Vereinbarung zur Auftragsverarbeitung

gem. Art. 28 und 29 DSGVO


zwischen dem Kunden
(Nutzer der thevea Online-Plattform)
- Verantwortlicher - nachstehend Auftraggeber genannt -

und dem/der
thevea GmbH
Berthold-Beitz-Boulevard 514
45141 Essen
Tel.: 0201 32068496
- Auftragsverarbeiter - nachstehend Auftragnehmer genannt



1. Gegenstand und Dauer des Auftrags

(1) Gegenstand: Nutzung der thevea-Plattform.

(2) Dauer: Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Nutzung der thevea-Plattform und ist an diese gekoppelt.


2. Konkretisierung des Auftragsinhalts

(1) Art und Zweck der vorgesehenen Verarbeitung von Daten: 

Der Auftragnehmer (Nutzer der thevea-Plattform) hat via Internet Zugriff auf die thevea-Plattform. Mit dieser kann er seine Kunden und Verordnungen verwalten, die Abrechnungen der erbrachten Leistungen vorbereiten, bzw. diese zum Abrechnungszentrum √ľbertragen. 

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschlie√ülich in einem Mitgliedsstaat der Europ√§ischen Union oder in einem anderen Vertragsstaat des Abkommens √ľber den Europ√§ischen Wirtschaftsraum statt. 

(2) Art der Daten

  • Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
  • Adressdaten
  • Kontaktdaten
  • Geburtsdatum
  • Staatsangeh√∂rigkeit
  • Gesundheitsdaten
  • Versichertendaten
  • zust√§ndige √Ąrzte

(3) Kategorien betroffener Personen

  • Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
  • Kunden (Patienten)
  • Mitarbeiter / Besch√§ftigte


3. Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Ma√ünahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchf√ľhrung zu dokumentieren und dem Auftraggeber zur Pr√ľfung zu √ľbergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Ma√ünahmen Grundlage des Auftrags. Soweit die Pr√ľfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

(2) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Ma√ünahmen um Ma√ünahmen der Datensicherheit und zur Gew√§hrleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrit√§t, der Verf√ľgbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos f√ľr die Rechte und Freiheiten nat√ľrlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu ber√ľcksichtigen.

(3) Die technischen und organisatorischen Ma√ünahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative ad√§quate Ma√ünahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Ma√ünahmen nicht unterschritten werden. Wesentliche √Ąnderungen sind zu dokumentieren.

(4) Die technischen und organisatorischen Ma√ünahmen sind Bestandteil einer Auftragsver-arbeitung. Die technischen und organisatorischen Ma√ünahmen des Auftragnehmers sind in Anlage 1 dieser Vereinbarung dokumentiert.


4. Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenm√§chtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, l√∂schen oder deren Verarbeitung einschr√§nken. Soweit eine betroffene Person sich diesbez√ľglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverz√ľglich an den Auftraggeber weiterleiten.

(2) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.


5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Artt. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

  • Schriftliche Bestellung, soweit nach DSGVO bzw. BDSG-Neu erforderlich, eines Datenschutzbeauftragten, der seine T√§tigkeit gem√§√ü Artt. 38 und 39 DSGVO aus√ľbt. 
  • Dessen Kontaktdaten werden ggf. dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Ein Wechsel des Datenschutzbeauftragten wird ggf. dem Auftraggeber unverz√ľglich mitgeteilt.
  • Die Kontaktdaten der Datenschutzbeauftragten des Auftragnehmers sind:
    Datenschutz Kramer & Kramer GmbH, Herr Joachim Kramer, Tel.: 02052 / 92897-66, info@datenschutz-kramer.de
  • Dessen jeweils aktuelle Kontaktdaten sind auch auf der Website des Auftragnehmers leicht zug√§nglich hinterlegt.
  • Die Wahrung der Vertraulichkeit gem√§√ü Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchf√ľhrung der Arbeiten nur Besch√§ftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den f√ľr sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, d√ľrfen diese Daten ausschlie√ülich entsprechend der Weisung des Auftraggebers verarbeiten einschlie√ülich der in diesem Vertrag einger√§umten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
  • Die Umsetzung und Einhaltung aller f√ľr diesen Auftrag erforderlichen technischen und organisatorischen Ma√ünahmen gem√§√ü Artt. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO.
  • Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbeh√∂rde bei der Erf√ľllung ihrer Aufgaben zusammen.
  • Die unverz√ľgliche Information des Auftraggebers √ľber Kontrollhandlungen und Ma√ünahmen der Aufsichtsbeh√∂rde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zust√§ndige Beh√∂rde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
  • Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbeh√∂rde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsver-arbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kr√§ften zu unterst√ľtzen.
  • Der Auftragnehmer kontrolliert regelm√§√üig die internen Prozesse sowie die technischen und organisatorischen Ma√ünahmen, um zu gew√§hrleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutz-rechts erfolgt und der Schutz der Rechte der betroffenen Person gew√§hrleistet wird.
  • Nachweisbarkeit der getroffenen technischen und organisatorischen Ma√ünahmen gegen√ľber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.


