO.
(2) Anfragen von Betroffenen werden an den Auftraggeber weitergeleitet.
(3) Der Auftragnehmer unterstützt den Auftraggeber angemessen bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO. Er stellt hierzu alle erforderlichen Informationen, technischen Beschreibungen und Bewertungen seiner Schutzmaßnahmen zur Verfügung.
11. Haftung
(1) Die Haftung richtet sich nach Art. 82 DSGVO.
(2) Die Parteien stellen sich jeweils von der Haftung frei, wenn/soweit eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einer betroffenen Person eingetreten ist, verantwortlich ist. Im Übrigen gilt Art. 82 Abs. 5 DS-GVO.
(3) Sofern vorstehend nicht anders geregelt, entspricht die Haftung im Rahmen dieses Vertrages der des Hauptvertrages.
12. Vertragsbeendigung & Datenlöschung
(1) Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen in Papierform, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – innerhalb von 30 Tagen löschen. Die Herausgabe- bzw. Löschverpflichtung betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung zu führen.
(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren oder durch einen sachkundigen Dritten prüfen zu lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.
(3) Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Informationen vertraulich zu behandeln.
13. Schlussbestimmungen
(1) Die Parteien sind sich darüber einig, dass dem Auftragnehmer kein Zurückbehaltungsrecht hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger zusteht.
(2) Änderungen und Ergänzungen dieses Vertrags, die Erklärung einer Kündigung sowie die Abänderung dieser Klausel bedürfen zu ihrer Wirksamkeit der Schriftform (§ 126 Abs. 1, 2 BGB). Die Ersetzung der Schriftform durch die elektronische Form (§§ 126 Abs. 3, 126 a BGB) oder die Textform (§ 126 b BGB) ist ausgeschlossen. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
(3) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
(4) Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist München.
Anlagen
Anlage 1 – Beschreibung der betroffenen Personen/Betroffenengruppen sowie der besonders schutzbedürftigen Daten/Datenkategorien
Anlage 2 – Technische und organisatorische Maßnahmen des Auftragnehmers
Anlage 3 – Genehmigte Untrauftragsverarbeiter
Die jeweils geltenden Informationen zu den genehmigten Unterauftragnehmern sind unter folgender URL abrufbar und Bestandteil dieser Vereinbarung: https://www.voicemind.de/avv-anlage-3
München, 01.08.2025
Anlage 1
Beschreibung der betroffenen Personen/ Betroffenengruppen sowie der besonders schutzbedürftigen Daten/Datenkategorien
Kreis der betroffenen Personen
• Kunden und Interessenten des Auftraggebers
• Bewerber des Auftraggebers
• Mitarbeiter des Auftraggebers
• Dienstleister, Lieferanten oder andere mit dem Auftraggeber in geschäftlichem Kontakt stehende Personen
Art der verarbeiteten personenbezogenen Daten
• Personenstammdaten, insbesondere: Vorname, Name, Adresse, Geburtsdatum.
• Kommunikationsdaten (Sprachaufzeichnungen, Chat Protokolle, E Mail Texte
• Telefonnummer, E Mail Adresse, Postanschrift
• Online-Daten (IP-Adressen)
• Verbindungs- und Nutzungsdaten (z.B. logfiles)
• Vertragsstammdaten
• Vertragsabrechnungs- und Zahlungsdaten, Bankdaten
• Daten zu persönlichen und wirtschaftlichen Verhältnissen
Besondere Kategorien personenbezogener Daten
Werden nicht erhoben
Anlage 2
Technische und organisatorische Maßnahmen des Auftragnehmers
Schutzart: 1.1.1 Vertraulichkeit: Zutrittskontrolle
1.1.1.02 Das Unternehmensgelände wird durch eine Videoanlage überwacht.
1.1.1.03 Zugängliche Fenster und Außentüren der Unternehmensräumen sind einbruchssicher auszuführen.
1.1.1.04 Eingangstüren zu Unternehmensgebäuden oder Räumen sind durch eine genormte Schließanlage gesichert (Sicherheitsschlösser, Chipkarten, Transponder, Codeschloss).
1.1.1.06 Vergabe, Verlust und Rückgabe von Schlüsseln, Transpondern, Chipkarten oder Codes werden dokumentiert.
1.1.1.08 Personen erhalten sicherlich nur dort Zutritt, wo Sie für die Erfüllung Ihrer Aufgaben auch Zutrittbenötigen.
1.1.1.14 Besucher:innen und Personal von Fremdfirmen werden von Mitarbeiter:innen begleitet.
1.1.1.16 Personal von Fremdfirmen mit ständigem Zugang zu den Unternehmensräumlichkeiten(Reinigungskräfte, Sicherheitskräfte, Wartungspersonal), wurde auf Geheimhaltung verpflichtet.
1.1.1.17 Zugänge zu Unternehmensräumen werden via Video überwacht (z.B. Videoüberwachung desZuganges zu einem Gebäude in dem Unternehmensräume angemietet wurden).
