(1) Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch die innnow GmbH (im Folgenden: „Auftragsverarbeiterin“) im Auftrag des Krankenhauses bzw. der Einrichtung (im Folgenden: „Verantwortlicher“).
(2) Die Auftragsverarbeiterin erbringt für den Verantwortlichen Leistungen im Zusammenhang mit der Bereitstellung und dem Betrieb der innnow-Plattform. Einzelheiten zu Art, Umfang und Funktionalitäten der Leistungen ergeben sich aus dem zwischen den Parteien geschlossenen Vertrag über die Nutzung der innnow-Plattform, bestehend aus dem jeweiligen Angebot der Auftragsverarbeiterin, den Allgemeinen Geschäftsbedingungen (AGB) und ggf. einem ergänzenden Rahmenvertrag (im Folgenden zusammen: „Hauptvertrag").
(3) Die Dauer dieses Vertrages richtet sich nach der Laufzeit des zugrunde liegenden Hauptvertrags. Er beginnt mit Unterzeichnung und endet mit Beendigung des Hauptvertrags.
(4) Für optionale Funktionen, insbesondere KI-gestützte Auswertungen, gelten gesonderte Zusatzvereinbarungen, die nur Anwendung finden, wenn diese vom Verantwortlichen aktiviert wurden. Aktuell verfügbar: Zusatzvereinbarung KI-Funktionen.
(1) Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zur Durchführung interner Feedback-, Evaluations- und Analyseprozesse des Verantwortlichen im Rahmen der Nutzung der innnow-Plattform. Sie umfasst die hierfür erforderlichen Verarbeitungsschritte, insbesondere Erhebung, Speicherung, Strukturierung, Auswertung sowie Bereitstellung von Reports und Dashboards gemäß Hauptvertrag und Weisungen des Verantwortlichen.
(2) Eine Nutzung personenbezogener Daten zu eigenen Zwecken der Auftragsverarbeiterin oder zu Zwecken Dritter, insbesondere zu Werbe-, Profilbildungs- oder Vermarktungszwecken, findet nicht statt. Die hiervon abzugrenzende Ableitung anonymisierter, nicht personenbezogener Informationen richtet sich ausschließlich nach Abs. 3.
(3) Die Auftragsverarbeiterin ist berechtigt, aus den im Auftrag verarbeiteten Daten nach vorheriger Anonymisierung aggregierte, nicht personenbezogene und nicht einrichtungsbezogen identifizierbare Markt-, Bedarfs- und Benchmark-Informationen abzuleiten und für eigene Analyse-, Produktverbesserungs-, Benchmarking- sowie allgemeine Markt- und Bedarfsanalysezwecke zu verwenden. Eine Weitergabe oder Veröffentlichung erfolgt ausschließlich in einer Form, die keine Rückschlüsse auf einzelne betroffene Personen, Organisationseinheiten, Einrichtungen oder den Verantwortlichen zulässt.
(4) Der Verantwortliche kann der Ableitung anonymisierter Kennzahlen gemäß Abs. 3 jederzeit mit Wirkung für die Zukunft in Textform gegenüber datenschutz@innnow.de widersprechen.
(1) Im Rahmen der Auftragsverarbeitung werden insbesondere folgende Kategorien personenbezogener Daten verarbeitet:
(2) Die Plattform ist auf Mitarbeiter-Feedback zu digitalen Lösungen und Prozessen ausgerichtet. Sie ist nicht für die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO bestimmt und nicht für die Verarbeitung von Patientendaten, Behandlungsdaten oder sonstigen Informationen, die einer beruflichen Schweigepflicht, insbesondere nach § 203 StGB, unterliegen. Der Verantwortliche stellt durch geeignete Hinweise und organisatorische Maßnahmen sicher, dass solche Daten nicht in die Plattform eingegeben werden. Soweit solche Daten entgegen der Zweckbestimmung eingegeben werden, gelten sie nicht als vereinbarter Leistungsgegenstand; die Parteien stimmen sich über Löschung oder sonstige geeignete Maßnahmen ab.
