— Server-Hosting PflegeX Cloud —
Zwischen der Firma
Mintcode Solutions GmbH, Kastanienallee 18, 21255 Tostedt, Deutschland — nachfolgend „Auftragnehmer“ genannt —
und
dem Kunden gemäß den im Bestellprozess hinterlegten Stammdaten — nachfolgend „Auftraggeber“ genannt —
Diese Vereinbarung regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer (im Folgenden „Parteien“ genannt) im Rahmen der sich aus dem Vertragsverhältnis ergebenden Verarbeitung von personenbezogenen Daten im Auftrag im Zusammenhang mit der Bereitstellung eines Windows-Servers durch den Auftragnehmer („PflegeX Cloud“). Der Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.
[1] Gegenstand des Auftrags ist die Vermietung eines virtuellen oder physischen Windows-Servers inklusive der zugehörigen Windows-Lizenzierung („Server“). Die Leistung umfasst insbesondere:
[2] Nicht Gegenstand dieses Vertrages sind insbesondere:
Nach erfolgter Übergabe liegen Betrieb, Administration, Wartung und Datensicherung des Servers und der darauf betriebenen Software in der alleinigen Verantwortung des Auftraggebers bzw. eines vom Auftraggeber benannten Dritten.
[3] Eine eigenständige Verwendung personenbezogener Daten durch den Auftragnehmer ist nicht Gegenstand des Vertrages. Der Auftragnehmer hat nach Übergabe des Servers keinen administrativen Zugriff auf das Gast-Betriebssystem oder die darauf gespeicherten Daten. Ein Zugriff erfolgt ausschließlich
In den vorgenannten Fällen kann ein Zugriff auf personenbezogene Daten nicht gänzlich ausgeschlossen werden.
[4] Der Auftragnehmer verarbeitet die etwaig betroffenen personenbezogenen Daten ausschließlich nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO.
[5] Der Beginn und das Ende der Verarbeitung richtet sich nach der Erbringung der Dienstleistungen des Auftragnehmers und wird durch den Auftraggeber bestimmt. Der Vertrag verliert seine Gültigkeit, wenn der Auftraggeber keine Leistungen mehr des Auftragnehmers in Anspruch nimmt.
[1] Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich und somit „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO.
[2] Die Verantwortung für den ordnungsgemäßen, datenschutzkonformen Betrieb des Servers nach Übergabe (insbesondere Einspielung von Updates und Sicherheitspatches, Pflege der Anwendungssoftware, Erstellung und Verwaltung von Backups sowie Berechtigungsmanagement innerhalb des Gastsystems) liegt allein beim Auftraggeber oder einem von ihm beauftragten Dritten.
[3] Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
[1] Der Auftragnehmer übernimmt nachfolgende Verarbeitungen: Speicherung, Übermittlung im Rahmen der Infrastrukturbereitstellung sowie – ausschließlich im Rahmen der initialen Einrichtung, eines Support-Falls auf Anforderung des Auftraggebers oder der optionalen Backup-Speicherung – Erhebung, Auslesen, Einschränkung, Löschung oder Vernichtung von Daten.
[2] Aufgrund der Funktionsweise der auf dem Server üblicherweise betriebenen Software „PflegeX“ können in den unter § 1 [3] genannten Konstellationen insbesondere folgende Kategorien personenbezogener Daten von der Verarbeitung betroffen sein:
[3] Von der Verarbeitung sind insbesondere folgende Personengruppen betroffen:
[4] Der Auftraggeber bestätigt mit Vertragsschluss, dass er die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) eigenverantwortlich beurteilt und auf Grundlage einer geeigneten Rechtsgrundlage durchführt. Der Auftragnehmer hat auf die laufende Konfiguration und Pflege der Anwendungssoftware nach Übergabe keinen Einfluss.
[1] Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrags und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 a DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung so lange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
[2] Der Auftragnehmer wird in seinem Verantwortungsbereich – d. h. auf Ebene der Infrastruktur sowie im Rahmen der unter § 1 [3] genannten Zugriffe – die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Diese Maßnahmen sind diesem Vertrag als Anlage beigefügt. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
[3] Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. Eine inhaltliche Auseinandersetzung mit den auf dem Server gespeicherten Daten ist dem Auftragnehmer mangels Zugriffsmöglichkeit nicht möglich.
[4] Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrags fort.
[5] Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden, die seinen Verantwortungsbereich (insb. Infrastruktur, Backup-Speicherung) betreffen. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
[6] Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
[7] Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
[8] Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, soweit sie sich in seinem Zugriffsbereich (insb. Backup-Speicher, Infrastruktur) befinden, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist.
