From a133b35ab000dd3cc70a8b2f4ba88eb35964b8b3 Mon Sep 17 00:00:00 2001
From: Felix Evers <git@felixevers.de>
Date: Wed, 27 Nov 2024 17:38:10 +0100
Subject: [PATCH] feat: add helpwave tasks avv

---
 .github/workflows/latex.yml |   1 +
 avv_tasks.tex               | 691 ++++++++++++++++++++++++++++++++++++
 2 files changed, 692 insertions(+)
 create mode 100644 avv_tasks.tex

diff --git a/.github/workflows/latex.yml b/.github/workflows/latex.yml
index 98840be..062b513 100644
--- a/.github/workflows/latex.yml
+++ b/.github/workflows/latex.yml
@@ -11,6 +11,7 @@ env:
     agb_mediquu_netzmanager.tex
     agb_mediquu_chat.tex
     avv.tex
+    avv_tasks.tex
     nda.tex
 
 jobs:
diff --git a/avv_tasks.tex b/avv_tasks.tex
new file mode 100644
index 0000000..f368ce0
--- /dev/null
+++ b/avv_tasks.tex
@@ -0,0 +1,691 @@
+\documentclass[10pt]{article}
+\usepackage[margin=2cm]{geometry}
+\usepackage[ngerman]{babel}
+
+\usepackage[inkscapeformat=png]{svg}
+\usepackage{fancyhdr}
+
+\usepackage{longtable}
+
+\usepackage{lastpage}
+
+\usepackage{inter}
+\renewcommand\familydefault{\sfdefault}
+
+\usepackage[onehalfspacing]{setspace}
+\usepackage[iso,german]{isodate}
+
+\usepackage{xcolor}
+\usepackage{hyperref}
+
+\setcounter{tocdepth}{1}
+\setlength\parindent{0pt}
+
+\usepackage{titlesec}
+\titleformat{\subsection}[runin]{\normalfont\bfseries}{\thesubsection}{0.5em}{}[]
+\titleformat{\subsubsection}[runin]{\normalfont\bfseries}{\thesubsubsection}{0.5em}{}[]
+
+\def\Year{\expandafter\YEAR\the\year}
+\def\YEAR#1#2#3#4{#1#2#3#4}
+
+\fancyhead{}
+\pagestyle{fancy}
+\renewcommand{\headrulewidth}{0pt}
+\fancyfoot{}
+\fancyfoot[L]{\textcolor{gray}{\thepage\space/\space\pageref{LastPage}}}
+\fancyfoot[R]{\textcolor{gray}{\href{https://helpwave.de}{helpwave.de}}}
+
+\begin{document}
+
+\begin{center}
+	\includesvg[width=0.2\linewidth]{logo.svg}\\[4ex]
+	{\huge \sffamily Vertrag über die Auftragsverarbeitung personenbezogener Daten \\[1ex]
+	Auftragsverarbeitungsvereinbarung – „AVV“ \\
+	\vspace{1em}
+	\Large gemäß Art. 28 DSGVO}\\
+	\vspace{1em}
+	{\large
+		helpwave GmbH \\
+		Jülicher Straße 209d \\
+		52070 Aachen \\
+		HRB 27480}\\
+	\vspace{1em}
+	Stand: \today
+\end{center}
+
+\vspace{2ex}
+
+\tableofcontents
+
+\newpage
+
+\section{Gegenstand der AVV}
+\subsection{} Vertragsbestandteil ist die Nutzung der Software helpwave tasks,
+die Nutzung der zugehörigen Desktop- und Mobil-Anwendungen inkl. zugehöriger
+technischer Dienste (im Folgenden „Software“ genannt), sowie Fernwartung auf
+Wunsch und unter Aufsicht des Auftraggebers.
+\subsection{} Diese Auftragsverarbeitungsvereinbarung („AVV“) wird zwischen der helpwave GmbH (nachstehend „Auftragsverarbeiter“
+genannt) und dem Kunden (nachstehend „Auftraggeber“ genannt) geschlossen. Der Kunde ist hierbei die Person, welche einen Nutzungsvertrag mit der helpwave GmbH abgeschlossen hat. Gemeinsam werden der Auftragsverarbeiter und der
+Auftraggeber nachstehend als die „Parteien“ bezeichnet.
+\subsection{} Diese AVV ergänzt den zwischen den Parteien geschlossenen Nutzungsvertrag auf Basis der aktuell geltenden Nutzungsbedingungen des Auftragsverarbeiters
+(nachstehend „Hauptvertrag“ genannt). Aus dem Hauptvertrag ergeben sich Gegenstand und Dauer, die Art und der Zweck der Verarbeitung sowie die genutzte(n) Anwendung(en), für die diese AVV gilt.
+
+\section{Rechte und Pflichten des Auftraggebers}
+\subsection{} Der Auftraggeber stellt die Daten dem Auftragsverarbeiter über die von diesem eingesetzte Software durch Eingabe über Formulare bzw. Uploads oder telefonisch oder per E-Mail zur Verfügung bzw. ermöglicht die Verarbeitung der Daten durch den Auftragsverarbeiter. Sämtliche Daten, die der Auftraggeber über die Felder in den Formularen einträgt, werden nach dem Auslösen eines mit dem Formular verbundenen Buttons über das Verschlüsselungsprotokoll Secure Sockets Layer (SSL) über eine verschlüsselte Verbindung in die Software des Auftragsverarbeiters übertragen.
+
+\subsection{} Der Auftraggeber bleibt als „Verantwortlicher“ i. S. d. Art. 4 Nr. 7 DSGVO Herr der Daten. Er ist für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe anden Auftragsverarbeiter sowie für die Rechtmäßigkeit der Datenverarbeitung
+verantwortlich. Er ist außerdem verantwortlich für die Beurteilung der Zulässigkeit
+der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen.
+
+\subsection{} Die Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragsverarbeiter mit personenbezogenen Daten gerichtete Anordnung des Auftraggebers. Die Weisungen des Auftraggebers sind schriftlich, per online Formular oder per E-Mail zu erteilen.
+
+\subsection{} Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen
+Vereinbarungen und nach Weisung des Auftraggebers. Der Auftraggeber hat das
+Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu
+erteilen. Die Weisungen werden anfänglich durch den Hauptvertrag und die AVV
+festgelegt und können vom Auftraggeber danach in Schriftform oder in Textform (E-
+Mail) an die vom Auftragsverarbeiter bezeichnete Stelle durch einzelne Weisungen
+geändert, ergänzt oder ersetzt werden (Einzelweisung). Änderungen des
+Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam
+abzustimmen und zu dokumentieren. Weisungen, die im Vertrag nicht vorgesehen
+sind, werden als Antrag auf Leistungsänderung behandelt.
