Cairful-PeBeM

Auftragsverarbeitungsvereinbarung

im Sinne des Art. 28 Abs. 3 Datenschutzgrundverordnung (DSGVO)

zwischen den

 

Auftraggebern

der Cairful-Personalbemessungs-Software („Cairful-PeBeM“)

– nachfolgend „Auftraggeber“ genannt –

 

und der

 

Cairful GmbH

Otto-Brenner-Str. 19

52353 Düren

als Auftragsverarbeiter

 

 - nachfolgend „Auftragnehmer“ genannt –

– nachfolgend gemeinsam „Parteien“ und je einzeln „Partei“ genannt –

 

Präambel

Der Auftraggeber beabsichtigt, eine Lizenz zur Nutzung der Software Cairful-PeBeM des Auftragnehmers zu erwerben. Neben der Nutzung der Software Cairful-PeBeM möchte der Auftraggeber den Auftragnehmer auch mit der Erbringung von bestimmten Leistungen beauftragen. Art und Umfang dieser Leistungen ergeben sich aus den Lizenzbedingungen (hier abrufbar: https://pebem.cairful.com/lizenzbedingungen/) sowie der als Anlage 1 beigefügten Leistungsbeschreibung (nachfolgend zusammenfassend „Hauptvertrag“).

Im Rahmen der von ihm erbrachten Leistungen und zur Erfüllung seiner vertraglichen Verpflichtungen aus dem Hauptvertrag verarbeitet der Auftragnehmer personenbezogene Daten von Mitarbeiter:innen und Bewohner:innen des Auftraggebers.

Um die rechtmäßige Verarbeitung personenbezogener Daten anlässlich der Vertragserfüllung durch den Auftragnehmer zu gewährleisten, schließen die Parteien diese Auftragsverarbeitungsvereinbarung (nachfolgend „Vereinbarung“ genannt). Die Vereinbarung konkretisiert insoweit die datenschutzrechtlichen Verpflichtungen des Auftragnehmers.

§ 1 Vertragsgegenstand

1.1 Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag und auf Weisung des Auftraggebers ausschließlich zum Zwecke der Erfüllung seiner vertraglichen Leistungsverpflichtungen aus dem Hauptvertrag, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).

1.2 Die Kategorien betroffener Personen, die betroffenen personenbezogene Daten sowie Art und Zweck der Datenverarbeitung sind in Anlage 2 dargestellt.

1.3 Ist der Auftragnehmer der Ansicht, eine Weisung des Auftraggebers verstoße gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten, wird er den Auftraggeber darauf hinweisen. Der Auftragnehmer ist in diesen Fällen berechtigt, die Durchführung der Weisung auszusetzen, bis der Auftraggeber die Weisung bestätigt oder abändert.

§ 2 Pflichten des Auftraggebers

2.1 Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Rechte der Betroffenen verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung ihrer Daten Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.

2.2 Der Auftraggeber ist Inhaber aller etwaigen erforderlichen Rechte, welche die personenbezogenen Daten betreffen.

2.3 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer oder seiner Weisungen feststellt.

2.4 Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung der Vereinbarung bestehen.

§ 3 Pflichten des Auftragnehmers

3.1 Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörden im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen. Er wird dem Auftraggeber die Informationen zur Verfügung stellen, die dieser benötigt, um nachzuweisen, dass er hinsichtlich dieser Auftragsverarbeitung die Anforderungen des anwendbaren Datenschutzrechts erfüllt hat.

3.2 Der Auftragnehmer unterstützt den Auftraggeber außerdem unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen auf Anforderung bei der Einhaltung folgender Pflichten:

3.2.1 Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten,

3.2.2 Meldung der Verletzung des Schutzes personenbezogener Daten an Aufsichtsbehörden und betroffene Personen,

3.2.3 Durchführung einer Datenschutz-Folgenabschätzung, soweit die Datenverarbeitung durch den Auftragnehmer davon betroffen ist,

3.2.4 ggfs. Durchführung einer erforderlichen vorherigen Konsultation der Datenschutzbehörde, soweit die Datenverarbeitung durch den Auftragnehmer davon betroffen ist.

3.3 Der Auftragnehmer informiert den Auftraggeber, wenn ihm ein Verstoß gegen das Datenschutzrecht im Rahmen seiner Auftragsverarbeitung bekannt wird. Soweit der Auftraggeber unrechtmäßig Kenntnis von personenbezogenen Daten erlangt und er deshalb einer Informationspflicht unterliegt, wird der Auftragnehmer ihn bei der Erfüllung der Pflicht unterstützen, soweit es erforderlich und zumutbar ist.