(3) Von der Verarbeitung betroffen sind insbesondere:
(1) Der Verantwortliche ist im Verhältnis zur Auftragsverarbeiterin für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten sowie für die Wahrung der Rechte der betroffenen Personen nach der DSGVO verantwortlich.
(2) Der Verantwortliche sorgt insbesondere für die rechtmäßige Einbindung der betroffenen Personen, insbesondere der Mitarbeitenden, einschließlich der Erfüllung der Informationspflichten gemäß Art. 13 und 14 DSGVO sowie der Einbindung der jeweils zuständigen Mitarbeitervertretung, des Betriebsrats, Personalrats oder sonstigen Interessenvertretung nach den einschlägigen kollektivrechtlichen, kirchlichen oder personalvertretungsrechtlichen Regelungen, soweit anwendbar. Er stellt sicher, dass die Nutzung der Plattform im Einklang mit arbeitsrechtlichen, kollektivrechtlichen und internen Vorgaben steht.
(3) Der Verantwortliche ist für die Vergabe, Pflege und den Entzug von Plattform-Berechtigungen zuständig. Er legt insbesondere fest, welche Personen als Plattform-Administratoren oder Auswertungs-Berechtigte Zugriff auf Daten und Auswertungen erhalten, und stellt sicher, dass Berechtigungen nach dem Need-to-know-Prinzip sowie im Einklang mit etwaigen kollektivrechtlichen Vereinbarungen vergeben werden. Die Auftragsverarbeiterin stellt hierfür ein rollenbasiertes Berechtigungskonzept bereit. Soweit möglich, erfolgen Auswertungen aggregiert und nicht personenbezogen; Auswertungskreise und Mindestgruppengrößen legt der Verantwortliche im Einklang mit arbeits- und kollektivrechtlichen Vorgaben fest.
(1) Die Verarbeitung personenbezogener Daten durch die Auftragsverarbeiterin erfolgt nach Maßgabe des Weisungsrechts gemäß § 6.
(2) Die Auftragsverarbeiterin stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung zur Vertraulichkeit gilt auch über die Beendigung des Beschäftigungs- bzw. Auftragsverhältnisses hinaus.
(3) Die Auftragsverarbeiterin ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Die zum Zeitpunkt des Vertragsschlusses implementierten Maßnahmen sind in Anlage 2 (Technische und organisatorische Maßnahmen) beschrieben.
(4) Die Auftragsverarbeiterin unterstützt den Verantwortlichen bei der Erfüllung von Pflichten hinsichtlich der Sicherheit der Verarbeitung, der Meldung von Verletzungen des Schutzes personenbezogener Daten und ggf. der Datenschutz-Folgenabschätzung, soweit dies jeweils erforderlich und in angemessenem Umfang möglich ist.
(5) Mitwirkungsleistungen der Auftragsverarbeiterin nach diesem Vertrag sind im Rahmen der gesetzlichen Pflichten und des im Hauptvertrag vereinbarten Leistungsumfangs vom Vertragspreis erfasst. Mitwirkungsleistungen, die hierüber wesentlich hinausgehen, insbesondere umfangreiche Einzelfall-Unterstützung bei Betroffenenanfragen oder eigenständige Beiträge zu Datenschutz-Folgenabschätzungen, kann die Auftragsverarbeiterin nach tatsächlichem Aufwand zu marktüblichen Sätzen vergüten lassen. Routinemäßige Anfragen bleiben unberührt; die Kostenregelung für Audits ist in § 11 (3) gesondert geregelt.
(1) Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen. Weisungen sind an die im Adressblock benannte Ansprechpartnerin der Auftragsverarbeiterin (datenschutz@innnow.de) zu richten. Dies gilt auch für eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern eine solche Übermittlung nicht nach dem Recht der Union oder der Mitgliedstaaten, dem die Auftragsverarbeiterin unterliegt, vorgeschrieben ist.
(2) Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Die Auftragsverarbeiterin informiert den Verantwortlichen unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt.
