Auftragsverarbeitungsvertrag (AVV)

1. Anwendungsbereich

1.1 Sachlicher Anwendungsbereich

Diese Vereinbarung findet Anwendung auf die Verarbeitung aller personenbezogenen Daten, die Gegenstand der zwischen den Parteien bestehenden Leistungsvereinbarung sind oder im Rahmen der Auftragsverarbeitung durch den Auftragnehmer anfallen.

1.2 Begriffsverständnis

Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung von Daten“ verwendet wird, ist hierunter die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) zu verstehen. Eine Verarbeitung personenbezogener Daten umfasst insbesondere die Erhebung, Speicherung, Organisation, Ordnung, Anpassung oder Veränderung, das Auslesen, Abfragen, die Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung sowie das Anonymisieren, Pseudonymisieren, Verschlüsseln oder jede sonstige Nutzung personenbezogener Daten.

2. Gegenstand und Dauer des Auftrags

2.1 Gegenstand der Verarbeitung

Gegenstand des Auftrags zum Datenumgang im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO ist die Durchführung der im Hauptvertrag beschriebenen Leistungen durch den Auftragnehmer im Auftrag und nach Weisung des Auftraggebers.

2.2 Dauer der Verarbeitung

Die Dauer dieses Auftrags entspricht der Laufzeit des zwischen den Parteien bestehenden Hauptvertrages. Eine Verarbeitung personenbezogener Daten über diesen Zeitraum hinaus ist nur zulässig, sofern gesetzliche Aufbewahrungspflichten bestehen oder eine entsprechende Weisung des Auftraggebers vorliegt.

3. Konkretisierung des Auftragsinhalts

3.1 Art der Leistungen

Gegenstand des Auftrags ist die betriebswirtschaftliche und organisatorische Beratung einer Zahnarztpraxis. Der Auftragsnehmer unterstützt den Auftraggeber bei der Analyse des bestehenden Praxiskonzepts und Praxismanagements sowie bei der Entwicklung einer individuellen Praxisstrategie.

3.2 Zweck der Verarbeitung

Zweck der Leistungen ist die Optimierung von Praxisabläufen, der strategischen Ausrichtung, der Wirtschaftlichkeit sowie der internen Zusammenarbeit.

3.3 Entscheidungsbefugnisse und Zweckbindung

Die Tätigkeit umfasst insbesondere die konzeptionelle Beratung, die gemeinsame Definition von Zielen, die Planung und Begleitung organisatorischer und strategischer Maßnahmen sowie deren Umsetzung im laufenden Praxisbetrieb. Dabei kann es erforderlich sein, im Rahmen der Beratung Einblick in praxisbezogene Informationen zu nehmen, soweit dies zur Erfüllung des Beratungszwecks notwendig ist. Eine eigenständige Entscheidungsbefugnis des Auftragnehmers oder eine Zweckänderung der Verarbeitung ist nicht vorgesehen.

4. Art der Daten

Personenstammdaten	Mitarbeiterstammdaten
Kommunikationsdaten (z. B. Telefon, E-Mail)	Vertragsabrechnungs- und Zahlungsdaten
Kundendaten	Kommunikationsdaten
Patientenstammdaten	Patientenbefunddaten

5. Kategorien betroffener Personen

Kunden	Patienten
Beschäftigte

6. Fernwartung

6.1 Kontrollmöglichkeit

Sofern der Auftragnehmer die Verarbeitung und Analyse von Daten ganz oder teilweise im Wege der Fernwartung durchführt, ist er verpflichtet, dem Auftraggeber eine wirksame Kontrolle der Fernwartungsarbeiten zu ermöglichen. Dies kann insbesondere durch den Einsatz geeigneter Technologien erfolgen, die dem Auftraggeber ermöglichen, die vom Auftragnehmer durchgeführten Tätigkeiten an einem Monitor oder einem vergleichbaren Endgerät nachzuvollziehen.

6.2 Besondere Pflichten bei Berufsgeheimnissen

Unterliegt der Auftraggeber einer Berufsgeheimnispflicht im Sinne des § 203 StGB, hat dieser sicherzustellen, dass durch die Durchführung von Fernwartungsarbeiten keine unbefugte Offenbarung im Sinne des § 203 StGB erfolgt. Der Auftragnehmer ist verpflichtet, Technologien einzusetzen, die dem Auftraggeber nicht nur eine Beobachtung der Tätigkeiten ermöglichen, sondern ihm auch die Möglichkeit geben, die Fernwartungsarbeiten jederzeit zu unterbrechen oder zu beenden.