3.4 Der Auftragnehmer ist verpflichtet, die bei der Verarbeitung personenbezogener Daten beschäftigten Personen auf den vertraulichen Umgang mit den verarbeiteten personenbezogenen Daten zu verpflichten und gewährleistet, dass auch seine Unterauftragnehmer diese Verpflichtung einhalten.

§ 4 Technische und organisatorische Maßnahmen

4.1 Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen (nachfolgend „TOM“) vor Beginn der Datenverarbeitung. Die TOM sind in Anlage 3 dargestellt.

4.2 Die TOM unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit kann der Auftragnehmer alternative, adäquate Maßnahmen umsetzen. Änderungen sind zu dokumentieren und die Dokumentationen sind dem Auftraggeber auf schriftliche Anfrage hin zur Verfügung zu stellen. Wesentliche Änderungen sind dem Auftraggeber anzuzeigen.

§ 5 Auftragskontrolle

5.1 Der Auftraggeber ist berechtigt, sich auf eigene Kosten vor Beginn der Datenverarbeitung durch den Auftragnehmer und sodann regelmäßig, von den TOM zu überzeugen. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung feststellt. Eine derartige Prüfung durch den Auftraggeber bedarf der vorherigen schriftlichen Ankündigung mit angemessener Fristsetzung.

5.2 Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Durchführung einer umfassenden Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Der Nachweis der Umsetzung geeigneter Maßnahmen kann auch durch Vorlage aktueller Testate sowie von Berichten unabhängiger Prüfer (Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, etc.) erbracht werden.

5.3 Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitspflicht unterliegt. Auf Verlangen des Auftragnehmers wird der Auftraggeber die Verschwiegenheitsverpflichtung unverzüglich vorlegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen.

§ 6 Unterauftragsverhältnisse

6.1 Der Auftragnehmer darf Unterauftragsverhältnisse hinsichtlich der Verarbeitung von personenbezogenen Daten begründen. Die Unterauftragnehmer und deren jeweilige Tätigkeitsbereiche sind in Anlage 4 genannt.

6.2 Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung eines Unterauftragnehmers unterrichten. Sollte der Auftraggeber mit der geplanten Änderung nicht einverstanden sein, muss er der geplanten Änderung unverzüglich schriftlich widersprechen.

6.3 Der Auftragnehmer wird die wesentlichen vertraglichen Regelungen dieser Vereinbarung, einschließlich der Gewährleistung der TOM, an seine Unterauftragnehmer weitergeben. Die TOM müssen den Anforderungen des anwendbaren Datenschutzrechts entsprechen.

§ 7 Haftung

7.1 Der Auftraggeber stellt den Auftragnehmer von sämtlichen Ansprüchen, Kosten, Bußgeldern oder sonstigen negativen Auswirkungen frei, die darauf zurückzuführen sind, dass der Auftraggeber gegen die Bestimmungen dieser Vereinbarung oder anwendbares Datenschutzrecht verstoßen hat. Im Falle eines Mitverschuldens des Auftragnehmers gilt die Freistellung nur anteilig.

7.2 Der Auftragnehmer haftet – sofern der Hauptvertrag oder diese Vereinbarung zur Auftragsverarbeitung keine anderslautenden Regelungen treffen – gleich aus welchem Rechtsgrund nur für Vorsatz und grobe Fahrlässigkeit. Diese Haftungsbeschränkung gilt auch für seine Erfüllungs- und Verrichtungsgehilfen. Der Auftragnehmer haftet bei leichter Fahrlässigkeit nicht, außer wenn er eine wesentliche Vertragspflicht verletzt hat, deren Erfüllung die ordnungsgemäße Durchführung der Vereinbarung überhaupt erst ermöglicht, oder deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen kann. Diese Haftung ist bei Sach- und Vermögensschäden auf den vertragstypischen und vorhersehbaren Schaden beschränkt. Das gilt auch für entgangenen Gewinn und ausgebliebene Einsparungen.

7.3 Die Haftungsbeschränkungen nach Ziffer 7.2 gelten nicht für die Verletzung von Leben, Körper und Gesundheit.

§ 8 Rechte von betroffenen Personen

8.1 Die Rechte betroffener Personen sind grundsätzlich gegenüber dem Auftraggeber geltend zu machen. Soweit eine betroffene Person ihre Rechte gegenüber dem Auftragnehmer geltend macht, wird dieser das Ersuchen zeitnah an den Auftraggeber weiterleiten.

