Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO

 

Präambel:

Die Parteien haben den Abschluss dieses Vertrags zur Auftragsverarbeitung nach den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) beschlossen. Die Reichweite der Verarbeitung richtet sich nach Produktwahl. Der Vertrag ist gebunden an den Hauptvertrag (Software-Nutzungsvertrag) und nur mit diesem gültig.

  • Gegenstand des Vertrags
  1. Gegenstand dieses Vertrags ist insbesondere die Verarbeitung von personenbezogenen Gesundheitsdaten im Zusammenhang mit der Nutzung einer App zur Dokumentation von Patientendaten sowie die Verarbeitungstätigkeiten im Rahmen von Bestellung, Auftragsbearbeitung, Versand, Logistik und Abrechnung von Produkten für die Patienten des Verantwortlichen durch die DITRAMET GmbH als Softwareanbieter und deren Subunternehmer. Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Verarbeitung dieser Daten gemäß den Bestimmungen dieses Vertrags.
  2. Die Verarbeitung im Rahmen von Bestellung, Auftragsbearbeitung, Versand, Logistik und Abrechnung betrifft insbesondere die Daten der Patienten des Verantwortlichen, die im Zusammenhang mit Dokumentation, Bestellungen und Rezepten stehen.


  • Art und Zweck der Verarbeitung
  1. Die Verarbeitung der Gesundheitsdaten erfolgt zum Zweck der Bereitstellung und Nutzung der Dokumentations-App.
  2. Die Verarbeitung im Rahmen von Bestellung, Auftragsbearbeitung, Versand, Logistik und Abrechnung erfolgt zum Zweck des Supports im technischen und fachlichen Bereich der App-Anwendung.


  • Art der personenbezogenen Daten

Es handelt sich um personenbezogene Gesundheits- und Bestelldaten von Patienten, die vom Verantwortlichen in der App erfasst werden.

  • Dauer der Verarbeitung:
  1. Die Verarbeitung der Gesundheitsdaten erfolgt für die Dauer der Nutzung der App durch den Verantwortlichen. Eine Löschung der Daten erfolgt im Auftrag des Verantwortlichen bzw. spätestens nach Ablauf von 10 Jahren.
  2. Die Verarbeitung im Rahmen von Bestellung, Auftragsbearbeitung, Versand, Logistik und Abrechnung erfolgt für die Dauer der gesetzlichen Aufbewahrungspflichten, insbesondere im Rahmen der buchhalterischen Vorgaben. Die Löschfristen richten sich nach diesen Vorgaben.


  • Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter verpflichtet sich, geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO zu treffen, um die Sicherheit und Vertraulichkeit der verarbeiteten Daten zu gewährleisten. Die TOM gemäß Art. 32 DSGVO sind in Anlage 1 zu diesem Vertrag aufgeführt.

  • Mitarbeiter des Auftragsverarbeiters

Der Auftragsverarbeiter darf zur Erfüllung seiner vertraglichen Pflichten nur Mitarbeiter einsetzen, die zur Verschwiegenheit verpflichtet sind und entsprechend geschult wurden.

  • Subunternehmen

Der Auftragsverarbeiter darf Subunternehmen, insbesondere die ADRAG-Computerdienst GmbH und ad systemhaus GmbH, für spezielle IT-Aufgaben einsetzen. Der Auftragsverarbeiter bleibt für die Einhaltung der Datenschutzbestimmungen durch Subunternehmen verantwortlich. Die Leistungen der Subunternehmen sind in Anlage 2 zu finden.

  • Übermittlung an den Speicherort Server:
  1. Der Auftragsverarbeiter ist berechtigt, die verarbeiteten Daten mittels den durch die DITRAMET zur Verfügung gestellten Server zu übermitteln, sofern dieses Modul vom Verantwortlichen gewählt worden ist. Diese Übermittlung erfolgt ausschließlich mit dem Ziel, dass der Verantwortliche die Informationen sicher an ausgewählte Dritte weitergeben kann. Eine Übermittlung an weitere Dritte ist ausgeschlossen.
  2. Für die Übermittlung der Daten an einen vom Verantwortlichen selbst verantworteten Speicherplatz müssen gesonderte Vereinbarungen im Individualfall getroffen werden.