6.3 Dokumentation

Sofern der Auftraggeber bei Fernwartungsarbeiten auf eine Beobachtung der Tätigkeiten verzichtet, dokumentiert der Auftragnehmer die von ihm durchgeführten Arbeiten in geeigneter Weise.

7. Technisch-organisatorische Maßnahmen

7.1 Schutzniveau

Der Auftragnehmer gewährleistet gemäß Art. 28 Abs. 3 lit. c und Art. 32 DSGVO für die Auftragsverarbeitung ein dem Risiko angemessenes Schutzniveau. Hierzu trifft er technische und organisatorische Maßnahmen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherstellen. Dabei berücksichtigt er den Stand der Technik, die Implementierungskosten sowie Art, Umfang und Zwecke der Verarbeitung und die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen.

7.2 Dokumentation und Freigabe

Der Auftragnehmer dokumentiert die vor Beginn der Verarbeitung umgesetzten technischen und organisatorischen Maßnahmen und stellt diese dem Auftraggeber zur Prüfung zur Verfügung. Nach Freigabe durch den Auftraggeber bilden die dokumentierten Maßnahmen die Grundlage des Auftrags. Etwaige Anpassungen sind einvernehmlich umzusetzen.

7.3 Überprüfung und Weiterentwicklung

Zur Gewährleistung der Sicherheit der Verarbeitung setzt der Auftragnehmer ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen ein. Die Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragnehmer ist berechtigt, alternative geeignete Maßnahmen umzusetzen, sofern das vereinbarte Sicherheitsniveau nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren.

8. Weisungsbefugnis des Auftraggebers

8.1 Weisungsbindung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rahmen der vertraglichen Vereinbarungen und nach dokumentierter Weisung des Auftraggebers, sofern kein gesetzlich geregelter Ausnahmefall im Sinne des Art. 28 Abs. 3 lit. a DSGVO vorliegt.

8.2 Form der Weisung

Mündliche Weisungen sind vom Auftraggeber unverzüglich schriftlich zu bestätigen. Der Auftragnehmer dokumentiert sämtliche Weisungen.

8.3 Prüf- und Aussetzungsrecht

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Er ist berechtigt, die Durchführung der betreffenden Weisung bis zur Klärung auszusetzen.

9. Qualitätssicherung und Pflichten des Auftragnehmers

9.1 Vertraulichkeit

Der Auftragnehmer verpflichtet sich, personenbezogene Daten ausschließlich für die vereinbarten Zwecke zu verarbeiten und die Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b und Art. 29 DSGVO auch über die Beendigung des Vertragsverhältnisses hinaus zu wahren.

9.2 Personal

Der Auftragnehmer setzt ausschließlich Beschäftigte ein, die vor Aufnahme ihrer Tätigkeit auf die Vertraulichkeit verpflichtet und mit den einschlägigen datenschutzrechtlichen Vorschriften vertraut gemacht wurden.

9.3 Interne Kontrollen

Der Auftragnehmer überprüft regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Verarbeitung im Einklang mit den geltenden datenschutzrechtlichen Anforderungen erfolgt.

9.4 Aufsichtsbehörden

Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollhandlungen, Ermittlungen oder sonstige Maßnahmen von Datenschutzaufsichtsbehörden, soweit diese im Zusammenhang mit der Auftragsverarbeitung stehen.

9.5 Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber nach besten Kräften bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere im Zusammenhang mit behördlichen Verfahren, Haftungsansprüchen oder sonstigen datenschutzrechtlichen Anforderungen.

9.6 Ansprechpartner

Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Ansprechpartner ist Frau Vanesa Großkinsky, Die Praxisentwickler GmbH, Tel. 0561 – 99 79 320, E-Mail: vanesa.grosskinsky@diepraxisentwickler.de.

10. Berichtigung, Einschränkung und Löschung und Rückgabe von Daten

10.1 Weisungsgebundene Bearbeitung

Der Auftragnehmer nimmt Berichtigungen, Löschungen oder Einschränkungen der Verarbeitung ausschließlich nach dokumentierter Weisung des Auftraggebers vor.

10.2 Unterstützung bei Betroffenenrechten

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten im Zusammenhang mit den Rechten betroffener Personen gemäß Kapitel III DSGVO.

10.3 Löschung oder Rückgabe

Nach Abschluss der Verarbeitungsleistungen hat der Auftragnehmer sämtliche personenbezogenen Daten und Unterlagen nach Wahl des Auftraggebers zu löschen oder zurückzugeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.