6. Unterauftragsverhältnisse

(1) Als Unterauftragsverh√§ltnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu geh√∂ren Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen sowie sonstige Ma√ünahmen zur Sicherstellung der Vertraulichkeit, Verf√ľgbarkeit, Integrit√§t und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gew√§hrleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollma√ünahmen zu ergreifen. 

(1.1) Wird thevea in Kombination mit der Abrechnung √ľber ein Abrechnungszentrum genutzt, so ist der Auftragnehmer zur Vereinfachung der evtl. Daten√ľbermittlung an das entsprechende Abrechnungszentrum berechtigt, die Kundennummer des Kunden im Abrechnungszentrum anzufordern. Dies gilt auch f√ľr die Verifizierung eines g√ľnstigen Kombitarifes (thevea/Abrechnung) mit den entsprechenden Abrechnungszentren.

(2) Der Auftragnehmer hat bei Beauftragung weiterer oder anderer Unterauftragnehmer (weitere Auftragsverarbeiter) den Auftraggeber unverz√ľglich zu informieren. Der Auftragnehmer r√§umt dem Auftraggeber ein 14 t√§giges Widerspruchsrecht gegen den neunen Auftragnehmer ein. Widerspricht der Auftraggeber dem nicht, wird von einer Akzeptanz des Unterauftragnehmers ausgegangen. Neue Unterauftragnehmer werden dann in dieser AV Vereinbarung aufgenommen.

(2.1) Der Auftraggeber stimmt der Beauftragung der hier genannten Unterauftragnehmer zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe der Artt. 28 und 29 DSGVO.

Unterauftragnehmer

Adresse

Funktion

opta data

Finance GmbH

Berthold-Beitz-Boulevard 514

45141 Essen

Serverhosting der Datenbanken

Hetzner Online GmbH

Industriestr. 25

91710 Gunzenhausen

Hosting des Software-Frontend

opta data Abrechnungs GmbH Linz

Salzburger Str. 205

4030 Linz, √Ėsterreich

Verordnungserkennung mittels

KI-Software

Amazon Web Services Germany GmbH (AWS)

Krausenstr. 38

10117 Berlin

Hosting der KI-Software

Serverstandort Deutschland

FlixCheck GmbH

Martin-Kremmer-Straße 12

45327 Essen

Einholung von vertragsrelevanten Daten 


(2.2) Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit:

  • der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
  • der Auftraggeber nicht bis zum Zeitpunkt der √úbergabe der Daten gegen√ľber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
  • eine vertragliche Vereinbarung nach Ma√ügabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird

(3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges T√§tigwerden sind erst mit Vorliegen aller Voraussetzungen f√ľr eine Unter-beauftragung gestattet. Ferner muss er Auftragnehmer den Auftraggeber vor Auftragsvergabe an einen Unterauftragnehmer schriftlich informieren.

(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

(5) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdr√ľcklichen schriftlichen Zustimmung des Auftraggebers sowie des Hauptauftragnehmers. S√§mtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.


7. Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer √úberpr√ľfungen durchzuf√ľhren oder durch im Einzelfall zu benennende Pr√ľfer durchf√ľhren zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Gesch√§ftsbetrieb zu √ľberzeugen.

(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO √ľberzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Ausk√ľnfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Ma√ünahmen nachzuweisen.

(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch:

  • die Einhaltung genehmigter Verhaltensregeln gem√§√ü Art. 40 DSGVO;
  • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gem√§√ü Art. 42 DSGVO;
  • aktuelle Testate, Berichte oder Berichtsausz√ľge unabh√§ngiger Instanzen (z.B. Wirtschaftspr√ľfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualit√§tsauditoren);
  • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz oder DIN-ISO 27001).

(4) Eine Kontrolle j√§hrlich und Kontrollen bei Verdacht auf Datenschutzverletzungen sind kostenlos zu gew√§hrleisten. F√ľr dar√ľber hinausgehende Kontrollen kann ein Verg√ľtungsanspruch geltend gemacht werden. Dieser darf die tats√§chlich entstandenen Kosten nicht √ľberschreiten.


