{"id":103,"date":"2024-07-11T10:28:33","date_gmt":"2024-07-11T10:28:33","guid":{"rendered":"http:\/\/localhost:8000\/?page_id=103"},"modified":"2026-03-23T10:24:42","modified_gmt":"2026-03-23T09:24:42","slug":"dpa-tom","status":"publish","type":"page","link":"https:\/\/alfaview.com\/de\/dpa-tom","title":{"rendered":"AVV und TOM"},"content":{"rendered":"\n

AVV und TOM<\/h1>\n\n\n\n
<\/div>\n\n\n\n

Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO<\/h2>\n\n\n\n
<\/div>\n\n\n\n

zwischen
dem Kunden
– nachstehend Auftraggeber <\/strong>genannt –
und
alfaview gmbh, Kriegsstr. 100, 76133 Karlsruhe
(alfaview\u00ae<\/sup> Video Conferencing Systems)
– nachstehend Auftragnehmer <\/strong>genannt <\/p>\n\n\n\n

<\/div>\n\n\n\n

Pr\u00e4ambel<\/h3>\n\n\n\n

Der Auftragnehmer stellt dem Auftraggeber die Anwendung alfaview\u00ae<\/sup> zur Verf\u00fcgung und erbringt in diesem Zusammenhang Leistungen auf Grundlage einer zwischen den Parteien geschlossenen Vereinbarung bestehend aus dem Bestellformular und den Allgemeinen Gesch\u00e4ftsbedingungen (nachfolgend \u201eHauptvertrag<\/strong>\u201c genannt). Im Rahmen dieser Leistungserbringung ist es erforderlich oder zumindest nicht auszuschlie\u00dfen, dass der Auftragnehmer mit personenbezogenen Daten umgeht, f\u00fcr die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend \u201eAuftragsdaten<\/strong>\u201c genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftragsdaten zur Durchf\u00fchrung des Hauptvertrags.<\/p>\n\n\n\n

\u00a7 1 Anwendungsbereich, Gegenstand und Dauer der Verarbeitung<\/h3>\n\n\n\n

1. Diese Datenschutzvereinbarung findet Anwendung auf alle T\u00e4tigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Auftragsdaten im Rahmen dieser Auftragsverarbeitung in Ber\u00fchrung kommen k\u00f6nnen. Keine Anwendung findet diese Datenschutzvereinbarung, wenn der Auftraggeber als nat\u00fcrliche Person die Anwendung alfaview\u00ae<\/sup> zur Aus\u00fcbung ausschlie\u00dflich pers\u00f6nlicher oder famili\u00e4rer T\u00e4tigkeiten einsetzt.<\/p>\n\n\n\n

2. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers bei der Zurverf\u00fcgungstellung der Anwendung alfaview\u00ae<\/sup> und der Erbringung der im Hauptvertrag definierten Leistungen; Details hierzu ergeben sich aus dem Hauptvertrag (Gegenstand der Verarbeitung). Es werden hierbei personenbezogene Daten zum Zweck der Bereitstellung der Anwendung alfaview\u00ae<\/sup> und Dienste entsprechend des Hauptvertrages verarbeitet als auch personenbezogene Daten, welche die Nutzer bei Verwendung von alfaview\u00ae<\/sup> in den Online-Meetings eingeben oder erfassen (Umfang, Art und Zweck der Verarbeitung).<\/p>\n\n\n\n

3. Dauer der Verarbeitung: Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags.<\/p>\n\n\n\n

4. Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten\/-kategorien:<\/p>\n\n\n\n

    \n
  • Personenbezogene Daten, welche zur Bereitstellung der Anwendung alfaview\u00ae und Herstellung der Kommunikation erforderlich sind (Nutzerprofil): Zugangsdaten von registrierten Benutzern wie Name und E-Mail-Adresse; optional k\u00f6nnen die Nutzer im Nutzerprofil auch weitere Angaben machen wie etwa Titel, Initialen, Ort. Bei zus\u00e4tzlicher Buchung der Telefoneinwahl und damit verbundenen Einwahlen per Telefon wird zus\u00e4tzlich die Telefonnummer verarbeitet. Bei Einladungen \u00fcber Gastlinks ist nur die Eingabe eines Namens oder eines Pseudonyms des Gastnutzers erforderlich bzw. im Falle sog. individualisierter Gastlinks Name und E-Mail-Adresse des Gastnutzers.<\/li>\n\n\n\n
  • Personenbezogene Daten, welche von den Nutzern w\u00e4hrend der Kommunikation in Online-Meetings \u00fcber die Anwendung alfaview\u00ae<\/sup> erhoben und verarbeitet werden: Textnachrichten (Chats), Video- und Audiodaten, welche Bildnisse und Stimmen der Nutzer enthalten; diese Video- und Audiodaten als auch Textnachrichten in Chats k\u00f6nnen auch weitere, zwischen den Nutzern von alfaview\u00ae<\/sup> im Rahmen der Kommunikation ausgetauschte Personenstammdaten, Kommunikationsdaten und andere personenbezogene Daten enthalten. Audio-, Video- und Chatnachrichten werden grunds\u00e4tzlich nicht gespeichert bzw. nur bis zum Ende der Kommunikation zwischengespeichert, es sei denn, der Auftraggeber erstellt manuell eine Aufzeichnung.<\/li>\n\n\n\n
  • Personenbezogene Daten in Dateien, welche die Nutzer in virtuellen R\u00e4umen oder w\u00e4hrend einer Kommunikation hochladen und speichern.<\/li>\n<\/ul>\n\n\n\n