+\subsection{} Weisungen sind vom Auftraggeber an den Auftragsverarbeiter postalisch, z. Hd.
+Felix Evers, c/o Collective Incubator, Jülicher Straße 209d, 52070 Aachen oder per E-Mail (in Textform) an contact@helpwave.de oder
+eine neue, schriftlich mitgeteilte E-Mail-Adresse, zu richten. Mündlich erteilte
+Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Zur
+Weisung befugt ist der jeweilige Vertragsnehmer oder ein autorisierter Mitarbeiter
+in dessen Auftrag. Bei einem Wechsel oder einer längerfristigen Verhinderung des
+Ansprechpartners sind dem Auftragsverarbeiter unverzüglich in den Stammdaten der
+Software ein Nachfolger bzw. der Vertreter einzutragen.
+\subsection{} Der Auftragsverarbeiter ist berechtigt, die Durchführung von Weisungen, die seiner
+Meinung nach gegen datenschutzrechtliche Vorschriften verstoßen, solange
+auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber schriftlich oder
+per E-Mail (in Textform) bestätigt oder geändert werden. Im Falle der Aussetzung
+einer Weisung hat er den Auftraggeber über den Verstoß der Weisung gegen
+datenschutzrechtliche Bestimmungen zu informieren. Eine Mitteilung erfolgt an
+denjenigen Mitarbeiter des Auftraggebers, der die Weisung erteilt hat. Die
+Mitteilung erfolgt in Textform an eine vom Auftraggeber mitgeteilte E-Mail-Adresse.
+\subsection{} Der Auftraggeber kann die Einhaltung der Vorschriften zum Datenschutz und der
+vertraglichen Vereinbarung durch den Auftragsverarbeiter kontrollieren,
+insbesondere durch die Einholung von Auskünften, die Einsichtnahme in die
+gespeicherten Daten und die Datenverarbeitungsprogramme beim
+Auftragsverarbeiter. Er darf das Ergebnis der Kontrollen dokumentieren.
+\subsection{} Der Auftraggeber kann die Kontrollen selbst durchführen oder durch einen
+beauftragten Dritten durchführen lassen. Der Auftragsverarbeiter ist entsprechend
+zur Auskunft und Mitwirkung verpflichtet. Kontrollen vor Ort beim Auftragsverarbeiter können nach gemeinsamer Absprache zwischen den Parteien
+zu den üblichen Bürozeiten des Auftragsverarbeiters stattfinden. Hierbei achtet der
+Auftraggeber darauf, dass er den üblichen Betrieb des Auftragsverarbeiters soweit
+durch die Kontrollmaßnahmen nicht beeinträchtigt. Der Auftragsverarbeiter
+unterstützt den Auftraggeber insbesondere bei Datenschutzkontrollen durch die
+Aufsichtsbehörde, soweit es sich um die Datenverarbeitung im Rahmen dieser
+Vereinbarung handelt, und setzt Anforderungen der Aufsichtsbehörde in
+Abstimmung mit dem Auftraggeber unverzüglich um.
+\subsection{} Bei Kontrollen des Auftraggebers vor Beginn der Datenverarbeitung und während
+der Laufzeit der AVV stellt der Auftragsverarbeiter sicher, dass sich der
+Auftraggeber von der Einhaltung der getroffenen technischen und
+organisatorischen Maßnahmen überzeugen kann. Hierzu weist der
+Auftragsverarbeiter dem Auftraggeber auf Anfrage die Umsetzung der technischen
+und organisatorischen Maßnahmen gemäß Art. 32 DSGVO nach. Dabei kann der
+Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag
+betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder
+Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision,
+Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren,
+Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder
+Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden.
+\subsection{} Die Aufwände (Kosten), die eine solche Kontrolle verursachen, werden, soweit sie
+vier Zeitstunden übersteigen und nichts anderes vereinbart wurde,
+vom Auftraggeber getragen und mit einem Stundensatz von 97,50 € netto an den
+Auftragnehmer vergütet. Zu den Kosten zählen auch die Aufwände, die dem
+Auftragsverarbeiter aufgrund der durchzuführenden Kontrollen
+entstehen. Kontrollmaßnahmen sind vor ihrer Durchführung hinsichtlich der Art
+und Weise sowie den zu erwartenden Aufwänden zwischen den Parteien
+abzustimmen. Aufwände, die für eine optionale Nachweiserbringung in Form von
+Testaten, von Berichten oder Berichtsauszügen unabhängiger Instanzen oder einer
+geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit anfallen,
+werden vom Auftragnehmer getragen, soweit dieser solche Nachweiserbringungen
+aus eigenem Entschluss veranlasst. Soweit der Auftraggeber optionale
+Nachweiserbringungen verlangt, werden die Art und der Umfang sowie
+die Übernahme von dadurch entstehenden Kosten werden vorher zwischen den
+Parteien abgestimmt.
+\subsection{} Sowohl der Auftraggeber als auch der Auftragsverarbeiter haben die jeweils andere
+Partei unverzüglich und vollständig zu informieren, wenn bei der Prüfung Fehler
+oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen festgestellt
+werden.
+
+\section{Pflichten des Auftragsverarbeiters}
+\subsection{} Der Auftragsverarbeiter verarbeitet üblicherweise die folgenden Daten im Auftrag
+des Auftraggebers bzw. die Möglichkeit, dass der Auftragsverarbeiter Zugriff auf
+folgende personenbezogene Daten hat, kann nicht ausgeschlossen werden:
+\begin{itemize}
+	\item Datenarten: Namen, Adressen, Telefonnummern und sonstige Kontaktdaten,
+	      Vertragsdaten, Zahlungsdaten, Inhaltsdaten und sonstige leistungsrelevante
+	      Kundendaten des Auftraggebers, sowie alle weiteren auf Wunsch des
+	      Auftraggebers gespeicherten Daten. Der Auftraggeber hat in der Anwendung
+	      helpwave tasks zudem die Möglichkeit, weitere Felder anzulegen.
+	\item Betroffenenkreis: Betroffene sind Kunden (Patienten), Vertragspartner und
+	      Mitarbeiter des Auftraggebers, sowie Mitglieder eines ärztlichen Netzwerkes des
+	      Auftraggebers.
+\end{itemize}
+\subsection{} Der Auftragsverarbeiter bestätigt, dass ihm die einschlägigen datenschutzrechtlichen
+Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer
+Datenverarbeitung und gewährleistet, dass er seinen Pflichten nach Art. 32 DSGVO
+nachkommt, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der
+technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit
+der Verarbeitung einzusetzen.
