Vertrag zur Auftragsdatenverarbeitung nach 11 BDSG Auftraggeber (Praxis/Klinik): Auftragnehmer Social Affairs e.v. Augsburgerstr. 11 80337 München 1. Gegenstand und Dauer der Vereinbarung Der Auftrag umfasst Folgendes: Der Auftragnehmer stellt ein EDV-System für die Sprachtherapie bereit. Damit können Patientenprofile erstellt und individuelle Wörtersets aus einer Datenbank ausgewählt werden. Die Wörtersets werden zum Üben auf Endgeräte der Patienten übertragen. Im Anschluss werden individuelle Statistiken erstellt, die den Übungserfolg des Patienten darstellen. Der Auftragnehmer erhebt und verarbeitet dabei personenbezogene Daten im Auftrag des Auftraggebers nach 11 BDSG. Die Rahmenbedingungen der Verarbeitung dieser Daten als Auftragnehmer werden im Folgenden festgelegt. Dauer des Auftrags Der Vertrag wird auf unbestimmte Zeit geschlossen. Laufzeit und Kündigung bestimmt sich nach dem Hauptvertrag. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.
2. Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung: Umfang der Verarbeitung: Erstellung von Patientenprofilen in der Web-App und der Therapeuten-App Erstellung von individuellen Wörtersets für Patienten in der Web-App und der Therapeuten- App Übertragung der Wörtersets auf Tablet-Apps Erfassen von Statistiken in den Tablet-Apps Übertragung der Statistiken in die Web-App Visualisierung der Statistiken in der Web-App und der Therapeuten-App Einstellen der Übungsschwierigkeit für Patienten in der Web-App und der Therapeuten-App Art der Daten optional: Patientenname, Geschlecht, Geburtsdatum, Diagnose Individuelle Gerätekennung Individuelle Wörtersets und Schwierigkeitseinstellungen Individuelle Statistiken und Erfolgskontrolle Kreis der Betroffenen Patienten des Auftraggebers Die Verarbeitung der Daten erfolgt ausschließlich im Inland, innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraum. 3. Technische und organisatorische Maßnahmen nach 9 BDSG Für die auftragsgemäße Verarbeitung personenbezogener Daten nutzt der Auftragnehmer schwerpunktmäßig folgende DV-Technik und Softwareprodukte: 1. Zugangskontrolle (um unbefugten Personen den Zugang zu den Datenverarbeitungssystemen zu verweigern, mit denen personenbezogene Daten verarbeitet oder benutzt werden): Der Zugang beschränkt sich auf befugte Personen. Ein Remote-Zugang wird nur temporär und in sicheren Räumen in Abwesenheit von unbefugten Personen hergestellt. Durch SSH-Schlüssel sind die Rechner vor unbefugter Verwendung geschützt. Auf den Rechnern werden keine Daten lokal gespeichert. Bei Abwesenheit werden die Rechner ordentlich verwahrt. 2. Zutrittskontrolle (um zu verhindern, dass die Datenverarbeitungssysteme unbefugt benutzt werden): Der Zugriff ist entweder mit SSH-Schlüsseln (abgestimmte Schlüsselpaare: öffentlich und privat) oder starken Passwörtern beschränkt. Nur ausgewählte Personen haben Zugriff.