    5. Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen den Auftraggeber (bei der Nutzung der Anwendung durch Privatpersonen), Mitarbeiter oder sonstige nutzungsberechtigte Personen auf Seiten des Auftraggebers (z.B. freie Mitarbeiter, Dozenten, Lehrbeauftragte) und die jeweiligen Kommunikationspartner der nutzungsberechtigten Personen sowie Personen, \u00fcber die kommuniziert wird.
    6. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschlie\u00dflich in einem Mitgliedsstaat der Europ\u00e4ischen Union oder in einem anderen Vertragsstaat des Abkommens \u00fcber den Europ\u00e4ischen Wirtschaftsraum statt. <\/p>\n\n\n\n

    \u00a7 2 Verantwortlichkeit f\u00fcr die Datenverarbeitung<\/h3>\n\n\n\n

    Der Auftraggeber ist im Rahmen dieses Vertrages f\u00fcr die Rechtm\u00e4\u00dfigkeit der Verarbeitung der Auftragsdaten sowie f\u00fcr die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO allein verantwortlich (\u201eVerantwortlicher\u201c im Sinne des Art. 4 Nr. 7 DSGVO). Der Auftragnehmer verarbeitet personenbezogene Daten nur im Auftrag des Auftraggebers auf dessen Weisung hin. <\/p>\n\n\n\n

    \u00a7 3 Technische und organisatorische Ma\u00dfnahmen<\/h3>\n\n\n\n

    1. Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen \u00fcber den Datenschutz zu beachten und die Auftragsdaten nicht an unbefugte Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Ber\u00fccksichtigung des Stands der Technik zu sichern.<\/p>\n\n\n\n

    2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Ma\u00dfnahmen zum angemessenen Schutz der Auftragsdaten gem. Art. 32 DS-GVO, insbesondere mindestens die in Anlage 1 aufgef\u00fchrten Ma\u00dfnahmen.<\/p>\n\n\n\n

    3. Die technischen und organisatorischen Ma\u00dfnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative ad\u00e4quate Ma\u00dfnahmen umzusetzen, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. <\/p>\n\n\n\n

    \u00a7 4 Pflichten des Auftragnehmers<\/h3>\n\n\n\n

    1. Der Auftragnehmer hat Auftragsdaten nur nach Weisung des Auftraggebers unter Beachtung von \u00a7 6 dieser Vereinbarung zu verarbeiten. Der Auftragnehmer hat die Auftragsdaten ausschlie\u00dflich nach Weisung des Auftraggebers zu berichtigen, zu l\u00f6schen oder deren Verarbeitung einzuschr\u00e4nken. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder L\u00f6schung seiner Daten oder Auskunft \u00fcber die gespeicherten Daten des Auftraggebers wenden sollte, wird der Auftragnehmer dieses Ersuchen unverz\u00fcglich an den Auftraggeber weiterleiten.<\/p>\n\n\n\n

    2. Der Auftragnehmer stellt sicher und kontrolliert regelm\u00e4\u00dfig, dass die Datenverarbeitung und -nutzung in seinem Verantwortungsbereich, der Unterauftragnehmer nach \u00a7 9 dieser Vereinbarung einschlie\u00dft, in \u00dcbereinstimmung mit den Bestimmungen dieser Vereinbarung erfolgt.<\/p>\n\n\n\n

    3. Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber keine Kopien oder Duplikate der Auftragsdaten anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gew\u00e4hrleistung einer ordnungsgem\u00e4\u00dfen Datenverarbeitung und zur ordnungsgem\u00e4\u00dfen Erbringung der Leistungen gem\u00e4\u00df dem Hauptvertrag (einschlie\u00dflich der Datensicherung) erforderlich sind.<\/p>\n\n\n\n

    4. Der Auftragnehmer unterst\u00fctzt den Auftraggeber bei Kontrollen durch die Aufsichtsbeh\u00f6rde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen. Der Auftragnehmer kann f\u00fcr diese Unterst\u00fctzungsleistung die ihm hierdurch entstehenden, nachzuweisenden Aufw\u00e4nde und Kosten ersetzt verlangen (reiner Aufwandsersatz), es sei denn, die Kontrolle steht in Zusammenhang mit einem Versto\u00df gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag, welchen der Auftragnehmer zu vertreten hat.<\/p>\n\n\n\n

    5. Der Auftragnehmer teilt dem Auftraggeber die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit und den Ansprechpartner f\u00fcr im Rahmen des Vertrags anfallende Datenschutzfragen.<\/p>\n\n\n\n

    6. Der Auftragnehmer hat die bei der Verarbeitung von Daten des Auftraggebers besch\u00e4ftigten Personen gem\u00e4\u00df Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO zur Vertraulichkeit und zur Geheimhaltung entsprechend \u00a7 203 StGB zu verpflichten.<\/p>\n\n\n\n

