Kontakt

Impressum

Angaben gemäß § 5 TMG:

Sylvia Mumm
Naturheilpraxis Sylvia Mumm
Am Wollenberg 7
25879 Stapel

Kontakt:

Telefon:

04883 - 9059480

Telefax:

E-Mail:

naturheilpraxis-mumm@gmx.de


Design:
medienbüro flensburg
Agentur für Design & Kommunikation
Stefanie Kolwe www.medienbuero-flensburg.de

Programmierung und Typo3-Umsetzung:

Asvet Jasari, Telefon: 0431 / 90 88 403


Quellenangaben für die verwendeten Bilder und Grafiken:

wetwater/photocase.com/
aboutpixel.de

Windkraftanlage © Andreas Infurna

Sigrid Leonie Peters

Quelle: http://www.e-recht24.de

Datenschutzerklärung:

Datenschutz

Die Nutzung unserer Webseite ist in der Regel ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name, Anschrift oder eMail-Adressen) erhoben werden, erfolgt dies, soweit möglich, stets auf freiwilliger Basis. Diese Daten werden ohne Ihre ausdrückliche Zustimmung nicht an Dritte weitergegeben.

Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten durch Dritte zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit ausdrücklich widersprochen. Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-Mails, vor.

Datenschutzerklärung für die Nutzung von Google Analytics

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. ("Google"). Google Analytics verwendet sog. "Cookies", Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt.

Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de.

Datenschutzerklärung für die Nutzung von Google Adsense

Diese Website benutzt Google AdSense, einen Dienst zum Einbinden von Werbeanzeigen der Google Inc. ("Google"). Google AdSense verwendet sog. "Cookies", Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website ermöglicht. Google AdSense verwendet auch so genannte Web Beacons (unsichtbare Grafiken). Durch diese Web Beacons können Informationen wie der Besucherverkehr auf diesen Seiten ausgewertet werden.

Die durch Cookies und Web Beacons erzeugten Informationen über die Benutzung dieser Website (einschließlich Ihrer IP-Adresse) und Auslieferung von Werbeformaten werden an einen Server von Google in den USA übertragen und dort gespeichert. Diese Informationen können von Google an Vertragspartner von Google weiter gegeben werden. Google wird Ihre IP-Adresse jedoch nicht mit anderen von Ihnen gespeicherten Daten zusammenführen.

Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website voll umfänglich nutzen können. Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden.

Quellverweis: Datenschutzerklärung von eRecht24, dem Portal zum Internetrecht von Rechtsanwalt Sören Siebert, Google Analytics Datenschutzerklärung, Google Adsense Haftungsausschluss

 

Vereinbarung über die Auftragsverarbeitung
zwischen Naturheilpraxis, Frau Sylvia Mumm
Hauptstraße 10
24872 Groß Rheide
– Auftraggeber –