10.4 Vernichtung und Nachweis

Die datenschutzgerechte Vernichtung ist zu dokumentieren. Ein Löschprotokoll ist auf Anforderung vorzulegen.

10.5 Kopien und Backups

Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen hiervon sind Sicherheitskopien sowie Daten, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

10.6 Dokumentation

Nachweisdokumentationen sind entsprechend der geltenden Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

11. Unterauftragsverhältnisse

11.1 Begriffsbestimmung und Abgrenzung

Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

11.2 Genehmigung und Informationspflicht

Die Beauftragung von Unterauftragnehmern oder der Wechsel bestehender Unterauftragnehmer ist zulässig, sofern der Auftragnehmer dem Auftraggeber eine solche Auslagerung rechtzeitig vorab schriftlich oder in Textform anzeigt. Der Auftraggeber ist berechtigt, innerhalb einer Frist von 14 Tagen nach Zugang der Mitteilung schriftlich oder in Textform Einspruch gegen die geplante Beauftragung oder den Wechsel des Unterauftragnehmers zu erheben. Erfolgt innerhalb dieser Frist kein Einspruch, gilt die Zustimmung als erteilt. Voraussetzung für die Beauftragung eines Unterauftragnehmers ist in jedem Fall der Abschluss einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2 bis 4 DSGVO.

11.3 Auswahlpflicht und Verantwortlichkeit

Der Auftragnehmer ist verpflichtet, Unterauftragnehmer sorgfältig auszuwählen. Dabei hat er insbesondere sicherzustellen, dass der Unterauftragnehmer hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO getroffen werden, sodass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt. Der Auftragnehmer bleibt gegenüber dem Auftraggeber für sämtliche Handlungen und Unterlassungen der von ihm eingesetzten Unterauftragnehmer verantwortlich.

11.4 Vertragliche Verpflichtung der Auftragnehmer

Der Auftragnehmer verpflichtet sich, Unterauftragnehmer nach denselben datenschutzrechtlichen Grundsätzen zu verpflichten, die dieser Vereinbarung zugrunde liegen. Die Verträge mit den Unterauftragnehmern sind insbesondere so auszugestalten, dass sie den Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit dieser Vereinbarung entsprechen. Eine Weitergabe personenbezogener Daten des Auftraggebers an den Unterauftragnehmer sowie dessen erstmalige Aufnahme der Tätigkeit sind erst zulässig, wenn sämtliche Voraussetzungen für eine rechtmäßige Unterbeauftragung erfüllt sind.

11.5 Kontroll- und Auskunftsrechte

Ungeachtet der Verantwortlichkeit des Auftragnehmers für die Unterauftragnehmer sind dem Auftraggeber Kontrollrechte entsprechend den Regelungen dieser Vereinbarung auch gegenüber den Unterauftragnehmern zu gewähren. Der Auftragnehmer ist verpflichtet, dem Auftraggeber auf Anfrage Auskunft über die Durchführung der datenschutzrechtlichen Verpflichtungen durch die eingesetzten Unterauftragnehmer zu erteilen.

11.6 Drittlandverarbeitung

Erbringt ein Unterauftragnehmer die vereinbarten Leistungen außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums, stellt der Auftragnehmer sicher, dass die datenschutzrechtliche Zulässigkeit der Verarbeitung durch geeignete Maßnahmen gewährleistet ist. Gleiches gilt, sofern Dienstleister im Sinne von Ziffer 11.1 Satz 2 außerhalb der EU/des EWR eingesetzt werden sollen.

12. Kontrollrechte des Auftraggebers

12.1 Kontrollrechte des Auftraggebers

Der Auftraggeber ist berechtigt, die Einhaltung der in dieser Vereinbarung getroffenen Regelungen sowie der Pflichten des Auftragnehmers nach Art. 28 DSGVO zu überprüfen oder durch einen von ihm zu benennenden Prüfer überprüfen zu lassen. Die Durchführung von Kontrollen erfolgt im Einvernehmen mit dem Auftragnehmer, während der üblichen Geschäftszeiten und nach rechtzeitiger vorheriger Anmeldung, soweit hierdurch der Kontrollzweck nicht gefährdet wird und der Betriebsablauf des Auftragnehmers nicht unangemessen beeinträchtigt wird.

