Und. - Nachfolgend Auftragnehmer genannt -

Transkript

1 Vereinbarung zur Sicherstellung von Datenschutz und Datensicherheit bei der Verarbeitung und Nutzung personenbezogener Daten insbesondere bei der Wartung und Systembetreuung von Einrichtungen zur automatisierten Datenverarbeitung zwischen dem Universitätsklinikum Münster vertreten durch den Vorstand dieser vertreten durch den kaufmännischen Direktor Herrn Dr. Christoph Hoppenheit Albert-Schweitzer-Campus 1, Gebäude D Münster - Nachfolgend Auftraggeber genannt - Und. Präambel - Nachfolgend Auftragnehmer genannt - Gegenstand dieser Vereinbarung ist die Einhaltung von Datenschutz und Datensicherheit bei der Auftragsdatenverarbeitung im Sinne 11 Bundesdatenschutzgesetzes (BDSG) bzw. des 11 Datenschutzgesetz NRW (DSG NRW) und des Gesundheitsdatenschutzgesetzes Nordrhein-Westfalen (GDSG NRW) in der jeweils geltenden Fassung. 1. Vertragsbestandteile Folgende Anhänge sind Bestandteil der Vereinbarung: I. Technische und Organisatorische Maßnahmen ( TOM ) 2. Gegenstand der Auftragsdatenverarbeitung Die vorliegende Vereinbarung bestimmt die datenschutzrechtlichen Verpflichtungen beider Vertragsparteien, die sich aus den künftig jeweils abgeschlossenen Hauptverträgen und den darin im Einzelnen vereinbarten Auftragsleistungen ergeben. Sie kann infolge rechtlicher Änderungen von Gesetzen, Verordnungen und anderen Bestimmungen erweitert und ergänzt werden. Die Schriftform ist erforderlich und muss von beiden Vertragspartnern akzeptiert werden. 3. Konkretisierung des Auftragsinhaltes Seite 1 von 10

2 3.1 Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und/oder Nutzung von Daten Umfang, Art und Zweck der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret in der Leistungsbeschreibung des Hauptvertrages hinterlegt Die Erhebung, Verarbeitung und/oder Nutzung der Daten erfolgt ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers. Sie darf nur erfolgen, wenn die besonderen Voraussetzungen der 4b, 4c BDSG erfüllt sind. 3.2 Art der Daten Gegenstand der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten können folgende Datenarten (/ -kategorien) sein: - personenbezogene Patientendaten aus stationären, teilstationären und ambulanten Behandlungen des Auftraggebers - medizinische Patientendaten aus stationären, teilstationären und ambulanten Behandlungen des Auftraggebers - personenbezogene Beschäftigtendaten u. a. in Verbindung mit den Patientendokumentationen des Auftraggebers - medizinische Beschäftigtendaten i 3.3 Kreis der Betroffenen Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst - Patienten des Auftraggebers - Beschäftigte i. S. d. 3 Abs. 11 BDSG 4. Technische und organisatorische Maßnahmen 4.1 Der Auftragnehmer hat die Umsetzung der vor der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen vor Beginn der Erhebung, Nutzung und/oder Verarbeitung von Daten, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben (siehe Anhang I TOM ). Der Auftraggeber prüft sie auf Einhaltung der in 9 BDSG und 7 III und IV GDSG NRW normierten Anforderungen. Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. 4.2 Bei den zu treffenden Maßnahmen handelt es sich um Maßnahmen hinsichtlich der Organisationskontrolle, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie des Trennungsgebots, welche insbesondere die Art des Datenaustausches und der Bereitstellung von Daten, die Art und Umstände der Erhebung, Verarbeitung und Datenerhaltung, sowie die Art und Umstände beim Output bzw. beim Datenversand betreffen (siehe Anhang I TOM ). Patientendaten aus dem ärztlichen Bereich sind vom Auftragnehmer nach Möglichkeit auf physisch getrennten Datenträgern zu verarbeiten (vgl. 7 Abs. 3 S.2 GDSG NRW). 