3. Zugriffskontrolle (um zu gewährleisten, dass zur Nutzung eines Datenverarbeitungssystems befugte Personen lediglich Zugriff auf die Daten haben, für die sie ein Zugriffsrecht haben, und dass personenbezogene Daten ohne Erlaubnis während der Verarbeitung oder Nutzung und nach der Aufbewahrung nicht gelesen, kopiert, geändert oder entfernt werden können): Der Zugriff ist mit HTTPS und SSH beschränkt. 4. Übertragungskontrolle (um zu gewährleisten, dass personenbezogene Daten ohne Erlaubnis während der elektronischen Übertragung oder dem Transport nicht gelesen, kopiert, geändert oder entfernt werden können, und dass die Überprüfung und Feststellung jederzeit möglich ist, zu welcher Stelle die Übermittlung von personenbezogenen Daten mittels Datenübertragungseinrichtungen geplant ist): Die Übertragung von personenbezogenen Daten wird lediglich via HTTPS durchgeführt. 5. Eingabekontrolle (um zu gewährleisten, dass die Überprüfung und Feststellung möglich ist, ob und von wem die personenbezogenen Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden): Der Auftragnehmer bewahrt alle Kommandos, die direkt auf dem Server durch SSH ausgeführt werden, auf. 6. Arbeitskontrolle (um zu gewährleisten, dass im Falle der Auftragsverarbeitung von personenbezogenen Daten, die Daten streng im Einklang mit den Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet werden): Alle Mitarbeiter des Auftragnehmers werden bezüglich Datenschutz geschult. Die Einhaltung der datenschutzrechtlichen Vorgaben wird regelmäßig kontrolliert. 7. Verfügbarkeitskontrolle (um zu gewährleisten, dass die personenbezogenen Daten vor unbeabsichtigter Zerstörung oder unbeabsichtigtem Verlust geschützt sind): Der Auftragnehmer legt täglich ein vollständiges Backup aller Daten auf einem anderen, physisch getrennten Datencenter des Cloud-Auftragsverarbeiters an. 8. Trennungsgebot (um zu gewährleisten, dass die in der Cloud für verschiedene für die Verarbeitung Verantwortliche und/oder verschiedene Zwecke erhobenen und verarbeiteten Daten getrennt verarbeitet werden können): Durch das Design des Systems des Auftragnehmers hat der Auftraggeber ausschließlich Zugriff auf seine eigenen Daten. Die Datenbank wurde modelliert, um die Trennung zu gewährleisten. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Die Datensicherheitsmaßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung selbständig angepasst werden. Das hier vereinbarte Datenschutzniveau darf dabei nicht unterschritten werden. Wesentliche Änderungen sind Auftraggeber vom Auftragnehmer unverzüglich mitzuteilen. 4. Regelungen zur Berichtigung, Löschung und Sperrung von Daten Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis jederzeit zu berichtigen, zu löschen oder zu sperren, soweit vereinbart oder soweit vom Auftraggeber im Einzelfall angewiesen. Eigene gesetzliche Aufbewahrungspflichten des Auftragnehmers bleiben hiervon unberührt.
5. Pflichten des Auftragnehmers (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Der Auftragnehmer verwendet die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. (2) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (3) Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Auftraggeber abzustimmen. (4) Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den vom Auftraggeber dem Auftragnehmer schriftlich mitgeteilten Anforderungen nicht genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich. (5) An der Erstellung der Verfahrensverzeichnisse des Auftraggebers hat der Auftragnehmer mitzuwirken. Er hat die erforderlichen Angaben dem Auftraggeber zuzuleiten. (6) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. (7) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Sicherheitskontrollen vor Ort. Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Kontrollen sind dem Auftragnehmer mindestens zwei Wochen vorher anzukündigen und haben zu seinen Geschäftszeiten ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Kontrollen erfolgen nicht häufiger als alle 18 Monate. Diese Einschränkungen gelten nicht, wenn dringender Anlass zu einer Überprüfung besteht. Die dringenden Gründe sind dem Auftragnehmer bei Ankündigung der Kontrolle mindestens in Textform mitzuteilen. Dem Auftragnehmer im Rahmen von Kontrollen entstehende Kosten und Aufwendungen erstattet der Auftraggeber. (8) Der Auftragnehmer überprüft die eigenen technischen und organisatorischen Maßnahmen regelmäßig, mindestens jährlich, und fertigt hierüber eine Dokumentation. Diese Dokumentation ist dem Auftraggeber auf Anforderung zu überlassen. Wird die Dokumentation dem Auftraggeber zur Verfügung gestellt, sollen sich Kontrollen nach 5 (7) auf Stichproben beschränken. (9) Die Verarbeitung von Daten erfolgt ausschließlich in eigenen Geschäftsräumen des Auftragnehmers oder der eingesetzten Dienstleister. (10) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Er verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personen-