8.2 Soweit eine betroffene Person ihre Rechte gegenüber dem Auftraggeber geltend macht, wird der Auftragnehmer den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung dieser Ansprüche angemessen und im erforderlichen Umfang unterstützen, wenn der Auftraggeber den Anspruch ohne die Unterstützung des Auftragnehmers nicht erfüllen kann.

§ 9 Datenschutzbeauftragter

Der Auftragnehmer hat einen Datenschutzbeauftragten benannt, der unter folgender E-Mail-Adresse zu erreichen ist:

datenschutz@cairful.com

§ 10 Vertragsdauer

10.1 Die Vereinbarung tritt mit dem Abschluss des Hauptvertrags in Kraft und läuft auf unbestimmte Zeit. Die Vereinbarung endet mit Beendigung des Hauptvertrags, ohne dass es einer gesonderten Kündigung der Vereinbarung bedarf.

10.2 Die Vereinbarung kann im Übrigen mit einer Frist von drei (3) Monaten zum Monatsende von jeder der Parteien gekündigt werden. Die Parteien werden bei Bedarf angemessene Überleitungsregelungen vereinbaren, um die Ordnungsmäßigkeit der zugrundeliegenden Verarbeitungsprozesse ggf. auch über das Ende des Hauptvertrags hinaus sicherzustellen.

10.3 Im Übrigen kann jede Partei die Vereinbarung bei Vorliegen eines wichtigen Grundes außerordentlich fristlos kündigen.

10.4 Eine Kündigung bedarf der Schriftform.

§ 11 Sonstiges

11.1 Bei Änderungen der tatsächlichen Ausgestaltung der Leistungsbeziehungen zwischen den Parteien werden die Parteien die Anlagen entsprechend anpassen und einvernehmlich austauschen.

11.2 Auf die Vereinbarung findet das Recht der Bundesrepublik Deutschland Anwendung. Gerichtsstand für alle Streitigkeiten in Zusammenhang mit dieser Vereinbarung ist Düren.

11.3 Änderungen oder Ergänzungen der Vereinbarung bedürfen der Textform (§ 126 BGB). Dies gilt für Änderung oder Aufhebung des vorstehenden Schriftformerfordernisses entsprechend.

11.4 Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der Vereinbarung im Übrigen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die in ihrem wirtschaftlichen Gehalt der unwirksamen Bestimmung möglichst nahekommt. Entsprechendes gilt im Falle von Regelungslücken.

*-*-*

Anlage 1: Leistungsübersicht

Anlage 2: Kategorien betroffener Personen; betroffene personenbezogene Daten; Art und Zweck der Datenverarbeitung

Anlage 3: Technische und organisatorische Maßnahmen

Anlage 4: Genehmigte Unterauftragnehmer


Anlage 1: Leistungsübersicht

Mit Cairful-PeBeM können Sie die Chancen der Personalbemessung 2023 nutzen, indem Sie:

  • für die PeBeM-Analyse relevante Informationen (Mitarbeiter:innen, Bewohner:innen sowie ausgeführte Interventionen) hinzufügen bzw. importieren,
  • den bewohnerindividuellen Pflegebedarf aller durchgeführten Interventionen anhand des PeBeM-Regelwerks automatisch ermitteln lassen,
  • die kompetenzgerechte Passung aller durchgeführten Interventionen gemäß automatisch ermittlen lassen,
  • anhand verschiedener aggregierter Analysemöglichkeiten Optimierungspotential erkennen,
  • Ihre Arbeitsorganisation auf Basis der Analyse Stück für Stück verbessern,
  • den Entwicklung Ihrer kompetenzgerechten Arbeitsorganisation im „Change-Prozess“ überwachen,
  • anonymisierte statistische Vergleiche von generierten Auswertungen der Daten erhalten.

Als Kunde von Cairful-Pflege haben Sie außerdem die Möglichkeit, die relevanten Informationen im Rahmen des „Cairful-Komfort-Imports“ per Schnittstelle zu übertragen.

Da sich der konkrete Inhalt und Umfang von Cairful-PeBeM aufgrund von kontinuierlicher Weiterentwicklung des Produkts ändern kann, finden Sie eine aktuelle Funktionsbeschreibung und Preisliste unter https://pebem.cairful.com/lizenzen/.

