avv.tex

\documentclass[10pt]{article}
\usepackage[margin=2cm]{geometry}
\usepackage[ngerman]{babel}

\usepackage[inkscapeformat=png]{svg}
\usepackage{fancyhdr}

\usepackage{longtable}

\usepackage{lastpage}

\usepackage{inter}
\renewcommand\familydefault{\sfdefault}

\usepackage[onehalfspacing]{setspace}
\usepackage[iso,german]{isodate}

\usepackage{xcolor}
\usepackage{hyperref}

\setcounter{tocdepth}{1}
\setlength\parindent{0pt}

\usepackage{titlesec}
\titleformat{\subsection}[runin]{\normalfont\bfseries}{\thesubsection}{0.5em}{}[]
\titleformat{\subsubsection}[runin]{\normalfont\bfseries}{\thesubsubsection}{0.5em}{}[]

\def\Year{\expandafter\YEAR\the\year}
\def\YEAR#1#2#3#4{#1#2#3#4}

\fancyhead{}
\pagestyle{fancy}
\renewcommand{\headrulewidth}{0pt}
\fancyfoot{}
\fancyfoot[L]{\textcolor{gray}{\thepage\space/\space\pageref{LastPage}}}
\fancyfoot[R]{\textcolor{gray}{\href{https://helpwave.de}{helpwave.de}}}

\begin{document}

\begin{center}
	\includesvg[width=0.2\linewidth]{logo.svg}\\[4ex]
	{\huge \sffamily Vertrag über die Auftragsverarbeitung personenbezogener Daten \\[1ex]
	Auftragsverarbeitungsvereinbarung – „AVV“ \\
	\vspace{1em}
	\Large gemäß Art. 28 DSGVO}\\
	\vspace{1em}
	{\large
		helpwave GmbH \\
		Jülicher Straße 209d \\
		52070 Aachen \\
		HRB 27480}\\
	\vspace{1em}
	Stand: \today
\end{center}

\vspace{2ex}

\tableofcontents

\newpage

\section{Gegenstand der AVV}
\subsection{} Vertragsbestandteil ist die Nutzung der Software mediQuu Netzmanager
(login.mediquu.de), App zum Doc (login.app-zum-doc.de), mediQuu Chat
(chat.mediquu.de / mediquu.chat) oder mediQuu Connect als Software as a Service,
die Nutzung der zugehörigen Desktop- und Mobil-Anwendungen inkl. zugehöriger
technischer Dienste (im Folgenden „Software“ genannt), sowie Fernwartung auf
Wunsch und unter Aufsicht des Auftraggebers.
\subsection{} Diese Auftragsverarbeitungsvereinbarung („AVV“) wird zwischen der helpwave GmbH (nachstehend „Auftragsverarbeiter“
genannt) und dem Kunden (nachstehend „Auftraggeber“ genannt) geschlossen. Der Kunde ist hierbei die Person, welche einen Nutzungsvertrag mit der helpwave GmbH abgeschlossen hat. Gemeinsam werden der Auftragsverarbeiter und der
Auftraggeber nachstehend als die „Parteien“ bezeichnet.
\subsection{} Diese AVV ergänzt den zwischen den Parteien geschlossenen Nutzungsvertrag auf Basis der aktuell geltenden Nutzungsbedingungen des Auftragsverarbeiters
(nachstehend „Hauptvertrag“ genannt). Aus dem Hauptvertrag ergeben sich Gegenstand und Dauer, die Art und der Zweck der Verarbeitung sowie die genutzte(n) Anwendung(en), für die diese AVV gilt.

\section{Rechte und Pflichten des Auftraggebers}
\subsection{} Der Auftraggeber stellt die Daten dem Auftragsverarbeiter über die von diesem eingesetzte Software durch Eingabe über Formulare bzw. Uploads oder telefonisch oder per E-Mail zur Verfügung bzw. ermöglicht die Verarbeitung der Daten durch den Auftragsverarbeiter. Sämtliche Daten, die der Auftraggeber über die Felder in den Formularen einträgt, werden nach dem Auslösen eines mit dem Formular verbundenen Buttons über das Verschlüsselungsprotokoll Secure Sockets Layer (SSL) über eine verschlüsselte Verbindung in die Software des Auftragsverarbeiters übertragen.

\subsection{} Der Auftraggeber bleibt als „Verantwortlicher“ i. S. d. Art. 4 Nr. 7 DSGVO Herr der Daten. Er ist für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe anden Auftragsverarbeiter sowie für die Rechtmäßigkeit der Datenverarbeitung
verantwortlich. Er ist außerdem verantwortlich für die Beurteilung der Zulässigkeit
der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen.

\subsection{} Die Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragsverarbeiter mit personenbezogenen Daten gerichtete Anordnung des Auftraggebers. Die Weisungen des Auftraggebers sind schriftlich, per online Formular oder per E-Mail zu erteilen.