4.3 Nach Auftragsbeginn hat sich der Auftraggeber regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen, insbesondere hinsichtlich der Einhaltung der in Anhang I festgelegten Datensicherungsmaßnahmen, zu überzeugen und diese Kontrollen zu dokumentieren. Der Auftraggeber kann sich selbst vor Ort überzeugen oder seine Kontrollverpflichtung auf andere Weise erfüllen (z.b. durch Einschaltung von sachverständigen Dritten, durch Fragebögen oder durch die Anforderung von Prüfergebnissen oder Zertifikaten). Seite 2 von 10

3 4.4 Der Auftragnehmer ist verpflichtet zu überprüfen, ob die getroffenen technischen und organisatorischen Maßnahmen noch angemessen sind und hat diese bei Bedarf anzupassen. Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der Weiterentwicklung unterliegen, gestattet der Auftraggeber dem Auftragnehmer insoweit, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der im Anhang I festgelegten Maßnahmen nicht unterschritten werden. Sollten wesentliche Änderungen erfolgen, sind diese vom Auftragnehmer zu dokumentieren. Er hat auf Anforderung die Angaben nach 4g Abs. 2 Satz 1 BDSG dem Auftraggeber zur Verfügung zu stellen. 5. Berichtigung, Sperrung und Löschung von Daten Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nur nach Weisung des Auftraggebers berichtigen, löschen oder sperren. Sollte sich ein Betroffener unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden, so wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. 6. Rechte und Pflichten des Auftraggebers 6.1 Der Auftraggeber behält sich im Rahmen der in der Leistungsvereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Diese bedürfen der Schriftform (Fax oder werden akzeptiert). In begründeten Eilfällen können durch bevollmächtigte Personen des Auftraggebers Weisungen auch mündlich erteilt werden. Diese bedürfen der unverzüglichen schriftlichen Bestätigung (Fax oder werden akzeptiert). 6.2 Die von den Vertragsparteien zur Weisungserteilung sowie entgegennahme berechtigten Personen, sind den künftig abgeschlossenen Hauptverträgen zu entnehmen. Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen. Soweit gem. 4f BDSG die Pflicht dazu besteht, hat der Auftragnehmer für sein Unternehmen eine(n) betriebliche(n) Datenschutzbeauftragte(n) mit entsprechender Fachkunde zu bestellen. Name der/des Datenschutzbeauftragten: Telefon: 6.3 Änderungen dieser Vereinbarung und bei der Verarbeitung personenbezogener Daten sind gemeinsam abzustimmen und zu dokumentieren. 7. Allgemeine Pflichten des Auftragnehmers 7.1 Der Auftragnehmer gewährleistet, dass er nur solche Mitarbeitenden, Erfüllungs- und Verrichtungsgehilfen einsetzen wird, die spätestens bei der Aufnahme der Tätigkeiten auf das Datengeheimnis gemäß 5 BDSG und entsprechend dem 203 StGB verpflichtet worden und dementsprechend belehrt worden sind. Die Verpflichtung hat mit dem Hinweis auf die 43 I Nr.2, 10 und 11, II Nr. 1-3, III und 44 BDSG und 202a, 202b, 202 c, 303a und 303b StGB zu erfolgen. Alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, müssen zudem über die sich aus dieser Vertragsergänzung ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden. Die Verpflichtungen gelten auch über das Bestehen des Vertragsverhältnisses hinaus. Der Auftraggeber ist berechtigt, die Verpflichtungserklärung der Mitarbeitenden/ Erfüllungs-/ Verrichtungsgehilfen in Kopie abzufordern, in die Schulungsunterlagen zum Datenschutz Einsicht zu nehmen bzw. eine Fremdverpflichtung vorzunehmen. 7.2 Der Auftragnehmer wird sowohl die personenbezogenen Daten, als auch die Unternehmensdaten, welche er vom Auftraggeber im Rahmen der Auftragsabwicklung erhält bzw. erhalten kann, nur nach dessen Weisung erheben, verarbeiten und/oder nutzen (siehe zur weiteren Konkretisierung Punkt 8). Seite 3 von 10