    7. Der Auftragnehmer teilt dem Auftraggeber unverz\u00fcglich St\u00f6rungen und Verst\u00f6\u00dfe des Auftragnehmers, der bei ihm besch\u00e4ftigten Personen oder eines eingesetzten Unterauftragnehmers gem. \u00a7 9 gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelm\u00e4\u00dfigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterst\u00fctzen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO f\u00fcr den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung des Auftraggebers durchf\u00fchren.<\/p>\n\n\n\n

    \u00a7 5 Pflichten des Auftraggebers<\/h3>\n\n\n\n

    1. F\u00fcr die Beurteilung der Zul\u00e4ssigkeit der beauftragten Verarbeitung sowie f\u00fcr die Wahrung der Rechte von betroffenen Personen ist allein der Auftraggeber verantwortlich.<\/p>\n\n\n\n

    2. Der Auftraggeber hat den Auftragnehmer unverz\u00fcglich und vollst\u00e4ndig zu informieren, wenn er bei der Pr\u00fcfung der Auftragsergebnisse Fehler oder Unregelm\u00e4\u00dfigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.<\/p>\n\n\n\n

    3. Dem Auftraggeber obliegen die aus Art. 33 und Art.34 DSGVO resultierenden Meldepflichten. <\/p>\n\n\n\n

    \u00a7 6 Weisungsbefugnis des Auftraggebers<\/h3>\n\n\n\n

    1. Der Auftragnehmer verarbeitet die Daten des Auftraggebers ausschlie\u00dflich in \u00dcbereinstimmung mit den Weisungen des Auftraggebers, wie sie insbesondere in den Bestimmungen dieser Vereinbarung und den Festlegungen des Hauptvertrags Ausdruck finden, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zu einer anderweitigen Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen \u00f6ffentlichen Interesses verbietet. Der Auftraggeber kann in schriftlicher Form oder in Textform einzelne Weisungen \u00e4ndern, erg\u00e4nzen oder ersetzten (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Ziehen Einzelweisungen Mehrkosten nach sich, insbesondere wenn diese \u00fcber den vertraglich vereinbarten Leistungsumfang hinausgehen, sind diese dem Auftragnehmer zu verg\u00fcten. Eine Verg\u00fctungspflicht besteht nicht, wenn die Weisung aufgrund eines Versto\u00dfes gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag notwendig ist, welche der Auftragnehmer zu vertreten hat.<\/p>\n\n\n\n

    2. M\u00fcndliche Weisungen wird der Auftraggeber unverz\u00fcglich schriftlich oder in Textform (z.B. per E-Mail) best\u00e4tigen.<\/p>\n\n\n\n

    3. Der Auftragnehmer hat den Auftraggeber unverz\u00fcglich zu informieren, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verst\u00f6\u00dft (Art. 28 Abs. 3 S. 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchf\u00fchrung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber best\u00e4tigt oder ge\u00e4ndert wird.<\/p>\n\n\n\n

    \u00a7 7 Unterst\u00fctzungspflichten<\/h3>\n\n\n\n

    1. Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegen\u00fcber einer Einzelperson verpflichtet, Informationen oder Ausk\u00fcnfte zur Verarbeitung von Daten dieser Person zu geben oder die Rechte von betroffenen Personen nach Kapitel III (Artt. 12 bis 23) der DSGVO zu gew\u00e4hrleisten, wird der Auftragnehmer den Auftraggeber bei der Erf\u00fcllung dieser Pflichten mit geeigneten technischen und organisatorischen Ma\u00dfnahmen entsprechend Art. 28 Abs. 3 lit. e DSGVO unterst\u00fctzen.<\/p>\n\n\n\n

    2. Der Auftragnehmer unterst\u00fctzt den Auftraggeber entsprechend Art. 28 Abs. 3 lit. f DSGVO bei der Einhaltung der in den Artt. 32 bis 36 DSGVO genannten Pflichten.<\/p>\n\n\n\n

    3. Bei der Erbringung der Unterst\u00fctzungsleistungen nach Abs. 1 und 2 dem Auftragnehmer entstehende und nachzuweisende Aufw\u00e4nde und Kosten (reiner Aufwandsersatz) sind vom Auftraggeber zu ersetzen, es sei denn, die Unterst\u00fctzungsleistungen stehen in Zusammenhang mit einem Versto\u00df gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag, welche der Auftragnehmer zu vertreten hat.<\/p>\n\n\n\n

    \u00a7 8 Kontrollrechte des Auftraggebers<\/h3>\n\n\n\n

    Der Auftragnehmer erkl\u00e4rt sich damit einverstanden, dass der Auftraggeber – grunds\u00e4tzlich nach Terminvereinbarung, die nur in besonderen Ausnahmef\u00e4llen entfallen darf – berechtigt ist, die Einhaltung der Vorschriften \u00fcber Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Ausk\u00fcnften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch \u00dcberpr\u00fcfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterst\u00fctzend mitwirkt. Die Kosten f\u00fcr die Durchf\u00fchrung der Kontrolle tr\u00e4gt der Auftraggeber, es sei denn, die Kontrolle steht in Zusammenhang mit einem Versto\u00df gegen Datenschutzvorschriften oder Festlegungen in diesem Vertrag, welche der Auftragnehmer zu vertreten hat.<\/p>\n\n\n\n

    \u00a7 9 Weitere Auftragsverarbeiter nach Art. 28 Abs. 2 und 4 DSGVO)<\/h3>\n\n\n\n