(3) Die zentrale Verarbeitung und Speicherung der Plattformdaten erfolgt auf Servern der Hetzner Online GmbH in Nürnberg, Deutschland. Befragungsantworten, Freitexte, Nutzerkonten, Auswertungen und technische Protokolldaten werden dort gespeichert und verarbeitet; eine Verarbeitung außerhalb der EU/des EWR findet durch Hetzner im Rahmen dieser Leistung nicht statt.
(4) Ergänzende Funktionen, insbesondere Authentifizierung, transaktionaler E-Mail-Versand sowie die vorgeschaltete Sicherheits- und Schutzschicht, werden über die in Anlage 1 beschriebenen Unterauftragnehmer in der dort jeweils ausgewiesenen Konfiguration erbracht. Die dort genannten Angaben zu Verarbeitungsort und Datenarten sind maßgeblich. Soweit bei international tätigen Unterauftragnehmern ein Zugriff oder eine Verarbeitung außerhalb der EU/des EWR nicht vollständig ausgeschlossen werden kann, stellt die Auftragsverarbeiterin sicher, dass geeignete Garantien nach Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/914) sowie ergänzende technische und organisatorische Schutzmaßnahmen, vereinbart sind.
(5) Erlangt die Auftragsverarbeiterin Kenntnis von wesentlichen Verstößen des Verantwortlichen gegen diese Vereinbarung, insbesondere Eingabe besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO oder fehlende Einbindung der Mitarbeitervertretung bei mitbestimmungspflichtigen Sachverhalten, ist sie berechtigt, die betroffene Verarbeitung nach vorheriger Mahnung mit angemessener Frist auszusetzen, bis der Verstoß behoben ist.
(1) Die Auftragsverarbeiterin setzt für bestimmte Verarbeitungstätigkeiten Unterauftragnehmer ein. Eine jeweils aktuelle Liste der eingesetzten Unterauftragnehmer einschließlich Verarbeitungszweck, Standort und verarbeiteter Datenarten ist öffentlich unter innnow.de/subunternehmer einsehbar (Anlage 1). Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für den Einsatz dieser Unterauftragnehmer.
(2) Die Auftragsverarbeiterin informiert den Verantwortlichen über geplante Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern mit einer Vorlauffrist von mindestens 30 Tagen in Textform (z. B. per E-Mail an die im Hauptvertrag genannte Kontaktadresse und/oder durch Aktualisierung der vorgenannten Liste). Der Verantwortliche kann einer geplanten Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund in Textform widersprechen. Können sich die Parteien nicht innerhalb von 30 Tagen nach Eingang des Widerspruchs einvernehmlich verständigen, steht dem Verantwortlichen ein außerordentliches Kündigungsrecht des Hauptvertrags mit Pro-rata-Erstattung bereits geleisteter, zeitanteilig nicht verbrauchter Vergütung zu.
(3) Die Auftragsverarbeiterin ist verpflichtet, mit allen Unterauftragnehmern einen Vertrag gemäß Art. 28 DSGVO abzuschließen und sicherzustellen, dass diese gleichwertige Datenschutzpflichten übernehmen, wie sie in diesem Vertrag festgelegt sind.
(1) Die Auftragsverarbeiterin trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei werden insbesondere die Kriterien des Art. 32 DSGVO berücksichtigt.
(2) Die zum Zeitpunkt des Vertragsschlusses bestehenden Maßnahmen sind in Anlage 2 beschrieben. Die Auftragsverarbeiterin ist berechtigt, die Maßnahmen weiterzuentwickeln bzw. zu ändern, sofern das Schutzniveau nicht unterschritten wird. Über wesentliche Änderungen, die das Schutzniveau betreffen, wird der Verantwortliche in Textform informiert.
(1) Die Auftragsverarbeiterin unterstützt den Verantwortlichen, soweit möglich, bei der Erfüllung von Betroffenenrechten gemäß Art. 15–22 DSGVO durch Bereitstellung technischer Informationen oder Durchführung erforderlicher Verarbeitungsschritte. Eine inhaltliche Bearbeitung von Betroffenenanfragen erfolgt nicht; entsprechende Anfragen werden an den Verantwortlichen weitergeleitet. Automatisierte Plattform-Kommunikation und technischer Support gegenüber Berechtigten des Verantwortlichen bleiben unberührt.