[9] Daten, Datenträger sowie sämtliche sonstige Materialien aus dem Zugriffsbereich des Auftragnehmers sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen.
[10] Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO verpflichtet sich der Auftragnehmer, den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
[11] Die Auftragsverarbeitung erfolgt ausschließlich innerhalb der Bundesrepublik Deutschland.
[1] Der Auftraggeber ist für den ordnungsgemäßen Betrieb des Servers nach Übergabe allein verantwortlich. Dies umfasst insbesondere die Einspielung von Betriebssystem-Updates und Sicherheitspatches, die Pflege, Aktualisierung und Konfiguration der Anwendungssoftware, das Berechtigungsmanagement innerhalb des Gastsystems sowie die ordnungsgemäße Datensicherung gemäß § 5a.
[2] Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
[3] Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO gilt § 4 Abs. 10 entsprechend.
[4] Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
[5] Der Auftraggeber stellt sicher, dass die im Rahmen der PflegeX Cloud verarbeiteten Zugangsdaten zu administrativen Funktionen sorgfältig verwahrt und vor unbefugtem Zugriff geschützt werden.
[1] Der Auftragnehmer stellt dem Auftraggeber auf Wunsch Speicherkapazitäten zur Verfügung, mit denen der Auftraggeber Backups des Servers erstellen und ablegen kann.
[2] Die Erstellung, Konfiguration, Verwaltung, Versionierung und Wiederherstellung von Backups erfolgt eigenverantwortlich durch den Auftraggeber. Der Auftragnehmer schuldet weder eine inhaltliche Prüfung, noch eine bestimmte Backup-Frequenz, noch eine Aufbewahrungsdauer.
[3] Der Auftragnehmer übernimmt keine Haftung für unvollständige, nicht durchgeführte oder fehlerhaft konfigurierte Backups des Auftraggebers. Der Auftraggeber ist insbesondere selbst für die regelmäßige Überprüfung der Wiederherstellbarkeit seiner Backups verantwortlich.
[4] Bei der Speicherung der Backups gelten dieselben technischen und organisatorischen Maßnahmen, die im Rahmen der Infrastruktur des Auftragnehmers angewendet werden.
[1] Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist.
[2] Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Eine inhaltliche Bearbeitung der auf dem Server gespeicherten Daten ist dem Auftragnehmer mangels Zugriffsmöglichkeit nicht möglich.
[3] Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
[1] Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.
[2] Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer eine Vergütung verlangen. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
[3] Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
[1] Der Auftraggeber stimmt mit Abschluss dieses Vertrages der Hinzuziehung des nachfolgend genannten Unterauftragnehmers (Subunternehmer) gemäß Art. 28 Abs. 2 DSGVO ausdrücklich zu:
Eine jeweils aktuelle Übersicht der eingesetzten Unterauftragnehmer wird vom Auftragnehmer bereitgestellt und auf Anfrage in Textform übermittelt.
[2] Vor Hinzuziehung weiterer oder Ersetzung der bisherigen Subunternehmer informiert der Auftragnehmer den Auftraggeber rechtzeitig in Textform. Der Auftraggeber kann der Änderung innerhalb einer angemessenen Frist – aus wichtigem Grund – gegenüber der vom Auftragnehmer bezeichneten Stelle widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung zur Änderung als gegeben. Die Beauftragung von Subunternehmern ist nur möglich, wenn dem Subunternehmer vertraglich Datenschutzpflichten auferlegt werden, die dem vorliegenden Vertrag vergleichbar sind.
[3] Unterauftragsverhältnisse im Sinne dieses Vertrages sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
[1] Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlicher im Sinne der DSGVO liegen.
[2] Dieser Vertrag wird durch das aktive Bestätigen der entsprechenden Checkbox des Auftraggebers im Rahmen des Bestell- bzw. Buchungsprozesses geschlossen. Die elektronische Annahme erfüllt die Anforderungen des Art. 28 Abs. 9 DSGVO. Der Auftraggeber erhält nach Abschluss eine Kopie dieses Vertrags in elektronischer Form; der jeweils aktuelle Vertragstext wird im Hostingportal bereitgestellt.
[3] Änderungen und Ergänzungen dieses Vertrages und aller seiner Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
[4] Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
[5] Es gilt deutsches Recht.
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.
Die Vergütung des Auftragnehmers ist abschließend im Hauptvertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt mit Ausnahme von § 7 Abs. 2 nicht.