+\subsection{} Der Auftragsverarbeiter verarbeitet die Daten ausschließlich wie vertraglich
+vereinbart oder wie vom Auftraggeber angewiesen, es sei denn der
+Auftragsverarbeiter ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet.
+Sofern solche gesetzlichen Verpflichtungen für ihn bestehen, teilt der
+Auftragsverarbeiter diese dem Auftraggeber vor der Verarbeitung mit, es sei denn,
+die Mitteilung ist ihm gesetzlich verboten.
+\subsection{} Der Auftragsverarbeiter ist nicht befugt, die ihm überlassenen Daten an Dritte
+weiterzugeben, sofern dies nicht zur Erbringung der vereinbarten Leistungen
+unbedingt erforderlich ist. Kopien und Duplikate der Daten bedürfen der vorherigen
+Zustimmung des Auftraggebers. Hiervon ausgenommen sind Sicherungskopien,
+soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung
+erforderlich sind, sowie Daten, deren Speicherung im Hinblick auf die Einhaltung
+gesetzlicher Aufbewahrungspflichten erforderlich sind.
+\subsection{} Der Auftragsverarbeiter nennt dem Auftraggeber seinen Datenschutzbeauftragten
+als Ansprechpartner für im Rahmen dieses Vertrages anfallende Datenschutzfragen.
+Ein Wechsel dieser Kontaktperson wird dem Auftraggeber unverzüglich mitgeteilt.
+\subsection{} Der Auftragsverarbeiter verpflichtet sich bei der Datenverarbeitung das
+Datengeheimnis, das Sozialgeheimnis nach § 35 Abs. 1 SGB I sowie das
+Fernmeldegeheimnis nach § 88 TKG zu wahren, die bei der Datenverarbeitung
+beschäftigten Personen bei der Aufnahme ihrer Beschäftigung auf das
+Datengeheimnis zu verpflichten und sie entsprechend zu unterrichten. Die
+Verpflichtung gilt auch 5 Jahre nach Beendigung der AVV fort.\subsection{} Der Auftragsverarbeiter gewährleistet, dass es den mit der Verarbeitung der Daten
+des Auftraggebers befassten Mitarbeitern und anderen für den Auftragsverarbeiter
+tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten.
+Außerdem gewährleistet der Auftragsverarbeiter, dass sich die zur Verarbeitung der
+personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben
+oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese
+Vertraulichkeits- und Verschwiegenheitsverpflichtung besteht auch nach Beendigung
+des Hauptvertrages und der AVV fort.
+\subsection{} Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn ihm
+Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt
+werden oder in Fällen von Unregelmäßigkeiten bei der Auftragsverarbeitung,
+schwerwiegenden Betriebsstörungen und bei Verdacht auf Datenschutzverletzungen.
+\subsection{} Der Auftragsverarbeiter verpflichtet sich, den Auftraggeber nach Möglichkeit auf der
+Basis der ihm zur Verfügung stehenden Informationen mit geeigneten technischen
+und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur
+Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO
+genannten Rechte der betroffenen Person nachzukommen und die in Art. 32 bis 36
+DSGVO genannten Pflichten einzuhalten. Der Auftragsverarbeiter informiert den
+Auftraggeber außerdem unverzüglich über jegliche Kommunikation der
+Aufsichtsbehörden (z.B. Anfragen, Mitteilung von Maßnahmen oder Auflagen)
+gegenüber dem Auftragsverarbeiter im Zusammenhang mit der Datenverarbeitung
+unter dieser AVV. Auskünfte an Dritte, auch an Aufsichtsbehörden, darf der
+Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch und in
+Abstimmung mit dem Auftraggeber erteilen. Zwingende gesetzliche Auskunfts- und
+Herausgabepflichten des Auftragsverarbeiters bleiben unberührt.
+
+\subsection{} Der Auftragsverarbeiter berichtigt, sperrt oder löscht die
+vertragsgegenständlichen Daten auf Weisung des Auftraggebers, wenn dies vom
+Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine
+entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der
+Auftragsverarbeiter die datenschutzkonforme Vernichtung von Datenträgern und
+sonstigen Materialien auf Grund einer Einzelbeauftragung auf Kosten des
+Auftraggebers oder gibt diese Datenträger an den Auftraggeber zurück.
+
+\subsection{} Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung
+durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung –
+hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte
+Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem
+Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger
+Zustimmung datenschutzgerecht löschen bzw. zu vernichten. Gleiches gilt für Test-
+und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
+Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen
+Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der
+jeweiligen Aufbewahrungsfristen (HGB, AO) über das Vertragsende hinausaufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber
+übergeben.
+
+\subsection{} Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene
+Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich
+der Auftragsverarbeiter im Rahmen seiner Möglichkeiten den Auftraggeber bei der
+Abwehr des Anspruchs zu unterstützen. Die Art und der Umfang darüber
+hinausgehender Unterstützungsmaßnahmen, wie z. B. die Beauftragung eines
+Dritten, sowie die Übernahme von dadurch beim Auftragnehmer entstehenden
+Kosten werden vorher zwischen den Parteien abgestimmt.
+
+\subsection{} Der Auftragsverarbeiter weist dem Auftraggeber die Einhaltung der in diesem
+Vertrag niedergelegten datenschutzrechtlichen Pflichten mit geeigneten Mitteln
+nach. Er erstellt und führt ein Verzeichnis zu allen Kategorien der von ihm im Auftrag
+des Auftraggebers durchgeführten Tätigkeiten mit den Pflichtvorgaben des Art. 32
+Abs. 2 DSGVO.
+
+\section{Anfragen betroffener Personen}
+\subsection{} Die Rechte der durch die Datenverarbeitung beim Auftragsverarbeiter betroffenen
+Personen sind gegenüber dem Auftraggeber geltend zu machen. Er ist verantwortlich
+für die Wahrung dieser Rechte. Wendet sich eine betroffene Person mit Forderungen
+zur Berechtigung, Löschung oder Auskunft an den Auftragsverarbeiter, verweist
+dieser die betroffene Person an den Auftraggeber, sofern eine Zuordnung an den
+Auftraggeber anhand der Angaben der betroffenen Person möglich ist. Der
+Auftragsverarbeiter leitet den Antrag der betroffenen Person unverzüglich an den
+Auftraggeber weiter.