\subsection{} Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen
Vereinbarungen und nach Weisung des Auftraggebers. Der Auftraggeber hat das
Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu
erteilen. Die Weisungen werden anfänglich durch den Hauptvertrag und die AVV
festgelegt und können vom Auftraggeber danach in Schriftform oder in Textform (E-
Mail) an die vom Auftragsverarbeiter bezeichnete Stelle durch einzelne Weisungen
geändert, ergänzt oder ersetzt werden (Einzelweisung). Änderungen des
Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam
abzustimmen und zu dokumentieren. Weisungen, die im Vertrag nicht vorgesehen
sind, werden als Antrag auf Leistungsänderung behandelt.
\subsection{} Weisungen sind vom Auftraggeber an den Auftragsverarbeiter postalisch, z. Hd.
Felix Evers, c/o Collective Incubator, Jülicher Straße 209d, 52070 Aachen oder per E-Mail (in Textform) an contact@helpwave.de oder
eine neue, schriftlich mitgeteilte E-Mail-Adresse, zu richten. Mündlich erteilte
Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Zur
Weisung befugt ist der jeweilige Vertragsnehmer oder ein autorisierter Mitarbeiter
in dessen Auftrag. Bei einem Wechsel oder einer längerfristigen Verhinderung des
Ansprechpartners sind dem Auftragsverarbeiter unverzüglich in den Stammdaten der
Software ein Nachfolger bzw. der Vertreter einzutragen.
\subsection{} Der Auftragsverarbeiter ist berechtigt, die Durchführung von Weisungen, die seiner
Meinung nach gegen datenschutzrechtliche Vorschriften verstoßen, solange
auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber schriftlich oder
per E-Mail (in Textform) bestätigt oder geändert werden. Im Falle der Aussetzung
einer Weisung hat er den Auftraggeber über den Verstoß der Weisung gegen
datenschutzrechtliche Bestimmungen zu informieren. Eine Mitteilung erfolgt an
denjenigen Mitarbeiter des Auftraggebers, der die Weisung erteilt hat. Die
Mitteilung erfolgt in Textform an eine vom Auftraggeber mitgeteilte E-Mail-Adresse.
\subsection{} Der Auftraggeber kann die Einhaltung der Vorschriften zum Datenschutz und der
vertraglichen Vereinbarung durch den Auftragsverarbeiter kontrollieren,
insbesondere durch die Einholung von Auskünften, die Einsichtnahme in die
gespeicherten Daten und die Datenverarbeitungsprogramme beim
Auftragsverarbeiter. Er darf das Ergebnis der Kontrollen dokumentieren.
\subsection{} Der Auftraggeber kann die Kontrollen selbst durchführen oder durch einen
beauftragten Dritten durchführen lassen. Der Auftragsverarbeiter ist entsprechend
zur Auskunft und Mitwirkung verpflichtet. Kontrollen vor Ort beim Auftragsverarbeiter können nach gemeinsamer Absprache zwischen den Parteien
zu den üblichen Bürozeiten des Auftragsverarbeiters stattfinden. Hierbei achtet der
Auftraggeber darauf, dass er den üblichen Betrieb des Auftragsverarbeiters soweit
durch die Kontrollmaßnahmen nicht beeinträchtigt. Der Auftragsverarbeiter
unterstützt den Auftraggeber insbesondere bei Datenschutzkontrollen durch die
Aufsichtsbehörde, soweit es sich um die Datenverarbeitung im Rahmen dieser
Vereinbarung handelt, und setzt Anforderungen der Aufsichtsbehörde in
Abstimmung mit dem Auftraggeber unverzüglich um.
\subsection{} Bei Kontrollen des Auftraggebers vor Beginn der Datenverarbeitung und während
der Laufzeit der AVV stellt der Auftragsverarbeiter sicher, dass sich der
Auftraggeber von der Einhaltung der getroffenen technischen und
organisatorischen Maßnahmen überzeugen kann. Hierzu weist der
Auftragsverarbeiter dem Auftraggeber auf Anfrage die Umsetzung der technischen
und organisatorischen Maßnahmen gemäß Art. 32 DSGVO nach. Dabei kann der
Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag
betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder
Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision,
Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren,
Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder
Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden.
\subsection{} Die Aufwände (Kosten), die eine solche Kontrolle verursachen, werden, soweit sie
vier Zeitstunden übersteigen und nichts anderes vereinbart wurde,
vom Auftraggeber getragen und mit einem Stundensatz von 97,50 € netto an den
Auftragnehmer vergütet. Zu den Kosten zählen auch die Aufwände, die dem
Auftragsverarbeiter aufgrund der durchzuführenden Kontrollen
entstehen. Kontrollmaßnahmen sind vor ihrer Durchführung hinsichtlich der Art
und Weise sowie den zu erwartenden Aufwänden zwischen den Parteien
abzustimmen. Aufwände, die für eine optionale Nachweiserbringung in Form von
Testaten, von Berichten oder Berichtsauszügen unabhängiger Instanzen oder einer
geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit anfallen,
werden vom Auftragnehmer getragen, soweit dieser solche Nachweiserbringungen
aus eigenem Entschluss veranlasst. Soweit der Auftraggeber optionale
Nachweiserbringungen verlangt, werden die Art und der Umfang sowie
die Übernahme von dadurch entstehenden Kosten werden vorher zwischen den
Parteien abgestimmt.
\subsection{} Sowohl der Auftraggeber als auch der Auftragsverarbeiter haben die jeweils andere
Partei unverzüglich und vollständig zu informieren, wenn bei der Prüfung Fehler
oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen festgestellt
werden.