4 7.3 Auskünfte an Dritte oder die Betroffenen selbst darf der Auftragnehmer nicht erteilen. Er wird in solchen Fällen auf den Auftraggeber verweisen. 7.4 Der Auftragnehmer verpflichtet sich, Tätigkeiten vor Ort im Unternehmen des Auftraggebers nur auf Weisung des Auftraggebers, von hierzu isd Punktes 7.1 belehrten und verpflichteten Mitarbeitenden ordnungsgemäß durchführen zu lassen. Diese autorisierten Mitarbeitenden, welche festangestellte Mitarbeiter, freie Mitarbeiter oder Subunternehmer des Auftragnehmers sind, teilt der Auftragnehmer dem Auftraggeber auf Anfrage namentlich und schriftlich mit. 7.5 Der Auftragnehmer hat regelmäßig zu kontrollieren, ob die Vertragsausführung ordnungsgemäß erfolgt und dabei die gesetzlichen Bestimmungen des Datenschutzes, sowie die in dieser Vereinbarung und der Leistungsvereinbarung des Hauptvertrages enthaltenen Regelungen eingehalten werden. 7.6 Der Auftragnehmer hat den Auftraggeber bei Unregelmäßigkeiten hinsichtlich Erhebung, Verarbeitung und/oder Nutzung der Daten, sowie bei Verdacht auf wesentliche Datenschutzverletzungen unverzüglich in Kenntnis zusetzen. Hierbei sind entsprechende Mitteilungspflichten nach Punkt 12 zu beachten. 7.7 Der Auftragnehmer gewährleistet die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach 38 BDSG. Dies gilt auch, soweit eine zuständige Behörde nach 43, 44 BDSG beim Auftragnehmer ermittelt. 7.8 Der Auftragnehmer verpflichtet sich, über interne Angelegenheiten des Auftraggebers, über Daten des Unternehmens und personenbezogene Daten der Patienten und der Beschäftigten des Auftraggebers sowie über Geschäftsgeheimnisse des Auftraggebers von denen er bei der Erfüllung des Gesamtvertrages Kenntnis erhält, Dritten gegenüber strengstes Stillschweigen zu bewahren. 8. Zweckbindung 8.1 Personenbezogene Daten, die dem Auftragnehmer im Rahmen der Erfüllung des Gesamtvertrages bekannt werden, darf der Auftragnehmer nur zur Erfüllung der beauftragten Tätigkeiten im definierten Umfang verwenden. Der Auftragnehmer verpflichtet sich, erhaltene Daten unter keinem Umstand unbefugt zu verarbeiten, zu verändern oder anderweitig zu nutzen. Diese Einschränkung umfasst auch das nicht befugte Berichtigen, Löschen bzw. Sperren von Daten des Auftraggebers ohne entsprechende Weisung. Eine Weitergabe der Daten an Dritte bzw. deren Nutzung für Dritte (z.b. Schulungen, Präsentationen, usw.) ist dem Auftragnehmer untersagt. 8.2 Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Auftragserfüllung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. 9. Besonderheiten im Falle von Wartungen und Fernwartungen an UKM-internen DV- Systemen 9.1 Die auf Seiten des Auftraggebers zuständigen Systemverantwortlichen sind im Hauptvertrag benannt. Diesbezügliche Änderungen treten in Kraft, sobald dem Auftragnehmer eine schriftliche Änderungsanzeige zugegangen ist (Fax oder werden akzeptiert). 9.2 Die Mitarbeiter des Auftragnehmers dürfen nur mit Zustimmung der Systemverantwortlichen des Auftraggebers Daten, Konfigurationen und Parameter verändernde, sowie Hard- und Software beeinflussende Aktionen unternehmen. 9.3 Fernwartungsarbeiten dürfen nur mit Zustimmung der Systemverantwortlichen des Auftraggebers begonnen werden. Sie dürfen nur stattfinden, wenn die Systemverantwortlichen des Auftraggebers den Netzzugang/die Fernwartung sperren und, soweit technisch möglich, die ablaufenden Vorgänge und Änderungen kontrollieren können. Seite 4 von 10