+
+\subsection{} Der Auftragsverarbeiter haftet nicht, wenn das Ersuchen der betroffenen Person vom
+Auftraggeber schuldhaft nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
+
+\section{Technische und Organisatorische Maßnahmen}
+\subsection{} Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche
+Organisation so gestalten, dass sie den besonderen Anforderungen des
+Datenschutzes gerecht wird. Er wird technische und organisatorischen Maßnahmen
+treffen, die den Anforderungen der EU-Datenschutzgrundverordnung (Art. 32
+DSGVO) genügen. Der Auftragsverarbeiter hat technische und organisatorische
+Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und
+Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
+dauerhaft sicherstellen. Die Datenverarbeitung findet insbesondere auf IT-Systemen
+statt, die diesen Anforderungen entsprechen. In diesem Rahmen gewährleistet der
+Auftragsverarbeiter dem Auftraggeber, die Umsetzung aller Maßnahmen gemäß
+Anhang 1 dieser AVV.
+\subsection{} Die für den Schutz der verarbeiteten Daten maßgeblichen Entscheidungen im
+Hinblick auf Maßnahmen, Verfahren und Organisation werden dem Auftraggeber
+vorab mitgeteilt.
+\subsection{} Die Datensicherheitsmaßnahmen können der technischen und organisatorischen
+Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte
+Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit
+erforderliche Änderungen hat der Auftragsverarbeiter unverzüglich umzusetzen.
+Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche
+Änderungen sind zwischen den Parteien zu vereinbaren.
+
+\section{Subunternehmer}
+\subsection{} Der Auftragsgeber stimmt einer Beauftragung von Subunternehmern zu.
+\subsection{} Ein zustimmungsbedürftiges Subunternehmerverhältnis liegt vor, wenn der
+Auftragsverarbeiter weitere Auftragsverarbeiter mit der ganzen oder einer
+Teilleistung der im Hauptvertrag vereinbarten Leistung beauftragt, auf die
+vorliegende AVV Anwendung findet.
+\subsection{} Der Auftraggeber stimmt der Beauftragung der in Anhang 2 der vorliegenden AVV
+genannten Unterauftragnehmer zu unter der Bedingung einer
+vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO. Weiterhin
+informiert der Auftragsverarbeiter über die bestehenden
+Unterbeauftragungsverhältnisse auf der folgenden Webseite
+\href{https://github.com/helpwave}{github.com/helpwave}. Bei einer Änderung der Subunternehmer
+informiert der Auftragsverarbeiter den Auftraggeber per E-Mail. Der
+Auftragsverarbeiter gewährleistet, dass bei einer Änderung der
+Unterbeauftragungsverhältnisse das Datenschutzniveau mindestens gehalten, wenn
+nicht sogar verbessert wird. Der Auftraggeber kann der Änderung innerhalb einer
+Frist von zwei Wochen aus wichtigem Grund gegenüber dem Auftragsverarbeiter
+widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur
+Änderung als erteilt.
+\subsection{} Subunternehmer gelten nicht als „Dritte“ im Sinne dieser Vereinbarung.
+\subsection{} Die Datenübertragung zum Subunternehmer erfolgt per SSL Verschlüsselung.
+\subsection{} Die Verarbeitung der Daten beim Subunternehmer erfolgt ausschließlich zur
+Erfüllung der vom Auftraggeber beauftragten Leistung.
+\subsection{} Der Auftragsverarbeiter hat die vertraglichen Vereinbarungen mit den
+Subunternehmern so zu gestalten, dass sie den Datenschutzbestimmungen im
+Vertragsverhältnis zwischen Auftraggeber und Auftragsverarbeiter entsprechen. Der
+Auftraggeber behält sich das Recht vor, die Einhaltung dieser Bestimmungen
+regelmäßig zu kontrollieren.\subsection{} Bei der Unterbeauftragung sind dem Auftraggeber Kontroll- und Überprüfungsrechte
+entsprechend dieser Vereinbarung und des Art. 32 DSGVO beim Subunternehmer
+einzuräumen. Dies umfasst auch das Recht des Auftraggebers, vom
+Auftragsverarbeiter auf schriftliche Anforderung Auskunft über den wesentlichen
+Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im
+Subunternehmerverhältnis, erforderlichenfalls durch Einsicht in die relevanten
+Vertragsunterlagen, zu erhalten.
+\subsection{} Die Aufwände (Kosten), die eine solche Kontrolle verursachen, werden, soweit sie
+vier Zeitstunden übersteigen und nichts anderes vereinbart wurde, vom
+Auftraggeber getragen und mit einem Stundensatz von 97,50 € netto an helpwave
+vergütet. Art und Weise der Kontrollmaßnahmen beim Subunternehmer sowie deren
+Umfang und der zu erwartende Aufwand (Kosten) ist vorab mit dem
+Auftragsverarbeiter gesondert zu verabreden.
+\subsection{} Soweit der Auftragsverarbeiter zur Erfüllung der Vertragspflichten aus dem
+Hauptvertrag mit dem Auftraggeber sich den Leistungen beim Hosting von der
+Deutschen Telekom oder Hetzner bedient, macht sich der Auftragsverarbeiter die
+seitens Hetzner oder der Deutschen Telekom getroffenen technischen und
+organisatorischen Maßnahmen gem. Art. 32 DSGVO zu eigen. Die Kontrollrechte des
+Auftraggebers hierzu richten sich nach § 2 der AVV.
+
+\section{Vertragsdauer und Kündigung}
+\subsection{} Die Laufzeit dieser AVV richtet sich nach der Laufzeit des Hauptvertrages, sofern sich
+aus den Bestimmungen dieser AVV nicht darüber hinausgehende Verpflichtungen
+ergeben.
+\subsection{} Es ist den Parteien bewusst, dass ohne Vorliegen eines gültigen AV-Vertrages z. B. bei
+Beendigung des vorliegenden Vertragsverhältnisses, keine (weitere)
+Auftragsverarbeitung durchgeführt werden darf.
+\subsection{} Beide Parteien können die AVV mit einer Frist von 1 (einem) Monat kündigen.
+\subsection{} Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
+Der Auftraggeber kann diese AVV insbesondere dann außerordentlich und ohne
+Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des
+Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieser
+AVV vorliegt.
+\subsection{} Die Kündigung muss schriftlich erfolgen.
+\section{Haftung}
+Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der
+in Art. 82 DS-GVO getroffenen Regelung.
+\section{Sonstiges}
+\subsection{} Soweit diese Vereinbarung vor dem 25.05.2018 und damit vor dem Wirksamwerden
+der DSGVO abgeschlossen wurde, sind sich die Parteien einig, dass bis zu diesem
+Zeitpunkt das jeweils national geltende Datenschutzrecht entsprechend anzuwenden
+ist.