(2) Die Auftragsverarbeiterin unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 33 und 34 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten und Benachrichtigung der betroffenen Personen), indem sie dem Verantwortlichen unverzüglich nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten durch die für Datenschutz- oder Sicherheitsvorfälle zuständige Stelle der Auftragsverarbeiterin, in der Regel innerhalb von 24 Stunden, spätestens jedoch innerhalb von 48 Stunden, alle erforderlichen Informationen zur Verfügung stellt, insbesondere Art und Umfang der Verletzung, Kategorien und ungefähre Zahl der betroffenen Personen sowie der betroffenen Datenkategorien, voraussichtliche Folgen sowie bereits ergriffene und geplante Maßnahmen. Soweit einzelne Informationen zum Zeitpunkt der Erstmeldung noch nicht vorliegen, werden sie unverzüglich nachgereicht.
(1) Nach Beendigung des zugrunde liegenden Hauptvertrags werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht oder, sofern vereinbart, in einem gängigen maschinenlesbaren Format (CSV, Excel oder JSON) zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Bereits gemäß § 2 Abs. 3 erzeugte anonymisierte Aggregate bleiben hiervon unberührt, da sie keinen Personenbezug mehr aufweisen. Backups werden gemäß Absatz 3 behandelt.
(2) Auf Wunsch des Verantwortlichen kann die Auftragsverarbeiterin vor der Löschung einen Export aggregierter, nicht personenbezogener Auswertungsergebnisse bereitstellen. Diese aggregierten Daten verbleiben beim Verantwortlichen und können von diesem für interne Verbesserungsprozesse weitergenutzt werden.
(3) Elektronische Backups, die aus technischen Gründen nur mit unverhältnismäßigem Aufwand separat gelöscht werden können, werden rollierend überschrieben. Die maximale Vorhaltefrist beträgt 30 Tage. Bis zur Überschreibung sind die Backups von einer produktiven Nutzung ausgeschlossen und vor unbefugtem Zugriff geschützt.
(4) Die Durchführung der Löschung dokumentiert die Auftragsverarbeiterin intern und stellt dem Verantwortlichen auf Anfrage eine Bestätigung zur Verfügung.
(1) Die Auftragsverarbeiterin stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesem Vertrag niedergelegten Pflichten nachzuweisen.
(2) Der Verantwortliche ist berechtigt, Audits zur Überprüfung der Einhaltung der datenschutzrechtlichen Vorgaben durchzuführen. Audits erfolgen grundsätzlich remote (z. B. durch Einsicht in Dokumentation, Berichte, Nachweise).
(3) Vor-Ort-Audits sind einmal pro Kalenderjahr bei angemessener Ankündigung, in der Regel mit einer Vorlauffrist von 30 Tagen, zulässig. Über das jährliche Audit hinausgehende Vor-Ort-Prüfungen sind zulässig, wenn eine gesetzliche Verpflichtung besteht oder ein konkreter, begründeter Verdacht auf eine vorsätzliche oder grob fahrlässige Datenschutzverletzung vorliegt und ein Remote-Audit nicht ausreicht. Die Kosten des jeweiligen Audits trägt der Verantwortliche, sofern kein wesentlicher Verstoß festgestellt wird.
(4) Der Verantwortliche stellt sicher, dass Audits nur durch fachkundige und zur Vertraulichkeit verpflichtete Personen durchgeführt werden und Betriebsabläufe, Sicherheitsinteressen, Geschäftsgeheimnisse sowie Rechte anderer Kunden der Auftragsverarbeiterin nicht unangemessen beeinträchtigen.
(1) Wird die Auftragsverarbeiterin oder einer ihrer Unterauftragnehmer von einer Behörde, einem Gericht oder einer sonstigen staatlichen Stelle zur Herausgabe oder Offenlegung personenbezogener Daten des Verantwortlichen aufgefordert, informiert die Auftragsverarbeiterin den Verantwortlichen unverzüglich vor einer etwaigen Herausgabe, soweit dies nach geltendem Recht zulässig ist.