\section{Pflichten des Auftragsverarbeiters}
\subsection{} Der Auftragsverarbeiter verarbeitet üblicherweise die folgenden Daten im Auftrag
des Auftraggebers bzw. die Möglichkeit, dass der Auftragsverarbeiter Zugriff auf
folgende personenbezogene Daten hat, kann nicht ausgeschlossen werden:
\begin{itemize}
	\item Datenarten: Namen, Adressen, Telefonnummern und sonstige Kontaktdaten,
	      Vertragsdaten, Zahlungsdaten, Inhaltsdaten und sonstige leistungsrelevante
	      Kundendaten des Auftraggebers, sowie alle weiteren auf Wunsch des
	      Auftraggebers gespeicherten Daten. Der Auftraggeber hat in der Anwendung
	      mediQuu Netzmanager zudem die Möglichkeit, weitere Felder anzulegen, die mit
	      einem vom Auftraggeber selbst-gewählten Passwort Ende-zu-Ende-verschlüsselt
	      werden und durch den Auftragsverarbeiter nicht verarbeitet werden können.
	\item Betroffenenkreis: Betroffene sind Kunden (Patienten), Vertragspartner und
	      Mitarbeiter des Auftraggebers, sowie Mitglieder eines ärztlichen Netzwerkes des
	      Auftraggebers.
\end{itemize}
\subsection{} Der Auftragsverarbeiter bestätigt, dass ihm die einschlägigen datenschutzrechtlichen
Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer
Datenverarbeitung und gewährleistet, dass er seinen Pflichten nach Art. 32 DSGVO
nachkommt, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der
technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit
der Verarbeitung einzusetzen.
\subsection{} Der Auftragsverarbeiter verarbeitet die Daten ausschließlich wie vertraglich
vereinbart oder wie vom Auftraggeber angewiesen, es sei denn der
Auftragsverarbeiter ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet.
Sofern solche gesetzlichen Verpflichtungen für ihn bestehen, teilt der
Auftragsverarbeiter diese dem Auftraggeber vor der Verarbeitung mit, es sei denn,
die Mitteilung ist ihm gesetzlich verboten.
\subsection{} Der Auftragsverarbeiter ist nicht befugt, die ihm überlassenen Daten an Dritte
weiterzugeben, sofern dies nicht zur Erbringung der vereinbarten Leistungen
unbedingt erforderlich ist. Kopien und Duplikate der Daten bedürfen der vorherigen
Zustimmung des Auftraggebers. Hiervon ausgenommen sind Sicherungskopien,
soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung
erforderlich sind, sowie Daten, deren Speicherung im Hinblick auf die Einhaltung
gesetzlicher Aufbewahrungspflichten erforderlich sind.
\subsection{} Der Auftragsverarbeiter nennt dem Auftraggeber seinen Datenschutzbeauftragten
als Ansprechpartner für im Rahmen dieses Vertrages anfallende Datenschutzfragen.
Ein Wechsel dieser Kontaktperson wird dem Auftraggeber unverzüglich mitgeteilt.
\subsection{} Der Auftragsverarbeiter verpflichtet sich bei der Datenverarbeitung das
Datengeheimnis, das Sozialgeheimnis nach § 35 Abs. 1 SGB I sowie das
Fernmeldegeheimnis nach § 88 TKG zu wahren, die bei der Datenverarbeitung
beschäftigten Personen bei der Aufnahme ihrer Beschäftigung auf das
Datengeheimnis zu verpflichten und sie entsprechend zu unterrichten. Die
Verpflichtung gilt auch 5 Jahre nach Beendigung der AVV fort.\subsection{} Der Auftragsverarbeiter gewährleistet, dass es den mit der Verarbeitung der Daten
des Auftraggebers befassten Mitarbeitern und anderen für den Auftragsverarbeiter
tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten.
Außerdem gewährleistet der Auftragsverarbeiter, dass sich die zur Verarbeitung der
personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben
oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese
Vertraulichkeits- und Verschwiegenheitsverpflichtung besteht auch nach Beendigung
des Hauptvertrages und der AVV fort.
\subsection{} Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn ihm
Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt
werden oder in Fällen von Unregelmäßigkeiten bei der Auftragsverarbeitung,
schwerwiegenden Betriebsstörungen und bei Verdacht auf Datenschutzverletzungen.
\subsection{} Der Auftragsverarbeiter verpflichtet sich, den Auftraggeber nach Möglichkeit auf der
Basis der ihm zur Verfügung stehenden Informationen mit geeigneten technischen
und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur
Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO
genannten Rechte der betroffenen Person nachzukommen und die in Art. 32 bis 36
DSGVO genannten Pflichten einzuhalten. Der Auftragsverarbeiter informiert den
Auftraggeber außerdem unverzüglich über jegliche Kommunikation der
Aufsichtsbehörden (z.B. Anfragen, Mitteilung von Maßnahmen oder Auflagen)
gegenüber dem Auftragsverarbeiter im Zusammenhang mit der Datenverarbeitung
unter dieser AVV. Auskünfte an Dritte, auch an Aufsichtsbehörden, darf der
Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch und in
Abstimmung mit dem Auftraggeber erteilen. Zwingende gesetzliche Auskunfts- und
Herausgabepflichten des Auftragsverarbeiters bleiben unberührt.

\subsection{} Der Auftragsverarbeiter berichtigt, sperrt oder löscht die
vertragsgegenständlichen Daten auf Weisung des Auftraggebers, wenn dies vom
Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine
entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der
Auftragsverarbeiter die datenschutzkonforme Vernichtung von Datenträgern und
sonstigen Materialien auf Grund einer Einzelbeauftragung auf Kosten des
Auftraggebers oder gibt diese Datenträger an den Auftraggeber zurück.

\subsection{} Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung
durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung –
hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte
Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem
Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger
Zustimmung datenschutzgerecht löschen bzw. zu vernichten. Gleiches gilt für Test-
und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen
Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der
jeweiligen Aufbewahrungsfristen (HGB, AO) über das Vertragsende hinausaufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber
übergeben.

\subsection{} Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene
Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich
der Auftragsverarbeiter im Rahmen seiner Möglichkeiten den Auftraggeber bei der
Abwehr des Anspruchs zu unterstützen. Die Art und der Umfang darüber
hinausgehender Unterstützungsmaßnahmen, wie z. B. die Beauftragung eines
Dritten, sowie die Übernahme von dadurch beim Auftragnehmer entstehenden
Kosten werden vorher zwischen den Parteien abgestimmt.

\subsection{} Der Auftragsverarbeiter weist dem Auftraggeber die Einhaltung der in diesem
Vertrag niedergelegten datenschutzrechtlichen Pflichten mit geeigneten Mitteln
nach. Er erstellt und führt ein Verzeichnis zu allen Kategorien der von ihm im Auftrag
des Auftraggebers durchgeführten Tätigkeiten mit den Pflichtvorgaben des Art. 32
Abs. 2 DSGVO.

\section{Anfragen betroffener Personen}
\subsection{} Die Rechte der durch die Datenverarbeitung beim Auftragsverarbeiter betroffenen
Personen sind gegenüber dem Auftraggeber geltend zu machen. Er ist verantwortlich
für die Wahrung dieser Rechte. Wendet sich eine betroffene Person mit Forderungen
zur Berechtigung, Löschung oder Auskunft an den Auftragsverarbeiter, verweist
dieser die betroffene Person an den Auftraggeber, sofern eine Zuordnung an den
Auftraggeber anhand der Angaben der betroffenen Person möglich ist. Der
Auftragsverarbeiter leitet den Antrag der betroffenen Person unverzüglich an den
Auftraggeber weiter.

\subsection{} Der Auftragsverarbeiter haftet nicht, wenn das Ersuchen der betroffenen Person vom
Auftraggeber schuldhaft nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

\section{Technische und Organisatorische Maßnahmen}
\subsection{} Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche
Organisation so gestalten, dass sie den besonderen Anforderungen des
Datenschutzes gerecht wird. Er wird technische und organisatorischen Maßnahmen
treffen, die den Anforderungen der EU-Datenschutzgrundverordnung (Art. 32
DSGVO) genügen. Der Auftragsverarbeiter hat technische und organisatorische
Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und
Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
dauerhaft sicherstellen. Die Datenverarbeitung findet insbesondere auf IT-Systemen
statt, die diesen Anforderungen entsprechen. In diesem Rahmen gewährleistet der
Auftragsverarbeiter dem Auftraggeber, die Umsetzung aller Maßnahmen gemäß
Anhang 1 dieser AVV.
\subsection{} Die für den Schutz der verarbeiteten Daten maßgeblichen Entscheidungen im
Hinblick auf Maßnahmen, Verfahren und Organisation werden dem Auftraggeber
vorab mitgeteilt.
\subsection{} Die Datensicherheitsmaßnahmen können der technischen und organisatorischen
Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte
Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit
erforderliche Änderungen hat der Auftragsverarbeiter unverzüglich umzusetzen.
Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche
Änderungen sind zwischen den Parteien zu vereinbaren.

