TENA Check. Vertrag über die Datenverarbeitung im Auftrag. zwischen. (Auftraggeber) und. SCA Hygiene Products Vertriebs GmbH

Transkript

1 TENA Check Vertrag über die Datenverarbeitung im Auftrag zwischen (Auftraggeber) und SCA Hygiene Products Vertriebs GmbH Sandhofer Straße 176, Mannheim (Auftragnehmer) 1. PRÄAMBEL/ANWENDUNGSBEREICH Durch diesen Vertrag werden die datenschutzrechtlichen Verpflichtungen von SCA bei der Bereitstellung des Onlinetools TENA Check festgelegt. 2. GEGENSTAND UND UMFANG DER AUFTRAGSDATENVERARBEITUNG, VERANTWORTLICHKEIT 2.1 Der Auftragnehmer verarbeitet für den Auftraggeber personenbezogene Daten über Angestellte des Auftraggebers sowie über Bewohner der vom Auftraggeber betriebenen Pflegeeinrichtungen. Im Folgenden werden diese als "personenbezogene Daten des Auftraggebers" bezeichnet. Betroffen sind folgende Arten personenbezogener Daten: Die Kundenstammdaten des Auftraggebers inklusive der Daten der für die Bestellung zuständigen Angestellten. Informationen zu den Bewohnern der vom Auftraggeber betriebenen Pflegeeinrichtungen. Diese umfassen insbesondere deren Namen und Vornamen und Aufenthaltsort. Weiterhin können Informationen zu Geschlecht, Details zu ihrer Krankenversicherung, Angaben bezüglich ihres Gesundheitszustandes und ihrer körperlichen Verfassung sowie Angaben zu den sie betreuenden Hausärzten ausgefüllt werden. 2.2 Die Verarbeitung dieser Daten im Rahmen des vom Auftragnehmer zur Verfügung gestellten Onlinetools ermöglicht dem Auftraggeber, jederzeit eine aktuelle bewohner- und wohnbereichsbezogene Aufstellung über die aktuelle Versorgung mit den Produkten des Auftragnehmers zu erhalten und die Pflege der Bewohner zu dokumentieren. Dadurch sollen Versorgungsengpässe vermieden und die Logistik des Auftraggebers vereinfacht werden. 2.3 Die Daten werden vom Auftraggeber über eine vom Auftragnehmer im Rahmen des Internetportals zur Verfügung gestellte Eingabemaske erfasst. Für die grundsätzliche Zulässigkeit der Datenverarbeitung, insbesondere im Hinblick auf die Verarbeitung besonderer Arten personenbezogener Daten im Sinne des Bundesdatenschutzgesetzes (insbesondere Gesundheitsdaten), ist allein der Auftraggeber verantwortlich. FB KP-01 Seite 1

2 3. PFLICHTEN DES AUFTRAGNEHMERS 3.1 Umgang mit den personenbezogenen Daten (d) Der Auftragnehmer wird personenbezogene Daten ausschließlich in Übereinstimmung mit den Bestimmungen dieses Vertrages und den Weisungen des Auftraggebers verarbeiten. Weisungen hat der Auftraggeber schriftlich (z.b. per ) zu erteilen und der Auftragnehmer unverzüglich umzusetzen. Soweit dem Auftragnehmer durch die Umsetzung von Weisungen nach diesem Vertrag zusätzliche Kosten entstehen, trägt diese der Auftraggeber. Im Rahmen der Auftragsdatenverarbeitung werden dem Auftragnehmer vom Auftraggeber keine Datenträger überlassen. Der Auftragnehmer wird personenbezogene Daten des Auftraggebers auf dessen Weisung aufbewahren, an den Auftragnehmer übergeben oder datenschutzkonform löschen/vernichten. 3.2 Erforderliche technische und organisatorische Maßnahmen Der Auftragnehmer wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Anforderungen der geltenden gesetzlichen Bestimmungen genügen. Der Auftragnehmer wird insbesondere die in der Anlage 3.2 aufgeführten Maßnahmen ergreifen. Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt unterliegen, ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen einzusetzen, solange das Sicherheitsniveau der zuvor festgelegten Maßnahmen nicht unterschritten wird. Änderungen der technischen und organisatorischen Maßnahmen wird der Auftragnehmer dokumentieren. 