+\subsection{} Sollte das Eigentum des Auftraggebers beim Auftragsverarbeiter durch Maßnahmen
+Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder
+Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der
+Auftragsverarbeiter den Auftraggeber unverzüglich zu verständigen. Der
+Auftragsverarbeiter wird alle in diesem Zusammenhang Verantwortlichen
+unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten
+ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der EU-
+Datenschutzgrundverordnung liegen.
+\subsection{} Nebenabreden sind nicht getroffen worden. Änderungen und Ergänzungen dieser
+AVV und all ihrer Bestandteile bedürfen der Schriftform. Dies gilt auch für die
+Abänderung des Schriftformerfordernisses selbst.
+\subsection{} Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der
+verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
+\subsection{} Es gilt deutsches Recht.
+\subsection{} Gerichtsstand ist Aachen.
+\subsection{} Sollten einzelne Teile dieser AVV unwirksam sein oder werden, so berührt dies die
+Wirksamkeit dieser AVV im Übrigen nicht.
+
+\newpage
+\appendix
+
+\begin{center}
+	\Huge Technische und organisatorische Maßnahmen (TOM) \\
+	\Large i.S.d. Art. 32 DSGVO \\
+	\small Stand: \today
+\end{center}
+
+Die Anwendungsdaten werden in zwei verschiedenen Räumlichkeiten verarbeitet, im Büro
+der helpwave GmbH (im Folgenden „helpwave“) und in von Unterauftragnehmern
+zur Verfügung gestellten Rechenzentren. helpwave nutzt für den Betrieb der datenhaltenden
+Server das Rechenzentrum der Open Telekom Cloud der Telekom Deutschland GmbH (im
+Folgenden „Deutsche Telekom“), die Unterauftragnehmer von helpwave ist. Für einzelne
+Anwendungen werden zudem Abschottungssysteme (Gatekeeper oder Load-Balancer)
+eingesetzt, um den Standort der eigentlichen Datenhaltungssysteme zu verschleiern. Hierfür
+werden Systeme im Rechenzentrum der Firma Hetzner eingesetzt. Diese leiten die Daten
+jedoch nur in verschlüsselter Form (SSL) an die Systeme bei der Deutschen Telekom weiter.
+Nachfolgende Ausführungen zum Bereich „Rechenzentrum“ beziehen sich immer sowohl auf
+das Rechenzentrum der Deutschen Telekom, als auch auf das bei Hetzner. Die
+Unterauftragnehmer sind vertraglich gebunden und werden entsprechend der Vereinbarung
+zur Auftragsvereinbarung durch helpwave geprüft.
+\\
+
+Im Folgenden wird daher – sofern erforderlich bzw. zielführend – zwischen Maßnahmen für
+die Rechenzentren und für die Büroräume von helpwave unterschieden.
+\\
+
+Weitere Informationen zu den Technisch-organisatorischen Maßnahmen der
+Rechenzentrumsbetreiber finden Sie hier: \\
+\begin{itemize}
+	\item Deutsche Telekom: \href{https://www.telekom.com/resource/blob/532978/d65e16421b37487e249f0ce4980117ad/dl-tom-1-data.pdf}{www.telekom.com} \\
+	\item Hetzner: \href{https://www.hetzner.com/AV/TOM.pdf}{www.hetzner.com}\\
+\end{itemize}
+\section{Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)}
+\subsection{Zutrittskontrolle}
+\subsubsection{Rechenzentrum}
+Die Rechenzentren der von helpwave beauftragten Unterauftragnehmer erfüllen mindestens
+folgende Anforderungen an:
+\begin{itemize}
+	\item Alarmüberwachung
+	\item Personenüberprüfung und -identifikation bei Zutritt
+	\item Zutrittsprotokollierung
+	\item Kameraüberwachung sowie Bewegungs- und Einbruchsmelder
+	\item Personenkontrolle und -überwachung durch Vor-Ort-Personal
+\end{itemize}
+Diese Sicherheitsmaßnahmen werden durch die Unterauftragnehmer rund um die Uhr an sieben Tagen pro Woche sichergestellt.
+
+\subsubsection{Buroräume}
+Die Büroräume der helpwave GmbH liegen im 3. OG in der Jülicher Straße 209d in 52070 Aachen. In diesen Büroräumen befinden sich keine stationären Datenverarbeitungsanlagen, die zur Verarbeitung von Daten der Kunden von helpwave genutzt werden. Die Verarbeitung
+erfolgt ausschließlich auf mobilen Geräten mit besonderen Schutzmechanismen und nur
+durch autorisierte Personen.
+Der Zugang zu den Büroräumen ist durch folgende Maßnahmen geschützt:
+\begin{itemize}
+	\item Schließsystem mit Sicherheitsschlössern
+	\item Dokumentierte Aus- und Rückgabe der Schlüssel
+\end{itemize}
+\subsection{Zugangskontrolle}
+Für die Rechner der Mitarbeitenden ebenso wie für eigene Server (bei der Deutschen
+Telekom/Hetzner) unternimmt helpwave umfangreiche Maßnahmen, um die Nutzung durch
+Unbefugte zu verhindern:
+\begin{itemize}
+	\item Alle nicht-öffentlichen Dienste sind grundsätzlich durch individuelle
+	      Benutzername/Passwort-Kombinationen geschützt.
+	\item Die Anmeldung bei kritischen Diensten ist entweder
+	      \begin{itemize}
+		      \item ausschließlich mit einem Benutzernamen und einem Sicherheitszertifikat oder mit
+		      \item Benutzername, Passwort und Zwei-Faktor-Authentifizierung möglich, d.h. unser Verwendung eines zusätzlichen, getrennt generierten Einmaltokens. und erfolgt ausschließlich über gesicherte Verbindungen (bspw. SSH-Tunnel).
+	      \end{itemize}
+	\item Ein externer Zugang zum Büronetzwerk ist nicht möglich.
+	\item Sofern die Mitarbeitenden firmeneigene Smartphones nutzen, sind diese durch
+	      Vollverschlüsselung geschützt und können bei Diebstahl oder Verlust aus der Ferne
+	      gelöscht werden.
+	\item Die Daten auf den Rechnern der Mitarbeitenden sind vollständig verschlüsselt und
+	      nur nach Anmeldung durch den Nutzer entschlüsselbar, um einen Zugriff auf die
+	      Daten bei Verlust oder Diebstahl des Rechners zu verhindern.
+	\item Die Festplatten der datenhaltenden Systeme im Rechenzentrum der Deutschen
+	      Telekom sind verschlüsselt.
+	\item Kundendaten, die sich auf den Geräten der Mitarbeiter zum Zwecke der
+	      Vertragserfüllung befinden, sind in einem zusätzlich verschlüsselten Dateicontainer
+	      gespeichert.
