• Keine Ergebnisse gefunden

Vereinbarung über Datenverarbeitung im Auftrag. (nachfolgend als Auftragnehmer bezeichnet) Einleitung

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Vereinbarung über Datenverarbeitung im Auftrag. (nachfolgend als Auftragnehmer bezeichnet) Einleitung"

Copied!
6
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 6 Seite )

Volltext

(1)

- 1 -

Vereinbarung über Datenverarbeitung im Auftrag Zwischen

Name/Rechtsform ___________________________________

Adresse ____________________________________________ (nachfolgend als Auftraggeber bezeichnet) und der

Stiftung Gesundheit

Behringstraße 28 a, 22765 Hamburg (nachfolgend als Auftragnehmer bezeichnet)

Einleitung

Der Auftragnehmer stellt dem Auftraggeber eine Plattform zur Online-Terminbuchung zur Verfügung, mit welcher potentielle Patienten freie Termine des Auftraggebers einsehen und direkt Terminbuchungen vor- nehmen können. Der jeweilige Leistungsumfang bestimmt sich nach den auf den Internetseiten des Auftrag- nehmers unter www.arzt-auskunft-termin.de einsehbaren Beschreibungen.

Die Bestimmungen dieser Vereinbarung über Datenverarbeitung im Auftrag gelten für die Erhebung, Verar- beitung und Nutzung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Bereitstellung der Online-Terminbuchung. Diese Vereinbarung dient der Umsetzung der gesetz- lichen Vorgaben für die Auftragsdatenverarbeitung gemäß § 11 BDSG.

Allgemeine Bestimmungen

1.1 Der Auftraggeber ist als „Verantwortliche Stelle“ i.S.d. § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) für die Einhaltung des BDSG und anderer datenschutzrechtlicher Vorschriften sowie für die Gewährlei- stung der Wahrnehmung der Rechte der Betroffenen (§ 3 Abs. 1 BDSG) verantwortlich, § 11 Abs. 1 S. 1 BDSG.

1.2 Bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten wird der Auftragnehmer als Auftragsdatenverarbeiter für den Auftraggeber tätig und ist insoweit verpflichtet, die Daten ausschließ- lich zur Erbringung der vertraglich vereinbarten Leistungen und für Zwecke des Auftraggebers zu er- heben, zu verarbeiten oder zu nutzen und dabei gemäß § 11 Abs. 3 S. 1 BDSG den Weisungen von des Auftraggebers zu folgen. Eine Verarbeitung, Nutzung, Speicherung oder Weiterleitung dieser perso- nenbezogenen Daten für andere Zwecke ist dem Auftragnehmer untersagt.

1.3 Gegenstand des Auftrags ist die Bereitstellung und der Betrieb der Online-Terminbuchung durch den Auftragnehmer für den Auftraggeber.

An personenbezogenen Daten werden hierbei erhoben, verarbeitet oder genutzt:

- Terminauswahl - Vorname - Name

- Geburtsdatum - Straße

- PLZ/Ort - Telefon - E-Mail

- Bemerkungen

- Terminerinnerung per E-Mail

(2)

- 2 -

Kreis der Betroffenen:

• Internetnutzer, welche die Online-Terminbuchung zur Bereitstellung von Terminen mit dem Auftraggeber/dessen Personal nutzen

• Mitarbeiter und sonstiges Personal des Auftraggebers, soweit deren personenbezogene Daten zur Verwaltungszwecken aus anderen Gründen im Rahmen der Online-Terminbuchung verwen- det werden (beispielsweise E-Mail-Adressen als Kontaktdaten)

Pflichten des Auftragnehmers

2.1 Zum Schutz personenbezogener Daten vor Missbrauch und Verlust wird der Auftragnehmer die techni- schen und organisatorischen Vorkehrungen treffen, die gemäß § 9 BDSG und der zu dieser Vorschrift gehörigen Anlage gesetzlich vorgeschrieben und in der dieser Vereinbarung beigefügten Anlage „Tech- nische und Organisatorische Maßnahmen“ aufgeführt sind. Der Auftragnehmer ist berechtigt, diese Maßnahmen so fortzuentwickeln, dass sie dem Stand der Technik entsprechen. Insbesondere ist der Auftragnehmer berechtigt, bekannt werdende Sicherheitsrisiken mit zumutbaren Maßnahmen zu be- seitigen.