3.3 Einhaltung des Datengeheimnisses Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung von personenbezogenen Daten des Auftraggebers befassten Mitarbeiter auf das Datengeheimnis verpflichtet werden und in die anwendbaren datenschutzrechtlichen Bestimmungen eingewiesen worden sind. 3.4 Informationspflichten Auf Anforderung des Auftraggebers stellt der Auftragnehmer dem Auftraggeber sämtliche Informationen zur Verfügung, die im Zusammenhang mit der Verarbeitung seiner personenbezogenen Daten stehen. Dies umfasst insbesondere Angaben über zugriffsberechtigte Personen sowie sämtliche Auskünfte, die zur Ausübung der sich aus Ziffer 3.6 ergebenden Kontrollbefugnisse des Auftraggebers erforderlich sind. Der Auftragnehmer wird den Auftraggeber unverzüglich über schwerwiegende Störungen des Betriebsablaufes oder den Verdacht auf Datenschutzverletzungen oder andere Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten unterrichten. 3.5 Datenschutzbeauftragter Soweit dies nach den gesetzlichen Bestimmungen erforderlich ist, wird der Auftragnehmer einen Beauftragten für den Datenschutz bestellen und dem Auftraggeber die Kontaktdaten dieser Person mitteilen. 3.6 Kontroll- und Überprüfungsrechte Der Auftraggeber hat das Recht, die Erfüllung der Pflichten des Auftragnehmers zu überwachen und in geeigneter Form zu dokumentieren. Insbesondere kann sich der Auftraggeber vor der Aufnahme der Auftragsdatenverarbeitung und ab diesem Zeitpunkt in regelmäßigen Abständen von den technischen und organisatorischen Sicherungsmaßnahmen des Auftragnehmers im Sinne der Ziffer 3.2 überzeugen und das Ergebnis seiner Kontrollen dokumentieren. FB KP-01 Seite 2

3 Die Form der Kontrollen bestimmt der Auftraggeber. Hierzu kann er Selbstauskünfte des Auftragnehmers einholen, die Vorlage eines Testats eines Sachverständigen verlangen oder zu den üblichen Geschäftszeiten und nach rechtzeitiger Anmeldung eine persönliche Kontrolle beim Auftragnehmer vornehmen, wenn hierdurch dessen Betriebsablauf nicht gestört wird. Soweit der Auftraggeber bei der Prüfung Fehler oder Unregelmäßigkeiten in Bezug auf datenschutzrechtliche Bestimmungen feststellt, wird er den Auftragnehmer unverzüglich hierüber informieren. 4. ANFRAGEN BETROFFENER Soweit der Auftraggeber gesetzlich gegenüber einer Einzelperson zu einer Auskunft bezüglich der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten dieser Person verpflichtet ist, wird der Auftragnehmer ihn hierbei durch Bereitstellung der erforderlichen Informationen unterstützen. Dies gilt ebenfalls, soweit der Auftraggeber gesetzlich zu einer Berichtigung, Löschung oder Sperrung der Daten der Einzelperson verpflichtet ist. Soweit hierdurch zusätzliche Kosten entstehen trägt diese der Auftraggeber. Richtet ein Betroffener seine Anfrage direkt an den Auftragnehmer, so hat dieser die Anfrage unverzüglich an den Auftraggeber weiterzuleiten und Weisungen des Auftraggebers abzuwarten. 5. BEAUFTRAGUNG DRITTER Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer folgende Gesellschaften (im Folgenden: "Dritte") zur Erfüllung seiner vertraglichen Pflichten in Bezug auf die Auftragsdatenverarbeitung einsetzt: SCA IT Services Bäckstensgatan Gothenburg Schweden Im Falle einer Beauftragung von Dritten muss der Auftragnehmer seine Verpflichtungen aus diesem Vertrag auch dem jeweils eingebunden Dritten auferlegen. Der Auftragnehmer wird vertraglich sicherstellen, dass der Auftraggeber die ihm nach diesem Vertrag zustehenden Kontroll- und Überprüfungsrechte auch gegenüber dem Dritten ausüben kann. Soweit der Auftragnehmer Dritte beauftragt, wird er dem Auftraggeber auf Anforderung Auskunft über die Einzelheiten dieser Beauftragung erteilen. Dies bezieht sich insbesondere auf die Einhaltung der datenschutzrechtlichen Verpflichtungen des Dritten sowie eine Auskunft über die relevanten Vertragsunterlagen und deren Inhalt. 