• Keine Ergebnisse gefunden

Vertrag über die Verarbeitung personenbezogener Daten

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Vertrag über die Verarbeitung personenbezogener Daten"

Copied!
6
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 6 Seite )

Volltext

(1)

Vertrag über die Verarbeitung personenbezogener Daten

gemäß Artikel 28 der Verordnung des Europäischen Parlaments und des Rates Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/ES (Allgemeine Verordnung über den Schutz personenbezogener Daten) ( nachstehend nur "Verordnung")

Vertragsparteien

Arzt/Klinik - definiert in den Allgemeinen Vertragsbedingungen (nachfolgend nur “der Verantwortliche)

und

die Firma Estheticon, s.r.o., mit dem Sitz in Dr. Milady Horákové 513/23a, Liberec IV-Perštýn, Eintragung beim Bezirksgericht in Ústí nad Labem, Abteilung C, Einlage Nr. 14604 (nachstehend nur

"Auftragsverarbeiter ")

(der Verantwortliche und Auftragsverarbeiter werden weiter auch nur als "Vertragsparteien"

bezeichnet)

haben diesen Vertrag zur Verarbeitung personenbezogener Daten (im Folgenden "der Vertrag" genannt) am folgenden Tag, Monat und Jahr abgeschlossen.

1. Ziel und Zweck des Vertrags

1.1. Der Verantwortliche und der Auftragsverarbeiter arbeiten auf der Grundlage einer anderen Vertragsbeziehung auf dem Gebiet der Kommunikation zusammen, insbesondere auf der Nachfrage nach Patientenleistungen mit dem Verantwortlichen, und weiter auch auf dem Gebiet der Übertragung eines Teiles des Inhalts auf der Webseite www.estheticon.de durch den sog. Widget. Im Rahmen dieser Zusammenarbeit werden personenbezogene Daten übertragen oder können übermittelt werden, wobei der Zweck deren Verarbeitung und die Mittel für diese Verarbeitung von dem Verantwortlichen

bestimmt und geliefert werden und der Auftragsverarbeiter bearbeitet weiter die personenbezogenen Daten im Rahmen dieses Vertrags über die Verarbeitung personenbezogener Daten.

1.2. Dieser Vertrag definiert die Rechte und Pflichten der Vertragsparteien bei der Verarbeitung personenbezogener Daten.

(2)

2. Verarbeitung personenbezogener Daten

2.1. Der Auftragsverarbeiter wird von dem Verantwortlichen berechtigt, die folgenden persönlichen Daten zu verarbeiten:

• Name und Vorname

• Telefonnummer

• E-Mail Adresse

• Den gewünschten Eingriff

• Textbeschreibung des Problems

• Fotos im Anhang der Anfrage

• Terminvorschlag des Beratungsgesprächs

• IP Adresse

• Beitrag - Bewertung des Arztes oder Frage im Diskussionsforum, die von dem Arzt beantwortet wird

(im Folgenden nur als "personenbezogene Daten" bezeichnet).

2.2. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur um die Kommunikation potenzieller Kunden (Patienten) mit dem Verantwortlichen zu ermöglichen und um das Teilen des Inhaltes der Webseite, die sich auf den Arzt bezieht, durch den Widget zu ermöglichen.

2.3. Der Auftragsverarbeiter ist berechtigt, den Zweck der Verarbeitung in Übereinstimmung mit dem Gesetz zu erweitern, wobei die Anweisung zur weiteren Verarbeitung dem Auftragsverarbeiter nur in schriftlicher Form mitgeteilt werden kann. Für die Zwecke dieses Vertrags wird auch die E-Mail- Kommunikation der Parteien an die zugelassenen Parteien als schriftliche Form betrachtet.

3. Rechte und Pflichten der Vertragsparteien

3.1. Der Auftragsverarbeiter verpflichtet sich, technische, organisatorische und andere Maßnahmen zu ergreifen, um den unbefugten oder versehentlichen Zugriff auf personenbezogene Daten und deren Änderung, Zerstörung, Verlust oder andere unbefugte Nutzung zu verhindern.