(2) Die Auftragsverarbeiterin prüft die Anfrage im Rahmen ihrer Möglichkeiten und wirkt, soweit rechtlich zulässig und zumutbar, auf eine Beschränkung der Herausgabe hin. Die Einlegung von Rechtsmitteln erfolgt nach Abstimmung mit dem Verantwortlichen, soweit nicht Gefahr im Verzug besteht; etwaige externe Kosten trägt der Verantwortliche, sofern die Anfrage nicht durch eine Pflichtverletzung der Auftragsverarbeiterin verursacht wurde. Sie übermittelt nur die Daten, zu deren Herausgabe sie zwingend rechtlich verpflichtet ist, und dokumentiert den Vorgang.
(3) Soweit eine vorherige Information des Verantwortlichen rechtlich nicht zulässig ist (z. B. aufgrund eines gesetzlich angeordneten Verbots), informiert die Auftragsverarbeiterin den Verantwortlichen, sobald die rechtlichen Hindernisse entfallen sind.
(1) Die Haftung der Parteien richtet sich nach den Bestimmungen des zugrunde liegenden Hauptvertrags.
(2) Im Außenverhältnis zu betroffenen Personen gilt Art. 82 DSGVO. Etwaige Regress- und Freistellungsansprüche der Parteien untereinander richten sich nach dem jeweiligen Verschuldensanteil.
(1) Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(2) Bei Widersprüchen zwischen den Bestimmungen dieses Vertrages und dem Hauptvertrag gehen für datenschutzrechtliche Sachverhalte die Regelungen dieses Vertrages vor.
(3) Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien werden die unwirksame Bestimmung durch eine wirksame Bestimmung ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.
(4) Bei Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag werden die Parteien vor Anrufung der ordentlichen Gerichte versuchen, eine einvernehmliche Lösung herbeizuführen. Hierzu treten sie auf Anforderung einer Partei innerhalb einer angemessenen Frist zu einem persönlichen oder fernmündlichen Gespräch zusammen.
(5) Soweit Pflichten dieses Vertrages durch Höhere Gewalt, behördlich angeordnete Maßnahmen oder unverschuldete Ausfälle von Unterauftragnehmern oder Telekommunikationsnetzen nicht oder nicht termingerecht erfüllt werden können, sind die Parteien für die Dauer und im Umfang der Beeinträchtigung von der Erfüllung freigestellt. Beiderseitige Informationspflichten bleiben unberührt.
(6) Es gilt deutsches Recht. Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz der innnow GmbH.
Die nachfolgend aufgeführten Unterauftragnehmer werden im Rahmen der Auftragsverarbeitung eingesetzt. Die jeweils aktuelle Fassung dieser Liste ist auch öffentlich unter innnow.de/subunternehmer einsehbar. Änderungen werden gemäß § 7 (2) dieses Vertrages mit einer Vorlauffrist von mindestens 30 Tagen angekündigt; der Verantwortliche kann der Änderung in Textform widersprechen.
Maßgeblich für diesen Vertrag ist der zum Zeitpunkt des Vertragsschlusses dokumentierte Stand. Die Auftragsverarbeiterin archiviert frühere Versionen und stellt dem Verantwortlichen auf Anfrage die zum jeweiligen Vertragsstand geltende Fassung zur Verfügung.