6. LAUFZEIT Dieser Vertrag endet automatisch der endgültigen Beendigung der Nutzung des Onlinetools TENA Check, ohne dass es einer separaten Kündigung bedarf. Bei Vertragsende wird der Auftragnehmer die Daten nach Weisung des Auftraggebers dauerhaft löschen oder nach Maßgabe von Ziffer 3.1(d) an den Auftraggeber übergeben. Für den Auftraggeber Für den Auftragnehmer Name: Name: Funktion: Funktion: FB KP-01 Seite 3

4 Anlage 3.2. zum Vertrag über die Datenverarbeitung im Auftrag Der Auftragnehmer wird gemäß Ziffer 3.2 des Vertrages über die Datenverarbeitung im Auftrag folgende technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust ergreifen: Unbefugten wird der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet und genutzt werden, verwehrt (Zutrittskontrolle). Konkret werden folgende Maßnahmen ergriffen: o Das Gebäude, in denen personenbezogene Daten verarbeitet werden, ist nicht frei zugänglich, sondern grundsätzlich gesichert. Es gibt jeweils nur begrenzte Zugänge, bei denen eine Autorisierung für den Zutritt zu weiteren Teilen des Gebäudes eingeholt werden muss. o Die Büroräume innerhalb des Rechenzentrums sind nur für berechtigte Personen zugänglich. Der Eingang ist durch individuelle Schlüssel zu öffnen. o Das Rechenzentrum unterliegt besonderen Zutrittssicherungen technisch durch Anmeldepflicht an der Rezeption und Codeschlüssel/Smartcards/Besucherausweise, teilweise mit definierten Berechtigungen bis auf Raumebene. Publikumsverkehr findet hier grundsätzlich nicht statt. o Rechtevergaben und Bewegungen im Rechenzentrum werden protokolliert. o Die Sicherheitsbereiche vom Rechenzentrum sind zusätzlich durch personalisierte Codeschlüssel nur für autorisierte Personen zugänglich. Einzelne Server-Racks sind teilweise zusätzlich gesichert, die Serverräume sind fensterlos. o Besucher und Fremddienstleister halten sich nur in Gegenwart mindestens eines Mitarbeiters im Gebäude auf. o Von allen Mitarbeitern und kontinuierlich tätigen Fremddienstleistern (z.b. Reinigungspersonal) liegen Datenschutzerklärungen vor. o Außerhalb der Arbeitszeiten sind die Rechenzentrums-Gebäude durch einen Direktalarm zu einem privaten Sicherheitsdienst alarmgesichert. Der Auftragnehmer gewährleistet, dass eine Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindert wird (Zugangskontrolle). Hierzu erstellt er separate Zugänge für jeden Auftraggeber, welche mit einer Kundennummer und einem individuellen Passwort versehen sind und verwendet einen Mechanismus, der die Einsichtnahme- und Veränderungsmöglichkeiten der Auftraggeber auf deren Daten beschränkt. Für die Gestaltung von Passwörtern existieren Richtlinien mit detaillierten Anforderungen; diese werden bei jeder Passwortänderung automatisiert abgeprüft. Für bestimmte Sicherheitsstufen sind evtl. zusätzliche Passworte erforderlich. Es werden Firewalls eingesetzt, um eine Umgehung bzw. Durchdringung der Zugangskontrollmechanismen bei vernetzten Systemen zu verhindern. Die Kommunikation der verschiedenen Systeme und Standorte erfolgt über sichere Virtual Private Networks (VPN). Der Auftragnehmer wird Maßnahmen ergreifen, damit die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und Unbefugte personenbezogene Daten nach der Speicherung und bei der Verarbeitung oder Nutzung nicht lesen, kopieren, verändern oder entfernen können (Zugriffskontrolle). Hierzu erstellt er