Auftragsverarbeitung · Art. 28 DSGVO
AVV-Anlagen
Diese Seite enthält die aktuellen Anlagen zur Vereinbarung über Auftragsverarbeitung (AVV) der engel&engel gmbh gemäß Art. 28 DSGVO. Sie ist verbindlicher Bestandteil des AVV-Vertrags und wird bei Änderungen mit 4-Wochen-Vorankündigung aktualisiert.
Inhalt
Anlage 1 – Technische und organisatorische Maßnahmen (TOMs) Anlage 2 – Datensicherung und Fernwartung Anlage 3 – UnterauftragsverarbeiterAnlage 1
Technische und organisatorische Maßnahmen (TOMs)
Stand: 01.07.2026
Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Diese umfassen insbesondere:
Vertraulichkeit
- Zutrittskontrollen zu Büro- und Serverräumen
- Zugriffsbeschränkungen und Benutzer- und Rechtekonzepte
- Passwortschutz und Mehr-Faktor-Authentifizierung soweit möglich
- Verschlüsselung geeigneter Systeme und Datenträger
Integrität
- Protokollierung administrativer Zugriffe
- Schutz vor unbefugter Veränderung
- Firewall- und Sicherheitskonzepte
- Virenschutz- und Sicherheitslösungen
Verfügbarkeit
- Datensicherungskonzepte
- Notfall- und Wiederherstellungsverfahren
- Schutz vor Datenverlust
- USV- und Sicherheitsmaßnahmen soweit vorhanden
Belastbarkeit
- Monitoring- und Überwachungssysteme
- Update- und Patchmanagement
- Sicherheitsüberprüfungen
Verfahren
- Datenschutz- und Berechtigungskonzepte
- Mitarbeiterschulung
- Vertraulichkeitsverpflichtungen
- Regelmäßige Überprüfung der Maßnahmen
Anlage 2
Datensicherung und Fernwartung
Stand: 01.07.2026
Soweit entsprechende Leistungen beauftragt wurden, gelten ergänzend folgende Regelungen:
Datensicherung
- Bereitstellung und Überwachung verschlüsselter Cloud- und Online-Backup-Lösungen
- Durchführung automatisierter Online-Datensicherungen
- Überwachung und Kontrolle von Sicherungsvorgängen soweit technisch vorgesehen
- Unterstützung bei Wiederherstellungsmaßnahmen im Fehlerfall
- Speicherung von Datensicherungen in Rechenzentrumsumgebungen innerhalb der EU soweit technisch vorgesehen
Online-Backup
Soweit Online-Backup-Leistungen erbracht werden, erfolgt die Speicherung ausschließlich verschlüsselt in Rechenzentren innerhalb der EU.
Fernwartung
- Fernwartungszugriffe erfolgen ausschließlich zweckgebunden, durch autorisierte Mitarbeitende und protokolliert (Datum, Dauer, Person, Zweck)
- Fernwartungsleistungen über Splashtop oder vergleichbare Lösungen; Datenverarbeitung über EU-Server, Drittlandtransfer durch SCCs abgesichert
- Monitoring-, RMM- und automatisierte Wartungsleistungen über Atera oder vergleichbare Plattformen
- Cloud-Backup-, Hosting- und IaaS-Leistungen über Wortmann terra cloud oder vergleichbare Anbieter
Anlage 3
Unterauftragsverarbeiter
Stand: 01.07.2026
Der Auftragnehmer setzt – soweit für die jeweilige Leistung erforderlich – folgende Unterauftragnehmer, Cloudanbieter und technische Dienstleister ein. Reine Warenlieferanten ohne Zugriff auf personenbezogene Daten im Auftrag des Auftraggebers sind nicht aufgeführt.
| Unternehmen | Zweck | Verarbeitete Daten |
|---|---|---|
| medatixx GmbH & Co. KG | Praxissoftware, Support, TI, Updates | Adresse, Kommunikationsdaten, Ansprechpartner, Vertragsdaten |
| Wortmann AG / terra cloud GmbH | Cloudbackup, Hosting, IaaS, virtuelle Server | Adresse, Ansprechpartner, Infrastruktur-, System- und Serverdaten |
| Microsoft Ireland Operations Ltd. | Microsoft 365, Exchange Online, Cloudservices | Adresse, Kommunikationsdaten, Benutzerdaten |
| Atera Networks Ltd. | Monitoring, RMM, Fernverwaltung | Infrastruktur-, System- und Gerätedaten |
| Bitdefender | Managed Antivirus / EDR | Infrastruktur-, System- und Gerätedaten |
| Securepoint GmbH | Firewall-, UTM- und Mailsecurity-Lösungen | Netzwerk-, Firewall- und Zugangsdaten |
| Splashtop Inc. SCCs | Fernwartung (EU-Server) | Verbindungs- und Systemdaten |
| Placetel / BroadSoft Germany GmbH | Cloudtelefonie | Kommunikations- und Vertragsdaten |
| Brevo (Sendinblue SAS) | Versand von Kunden-E-Mails (Newsletter, Kampagnen, Servicemitteilungen) | Name, E-Mail-Adresse |
Der Einsatz der jeweiligen Unterauftragnehmer erfolgt ausschließlich, soweit dies für die beauftragte Leistung erforderlich ist. Der Auftragnehmer stellt sicher, dass alle Unterauftragnehmer gemäß Art. 28 DSGVO verpflichtet werden. Änderungen dieser Liste werden gemäß §8 AVV mit 4-Wochen-Frist angekündigt.
engel&engel