2.2 Der Auftragnehmer bestätigt und stellt sicher, dass die für die Durchführung des Auftrags eingesetzten Personen gemäß § 5 BDSG (Datengeheimnis) verpflichtet und in die maßgeblichen Bestimmungen zum Datenschutz eingewiesen worden sind.

2.3 Der Auftragnehmer darf Zugriffsberechtigungen zu personenbezogenen Daten, die er für den Auftrag- geber unter dieser Vereinbarung erhebt, verarbeitet oder nutzt und/oder zu Systemen, die zur Auf- tragsdatenverarbeitung für den Auftraggeber genutzt werden, nur an Personen vergeben, die mit der Durchführung des Auftrags unmittelbar befasst sind. Die Berechtigungen sind nur in dem für die Erfül- lung der jeweiligen Aufgaben erforderlichen Umfang zu vergeben.

2.4 Die Datenerhebung, -verarbeitung oder -nutzung darf grundsätzlich nur innerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) erfolgen, § 4b BDSG. Die Datenerhebung, -verarbeitung oder – nutzung in Staaten außerhalb des vorgenannten Bereichs („Drittstaaten“) bedarf einer ausdrücklichen Vereinbarung, § 4c BDSG, die in Schriftform zu erfolgen hat. Die Verarbeitung von Daten in Privatwoh- nungen ist untersagt.

2.5 Der Auftragnehmer hat den Auftraggeber unverzüglich darauf aufmerksam zu machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen das BDSG oder eine andere Vorschrift über den Datenschutz verstößt, § 11 Abs. 3 S. 2 BDSG

2.6 Der Auftragnehmer gewährleistet die ordnungsgemäße Durchführung der mit dem Auftraggeber in der Anlage „Technische und Organisatorische Maßnahmen“ zu dieser Vereinbarung vereinbarten, nach § 9 BDSG und der Anlage zu § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen. Die Einhaltung der technischen und organisatorischen Maßnahmen wird der Auftragnehmer bei Bedarf durch geeignete Nachweise, z.B. von seinem betrieblichen Datenschutzbeauftragten oder einer aner- kannten Wirtschaftsprüfungsgesellschaft, belegen. Die Aktualität der Nachweise darf im Regelfall 3 Jahre nicht überschreiten. Unabhängig davon räumt der Auftragnehmer dem Auftraggeber bezüglich der getroffenen Datenschutz- und Datensicherungsvorkehrungen ein Besichtigungs-, Einsichtnahme-, Auskunfts- und Kontrollrecht, nach vorheriger Abstimmung mit dem Auftragnehmer und während des- sen gewöhnlichen Geschäftszeiten, ein. Das vorgenannte Kontrollrecht umfasst auch die Berechtigung zum Betreten aller Räume des Auftragnehmers und seiner etwaig entsprechend eingeschalteten und vom Auftragnehmer entsprechend dieser Vereinbarung zu verpflichtenden Dienstleister und Subunter- nehmer, welche für die Datenverarbeitung relevant sind und zur Überprüfung der nach diesem Vertrag zu treffenden Maßnahmen. Im Übrigen wird der Auftragnehmer den jeweils benannten Mitarbeitern

(3)

- 3 -

des Auftraggebers bzw. der zuständigen Aufsichtsbehörden, die Prüfungen oder sonstige Maßnahmen gemäß BDSG vornehmen, den Zugang zu allen seinen Räumlichkeiten gestatten, sofern dies nach da- tenschutzrechtlichen Bestimmungen erforderlich ist, und seinen weiteren Pflichten gemäß § 38 BDSG nachkommen. Soweit Prüfungen oder Kontrollen durch den Auftraggeber angesetzt werden, steht dem Auftragnehmer ein Vergütungsanspruch auf Basis des hierfür erforderlichen Zeitaufwands zu. Die Ver- gütung beträgt: 90,00 Euro zuzüglich gesetzlicher Umsatzsteuer.

2.7 Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet wer- den, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Auf- tragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

2.8 Bei der Entwicklung, Pflege und Wartung von Software dürfen grundsätzlich keine personenbezogenen Daten, sondern lediglich anonymisierte Original- oder fiktive Testdaten verwendet werden.

