Informationen zur Auftragsdatenverarbeitung
Subunternehmerliste
Auflistung der beauftragten Dienstleistungen
Verarbeitung der personenbezogenen Daten
Elefant (Praxissoftware)
Gegenstand der Dienstleistung
- Telefonischer Support und Support per Fernwartungstool im Rahmen der Praxissoftware Elefant
Art und Zweck der Verarbeitung
- Verarbeitung Entwicklung und Wartung des IT-Systems
- Beantwortung von Nutzerfragen im 1st und 2nd Level Support
- Unterstützung bei
- der Installation der Anwendungssoftware Elefant
- Problemen mit Schnittstellensoftware
- Problemen in der Nutzung des Produktes
- Reparatur und Wartung der Datenbank auf dem IT-System des Auftraggebenden
Art der personenbezogenen Daten
- Patientenliste und Inhalte der Patientenakten
- Terminplan der Praxis
- Abrechnungsdaten und Statistiken der Praxis
Kategorien betroffener Personen
- Therapeut bzw. Arzt
- Patienten
- Bezugspersonen des Patienten
PraxisProtect (Firewall)
Gegenstand der Dienstleistung
- Wartung und Betrieb der Hardware für die Telematikinfrastruktur-Anbindung von Praxen
Art und Zweck der Verarbeitung
- Übermittlung der Daten zu Abrechnungszwecken
Art der personenbezogenen Daten
- Name, Vorname und Versicherten Nr. von Patienten
Kategorien betroffener Personen
- Therapeut bzw. Arzt
- Patienten
- Bezugspersonen des Patienten
Praxis PC (Managed Workplace)
Gegenstand der Dienstleistung
- Telefonischer Support und Support per Fernwartungstool im Rahmen des Managed Workplace Services (Elefant)
Art und Zweck der Verarbeitung
- Probleme mit der automatischen Datensicherung
- Wartung des IT-Systems und Praxisnetzwerks
- Wartung Endpoint Protection (Antivirenschutz)
Art der personenbezogenen Daten
- Patientenlisten und Inhalte der Patientenakten
- Terminplan der Praxis
- Abrechnungsdaten und Statistiken der Praxis
- Adminpasswort (Superadmin Account)
Kategorien betroffener Personen
- Therapeut bzw. Arzt
- Patienten
- Bezugspersonen des Patienten
Liste der beauftragten Unterauftragnehmer einschließlich der Verarbeitungsstandorte
Die aufgeführten IT-Dienstleister werden nur einzeln beauftragt
ck sales Vertriebsgesellschaft mbH
Sitz der Gesellschaft:
Dorfstraße 69a, 39217 Schönebeck / OT Ranies
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
Computer Horizonte
Anja Kopp
Sitz der Gesellschaft:
Bevenser Str. 3,28329 Bremen
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
Computer-Service Göttingen
Sitz der Gesellschaft:
Breite Straße 4, 37127 Dransfeld OT Bördel
Verarbeitungsstandort:
lokal im Firmensitz & bei Drittanbietern (Cloud, AVV liegt vor)
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
daten-strom.Medical-IT-Services e. K.
Sitz der Gesellschaft:
Georg-Schaeffler-Str. 4, 42499 Hückeswagen
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
EDV-Support & Handel
Sitz der Gesellschaft:
Kageneckstr. 1, 79252 Stegen
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
Emden EDV
Sitz der Gesellschaft:
Leonhardyweg 86, 12101 Berlin
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
Erhardt IT Solutions GmbH
Sitz der Gesellschaft:
Bottwartalstr. 4,71642 Ludwigsburg
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
HASOMED Tech GmbH
Sitz der Gesellschaft:
Paul-Ecke-Str. 3, 39114 Magdeburg
Verarbeitungsstandort:
Deutschland (Amazon Web Services, Frankfurt, AVV liegt vor)
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
IKST
Sitz der Gesellschaft:
Hösle-Keller-Weg 14, 88239 Wangen
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
Intermac Systems
Sitz der Gesellschaft:
Sendnicher Str. 58a, 56072 Koblenz
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
ITCOS GmbH
Sitz der Gesellschaft:
Paul-Ecke-Str. 3, 39114 Magdeburg
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
IT- und EDV-Dienstleistungen
Jörn Hoffmann
Sitz der Gesellschaft:
Rüschkamp 1, 24161 Altenholz
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
LOOMA GmbH
Sitz der Gesellschaft:
Kleiner Werder 10b, 39114 Magdeburg
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
MM – Beratung und Training
Marion Munde
Sitz der Gesellschaft:
Imstedt 10, 22083 Hamburg
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
MW – Computer
Sitz der Gesellschaft:
Weidenhäuser Str. 6, 35037 Marburg
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
PC-Officium
Sitz der Gesellschaft:
Burgherrenstr. 7, 12101 Berlin
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
PC Service
Sitz der Gesellschaft:
Orber Str. 2, 14193 Berlin
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
PC-Support Berlin
Sitz der Gesellschaft:
Beymestr. 13A, 12167 Berlin
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
Pia Kehl
Sitz der Gesellschaft:
Mellinweg 5, 66280 Sulzbach/Saar
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
Research Industrial Systems Engineering (RISE) Forschungs-, Entwicklungs- und Großprojekteberatung GmbH
Sitz der Gesellschaft:
Concorde Business Park F, 2320 Schwechat (Österreich)
Verarbeitungsstandort:
Österreich
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
SAMHAMMER AG
Sitz der Gesellschaft:
Zur Kesselschmiede 3, 92637 Weiden
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
Softbyte ITK & Healthcare
Sitz der Gesellschaft:
Haardstr. 17, 67161 Gönnheim