    1. Der Auftraggeber erteilt hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter (nachfolgend \u201eUnterauftragnehmer<\/strong>\u201c genannt) hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen Unterauftragnehmer ergeben sich aus Anlage 2, f\u00fcr welche der Auftragnehmer die Genehmigung mit Abschluss dieser Vereinbarung erteilt. Der Auftragnehmer informiert den Aufraggeber vorab \u00fcber jede beabsichtigte \u00c4nderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern, wodurch der Auftraggeber die M\u00f6glichkeit erh\u00e4lt, gegen diese \u00c4nderung Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). Erfolgt kein Einspruch innerhalb von 14 Tage ab Bekanntgabe, gilt die Zustimmung zur \u00c4nderung als gegeben. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 3 Wochen zu k\u00fcndigen.<\/p>\n\n\n\n

    2. Der Auftragnehmer ist verpflichtet, Unterauftragnehmer sorgf\u00e4ltig nach deren Eignung und Zuverl\u00e4ssigkeit auszuw\u00e4hlen. Der Auftragnehmer hat bei der Einschaltung von Unterauftragnehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Pr\u00fcf- und Kontrollrechte) auch direkt gegen\u00fcber den Unterauftragnehmern wahrnehmen kann. Insbesondere wird der Auftragnehmer solche Unterauftragnehmer zur Geheimhaltung entsprechend \u00a7203 StGB verpflichten, welchen Privatgeheimnissen des Auftraggebers gem. \u00a7203 StGB offenbart werden k\u00f6nnten.<\/p>\n\n\n\n

    \u00a7 10 L\u00f6schung von Daten und R\u00fcckgabe von Datentr\u00e4gern <\/h3>\n\n\n\n

    Nach Abschluss der vertraglichen Arbeiten oder fr\u00fcher nach Aufforderung durch den Auftraggeber \u2013 sp\u00e4testens mit Beendigung des Hauptvertrags \u2013 hat der Auftragnehmer s\u00e4mtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbest\u00e4nde, die im Zusammenhang mit dem Auftragsverh\u00e4ltnis stehen, dem Auftraggeber nach dessen Wahl auszuh\u00e4ndigen oder datenschutzgerecht zu vernichten.. Das Protokoll der L\u00f6schung ist auf Anforderung vorzulegen. <\/p>\n\n\n\n

    \u00a7 11 Haftung<\/h3>\n\n\n\n

    Eine zwischen den Vertragsparteien im Hauptvertrag vereinbarte Haftungsregelung gilt auch f\u00fcr die Auftragsverarbeitung, es sei denn, die Vertragsparteien haben ausdr\u00fccklich etwas anderes vereinbart.<\/p>\n\n\n\n

    \u00a7 12 Schlussvorschriften<\/h3>\n\n\n\n

    1. Soweit in dieser Vereinbarung keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widerspr\u00fcchen zwischen dieser Vereinbarung und Regelungen aus sonstigen vertraglichen Abreden, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus dieser Vereinbarung vor.<\/p>\n\n\n\n

    2. \u00c4nderungen und Erg\u00e4nzungen dieser Vereinbarung und aller ihrer Bestandteile – einschlie\u00dflich etwaiger Zusicherungen des Auftragnehmers oder \u00c4nderungen der Anlage – bed\u00fcrfen einer schriftlichen Vereinbarung und des ausdr\u00fccklichen Hinweises darauf, dass es sich um eine \u00c4nderung bzw. Erg\u00e4nzung dieser Bedingungen handelt. Dies gilt auch f\u00fcr den Verzicht auf dieses Formerfordernis.<\/p>\n\n\n\n

    3. Die Rechte und Pflichten des Vertrages bleiben so lange bestehen wie der Auftragnehmer die Daten des Auftraggebers verarbeitet.<\/p>\n\n\n\n

    4. Ausschlie\u00dflicher Gerichtsstand f\u00fcr alle aus diesem Vertrag sich ergebenden Streitigkeiten ist der Sitz des Auftragnehmers.<\/p>\n\n\n\n

    5. Es gilt deutsches Recht.<\/p>\n\n\n\n

    <\/div>\n\n\n\n

    Anlage 1<\/strong>: \u00dcbersicht \u00fcber die technisch-organisatorischen Ma\u00dfnahmen <\/strong><\/h2>\n\n\n\n

    I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)<\/h3>\n\n\n\n

    1. Zutrittkontrolle
    <\/strong>Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren.<\/p>\n\n\n\n

      \n
    • Einsatz von Magnet- bzw. Chipkarten f\u00fcr Zutrittsberechtigte<\/li>\n\n\n\n
    • Video\u00fcberwachung<\/li>\n\n\n\n
    • Festlegung der zugangsberechtigten Personen<\/li>\n\n\n\n
    • Closed Shop-Betrieb<\/li>\n\n\n\n
    • Revisionsf\u00e4higkeit der Zugangsberechtigungen<\/li>\n\n\n\n
    • Einsatz eines Zugangskontrollsystems<\/li>\n\n\n\n
    • Schl\u00fcsselregelung und aktuelle Schl\u00fcsselliste<\/li>\n\n\n\n
    • Protokollierung der Zu- und Abg\u00e4nge<\/li>\n\n\n\n
    • Empfang\/Pf\u00f6rtner<\/li>\n\n\n\n
    • Verschlossene B\u00fcrot\u00fcren und Fenster bei Abwesenheit <\/li>\n<\/ul>\n\n\n\n