  • Informations- und Mitwirkungspflichten

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen Datenschutzvorschriften verstößt.

Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen jeden Verstoß gegen datenschutz-rechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Verantwortlichen, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeitet.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12-23 DSGVO.

  • Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, die Einhaltung der Datenschutzbestimmungen durch den Auftragsverarbeiter zu kontrollieren. Dies erfolgt nach Absprache und unter Berücksichtigung der betrieblichen Belange des Auftragsverarbeiters.

  • Haftung

Die Haftung richtet sich nach den gesetzlichen Bestimmungen. Der Auftragsverarbeiter haftet nur für Schäden, die durch Verletzung seiner spezifischen Pflichten aus diesem Vertrag entstehen.

  • Beendigung des Vertrags

Bei Beendigung des Vertrags ist gebunden an den Hauptvertrag (AGB). Bei Beendigung werden die personenbezogenen Daten gemäß den Weisungen des Verantwortlichen gelöscht, sofern nicht eine gesetzliche Aufbewahrungspflicht entgegensteht.

  • Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform. Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt.

  • Salvatorische Klausel

Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt. Anstelle der unwirksamen Bestimmung tritt eine Regelung, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.



Anlage 1: Übersicht über die technisch-organisatorischen Maßnahmen zum Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO

  • Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
  1. Zutrittskontrolle

Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, verwehrt.

  • Festlegung der zugangsberechtigten Personen 🡪 Einsatz von Schlüssel für Berechtigte
  • Closed Shop-Betrieb
  • Revisionsfähigkeit der Zugangsberechtigungen
  • Protokollierung der Zu- und Abgänge
  • verschlossene Bürotüren und Fenster bei Abwesenheit 
  1. Zugangs- und Zugriffskontrolle

Bei der Zugangskontrolle wird verhindert, dass Datenverarbeitungssysteme von Unbefugten genutzt werden. Bei der Zugriffskontrolle tragen wir Sorge, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können

  • Identifikation und Authentifizierung der Benutzer/Passwortschutz
  • Einführung zugriffsbeschränkender Maßnahmen (z.B. nur Leseberechtigung)
  • Zeitliche Begrenzung der Zugriffsmöglichkeiten
  • Einsatz von Verschlüsselungsverfahren
  • Zentrale Vergabestelle von Benutzerrechten 
  • Trennungskontrolle

Es wird gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  1. Trennung von Test- und Produktivsystem
  2. Mandantentrennung – Logische Trennung der Daten (virtuell getrennte Datenbanken)
  3. Einsatz unterschiedlicher Verschlüsselungen 
  • Integrität (Art. 32 Abs. 1 lit. b DSGVO)
  1. Weitergabekontrolle

Es wird  Sorge getragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  • Dokumentation der Abruf- und Übermittlungsprogramme
  • Festlegung der für die Übermittlung oder den Transport Berechtigten
  • Regelungen für die Versandart und Festlegung des Transportweges
  • Sicherung des Übertragungs- und Transportweges
  • Verschlüsselung der Daten
  • Überwachung der Transportzeit
  • Vollständigkeits- und Richtigkeitsprüfung (nach der Übertragung)
  • Nutzung eines VPN für Support
  1. Eingabekontrolle

Es wird Sorge getragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • Festlegung von Eingabebefugnissen
  • Protokollierung der Logins
  • Verfügbarkeit, Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) und Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
  • Verfügbarkeit

Personenbezogene Daten werden gegen zufällige Zerstörung oder Verlust zu schützen