| Nr. | Unterauftragnehmer | Zweck der Verarbeitung | Standort / Region | Verarbeitete Datenarten | Besondere Hinweise |
|---|---|---|---|---|---|
| 1 | Hetzner Online GmbH | Hosting der Plattform, Server- und Datenbankbetrieb | Nürnberg, Deutschland (EU/EWR) | Befragungsantworten, Freitexte, Nutzerkonten, Auswertungen, technische Protokolldaten | Betrieb in nach anerkannten Sicherheitsstandards zertifizierten Rechenzentren (ISO 27001); Auftragsverarbeitung nach Art. 28 DSGVO; eine Verarbeitung außerhalb der EU/des EWR findet durch Hetzner im Rahmen dieser Leistung nicht statt. |
| 2 | Auth0 (ein Service der Okta-Gruppe) | Identitäts- und Zugriffsmanagement für Nutzerkonten (Login/Authentifizierung) | EU-Tenant mit primärer Datenresidenz in Frankfurt am Main. | Authentifizierungsdaten, insbesondere Benutzername bzw. dienstliche E-Mail-Adresse, Passwort-Hash, technische Login-Metadaten sowie Rollen- und Mandantenkennungen zur Zugriffsteuerung | Auth0 erhält keinen Zugriff auf Befragungsantworten, Bewertungen oder Freitexte. Eine pseudonyme Nutzung der Plattform ohne klarnamenbezogene Identifikationsdaten ist konfigurationsbasiert möglich. Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sind im Verarbeitungsvertrag enthalten. |
| 3 | Twilio Ireland Ltd. (SendGrid) | Ausschließlich Versand transaktionaler E-Mails (z. B. Einladungen, Authentifizierungs-, Hinweis- oder Benachrichtigungstexte) | Vertragspartner: Twilio Ireland Ltd. (Dublin, Irland). Versand erfolgt über die globale SendGrid-Infrastruktur. | Empfänger-E-Mail-Adresse, ggf. Anrede und Name, der jeweilige E-Mail-Inhalt sowie Versand- und Zustellungsmetadaten | Transaktionale E-Mails enthalten keine Befragungsantworten, Freitexte oder Auswertungsinhalte, sondern lediglich Einladungs-, Authentifizierungs-, Hinweis- oder Benachrichtigungstexte sowie Links zur Plattform. In Setups mit pseudonymer Nutzung kommt SendGrid nicht oder nur eingeschränkt zum Einsatz. Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sind im Verarbeitungsvertrag enthalten. |
| 4 | Cloudflare, Inc. | Vorgeschaltete Sicherheits- und Schutzschicht (DDoS-Schutz, Web Application Firewall, TLS-Terminierung) sowie Caching technischer Inhalte | TLS-Terminierung im global verteilten Cloudflare-Anycast-Netzwerk; Anfragen aus Europa werden typischerweise an EU-Edges (z. B. Amsterdam, Frankfurt) geroutet. | Technische Verbindungsdaten, IP-Adressen, Request-Header, TLS-Verbindungsdaten und Sicherheitsereignisse. Im Rahmen der TLS-Terminierung können HTTP(S)-Anfragen technisch kurzzeitig entschlüsselt werden, um Sicherheitsfilter anzuwenden. | Befragungsantworten, Bewertungen und Freitexte werden nicht bewusst bei Cloudflare gespeichert oder gecacht. Caching ist auf statische technische Inhalte beschränkt; dynamische Plattforminhalte und API-Antworten sind vom Caching ausgeschlossen. Cloudflare verarbeitet keine Plattforminhalte zu eigenen Zwecken. Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sind im Verarbeitungsvertrag enthalten. |
| 5 | Amazon Web Services EMEA SARL (Amazon Bedrock) — nur bei aktivierten KI-Funktionen | KI-gestützte Vorschläge zur Kategorisierung von Freitext-Kommentaren; ausschließlich aus der vom Verantwortlichen gepflegten Schlagwortliste | Vertragspartner: Amazon Web Services EMEA SARL (Luxemburg). Die Anwendung ist so konfiguriert, dass Anfragen ausschließlich an die AWS-Region eu-central-1 (Frankfurt am Main) gesendet werden. | Pro Anfrage ausschließlich: Freitext eines einzelnen Kommentars sowie die vom Verantwortlichen gepflegte Schlagwortliste. Nicht übermittelt werden Name, E-Mail-Adresse, Nutzer-ID, Einrichtung, Standort, Abteilung, Bedarfstitel oder Befragungsbezeichnung. | Wird nur eingesetzt, wenn der Verantwortliche die KI-Funktionen aktiv freischaltet (Privacy by Default; siehe gesonderte Zusatzvereinbarung). Eingesetztes Modell: Claude Haiku 4.5. Nach den vertraglichen Bedingungen von AWS Bedrock werden Kundeneingaben und -ausgaben nicht zum Training von Basismodellen verwendet und nicht an Modellanbieter zur Modellverbesserung weitergegeben. Inhalte werden nicht persistent gespeichert. Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sowie Zertifizierungen ISO 27001, SOC 2 und BSI C5 bei AWS sind im Verarbeitungsvertrag enthalten. |
Die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen stellen das von der Auftragsverarbeiterin implementierte Sicherheitsniveau gemäß Art. 32 DSGVO dar. Die Maßnahmen werden mindestens jährlich überprüft und bei Bedarf angepasst.