 

Anlage 2: Kategorien betroffener Personen; betroffene personenbezogene Daten;

Der Auftragnehmer verarbeitet die personenbezogenen Daten folgender betroffener Personen:

  • Mitarbeiter:innen des Auftraggebers
  • Bewohner:innen des Auftraggebers

Der Auftragnehmer verarbeitet im Rahmen des Leistungsbeziehung die folgenden personenbezogenen Daten:

Mitarbeiter:innen

Bewohner:innen

Name, Vorname

Name, Vorname

Qualifikationsniveau

Informationen über Kriterien einer „instabilen gesundheitlichen Situation“

 

Informationen über den Pflegezustand (anhand des Begutachtungsinstruments)


Die Datenverarbeitung durch den Auftragnehmer erfolgt ausschließlich für folgende Zwecke:

  • Erfüllung der vertraglichen Verpflichtungen aus dem Hauptvertrag, insb.
    • Ermittlung des bewohnerindividuellen Soll-Qualifikationsniveaus (QN-Soll) einzelner Interventionen auf Basis des Pflegezustands der Bewohner:innen,
    • Analyse der kompetenzgerechten Pflege auf Basis durchgeführter Interventionen, das sich aus der Passung des Ist-Qualifikationsniveaus der Mitarbeiter:innnen (QN-IST) und dem Pflegezustand der Bewohner:innen (QN-Soll) ergibt,
    • Erstellung von anonymisierten statistischen Vergleichen von generierten Auswertungen der Daten.

 

Anlage 3: Technische und organisatorische Maßnahmen des Auftragnehmers

1. Zutrittskontrolle

Die Cairful GmbH hat angemessene Maßnahmen und Vorkehrungen getroffenen, um Unbefugte am Zutritt zu den Datenverarbeitungssystemen zu hindern (räumlich):

a) Räumlichkeiten der Cairful GmbH

Hinsichtlich der Räumlichkeiten der Cairful GmbH bestehen folgende Maßnahmen zur Zutrittskontrolle:

  • Das Betriebsgelände befindet sich in einem Gewerbegebiet. Ein Wachdienst überprüft, insbesondere außerhalb der Dienstzeiten, regelmäßig Personen auf dem Gelände oder innerhalb der Geschäftsräume.
  • Die Geschäftsräume sind mit Sicherheitsschlössern gesichert.
  • Die Ausgabe, Rücknahme und der Verlust von Schlüsseln werden dokumentiert.
  • Der Serverraum ist mit einem Sicherheitsschloss gesichert. Die Schlüssel zum Serverraum werden zentral verwaltet.
  • Es bestehen definierte Zugriffsberechtigungen für die Beschäftigten und Dritte sowie eine entsprechende Dokumentation.
  • Bei Ausscheiden ist ein Workflow etabliert, bei dem der Schlüssel zurückgefordert wird.
  • Gäste können nicht ohne Begleitung die Räumlichkeiten mit Datenverarbeitungsanlagen betreten.

b) Besondere Bestimmungen für die Software Cairful-PeBeM

Die Software Cairful-PeBeM ist im Datacenter-Park eines Unterauftragnehmers auf einem Server gehostet (Dedicated Server). Dort bestehen folgende technischen und organisatorischen Maßnahmen zur Zutrittskontrolle:

  • Es besteht ein elektronisches Zutrittskontrollsystem mit Protokollierung.
  • Ein Hochsicherheitszaun um den gesamten Datacenter-Park schützt die Anlage.
  • Es besteht eine dokumentierte Schlüsselvergabe an Beschäftigte des Unterauftragnehmers.
  • Es bestehen Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude.
  • Die Rechenzentren sind 24/7 personell besetzt.
  • Die Ein- und Ausgänge, Sicherheitsschleusen und Serverräume werden videoüberwacht.
  • Der Zutritt für betriebsfremde Personen (z.B. Besucherinnen und Besucher) zu den Räumen erfolgt nur in Begleitung.

2. Zugangskontrolle

Die Cairful GmbH stellt sicher, dass nur die zur Nutzung des Datenverarbeitungssystems befugten Personen Zugang zu den Datenverarbeitungsanlagen haben und die Nutzung der Verarbeitungssysteme mit Hilfe von Einrichtungen oder Mitteln zur Datenübertragung durch Unbefugte verhindert wird (Zugangskontrolle).

a) Cairful GmbH

Bei der Cairful GmbH bestehen folgende Maßnahmen zur Zugangskontrolle:

  • Die Rechtevergabe für den Zugriff auf die IT-Systeme wird zentral über eine Microsoft-Windows Active-Directory Domäne verwaltet. Die Anlage von Benutzerkonten in der Domäne erfolgt ausschließlich durch die Systemadministratoren. Benutzer erhalten nur die für Ihre jeweilige Tätigkeit erforderlichen Rechte, die durch Sicherheitsgruppen in der Domäne abgebildet werden. Die Zugehörigkeit zu den Sicherheitsgruppen wird, falls erforderlich, zugewiesen oder entzogen.
  • Der Zugang zu den IT-Systemen erfolgt für alle Beschäftigte durch die User-Passwort-Authentifizierung der Domäne. Die Passwortrichtlinie setzt eine Mindestlänge von 8 Zeichen aus mindestens drei unterschiedlichen Kategorien von vier möglichen (Ziffer, Klein- oder Großbuchstaben, Sonderzeichen) voraus. Das initial vom Administrator zugewiesene Passwort muss bei der ersten Anmeldung geändert werden. Nach dreimaliger Falscheingabe des Passworts wird das Benutzerkonto gesperrt. Bei der Freigabe des Kontos durch einen Administrator, wird der Grund für die Sperrung analysiert.
  • Auf allen Arbeitsplätzen ist stets eine aktuelle Virensoftware installiert. Es werden mehrmals tägliche Definitionsupdates für Virensignaturen eingespielt, sobald diese vom Hersteller der Antivirensoftware freigegeben wurden. Alle Arbeitsplätze werden zudem durch fortlaufende System-Updates gegen Angriffe geschützt.
  • Firewalls werden eingesetzt.
  • Der Zugang von außen ist über verschlüsselte Verbindungen abgesichert und ist nur für einen eingeschränkten Personenkreis möglich.
  • VPN-Technologie wird eingesetzt.
  • Datenträger werden verschlüsselt.
  • Nutzungsberechtigten Personen werden im Rahmen eines Zugriffs- und Berechtigungskonzepts festgelegt.
  • Es erfolgt eine Identifikation und Authentifizierung der Benutzer.
  • Zu übertragenden Daten werden verschlüsselt.
  • Bei einer Inaktivität von 5 Tagen erfolgt eine Kennwort-basierte Sperrung von Terminals.
  • Es erfolgt eine Trennung von Gäste-WLAN und firmeninternem WLAN.

b) Besondere Bestimmungen für die Software Cairful-PeBeM

Im Datacenter-Park des Unterauftragnehmers bestehen folgende technischen und organisatorischen Maßnahmen zur Zugangskontrolle:

  • Server-Passwörter, welche nur von der Cairful GmbH nach erstmaliger Inbetriebnahme von ihr selbst geändert werden.
  • Das Passwort zur Administrationsoberfläche wird von der Cairful GmbH selbst vergeben - die Passwörter müssen vordefinierte Richtlinien erfüllen. Zusätzlich steht der Cairful GmbH eine Zwei-Faktor-Authentifizierung zur weiteren Absicherung seines Accounts zur Verfügung.

3. Zugriffskontrolle

Die Cairful GmbH hat angemessene Maßnahmen getroffen, um zu verhindern, dass die zur Benutzung eines automatisierten Verarbeitungsvorgangs Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben, d.h. nur im Umfang der ihnen erteilten Berechtigung auf die Daten zugreifen können (Zugriffskontrolle). Dies wird gewährleistet durch:

  • Zugriffe auf die Daten erfolgen nur mit sog. Benutzer-Accounts mit entsprechenden Zugriffsberechtigungen. Ohne gültige Zugriffsberechtigung ist ein Zugriff auf die fraglichen Daten nicht möglich.
  • Die Zugriffsberechtigungen zu den einzelnen Accounts sind in einem Zugriffs- und Berechtigungskonzept (Active Directory) aufgeführt. Die differenzierte Berechtigungsvergabe erfolgt über Anweisung durch die Geschäftsführung an den Systemadministrator. Bei einer Änderung des Anstellungsverhältnisses bzw. des Tätigkeitsbereichs werden die vergebenen Berechtigungen überprüft und ggfs. angepasst. Bei Ausscheiden werden die Berechtigungen unmittelbar nach Anweisung der Geschäftsführung entzogen.
  • Die Verwaltung der Benutzerrechte erfolgt durch Systemadministratoren.
  • Die Anzahl der Systemadministratoren ist auf ein notwendiges Minimum beschränkt, jedoch so gewählt, dass stets ein Systemadministrator für unmittelbar erforderliche Handlungen zur Verfügung steht.
  • Es erfolgt eine dokumentierte Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten.
  • Zugriffe auf unternehmenskritische Daten erfolgen über IT-Systeme (CRM), die über eine separate Zugangskontrolle verfügen und Änderungen transparent protokollieren. Unternehmenskritische Daten werden durch die jeweils verantwortlichen Personen verschlüsselt. Nicht mehr verwendete Datenträger werden zunächst eingelagert und falls erforderlich durch zertifizierte Entsorgungsunternehmen vernichtet.
  • Papierunterlagen mit personenbezogenen Daten werden grundsätzlich mit einem geeigneten Aktenvernichter unkenntlich gemacht.