5 9.4 Der Verbindungsaufbau oder die Fernwartungsfreigabe muss durch einen Systemverantwortlichen des Auftraggebers erfolgen (z.b. durch Aktivieren des VPN-Tunnels, Einschaltung des Modems, Aktivierung des Benutzerkontos für die Wartung). Vor Beginn einer Fernwartung müssen sich die Mitarbeiter des Auftragnehmers durch eine von den Systemverantwortlichen des Auftraggebers zugewiesene Benutzerkennung und ein Passwort authentisieren. 9.5 Die Systemverantwortlichen des Auftraggebers sind berechtigt die Fernwartungsarbeiten von einem Kontrollbildschirm aus zu verfolgen und jederzeit abzubrechen. Der Auftragnehmer gewährleistet, dass eine jederzeitige Kontrolle, sowie ein jederzeitiger Abbruch der Arbeiten durch einen Systemverantwortlichen des Auftraggebers möglich ist. 9.6 Die Zugriffsrechte der Mitarbeiter des Auftragnehmers werden von den Systemverantwortlichen des Auftraggebers auf das für die Durchführung der Wartungsaufgaben erforderliche Maß eingeschränkt. 9.7 Die Zugriffserlaubnis der Mitarbeiter des Auftragnehmers erstreckt sich ausschließlich auf das zu wartende Softwareprodukt, die von diesem zu verwaltenden Daten und die dazugehörende Hardware. Zugriffe außerhalb dieses Bereiches sind nicht erlaubt. 9.8 Die Mitarbeiter des Auftragnehmers dürfen von den ihnen eingeräumten Zugriffsrechten nur in dem für die Durchführung der Fernwartungsarbeiten unerlässlich notwendigen Umfang und nur für die notwendige Dauer Gebrauch machen. 9.9 Der Auftragnehmer stellt die technischen Möglichkeiten zur Protokollierung aller Aktivitäten des Wartungsvorgangs zur Verfügung. Der Auftragnehmer verpflichtet sich im Falle der Erhebung, Verarbeitung und/oder Nutzung von Daten im Sinne von 3.2. zur Führung eines Wartungslogbuches, in dem die Serviceaktivitäten elektronisch protokolliert werden. Der Auftragnehmer protokolliert revisionsfähig den Zeitpunkt, den Anlass, die durchführende Mitarbeiter und die im Einzelnen durchgeführten Maßnahmen der Wartung mit Angabe von Datum und Uhrzeit und stellt den Systemverantwortlichen des Auftraggebers das Protokoll auf Anfrage schnellstmöglich zur Verfügung. Das Protokoll wird 1 Jahr ab Beendigung des jeweiligen Wartungsvorganges bei dem Auftragnehmer aufbewahrt. Sämtliche protokollierten Wartungsaktivitäten unterliegen der Zulässigkeitsüberprüfung durch die Systemverantwortlichen des Auftraggebers Vorrangig sind anonyme oder pseudonyme Daten zu verarbeiten. Es ist sicherzustellen, dass für normale Wartungs- und Diagnosearbeiten außer in unumgänglichen Fällen kein Zugriff auf personenbezogene Daten möglich ist Vor der Einsicht in personenbezogene Daten holt der Mitarbeiter des Auftragnehmers die Erlaubnis eines der im Hauptvertrag benannten Systemverantwortlichen ein Test- und Administrationsprogramme, die auf dem zu wartenden Rechnersystem abgelegt werden sollen, sind vorher bei den Systemverantwortlichen des Auftraggebers anzumelden und zu benennen. Sie sind unter einer nur für Wartungszwecke zugänglichen Kennung abzuspeichern. Der Zugriff auf die Programme darf nur für die Systemverantwortlichen des Auftraggebers und für die hierfür autorisierten Mitarbeiter des Auftragnehmers möglich sein Der Auftragnehmer darf personenbezogene Daten im Wege eines Filetransfers für Zwecke der Fehleranalyse und -behebung nur dann vom Datenverarbeitungssystem des Auftraggebers abziehen und auf sein eigenes kopieren, wenn dies unbedingt erforderlich ist und er dafür zuvor die Erlaubnis der Systemverantwortlichen des Auftraggebers eingeholt hat Die zu übertragenden personenbezogenen Daten sind soweit technisch möglich zu verschlüsseln 9.15 Die Übermittlung oder sonstige Weitergabe übertragener Daten an Dritte ist nicht gestattet Die bei der Fernwartung übertragenen Daten werden nur zu Wartungszwecken