12.2 Mitwirkungs- und Unterstützungspflichten des Auftragnehmers

Der Auftragnehmer stellt sicher, dass sich der Auftraggeber in geeigneter Weise von der Einhaltung der Pflichten des Auftragnehmers aus dieser Vereinbarung und aus Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen Anforderung innerhalb einer angemessenen Frist die erforderlichen Auskünfte zu erteilen und insbesondere den Nachweis über die Umsetzung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu führen.

12.3 Formen des Nachweises

Der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen sowie sonstiger datenschutzrechtlicher Verpflichtungen, soweit diese nicht ausschließlich den konkreten Auftrag betreffen, kann insbesondere durch folgende geeignete Mittel erbracht werden:

1. die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO;
2. die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
3. aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
4. eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz);
5. unternehmensinterne Verhaltensregeln einschließlich eines externen Nachweises über deren Einhaltung.

13. Mitteilung bei Verstößen des Auftragnehmers

13.1 Meldepflicht

Der Auftragnehmer meldet dem Auftraggeber unverzüglich jegliche Datenschutz- oder Vertragsverstöße sowie Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten.

13.2 Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.:

1. die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;
2. die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden;
3. die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;
4. die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung;
5. die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

Anlage 1 – Technisch-organisatorische Maßnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

1.1 Zutrittskontrollmaßnahmen

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Alarmanlage	Absicherung v. Gebäudeschächten
Automatisches Zugangskontrollsystem	Chipkarten-/Transponder-Schließsystem
Schlüsselregelung (Schlüsselausgabe etc.)	Videoüberwachung der Zugänge
Protokollierung der Besucher	Sicherheitsschlösser
Tragepflicht von Berechtigungsausweisen	Personenkontrolle beim Pförtner / Empfang

1.2 Zugangskontrollmaßnahmen

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Zuordnung von Benutzerrechten	Erstellen von Benutzerprofilen
Passwortvergabe	Zuordnung von Benutzerprofilen zu IT-Systemen
Authentifikation mit Benutzername / Passwort	Einsatz von VPN-Technologie
Gehäuseverriegelungen	Verwendung von elektronischen Schließsystemen
Protokollierung der Zugänge (Serverraum, Personalabteilung, Archive)	Einsatz von Intrusion-Detection-Systemen
Verschlüsselung von mobilen Datenträgern	Verschlüsselung von Smartphone-Inhalten
Verschlüsselung von Datenträgern in Laptops / Notebooks	Einsatz von Anti-Viren-Software
Einsatz einer Software-Firewall

1.3 Zugriffskontrollmaßnahmen

Maßnahmen, die gewährleisten, dass die Benutzer eines Datenverarbeitungssystems ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Anzahl der Administratoren auf das „Notwendigste“ reduziert	Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
Protokollierung von Zugriffen auf Anwendungen, insb. bei der Eingabe, Änderung und Löschung von Daten	Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel)
Physische Löschung von Datenträgern vor Wiederverwendung	Ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
Sichere Aufbewahrung von Datenträgern	Verwaltung der Rechte durch Systemadministrator
Verschlüsselung von Datenträgern	Protokollierung der Vernichtung

1.4 Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Trennung von Produktiv- und Testsystem	Festlegung von Datenbankrechten
Versehen von Datensätzen mit Zweckattributen / Datenfeldern	Logische Mandantentrennung (softwareseitig)

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

2.1 Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen	Bei physischem Transport: Sorgfältige Auswahl von Transportpersonal und -Fahrzeugen
Logische Mandantentrennung (softwareseitig)

2.2 Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

3.1 Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Unterbrechungsfreie Stromversorgung (USV)	Schutzsteckdosenleisten in Serverräumen
Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen	Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
Feuer- und Rauchmeldeanlagen	Feuerlöschgeräte in Serverräumen
Alarmmeldung bei unberechtigten Zutritten zu Serverräumen	Erstellen eines Backup- & Recoverykonzepts
Testen von Datenwiederherstellung	Erstellen eines Notfallplans
In Hochwassergebieten: Serverräume über der Wassergrenze	Serverräume nicht unter sanitären Anlagen
Klimaanlage in Serverräumen

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

4.1 Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Anlage 2 – Unterauftragsnehmer

1. Unterauftragnehmer zur Leistungserbringung

Name	Standort	Leistung
VisionmaxX GmbH	Figline-Valdarno-Ring 11, 64319 Pfungstadt	IT-Check (abhängig Leistungsumfang)
Teamviewer GmbH	Bahnhofsplatz 2, 73033 Göppingen	Fernwartung und Support
Synmedico GmbH	Wilhelmshöher Allee 300 34131 Kassel	IT-Support, Organisation