\section{Subunternehmer}
\subsection{} Der Auftragsgeber stimmt einer Beauftragung von Subunternehmern zu.
\subsection{} Ein zustimmungsbedürftiges Subunternehmerverhältnis liegt vor, wenn der
Auftragsverarbeiter weitere Auftragsverarbeiter mit der ganzen oder einer
Teilleistung der im Hauptvertrag vereinbarten Leistung beauftragt, auf die
vorliegende AVV Anwendung findet.
\subsection{} Der Auftraggeber stimmt der Beauftragung der in Anhang 2 der vorliegenden AVV
genannten Unterauftragnehmer zu unter der Bedingung einer
vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO. Weiterhin
informiert der Auftragsverarbeiter über die bestehenden
Unterbeauftragungsverhältnisse auf der folgenden Webseite
\href{https://www.mediquu.de/subunternehmer}{www.mediquu.de/subunternehmer}. Bei einer Änderung der Subunternehmer
informiert der Auftragsverarbeiter den Auftraggeber per E-Mail. Der
Auftragsverarbeiter gewährleistet, dass bei einer Änderung der
Unterbeauftragungsverhältnisse das Datenschutzniveau mindestens gehalten, wenn
nicht sogar verbessert wird. Der Auftraggeber kann der Änderung innerhalb einer
Frist von zwei Wochen aus wichtigem Grund gegenüber dem Auftragsverarbeiter
widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur
Änderung als erteilt.
\subsection{} Subunternehmer gelten nicht als „Dritte“ im Sinne dieser Vereinbarung.
\subsection{} Die Datenübertragung zum Subunternehmer erfolgt per SSL Verschlüsselung.
\subsection{} Die Verarbeitung der Daten beim Subunternehmer erfolgt ausschließlich zur
Erfüllung der vom Auftraggeber beauftragten Leistung.
\subsection{} Der Auftragsverarbeiter hat die vertraglichen Vereinbarungen mit den
Subunternehmern so zu gestalten, dass sie den Datenschutzbestimmungen im
Vertragsverhältnis zwischen Auftraggeber und Auftragsverarbeiter entsprechen. Der
Auftraggeber behält sich das Recht vor, die Einhaltung dieser Bestimmungen
regelmäßig zu kontrollieren.\subsection{} Bei der Unterbeauftragung sind dem Auftraggeber Kontroll- und Überprüfungsrechte
entsprechend dieser Vereinbarung und des Art. 32 DSGVO beim Subunternehmer
einzuräumen. Dies umfasst auch das Recht des Auftraggebers, vom
Auftragsverarbeiter auf schriftliche Anforderung Auskunft über den wesentlichen
Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im
Subunternehmerverhältnis, erforderlichenfalls durch Einsicht in die relevanten
Vertragsunterlagen, zu erhalten.
\subsection{} Die Aufwände (Kosten), die eine solche Kontrolle verursachen, werden, soweit sie
vier Zeitstunden übersteigen und nichts anderes vereinbart wurde, vom
Auftraggeber getragen und mit einem Stundensatz von 97,50 € netto an helpwave
vergütet. Art und Weise der Kontrollmaßnahmen beim Subunternehmer sowie deren
Umfang und der zu erwartende Aufwand (Kosten) ist vorab mit dem
Auftragsverarbeiter gesondert zu verabreden.
\subsection{} Soweit der Auftragsverarbeiter zur Erfüllung der Vertragspflichten aus dem
Hauptvertrag mit dem Auftraggeber sich den Leistungen beim Hosting von der
Deutschen Telekom oder Hetzner bedient, macht sich der Auftragsverarbeiter die
seitens Hetzner oder der Deutschen Telekom getroffenen technischen und
organisatorischen Maßnahmen gem. Art. 32 DSGVO zu eigen. Die Kontrollrechte des
Auftraggebers hierzu richten sich nach § 2 der AVV.

\section{Vertragsdauer und Kündigung}
\subsection{} Die Laufzeit dieser AVV richtet sich nach der Laufzeit des Hauptvertrages, sofern sich
aus den Bestimmungen dieser AVV nicht darüber hinausgehende Verpflichtungen
ergeben.
\subsection{} Es ist den Parteien bewusst, dass ohne Vorliegen eines gültigen AV-Vertrages z. B. bei
Beendigung des vorliegenden Vertragsverhältnisses, keine (weitere)
Auftragsverarbeitung durchgeführt werden darf.
\subsection{} Beide Parteien können die AVV mit einer Frist von 1 (einem) Monat kündigen.
\subsection{} Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
Der Auftraggeber kann diese AVV insbesondere dann außerordentlich und ohne
Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des
Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieser
AVV vorliegt.
\subsection{} Die Kündigung muss schriftlich erfolgen.
\section{Haftung}
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der
in Art. 82 DS-GVO getroffenen Regelung.
\section{Sonstiges}
\subsection{} Soweit diese Vereinbarung vor dem 25.05.2018 und damit vor dem Wirksamwerden
der DSGVO abgeschlossen wurde, sind sich die Parteien einig, dass bis zu diesem
Zeitpunkt das jeweils national geltende Datenschutzrecht entsprechend anzuwenden
ist.
\subsection{} Sollte das Eigentum des Auftraggebers beim Auftragsverarbeiter durch Maßnahmen
Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder
Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der
Auftragsverarbeiter den Auftraggeber unverzüglich zu verständigen. Der
Auftragsverarbeiter wird alle in diesem Zusammenhang Verantwortlichen
unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten
ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der EU-
Datenschutzgrundverordnung liegen.
\subsection{} Nebenabreden sind nicht getroffen worden. Änderungen und Ergänzungen dieser
AVV und all ihrer Bestandteile bedürfen der Schriftform. Dies gilt auch für die
Abänderung des Schriftformerfordernisses selbst.
\subsection{} Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der
verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
\subsection{} Es gilt deutsches Recht.
\subsection{} Gerichtsstand ist Aachen.
\subsection{} Sollten einzelne Teile dieser AVV unwirksam sein oder werden, so berührt dies die
Wirksamkeit dieser AVV im Übrigen nicht.