+	\item Durch den ausschließlichen Einsatz von Apple-Computern, auf denen zeitnah nach
+	      einer Veröffentlichung alle zur Verfügung gestellten Sicherheitsupdates installiert
+	      werden, reduzieren sich die Angriffsmöglichkeiten auf die Systeme deutlich.
+	\item Systeme sind von außen nur über die technisch notwendigen Ports zugreifbar.
+	      Verwaltungsports werden ausschließlich für die Zeit der Verwaltung (z. B. Wartung)
+	      freigeschaltet.
+\end{itemize}
+\subsection{Zugriffskontrolle}
+helpwave stellt sicher, dass Personen nur entsprechend der ihnen eingeräumten
+Zugriffsberechtigung auf IT-Systeme und die darauf gespeicherten Daten zugreifen können.
+Dies wird durch folgende Maßnahmen erreicht:
+\begin{itemize}
+	\item Benutzer und ihre Zugriffsrechte werden zentral verwaltet, aktiviert und gesperrt.
+	\item Ein Zugriff auf die datenhaltenden Systeme ist nur durch die Geschäftsführung möglich.
+	\item Die Verwaltung der Nutzer für sicherheits- und datenschutzrelevante Systeme ist nur für die Geschäftsführung möglich.
+	\item Kennwörter sind mindestens 12 Zeichen lang, Passwörter für datenhaltende Systeme
+	\item mindestens 30 Zeichen.
+	\item Kennwörter werden ausschließlich mit einem Randomisierer erzeugt, damit keine Wörterbuch-Attacken auf diese möglich sind.
+	\item Kennwörter werden mindestens alle 3 Monate geändert.
+	\item Für die ordnungsgemäße Vernichtung von Dokumenten und optischen Datenträgern wird ein Aktenvernichter genutzt.
+	\item Zugriffe auf datenhaltende Systeme im Rechenzentrum werden durch das
+	      Rechenzentrum protokolliert und automatisiert an die Geschäftsführung von
+	      helpwave mitgeteilt. Das beinhaltet den reinen Zugriff ebenso wie Änderung von
+	      Firewall-Konfigurationen, wie bspw. das Aktivieren und Deaktivieren von
+	      Verwaltungsports auf einzelnen Systemen.
+\end{itemize}
+\subsection{Trennungskontrolle}
+Mit den folgenden Maßnahmen realisiert helpwave die Trennung der Daten verschiedener Kunden bzw. Kundenprojekte:
+\begin{itemize}
+	\item Kundenprojekte werden, sofern erforderlich, auf jeweils eigenen Servern gespeichert
+	\item Produktiv- und Testsysteme werden getrennt betrieben
+	\item Alle angebotenen Produkte sind mandantenfähig, dass heißt, innerhalb einer einzelnen Anwendung erfolgt eine logische Trennung der Mandanten.
+\end{itemize}
+\subsection{Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)}
+helpwave gewährleistet, dass Datensätze bei der Datenübermittlung an Dritte
+pseudonymisiert und verschlüsselt werden.
+\section{Integrität (Art. 32 Abs. 1 lit. b DS-GVO)}
+\subsection{Weitergabekontrolle}
+Daten zwischen Auftraggeber und Auftragnehmer werden, sofern nicht anders vom
+Auftraggeber gewünscht, ausschließlich elektronisch übertragen, d. h. ein Datentransport
+per Datenträger findet nicht statt. Sofern auf Wunsch des Auftraggebers ein Transport per
+Datenträger stattfindet, wird dieser vollständig verschlüsselt und das Passwort für die
+Entschlüsselung auf einem anderen Transportweg (bspw. persönlich oder per Telefon)
+mitgeteilt.
+Dementsprechend werden folgende Maßnahmen zur Sicherung der personenbezogenen
+Daten bei der Übertragung vorgenommen:
+\begin{itemize}
+	\item Daten werden ausschließlich transport-verschlüsselt (per SSH-, SSL-, TLS- oder VPN-Verbindung) übertragen.
+	\item Falls Anwendungsdaten zur Demonstration von Funktionen der Anwendung benötigt werden (sogenannte Test-Daten), werden diese vor der Übertragung auf das Testsystem pseudonymisiert.
+	\item Zugriffe auf die Systeme (außer über die Anwendung selbst) werden protokolliert.
+\end{itemize}
+
+\subsection{Eingabekontrolle}
+Folgende Maßnahmen gewährleisten die Überprüfung und Feststellung, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind:
+\begin{itemize}
+	\item Im Rahmen der Anwendungsentwicklung und des Betriebs der Anwendung erfolgt keine Eingabe oder Änderung von Anwendungsdaten durch helpwave. Dies obliegt allein dem Auftraggeber.
+	\item Das Löschen von Datensicherungsdateien im Rahmen des Betriebs erfolgt nach der vom Auftraggeber festgelegten Frist oder standardmäßig nach 14 Tagen.
+	\item Maßnahmen innerhalb der Anwendung, die die Nachvollziehbarkeit von Datenänderungen sicherstellt und Lösch- und Sperrfristen umsetzt, sind durch den Auftraggeber im Rahmen der Zusammenarbeit zu beauftragen oder – sofern technisch möglich – selbst in der Anwendung zu aktivieren.
+\end{itemize}
+
+\section{Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)}
+\subsection{Verfügbarkeitskontrolle}
+Die Verarbeitung personenbezogener Daten erfolgt im Rechenzentrum der Deutschen
+Telekom und in den Büroräumen von helpwave. Bei Hetzner erfolgt aus Sicherheitsgründen eine Durchleitung der Daten zur Deutschen Telekom, es werden hier aber keine Daten gespeichert. Dementsprechend sind beim Schutz personenbezogener Daten vor zufälliger Zerstörung oder Verlust die Maßnahmen für die beiden Standorte (Deutsche Telekom/Büroräume helpwave) zu unterscheiden.
+\subsubsection{Rechenzentrum}
+Die Deutsche Telekom/Hetzner sind für den Serverbetrieb im Rechenzentrum vertraglich
+verpflichtet, mindestens mit den folgenden Maßnahmen die Verfügbarkeit sicherzustellen:
+\begin{itemize}
+	\item Betrieb einer unterbrechungsfreien Stromversorgung
+	\item Temperatur- Feuchtigkeits- und Klimaüberwachung
+	\item Feuer- und Rauchmeldeanlagen
+	\item Automatische Löschanlagen
+	\item Vorhalten von Austauschgeräten zur schnellen Wiederherstellung bei Defekten
+\end{itemize}
+
+\subsection{Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)}
+\subsubsection{Rechenzentrum}
+Daten im Rechenzentrum der Deutschen Telekom werden zum Schutz vor unbeabsichtigtem
+Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung wie folgt gesichert:
+\begin{itemize}
+	\item Nächtliche Sicherung aller Daten als Festplattenabbild (die Festplatten sind software-verschlüsselt).
