Eine webbasierte Einsatzführungssoftware, die speziell für Einsatzleiter im Rettungsdienst (ELRD) entwickelt wurde. Sie digitalisiert die gesamte taktische Führung und Dokumentation eines Einsatzes in Echtzeit — von der Alarmierung bis zum fertigen Protokoll.

Für wen ist TactixEMS geeignet?

TactixEMS richtet sich an Einsatzleiter Rettungsdienst (ELRD), Organisatorische Leiter (OrgL), Leitende Notärzte (LNA), Kreisbrandmeister, Hilfsorganisationen (DRK, ASB, JUH, MHD) und Katastrophenschutz-Einheiten.

Funktioniert TactixEMS offline?

Ja, TactixEMS funktioniert auch ohne Internetverbindung. Alle Daten werden lokal gespeichert und bei bestehender Verbindung synchronisiert – entscheidend bei Großschadenslagen mit instabiler Netzabdeckung.

Ist TactixEMS DSGVO-konform?

Ja, TactixEMS wurde vollständig DSGVO-konform entwickelt. Alle Patientendaten werden verschlüsselt auf deutschen Servern gespeichert. Auf Wunsch bieten wir auch On-Premise-Hosting an.

Gibt es eine kostenlose Testversion?

Ja, Sie können TactixEMS 30 Tage kostenlos und unverbindlich testen. Alle Funktionen sind freigeschaltet. Kontaktieren Sie uns für Ihren Testzugang.

Auftragsverarbeitungsvertrag

Name: TactixEMS
Author: KUGIS

Präambel

Dieser Auftragsverarbeitungsvertrag ("AVV") regelt die Verarbeitung personenbezogener Daten zwischen

Verantwortlicher (Auftraggeber): die Organisation, die einen kostenpflichtigen TactixEMS-Tarif (Organisation oder Enterprise) abgeschlossen hat — im Folgenden "Verantwortlicher" genannt

und

Auftragsverarbeiter:
KUGIS
Hannes Kugas
Erhard-Zethner-Weg 5
95336 Mainleus
Deutschland
E-Mail: info@kugis.io
im Folgenden "Auftragsverarbeiter" genannt

im Rahmen der Bereitstellung der Software TactixEMS. Er konkretisiert die Pflichten der Parteien aus Art. 28 DSGVO.

§ 1 Gegenstand und Dauer

(1) Gegenstand der Verarbeitung ist die Bereitstellung der Software TactixEMS zur digitalen Einsatzdokumentation, Patientenerfassung und Lagedarstellung.

(2) Die Verarbeitung erfolgt im Rahmen und für die Dauer des zwischen den Parteien bestehenden Hauptvertrags (Nutzungsvertrag bzw. Enterprise-Vertrag). Mit Beendigung des Hauptvertrags endet auch dieser AVV.

§ 2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung umfasst die Erhebung, Speicherung, Veränderung, Abfrage, Übermittlung im Rahmen der Synchronisation, Einschränkung, Löschung und Vernichtung personenbezogener Daten zum Zwecke der vom Verantwortlichen genutzten Software-Funktionen.

(2) Konkret werden Verarbeitungen vorgenommen, um:

Benutzerkonten der Mitarbeiter des Verantwortlichen zu verwalten
Einsatzprotokolle, Patientendaten und Lagedaten zu speichern
Synchronisation zwischen Endgeräten und Server zu ermöglichen
PDF-Exports und Berichte zu generieren
Zugriffsrechte zu prüfen (rollenbasierte Zugriffssteuerung)

§ 3 Art der Daten

Verarbeitet werden insbesondere folgende Datenkategorien:

Stammdaten der Mitarbeiter (Name, E-Mail, Rolle, Funkrufname)
Authentifizierungsdaten (Passwort-Hashes, Session-Token)
Nutzungsdaten (Login-Zeiten, durchgeführte Aktionen)
Einsatzdaten (Ort, Zeit, Stichwort, eingesetzte Mittel)
Pseudonymisierte Patientendaten (Alter, Geschlecht, Verletzungsmuster, Sichtungskategorie)
Vom Verantwortlichen ggf. eigenständig erfasste Freitext-Daten

Daten besonderer Kategorien gemäß Art. 9 DSGVO können im Einzelfall verarbeitet werden, soweit der Verantwortliche solche im Rahmen der Software (z. B. via Freitext) erfasst.

§ 4 Kategorien betroffener Personen

Mitarbeiter, Ehrenamtliche und Helfer des Verantwortlichen
Patientinnen und Patienten in Einsatzlagen (pseudonymisiert)
Sonstige am Einsatzgeschehen beteiligte Personen, soweit vom Verantwortlichen erfasst

§ 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
Mit der Verarbeitung befasste Personen zur Vertraulichkeit zu verpflichten
Geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO zu ergreifen — siehe § 9
Den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 12–22 DSGVO) zu unterstützen, soweit technisch und organisatorisch möglich
Den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32–36 DSGVO zu unterstützen (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung)
Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, an den Verantwortlichen zu melden
Einen Datenschutzbeauftragten zu benennen, sofern gesetzlich erforderlich

§ 6 Rechte des Verantwortlichen

(1) Der Verantwortliche behält sich das Recht vor, die Verarbeitung jederzeit schriftlich (auch per E-Mail) anzuweisen oder Weisungen zu ändern.