Datenträgerkontrolle

Die Cairful GmbH stellt sicher, dass unbefugtes Lesen, Kopieren, Verändern oder Löschen der Datenträgermedien verhindert wird (Datenträgerkontrolle).

a) Cairful GmbH

Die Cairful GmbH setzt folgende Maßnahmen zur Datenträgerkontrolle um:

  • Es werden revisionssichere Benutzerprofile angelegt.
  • Sicherungskopien werden nur durch ausgewählte Mitarbeiter:innen erstellt.
  • Festplatten und ähnliche Datenträger sind, sofern technisch mit vertretbarem Aufwand machbar, verschlüsselt.
  • Sicherungskopien werden an mehreren Standorten dezentral gespiegelt (und verschlüsselt) verwaltet.

b) Besondere Bestimmungen für die Software Cairful-PeBeM

Im Datacenter-Park des Unterauftragnehmers bestehen folgende Maßnahmen zur Datenträgerkontrolle:

  • Festplatten werden nach Kündigung des Vertrags zwischen der Cairful GmbH und dem Unterauftragnehmer mit einem definierten Verfahren mehrfach überschrieben (gelöscht).
  • Defekte Festplatten, die nicht sicher gelöscht werden können, werden direkt im Rechenzentrum zerstört (geschreddert).

5. Speicherkontrolle

Die Cairful GmbH stellt sicher, dass die unbefugte Eingabe von personenbezogenen Daten sowie die unbefugte Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten verhindert wird (Speicherkontrolle).

Dies wird gewährleistet durch:

  • Benutzer- und gruppenabhängige Zugriffsberechtigungen steuern die Sichtbarkeit und Änderbarkeit der Informationen im eingesetzten ERP- und CRM-System.
  • Datenänderungen und -löschungen im ERP und CRM werden fortlaufend protokolliert (= journalisiert).

6. Übertragungs- bzw. Weitergabekontrolle

Die Cairful GmbH gewährleistet, dass überprüft und festgestellt werden kann, an welche Stellen oder Standorte personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung (d.h. Trägermedien wie USB-Sticks oder über das Intra- bzw. Internet) übermittelt wurden oder werden können (Übertragungs- bzw. Weitergabekontrolle).

Dies wird gewährleistet durch:

  • Im Rahmen von Service- und Supportfällen erfolgt die Übermittlung der für die Bearbeitung des Falles erforderlichen Informationen im Ermessen des Kunden. Dabei ist darauf zu achten, dass möglichst keine personenbezogenen Daten übermittelt werden.
  • Anfragen über die zur Verfügung gestellten E-Mail-Adressen der Cairful GmbH werden zusammen mit den Kontaktdaten des Anfragenden zur Bearbeitung im CRM-System der Cairful GmbH historisiert erfasst und unterliegen den gesetzlichen Aufbewahrungsfristen.
  • Anfragen, die Kooperationspartner der Cairful GmbH betreffen, werden nach eingehender Bewertung an die Kooperationspartner weitergeleitet, wenn dadurch die Bearbeitung der Anfrage gewährleistet werden kann. Ansonsten werden die Anfragen mit einem Verweis auf den richtigen Ansprechpartner abgewiesen und gelöscht.
  • Sämtliche personenbezogene Daten werden nach den gesetzlichen Fristen oder auf Wunsch des Auftraggebers – sofern dem keine gesetzlichen Regelungen entgegenstehen – gelöscht.
  • Das Löschen von Daten innerhalb des CRMs wird protokolliert.
  • Bewohnerdaten der Kunden werden ausschließlich auf den Kundensystemen gespeichert.
  • Für den Zugriff auf Kundensysteme im Rahmen der IT-Administration oder des Service und Supports werden ausschließlich verschlüsselte Verbindungen verwendet.
  • Die für eine Übermittlung von Daten berechtigten Personen sind festgelegt.
  • Es erfolgt eine Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen (z.B. im Rahmen der geschlossenen Aufträge zur Auftragsdatenverarbeitung mit Unterauftragnehmern).
  • Es werden Backups des Mailverkehrs angelegt.
  • Beschäftigte sind unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.

7. Transportkontrolle

Die Cairful GmbH stellt sicher, dass bei der Übermittlung der personenbezogenen Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle).

Dies wird gewährleistet durch:

  • VPN-Tunnel sind eingerichtet.
  • Alle Daten und Datenträger werden hinsichtlich Virenbefall überprüft.
  • Es erfolgt eine Verschlüsselung der Daten bzw. der Datenträger bei der Übertragung.

8. Eingabekontrolle

Die Cairful GmbH stellt sicher, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben oder verändert worden sind.