+	\item Backups werden 14 Tage rückwirkend vorgehalten.
+	\item Nach Ablauf der Zeit werden die Daten unwiderruflich gelöscht, sofern vom Auftraggeber nichts anderes gewünscht wird.
+	\item Datensicherungen befinden sich auf vom normalen Betrieb getrennten Systemen.
+	\item Datensicherungen von datenhaltenden Festplatten sind verschlüsselt.
+	\item Die Sicherung der Systeme erfolgt stets vollständig, um eine schnelle Wiederherstellung zu ermöglichen.
+	\item Der vom normalen Betrieb getrennte Speicher wird mit denselben Vorkehrungen gesichert wie die Infrastruktur des normalen Betriebs: Selektive Zugriffe nur für notwendige Personen (Geschäftsführung). Erst bei einer Wiederherstellung der Daten wird die Sicherung außerhalb des Sicherungsspeichers wieder entschlüsselt.
+	\item Die Übertragung der Sicherung zum speichernden System selbst erfolgt ebenfalls über eine verschlüsselte Verbindung. Die tägliche Datensicherung wird überwacht. Bei einem Fehler werden qualifizierte Mitarbeiter (Geschäftsführung) umgehend benachrichtigt. Um der Speicherbegrenzung gerecht zu werden, werden vor Inbetriebnahme einer wiederhergestellten Datensicherung die für personenbezogene Daten relevanten, automatisierten Sperr- und Löschregeln auf die Daten angewandt. Hierdurch wir sichergestellt, dass Daten, welche zwischenzeitlich gelöscht wurden aber in der Sicherung aber noch vorhanden waren, erneut gelöscht werden (Artikel 5 DSGVO).
+\end{itemize}
+
+\subsubsection{Büroräume}
+\begin{itemize}
+	\item Daten, die sich auf Geräten innerhalb der Räumlichkeiten von helpwave oder auch
+	      außerhalb auf mobilen Geräten der Geschäftsführung befinden, werden mindestens
+	      2 Mal wöchentlich gesichert.
+	\item Die Sicherung erfolgt in verschlüsselter Form auf externen Datenträgern, die separat
+	      gelagert werden.
+	\item Der Zugriff auf die Sicherungen ist nur mit einem Passwort möglich.
+	\item Daten, die gesichert werden, umfassen keine Daten, die der Auftraggeber in die
+	      bereitgestellten Anwendungen eingegeben hat, sondern ausschließlich Daten zu
+	      Verträgen zwischen Auftraggeber und Auftragnehmer und zugehörigen Daten, die für
+	      die Erfüllung der Verträge erforderlich sind (z. B. Daten zu Supportanfragen).
+\end{itemize}
+
+\section{Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)}
+Um zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur
+entsprechend der Weisungen des Auftraggebers verarbeitet werden, unternimmt helpwave
+u.a. die folgenden Maßnahmen:
+\begin{itemize}
+	\item Überprüfung vorhandener Zertifizierungen von Unterauftragnehmern (speziell
+	      gemäß ISO 27001)
+	\item Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung oder von EU-
+	      Standardvertragsklauseln
+	\item Überprüfen von sonstigen Dokumentationen und Rechercheergebnissen, die eine
+	      Beurteilung der Zuverlässigkeit eines Anbieters ermöglichen
+	\item Kontrolle der Vertragsausführung
+\end{itemize}
+
+\section{Datenschutz-Management (Art. 32 Abs. 4 DS-GVO)}
+helpwave bemüht sich grundsätzlich, nur Mitgliedern der Geschäftsführung den Zugang zu
+personenbezogenen Daten zu ermöglichen. Sofern jedoch in Ausnahmefällen die Mitarbeit
+anderer Personen oder freier Mitarbeiter (die ggf. Zugang zu personenbezogenen Daten
+haben) erforderlich ist, gewährleistet helpwave, dass diese die Daten nur auf Anweisung des
+Verantwortlichen bzw. des Auftragverarbeiters verarbeiten und unternimmt hierzu folgende
+Maßnahmen:
+\begin{itemize}
+	\item Aufklärung über die Rechte und Pflichten im Umgang mit personenbezogenen Daten.
+	\item Abschluss einer Vertraulichkeitsverpflichtung zwischen helpwave und den Personen.
+	\item Regelmäßige Schulungen im Umgang mit personenbezogenen Daten.
+\end{itemize}
+
+\section{Incident-Response-Management}
+Zum Schutz vor und im Falle von Sicherheitsverletzungen unternimmt helpwave die
+folgenden Maßnahmen:
+\begin{itemize}
+	\item Alle Systeme sind durch eine Firewall geschützt, die von der Deutschen Telekom bzw.
+	      Hetzner zur Verfügung gestellt werden.
+	\item Zudem werden die Systeme durch ein Anti-DDoS-System vor sog. Denial-Of-Service-
+	      Attacken geschützt.
+	\item Zugriffe auf Verwaltungsports werden umgehend an die Geschäftsführung von
+	      helpwave gemeldet.
+	\item Sicherheitsverletzungen werden umgehend an Anwählte und Experten
+	      weitergeleitet, die im Rahmen einer extra für diesen Fall abgeschlossenen
+	      Versicherung durch die Provinzial in Münster (Cyber-Police) zur Verfügung gestellt
+	      werden. Im Rahmen der Versicherung werden gemäß der Vorgaben der DS-GVO
+	      entsprechende, kurzfristige Meldungen an die Aufsichtsbehörden durchgeführt und
+	      Anlaufstellen für betroffene Kunden eingerichtet. Zudem werden forensische
+	      Dienstleister mit der Untersuchung des Vorfalls beauftragt. Entsprechende weitere,
+	      beratende Personen (bspw. der uns in Datenschutzfragen beratende Anwalt Herr Dr.
+	      Eduard Wessel, Münster) werden informiert und konsultiert.
+	\item Im Anschluss an einen Vorfall wird dieser im Rahmen eines formalen Prozesses
+	      dokumentiert und betroffenen Kunden werden informiert.
+	      7. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
+	      helpwave stellt eine datenschutzfreundliche Technikgestaltung wie folgt sicher:
+	\item Die über das Kommunikationssystems von helpwave geführten Chatverläufe erfolgen
+	      sind stets verschlüsselt (Zwei-Wege-Kommunikation).