Der Auftragsverarbeiter verpflichtet sich insbesondere

• a) einen sicheren Zugriff auf PC zu verwenden, wobei die Zugriffe auf PC nur dem Auftragsverarbeiter bekannt sind;

• b) einen sicheren Zugriff auf eine Datenbank personenbezogener Daten zu nutzen, wobei die Zugriffe von dem Auftragsverarbeiter in dem Sinne eingegeben werden müssen, so dass sie nicht angezeigt, gespeichert oder einem Dritten zur Verfügung gestellt werden;

(3)

• c) für die Verarbeitung nur Software und Dienste zu nutzen, die den Standardanforderungen an die Datensicherheit entsprechen und die von der Europäischen Union festgelegten Standards erfüllen;

• d) ohne die vorherige Zustimmung des Verantwortlichen keine Kopien der Datenbank anzufertigen;

• e) geeignete Sicherheitstools zu verwenden, z.B. Verschlüsselung oder andere geeignete und notwendige Mittel, immer in Abhängigkeit von der jeweiligen Verhandlung und den Daten;

• f) den Zugriff zu den Daten Dritten nicht zu gestatten, wenn dieser Zugriff von dem

Verantwortlichen nicht schriftlich genehmigt wird oder sich nicht aus dieser Vereinbarung ergibt;

• g) Vertraulichkeit über die Daten zu wahren.

3.2. Der Auftragsverarbeiter verpflichtet sich auch:

• a) personenbezogene Daten nur in der Form, wie sie von dem Verantwortlichen bereitgestellt wurden zu verarbeiten;

• b) personenbezogene Daten nur für die in diesem Vertrag definierten Zwecke und nur in dem Umfang zu verarbeiten, der zur Erfüllung dieser Zwecke erforderlich ist;

• c) keine persönlichen Daten, die für unterschiedliche Zwecke erhalten wurden, zu verknüpfen;

• (d) personenbezogene Daten nur für die in der Informationspflicht oder in der Einwilligung des Endnutzers angegebene Zeit aufzubewahren.

3.3. Der Auftragsverarbeiter ist verpflichtet, für den Verantwortlichen Einwilligungen zu der Verarbeitung der personenbezogenen Daten zu archivieren, die von den Endbenutzern an den Auftragsverarbeiter weitergegeben wurden. Der Auftragsverarbeiter ist verpflichtet, die Einwilligungen innerhalb von zwei Arbeitstagen nach dem Aufruf des Verantwortlichen dem Verantwortlichen zu erteilen.

3.4. Der Auftragsverarbeiter ist verpflichtet sicherzustellen, dass die Mitarbeiter und andere von dem Auftragsverarbeiter beaufragte Personen die personenbezogenen Daten nur im Umfang und zu Zwecken dieses Vertrags und der Verordnung verarbeiten.

3.5. Sowohl der Auftragsverarbeiter als auch der Verantwortlcihe verpflichten sich bei der Verarbeitung personenbezogener Daten im Sinne dieses Vertrags die Verpflichtungen und anderen allgemein verbindlichen Rechtsvorschriften im Zusammenhang mit dieser Tätigkeit zu beachten.

3.6. Der Auftragsverarbeiter verpflichtet sich aufgrund einer Aufforderung des Verantwortlichen, die persönlichen Daten gemäß den Anweisungen des Verantwortlichen unverzüglich zu korrigieren, aktualisieren, löschen oder umlegen, ohne eine solche Anfrage unverzüglich zu erheben.

3.7. Für den Fall, dass der Einspruch der betroffenen Person gemäß Artikel 21 Abs. 1 der Verordnung als begründet bezeichnet wird, verpflichtet sich der Auftragsverarbeiter die mangelhafte Bedingung

(4)

unverzüglich auf schriftlichen Antrag des Verantwortlichen zu beseitigen. Die E-Mail-Kommunikation der Parteien gilt ebenfalls als schriftlich.

3.8. Bei der Erfüllung der vertraglichen Verpflichtungen ist der Auftragsverarbeiter verpflichtet, mit professioneller Sorgfalt vorzugehen, den Anweisungen des Verantwortlichen Folge zu leisten und in Übereinstimmung mit den Interessen des Verantwortlichen zu handeln. Stellt der Auftragsverarbeiter fest, dass der Verantwortliche die in der Verordnung eingeführten Pflichten des Verantwortlichen verletzt, ist er verpflichtet, dies dem Verantwortlichen unverzüglich mitzuteilen.