verwendet und nach Abschluss der Wartung oder Fehlersuche unverzüglich so gelöscht, dass sie nicht wiederherzustellen sind. Zu diesen Daten gehören auch Duplikate sowie fehlerhafte Arbeitsergebnisse. Die Löschung muss den Anforderungen des Punktes 13 dieser Vereinbarung entsprechen Etwaige dem Auftragnehmer überlassene Papierausdrucke mit personenbezogenen Daten muss der Auftragnehmer nach Abschluss der Fernwartungsarbeiten unverzüglich den Systemverantwortlichen des Auftraggebers zurückgeben oder datenschutzgemäß vernichten. Die Systemverantwortlichen des Seite 5 von 10

6 Auftraggebers sind über die Vernichtung zu informieren. Die Vernichtung muss den Anforderungen des Punktes 13 dieser Vereinbarung entsprechen Sinngemäß gelten die Regelungen dieses Vertrages auch für Arbeiten im Rahmen von Implementierungen Die Regelungen dieses Vertrages gelten mit Ausnahme der Regelung 9.9, die nur für Produktionssysteme gilt, sowohl für Entwicklungs-, Test- als auch Produktionssysteme. 10. Unterauftragsverhältnisse 10.1 Grundsätzlich darf der Auftragnehmer nur im Rahmen der Weisungen des Auftraggebers Unterauftragsverhältnisse eingehen Bereits eingeschaltete Subunternehmen müssen vor Beginn der Auftragsdurchführung dem Auftraggeber bekannt gegeben und schriftlich benannt werden Die Einschaltung von weiteren Unterauftragnehmern bedarf der vorherigen schriftlichen Zustimmung durch den Auftraggeber. Ohne schriftliche Zustimmung kann der Auftragnehmer zur Vertragsdurchführung unter Wahrung seiner unter Punkt 7 erläuterten Pflicht zur Auftragskontrolle konzernangehörige Unternehmen sowie im Einzelfall andere Unterauftragnehmer mit der gesetzlich gebotenen Sorgfalt einsetzen, wenn er dies dem Auftraggeber vor Beginn der Erhebung, Verarbeitung und/oder Nutzung mitteilt Die vertraglichen Vereinbarungen zwischen Auftragnehmer und Unterauftragnehmer müssen den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer entsprechen. Der Auftraggeber prüft dies in allen Fällen der Unterauftragserteilung. Erforderliche Nachbesserungen der Datenschutzvereinbarungen sind durch den Auftragnehmer zu realisieren und erneut zur Prüfung an den Auftraggeber zu übergeben 10.5 Im Falle der Unterbeauftragung sind dem Auftraggeber Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung und des 11 BDSG i.v.m. Nr. 6 der Anlage zu 9 Satz 1 BDSG beim Unterauftragnehmer einzuräumen. Dies schließt das Recht des Auftraggebers ein, vom Auftragnehmer nach vorheriger schriftlicher Anforderung Auskunft über den wesentlichen datenschutzrelevanten Inhalt des zwischen dem Auftragnehmer und dem Unterauftragnehmer geschlossenen Vertrages und die Umsetzung der datenschutzrechtlichen Verpflichtungen im Unterauftragsverhältnis zu erhalten. Dies kann, falls erforderlich, durch Einsicht in die betreffenden Vertragsunterlagen geschehen. Ausgenommen hiervon sind die kaufmännischen Konditionen Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung zu qualifizieren sind solche Dienstleistungen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt und die nur mittelbar der Erfüllung des Ursprungsauftrags dienen. Hierunter fallen insbesondere Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder Auditoren. Der Auftragnehmer ist jedoch auch in diesem Fall verpflichtet angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen, um den Schutz und die Sicherheit der Daten des Auftraggebers zu gewährleisten. Der Auftraggeber ist berechtigt eine Aufstellung aller Dienstleister die Zutritt/ Zugang/ Zugriff auf die im Auftrag zu bearbeitende Daten bzw. Datenkategorien haben bzw. haben können zu erhalten und Einblick in die vertraglichen Regelungen zu nehmen, soweit sie den Datenschutz betreffen. 