2.9 Der Auftragnehmer wird nicht mehr zum Zweck der Bereitstellung der Online-Terminbuchung benötig- te personenbezogene Daten spätestens bei Vertragsende löschen (einschließlich der verfahrens- oder sicherheitstechnisch notwendigen oder sonstig etwaig existierenden Kopien) oder an Auftraggeber übermitteln. Das gleiche gilt auch für Test- und Ausschussmaterial, das bis zur Löschung oder Rück- gabe unter datenschutzgerechtem Verschluss zu halten ist. Gesetzliche Aufbewahrungspflichten (ins- besondere steuerrechtliche und handelsrechtliche Verpflichtungen) bleiben hiervon unberührt. Ver- tragsbezogene Daten (z.B. Ansprechpartner von des Auftraggebers), die zur Sicherung von Beweisin- teressen des Auftragnehmers erforderlich sind, dürfen bis zum Ablauf der gesetzlichen Aufbewah- rungsfrist bzw. bis zum Wegfall der Erforderlichkeit aufbewahrt werden.

Verstöße

3.1 Der Auftragnehmer ist verpflichtet, den Auftraggeber unaufgefordert und unverzüglich zu informieren, wenn personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmä- ßig zur Kenntnis gelangt sind („Datenschutzverletzung“) und Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen bestehen oder drohen (Selbstanzeigepflicht).

3.2 Der Auftragnehmer wird den Auftraggeber bei Unregelmäßigkeiten des Datenverarbeitungsablaufes, bei begründetem Verdacht der Verletzung von Vorschriften und vertraglichen Vereinbarungen zum Schutz personenbezogener Daten sowie bei Beanstandungen durch die Datenschutzaufsichtsbehörde informieren und die Abhilfemaßnahmen aufzuzeigen, soweit für den Auftraggeber erhobe- ne/verarbeitet/genutzt personenbezogene Daten betroffen sind. Dies gilt nicht, sofern ihm dies auf- grund einer behördlichen Vorgabe im Rahmen eines Ermittlungsverfahrens untersagt ist.

3.3 Sollten personenbezogene Daten, die der Auftragnehmer für den Auftraggeber erhebt, verarbeitet oder nutzt, beim Auftragnehmer durch Maßnahmen Dritter (z.B. Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren, Pfändungsmaßnahmen oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber, soweit gesetzlich zulässig, unverzüglich zu verständigen.

Datenschutzbeauftragter

4.1 Der Auftragnehmer ist für die Durchführung des Auftrages verpflichtet, nach Maßgabe des § 4f BDSG einen Beauftragten für den Datenschutz schriftlich zu bestellen, der die Aufgaben nach § 4g Abs. 1 und 2 BDSG erfüllt. Soweit der Auftragnehmer nach Maßgabe des § 4f BDSG nicht zur Bestellung eines Be- auftragten für den Datenschutz verpflichtet ist, stellt er die Erfüllung der Aufgaben nach § 4g Abs. 1 und 2 BDSG in anderer Weise sicher. Der Auftragnehmer wird dem Auftraggeber auf dessen Anforde- rung hin den Beauftragten für den Datenschutz benennen.

(4)

- 4 -

Subunternehmer

5.1 Der Einsatz eines Subunternehmers durch den Auftragnehmer bedarf der schriftlichen Einwilligung des Auftraggebers, die der Auftraggeber nur bei Vorliegen wichtiger Gründe verweigern darf. Wichtige Gründe sind insbesondere Umstände, die die Zuverlässigkeit des Subunternehmers in Zweifel ziehen, beispielsweise bekannt gewordene Datenschutzverletzungen des Subunternehmers. Im Hinblick auf die Online-Terminbuchung ist hiermit die Zustimmung zur Einbeziehung des Anbieters der technischen Infrastruktur für die Online-Terminbuchung, nämlich der Plattform Terminland, betrieben durch die Schulz & Löw Consulting GmbH, Kreuzberger Ring 44a, 65205 Wiesbaden, erteilt.

5.2 Nicht als Subunternehmer/Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstlei- stungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Der Auftrag- nehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auf- traggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertrag- liche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

5.3 Die vertraglichen Vereinbarungen zwischen dem Auftragnehmer und dem Subunternehmer sind in Schriftform zu treffen und so zu gestalten, dass sie den Regelungen der vorliegenden Vereinbarung im Wesentlichen entsprechen. Zu diesem Zweck müssen insbesondere die mit dem Subunternehmer zu vereinbarenden technischen und organisatorischen Maßnahmen ein gleichwertiges Schutzniveau auf- weisen. Dem Auftraggeber sind die gleichen Kontrollrechte im Verhältnis zum Subunternehmer einzu- räumen, wie sie auch im Verhältnis zum Auftragnehmer bestehen.

