Auftragsverarbeitungsvertrag (AVV)

Doccura ist eine Audio- und Videokommunikationssoftware basierend auf der neuesten WebRTC-Technologie. Die Software ist auf allen Geräten über Browser oder App nutzbar. Die Bayerische TelemedAllianz GmbH bietet die Software Doccura als eine mobile Online-, Audio- und Videokommunikationsplattform an, bei dem Kunden und andere Nutzer in Kontakt treten und miteinander kommunizieren können. Doccura ermöglicht eine sichere, Ende-zu-Ende-verschlüsselte Videoverbindung zwischen zwei oder mehreren Nutzern von beliebigen mobilen oder stationären Endgeräten.

Auftragsverarbeitung gemäß Art. 28 DSGVO

zwischen dem Doccura Kunden (Verantwortlicher) und der Bayerischen TelemedAllianz GmbH (Auftragsverarbeiter), Brückenstrasse 13a, 85107 Baar-Ebenhausen wird nachfolgender Vertrag geschlossen:


1. Einleitung, Geltungsbereich, Definitionen

(1)    Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.

(2)    Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers in dessen Auftrag verarbeiten.

(3)    In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung (EU DSGVO) zu verstehen. In diesem Sinne ist der Auftraggeber der „Verantwortliche“, der Auftragnehmer der „Auftragsverarbeiter“. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

2. Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer Bayerische TelemedAllianz GmbH und entsprechende Unter-Auftragsverarbeiter von der Bayerischen TelemedAllianz GmbH übernimmt folgende Verarbeitungen: 

2.1          Betrieb der Videokommunikationssoftware Doccura (Verifizierung)

Zweck der Verarbeitung: Verifizierung der Anmeldung (Double Opt-in-Verfahren)

Betroffene Personen: Individuelle Kunden von Doccura, Organisationen als Kunden von Doccura

Art der gespeicherten Daten: E-Mail-Adresse

 

Empfänger: Mitarbeiter von der Bayerischen TelemedAllianz GmbH

Übermittlung Drittländer: keine

Auftragsverarbeiter: E-Mail-Provider IONOS (für E-Mail-Versand)

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO

 

Löschfrist:

nach Zweckerfüllung unter Berücksichtigung der geltenden handels- und steuerrechtlichen Aufbewahrungspflichten

Technisch- organisatorische Maßnahmen:

Siehe Datensicherheitskonzept

2.2     Betrieb der Videokommunikationssoftware Doccura (Identifikation)

Zweck der Verarbeitung: Identifikation, Kontakt, Verifizierung der Daten, Möglichkeit zur Nachvollziehung erfolgter Registrierungen

Betroffene Personen: Individuelle Kunden von Doccura, Organisationen als Kunden von Doccura

Art der gespeicherten Daten: Vollständiger Name und Geburtsdatum, Kontaktdaten, Adressdaten, ggf. Organisationsname

Empfänger: Mitarbeiter von der Bayerischen TelemedAllianz GmbH

Übermittlung Drittländer: keine

Auftragsverarbeiter: -

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO

 

Löschfrist:

nach Zweckerfüllung unter Berücksichtigung der geltenden handels- und steuerrechtlichen Aufbewahrungspflichten

Technisch- organisatorische Maßnahmen:

Siehe Datensicherheitskonzept

2.3         Betrieb der Videokommunikationssoftware Doccura (Passwort wiederherstellen)

Zweck der Verarbeitung: Passwort bei Doccura wiederherstellen

Betroffene Personen: Individuelle Kunden von Doccura, Organisationen als Kunden von Doccura

Art der gespeicherten Daten: E-Mail-Adresse)

Empfänger: -

Übermittlung Drittländer: keine

Auftragsverarbeiter: E-Mail-Provider IONOS (für Email-Versand)

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO

 

Löschfrist:

nach Zweckerfüllung unter Berücksichtigung der geltenden handels- und steuerrechtlichen Aufbewahrungspflichten

Technisch- organisatorische Maßnahmen:

Siehe Datensicherheitskonzept

2.4       Betrieb der Videokommunikationssoftware Doccura (Vertragsdaten)

Zweck der Verarbeitung: Vertragsabwicklung, Dokumentation im Rahmen des Vertragsverhältnisses

Betroffene Personen: Individuelle Kunden von Doccura, Organisationen als Kunden von Doccura

Art der gespeicherten Daten: Vertragsdaten zwischen der Bayerischen TelemedAllianz GmbH und individueller Kunde

Empfänger: Mitarbeiter von der Bayerischen TelemedAllianz GmbH

Übermittlung Drittländer: keine

Auftragsverarbeiter: -

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO

 

Löschfrist:

nach Zweckerfüllung unter Berücksichtigung der geltenden handels- und steuerrechtlichen Aufbewahrungspflichten

Technisch- organisatorische Maßnahmen:

Siehe Datensicherheitskonzept

2.5           Betrieb der Videokommunikationssoftware Doccura (Termindaten)

Zweck der Verarbeitung: Erbringung der Funktion „Terminvergabe“ von Doccura

Betroffene Personen: Individuelle Kunden von Doccura, Organisationen als Kunden von Doccura