3.9. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um nachzuweisen, dass die in dieser Vereinbarung oder in der Verordnung über personenbezogene Daten festgelegten Verpflichtungen erfüllt sind, und dem Verantwortlichen oder einem Dritten, der an die Vertraulichkeit gebunden ist, eine angemessene Prüfung zu ermöglichen.

Die Prüfung muss im Voraus gemeldet werden, und zwar mindestens 30 Tage vor der Prüfung und darf die Arbeit des Auftragsverarbeiters nicht übermäßig beeinträchtigen. Prüfungskosten, die nicht durch eine eindeutige Verletzung der Verpflichtungen des Auftragsverarbeiters entstanden sind, trägt der Verantwortliche.

3.10. Der Verantwortliche stimmt zu, dass der Auftragsverarbeiter berechtigt ist, die Verarbeitung personenbezogener Daten an einen anderen Verarbeiter (im Folgenden nur “der weitere Verarbeiter”

genannt) ohne zusätzliche explizite, ausdrückliche Erlaubnis des Verantwortlichen zu übertragen.

• a) Der Auftragsverarbeiter informiert den Verantwortlichen über alle weiteren Verarbeiter, die er mit der Verarbeitung personenbezogener Daten betrauen möchte, und gibt dem

Verantwortlichen somit die Möglichkeit, Einwände gegen die Annahme dieser weiteren Verarbeiter zu erheben. Diese Benachrichtigung kann in Form von einem Massenversand oder von anderen elektronischen Kommunikationsmitteln erfolgen. Wenn der Verantwortliche seine Einwände gegen die weiteren Verarbeiter nicht innerhalb von 3 Arbeitstagen einreicht, ist der Auftragsverarbeiter berechtigt, den weiteren Verarbeiter mit der Verarbeitung

personenbezogener Daten zu beauftragen.

• b) Wenn der Verantwortliche der Beteiligung des weiteren Verarbeiters gemäß Abs. a) widerspricht, ist der Auftragsverarbeiter berechtigt, die Lieferung der Dienstleistungen, für welche personenbezogene Daten verarbeitet werden müssen, mit einer Frist von 14 Tagen zu beenden. Die Kündigungsfrist beginnt mit dem Tag nach dem Erhalt der Kündigung des Auftragsverarbeiters. Der Auftragsverarbeiter ist berechtigt, die Kündigung in Form von einer E- Mail oder in einer anderen Form von elektronischer Kommunikation zu erstellen.

(5)

• c) Wenn der Auftragsverarbeiter den weiteren Verarbeiter mit bestimmten

Verarbeitungstätigkeiten beauftragt, unterliegt der weitere Verarbeiter den gleichen vertraglichen Verpflichtungen in Bezug auf den Schutz personenbezogener Daten gemäß diesem Abkommen und der Verordnung. Kommt der angeführte weitere Verarbeiter seinen Verpflichtungen auf dem Gebiet des Datenschutzes nicht nach, ist der Auftragsverarbeiter für die Erfüllung der Verpflichtungen des betreffenden weiteren Verarbeiters verantwortlich.

3.11. Am Tag des Abschlusses dieses Vertrags beauftragt der Auftragsverarbeiter die folgenden weiteren Verarbeiter:

• Account Manager (in einigen Fällen beauftragt der Auftragsverarbeiter externe Mitarbeiter, die dem Verantwortlichen mit der Verarbeitung der Patientenanfragen helfen)

• AWS Amazon Web Service (web hosting)

• MaxMind, Inc.(Verarbeitung der Lage nach der IP-Adresse)

• Google im Rahmen der Dienstleistung Google Analytics (Analyse der Besucherzahlen)

4. Dauer des Vertrags

4.1. Dieser Vertrag gilt für die Dauer des Vertragsverhältnisses gemäß Art.1.1. des Vertrags.

4.2. Im Falle der Kündigung des Vertrags oder der Beendigung der Verarbeitung personenbezogener Daten ist der Auftragsverarbeiter verpflichtet, die ihm im Rahmen dieses Vertrags zur Verfügung

gestellten personenbezogenen Daten unverzüglich zu liquidieren, wenn deren spätere vorübergehende Datensicherung kein legitimes und zumutbares Interesse des Auftragsverarbeiters ist.