Anlagen:
Die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen beziehen sich auf den Verantwortungsbereich des Auftragnehmers, d. h. die Bereitstellung der zugrunde liegenden Server- und Rechenzentrumsinfrastruktur, die initiale Einrichtung des Servers sowie die Bereitstellung optionaler Backup-Speicherkapazitäten. Maßnahmen innerhalb des Gast-Betriebssystems sowie die Pflege der Anwendungssoftware liegen nach Übergabe in der Verantwortung des Auftraggebers.
Standort: First Colo GmbH, Hanauer Landstraße 291 B, 60314 Frankfurt am Main
Im Rechenzentrum der First Colo GmbH wird der Zutritt nach vorheriger Anmeldung und Identifizierung beim Rechenzentrumspersonal gewährt. Der Zutritt zu den Serverräumen ist durch Fingerabdrucksensoren geschützt, welche ausschließlich nach Anmeldung freigegeben werden. Das Rechenzentrum verfügt über eine Brandfrüherkennung mit Aufschaltung auf die lokale Feuerwehr, zwei Brandabschnitte, eine Einbruchmeldeanlage, eine Videoüberwachung im gesamten Rechenzentrumsbereich sowie einen 24/7 Sicherheitsdienst in Bereitschaft. Die Serverschränke im Serverraum sind separat verschlossen. Zugang zu den Schlüsseln hat ausschließlich das befugte Personal vom Rechenzentrum. Schlüssel werden nicht ausgehändigt.
Standort: Maincubes One GmbH, Bockenheimer Anlage 15, 60322 Frankfurt am Main
Der Zutritt zum Rechenzentrum FRA01 der Maincubes One GmbH wird ausschließlich nach vorheriger Anmeldung durch autorisierte Personen gestattet. Das gesamte Rechenzentrum ist in mehrere Sicherheitsbereiche aufgebaut und ist von außerhalb mit einem Zaun gesichert. Besucher müssen angemeldet sein und sich ausweisen können. Der Zutritt erfolgt mit mehrstufigen Zutrittskontrollen, wie z. B. mittels RFID-Cards und PINs, Schleusen mit Handvenenscannern sowie festgelegten Zutrittsbereichen. Das Rechenzentrum verfügt über Brandfrüherkennung mit einer Aufschaltung zur Feuerwehr, mehrere Brandabschnitte, eine Einbruchmeldeanlage, Sicherheitsverglasung, Videoüberwachung in Sicherheitsbereichen sowie einen 24/7 Sicherheitsdienst. Die Serverschränke sind separat verschlossen und nur durch autorisierte Personen zu öffnen.
Bürogebäude: Kastanienallee 18, 21255 Tostedt
Der Zutritt zum Bürogebäude wird nur nach vorheriger Anmeldung gestattet. Der Zugang ist durch Schließzylinder gesichert. Datenträger und elektronische Geräte, die zur Verarbeitung genutzt werden, sind verschlüsselt und/oder passwortgesichert. Besucher werden nicht empfangen.
Bürogebäude: Hammer-Tannen-Str. 10, 49740 Haselünne
Der Zutritt zum Büro wird nur nach vorheriger Anmeldung gestattet. Der Zugang ist durch Schließzylinder gesichert. Datenträger und elektronische Geräte, die zur Verarbeitung genutzt werden, sind verschlüsselt und/oder passwortgesichert. Besucher werden nur nach Anmeldung empfangen. Das Büro verfügt über eine Einbruchmeldeanlage und Videoüberwachung.
Zugänge zu Infrastruktur- und Hypervisor-Systemen des Auftragnehmers sind ausschließlich mittels VPN und regelmäßig neu generierten SSH-Keys möglich. Alle eingesetzten Arbeitsplatzrechner verfügen über einen aktuellen Anti-Viren-Schutz. Sicherheitsrelevante Daten auf externen Datenträgern oder mobilen Endgeräten werden verschlüsselt. Mitarbeiter erhalten eigene Benutzerzugänge mit einer entsprechenden Rechtegruppe. Der Zugang zum Gebäude wird ausschließlich befugten Mitarbeitern und Bewohnern des Gebäudes gewährt. Die Büroräumlichkeiten können ausschließlich von befugten Personen betreten werden. Die Herausgabe von Schlüsseln sowie weiteren Zugangsdetails erfolgt durch die Mintcode Solutions GmbH.
Der administrative Zugang zum Gast-Betriebssystem des bereitgestellten Windows-Servers liegt nach Übergabe ausschließlich beim Auftraggeber bzw. einem von ihm benannten Dritten. Der Auftragnehmer greift auf das Gast-Betriebssystem nur im Rahmen der initialen Einrichtung sowie auf ausdrückliche Anforderung des Auftraggebers im Support-Fall zu.