8. Mitteilung bei Verstößen des Auftragnehmers

(1) Der Auftragnehmer unterst√ľtzt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabsch√§tzungen und vorherige Konsultationen. Hierzu geh√∂ren u.a.

  • die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Ma√ünahmen, die die Umst√§nde und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer m√∂glichen Rechtsverletzung durch Sicherheitsl√ľcken ber√ľcksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen erm√∂glichen
  • die Verpflichtung, Verletzungen personenbezogener Daten unverz√ľglich an den Auftraggeber zu melden
  • die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegen√ľber dem Betroffenen zu unterst√ľtzen und ihm in diesem Zusammenhang s√§mtliche relevante Informationen unverz√ľglich zur Verf√ľgung zu stellen
  • die Unterst√ľtzung des Auftraggebers f√ľr dessen Datenschutz-Folgenabsch√§tzung
  • die Unterst√ľtzung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbeh√∂rde

(2) F√ľr Unterst√ľtzungsleistungen, die nicht zur Erf√ľllung der gesetzlichen Vorgaben der DSGVO geh√∂ren oder nicht auf ein Fehlverhalten des Auftragnehmers zur√ľckzuf√ľhren sind, kann der Auftragnehmer eine Verg√ľtung beanspruchen.


9. Weisungsbefugnis des Auftraggebers

(1) M√ľndliche Weisungen best√§tigt der Auftraggeber unverz√ľglich in Schriftform.

(2) Der Auftragnehmer hat den Auftraggeber unverz√ľglich zu informieren, wenn er der Meinung ist, eine Weisung versto√üe gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchf√ľhrung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber best√§tigt oder ge√§ndert wird.


10. L√∂schung und R√ľckgabe von personenbezogenen Daten

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder fr√ľher nach Aufforderung durch den Auftraggeber ‚Äď sp√§testens mit Beendigung der Leistungsvereinbarung ‚Äď hat der Auftragnehmer s√§mtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbest√§nde, die im Zusammenhang mit dem Auftragsverh√§ltnis stehen, dem Auftraggeber auszuh√§ndigen oder nach vorheriger Zustimmung datenschutzgerecht gem. DIN 66399 und der entsprechenden Sicherheitsstufe zu vernichten. Gleiches gilt f√ľr Test- und Ausschussmaterial. Das Protokoll der L√∂schung bzw. Vernichtung ist auf Anforderung vorzulegen.

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgem√§√üen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen √ľber das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber √ľbergeben.


11. Sonstiges

(1) Diese Bedingungen der Auftragsdatenverarbeitung werden nicht gesondert unterschrieben, sondern erlangen G√ľltigkeit mit dem Online-Vertragsabschluss zur Nutzung der thevea-Plattform.




Anlage 1:

Dokumentation der Technischen und organisatorischen Ma√ünahmen gem. Art. gem. Artt. 28 Abs. 3 lit. C und 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO.


Vorwort

Die thevea GmbH geh√∂rt zur opta data Unternehmensgruppe. Die IT Betreuung sowie das Serverhosting wird durch die Muttergesellschaft, die opta opta Finance GmbH √ľbernommen. Die gesamte IT-Infrastruktur der opta data Finance GmbH ist nach DIN EN ISO 27001 zertifiziert. Sie unterliegt den Bestimmungen der BaFin (Bundesanstalt f√ľr Finanzdienstleistungsaufsicht). Von den hohen Sicherheitsstandards der Muttergesellschaft profitiert auch die thevea GmbH. bei Diese Auflistung der bei der thevea GmbH getroffenen

technischen und organisatorischen Ma√ünahmen im Datenschutz (TOM) orientiert sich an den Vorgaben des ¬ß 64 BDSG-Neu, der f√ľr nicht √∂ffentliche Stellen keine G√ľltigkeit hat, gleichzeitig aber eine strukturierte Dokumentation der TOM erm√∂glicht, da es weder in der EU-Datenschutzgrundverordnung (DSGVO) noch im neuen Bundesdatenschutzgesetz (BDSG-Neu) dazu Vorgaben f√ľr nicht √∂ffentliche Stellen gibt. Diese Angaben dokumentieren

auch die Forderungen des Art. 32 der DSGVO. Es soll Verantwortlichen (Auftraggebern) dazu dienen, ihre Pr√ľf- und Dokumentationspflicht bei Auftragsverarbeitung gem. Artt. 28, 29 DSGVO zu erleichtern.