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
Tecont GmbH Leipzig
Sitz der Gesellschaft:
Apelsteinallee 12-14, 04416 Wachau
Verarbeitungsstandort:
Deutschland
Praxissoftware Elefant:
Nicht Aktiv
Aktiv
Protektor:
Nicht Aktiv
Aktiv
Zum Einsatz eines Cloud-Dienstleisters im Gesundheitswesen
Die Auftragsdatenverarbeitung findet unter den besonderen gesetzlichen Anforderungen für das Gesundheitswesen statt:
- Zertifizierung nach ISO/IEC 27001 für “Entwicklung und Bereitstellung von webbasierten Softwarelösungen im Bereich des Gesundheitswesens und digitaler Gesundheitsanwendungen (DiGA)”
- Berücksichtigung von § 393 SGB V – Cloud-Einsatz im Gesundheitswesen
- Datenverarbeitende Stelle im Inland (Frankfurt)
- C5-Testat für die datenverarbeitende Stelle liegt vor
Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DS-GVO der HASOMED GmbH
Zweckbindung und Trennbarkeit
Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
- Logische Mandantentrennung (softwareseitig)
- Berechtigungskonzept
- Trennung von Produktiv- und Testsystem
Vertraulichkeit und Integrität
Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters:
Verschlüsselung
Die im Auftrag verarbeiteten Daten bzw. Datenträger werden in folgender Weise verschlüsselt:
- Verschlüsselung mobiler Endgeräte (Smartphones, Laptops)
- Verschlüsseltes Backup
- verschlüsselte Datenübertragung
Zutrittskontrolle
Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Daten-verarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern:
- Alarmanlage
- Automatisches Zugangskontrollsystem
- Chipkarten-/Transponder-Schließsystem
- Manuelles Schließsystem
- Videoüberwachung der Zugänge
- Sicherheitsschlösser
- Schlüsselregelung (Schlüsselausgabe etc.)
- Personenkontrolle beim Pförtner / Empfang
- Protokollierung der Besucher
- Sorgfältige Auswahl von Reinigungspersonal
- Sorgfältige Auswahl von Wachpersonal
- Zutrittskonzept / Besucherregelung
Zugangskontrolle
Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern:
- Zuordnung von Benutzerrechten
- Erstellen von Benutzerprofilen
- Passwortvergabe
- Passwort-Richtlinien (regelmäßige Änderung, Mindestlänge, Komplexität etc.)
- Zwei-Faktor-Authentifizierung
- Authentifikation mit Benutzername / Passwort
- Zuordnung von Benutzerprofilen zu IT-Systemen
- physische Sicherung z.B. Gehäuseverriegelungen
- Einsatz von VPN-Technologie bei der Übertragung von Daten
- Verschlüsselung mobiler IT-Systeme
- Verschlüsselung mobiler Datenträger
- Verschlüsselung der Datensicherungssysteme
- Sperren externer Schnittstellen (USB etc.)
- Einsatz von Intrusion-Detection-Systemen
- Einsatz von Anti-Viren-Software
- Verschlüsselung von Datenträgern in Laptops / Notebooks
- Einsatz einer Hardware-Firewall
- Einsatz einer Software-Firewall
Zugriffskontrolle
Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
- Berechtigungskonzept Verschlüsselung von Datenträgern in Laptops / Notebooks
- Verwaltung der Rechte durch Systemadministrator
- Anzahl der Administratoren ist auf das „Notwendigste“ reduziert
- Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
- Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
- Sichere Aufbewahrung von Datenträgern
- physische Löschung von Datenträgern vor Wiederverwendung
- physikalische Vernichtung von Datenträgern
- ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
- Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel)
- Protokollierung der Vernichtung
- Verschlüsselung von Datenträgern
Eingabeprotokoll
Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:
- Protokollierung der Eingabe, Änderung und Löschung von Daten
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
Auftragskontrolle
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:
- Auswahl des Auftragsverarbeiters unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
- schriftliche Weisungen an den Auftragsverarbeiter (z.B. durch Auftragsverarbeitungsvertrag)
- Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf das Datengeheimnis
- Benennung eines Datenschutzbeauftragten beim Auftragsverarbeiter
- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
- Sonstige: Regelmäßige Schulungen der Mitarbeiter zum Thema Datenschutz
Transport- bzw. Weitergabekontrolle
Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können:
- Einsatz von VPN-Tunneln
- Verschlüsselung der E-Mail-Kommunikationswege via TLS
- Verschlüsselung physischer Datenträger bei Transport
Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme
Folgende Maßnahmen gewährleisten, dass die eingesetzten Datenverarbeitungssysteme jederzeit einwandfrei funktionieren und personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Unterbrechungsfreie Stromversorgung (USV)
- Klimatisierung der Serverräume
- Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
- Schutzsteckdosenleisten in Serverräumen
- Feuer- und Rauchmeldeanlagen in Serverräumen
- Feuerlöschgeräte in Serverräumen
- Data Loss Prevention (DLP)
- Erstellen eines Backup- & Recoverykonzepts
- Testen von Datenwiederherstellung
- Erstellen eines Notfallplans
- Serverräume nicht unter sanitären Anlagen
- In Hochwassergebieten: Serverräume über der Wassergrenze
- belastbares Datensicherungs- und Wiederherstellungskonzept vorhanden