11. Kontrollrecht und Kontrollpflicht des Auftraggebers / Mitwirkungspflicht des Aufragnehmers 11.1 Der Auftragnehmer räumt dem Auftraggeber oder durch diesen im Einzelfall zu benennenden Prüfern das Recht ein, die Ordnungsmäßigkeit der Tätigkeiten zur Auftragserledigung in Abstimmung mit dem Auftragnehmer durch Stichproben zu kontrollieren. Dazu gestattet der Auftragnehmer dem Auftraggeber insbesondere alle für die Erfüllung des Gesamtvertrages relevanten Räume, Datenverarbeitungsanlagen und Betriebsabläufe während der betriebsüblichen Zeiten zu überprüfen. Seite 6 von 10

7 Die Termine für die Kontrollen müssen grundsätzlich vorher angemeldet und mit dem Auftragnehmer abgestimmt werden. Die Ergebnisse der Kontrollen werden dokumentiert Der Auftragnehmer stellt sicher, dass sich der Auftraggeber vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist er dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß der Anlage zu 9 Satz 1 BDSG nach Der Auftragnehmer muss die Kontrollen des Auftraggebers dulden und gewährt für die Kontrolltätigkeiten die erforderliche Unterstützung (Mitwirkungspflicht). Er verpflichtet sich insbesondere dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. 12. Mitteilung bei Verstößen des Auftragnehmers 12.1 Der Auftragnehmer gewährleistet die Meldung bei Verstoß einer seiner beschäftigten Personen oder eingesetzten Unterauftragnehmers gegen die Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder gegen die getroffenen Festlegungen dieses Vertrages Im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung bzw. Weitergabe oder sonstigen unrechtmäßigen Kenntniserlangung von personenbezogenen Daten durch Dritte ist dies ohne Ansehen der Verursachung unverzüglich dem Auftraggeber mitzuteilen. Ebenso anzuzeigen sind schwerwiegende Störungen des Betriebsablaufs, der Verdacht auf sonstige wesentliche Verletzungen von Vorschriften zum Schutz personenbezogener Daten, sowie andere Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers. Der Auftragnehmer hat in Abstimmung mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den Auftraggeber Informationspflichten nach 42a BDSG treffen, hat der Auftragnehmer ihn hierbei zu unterstützen. 13. Rückgabe der Datenträger / Löschung der Daten 13.1 Der Auftragnehmer verpflichtet sich nach Aufforderung durch den Auftraggeber oder mit Abschluss der vertraglichen Arbeiten, jedoch spätestens mit Beendigung der Leistungsvereinbarung, die bei ihm im Rahmen des Auftragsverhältnisses entstandenen gespeicherten Daten zu löschen, soweit dem nicht andere Rechtsvorschriften entgegenstehen, sowie sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsauswertungen, sowie Datenbestände, die bei der Auftragserfüllung entstanden sind an den Auftraggeber auszuhändigen oder mit dessen Einwilligung datenschutzgerecht zu vernichten und den Vernichtungsvorgang zu dokumentieren. Gleiches gilt für eventuell anfallendes Test- und Ausschussmaterial. Das Protokoll der Löschung bzw. Vernichtung ist auf Verlangen dem Auftraggeber vorzulegen Der Auftragnehmer hat Dokumentationen, die zum Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen gemäß den entsprechenden gesetzlichen Aufbewahrungsfristen auch über das Vertragsende hinaus aufzubewahren. Er kann diese auch bei Vertragsende zu seiner Entlastung dem Auftraggeber aushändigen, der sie entsprechend den gesetzlichen Aufbewahrungsfristen aufbewahrt Die Einrede des Zurückbehaltungsrechts i. S. v. 273 BGB wird hinsichtlich der verarbeiteten personenbezogenen Daten und der zugehörigen Datenträger, sowie sonstiger im Rahmen des Auftragsverhältnisses ausgehändigter und entstandener Unterlagen ausgeschlossen Der Auftragnehmer hat dem Auftraggeber im Regressfall auch nach Vertragsende die noch vorhandenen Dokumentationen zu überlassen. Seite 7 von 10