Diese Aufstellung ist auch als Erg√§nzung zu einem bestehenden oder neuen, Art. 28, 29 DSGVO konformen Dienstleistungsvertrag gedacht und kann jedem Verantwortlichen (Auftraggeber) auf Anforderung zur Verf√ľgung gestellt werden. Die getroffenen Ma√ünahmen unterliegen dem technischen Fortschritt und werden somit fortlaufend aktualisiert, wobei das

bisher vorhandene Sicherheitsniveau nicht verringert wird.



Allgemeiner Teil

1. Name und Anschrift des Unternehmens:

thevea GmbH

Berthold-Beitz-Boulevard 514

45141 Essen


2. Ansprechpartner mit Telefon, Fax und E-Mail:

Julian Adams 

Tel.: 0201 3196-261

Fax: 0201 3196-222

E-Mail: julian.adams@thevea.de


3. Name der Verantwortlichen (Gesch√§ftsf√ľhrer):

Julian Adams

Lauritz Angerstein


4. Name und Kontaktdaten des Datenschutzbeauftragten:

Joachim Kramer

Datenschutz Kramer & Kramer GmbH

B√ľro f√ľr Datenschutz und Datensicherheit

Elsternweg 24

42555 Velbert

Tel.: 02052 92897-66

E-Mail: j.kramer@datenschutz-kramer.de





5. Datenschutzbeauftragter:

5.1. Bestellung:

‚Ė† externer Datenschutzbeauftragter gem. Art. 37 DSGVO

‚Ė† Die schriftliche Bestellung vom 19.04.2021 liegt vor.


5.2. Qualifikation:

‚Ė† Datenschutz-Auditor (T√úV), Zertifizierungsstelle f√ľr Personal TAR-ZERT der T√úV Akademie Rheinland, Nr. 19553

‚Ė† √ľber 20 Jahre Erfahrung im IT-Bereich

‚Ė† regelm√§√üige Fortbildungen

‚Ė† Mitglied im Erfa-Kreis f√ľr Datenschutzbeauftragte der Region MEO

‚Ė† GDD Mitglied

‚Ė† Firma Datenschutz Kramer & Kramer GmbH mit √ľber 30 Jahren Erfahrung im Datenschutz


6. Mitarbeiter der thevea GmbH:

‚Ė† Alle Mitarbeiter werden schriftlich zur Wahrung des Datengeheimnisses, der Schweigepflicht nach ¬ß 203 StGB und der Vertraulichkeit nach DSGVO, BDSG-Neu und SGB verpflichtet. Die Verpflichtung erfolgt auf einem separaten Formular.

‚Ė† Die der Verpflichtung zugrunde liegenden Gesetzestexte werden allen Mitarbeitern gegen Unterschrift ausgeh√§ndigt.

‚Ė† Die Verpflichtung wird bei Einstellung durch das Personalb√ľro der opta data Finance GmbH vorgenommen.

‚Ė† Von allen Mitarbeitern werden in sensiblen Bereichen werden polizeiliche F√ľhrungszeugnisse eingeholt.

‚Ė† Alle Mitarbeiter werden regelm√§√üig durch den DSB zum Thema ‚ÄěDatenschutz und Datensicherheit‚Äú geschult.

‚Ė† Eine Betriebsvereinbarung √ľber die private Nutzung von E-Mail, Internet, Telefon und den Umgang mit Hard- und Software wird ausgeh√§ndigt.

‚Ė† Dar√ľber hinaus existieren Richtlinien zur Informationssicherheit und dem Datenschutz, die allen Mitarbeitern zentral zur Verf√ľgung gestellt werden.


7. Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO:

‚Ė† Das ‚ÄěVerzeichnis der Verarbeitungst√§tigkeiten‚Äú liegt vor und ist Bestandteil eines Integrierten Managementsystems, in dem auch das Qualit√§ts-, Arbeitsschutz-, Risiko- und Notfallmanagement abgebildet werden.




Technische und organisatorische Maßnahmen:


1. Verwehrung des Zugangs f√ľr Unbefugte zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgef√ľhrt wird (Zugangskontrolle):

‚Ė† Closed-Shop-Betrieb

‚Ė† Alle Geb√§ude werden per Video √ľberwacht.

‚Ė† Die Serverr√§ume werden automatisch per Video √ľberwacht, sobald sie betreten werden.