\newpage
\appendix

\begin{center}
	\Huge Technische und organisatorische Maßnahmen (TOM) \\
	\Large i.S.d. Art. 32 DSGVO \\
	\small Stand: \today
\end{center}

Die Anwendungsdaten werden in zwei verschiedenen Räumlichkeiten verarbeitet, im Büro
der helpwave GmbH (im Folgenden „helpwave“) und in von Unterauftragnehmern
zur Verfügung gestellten Rechenzentren. helpwave nutzt für den Betrieb der datenhaltenden
Server das Rechenzentrum der Open Telekom Cloud der Telekom Deutschland GmbH (im
Folgenden „Deutsche Telekom“), die Unterauftragnehmer von helpwave ist. Für einzelne
Anwendungen werden zudem Abschottungssysteme (Gatekeeper oder Load-Balancer)
eingesetzt, um den Standort der eigentlichen Datenhaltungssysteme zu verschleiern. Hierfür
werden Systeme im Rechenzentrum der Firma Hetzner eingesetzt. Diese leiten die Daten
jedoch nur in verschlüsselter Form (SSL) an die Systeme bei der Deutschen Telekom weiter.
Nachfolgende Ausführungen zum Bereich „Rechenzentrum“ beziehen sich immer sowohl auf
das Rechenzentrum der Deutschen Telekom, als auch auf das bei Hetzner. Die
Unterauftragnehmer sind vertraglich gebunden und werden entsprechend der Vereinbarung
zur Auftragsvereinbarung durch helpwave geprüft.
\\

Im Folgenden wird daher – sofern erforderlich bzw. zielführend – zwischen Maßnahmen für
die Rechenzentren und für die Büroräume von helpwave unterschieden.
\\

Weitere Informationen zu den Technisch-organisatorischen Maßnahmen der
Rechenzentrumsbetreiber finden Sie hier: \\
\begin{itemize}
	\item Deutsche Telekom: \href{https://www.telekom.com/resource/blob/532978/d65e16421b37487e249f0ce4980117ad/dl-tom-1-data.pdf}{www.telekom.com} \\
	\item Hetzner: \href{https://www.hetzner.com/AV/TOM.pdf}{www.hetzner.com}\\
\end{itemize}
\section{Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)}
\subsection{Zutrittskontrolle}
\subsubsection{Rechenzentrum}
Die Rechenzentren der von helpwave beauftragten Unterauftragnehmer erfüllen mindestens
folgende Anforderungen an:
\begin{itemize}
	\item Alarmüberwachung
	\item Personenüberprüfung und -identifikation bei Zutritt
	\item Zutrittsprotokollierung
	\item Kameraüberwachung sowie Bewegungs- und Einbruchsmelder
	\item Personenkontrolle und -überwachung durch Vor-Ort-Personal
\end{itemize}
Diese Sicherheitsmaßnahmen werden durch die Unterauftragnehmer rund um die Uhr an sieben Tagen pro Woche sichergestellt.