      2. Zugangs- und Zugriffskontrolle
      <\/strong>Bei der Zugangskontrolle ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden k\u00f6nnen. Bei der Zugriffskontrolle ist Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschlie\u00dflich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen k\u00f6nnen, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, ver\u00e4ndert oder entfernt werden k\u00f6nnen.<\/p>\n\n\n\n

        \n
      • Identifikation und Authentifizierung der Benutzer\/ Passwortschutz<\/li>\n\n\n\n
      • Maschinelle \u00dcberpr\u00fcfung der Berechtigungen<\/li>\n\n\n\n
      • Einf\u00fchrung zugriffsbeschr\u00e4nkender Ma\u00dfnahmen (z. B. nur Leseberechtigung)<\/li>\n\n\n\n
      • Zeitliche Begrenzung der Zugriffsm\u00f6glichkeiten<\/li>\n\n\n\n
      • Benutzerbezogene Protokollierung der (Fehl-)Zugriffe<\/li>\n\n\n\n
      • Einsatz von Verschl\u00fcsselungsverfahren<\/li>\n\n\n\n
      • Zentrale Vergabestelle von Benutzerrechten <\/li>\n<\/ul>\n\n\n\n


        3. Trennungskontrolle<\/strong>
        Es ist zu gew\u00e4hrleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden k\u00f6nnen.<\/p>\n\n\n\n

          \n
        1. Trennung von Test- und Produktivsystem<\/li>\n\n\n\n
        2. Mandantentrennung – Logische Trennung der Daten (z.B. unterschiedliche Dateiverzeichnisse)<\/li>\n\n\n\n
        3. Einsatz unterschiedlicher Verschl\u00fcsselungen <\/li>\n<\/ol>\n\n\n\n


          4. Pseudonymisierung
          <\/strong>Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zus\u00e4tzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden k\u00f6nnen, sofern diese zus\u00e4tzlichen Informationen gesondert aufbewahrt werden und entsprechende technische und organisatorische Ma\u00dfnahmen unterliegen.<\/p>\n\n\n\n

            \n
          • Definition der Pseudonymisierungsregel, ggf. ankn\u00fcpfend an Personal-, Kunden- oder Patienten-Kennziffern (Verwendung von UUID v4)<\/li>\n\n\n\n
          • Autorisierung: Festlegung der Personen, die zur Verwaltung der Pseudonymisierungs-verfahren, zur Durchf\u00fchrung der Pseudonymisierung und ggf. der Depseudonymisierung berechtigt sind<\/li>\n\n\n\n
          • zuf\u00e4llige Erzeugung der Zuordnungstabellen oder der in eine algorithmische Pseudony-misierung eingehenden geheimen Parameter<\/li>\n\n\n\n
          • Schutz der Zuordnungstabellen bzw. geheimen Parameter sowohl gegen unautorisierten Zugriff als auch gegen unautorisierte Nutzung<\/li>\n\n\n\n
          • Trennung der zu pseudonymisierenden Daten in die zu ersetzenden identifizierenden und die weiteren Angaben <\/li>\n<\/ul>\n\n\n\n

            II. Integrit\u00e4t (Art. 32 Abs. 1 lit. b DSGVO)<\/h3>\n\n\n\n

            1. Weitergabekontrolle
            <\/strong>Es ist Sorge zu tragen, dass personenbezogene Daten bei der elektronischen \u00dcbertragung oder w\u00e4hrend ihres Transports oder ihrer Speicherung auf Datentr\u00e4ger nicht unbefugt gelesen, kopiert, ver\u00e4ndert oder entfernt werden k\u00f6nnen, und dass \u00fcberpr\u00fcft und festgestellt werden kann, an welche Stellen eine \u00dcbermittlung personenbezogener Daten durch Einrichtungen zur Daten\u00fcbertragung vorgesehen ist.<\/p>\n\n\n\n

              \n
            • Dokumentation der Abruf- und \u00dcbermittlungsprogramme<\/li>\n\n\n\n
            • Festlegung der f\u00fcr die \u00dcbermittlung oder den Transport Berechtigten<\/li>\n\n\n\n
            • Regelungen f\u00fcr die Versandart und Festlegung des Transportweges<\/li>\n\n\n\n
            • Verwendung sicherer Transportbeh\u00e4lter<\/li>\n\n\n\n
            • Sicherung des \u00dcbertragungs- und Transportweges<\/li>\n\n\n\n
            • Verschl\u00fcsselung der Daten<\/li>\n\n\n\n
            • \u00dcberwachung der Transportzeit<\/li>\n\n\n\n
            • Vollst\u00e4ndigkeits- und Richtigkeitspr\u00fcfung (nach der \u00dcbertragung)<\/li>\n\n\n\n
            • Nutzung eines VPN <\/li>\n<\/ul>\n\n\n\n

              2. Eingabekontrolle
              <\/strong>Es ist Sorge zu tragen, dass nachtr\u00e4glich gepr\u00fcft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, ver\u00e4ndert oder entfernt worden sind.<\/p>\n\n\n\n