separate Zugänge für jeden Auftraggeber, welche mit einer Kundennummer und einem individuellen Passwort versehen sind. Es werden auch weitere Sicherheitsmaßnahmen durchgeführt: o Es werden Bildschirmschoner eingesetzt, die nur durch Eingabe des Nutzerpassworts wieder deaktiviert werden können. o Im Rechenzentrumsbereich werden alle Datenzugriffe auf sensible Daten protokolliert und beinhalten eine entsprechende Historisierung. o Die externe Speicherung (Auslagerung, Backup, Daten für Transfer) von im Rechenzentrum vorgehaltenen Daten erfolgt nur durch die berechtigten IT-Administratoren und ist auch nur diesen möglich. o Im Rechenzentrum ist die unbefugte Nutzung der USB-Ports der Server durch abgeschlossene Racks, die Raumsicherungsmaßnahmen und das benötigte Administrator-Passwort ausgeschlossen. o Datenträger werden sorgfältig aufbewahrt, in der Regel in verschlossenen Behältnissen in einem abgeschlossenen Schrank im Rechenzentrum (Sicherungsmaßnahmen analog zu Servern). o Personenbezogene Daten werden in physischer Form (Datenträger, Papier) über eine abgeschlossene Aktenvernichtungstonne und Zerstörung durch ein zertifiziertes Fachunternehmen entsorgt. FB KP-01 Seite 4

5 Der Auftragnehmer wird dafür Sorge tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Auftragnehmer wird sicherstellen, dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle). Hierzu werden die Systeme mit Firewalls gesichert. Die Datenübermittlung erfolgt nur im Rahmen von vertraglichen Vereinbarungen durch autorisierte Personen. Die Weitergabe von Daten durch Subunternehmer an weitere berechtigte Stellen erfolgt nur in Zusammenarbeit mit der verantwortlichen Stelle, nach Rücksprache mit dem Verantwortlichen für Datenschutz und unter Einsatz besonderer Sicherungsmaßnahmen. Datenträger werden grundsätzlich in verschließbaren Transportbehältern transportiert. Sofern Daten auf CD übermittelt werden, werden die Daten vor dem Brennen auf der CD verschlüsselt. Der Zugriff auf die Daten erfolgt ausschließlich durch authentifizierte Benutzer und im Rahmen derer autorisierten Rechte (Eingabekontrolle). Eingaben werden in der Regel einer Plausibilitätskontrolle unterzogen. Der Auftragnehmer wird personenbezogene Daten ausschließlich entsprechend der Weisungen des Auftraggebers verarbeiten (Auftragskontrolle). Alle eingeschalteten Dritten werden sorgfältig ausgewählt. Weisungen ergehen grundsätzlich schriftlich. Zur Kontrolle der im Datenschutzvertrag getroffenen Festlegungen zum Schutz der Sozialdaten können beim Auftragnehmer Vor-Ort-Kontrollen durchgeführt werden. Hier geht es in erster Linie um die technischen und organisatorischen Maßnahmen. Im Rahmen der Auftragsabwicklung wird, soweit dies möglich ist, eine Kontrolle der konkreten Auftragsabwicklung durchgeführt. Die Ergebnisse der Kontrollen werden dokumentiert. Der Auftragnehmer wird personenbezogene Daten gegen zufällige Zerstörung oder Verlust schützen (Verfügbarkeitskontrolle). Hierzu setzt der Auftraggeber ein Backup-Verfahren ein, bei dem die Daten enthaltenden Festplatten gespiegelt werden. Weiter wird eine Firewall eingesetzt. Virenschutz findet durch die Verwendung des Betriebssystems Linux statt. Der Auftragnehmer wird zu unterschiedlichen Zwecken erhobene personenbezogene Daten nach den Weisungen des Auftraggebers getrennt verarbeiten (Trennungskontrolle). Über das in Punkt Zugriffskontrolle erwähnte Rollen- und Rechte-Konzept enthalten Anwender nur auf die Daten Zugriff, die für das jeweilige Arbeitsgebiet notwendig sind. Eine Zusammenführung der getrennten Daten wird durch die Rechtevergabe verhindert. FB KP-01 Seite 5