\subsubsection{Buroräume}
Die Büroräume der helpwave GmbH liegen im 3. OG in der Jülicher Straße 209d in 52070 Aachen. In diesen Büroräumen befinden sich keine stationären Datenverarbeitungsanlagen, die zur Verarbeitung von Daten der Kunden von helpwave genutzt werden. Die Verarbeitung
erfolgt ausschließlich auf mobilen Geräten mit besonderen Schutzmechanismen und nur
durch autorisierte Personen.
Der Zugang zu den Büroräumen ist durch folgende Maßnahmen geschützt:
\begin{itemize}
	\item Schließsystem mit Sicherheitsschlössern
	\item Dokumentierte Aus- und Rückgabe der Schlüssel
\end{itemize}
\subsection{Zugangskontrolle}
Für die Rechner der Mitarbeitenden ebenso wie für eigene Server (bei der Deutschen
Telekom/Hetzner) unternimmt helpwave umfangreiche Maßnahmen, um die Nutzung durch
Unbefugte zu verhindern:
\begin{itemize}
	\item Alle nicht-öffentlichen Dienste sind grundsätzlich durch individuelle
	      Benutzername/Passwort-Kombinationen geschützt.
	\item Die Anmeldung bei kritischen Diensten ist entweder
	      \begin{itemize}
		      \item ausschließlich mit einem Benutzernamen und einem Sicherheitszertifikat oder mit
		      \item Benutzername, Passwort und Zwei-Faktor-Authentifizierung möglich, d.h. unser Verwendung eines zusätzlichen, getrennt generierten Einmaltokens. und erfolgt ausschließlich über gesicherte Verbindungen (bspw. SSH-Tunnel).
	      \end{itemize}
	\item Ein externer Zugang zum Büronetzwerk ist nicht möglich.
	\item Sofern die Mitarbeitenden firmeneigene Smartphones nutzen, sind diese durch
	      Vollverschlüsselung geschützt und können bei Diebstahl oder Verlust aus der Ferne
	      gelöscht werden.
	\item Die Daten auf den Rechnern der Mitarbeitenden sind vollständig verschlüsselt und
	      nur nach Anmeldung durch den Nutzer entschlüsselbar, um einen Zugriff auf die
	      Daten bei Verlust oder Diebstahl des Rechners zu verhindern.
	\item Die Festplatten der datenhaltenden Systeme im Rechenzentrum der Deutschen
	      Telekom sind verschlüsselt.
	\item Kundendaten, die sich auf den Geräten der Mitarbeiter zum Zwecke der
	      Vertragserfüllung befinden, sind in einem zusätzlich verschlüsselten Dateicontainer
	      gespeichert.
	\item Durch den ausschließlichen Einsatz von Apple-Computern, auf denen zeitnah nach
	      einer Veröffentlichung alle zur Verfügung gestellten Sicherheitsupdates installiert
	      werden, reduzieren sich die Angriffsmöglichkeiten auf die Systeme deutlich.
	\item Systeme sind von außen nur über die technisch notwendigen Ports zugreifbar.
	      Verwaltungsports werden ausschließlich für die Zeit der Verwaltung (z. B. Wartung)
	      freigeschaltet.
\end{itemize}
\subsection{Zugriffskontrolle}
helpwave stellt sicher, dass Personen nur entsprechend der ihnen eingeräumten
Zugriffsberechtigung auf IT-Systeme und die darauf gespeicherten Daten zugreifen können.
Dies wird durch folgende Maßnahmen erreicht:
\begin{itemize}
	\item Benutzer und ihre Zugriffsrechte werden zentral verwaltet, aktiviert und gesperrt.
	\item Ein Zugriff auf die datenhaltenden Systeme ist nur durch die Geschäftsführung möglich.
	\item Die Verwaltung der Nutzer für sicherheits- und datenschutzrelevante Systeme ist nur für die Geschäftsführung möglich.
	\item Kennwörter sind mindestens 12 Zeichen lang, Passwörter für datenhaltende Systeme
	\item mindestens 30 Zeichen.
	\item Kennwörter werden ausschließlich mit einem Randomisierer erzeugt, damit keine Wörterbuch-Attacken auf diese möglich sind.
	\item Kennwörter werden mindestens alle 3 Monate geändert.
	\item Für die ordnungsgemäße Vernichtung von Dokumenten und optischen Datenträgern wird ein Aktenvernichter genutzt.
	\item Zugriffe auf datenhaltende Systeme im Rechenzentrum werden durch das
	      Rechenzentrum protokolliert und automatisiert an die Geschäftsführung von
	      helpwave mitgeteilt. Das beinhaltet den reinen Zugriff ebenso wie Änderung von
	      Firewall-Konfigurationen, wie bspw. das Aktivieren und Deaktivieren von
	      Verwaltungsports auf einzelnen Systemen.
\end{itemize}
\subsection{Trennungskontrolle}
Mit den folgenden Maßnahmen realisiert helpwave die Trennung der Daten verschiedener Kunden bzw. Kundenprojekte:
\begin{itemize}
	\item Kundenprojekte werden, sofern erforderlich, auf jeweils eigenen Servern gespeichert
	\item Produktiv- und Testsysteme werden getrennt betrieben
	\item Alle angebotenen Produkte sind mandantenfähig, dass heißt, innerhalb einer einzelnen Anwendung erfolgt eine logische Trennung der Mandanten.
\end{itemize}
\subsection{Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)}
helpwave gewährleistet, dass Datensätze bei der Datenübermittlung an Dritte
pseudonymisiert und verschlüsselt werden.
\section{Integrität (Art. 32 Abs. 1 lit. b DS-GVO)}
\subsection{Weitergabekontrolle}
Daten zwischen Auftraggeber und Auftragnehmer werden, sofern nicht anders vom
Auftraggeber gewünscht, ausschließlich elektronisch übertragen, d. h. ein Datentransport
per Datenträger findet nicht statt. Sofern auf Wunsch des Auftraggebers ein Transport per
Datenträger stattfindet, wird dieser vollständig verschlüsselt und das Passwort für die
Entschlüsselung auf einem anderen Transportweg (bspw. persönlich oder per Telefon)
mitgeteilt.
Dementsprechend werden folgende Maßnahmen zur Sicherung der personenbezogenen
Daten bei der Übertragung vorgenommen:
\begin{itemize}
	\item Daten werden ausschließlich transport-verschlüsselt (per SSH-, SSL-, TLS- oder VPN-Verbindung) übertragen.
	\item Falls Anwendungsdaten zur Demonstration von Funktionen der Anwendung benötigt werden (sogenannte Test-Daten), werden diese vor der Übertragung auf das Testsystem pseudonymisiert.
	\item Zugriffe auf die Systeme (außer über die Anwendung selbst) werden protokolliert.
\end{itemize}

\subsection{Eingabekontrolle}
Folgende Maßnahmen gewährleisten die Überprüfung und Feststellung, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind:
\begin{itemize}
	\item Im Rahmen der Anwendungsentwicklung und des Betriebs der Anwendung erfolgt keine Eingabe oder Änderung von Anwendungsdaten durch helpwave. Dies obliegt allein dem Auftraggeber.
	\item Das Löschen von Datensicherungsdateien im Rahmen des Betriebs erfolgt nach der vom Auftraggeber festgelegten Frist oder standardmäßig nach 14 Tagen.
	\item Maßnahmen innerhalb der Anwendung, die die Nachvollziehbarkeit von Datenänderungen sicherstellt und Lösch- und Sperrfristen umsetzt, sind durch den Auftraggeber im Rahmen der Zusammenarbeit zu beauftragen oder – sofern technisch möglich – selbst in der Anwendung zu aktivieren.
\end{itemize}

\section{Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)}
\subsection{Verfügbarkeitskontrolle}
Die Verarbeitung personenbezogener Daten erfolgt im Rechenzentrum der Deutschen
Telekom und in den Büroräumen von helpwave. Bei Hetzner erfolgt aus Sicherheitsgründen eine Durchleitung der Daten zur Deutschen Telekom, es werden hier aber keine Daten gespeichert. Dementsprechend sind beim Schutz personenbezogener Daten vor zufälliger Zerstörung oder Verlust die Maßnahmen für die beiden Standorte (Deutsche Telekom/Büroräume helpwave) zu unterscheiden.
\subsubsection{Rechenzentrum}
Die Deutsche Telekom/Hetzner sind für den Serverbetrieb im Rechenzentrum vertraglich
verpflichtet, mindestens mit den folgenden Maßnahmen die Verfügbarkeit sicherzustellen:
\begin{itemize}
	\item Betrieb einer unterbrechungsfreien Stromversorgung
	\item Temperatur- Feuchtigkeits- und Klimaüberwachung
	\item Feuer- und Rauchmeldeanlagen
	\item Automatische Löschanlagen
	\item Vorhalten von Austauschgeräten zur schnellen Wiederherstellung bei Defekten
\end{itemize}