1.1.1.18 Unternehmensräume werden von innen mit einer Videoanlage überwacht.
1.1.1.20 Eine Alarmanlage überwacht alle Eingänge des Unternehmens.
Schutzart: 1.1.2 Vertraulichkeit: Zutrittskontrolle (sensible Räume)
1.1.2.10 Bildschirme, auf denen sensible Kundendaten verarbeitet werden, sind von außen (Fenster) oderinnen (Glastüre oder Glasfront) nicht einsehbar.
1.1.2.11 Eigene Server befinden sich in gesonderten Serverräumen.
1.1.2.13 Die Eingangstür zu Räumen in denen eigene Server stehen, verfügen entweder über einenautomatischen Schließ- und Sperrmechanismus oder werden beim Verlassen versperrt.
1.1.2.14 Eigene Server befinden sich in verschließbaren Racks.
1.1.2.15 In sensiblen Räumen (Personal, Kundenverwaltung, IT) befinden sich keine Geräte, zu denen einBenutzerkreis außerhalb der eigentlich Berechtigten Zugang benötigt (zB. Drucker).
Schutzart: 1.2 Vertraulichkeit: Zugangskontrolle
1.2.02 Laptops oder Smart-Devices (Ipad, etc.) werden nach Dienstende versperrt aufbewahrt oder werdenmit nach Hause genommen.
1.2.05 Die Anmeldung an einem Client erfolgt durch personenbezogene Benutzeraccounts (Benutzernameund Passwort oder ähnliche Verfahren (Gesichtserkennung, Fingerprint, etc.)).
1.2.06 Die Benutzer:innen am Client Rechner haben keine Administrator Rechte bzw. für die tägliche Arbeitwird mit einem Benutzer:in ohne Administratorrechten gearbeitet.
1.2.07 Sammelaccounts oder entpersonalisierte Benutzerzugänge auf Clients (mehrere Benutzer:innenteilen sich einen Zugang) existieren nicht.
1.2.08 Auf jedem verwendeten Client (Rechner) ist eine Firewall aktiv.
1.2.09 Auf jedem Client-Rechner ist eine Antiviren Software installiert, Diese wird täglich oder bei einerNeuanmeldung aktualisiert.
1.2.10 Eingehende Mails werden online am E-Mail Server (beim Hoster) auf Viren geprüft.
1.2.11 Eingehende Mails werden online am E-Mail Server (Hoster) auf Spam geprüft.
1.2.12 Auf jedem Client-Rechner ist eine (Antiviren-) Software installiert, die beim Surfen im Internetentsprechenden Schutz (Webfilter) bietet.
1.2.13 Bei Routern ins Internet (WLAN-Router) sind nur die absolut erforderlichen Ports freigeschaltet.
1.2.14 Der Zugang zum internen Netzwerk (WLAN) ist mit einem eigenen Passwort gesichert.
1.2.15 Der Zugang zu Systemen (Server, Software) von außerhalb des Unternehmens erfolgt überverschlüsselte Verbindungen (VPN, Zugriff via Citrix).
1.2.16 Der Zugang zur Konfigurationsoberfläche des (WLAN-) Routers wurde mit einem eigenenBenutzernamen und einem eigenen Passwort (ungleich Standard Benutzeraccount) gesichert.
1.2.17 Gäste erhalten über ein gesondertes WLAN Zugriff auf das Internet.
1.2.19 Eine Firewall ist auf jedem Übergang zum Internet aktiviert (Router).
1.2.21 Auf jedem Server und sonstigen Systemen (bei denen ein Datenaustausch über das Internet erfolgt)ist eine Antiviren-Software installiert, die täglich aktualisiert wird.
1.2.24 Bildschirme in Räumlichkeiten, zu denen Kund:innen (Patienten:innen...) Zugang haben, mit denenpersonenbezogene Daten verarbeitet werden können nicht eingesehen werden. Allenfalls existiert einentsprechender Sichtschutz.
1.2.25 Bildschirme werden automatisch bei Inaktivität gesperrt. Sie können nur durch Eingabe desBenutzerpasswortes oder ähnliche Verfahren (Fingerprint, Gesichtserkennung, etc.) wieder entsperrt
Schutzart: 1.4 Vertraulichkeit: Trennungsgebot
1.4.02 Bei Softwareapplikationen, die personenbezogene Daten verarbeiten, existiert eine Trennung inTest- und Produktivsystem.
1.4.03 Der Zugriff auf Daten in Datenbanken ist geregelt.
1.4.04 Die Sicherung der Daten (Backup) erfolgt auf physisch und örtlich getrennte Medien.
1.4.05 Softwareapplikationen und Dateiablagen, auf die mehrere Benutzer:innen Zugriff haben, sind miteinem Berechtigungssystem ausgestattet.