| Nr. | Kategorie | Ziel / Schutzbereich | Wesentliche Maßnahmen |
|---|---|---|---|
| 1 | Zutrittskontrolle | Schutz der Rechenzentren vor unbefugtem physischem Zutritt | Betrieb bei einem Hosting-Anbieter, dessen Rechenzentrumsbetrieb nach anerkannten Sicherheitsstandards (insb. ISO 27001) zertifiziert ist; physische Zugangskontrolle durch Berechtigungssysteme; 24/7-Überwachung; Videoüberwachung und Alarmsysteme; dokumentierte Besucherregelungen und Schlüssel-/Badgeverwaltung. |
| 2 | Zugangskontrolle | Verhindern unbefugter Systemzugriffe | Individuelle Benutzerkonten; starke Passwort-Richtlinien; Mehr-Faktor-Authentifizierung für administrative Zugänge der Auftragsverarbeiterin; konfigurationsabhängig auch für Kundenadministratoren der Plattform; TLS-verschlüsselte Verbindungen (HTTPS); Firewall- und Netzwerksegmentierung; automatische Session-Timeouts und Sperrung bei wiederholten Fehlversuchen. |
| 3 | Zugriffskontrolle | Sicherstellen, dass nur Berechtigte Daten verarbeiten | Rollen- und Rechtekonzept (Role Based Access Control); Trennung von Admin- und Standard-Accounts; Vergabe von Berechtigungen nach dem Need-to-know-Prinzip; mindestens jährliche Überprüfung von Berechtigungen; Protokollierung administrativer Zugriffe und sicherheitsrelevanter Aktionen. |
| 4 | Weitergabekontrolle | Verhindern unbefugter Weitergabe oder Übermittlung von Daten | Verschlüsselte Datenübertragung (TLS ≥ 1.2); Einsatz ausschließlich vertraglich gebundener Unterauftragnehmer gem. Art. 28 DSGVO; Einsatz einer vorgeschalteten Sicherheits- und Schutzschicht zur Abwehr von Angriffen und Sicherstellung der Verfügbarkeit (vgl. Anlage 1). Caching ist auf statische technische Inhalte beschränkt; dynamische Plattforminhalte, Befragungsantworten, Bewertungen und Freitexte werden nicht bewusst über die vorgeschaltete Sicherheits- und Schutzschicht gecacht. Eine Verarbeitung durch den Dienstleister erfolgt ausschließlich zur Bereitstellung der Sicherheits- und Schutzfunktionen und nicht zu eigenen Werbe-, Profilbildungs- oder Vermarktungszwecken. |
| 5 | Eingabekontrolle | Nachvollziehbarkeit von Erfassung, Änderung und Löschung | Protokollierung relevanter Systemereignisse; Audit-Logs für sicherheitsrelevante Vorgänge. Sicherheits- und Systemlogs werden nur solange aufbewahrt, wie dies für Betriebssicherheit, Fehleranalyse, Missbrauchserkennung und Nachvollziehbarkeit sicherheitsrelevanter Ereignisse erforderlich ist; eine längere Aufbewahrung ist zulässig, soweit zur Aufklärung eines konkreten Vorfalls erforderlich. Interne Richtlinien zur Nutzung von Administrationszugängen. |
| 6 | Auftragskontrolle | DSGVO-konforme Verarbeitung im Auftrag | Abschluss von Auftragsverarbeitungsverträgen mit allen Subdienstleistern; dokumentierte Weisungsprozesse; Sensibilisierung der mit der Verarbeitung befassten Personen für die einschlägigen Datenschutzanforderungen; regelmäßige Prüfung der Einhaltung vertraglicher und gesetzlicher Vorgaben bei Unterauftragnehmern. |
