Präambel
Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO zwischen der Organisation, die einen Organisation- oder Enterprise-Tarif von ARES abgeschlossen hat (nachfolgend „Verantwortlicher“), und KUGIS, Inhaber Hannes Kugas, Erhard-Zethner-Weg 5, 95336 Mainleus, E-Mail info@kugis.io (nachfolgend „Auftragsverarbeiter“).
§ 1 Gegenstand und Dauer
Gegenstand des Vertrags ist die Bereitstellung der Software ARES zur digitalen Einsatzführung. Die Dauer dieses AVV ist an die Laufzeit des Hauptvertrags gekoppelt.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung umfasst: Verwaltung von Benutzerkonten, Speicherung von Einsatz-, Patienten- und Lagedaten, Synchronisation zwischen Endgeräten und Server, Erstellung von PDF-Exporten und Berichten sowie rollenbasierte Zugriffssteuerung.
§ 3 Kategorien betroffener Daten
Verarbeitet werden: Stammdaten der Mitarbeiter (einschließlich Funkrufname), Authentifizierungsdaten (Passwort-Hashes, Session-Token), Nutzungsdaten, Einsatzdaten, pseudonymisierte Patientendaten sowie durch Nutzer erfasste Freitext-Daten. Im Einzelfall können Gesundheitsdaten im Sinne von Art. 9 DSGVO betroffen sein.
§ 4 Kategorien betroffener Personen
Betroffen sind: Mitarbeiter, Ehrenamtliche und Helfer des Verantwortlichen, Patienten (pseudonymisiert) sowie sonstige an Einsätzen beteiligte Personen.
§ 5 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Er stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben, und trifft technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Er unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 12–22 DSGVO) und der Pflichten aus Art. 32–36 DSGVO. Datenschutzverletzungen meldet der Auftragsverarbeiter dem Verantwortlichen unverzüglich, spätestens binnen 24 Stunden nach Kenntnis. Ein Datenschutzbeauftragter wird bestellt, soweit gesetzlich erforderlich.
§ 6 Rechte des Verantwortlichen
Der Verantwortliche kann schriftliche Weisungen erteilen. Er ist berechtigt, die Einhaltung dieses AVV zu überprüfen — durch Selbstauskunft des Auftragsverarbeiters oder nach Ankündigung mit einer Frist von mindestens 14 Tagen vor Ort. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt (Remonstrationspflicht).
§ 7 Subunternehmer
Der Verantwortliche genehmigt den Einsatz folgender Subunternehmer:
- Hostinger International Ltd. — Hosting von Anwendung und Datenbank, Rechenzentrum Frankfurt am Main
- Stripe Payments Europe Ltd., Dublin — Zahlungsabwicklung (nur Self-Service-Tarife)
- SMTP-Anbieter für Authentifizierungs- und Transaktions-E-Mails
Der Wechsel oder die Hinzunahme von Subunternehmern wird mindestens 30 Tage im Voraus angekündigt. Der Verantwortliche kann aus wichtigem Grund widersprechen; in diesem Fall steht beiden Parteien ein Sonderkündigungsrecht zu. Der Auftragsverarbeiter erlegt Subunternehmern dieselben Pflichten auf, die in diesem AVV vereinbart sind.
§ 8 Drittlandtransfer
Einsatz- und Patientendaten werden ausschließlich im Europäischen Wirtschaftsraum verarbeitet (Hostinger, Frankfurt am Main). Die Übermittlung von Zahlungsdaten durch Stripe in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework sowie von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
§ 9 Technische und organisatorische Maßnahmen
Vertraulichkeit: Zutrittskontrolle im Rechenzentrum, Login mit E-Mail und Passwort (bcrypt-Hashing), rollenbasierte Zugriffe mit Trennung der Organisationsdaten, logische Mandantentrennung auf Datenbankebene.
Integrität: Audit-Logs für datenverändernde Vorgänge, TLS-Verschlüsselung aller Verbindungen.
Verfügbarkeit: tägliche automatisierte Datenbank-Backups, Offline-Fähigkeit der Anwendung, Monitoring und Alerting.
Überprüfung: regelmäßige Sicherheitsupdates, Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO, Anpassung der Maßnahmen an den Stand der Technik.
§ 10 Löschung und Rückgabe
Nach Vertragsende löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten Daten binnen 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Rechnungsdaten: 10 Jahre, § 147 AO). Auf Anforderung stellt der Auftragsverarbeiter dem Verantwortlichen vor der Löschung einen Export der Daten im JSON- oder CSV-Format bereit.
§ 11 Haftung und Schlussbestimmungen
Die Haftung richtet sich nach Art. 82 DSGVO und dem Hauptvertrag. Es gilt deutsches Recht; Gerichtsstand für Kaufleute ist Mainleus. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.
Annahme
Dieser AVV gilt mit Vertragsschluss eines kostenpflichtigen Organisation- oder Enterprise-Tarifs als vereinbart. Enterprise-Kunden erhalten ihn auf Wunsch einmalig zur Gegenzeichnung als Anlage zum Hauptvertrag. Eine PDF-Druckfassung erhalten Sie auf Anfrage per E-Mail an info@kugis.io.