\subsection{Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)}
\subsubsection{Rechenzentrum}
Daten im Rechenzentrum der Deutschen Telekom werden zum Schutz vor unbeabsichtigtem
Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung wie folgt gesichert:
\begin{itemize}
	\item Nächtliche Sicherung aller Daten als Festplattenabbild (die Festplatten sind software-verschlüsselt).
	\item Backups werden 14 Tage rückwirkend vorgehalten.
	\item Nach Ablauf der Zeit werden die Daten unwiderruflich gelöscht, sofern vom Auftraggeber nichts anderes gewünscht wird.
	\item Datensicherungen befinden sich auf vom normalen Betrieb getrennten Systemen.
	\item Datensicherungen von datenhaltenden Festplatten sind verschlüsselt.
	\item Die Sicherung der Systeme erfolgt stets vollständig, um eine schnelle Wiederherstellung zu ermöglichen.
	\item Der vom normalen Betrieb getrennte Speicher wird mit denselben Vorkehrungen gesichert wie die Infrastruktur des normalen Betriebs: Selektive Zugriffe nur für notwendige Personen (Geschäftsführung). Erst bei einer Wiederherstellung der Daten wird die Sicherung außerhalb des Sicherungsspeichers wieder entschlüsselt.
	\item Die Übertragung der Sicherung zum speichernden System selbst erfolgt ebenfalls über eine verschlüsselte Verbindung. Die tägliche Datensicherung wird überwacht. Bei einem Fehler werden qualifizierte Mitarbeiter (Geschäftsführung) umgehend benachrichtigt. Um der Speicherbegrenzung gerecht zu werden, werden vor Inbetriebnahme einer wiederhergestellten Datensicherung die für personenbezogene Daten relevanten, automatisierten Sperr- und Löschregeln auf die Daten angewandt. Hierdurch wir sichergestellt, dass Daten, welche zwischenzeitlich gelöscht wurden aber in der Sicherung aber noch vorhanden waren, erneut gelöscht werden (Artikel 5 DSGVO).
\end{itemize}

\subsubsection{Büroräume}
\begin{itemize}
	\item Daten, die sich auf Geräten innerhalb der Räumlichkeiten von helpwave oder auch
	      außerhalb auf mobilen Geräten der Geschäftsführung befinden, werden mindestens
	      2 Mal wöchentlich gesichert.
	\item Die Sicherung erfolgt in verschlüsselter Form auf externen Datenträgern, die separat
	      gelagert werden.
	\item Der Zugriff auf die Sicherungen ist nur mit einem Passwort möglich.
	\item Daten, die gesichert werden, umfassen keine Daten, die der Auftraggeber in die
	      bereitgestellten Anwendungen eingegeben hat, sondern ausschließlich Daten zu
	      Verträgen zwischen Auftraggeber und Auftragnehmer und zugehörigen Daten, die für
	      die Erfüllung der Verträge erforderlich sind (z. B. Daten zu Supportanfragen).
\end{itemize}

\section{Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)}
Um zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur
entsprechend der Weisungen des Auftraggebers verarbeitet werden, unternimmt helpwave
u.a. die folgenden Maßnahmen:
\begin{itemize}
	\item Überprüfung vorhandener Zertifizierungen von Unterauftragnehmern (speziell
	      gemäß ISO 27001)
	\item Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung oder von EU-
	      Standardvertragsklauseln
	\item Überprüfen von sonstigen Dokumentationen und Rechercheergebnissen, die eine
	      Beurteilung der Zuverlässigkeit eines Anbieters ermöglichen
	\item Kontrolle der Vertragsausführung
\end{itemize}

\section{Datenschutz-Management (Art. 32 Abs. 4 DS-GVO)}
helpwave bemüht sich grundsätzlich, nur Mitgliedern der Geschäftsführung den Zugang zu
personenbezogenen Daten zu ermöglichen. Sofern jedoch in Ausnahmefällen die Mitarbeit
anderer Personen oder freier Mitarbeiter (die ggf. Zugang zu personenbezogenen Daten
haben) erforderlich ist, gewährleistet helpwave, dass diese die Daten nur auf Anweisung des
Verantwortlichen bzw. des Auftragverarbeiters verarbeiten und unternimmt hierzu folgende
Maßnahmen:
\begin{itemize}
	\item Aufklärung über die Rechte und Pflichten im Umgang mit personenbezogenen Daten.
	\item Abschluss einer Vertraulichkeitsverpflichtung zwischen helpwave und den Personen.
	\item Regelmäßige Schulungen im Umgang mit personenbezogenen Daten.
\end{itemize}