5. Stillschweigen

5.1. Der Auftragsverarbeiter verpflichtet sich, die Vertraulichkeit der verarbeiteten personenbezogenen Daten zu wahren, insbesondere darf er sie nicht veröffentlichen, weitergeben oder an andere Personen außerhalb der Beziehung des Mitarbeiters mit dem Auftragsverarbeiter oder anderen berechtigten Personen, die zur Verarbeitung der persönlichen Daten befugt sind, weiterzuleiten. Der

Auftragsverarbeiter ist verpflichtet sicherzustellen, dass seine Mitarbeiter und andere autorisierte Personen auch die Geheimhaltungspflicht im Abschnitt 5 des Vertrags einhalten. Diese Verpflichtung des Auftragsverarbeiters besteht auch nach der Beendigung dieses Vertragsverhältnisses fort.

5.2. Der Auftragsverarbeiter muss auch nach der Beendigung dieses Vertragsverhältnisses über die Sicherheitsmaßnahmen, die zum Schutz personenbezogener Daten getroffen werden, Stillschweigen bewahren.

(6)

6. Verantwortung

6.1. Verstößt der Auftragsverarbeiter gegen seine Pflichten aus dem Vertrag oder der Verordnung, haftet er für den Schaden, der durch diesen Verstoß entsteht. Der Umfang der Verpflichtung erstreckt sich auch auf Schäden, die Dritten zugefügt werden, und auf Sanktionen, die von einer Behörde aufgrund eines Verstoßes gegen die Verordnung oder andere Vorschriften zum Schutz personenbezogener Daten verhängt werden.

6.2. Der Auftragsverarbeiter haftet auch für Schäden, die durch die Verletzung des Vertrages durch die Angestellten des Auftragsverarbeiters verursacht werden.

7. Schlussbestimmungen

7.1. Die Ungültigkeit oder Unverständlichkeit einer Bestimmung des Vertrags berührt nicht die Gültigkeit der übrigen Bestimmungen des Vertrags.

7.2. Die Vertragsparteien verpflichten sich, sich gegenseitig die erforderliche Zusammenarbeit und Dokumentation zur Verfügung zu stellen, um die reibungslose und wirksame Durchführung dieses Vertrags sicherzustellen, insbesondere im Falle von Verhandlungen mit der Datenschutzbehörde oder anderen öffentlich-rechtlichen Behörden.

Referenzen

Jetzt herunterladen ( PDF - 6 Seite - 53.76 KB )

ÄHNLICHE DOKUMENTE

1.2 Für die Verarbeitung Ihrer personenbezogenen Daten verantwortliche Stelle

Wenn wir im Rahmen einer Interessenabwägung Ihre personenbezogenen Daten aufgrund unseres überwiegend berechtigten Interesses verarbeiten, haben Sie das jederzeitige Recht,

Informationen zur Verarbeitung personenbezogener Daten

Im Folgenden informieren wir Sie über den Zweck und die rechtliche Grundlage, auf welcher wir die personenbezogenen Daten Ihres Kindes und von Ihnen erheben und verarbeiten, an

Datenschutzerklärung und Einwilligung zur Verarbeitung personenbezogener Daten

antragstellenden Person und von der an der Hochschule Trier die Promotion betreuenden Person eingetragenen personenbezogenen Daten durch die Hochschule

Datenschutzerklärung. Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Rechtsgrundlage. Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art.

Vertrag zur Verarbeitung personenbezogener Daten im Auftrag

Gewährleistet wird die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen

Allgemeine Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag

6.1 Der Auftragnehmer darf geeignete Subunternehmer im Gebiet der EU oder des EWR mit der Verarbeitung von Daten im Auftrag und nach Weisung betrauen, wenn der

Vereinbarung über die Verarbeitung personenbezogener Daten (Auftragsverarbeitung gemäß Art. 28 DSGVO)

(1) Personenbezogene Daten: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“)

1. Umfang der Verarbeitung personenbezogener Daten

18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die