Auflistung der beauftragten Dienstleistungen

Verarbeitung der personenbezogenen DatenSoftwareHardware
beauftragte DienstleistungElefant®
(Praxissoftware)		RehaCom®
Produktfamilie		PraxisProtect (Firewall)Praxis PC
(Managed Workplace)
Gegenstand der DienstleistungTelefonischer Support und Support per Fernwartungstool im Rahmen der Praxissoftware Elefant®Telefonischer Support und Support per Fernwartungstool im Rahmen der TrainingssoftwareWartung und Betrieb der Hardware für die Telematikinfrastruktur-Anbindung von PraxenTelefonischer Support und Support per Fernwartungstool im Rahmen des Managed Workplace Services (Elefant®)
Art und Zweck der VerarbeitungEntwicklung und Wartung des IT-SystemsEntwicklung und Wartung des IT-Systems Übermittlung der Daten zu AbrechnungszweckenProbleme mit der automatischen Datensicherung
Beantwortung von Nutzerfragen im 1st und 2nd Level Support Beantwortung von Nutzerfragen im 1st und 2nd Level SupportWartung des IT-Systems und Praxisnetzwerks
Unterstützung bei:

- der Installation der Anwendungssoftware Elefant®
- Problemen mit Schnittstellensoftware
- Problemen in der Nutzung des Produktes 		Unterstützung bei:

- der Installation der Trainingssoftware
- dem Anmeldevorgang
- Problemen in der Nutzung des Produktes
- Einrichtung vom Programm 		Wartung Endpoint Protection (Antivirenschutz)
Reparatur und Wartung der Datenbank auf dem IT-System des AuftraggebendenReparatur der Datenbank auf dem IT-System des Auftraggebenden
Art der personenbezogenen DatenPatientenliste und Inhalte der PatientenaktenPatientenliste und Inhalte der PatientenaktenName, Vorname und Versicherten Nr. von PatientenPatientenlisten und Inhalte der Patientenakten
Terminplan der PraxisTrainingsdaten des Patienten (Gesundheitsdaten)Terminplan der Praxis
Abrechnungsdaten und Statistiken der Praxis Abrechnungsdaten und Statistiken der Praxis
Adminpasswort (Superadmin Account)
Kategorien betroffener Personen- Therapeut bzw. Arzt
- Patienten
- Bezugspersonen des Patienten		- Therapeut bzw. Arzt
- Patienten
- Bezugspersonen des Patienten		- Therapeut bzw. Arzt
- Patienten
- Bezugspersonen des Patienten		- Therapeut bzw. Arzt
- Patienten
- Bezugspersonen des Patienten

Liste der beauftragten Unterauftragnehmer einschließlich der Verarbeitungsstandorte

Aktualisiert am 23.02.2026
Die aufgeführten IT-Dienstleister werden nur einzeln beauftragt

NameSitz der GesellschaftVerarbeitungsstandortPraxissoftware ElefantProtektor
Johannes LiedtkeBreite Straße 4, 37127 Dransfeldlokal im Firmensitz & bei Drittanbietern
(Cloud, AVV liegt vor)		AktivNicht aktiv
daten-strom. Medical-IT-Services e. K.Georg-Schaeffler-Str. 4, 42499 HückeswagenDeutschlandAktivNicht aktiv
Tecont GmbH LeipzigApelsteinallee 12-14, 04416 WachauDeutschlandAktivNicht aktiv
LOOMA GmbHKleiner Werder 10b, 39114 MagdeburgDeutschlandNicht aktivAktiv
ck sales Vertriebsgesellschaft mbHDorfstraße 69a, 39217 Schönebeck / OT RaniesDeutschlandAktivNicht aktiv
Research Industrial Systems Engineering (RISE) Forschungs-, Entwicklungs- und Großprojekteberatung GmbHConcorde Business Park F, 2320 Schwechat (Österreich)ÖsterreichNicht aktivAktiv
ITCOS GmbHPaul-Ecke-Str. 3, 39114 MagdeburgDeutschlandAktivAktiv
SAMHAMMER AGZur Kesselschmiede 3, 92637 WeidenDeutschlandAktivAktiv
HASOMED Tech GmbHPaul-Ecke-Str. 3, 39114 MagdeburgDeutschland (Amazon Web Services, Frankfurt, AVV liegt vor)AktivNicht aktiv

Zum Einsatz eines Cloud-Dienstleisters im Gesundheitswesen

Die Auftragsdatenverarbeitung findet unter den besonderen gesetzlichen Anforderungen für das Gesundheitswesen statt:

  • Zertifizierung nach ISO/IEC 27001 für “Entwicklung und Bereitstellung von webbasierten Softwarelösungen im Bereich des Gesundheitswesens und digitaler Gesundheitsanwendungen (DiGA)”
  • Berücksichtigung von § 393 SGB V – Cloud-Einsatz im Gesundheitswesen
  • Datenverarbeitende Stelle im Inland (Frankfurt)
  • C5-Testat für die datenverarbeitende Stelle liegt vor