‚Ė† Der Zutritt in die Produktionsr√§ume ist nur per RFID m√∂glich.

‚Ė† Besucher m√ľssen sich an den Zentralen anmelden.

‚Ė† Besucher- und Mitarbeiterausweise autorisieren den Zutritt.

‚Ė† Die Zentrale im Berthold-Beitz-Boulevard 461, in den sich die Gesch√§ftsr√§ume der thevea GmbH befinden, ist rund um die Uhr, an 7 Tagen in der Woche besetzt.

‚Ė† Der Wachdienst f√§hrt au√üerhalb der Arbeitszeiten alle Standorte der Unternehmensgruppe in Essen regelm√§√üig an.

‚Ė† Die Serverr√§ume sind mit separaten Sicherheitsschl√∂ssern bzw. Zahlencode-Schl√∂ssern ausgestattet.

‚Ė† Es kann nachvollzogen werden, welche T√ľr wann und von wem ge√∂ffnet wurde (Logfiles in den T√ľrzutrittssystemen).


2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle):

‚Ė† Daten in Papierform werden gesammelt und in abschlie√übaren Containern entsorgt. Wenn die Container voll sind, werden sie von der Rhenus Data Office GmbH, Ratingen abgeholt und gem√§√ü DIN 66399 datenschutzgerecht entsorgt (gegen Quittung).

‚Ė† Elektronische und optische Datentr√§ger werden in abgeschlossenen Alu-Tonnen in der IT-Abteilung in einem verschlossenen Raum gesammelt und von der Rhenus (Rhenus Data Office GmbH) vor Ort geschreddert.

‚Ė† Magnetische Datentr√§ger, wie Festplatten und LTO-B√§nder, werden inventarisiert und der ‚ÄěLebenszyklus‚Äú wird dokumentiert.


3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten, personenbezogenen Daten (Speicherkontrolle) durch:

‚Ė† Benutzername und Kennwort

‚Ė† automatische Sperrung nach 5 Minuten Inaktivit√§t (Pausenschaltung)

‚Ė† Sperrung des Accounts bei wiederholter Falschanmeldung

‚Ė† datenschutzgerechte Passwortrichtlinien gem√§√ü BSI vom Domaincontroller vorgegeben oder vom Mitarbeiter bei der Erstanmeldung selbst generiert

‚Ė† Active Directory mit Zugangsprotokoll

‚Ė† Server mit zus√§tzlichen Administratorpassw√∂rtern

‚Ė† gesch√ľtzte WLAN-Netzwerke / f√ľr G√§ste separates WLAN und Speicherung in verschl√ľsselten Password-Depots

‚Ė† dokumentierte Prozesse bei der Benutzerverwaltung (DIN ISO 27001 und BaFin gepr√ľft)


4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Daten√ľbertragung durch Unbefugte (Benutzerkontrolle) durch:

‚Ė† G-Data-Virenscanner mit automatischem Update und automatischer Verteilung an die Clients

‚Ė† Patchmanagement der eingesetzten Software, Treiber und OS √ľber Matrix42

‚Ė† administrierte Firewalls (Cisco-Appliance aus Enterprise-Bereich)

‚Ė† Server f√ľr externe Zugriffe in einer DMZ


5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungs-systems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten, personenbezogenen Daten Zugang haben (Zugriffskontrolle):

‚Ė† Differenzierte Berechtigungen werden durch die Anmeldung gesteuert.

‚Ė† Zus√§tzliche Administratorpassw√∂rter f√ľr die Server sind nur den entsprechenden IT-Mitarbeitern bekannt und werden zus√§tzlich in einem verschlossenen Umschlag an einem separaten Ort sicher aufbewahrt.

‚Ė† Zusatzvereinbarung f√ľr Systemadministratoren


6. Gew√§hrleistung, dass √ľberpr√ľft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Daten√ľbertragung √ľbermittelt oder zur Verf√ľgung gestellt wurden oder werden k√∂nnen (√úbertragungs-kontrolle):

‚Ė† Bei den Verbindungen werden VPN-Tunnelverbindungen genutzt.

‚Ė† Webseite https verschl√ľsselt.