| 7 | Verfügbarkeitskontrolle & Resilienz | Schutz vor Datenverlust und Ausfall | Betrieb bei einem Hosting-Anbieter mit hardwareseitiger Redundanz, dessen Rechenzentrumsbetrieb nach ISO 27001 zertifiziert ist (Hetzner; siehe Anlage 1); regelmäßige Backups gemäß den durch den Hosting-Anbieter bereitgestellten Backup-Zyklen; Einsatz einer vorgeschalteten Sicherheits- und Schutzschicht zur Abwehr von Überlastungs- und Angriffsversuchen (DDoS-Schutz). |
| 8 | Trennungsgebot | Trennung von Daten verschiedener Kunden und Umgebungen | Mandantenfähige Architektur; logische Trennung pro Einrichtung/Kunde auf Datenbankebene; restriktive Rechtevergabe zwischen Mandanten. Produktive personenbezogene Kundendaten werden in Entwicklungs- und Testumgebungen grundsätzlich nicht verwendet; Ausnahmen sind nur zulässig, soweit dies für Fehleranalyse oder Support im Einzelfall erforderlich ist, die Daten angemessen geschützt sind und der Zugriff auf berechtigte Personen beschränkt ist. |
| 9 | Datenschutz durch Technikgestaltung | Minimierung und Schutz personenbezogener Daten | Datensparsamkeit (Erhebung nur erforderlicher Daten); Pseudonymisierung, wo sinnvoll möglich; datenschutzfreundliche Voreinstellungen (Privacy by Default); Datenübertragungen erfolgen TLS-verschlüsselt (TLS ≥ 1.2); Verschlüsselung gespeicherter Daten („at rest") auf Storage-Ebene durch den Hosting-Anbieter (Hetzner Cloud); der Zugriff auf Systeme und Datenbanken ist zusätzlich durch rollenbasierte Berechtigungen, administrative Zugriffsbeschränkungen und Mandantentrennung geschützt. |
| 10 | Regelmäßige Überprüfung | Sicherstellung und Verbesserung des Sicherheitsniveaus | Mindestens jährliche interne Überprüfung der TOM; Anpassung bei geänderten technischen oder rechtlichen Anforderungen; Dokumentation und Nachverfolgung sicherheitsrelevanter Maßnahmen und Vorfälle. |
| 11 | Patch- und Schwachstellenmanagement | Aktualität des eingesetzten Software-Stacks | Regelmäßige Sicherheitsupdates des eingesetzten Software-Stacks; Überwachung kritischer Sicherheitslücken in Abhängigkeiten; kritische Sicherheitsupdates werden risikobasiert priorisiert und unverzüglich nach Bewertung eingespielt oder durch angemessene Kompensationsmaßnahmen abgesichert; dokumentierte Release- und Deployment-Prozesse. |
Aktualisierungen dieser Anlage werden Bestandskunden gemäß § 7 (2) mit einer Vorlauffrist von mindestens 30 Tagen mitgeteilt.
Mit Unterzeichnung bestätigen die Parteien die Geltung dieses Auftragsverarbeitungsvertrages einschließlich der Anlagen 1 (Unterauftragnehmer) und 2 (Technische und organisatorische Maßnahmen).
Ort, Datum:
Für die Auftragsverarbeiterin (innnow GmbH) | Für den Verantwortlichen |
Die Schriftform i. S. v. Art. 28 Abs. 9 DSGVO kann auch elektronisch erfüllt werden (z. B. handschriftliche Unterschrift, qualifizierte elektronische Signatur oder beidseitige Bestätigung in Textform).