Es finden datenschutzkonforme Passwortregeln Anwendung sowie Berechtigungskonzepte für Mitarbeiter. Zugriffe auf relevante Infrastruktur-Daten werden protokolliert, ebenso wie Änderungen und Löschungen. Die Anzahl von Administratoren, welche Berechtigung auf Infrastruktur-Systeme haben, ist auf ein Minimum reduziert. Ausgemusterte, externe Datenträger werden durch ein Sicherheitsunternehmen vernichtet. Die Vernichtung wird zusammen mit Ort, Datum und Uhrzeit sowie der Seriennummer des Datenträgers durch den entsprechenden Mitarbeiter dokumentiert. Ein Rückversand defekter Datenträger, wie z. B. in einem Garantiefall, erfolgt nicht.
Alle Daten werden nur an berechtigte Mitarbeiter und mit Hilfe einer Verschlüsselung übertragen. Insofern die Systeme des E-Mail-Empfängers keine Verschlüsselung unterstützen, kann es eine unverschlüsselte Übertragung geben. Eingaben auf den Webseiten des Auftragnehmers erfolgen verschlüsselt, ebenso der Versand zu entsprechenden Mitarbeitern. Verbindungen zwischen Auftraggeber und Server erfolgen über verschlüsselte Kanäle nach Stand der Technik.
Es werden regelmäßig Protokolle über die Eingabe, Veränderung und Löschung sicherheitsrelevanter Konfigurationen auf Infrastrukturebene erstellt. Es dient hierzu ein digitales Berechtigungskonzept, welches in Verbindung mit der individuellen Vergabe von Benutzern und Benutzerberechtigungen zu dem genauen Protokollieren beiträgt. Die Eingabekontrolle innerhalb des Gast-Betriebssystems liegt nach Übergabe in der Verantwortung des Auftraggebers.
Auftragnehmer (Subunternehmer) werden sorgfältig, anhand interner Qualitätsrichtlinien ausgewählt und auch während der Zusammenarbeit regelmäßig geprüft. Mit allen Subunternehmern wird ein Vertrag über die Verarbeitung personenbezogener Daten geschlossen. Mitarbeiter erhalten detaillierte Einweisung in die Tätigkeiten und offerierten Produkte. An Lieferanten außerhalb der Europäischen Union werden keine personenbezogenen Daten übertragen, insofern es für die Erfüllung des Auftrags nicht unbedingt erforderlich ist. Die Verarbeitung im Rahmen der PflegeX Cloud erfolgt ausschließlich innerhalb der Bundesrepublik Deutschland.
Alle Infrastruktur-Systeme werden regelmäßig auf externen Systemen gesichert. Es werden regelmäßige Tests für die Wiederherstellbarkeit unternommen. Alle Server verfügen über eine USV (Unterbrechungsfreie Stromversorgung), welche in sich nochmals redundant aufgebaut ist. Der Serverraum wird auf eine entsprechende Betriebstemperatur klimatisiert. Alle Server werden 24/7 durch ein externes Monitoring auf Infrastrukturebene überwacht; bei Auffälligkeiten werden mehrere Administratoren per Push-Nachricht und Telefon informiert. Die Datensicherung der auf dem Server gespeicherten Anwendungsdaten obliegt dem Auftraggeber (vgl. § 5a AVV).
Datenträger, ob vom Kunden gelagert oder ausgemusterte, werden separat gelagert und verschlossen. Nur Administratoren haben Zugriff auf Datenträger. Für den Ausbau bzw. die Einlagerung von Datenträgern wurden interne Richtlinien erstellt, welche von Administratoren befolgt werden.
Mitarbeiter des Auftragnehmers erhalten eine jeweils aktuelle Anti-Viren-Software installiert und sind angewiesen, mit einer Zwei-Faktor-Authentifizierung zu arbeiten. Der Zugang wird nur berechtigten Mitarbeitern gewährt. Hierzu wird ein Berechtigungskonzept geführt, welches entsprechende Rechte führt. Die Benutzerverwaltung innerhalb des Gast-Betriebssystems des Servers liegt nach Übergabe in der Verantwortung des Auftraggebers.
Auf Infrastrukturebene wird die Integrität durch redundante Speicher- und Netzwerkkomponenten sowie Notfallkonzepte sichergestellt. Die Integrität der auf dem Server gespeicherten Anwendungsdaten ist durch geeignete, vom Auftraggeber zu konfigurierende Maßnahmen (Backup, Versionierung, Anti-Malware im Gast-OS) sicherzustellen.