  • USV (unterbrechungsfreie Stromversorgung)
  • Redundante Leistungsversorgung
  • Brandschutz- und Katastrophenordnung
  • Brandmelder
  • Räumlich getrennte Aufbewahrung der erstellten Datensicherungen
  • Redundante Serverstruktur
  • Objektsicherung insb. der Serverräume
  • Virenschutzkonzept
  • Klimatisierung 
  • Rasche Wiederherstellbarkeit

Es wurden geeignete Maßnahmen ergriffen, um im Falle eines Verlusts, einer Zerstörung oder einer nicht gewünschten Veränderung von personenbezogenen Daten die Daten wiederherzustellen.

  • Backup-Systeme zur Wiederherstellung verlorener Daten, inkl. Testen der Wiederherstellung
  • Notfallkonzept mit Wiederanlaufplan 
  • Belastbarkeit/Resilienz

Es wurden geeignete Maßnahmen ergriffen, um im Falle von Zwischenfällen die Funktionsfähigkeit der Systeme aufrechtzuerhalten.

  • Update- bzw. Patchmanagement
  • Intrusion-Detection-and-Response-System
  • Schulung der Beschäftigten zur Erkennung von Zwischenfällen sowie zur Vermeidung zukünftiger Zwischenfälle
  • Wechsel auf Fail-Safe-Modus im Falle eines Zwischenfalls
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Es wird eine auftrags- und weisungsgemäße Auftragsdatenverarbeitung gewährleistet.

  • sorgfältige Auswahl des Auftragnehmers
  • klare Vertragsgestaltung und -ausführung mit Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber
  • Formalisierung der Auftragserteilung
  • Protokollierung und Kontrolle der ordnungsgemäßen Vertragsausführung
  • Sanktionen bei Vertragsverletzung
  • Information über neu auftretende Schwachstellen und andere Risikofaktoren, ggf. Überarbeitung der Risikoanalyse und -bewertung
  • Audits durch den Datenschutzbeauftragten

Anlage 2: Übersicht über die, vom Auftragnehmer eingesetzten Unterauftragnehmer zum Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO

Firma Unterauftragnehmer

Anschrift/Land

Beschreibung der übernommenen Teilleistung

DITRAMET GmbH

Am Waldstadion 5, 07937 Zeulenroda-Triebes

Bereitstellung von Infrastruktur, Support, 

Serverbetreuung: Folgende Daten werden verarbeitet:

  • Kundendatenbank
  • Backend Services: Benutzerservice (E-Mailadressen, Rechnungsdaten, Benutzerdaten)

ADRAG-Computerdienst GmbH

Hermann-Drechsler-Straße 1, 07548 Gera

Bereitstellung von Infrastruktur, Support und Entwicklung.

Serverbetreuung: Folgende Daten werden verarbeitet:

  • Kundendatenbank
  • Protokoll der Metadaten (z.B. Login-Zeiten)
  • Backend Services: Authentifizierungsservice, Benutzerservice (E-Mail-Adressen, Rechnungsdaten, Benutzerdaten)

Mailing-Provider: Beim Versand transaktionaler E-Mails, die für die Kommunikation notwendig sind, werden personenbezogene Daten verarbeitet. Im Einzelnen sind das:

  • E-Mail zur Kontoerstellung: Name, E-Mail-Adresse, Firmenname
  • E-Mail zur Benutzereinladung: Name, E-Mail-Adresse, Firmenname des Gastgebers
  • Versand personalisierter Gastlinks: Name, E-Mail-Adresse
  • E-Mail, wenn Passwort vergessen wurde: Name, E-Mail-Adresse

E-Mail zur Löschung der Company: Name, E-Mail-Adresse, Companyname

ad Systemhaus GmbH

Rheinstraße 2 B, 41836 Hückelhoven

Bereitstellung von Infrastruktur, Support und Entwicklung, insbesondere im Zusammenhang mit der Basisstruktur der App (Fast Order)