5.4 Soweit zur Erfüllung der Kontrollrechte oder im Rahmen aufsichtsbehördlicher Verfahren erforderlich, wird der Auftragnehmer auf Anforderung des Auftraggebers Auskunft über den wesentlichen Vertrags- inhalt mit dem Subunternehmer und die Umsetzung der datenschutzrelevanten Verpflichtungen geben, erforderlichenfalls durch Einsicht in Auszüge der relevanten Vertragsunterlagen.

Andere Vereinbarungen

6.1 Diese Vereinbarung lässt den Bestand der zwischen den Parteien getroffenen anderen Vereinbarungen unberührt. Die Regelungen dieser Vereinbarung gehen jedoch kollidierenden Regelungen vor.

6.2 Für diese Vereinbarung gilt das Recht der Bundesrepublik Deutschland. Erfüllungsort und Gerichts- stand ist, soweit der Auftraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffent- lich-rechtliches Sondervermögen ist oder sofern der Auftraggeber keinen allgemeinen Gerichtsstand im Inland hat, Hamburg.

6.3 Änderungen oder Ergänzungen dieser Vereinbarung bedürfen der Schriftform, soweit dies aufgrund § 11 Bundesdatenschutzgesetz oder anderer Rechtsvorschriften erforderlich ist.

6.4 Diese Vereinbarung endet automatisch mit dem Ende der Vertragsbeziehung zwischen den Parteien, wobei die Regelungen dieser Vereinbarung für sämtliche nach Ende der Vertragsbeziehung noch im Besitz des Auftragnehmers oder dessen etwaigen Subunternehmern stehenden personenbezogenen Daten des Auftraggebers fortgelten.

_________________, den ______________________ Hamburg, den _________________________

___________________________________________ ______________________________________

(für den Auftragnehmer) (für die Stiftung Gesundheit)

___________________________________________ ______________________________________

(Name und Position) (Name und Position)

(5)

- 1 -

ANLAGE: Technische und Organisatorische Maßnahmen des Subunternehmers

1) Zutrittskontrolle

Der Terminland-Server befindet sich in einem Rechenzentrum der Firma Equinix. Der Zugang zu dem Re- chenzentrum ist nur für autorisierte Mitarbeiter nach vorheriger Anmeldung möglich.

Jeder Mitarbeiter muss sich bei einem Besuch zunächst beim Pförtner anmelden und wird dort in eine Besu- cherliste eingetragen, in der alle Besuche dokumentiert werden.

Die Räumlichkeiten des Rechenzentrums sind mit einem Zutrittskontrollsystem mit Videoüberwachung aus- gestattet.

2) Zugangskontrolle

Die Terminland-Server befinden sich in einem abgeschlossenen Serverschrank.

3) Zugriffskontrolle

Terminland verfügt über eine Benutzerverwaltung mit Kennwortschutz. Bei mehr als 10 Falscheingaben des Kennworts wird der Benutzer gesperrt. Die Sperre kann nur durch einen Administrator aufgehoben werden.

Ein Benutzer kann mit einem Gültigkeitszeitrum versehen werden.

Des Weiteren verfügt Terminland über eine differenzierte Berechtigungsverwaltung pro Benutzer. Lese- und Schreibrechte können getrennt pro Terminplan vergeben werden. Weiterhin können funktionale Rechte pro Benutzer festgelegt werden.

4) Weitergabekontrolle

Der Zugriff auf das Terminland-System durch den Auftraggeber erfolgt mit einem Internet-Browser über eine verschlüsselte SSL-Verbindung mit Benutzerauthentifizierung per Benutzername und Kennwort.

Der Zugriff auf das Terminland-System durch die Kunden des Auftraggebers erfolgt mit einem Internet- Browser über eine verschlüsselte SSL-Verbindung mit optionaler Benutzerauthentifizierung wahlweise per Kennwort oder per Benutzername und Kennwort.

5) Eingabekontrolle

Die Erfassung und Änderung von Terminen wird protokolliert. Ebenso werden Änderungen an den Einstellun- gen des Systems protokolliert.

6) Auftragskontrolle

Die Auftragskontrolle gewährleistet, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden dürfen.