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DS-GVO der HASOMED GmbH

Zweckbindung und Trennbarkeit
Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden: 

·         Logische Mandantentrennung (softwareseitig)

·         Berechtigungskonzept 

·         Trennung von Produktiv- und Testsystem 

 

Vertraulichkeit und Integrität 
Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters: 

Verschlüsselung

Die im Auftrag verarbeiteten Daten bzw. Datenträger werden in folgender Weise verschlüsselt:

·         Verschlüsselung mobiler Endgeräte (Smartphones, Laptops)

·         Verschlüsseltes Backup

·         verschlüsselte Datenübertragung

 

Zutrittskontrolle

Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Daten-verarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern: 

·         Alarmanlage 

·         Automatisches Zugangskontrollsystem

·         Chipkarten-/Transponder-Schließsystem

·         Manuelles Schließsystem 

·         Videoüberwachung der Zugänge 

·         Sicherheitsschlösser 

·         Schlüsselregelung (Schlüsselausgabe etc.) 

·         Personenkontrolle beim Pförtner / Empfang

·         Protokollierung der Besucher

·         Sorgfältige Auswahl von Reinigungspersonal

·         Sorgfältige Auswahl von Wachpersonal

·         Zutrittskonzept / Besucherregelung

 

Zugangskontrolle

Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern: 
·         Zuordnung von Benutzerrechten

·         Erstellen von Benutzerprofilen 

·         Passwortvergabe 

·         Passwort-Richtlinien (regelmäßige Änderung, Mindestlänge, Komplexität etc.)

·         Zwei-Faktor-Authentifizierung

·         Authentifikation mit Benutzername / Passwort

·         Zuordnung von Benutzerprofilen zu IT-Systemen 

·         physische Sicherung z.B. Gehäuseverriegelungen

·         Einsatz von VPN-Technologie bei der Übertragung von Daten

·         Verschlüsselung mobiler IT-Systeme

·         Verschlüsselung mobiler Datenträger

·         Verschlüsselung der Datensicherungssysteme 

·         Sperren externer Schnittstellen (USB etc.) 

·         Einsatz von Intrusion-Detection-Systemen 

·         Einsatz von Anti-Viren-Software 

·         Verschlüsselung von Datenträgern in Laptops / Notebooks 

·         Einsatz einer Hardware-Firewall 

·         Einsatz einer Software-Firewall 

 

Zugriffskontrolle

Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden 
können: 
·         Berechtigungskonzept Verschlüsselung von Datenträgern in Laptops / Notebooks

·         Verwaltung der Rechte durch Systemadministrator 

·         Anzahl der Administratoren ist auf das „Notwendigste“ reduziert 

·         Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel 

·         Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten 

·         Sichere Aufbewahrung von Datenträgern 

·         physische Löschung von Datenträgern vor Wiederverwendung 

·         physikalische Vernichtung von Datenträgern 

·         ordnungsgemäße Vernichtung von Datenträgern (DIN 66399) 

·         Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel) 

·         Protokollierung der Vernichtung 

·         Verschlüsselung von Datenträgern 

 

Eingabeprotokoll

Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind: 
·         Protokollierung der Eingabe, Änderung und Löschung von Daten 

·         Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts 

 

Auftragskontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können: 
·         Auswahl des Auftragsverarbeiters unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) 

·         schriftliche Weisungen an den Auftragsverarbeiter (z.B. durch Auftragsverarbeitungsvertrag) 

·         Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf das Datengeheimnis 

·         Benennung eines Datenschutzbeauftragten beim Auftragsverarbeiter 

·         Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags 

·         Sonstige: Regelmäßige Schulungen der Mitarbeiter zum Thema Datenschutz

 

Transport- bzw. Weitergabekontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können: 
·         Einsatz von VPN-Tunneln 

·         Verschlüsselung der E-Mail-Kommunikationswege via TLS 

·         Verschlüsselung physischer Datenträger bei Transport 

 

Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme

Folgende Maßnahmen gewährleisten, dass die eingesetzten Datenverarbeitungssysteme jederzeit einwandfrei funktionieren und personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind: 
·         Unterbrechungsfreie Stromversorgung (USV) 

·         Klimatisierung der Serverräume 

·         Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen 

·         Schutzsteckdosenleisten in Serverräumen 

·         Feuer- und Rauchmeldeanlagen in Serverräumen 

·         Feuerlöschgeräte in Serverräumen 

·         Data Loss Prevention (DLP)

·         Erstellen eines Backup- & Recoverykonzepts 

·         Testen von Datenwiederherstellung 

·         Erstellen eines Notfallplans 

·         Serverräume nicht unter sanitären Anlagen 

·         In Hochwassergebieten: Serverräume über der Wassergrenze 

·         belastbares Datensicherungs- und Wiederherstellungskonzept vorhanden