und der
SimpliMed GmbH
Am Ehrenmal 19, 51588 Nümbrecht
– Auftragnehmer –


über Auftragsverarbeitung i. S. d. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO).
Präambel
Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich
aus dem SimpliMed-Online Vertrag in ihren Einzelheiten beschriebenen Auftragsverarbeitung
ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang
stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer
Beauftragte personenbezogene Daten (»Daten«) des Auftraggebers verarbeiten.
§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der
Verarbeitung. Im Einzelnen sind insbesondere die folgenden Daten Bestandteil der
Datenverarbeitung:
Alle im Rahmen einer Praxisverwaltungssoftware erheblichen Daten, die zur Erstellung von
Patientenabrechnungen erforderlich sind. Dazu zählen unter anderem der Patientenstamm,
Rechnungen, Buchungen, Termine, Laborberichte, Emails, Dokumente und Bilder.
Art und Zweck der Datenverarbeitung ist es, die auch als offline Version angebotene
SimpliMed23 Praxisverwaltung, als Remotedesktop Anwendung zur Verfügung zu stellen und die
hier verarbeiteten Daten regelmäßig zu sichern. Optional wird ein Online-Terminbuchungs
System angeboten, dass auf der Website des Auftraggebers projiziert werden kann und mit
dessen Hilfe Patienten einen Termin in der Praxis des Auftraggebers buchen können. Ebenfalls
Optional wird begrenzter Webspace zur Verfügung gestellt, in den der Auftraggeber seine Daten
mit Hilfe des WebDAV Protokolls ablegen kann.
Kategorien betroffener Personen: Endkunden (meistens Patienten), Auftraggeber
(Praxisbetreiber, meistens Heilpraktiker und Angehörige anderer Heil- bzw. Heilhilfsberufe) Die
Laufzeit dieser Anlage richtet sich nach der Laufzeit des Vertrages, sofern sich aus den
Bestimmungen dieser Anlage nicht darüberhinausgehende Verpflichtungen ergeben.
Seite: 2
§ 2 Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies
umfasst Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der
Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen
der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den
Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich
(»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DS-GVO).
(2) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom
Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an
die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder
ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als
Antrag bzw. Anfrage auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich
schriftlich oder in Textform zu bestätigen.
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und
der Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des
Artikel 28 Abs. 3 a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich,
wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der
Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber
bestätigt oder abgeändert wurde.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche
Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht
wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der
Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung
(Art. 32 DS-GVO) und des Bundesdatenschutzgesetzes (§64 BDSG) genügen. Der Auftragnehmer
hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität,
Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der
Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und
organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die
Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten,
wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht
unterschritten wird.
(3) Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner
Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel
III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten.
(4) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des
Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen
untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der
Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten
Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen
Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht
auch nach Beendigung des Auftrages fort.
Seite: 3
(5) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des
Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer
trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher
nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem
Auftraggeber ab.
(6) Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des
Vertrages anfallende Datenschutzfragen.
(7) Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO
nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen
und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
einzusetzen.
(8) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der
Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine
datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung
nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von
Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den
Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag
bereits vereinbart. (Anmerkung: Im Vertrag können die Parteien hierzu eine Vergütungsregelung
treffen.) In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung
bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern
nicht im Vertrag bereits vereinbart. (Anmerkung: Im Vertrag können die Parteien hierzu eine
Vergütungsregelung treffen.)
(9) Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf
Verlangen des Auftraggebers entweder herauszugeben oder zu löschen.
(10) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person
hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den
Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
§ 4 Pflichten des Auftraggebers
(1) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig schriftlich zu
informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl.
datenschutzrechtlicher Bestimmungen feststellt.
(2) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich
etwaiger Ansprüche nach Art. 82 DS-GVO, gilt §3 Abs. 10 entsprechend.
(3) Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des
Vertrages anfallende Datenschutzfragen.
§ 5 Anfragen betroffener Personen
(1) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder
Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den
Seite: 4
Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der
betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person
unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im
Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet nicht,
wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht
fristgerecht beantwortet wird.
§ 6 Nachweismöglichkeiten
(1) Der Auftragnehmer weist dem Auftraggeber bei berechtigtem Interesse die Einhaltung der in
diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.
Auftraggeber und Auftragnehmer verständigen sich darauf, dass geeignete Nachweise auch
durch folgende Unterlagen erbracht werden können:
- Eigene, protokollierte Kontrollen oder
- Auditberichte eines unabhängigen Sachverständigen
(2) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem
beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne
Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen
Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit
angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung
hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und
organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber
beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der
Auftragnehmer gegen diesen ein Einspruchsrecht.
(3) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde
des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine
Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese
Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der
ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
§ 7 Subunternehmer (weitere Auftragsverarbeiter)
(1) Der Einsatz von Subunternehmern als weitere Auftragsverarbeiter ist nur zulässig, wenn der
Auftraggeber vorher zugestimmt hat.
(2) Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn der Auftragnehmer
weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Vertrag vereinbarten
Leistung beauftragt. Der Auftragnehmer wird mit diesen Dritten im erforderlichen Umfang
Vereinbarungen treffen, um angemessene Datenschutz- und
Informationssicherheitsmaßnahmen zu gewährleisten.
Seite: 5
Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen
werden unter Einschaltung folgender Subunternehmer durchgeführt:
Name des Subunternehmers Anschrift d.
Subunternehmers
Teilleistungen
Base2 IT Consult GmbH Sollredder 6, 21465 Wentorf Betreuung,
Weiterentwicklung und
Administration der
IT-Systeme
Hetzner Online GmbH Industriestr. 25, 91710
Gunzenhausen
Hosting und Housing der
IT-Systeme
Vor der Hinzuziehung weiterer oder der Ersetzung aufgeführter Subunternehmer holt der
Auftragnehmer die Zustimmung des Auftraggebers ein, wobei dieser nicht ohne einen wichtigen
datenschutzrechtlichen Grund verweigert werden darf.
(3) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer,
seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.
§ 8 Informationspflichten, Schriftformklausel, Rechtswahl
(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder
Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige
Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den
Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in
diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die
Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher«
im Sinne der Datenschutz-Grundverordnung liegen.
(2) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich
etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die
auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen
Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt.
Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(3) Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den
Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt
dies die Wirksamkeit der Anlage im Übrigen nicht.
(4) Es gilt deutsches Recht. Gerichtsstand ist Nürnbrecht.
§9 Haftung und Schadensersatz
Auftraggeber und Auftragnehmer haften gegenüber betroffener Personen entsprechend der in
Art. 82 DS-GVO getroffenen Regelung.
Seite: 6
Anhang zur Vereinbarung über die Auftragsverarbeitung
(technische und organisatorische Maßnahmen nach Art. 32 DS-GVO)
Anforderung Maßnahme
Verwehrung des Zugangs zu
Verarbeitungsanlagen, mit denen
die Verarbeitung durchgeführt
wird, für Unbefugte
(Zugangs- und Zutrittskontrolle)
ISO 27001 zertifiziertes Rechenzentrum mit Sitz in
Deutschland und strengen Zutrittskontrollen.
 elektronisches Zutrittskontrollsystem mit
Protokollierung
 Hochsicherheitszaun um den gesamten
Datacenterpark
 dokumentierte Schlüsselvergabe an
Mitarbeiter und Colocation-Kunden für
Colocation Racks (jeder Auftraggeber
ausschließlich für seinen Colocation Rack)
 Richtlinien zur Begleitung und Kennzeichnung
von Gästen im Gebäude
 24/7 personelle Besetzung der Rechenzentren
Videoüberwachung an den Ein- und Ausgängen,
Sicherheitsschleusen und Serverräumen
Verhinderung des unbefugten
Lesens, Kopierens, Veränderns
oder Löschens von Datenträgern
(Datenträgerkontrolle)
 Kein physikalischer Zugriff auf
IT-Verarbeitungssysteme (Vgl.
Zugangs-/Zutrittskontrolle)
 Verwaltung von Datenträgern
 Regelung für Datenträgerentsorgung
Verhinderung der unbefugten
Eingabe von personenbezogenen
Daten sowie der unbefugten
Kenntnisnahme, Veränderung und
Löschung von gespeicherten
personenbezogenen Daten
(Speicherkontrolle)
 Rechtekonzept (Regelung von Befugnissen)
 Zugriffschutzsystem für DV-Anlagen
Verhinderung der Nutzung
automatisierter
Verarbeitungssysteme mit Hilfe
von Einrichtungen zur
Datenübertragung durch
Unbefugte (Benutzerkontrolle)
 Rechtekonzept (Regelung von Befugnissen)
 Netztrennung (öffentliches Netz,
Verarbeitungsnetz, Verwaltungsnetz)
 Einsatz von Sicherheitssoftware
 Abweisung von unberechtigten Benutzern
Gewährleistung, dass die zur
Benutzung eines automatisierten
Verarbeitungssystems
Berechtigten ausschließlich zu den
von ihrer Zugangsberechtigung
umfassten personenbezogenen
Daten Zugang haben
(Zugriffskontrolle)
 Rechtekonzept (Regelung von Befugnissen)
 Einsatz von Softwaresystemen mit
differenzierbaren Rechten
Seite: 7
Gewährleistung, dass überprüft
und festgestellt werden kann, an
welche Stellen personenbezogene
Daten mit Hilfe von Einrichtungen
zur Datenübertragung übermittelt
oder zur Verfügung gestellt
wurden oder werden können
(Übertragungskontrolle/
Übermittlungskontrolle)
 Festlegen der zugelassenen
Übermittlungswege (-Empfänger und
-Berechtigte)
 Einsatz von Verschlüsselungsverfahren
 Netzwerkdokumentation
Gewährleistung, dass nachträglich
überprüft und festgestellt werden
kann, welche personenbezogenen
Daten zu welcher Zeit und von
wem in automatisierte
Verarbeitungssysteme eingegeben
oder verändert worden sind
(Eingabekontrolle)
 Unterweisung der Personen
 Differenzierte Berechtigungen
 Rechtekonzept (Regelung von Befugnissen)
 Protokollierung der Veränderung in den
Anwendungsprogrammen (Releasenotes)
Gewährleistung, dass bei der
Übermittlung personenbezogener
Daten sowie beim Transport von
Datenträgern die Vertraulichkeit
und Integrität der Daten geschützt
werden (Transportkontrolle)
 Ausschließlich verschlüsselte Übermittlung
von Daten (digital oder physikalisch).
Gewährleistung, dass eingesetzte
Systeme im Störungsfall
wiederhergestellt werden können
(Wiederherstellbarkeit)
 Backupkonzept
Gewährleistung, dass alle
Funktionen des Systems zur
Verfügung stehen und auftretende
Fehlfunktionen gemeldet werden
(Zuverlässigkeit)
 Automatisierte Überprüfung des DV-Systems
(Monitoring).
Gewährleistung, dass gespeicherte
personenbezogene Daten nicht
durch Fehlfunktionen des Systems
beschädigt werden können
(Datenintegrität)
 Schutzsysteme gegen Datenträgerausfall
(RAID und sonstige Redundanzen)
Gewährleistung, dass
personenbezogene Daten, die im
Auftrag verarbeitet werden, nur
entsprechend den Weisungen des
Auftraggebers verarbeitet werden
können (Auftragskontrolle)
 ADV-Verträge mit ADV-Nehmern mit klaren
Vorgaben nach DS-GVO/BDSG.
Gewährleistung, dass
personenbezogene Daten gegen
Zerstörung oder Verlust geschützt
sind (Verfügbarkeitskontrolle)
 Backupkonzept
 Notstrom (USV und Aggregate)
Seite: 8
Gewährleistung, dass zu
unterschiedlichen Zwecken
erhobene personenbezogene
Daten getrennt verarbeitet werden
können
(Trennungsgebot)
 Rechtekonzept (Regelung von Befugnissen)
 Trennung von Zugriffsdomänen (Mandaten)
auf Applikationsschicht
Der Auftraggeber bestätigt die notwendige Schweigepflicht über diese Vereinbarung zu
wahren und diese nicht an unberechtigte Dritte weiterzugeben oder diesen zugänglich zu
machen.
_______________________________________
Datum, Unterschrift, Auftraggeber