bezogenen Daten das Datengeheimnis und das Patientengeheimnis zu wahren. Andere für den Auftraggeber bestehende Geheimnisschutzregeln wird der Auftragnehmer beachten, soweit der Auftraggeber ihm diese schriftlich mitgeteilt hat. (11) Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis schriftlich verpflichtet. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. (12) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Weisung oder Zustimmung durch den Auftraggeber erteilen. (13) Der Auftragnehmer wird einen Datenschutzbeauftragten bestellen, sofern er gesetzlich dazu verpflichtet ist. In diesem Fall teilt er dem Auftraggeber die Bestellung und die Kontaktmöglichkeit zum Beauftragten unaufgefordert mit. 6. Unterauftragsverhältnisse (1) Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist mit schriftlicher Zustimmung des Auftraggebers zugelassen. Die Zustimmung ist unter den folgenden Bedingungen zu erteilen: a) Der Auftragnehmer teilt dem Auftraggeber den Namen und die Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mit. b) Der Auftragnehmer trägt dafür Sorge, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen auswählt. c) Der Auftragnehmer stellt vertraglich sicher, dass die hier vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, angemessene Kontrollen vor Ort bei Subunternehmern durchzuführen oder durch beauftragte Dritte durchführen zu lassen. d) Der Subunternehmer hat seinen Sitz im Inland, der EU oder im europäischen Wirtschaftsraum und erbringt auch sämtliche Verarbeitungen von diesem Gebiet aus. (2) Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach 11 BDSG erfüllt hat. (3) Der Auftragnehmer wird die Einhaltung der Pflichten des/der Subunternehmer(s) regelmäßig, spätestens alle 18 Monate, angemessen überprüfen. (4) Derzeit sind für den Auftragnehmer die folgenden Subunternehmer mit der Verarbeitung von personenbezogenen Daten beschäftigt: Deutsche Telekom GmbH, Landgrabenweg 151, 53227 Bonn
Der Auftraggeber stimmt dem Einsatz zu. (5) Kommt bei einem künftig geplanten neuen Subunternehmer-Einsatz keine Einigung zustande, besteht für beide Seiten ein außerordentliches Kündigungsrecht für den zugrundeliegenden Dienstleistungsvertrag sowie diese Vereinbarung. 7. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers (1) Für die Beurteilung der Zulässigkeit der Datenerhebung / -verarbeitung / -nutzung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich. (2) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich festzulegen. (3) Der Auftraggeber erteilt alle Aufträge oder Teilaufträge in der Regel schriftlich, mindestens in Textform. Mündliche Weisungen sind unverzüglich in der genannten Form zu bestätigen. (4) Der Auftraggeber ist berechtigt, sich wie unter 5 (9) festgelegt, vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. (5) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. (6) Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. 8. Weisungsberechtigte des Auftraggebers Weisungsberechtigte Personen des Auftraggebers sind: (Vorname, Name, Organisationseinheit, Telefon) Weisungsempfänger beim Auftragnehmer sind: Mona Späth, Projektleitung, Tel.: 089-2180-1882 (Vorname, Name, Organisationseinheit, Telefon) Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen. 9. Mitteilungspflichten des Auftragnehmers Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Informationspflichten des Auftraggebers. Der Auftragnehmer sichert zu, den Auftraggeber bei der Wahrnehmung seiner Pflichten soweit erforderlich zu unterstützen.
10. Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber zu überlassen oder datenschutzgerecht zu löschen. 11. Vergütung Die Vergütung ist abschließend im Dienstleistungsvertrag geregelt. Die Verpflichtung zum Ersatz von Aufwendungen und Kosten im Rahmen von Kontrollen, siehe oben 5 (9), bleibt hiervon unberührt. 12. Haftung Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen. Die Haftung für leichte Fahrlässigkeit ist ausgeschlossen. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten. 13. Sonstiges (1) Dem Auftraggeber ist bekannt, dass neben dem Datengeheimnis gegebenenfalls auch das Privat- bzw. Patientengeheimnis zu beachten ist. Der Auftraggeber sichert dem Auftragnehmer zu, diesen Geheimnissen unterliegende Informationen nur zugänglich zu machen, sofern er hierfür vom Betroffenen von der Verschwiegenheitspflicht entbunden wurde. (2) Für Nebenabreden ist die Schriftform erforderlich. (3) Die Einrede des Zurückbehaltungsrechts i. S. v. 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. (4) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. Unterschriften Auftraggeber (Praxis/Klinik) Auftragnehmer (Social Affairs e.v.) Der Vertrag zur Auftragsdatenverarbeitung nach 11 BDSG wurde auf Grundlage des Musters des Bayerischen Landesamt für Datenschutzaufsicht erstellt.