                \n
              • Festlegung von Eingabebefugnissen<\/li>\n\n\n\n
              • Protokollierung der Logins <\/li>\n<\/ul>\n\n\n\n

                III. Verf\u00fcgbarkeit, Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) und Rasche Wiederherstellbarkeit
                (Art. 32 Abs. 1 lit. c DSGVO)<\/h3>\n\n\n\n

                1. Verf\u00fcgbarkeit
                <\/strong>Personenbezogene Daten sind gegen zuf\u00e4llige Zerst\u00f6rung oder Verlust zu sch\u00fctzen.<\/p>\n\n\n\n

                  \n
                • USV (Unterbrechungsfreie Stromversorgung)<\/li>\n\n\n\n
                • Redundante Leitungsversorgung<\/li>\n\n\n\n
                • Notstromaggregat<\/li>\n\n\n\n
                • Brandschutz- und Katastrophenordnung<\/li>\n\n\n\n
                • Brandmelder<\/li>\n\n\n\n
                • R\u00e4umlich getrennte Aufbewahrung der erstellten Datensicherungen<\/li>\n\n\n\n
                • Redundante Serverstruktur<\/li>\n\n\n\n
                • Objektsicherung insb. der Serverr\u00e4ume<\/li>\n\n\n\n
                • Virenschutzkonzept<\/li>\n\n\n\n
                • Klimatisierung <\/li>\n<\/ul>\n\n\n\n


                  2. Rasche Wiederherstellbarkeit
                  <\/strong>Es sind geeignete Ma\u00dfnahmen zu ergreifen, um im Falle eines Verlusts, einer Zerst\u00f6rung oder einer nicht gew\u00fcnschten Ver\u00e4nderung von personenbezogenen Daten die Daten wiederherzustellen.<\/p>\n\n\n\n

                    \n
                  • Backup-Systeme zur Wiederherstellung verlorener Daten<\/li>\n\n\n\n
                  • Testen der Wiederherstellung<\/li>\n\n\n\n
                  • Notfallkonzept mit Wiederanlaufplan <\/li>\n<\/ul>\n\n\n\n

                    3. Belastbarkeit\/Resilienz
                    <\/strong>Es sind geeignete Ma\u00dfnahmen zu ergreifen, um im Falle von Zwischenf\u00e4llen die Funktionsf\u00e4higkeit der Systeme aufrechtzuerhalten.<\/p>\n\n\n\n

                      \n
                    • Update- bzw. Patchmanagement<\/li>\n\n\n\n
                    • Intrusion-Detection-and-Response-System<\/li>\n\n\n\n
                    • Schulung der Besch\u00e4ftigten zur Erkennung von Zwischenf\u00e4llen sowie zur Vermeidung zuk\u00fcnftiger Zwischenf\u00e4lle<\/li>\n\n\n\n
                    • Wechsel auf Fail-Safe-Modus im Falle eines Zwischenfalls<\/li>\n<\/ul>\n\n\n\n

                      IV. Verfahren zur regelm\u00e4\u00dfigen \u00dcberpr\u00fcfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d
                      DSGVO; Art. 25 Abs. 1 DSGVO)<\/h3>\n\n\n\n

                      1. Auftragskontrolle
                      <\/strong>Es ist eine auftrags- und weisungsgem\u00e4\u00dfe Auftragsdatenverarbeitung zu gew\u00e4hrleisten.<\/p>\n\n\n\n

                        \n
                      • Klare Vertragsgestaltung und \u2013ausf\u00fchrung<\/li>\n\n\n\n
                      • Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber<\/li>\n\n\n\n
                      • Sorgf\u00e4ltige Auswahl des Auftragnehmers<\/li>\n\n\n\n
                      • Formalisierung der Auftragserteilung<\/li>\n\n\n\n
                      • Protokollierung und Kontrolle der ordnungsgem\u00e4\u00dfen Vertragsausf\u00fchrung<\/li>\n\n\n\n
                      • Sanktionen bei Vertragsverletzung<\/li>\n\n\n\n
                      • Information \u00fcber neu auftretende Schwachstellen und andere Risikofaktoren, ggf. \u00dcberarbeitung der Risikoanalyse und \u2013bewertung<\/li>\n\n\n\n
                      • Audits durch den Datenschutzbeauftragten <\/li>\n<\/ul>\n\n\n\n

                        2. Externe Pr\u00fcfungen, Audits, Zertifizierungen<\/strong><\/p>\n\n\n\n

                          \n
                        • Es werden ausschlie\u00dflich ISO 27001 zertifizierte Rechenzentren eingesetzt. Die ISO 27001 ist eine internationale Norm f\u00fcr Informationssicherheit. Sie dokumentiert die Sicherheit und Qualit\u00e4t des jeweiligen Rechenzentrums nach internationalen Standards unter anderem in Bezug auf das Sicherheitsmanagement, die Sicherheitspolitik, Zugriffs- und Zugangskontrollen, das IT-St\u00f6rungsmanagement sowie die Einhaltung rechtlicher Verpflichtungen.<\/li>\n<\/ul>\n\n\n\n
                          <\/div>\n\n\n\n