+	\item Ein Rollenkonzeption zur Einschränkung des Datenzugriffs und zu Beschränkung von
+	      Benutzerrechten ist eingerichtet worden.
+	      Darüber hinaus verwendet helpwave datenschutzfreundliche Voreinstellungen, die durch
+	      folgende Maßnahmen gewährleistet werden:
+	\item Im Rahmen des Kommunikationssystems von helpwave werden Chatverläufe
+	      automatisch verschlüsselt gespeichert.
+	\item Zugriffsrechte sind automatisch an die verschiedenen Benutzerrollen angepasst bzw.
+	      beschränkt.
+	\item Zugriffsrechte der Mitarbeiter von helpwave auf Endgeräte, die an das Netzwerk von
+	      helpwave angeschlossen sind, sind automatisch beschränkt. Alle Endgeräte sind
+	      verschlüsselt und können zudem nur mit Benutzername und Passwort genutzt
+	      werden.
+	\item Es können nur im Besitz von helpwave befindliche Endgeräte für die tägliche Arbeit
+	      und Vertragserfüllung genutzt werden.
+	\item Es werden ausschließlich Daten erhoben, die für die Zwecke der Vertragserfüllung
+	      oder den technischen Betrieb der zur Verfügung gestellten Anwendungen
+	      erforderlich sind („Datensparsamkeit“).
+\end{itemize}
+\section{Auftragskontrolle}
+Die Auftragskontrolle umfasst Maßnahmen, die gewährleisten, dass personenbezogene
+Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen verarbeitet
+werden können. Diese Maßnahmen umfassen bei helpwave:
+\begin{itemize}
+	\item Alle Mitarbeiter der helpwave sind angewiesen, nur nach den vereinbarten
+	      Vertragsinhalten zu arbeiten.
+	\item Alle bereitgestellten Daten verbleiben ausschließlich in der Verfügungsmacht der
+	      helpwave.
+	\item Weitergabe personenbezogener Daten erfolgt im Rahmen der
+	      datenschutzrechtlichen Bestimmungen.
+	\item Dienstleister der helpwave unterliegen einer laufenden Überprüfung gemäß
+	      Abschnitt 4.
+	\item Alle Mitarbeiter der helpwave, die mit personenbezogenen Daten aus dem Bereich
+	      der Auftraggeber in Kontakt kommen könnten, sind schriftlich auf die Einhaltung des
+	      Datenschutzes verpflichtet. Sie sind entsprechend belehrt und angewiesen, dass sie
+	      Arbeiten gemäß dem vorstehenden Absatz nur auf Anforderung des Auftraggebers
+	      durchführen dürfen.
+\end{itemize}
+
+\newpage
+
+\begin{center}
+	\Huge Subunternehmer der \\
+	helpwave GmbH \\
+	\vspace{1em}
+	\Large Stand: \today
+\end{center}
+
+\begin{longtable}{|l|l|}
+	\hline
+	\textbf{Provider}                                                            & \textbf{Kontaktinformation}                                                                                              \\ \hline
+	\endfirsthead
+	\hline
+	\textbf{Provider}                                                            & \textbf{Kontaktinformation}                                                                                              \\ \hline
+	\endhead
+	\hline
+	\endfoot
+	\hline
+	\endlastfoot
+	\begin{tabular}[c]{@{}l@{}}Hetzner\\ Hosting\end{tabular}                    &
+	\begin{tabular}[c]{@{}l@{}}https://www.hetzner.com\\ \\ Hetzner Online GmbH\\ Industriestr. 25\\ 91710 Gunzenhausen\\ \\ E-Mail: info@hetzner.com\end{tabular}                                          \\ \hline
+	\begin{tabular}[c]{@{}l@{}}Deutsche Telekom\\ Hosting\end{tabular}           &
+	\begin{tabular}[c]{@{}l@{}}https://cloud.telekom.de\\ \\ Telekom Deutschland GmbH\\ Landgrabenweg 151\\ D-53227 Bonn\\ \\ E-Mail: info@telekom.de\\ Telefon: 0228/181-0\end{tabular}                    \\ \hline
+	\begin{tabular}[c]{@{}l@{}}Fastbill\\ Buchhaltung \& Abrechnung\end{tabular} &
+	\begin{tabular}[c]{@{}l@{}}https://www.fastbill.com\\ \\ FastBill GmbH\\ Wildunger Str. 6\\ 60487 Frankfurt am Main\\ Telefon: +49 69 348 772 925\\ \\ E-Mail: support@fastbill.com\end{tabular}        \\ \hline
+	\begin{tabular}[c]{@{}l@{}}Simple-Fax\\ Faxversand\end{tabular}              &
+	\begin{tabular}[c]{@{}l@{}}https://simple-fax.de/\\ \\ simple Communication GmbH\\ Salzdahlumer Str. 196\\ 38126 Braunschweig\\ \\ E: info@simple-communication.de\\ T: +49 531 490 590 00\end{tabular} \\ \hline
+	\begin{tabular}[c]{@{}l@{}}Onlinebrief24.de\\ ePost-Validierung\end{tabular} &
+	\begin{tabular}[c]{@{}l@{}}https://www.onlinebrief24.de/\\ \\ letterei.de Postdienste GmbH\\ Frankfurter Str. 74\\ 64521 Groß-Gerau\\ 06152 / 9 98 98 - 24\\ \\ support@onlinebrief24.de\end{tabular}   \\ \hline
+	\begin{tabular}[c]{@{}l@{}}Apple\\ Push-Dienst\end{tabular}                  &
+	\begin{tabular}[c]{@{}l@{}}https://www.apple.com\\ \\ Apple\\ One Apple Park Way\\ Cupertino, CA 95014\\ \\ \\ +1 (408) 996–1010\end{tabular}                                                           \\ \hline
+	\begin{tabular}[c]{@{}l@{}}Google\\ Push-Dienst\end{tabular}                 &
+	\begin{tabular}[c]{@{}l@{}}Google LLC\\ 1600 Amphitheatre Parkway\\ Mountain View, CA 94043\\ USA\end{tabular}                                                                                          \\ \hline
+	\begin{tabular}[c]{@{}l@{}}LOX24\\ SMS Versand\end{tabular}                  &
+	\begin{tabular}[c]{@{}l@{}}https://www.lox24.eu\\ \\ \\ LOX24 GmbH\\ Seestraße 109\\ D-13353 Berlin\\ \\ Telefon: +49 30 609 893 11\end{tabular}                                                        \\
+\end{longtable}
+
+\end{document}