Dies wird gewährleistet durch:

  • Es erfolgt eine Protokollierung der Eingabe, Änderung und Löschung von Daten durch ein digitales „Handzeichen“ im System. Für alle relevanten Datenbereiche bestehen zusätzliche Audit-Tabellen, die Änderungen an einem Datensatz historisch protokollieren, sobald dieser in der Datenbank geändert wird. Dabei wird zwischen Erstellung, Aktualisierung und Löschung differenziert.
  • Das eingesetzte Datenbanksystem (Microsoft SQL Server) protokolliert zusätzlich sämtliche Schreib- und Lesevorgänge in dem sogenannten Transaktionsprotokoll. Diese Protokolle werden aufgrund von Speicherplatzlimitierungen zurzeit turnusmäßig bereinigt.
  • Es bestehen Benutzeridentifikationen.
  • Durch individuelle Benutzernamen (nicht Benutzergruppen) ist die Eingabe, Änderung und Löschung von Daten nachvollziehbar.

9. Auftragskontrolle

Die Cairful GmbH gewährleistet, dass die Daten, die im Auftrag durch Unterauftragnehmer verarbeitet werden, nur entsprechend den Weisungen des Auftragnehmers verarbeitet werden können (Auftragskontrolle).

Dies wird gewährleistet durch:

  • Es erfolgt eine sorgfältige Auswahl von Subdienstleistern bzw. Unterauftragnehmern. Die Vertragsgestaltung und -ausführung erfolgt gemäß den Anforderungen des Art. 28 DSGVO.
  • Art und Umfang der beauftragten Verarbeitung und Nutzung personenbezogener Daten werden in der entsprechenden Auftragsverarbeitungsvereinbarung detailliert beschrieben.
  • Weisungen werden protokolliert.
  • Datenträger und Daten der Cairful GmbH werden durch den Unterauftragnehmer ordnungsgemäß vernichtet oder zurückgegeben.
  • Es erfolgt eine physische Löschung von Datenträgern, auf denen Daten der Cairful GmbH lagen, vor deren Wiederverwendung.

10. Kontrolle der Trennung der Daten („Trennbarkeit“)

Die Cairful GmbH ermöglicht die Trennung von Daten, die zu unterschiedlichen Zwecken erhoben wurden.

Dies wird gewährleistet durch:

  • Die Daten werden in unterschiedlichen Datenpools gespeichert (physische Trennung).
  • Es gibt die spezifischen Zugangsmechanismen innerhalb der eingesetzten IT-Systeme durch Rechte- und Rollenprinzipien (z. B. innerhalb des CRM – logische Trennung).
  • Datenbankrechte werden festgelegt du dokumentiert.

11. Belastungskontrolle der Systeme und Verfügbarkeitskontrolle

Die Cairful GmbH stellt sicher, dass die von ihr eingesetzten Systeme funktionstüchtig sind und Fehlfunktionen gemeldet werden (Zuverlässigkeit) sowie gespeicherte personenbezogene Daten durch Fehlfunktionen des Systems möglichst nicht beschädigt werden (Datenintegrität). Zudem gewährleistet die Cairful GmbH, dass die Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit) und personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeit).

Dies wird durch folgende Maßnahmen sichergestellt:

 

 

Zuverlässigkeit:

  • Erforderliche Softwareupdates werden regelmäßig geprüft und durchgeführt.
  • Soft- und Hardware mit Schwachstellen wird unverzüglich ausgetaucht.

Datenintegrität:

  • Über definierte Zugriffsberechtigungen wird das Risiko von „Fehlbedienungen“ des Systems reduziert.
  • Virenscanner und Firewalls werden eingesetzt.
  • Gescheiterte Zugriffsversuche werden dokumentiert.
  • Ein Dokumentenmanagementsystems (DMS) ist im Einsatz.
  • Es finden regelmäßige Datensicherungen statt.

Wiederherstellbarkeit:

  • Es findet eine getrennte Aufbewahrung der Daten und der Sicherungskopien statt.
  • Es erfolgen regelmäßige Datensicherungen.
  • Sicherungen werden regelmäßig getestet.
  • Es ist dokumentiert und sichergestellt, wer im Fehlerfall zu informieren ist, um das System schnellstmöglich wiederherzustellen.