                          Anlage 2<\/strong>: \u00dcbersicht \u00fcber die vom Auftragnehmer eingesetzten Unterauftragnehmer gem. \u00a7 10 Abs. 2<\/strong><\/h2>\n\n\n\n
                          Firma Unterauftragnehmer<\/th>Anschrift\/Land<\/strong><\/th>Beschreibung der \u00fcbernommenen Teilleistung<\/strong><\/th><\/tr><\/thead>
                          alfatraining Bildungszentrum
                          GmbH<\/td>                          		Kriegsstr. 100
                          76133 Karlsruhe
                          Deutschland<\/td>                          		Muttergesellschaft,
                          Bereitstellung von Infrastruktur, Support und Entwicklung.<\/td><\/tr>
                          SysEleven<\/td>SysEleven GmbH
                          Boxhagener Stra\u00dfe 80
                          10245 Berlin
                          Deutschland<\/td>                          		Rechenzentrum (ISO 27001-zertifiziert)
                          <\/strong>Folgende Daten werden \u00fcber SysEleven transportiert (w\u00e4hrend des Transports \u00fcber das Internet verschl\u00fcsselt):
                          – Audiostr\u00f6me (TLS verschl\u00fcsselt)
                          – Videostr\u00f6me (TLS verschl\u00fcsselt)
                          – Realtime Events (z.B. Betreten\/Verlassen des Raumes, Chatnachrichten, Benutzung des Pausebuttons)

                          Folgende Daten werden \u00fcber SysEleven verarbeitet:
                          – Kundendatenbank
                          – Protokoll der Metadaten (z.B. Loginzeiten oder wer wann eine Chatnachricht geschrieben hat)
                          – Backend Services: Authentifizierungsservice, Benutzerservice (E-Mailadressen, Rechnungsdaten, Benutzerdaten)<\/td><\/tr>
                          noris<\/td>noris network AG
                          Thomas-Mann- Stra\u00dfe 16 – 20
                          D-90471 N\u00fcrnberg
                          Deutschland<\/td>                          		Rechenzentrum (ISO 27001-zertifiziert)
                          <\/strong>Folgende Daten werden \u00fcber noris transportiert (w\u00e4hrend des Transports \u00fcber das Internet verschl\u00fcsselt):
                          – Audiostr\u00f6me (TLS verschl\u00fcsselt)
                          – Videostr\u00f6me (TLS verschl\u00fcsselt)
                          – Realtime Events (z.B. Betreten\/Verlassen des Raumes, Chatnachrichten, Benutzung des Pausebuttons)

                          Folgende Daten werden \u00fcber noris verarbeitet:
                          – Kundendatenbank
                          – Protokoll der Metadaten (z.B. Loginzeiten oder wer wann eine Chatnachricht geschrieben hat)
                          – Backend Services: Authentifizierungsservice, Benutzerservice (E-Mailadressen, Rechnungsdaten, Benutzerdaten)<\/td><\/tr>
                          Hetzner<\/td>Hetzner Online GmbH
                          Industriestr. 25
                          91710 Gunzenhausen
                          Deutschland<\/td>                          		Rechenzentrum (ISO 27001-zertifiziert)
                          <\/strong>Folgende Daten werden \u00fcber Hetzner transportiert (w\u00e4hrend des Transports \u00fcber das Internet verschl\u00fcsselt):
                          – Audiostr\u00f6me (TLS verschl\u00fcsselt)
                          – Videostr\u00f6me (TLS verschl\u00fcsselt)
                          – Realtime Events (z.B. Betreten\/Verlassen des Raumes, Chatnachrichten, Benutzung des Pausebuttons)

                          Folgende Daten werden \u00fcber Hetzner verarbeitet:
                          – Kundendatenbank
                          – Protokoll der Metadaten (z.B. Loginzeiten oder wer wann eine Chatnachricht geschrieben hat)
                          – Backend Services: Authentifizierungsservice, Benutzerservice (E-Mailadressen, Rechnungsdaten, Benutzerdaten)<\/td><\/tr>
                          OVHcloud<\/td>OVH GmbH
                          Oskar-J\u00e4ger-Str. 173\/K6
                          50825 K\u00f6ln<\/td>                          		Rechenzentrum (ISO 27001-zertifiziert)
                          <\/strong>Folgende Daten werden \u00fcber OVHcloud transportiert (w\u00e4hrend des Transports \u00fcber das Internet verschl\u00fcsselt):
                          – Audiostr\u00f6me (TLS verschl\u00fcsselt)
                          – Videostr\u00f6me (TLS verschl\u00fcsselt)
                          – Realtime Events (z.B. Betreten\/Verlassen des Raumes, Chatnachrichten, Benutzung des Pausebuttons)

                          Folgende Daten werden \u00fcber OVHcloud verarbeitet:
                          – Kundendatenbank
                          – Protokoll der Metadaten (z.B. Loginzeiten oder wer wann eine Chatnachricht geschrieben hat)
                          – Backend Services:
                          Authentifizierungsservice,
                          Benutzerservice (E-Mailadressen, Rechnungsdaten, Benutzerdaten)<\/td><\/tr>
                          1&1 IONOS SE<\/td>1&1 IONOS SE
                          Elgendorfer Str. 57
                          56410 Montabaur
                          Deutschland<\/td>                          		Rechenzentrum (ISO 27001-zertifiziert)
                          <\/strong>Folgende Daten werden \u00fcber IONOS transportiert (w\u00e4hrend des Transports \u00fcber das Internet verschl\u00fcsselt):
                          – Audiostr\u00f6me (TLS verschl\u00fcsselt)
                          – Videostr\u00f6me (TLS verschl\u00fcsselt)
                          – Realtime Events (z.B. Betreten\/Verlassen des Raumes, Chatnachrichten, Benutzung des Pausebuttons)