(2) Der Verantwortliche hat das Recht, sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überzeugen — durch Selbstauskunft des Auftragsverarbeiters oder, mit angemessener Vorankündigung von mindestens 14 Tagen und während üblicher Geschäftszeiten, vor Ort.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.

§ 7 Subunternehmer (Sub-Auftragsverarbeiter)

(1) Der Verantwortliche stimmt dem Einsatz folgender Sub-Auftragsverarbeiter zu:

Hostinger International Ltd. (Hosting der Anwendung und der Datenbank, Standort Frankfurt am Main, Deutschland)
Stripe Payments Europe Ltd. (Zahlungsabwicklung, Standort Dublin, Irland — nur bei kostenpflichtigen Self-Service-Tarifen)
Der für die Authentifizierung und transaktionale E-Mails verwendete SMTP-Anbieter

(2) Der Auftragsverarbeiter informiert den Verantwortlichen mit angemessener Vorankündigung von mindestens 30 Tagen über den geplanten Wechsel oder die Hinzunahme weiterer Sub-Auftragsverarbeiter. Der Verantwortliche kann der Beauftragung aus wichtigem Grund schriftlich widersprechen; in diesem Fall steht beiden Parteien ein Sonderkündigungsrecht zu.

(3) Der Auftragsverarbeiter verpflichtet die Sub-Auftragsverarbeiter zur Einhaltung der gleichen Datenschutzpflichten wie in diesem AVV.

§ 8 Drittlandtransfer

(1) Eine Verarbeitung der Einsatz- und Patientendaten findet ausschließlich auf Servern innerhalb des EWR statt (Hostinger Frankfurt).

(2) Bei Stripe kann es zur Übermittlung von Zahlungs- und Stammdaten an die Stripe Inc. (USA) kommen. Diese Übermittlung ist durch das EU-US Data Privacy Framework sowie ergänzende Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.

§ 9 Technisch-organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt insbesondere folgende Maßnahmen um:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle: Rechenzentrum mit physischer Zugangskontrolle (Hostinger Frankfurt)
Zugangskontrolle: Login mit E-Mail + Passwort, Passwort-Hashing mit bcrypt (kein Klartext)
Zugriffskontrolle: Rollenbasierte Berechtigungen, Trennung Org-Daten
Trennungskontrolle: Logische Trennung der Mandanten (Organisationen) auf Datenbank-Ebene

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Eingabekontrolle: Audit-Logs für Mutationen (User, Mission)
Weitergabekontrolle: TLS-Verschlüsselung sämtlicher Datenübertragungen

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Tägliche automatisierte Datenbank-Backups
Offline-Fähigkeit der Software (lokale Datenhaltung im Endgerät bei Verbindungsausfall)
Monitoring und Alerting auf Server-Ebene

Verfahren zur regelmäßigen Überprüfung

Regelmäßige Sicherheitsupdates der Plattform und Abhängigkeiten
Datenschutz-Management interne Dokumentation (Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO)

Der Auftragsverarbeiter passt die TOMs an den jeweiligen Stand der Technik an und wird den Verantwortlichen über wesentliche Änderungen informieren.

§ 10 Löschung und Rückgabe nach Vertragsende

(1) Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter sämtliche vom Verantwortlichen verarbeiteten Daten innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

(2) Auf Anforderung stellt der Auftragsverarbeiter dem Verantwortlichen vor Löschung die Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON oder CSV) zur Verfügung.

(3) Steuerlich relevante Vertragsdaten (Rechnungen) werden 10 Jahre gemäß § 147 AO aufbewahrt.

§ 11 Haftung und Schlussbestimmungen

(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den einschlägigen Bestimmungen des Hauptvertrags.

(2) Es gilt deutsches Recht. Gerichtsstand ist Mainleus, soweit der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.

(3) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(4) Änderungen dieses AVV bedürfen der Schriftform; das Schriftformerfordernis kann nur schriftlich abbedungen werden.

Annahme dieses AVV

Dieser AVV gilt zwischen dem Auftragsverarbeiter und dem Verantwortlichen mit dem Vertragsschluss des kostenpflichtigen Organisations- oder Enterprise-Tarifs als vereinbart.

Bestandskunden mit individuellem Vertrag (Enterprise) erhalten diesen AVV einmalig zur Gegenzeichnung. Eine ausdrückliche Annahme erfolgt durch Unterzeichnung der entsprechenden Anlage zum Hauptvertrag oder durch elektronische Bestätigung per E-Mail.

Eine PDF-Druckfassung dieses Dokuments stellen wir auf Anfrage zur Verfügung: info@kugis.io.