Verfügbarkeit:

a) Cairful GmbH

Die Cairful GmbH trifft folgende Maßnahmen zur Verfügbarkeit der eingesetzten Systeme:

  • Der Serverraum der Cairful GmbH ist klimatisiert und mit Rauchmeldern ausgestattet. Ein CO2-Feuerlöscher befindet sich in unmittelbarer Nähe außerhalb des Serverraums.
  • Die Serversysteme sind mit einer unterbrechungsfreien Stromversorgung (USV) versorgt. Die technischen Anlagen sind gegen Überspannungsschäden gesichert.
  • Bei den Serversystemen kommen ausschließlich redundant ausgelegte Speichersysteme (z.B. RAID 5) zum Einsatz.
  • Sämtliche Serversysteme werden täglich vollständig auf einem zugriffsbeschränkten NAS gesichert, welches sich im abgeschlossenen Serverraum befindet. Es werden dabei verschiedene unterschiedliche virtuelle Maschinen für jeweils eigenständige Aufgabenbereiche verwendet, die separat gesichert werden.
  • Von kritischen Systemen wie Datenbanken, Dateiservern oder dem CRM werden zusätzlich separate Sicherungen der Inhalte auf dem NAS vorgehalten.
  • Die Daten werden täglich auf externe verschlüsselte Festplatten synchronisiert, die ebenfalls täglich durch die Geschäftsführung oder deren Vertretung getauscht und firmenextern aufbewahrt werden

b) Data-Center Park

Beim Unterauftragnehmer bestehen folgende Maßnahmen hinsichtlich der Verfügbarkeit der eingesetzten Systeme:

  • Es ist eine unterbrechungsfreie Stromversorgung sowie eine Netzersatzanlage im Einsatz.
  • Es besteht ein dauerhafter aktiver DDoS-Schutz.

12. Organisationskontrolle

Die Cairful GmbH stellt sicher, dass ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherung der Verarbeitung etabliert ist.

Dies wird gewährleistet durch folgende Maßnahmen:

  • Die Unternehmensleitung übernimmt die Verantwortung für den Datenschutz und die Informationssicherheit. Leitlinien zur IT-Sicherheit und zum Datenschutz liegen vor.
  • Die Beschäftigten werden regelmäßig über den aktuellen Stand zur Informationssicherheit und zum Datenschutz informiert und geschult. Die Beschäftigten haben den IT-Sicherheitsrichtlinien und der Verpflichtungserklärung zum Datenschutz und Datengeheimnis schriftlich zugestimmt. Bei Änderungen der Richtlinien wird die erneute Zustimmung der Beschäftigten eingeholt und protokolliert.
  • Ein Datenschutzbeauftragter ist benannt. Die Kontaktdaten können der aktuellen Datenschutzerklärung auf der Cairful-Website entnommen werden (https://www.cairful.com/datenschutzrichtlinie/).
  • Bei der Erfassung personenbezogener Daten werden die Prinzipien der Datenminimierung eingehalten. Details zum Umgang mit den personenbezogenen Daten können den IT-Sicherheitsrichtlinien entnommen werden.
  • Die Richtlinien werden regelmäßig überprüft, um Datenschutzverletzungen frühestmöglich zu erkennen und abzustellen. Sofern eine Datenschutzverletzung durch die interne Überwachung oder durch Hinweise von Dritten erkannt wird, werden umgehend die erforderlichen Schritte eingeleitet. Es besteht ein Prozess im Falle von „Datenpannen“.
  • Anfragen zur Datenauskunft über die bei uns gespeicherten persönlichen Daten im Sinne der DSGVO werden schnellstmöglich, jedoch maximal innerhalb der gesetzlich vorgeschriebenen Frist beantwortet. Die fristgemäße Bearbeitung wird durch eine Priorisierung gegenüber anderen Tätigkeiten sichergestellt.
  • Ein Verzeichnis der Verarbeitungstätigkeiten i.S.v. Art. 30 Abs. 1 und 2 der DSGVO liegt vor.

 

Anlage 4: Genehmigte Unterauftragnehmer und Tätigkeitsbereiche des Unterauftragnehmers

Name des Unterauftragnehmers

und dessen Unterauftragnehmern:

Zwecke

für die der Unterauftragnehmer die Daten verarbeitet 

Verarbeitungen

(sofern diese von Anlage 1 abweichen)

Ort der Verarbeitung

Übermittlung an Stellen mit Sitz außerhalb des EWR

 

Microsoft Azure

Microsoft Ireland South County Business Park, Operations Ltd, One Microsoft Place, Leopardstown, Dublin, D18 P521, Ireland

Bereitstellung eines Cloud Servers zum Hosting der Web-Anwendung „Cairful-PeBeM“

-

Deutschland
(Germany West Central)

Informationen unter

https://azure.microsoft.com/de-de/explore/global-infrastructure/data-residency/#overview

 

An error has occurred. This application may no longer respond until reloaded. Reload 🗙