                          Folgende Daten werden \u00fcber IONOS verarbeitet:
                          – Kundendatenbank
                          – Protokoll der Metadaten (z.B. Loginzeiten oder wer wann eine Chatnachricht geschrieben hat)
                          – Backend Services: Authentifizierungsservice, Benutzerservice (E-Mailadressen, Rechnungsdaten, Benutzerdaten)<\/td><\/tr>
                          Open Telekom Cloud<\/td>Telekom Deutschland GmbH
                          Landgrabenweg 151
                          53227 Bonn
                          Deutschland<\/td>                          		Rechenzentrum (ISO 27001-zertifiziert)
                          <\/strong>Folgende Daten werden \u00fcber OTC verarbeitet:
                          – Kundendatenbank
                          – Dateien, die \u00fcber den File-Upload hochgeladen werden (TLS verschl\u00fcsselte \u00dcbertragung und verschl\u00fcsselte Speicherung)

                          Bei Bedarf setzen wir dieses Rechenzentrum zuk\u00fcnftig auch f\u00fcr dieselben Dienste ein wie SysEleven, noris, Hetzner und IONOS.<\/td><\/tr>
                          Sweego<\/td>Mindbaz
                          19 rue d\u2019Amiens
                          59800 Lille
                          Frankreich<\/td>                          		Mailing-Provider
                          <\/strong>Beim Versand transaktionaler E-Mails, die f\u00fcr die Herstellung der Kommunikation notwendig sind, werden personenbezogene Daten verarbeitet. Im Einzelnen sind das:
                          – E-Mail zur Kontoerstellung: Name, E-Mail-Adresse, Firmenname
                          – E-Mail zur Benutzereinladung: Name, E-Mail-Adresse, Firmenname des Gastgebers
                          – Versand personalisierter Gastlinks: Name, E-Mail-Adresse
                          – E-Mail, wenn Passwort vergessen wurde: Name, E-Mail-Adresse
                          – E-Mail zur L\u00f6schung der Company: Name, E-Mail-Adresse, Companyname<\/td><\/tr>
                          EML<\/td>EML Speech Technology GmbH
                          Kriegsstr. 100
                          76133 Karlsruhe
                          Deutschland<\/td>                          		Transkription (sofern aktiviert)
                          <\/strong>Folgende Daten werden zu EML transportiert (w\u00e4hrend des Transports \u00fcber das Internet verschl\u00fcsselt):
                          – Audiostr\u00f6me (TLS verschl\u00fcsselt)
                          Folgende Daten werden bei Nutzung von alfaview Free zur Verbesserung der Sprachmodelle auf verschl\u00fcsselten Festplatten verarbeitet:
                          – Kurze Sequenzen anonymisierter und zensierter Audiostr\u00f6me
                          – Dazugeh\u00f6rige anonymisierte und zensierte Transkripte<\/td><\/tr>
                          DeepL<\/td>DeepL SE
                          Maarweg 165
                          50825 K\u00f6ln
                          Deutschland<\/td>                          		\u00dcbersetzung der Transkription (sofern aktiviert)
                          <\/strong>Folgende Daten werden zu DeepL transportiert (w\u00e4hrend des Transports \u00fcber das Internet verschl\u00fcsselt):
                          – Transkript des Audios (TLS verschl\u00fcsselt)
                          Folgende Daten werden \u00fcber DeepL verarbeitet:
                          – Transkript des Audios<\/td><\/tr>
                          Sipgate<\/td>sipgate GmbH
                          Gladbacher Stra\u00dfe 74
                          40219 D\u00fcsseldorf<\/td>                          		Bei zus\u00e4tzlicher Buchung der Telefoneinwahl (optional)
                          <\/strong>Folgende Daten werden an Sipgate zur Bereitstellung der Telefoneinwahl \u00fcbermittelt:
                          – Rufnummer des Teilnehmers<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
                          <\/div>\n\n\n\n

                          Stand: M\u00e4rz 2026<\/em><\/p>\n\n\n\n

                          <\/div>\n","protected":false},"excerpt":{"rendered":"

                          AVV und TOM Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO zwischendem Kunden– nachstehend Auftraggeber genannt –undalfaview gmbh, Kriegsstr. 100, 76133<\/i><\/p>\n","protected":false},"author":2,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-103","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/alfaview.com\/de\/wp-json\/wp\/v2\/pages\/103","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alfaview.com\/de\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/alfaview.com\/de\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/alfaview.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/alfaview.com\/de\/wp-json\/wp\/v2\/comments?post=103"}],"version-history":[{"count":33,"href":"https:\/\/alfaview.com\/de\/wp-json\/wp\/v2\/pages\/103\/revisions"}],"predecessor-version":[{"id":10572,"href":"https:\/\/alfaview.com\/de\/wp-json\/wp\/v2\/pages\/103\/revisions\/10572"}],"wp:attachment":[{"href":"https:\/\/alfaview.com\/de\/wp-json\/wp\/v2\/media?parent=103"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}