8 14. Haftung, Schadenersatz und Sonstiges Soweit in dem zwischen dem Auftraggeber und dem Auftragnehmer geschlossenen Hauptvertrag keine anderweitigen Regelungen getroffen wurden, wird bezüglich der Haftung und des Schadensersatzes in den Ziffern 14.1 bis 14.3 folgendes vereinbart: 14.1 Der Auftragnehmer haftet gegenüber dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeitenden/ Erfüllungs-/Verrichtungsgehilfen bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen. Entstehen dem Auftraggeber oder einem Dritten (z. B. Patienten oder Beschäftigten) durch unzulässige oder unrichtige Datenverarbeitung, durch unsachgemäße Datennutzung oder durch unrechtmäßige Datenoffenbarung im Rahmen des Auftragsverhältnisses Schäden, so hat der Auftragnehmer dem Auftraggeber die Schäden zu ersetzen und ihn von Schadensersatzansprüchen Dritter freizustellen, die gemäß 7, 8 BDSG Schadensersatzforderungen erheben, wenn er als Auftragnehmer die Ursachen zu vertreten hat. Weitergehende Haftungsansprüche nach den allgemeinen Gesetzen bleiben unberührt Für den Ersatz von Schäden, die ein Betroffener erleidet, ist der Auftraggeber gegenüber den Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten Der Auftragnehmer haftet unbeschränkt für Schäden, die vorsätzlich, grob fahrlässig oder fahrlässig von dem Auftragnehmer, den Mitarbeitern des Auftragnehmers und sonstigen im Rahmen dieses Vertrages eingesetzten Dritten verursacht werden. Im Fall leicht fahrlässiger Verletzung von vertragswesentlichen Pflichten haftet der Auftragnehmer bis zur Höhe des Auftragswertes derjenigen Leistung, die den Schaden verursacht. Die Beschränkung der Haftung gilt rechtsgrundunabhängig für alle im Zusammenhang mit diesem Vertrag gegebenen Haftungsansprüche. Ausgenommen von der vorstehenden Haftungsbeschränkung ist die Haftung für Schäden aus der Verletzung des Lebens, des Körpers und der Gesundheit Der Auftragnehmer unterwirft sich, sofern die Datenverarbeitung im Geltungsbereich des GDSG NRW bzw. des DSG NRW durchgeführt wird, der Kontrolle durch den Landesbeauftragten für den Datenschutz in NRW. 15. Beschlagnahme und andere Ereignisse Sollten die Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (ggf. durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet sein, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftraggeber wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit an den Daten beim Auftraggeber liegt. Auftraggeber Münster,... Auftragnehmer Ort, Datum Universitätsklinikum Münster Seite 8 von 10

9 Anhang I TOM Technische und Organisatorische Maßnahmen Erläuterungen zu den Datensicherungsmaßnahmen In dem Vertrag müssen die technischen und organisatorischen Maßnahmen festgelegt werden, die bei der Datenverarbeitung umzusetzen sind. Rechtsgrundlage ist 11 Abs. 2 BDSG, in dem beschrieben ist, welche Prüfungen ein Auftraggeber vor einer Auftragsvergabe durchzuführen hat. So muss der Auftragnehmer unter besonderer Berücksichtigung der Zuverlässigkeit und der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt werden. Im Auftrag sind insbesondere die technischen und organisatorischen Maßnahmen schriftlich festzulegen. Auch hat der Auftraggeber zu prüfen, ob beim Auftragnehmer die nach der Anlage zu 9 BDSG erforderlichen Maßnahmen getroffen werden. Werden personenbezogene Daten verarbeitet, deren Verarbeitung für die Betroffenen keine besonderen Risiken erwarten lässt, so bietet das Grundschutzhandbuch des BSI für bestimmte technische Konstellationen einen Katalog an Sicherheitsmaßnahmen. (Das