7. Gew√§hrleistung, dass nachtr√§glich √ľberpr√ľft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder ver√§ndert worden sind (Eingabekontrolle) durch:

‚Ė† Protokolle am Domain-Controller

‚Ė† Server Protokolle


8. Gew√§hrleistung, dass bei der √úbermittlung personenbezogener Daten sowie beim Transport von Datentr√§gern die Vertraulichkeit und Integrit√§t der Daten gesch√ľtzt werden (Transportkontrolle) durch:

‚Ė† Zugriff auf thevea nur √ľber https-Protokoll

‚Ė† Scannen der ein- und ausgehende E-Mails vom Virenscanner

‚Ė† E-Mail -TLS-Verschl√ľsselung


9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit) durch:

‚Ė† Betrieb von redundanten Rechenzentren

‚Ė† Bearbeitung der St√∂rung im Rahmen einer definierten Wiederherstellungsstrategie

‚Ė† Verf√ľgung von Reserve-Server bei einem Ausfall

‚Ė† Aufbewahrung der LTO-B√§nder in feuersicherem Tresor (DIS 120) in anderem Brandabschnitt

‚Ė† IT-Notfallpl√§ne


10. Gew√§hrleistung, dass alle Funktionen des Systems zur Verf√ľgung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverl√§ssigkeit) durch:

‚Ė† Meldung von verschiedenen Systemfehlern (Plattenausfall, CPU- Ausfall, etc.) durch ein Monitoring-System

‚Ė† Meldung von St√∂rungen durch L√∂schanlagen und Sauerstoffreduzierung

‚Ė† Umwelt√ľberwachung in den Serverr√§umen

‚Ė† Serverr√§ume mit Brand- und Rauchmelder, Alarmanlage, Klimaanlage und Video√ľberwachung

‚Ė† IT-Infrastruktur der opta data Finance GmbH mit Rufbereitschaft, auch au√üerhalb der Gesch√§ftszeiten (24 Stunden , 7 Tage in der Woche besetzt)


11. Gewährleistung, dass gespeicherte, personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität) durch:

‚Ė† Vermeidung der Datenhaltung auf lokalen Endger√§ten

‚Ė† Patchmanagement nach DIN ISO 27001


12. Gew√§hrleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden k√∂nnen (Auftragskontrolle) durch:

‚Ė† bei Vertragsabschluss werden Vertr√§ge zur Auftragsverarbeitung mitgeliefert

‚Ė† dokumentierte Prozessabl√§ufe


13. Gew√§hrleistung, dass personenbezogene Daten gegen Zerst√∂rung oder Verlust gesch√ľtzt sind (Verf√ľgbarkeitskontrolle) durch:

‚Ė† automatisiertes Backupverfahren mit Protokollen

‚Ė† hochverf√ľgbares Storagecluster

‚Ė† vorhandene redundante Serverr√§ume

‚Ė† Ausstattung aller Rechenzentren der opta data Finance GmbH mit Raid-Systemen, die Daten permanent spiegeln

‚Ė† Anschluss aller Server an ausreichend dimensionierte USVs

‚Ė† Netzersatzanlage zur √úberbr√ľckung l√§nger anhaltender Stromausf√§lle

‚Ė† Schutz des Serverraums vor Feuer durch Feuerschutzt√ľr und Stahlw√§nde

‚Ė† gem√§√ü Brandschutzklasse S30


14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit) durch:

‚Ė† interne Mandantenf√§higkeit

‚Ė† Installation verschiedener Systeme auf unterschiedlichen Servern

‚Ė† Trennung von Produktiv- und Entwicklungssystem


15. Verfahren zur regelm√§√üigen √úberpr√ľfung und Bewertung der technischen und organisatorischen Ma√ünahmen im Datenschutz gem. Art. 32 Abs. 1 d) und Art. 25 Abs. 1 DSGVO

‚Ė† Verantwortlichkeiten wurden festgelegt und technische und organisatorischen

Maßnahmen werden regelmäßig evaluiert und aktualisiert.

‚Ė† regelm√§√üige Schulungen der Mitarbeiter durch den Datenschutzbeauftragten

‚Ė† interne Audits werden regelm√§√üig durch das Datenschutzmanagement und die Revision der opta data Finance GmbH durchgef√ľhrt


Incident-Response-Management:

‚Ė† Es gibt Richtlinien, Handlungsanweisungen und Prozesse, die bei ge√§ndertenVoraus-setzungen und bei Gesetzes√§nderungen angepasst werden. Ferner werden Prozesse immer wieder auf Funktionalit√§t √ľberpr√ľft und ggf. angepasst oder erweitert.

‚Ė† Grafisch visualisierte Handlungsanweisungen f√ľr verschiedene Datenschutzprozesse

wie z. B. Einbindung des DSB, Meldewege, Betroffenenrechte etc.


{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>