1.4.06 Die Verarbeitung personenbezogener Daten erfolgt nur für die festgelegten Zwecken.
1.4.07 Die Weitergabe personenbezogener Daten erfolgt nur für die festgelegten Zwecke.
Schutzart: 1.6 Vertraulichkeit: Verschlüsselung
1.6.04 Zur Datenweitergabe werden verschlüsselte Verbindungen wie https (-Webseite) oder sftp (FTPServer) genutzt.
1.6.05 Der Zugriff auf Systeme des Unternehmens von außen, erfolgt über verschlüsselte Verbindungen(zB. VPN-Tunnel).
1.6.07 Die Versendung von Mails mit sensiblem Inhalt oder sensiblen Daten im Mail oder in Anhängenerfolgt verschlüsselt.
Schutzart: 2.1 Integrität: 1. Eingabekontrolle
2.1.01 Dokumente oder Formulare in denen sensible Daten erhoben werden, werden aufbewahrt. Solangediese automatisch weiterverarbeitet werden, um Datenfehlübernahmen korrigieren zu können.
Schutzart: 2.2. Integrität: 2. Weitergabekontrolle
2.2.01 Die Übermittlung von personenbezogenen Daten zu Lieferanten (Auftragsverarbeiter) erfolgtverschlüsselt (Mailverschlüsselung, VPN Tunnel, etc.).
2.2.03 Auf Rechner wird mittels Fernwartung nur nach Zustimmung des Benutzers zugegriffen.Ausgenommen davon sind Update- und Konfigurationsvorgänge am Rechner mit Hilfe automatischerInstallationstools.
2.2.04 05
Die Daten auf Datenträgern von Laptops oder Desktop-Computern werden vor deren internenoder externen Weitergabe gelöscht oder formatiert.
2.2.05 Daten auf sonstigen Datenträgern (USB-Sticks, mobile oder ausgebaute Festplatten) werden vorderen internen und externen Weitergabe gelöscht oder formatiert.
2.2.06 Bei Druckern oder Faxgeräten werden deren interne Datenträger vor der externen Weitergabeformatiert oder die Daten nach Vorgaben des Herstellers gelöscht.
2.2.09 Datenträger werden vor der Entsorgung physisch zerstört.
Schutzart: 3.1 Verfügbarkeit und Belastbarkeit: Verfügbarkeitskontrolle
3.1.01 Auf Clients und Servern werden Updates und Sicherheitspatches regelmäßig eingespielt.
3.1.02 Von relevanten Systemen (zB. Buchhaltung, CRM, HR Software) oder sonstigen Systemen diepersonenbezogene Daten verarbeiteten, werden regelmäßige Datensicherungen erstellt.
3.1.03 Datensicherungen werden räumlich getrennt von den Produktivdaten aufbewahrt.
3.1.04 Es wird regelmäßig geprüft ob Datensicherungen vollständig rückgesichert werden können undDaten damit wieder hergestellt werden können.
3.1.07 Räume in denen personenbezogene Daten verarbeitet werden, verfügen über leicht erreichbare undgeeignete Löschmittel zur Brandbekämpfung (z.B. Feuerlöscher).
3.1.09 Server sind mit einer sekundären Stromversorgung (USV, Generatoren) abgesichert.
3.1.11 Server stehen in vor Hochwasser geschützten Räumen.
3.1.12 Räume in denen Server stehen, sind ausreichend vor Brand geschützt.
3.1.14 Der Zugang zu Servern ist nur für autorisierte Personen möglich.
Schutzart: 4.1 Verfahren zur Überprüfung: Datenschutz-Management
4.1.02 Es wird ein Verzeichnis der Verarbeitungstätigkeiten geführt und laufend aktualisiert.
4.1.03 Eine Überprüfung der Wirksamkeit der technisch-organisatorischen Maßnahmen findet jährlich statt.
4.1.04 Es existieren Abläufe zur Erfüllung der Rechte von betroffenen Personen.
4.1.05 Eine Datenschutz Management Software ist im Einsatz.
4.1.06 Die Informationspflichten (Datenschutzerklärung) werden regelmäßig geprüft.
Schutzart: 4.2 Verfahren zur Überprüfung: Incident-Response-Management
4.2.02 Ein Ablauf zur Meldung von Sicherheitsverletzungen an die Datenschutz-Behörde und betroffenenPersonen existiert.
4.2.07 Verarbeitungen werden hinsichtlich einer Datenschutz-Folgeabschätzung geprüft. Eine solche wirdbei Bedarf auch durchgeführt und dokumentiert.
Schutzart: 4.4 Verfahren zur Überprüfung: Auftragskontrolle
4.4.02 Die Auswahl von Auftragnehmern erfolgt unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlichDatensicherheit).
Globale Kommunikation. Einfach gemacht.
Jetzt anmelden und in wenigen Minuten professionelle Sprach-KI Agenten starten – ohne Programmierkenntnisse.
Produkt
Rechtliches
All rights reserved. © 2025