(6)

- 2 -

Bevor personenbezogene bzw. -beziehbare Daten von Dritten für die Schulz & Löw Consulting GmbH verar- beitet werden sollen, ist der Datenschutzbeauftragte im Rahmen der Vorabkontrolle gem. § 4d BDSG einzu- schalten. Er überprüft inwieweit gesonderte Verträge gem. § 11 BDSG (Auftragsdatenverarbeitung) mit den Dritten geschlossen werden müssen und in welchem Umfang Auftragskontrollen (eigene oder durch andere Prüfer wie Wirtschaftsprüfer) vor und während der Beauftragung durchgeführt werden müssen.

7) Verfügbarkeitskontrolle

Die Server von Terminland stehen in einem ISO 27001 und ISO 9001-2008 zertifizierten Rechenzentrum der Firma Equinix. Die Einhaltung der geforderten Sicherheitsstandards zur Gewährleistung der Verfügbarkeits- kontrolle werden regelmäßig und nachweislich überprüft.

Die Serverhardware ist u. a. redundant ausgelegt. Festplatten und Netzteile sind mit einer n+1-Redundanz ausgelegt. Es erfolgt ein tägliches Backup der Daten. Die Aufbewahrung des Backups erfolgt räumlich ge- trennt.

Die Server sind durch Firewalls geschützt u.v.m.

8) Trennungsgebot

Die Terminland-Software ist ein mandantenfähiges System. Jeder Arzt-Auskunft-Termin-Kunde wird als Mandant in der Terminland-Software abgebildet.

Produktiv-, Demo- und Testsysteme sind als solche gekennzeichnet.

Datenverarbeitung im Ausland:

Eine Übermittlung oder Verarbeitung von personenbezogenen Daten ins Ausland durch den Auftragnehmer ist nicht geplant.

Referenzen

Jetzt herunterladen ( PDF - 6 Seite - 500.04 KB )

ÄHNLICHE DOKUMENTE

1.1 Der Auftragnehmer führt die im Anhang 1 beschriebenen Dienstleistungen für den Auftraggeber durch.

4.1 Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder

Zwischen. - nachstehend Auftraggeber genannt. und. - nachstehend Auftragnehmer genannt - wird folgender Vertrag geschlossen: Vertrag über

(2) Für den Fall, dass der Auftragnehmer die im Rahmen dieses Vertrags durch ihn zu erbringenden Leistungen mit der Folge nicht erfüllt, dass der vollständige Ein- gang der

Für Universitäten, Hochschulen und/oder ASten (im Folgenden »Auftraggeber« genannt) stellt der Auftragnehmer für Studierende ein attraktives Mobilitätsangebot zur Verfügung

Mit dem Tarifangebot Call a Bike Business University erhalten ordentlich immatrikulierte Studierende der auftraggebenden Universität/Hochschule oder der Studentenwerke das Recht,

Blendanalyse. PV-Kraftwerk Pirmasens. Freilandanlage. Auftraggeber: Auftragnehmer: Ingenieurbüro JERA Heydaer Straße Ilmenau

Abbildung 9: Satellitenbild mit Kennzeichnung möglicher Immissionsorte Süd-Ost; [Quelle: Google Earth]... Abbildung 10: Satellitenbild mit Umgebung West; [Quelle:

Einwilligung und Einverständniserklärung zur Datenverarbeitung:

Die Teilnahme an dieser Besonderen ambulanten ärztlichen Versorgung ist freiwillig und kann von Ihnen innerhalb von zwei Wochen in Textform, elektronischer Form oder zur

Vertrag (Los 2) zwischen. - nachfolgend Auftraggeber genanntund. - nachfolgend Auftragnehmer genannt -

dass der Schutz der Daten auch nach Beendtgung d1ese s Vertrages oder nach Beendigung der Tattgkeit einzelner seiner Beschaftigten gewähr!elslet 1st.

Beteiligte. 1. Zusammenfassung. - Auftraggeber - - Auftragnehmer - Dr.- Ing. Christian Lerche für die Gewerke Heizung und Sanitär.

1,0 m in den Wohnungen sowie unter der Außenwandwärmedämmung vorhanden, die Zuleitungen für die allge- meinen Außenarmaturen sind bis ins UG vorhanden; im Haus 5 fehlen

Servicebedingungen. 10) Der Auftragnehmer ist berechtigt für alle möglichen Serviceleistungen

Verzögert sich die Erbringung der Serviceleistung durch Maßnahmen im Rahmen von Arbeitskämpfen, insbeson- dere Streik und Aussperrung, sowie den Eintritt von Um- ständen, die