\section{Incident-Response-Management}
Zum Schutz vor und im Falle von Sicherheitsverletzungen unternimmt helpwave die
folgenden Maßnahmen:
\begin{itemize}
	\item Alle Systeme sind durch eine Firewall geschützt, die von der Deutschen Telekom bzw.
	      Hetzner zur Verfügung gestellt werden.
	\item Zudem werden die Systeme durch ein Anti-DDoS-System vor sog. Denial-Of-Service-
	      Attacken geschützt.
	\item Zugriffe auf Verwaltungsports werden umgehend an die Geschäftsführung von
	      helpwave gemeldet.
	\item Sicherheitsverletzungen werden umgehend an Anwählte und Experten
	      weitergeleitet, die im Rahmen einer extra für diesen Fall abgeschlossenen
	      Versicherung durch die Provinzial in Münster (Cyber-Police) zur Verfügung gestellt
	      werden. Im Rahmen der Versicherung werden gemäß der Vorgaben der DS-GVO
	      entsprechende, kurzfristige Meldungen an die Aufsichtsbehörden durchgeführt und
	      Anlaufstellen für betroffene Kunden eingerichtet. Zudem werden forensische
	      Dienstleister mit der Untersuchung des Vorfalls beauftragt. Entsprechende weitere,
	      beratende Personen (bspw. der uns in Datenschutzfragen beratende Anwalt Herr Dr.
	      Eduard Wessel, Münster) werden informiert und konsultiert.
	\item Im Anschluss an einen Vorfall wird dieser im Rahmen eines formalen Prozesses
	      dokumentiert und betroffenen Kunden werden informiert.
	      7. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
	      helpwave stellt eine datenschutzfreundliche Technikgestaltung wie folgt sicher:
	\item Die über das Kommunikationssystems von helpwave geführten Chatverläufe erfolgen
	      sind stets verschlüsselt (Zwei-Wege-Kommunikation).
	\item Ein Rollenkonzeption zur Einschränkung des Datenzugriffs und zu Beschränkung von
	      Benutzerrechten ist eingerichtet worden.
	      Darüber hinaus verwendet helpwave datenschutzfreundliche Voreinstellungen, die durch
	      folgende Maßnahmen gewährleistet werden:
	\item Im Rahmen des Kommunikationssystems von helpwave werden Chatverläufe
	      automatisch verschlüsselt gespeichert.
	\item Zugriffsrechte sind automatisch an die verschiedenen Benutzerrollen angepasst bzw.
	      beschränkt.
	\item Zugriffsrechte der Mitarbeiter von helpwave auf Endgeräte, die an das Netzwerk von
	      helpwave angeschlossen sind, sind automatisch beschränkt. Alle Endgeräte sind
	      verschlüsselt und können zudem nur mit Benutzername und Passwort genutzt
	      werden.
	\item Es können nur im Besitz von helpwave befindliche Endgeräte für die tägliche Arbeit
	      und Vertragserfüllung genutzt werden.
	\item Es werden ausschließlich Daten erhoben, die für die Zwecke der Vertragserfüllung
	      oder den technischen Betrieb der zur Verfügung gestellten Anwendungen
	      erforderlich sind („Datensparsamkeit“).
\end{itemize}
\section{Auftragskontrolle}
Die Auftragskontrolle umfasst Maßnahmen, die gewährleisten, dass personenbezogene
Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen verarbeitet
werden können. Diese Maßnahmen umfassen bei helpwave:
\begin{itemize}
	\item Alle Mitarbeiter der helpwave sind angewiesen, nur nach den vereinbarten
	      Vertragsinhalten zu arbeiten.
	\item Alle bereitgestellten Daten verbleiben ausschließlich in der Verfügungsmacht der
	      helpwave.
	\item Weitergabe personenbezogener Daten erfolgt im Rahmen der
	      datenschutzrechtlichen Bestimmungen.
	\item Dienstleister der helpwave unterliegen einer laufenden Überprüfung gemäß
	      Abschnitt 4.
	\item Alle Mitarbeiter der helpwave, die mit personenbezogenen Daten aus dem Bereich
	      der Auftraggeber in Kontakt kommen könnten, sind schriftlich auf die Einhaltung des
	      Datenschutzes verpflichtet. Sie sind entsprechend belehrt und angewiesen, dass sie
	      Arbeiten gemäß dem vorstehenden Absatz nur auf Anforderung des Auftraggebers
	      durchführen dürfen.
\end{itemize}

\newpage

\begin{center}
	\Huge Subunternehmer der \\
	helpwave GmbH \\
	\vspace{1em}
	\Large Stand: \today
\end{center}

\begin{longtable}{|l|l|}
	\hline
	\textbf{Provider}                                                            & \textbf{Kontaktinformation}                                                                                              \\ \hline
	\endfirsthead
	\hline
	\textbf{Provider}                                                            & \textbf{Kontaktinformation}                                                                                              \\ \hline
	\endhead
	\hline
	\endfoot
	\hline
	\endlastfoot
	\begin{tabular}[c]{@{}l@{}}Hetzner\\ Hosting\end{tabular}                    &
	\begin{tabular}[c]{@{}l@{}}https://www.hetzner.com\\ \\ Hetzner Online GmbH\\ Industriestr. 25\\ 91710 Gunzenhausen\\ \\ E-Mail: info@hetzner.com\end{tabular}                                          \\ \hline
	\begin{tabular}[c]{@{}l@{}}Deutsche Telekom\\ Hosting\end{tabular}           &
	\begin{tabular}[c]{@{}l@{}}https://cloud.telekom.de\\ \\ Telekom Deutschland GmbH\\ Landgrabenweg 151\\ D-53227 Bonn\\ \\ E-Mail: info@telekom.de\\ Telefon: 0228/181-0\end{tabular}                    \\ \hline
	\begin{tabular}[c]{@{}l@{}}Fastbill\\ Buchhaltung \& Abrechnung\end{tabular} &
	\begin{tabular}[c]{@{}l@{}}https://www.fastbill.com\\ \\ FastBill GmbH\\ Wildunger Str. 6\\ 60487 Frankfurt am Main\\ Telefon: +49 69 348 772 925\\ \\ E-Mail: support@fastbill.com\end{tabular}        \\ \hline
	\begin{tabular}[c]{@{}l@{}}Simple-Fax\\ Faxversand\end{tabular}              &
	\begin{tabular}[c]{@{}l@{}}https://simple-fax.de/\\ \\ simple Communication GmbH\\ Salzdahlumer Str. 196\\ 38126 Braunschweig\\ \\ E: info@simple-communication.de\\ T: +49 531 490 590 00\end{tabular} \\ \hline
	\begin{tabular}[c]{@{}l@{}}Onlinebrief24.de\\ ePost-Validierung\end{tabular} &
	\begin{tabular}[c]{@{}l@{}}https://www.onlinebrief24.de/\\ \\ letterei.de Postdienste GmbH\\ Frankfurter Str. 74\\ 64521 Groß-Gerau\\ 06152 / 9 98 98 - 24\\ \\ support@onlinebrief24.de\end{tabular}   \\ \hline
	\begin{tabular}[c]{@{}l@{}}Apple\\ Push-Dienst\end{tabular}                  &
	\begin{tabular}[c]{@{}l@{}}https://www.apple.com\\ \\ Apple\\ One Apple Park Way\\ Cupertino, CA 95014\\ \\ \\ +1 (408) 996–1010\end{tabular}                                                           \\ \hline
	\begin{tabular}[c]{@{}l@{}}Google\\ Push-Dienst\end{tabular}                 &
	\begin{tabular}[c]{@{}l@{}}Google LLC\\ 1600 Amphitheatre Parkway\\ Mountain View, CA 94043\\ USA\end{tabular}                                                                                          \\ \hline
	\begin{tabular}[c]{@{}l@{}}LOX24\\ SMS Versand\end{tabular}                  &
	\begin{tabular}[c]{@{}l@{}}https://www.lox24.eu\\ \\ \\ LOX24 GmbH\\ Seestraße 109\\ D-13353 Berlin\\ \\ Telefon: +49 30 609 893 11\end{tabular}                                                        \\
\end{longtable}

\end{document}