Handbuch, in dem die Maßnahmen erläutert werden, kann auf Datenträgern beim BSI ( bestellt werden.) Wenn der Auftragnehmer ein Datensicherheitskonzept besitzt, muss der Auftraggeber prüfen und schriftlich festlegen, ob es seinen Anforderungen entspricht. Die Sicherheitsziele sind in der Anlage zu 9 BDSG genannt. Ist das Konzept nicht ausreichend, sind ergänzende Maßnahmen zu vereinbaren. Das daraus resultierende Sicherheitskonzept sollte zum Vertragsbestandteil gemacht werden. In diesem Fall kann darauf verzichtet werden, im Sicherheitskonzept genannte Maßnahmen im Vertrag zu wiederholen. Wenn der Auftragnehmer kein Datensicherheitskonzept vorlegen kann, müssen die Maßnahmen im Vertrag vereinbart werden. Dabei sind wiederum die in der Anlage zu 9 BDSG genannten Sicherheitsziele zu erreichen. Aus dem Katalog sollten die einzelnen Maßnahmen in den Vertrag übernommen werden. Es handelt sich um keinen abschließenden Maßnahmenkatalog. Insbesondere bei der Verarbeitung sensibler Daten sind in der Regel zusätzliche Maßnahmen erforderlich. Besonders wichtig sind Regelungen zu folgenden Sachverhalten: V e r a n t w o r t l i c h k e i t e n: Aus unklaren Aufgabenverteilungen, beispielsweise bei der Vergabe von Zugriffsrechten, resultieren Schwachstellen mit hohen Risiken. A b s c h o t t u n g v o n N e t z e n: Es müssen Maßnahmen ergriffen werden, um ein unberechtigtes Eindringen in Rechnernetze soweit möglich zu verhindern. Da meist keine absolute Sicherheit zu erreichen ist, müssen derartige Versuche erkannt werden. Technische Komponenten, die in Betracht kommen, sind Firewalls, Intrusion Detection Systeme und insbesondere dem Stand der Technik entsprechende Verschlüsselungsverfahren. A b h ö r e n d e r K o m m u n i k a t i o n: Zum Schutz gegen unberechtigtes Abhören bietet es sich an, die Daten entsprechend dem Stand der Technik zu verschlüsseln. A b m e l d e p r o z e d u r e n: Die Abmeldung am System oder Anwendung stellt die erste und wichtigste Hürde dar, die unbefugte Personen überwinden müssen. An dieser Stelle müssen qualitativ hochwertige Maßnahmen ergriffen werden. Beschreibung der technischen und organisatorischen Maßnahmen zu Anhang I Datensicherungsmaßnahmen 1. Zutrittskontrolle Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden: (Beschreibung des Zutrittskontrollsystems, z.b. Ausweisleser, kontrollierte Schlüsselvergabe, etc.) 2. Zugangskontrolle Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen: (Verschlüsselungsverfahren entsprechend dem Stand der Technik.) 3. Zugriffskontrolle Seite 9 von 10

10 Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können: (Beschreibung von systemimmanenten Sicherungsmechanismen, Verschlüsslungsverfahren entsprechend dem Stand der Technik. Bei Online-Zugriffen des Auftraggebers ist klarzustellen, welche Seite für die Ausgabe und Verwaltung von Zugriffssicherungscodes verantwortlich ist.) 4. Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. (Beschreibung der verwendeten Einrichtungen und Übermittlungsprotokolle, z.b. Identifizierung und Authentifizierung, Verschlüsselung entsprechend dem Stand der Technik, automatischer Rückruf, u.a.) 5. Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind. (Sämtliche Systemaktivitäten werden protokolliert; die Protokolle werden mindestens 3 Jahre lang durch den Auftragnehmer aufbewahrt.) 6. Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. (Sicherungskopien des Datenbestandes werden in folgenden Verfahren hergestellt: hier Beschreibung von Rhythmus, Medium, Aufbewahrungszeit und Aufbewahrungsort für Back-up-Kopien.) 7. Trennungskontrolle Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Seite 10 von 10