Art der gespeicherten Daten: Termindaten, Telefonnummer, E-Mail-Adresse

Empfänger: -

Übermittlung Drittländer: keine

Auftragsverarbeiter: SMS-Provider Twilio (nur Telefonnummer), E-Mail-Provider IONOS (nur E-Mail-Adresse)

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO

 

Löschfrist:

nach Zweckerfüllung unter Berücksichtigung der geltenden handels- und steuerrechtlichen Aufbewahrungspflichten

Technisch- organisatorische Maßnahmen:

Siehe Datensicherheitskonzept

2.6 Betrieb der Videokommunikationssoftware Doccura (Verbindungsdaten)

Zweck der Verarbeitung: Verbindungsaufbau, Darstellung der Inhalte der Dienstleistung, Entdeckung von Angriffen auf unsere Seite anhand ungewöhnlicher Aktivitäten, Fehlerdiagnose, Erbringung unserer Services

Betroffene Personen: Individuelle Kunden von Doccura, Organisationen als Kunden von Doccura

Art der gespeicherten Daten: Anmeldedaten, Zugriffsdaten und Nutzungsdaten zu den einzelnen Features des Login-Bereichs

Empfänger: Bayerische TelemedAllianz GmbH

Übermittlung Drittländer: keine

Auftragsverarbeiter: -

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO

 

Löschfrist:

Dauer der eingeloggten Session

Technisch- organisatorische Maßnahmen:

Siehe Datensicherheitskonzept

2.7             Betrieb der Videokommunikationssoftware Doccura (Zahlungsverkehr)

Zweck der Verarbeitung: Abwicklung und Durchführung des Zahlungsverkehrs, Ausgleich von Verbindlichkeiten

Betroffene Personen: Individuelle Kunden von Doccura, Organisationen als Kunden von Doccura

Art der gespeicherten Daten: Personenstammdaten, Kontaktdaten, Adressdaten, Zahlungsdaten, Identitätsnachweis

Empfänger: Mitarbeiter von der Bayerischen TelemedAllianz GmbH

Übermittlung Drittländer: keine

Auftragsverarbeiter: Zahlungsdienstleister Stripe

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO

 

Löschfrist:

nach Zweckerfüllung unter Berücksichtigung der geltenden handels- und steuerrechtlichen Aufbewahrungspflichten

Technisch- organisatorische Maßnahmen:

Siehe Datensicherheitskonzept

2.8           Betrieb der Videokommunikationssoftware Doccura (Buchhaltung & Kundenverwaltung)

Zweck der Verarbeitung: Abwicklung und Durchführung der Buchhaltung, Kontakt- und Adressverwaltung, Kommunikation mit Kunden

Betroffene Personen: Individuelle Kunden von Doccura, Organisationen als Kunden von Doccura

Art der gespeicherten Daten: Personenstammdaten, Kontaktdaten, Adressdaten, Vertragsdaten, Zahlungsdaten

Empfänger: Mitarbeiter von der Bayerischen TelemedAllianz GmbH

Übermittlung Drittländer: keine

Auftragsverarbeiter: Steuerkanzlei von der Bayerischen TelemedAllianz GmbH (Buchhaltung)

Rechtsgrundlage: Art. 6 Abs. 1 b) DSGVO

 

Löschfrist:

nach Zweckerfüllung unter Berücksichtigung der geltenden handels- und steuerrechtlichen Aufbewahrungspflichten

Technisch- organisatorische Maßnahmen:

Siehe Datensicherheitskonzept



3. Pflichten des Auftragnehmers

(1)    Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.

(2)    Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.

(3)    Im Rahmen dieses Auftrages werden auch Daten verarbeitet, die unter ein Berufsgeheimnis (im Sinne von 203 StGB) fallen. Der Auftragnehmer verpflichtet sich, über Berufsgeheimnisse Stillschweigen zu bewahren und sich nur insoweit Kenntnis von diesen Daten zu verschaffen, wie dies zur Erfüllung der ihm zugewiesenen Aufgaben erforderlich ist. Siehe Anlage 1 für mehr Informationen.

(4)    Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.

(5)    Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.

(6)    Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.

(7)    Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

(8)    Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.

(9)    Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit.

(10)   Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit ausdrücklicher Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

(11)   Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er, soweit verpflichtet, einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz-Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

4.Sicherheit der Verarbeitung

(1)    Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig.

(2)    Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.

(3)    Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.

(4)    Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

(5)    Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

(6)    Die Verarbeitung von Daten in Privatwohnungen ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers im Einzelfall gestattet. Soweit eine solche Verarbeitung erfolgt, ist vom Auftragnehmer sicherzustellen, dass dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird und die in diesem Vertrag bestimmten Kontrollrechte des Auftraggebers uneingeschränkt auch in den betroffenen Privatwohnungen ausgeübt werden können. Die Verarbeitung von Daten im Auftrag mit Privatgeräten ist unter keinen Umständen gestattet.

(7)    Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.

5. Regelungen zur Berichtigung, Löschung und Sperrung von Daten

(1)    Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.

(2)    Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

6. Unterauftragsverhältnisse

(1)    Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers im Einzelfall zugelassen.

(2)    Die Zustimmung ist nur möglich, wenn dem Subunternehmer vertraglich mindestens Datenschutzpflichten auferlegt wurden, die den in diesem Vertrag vereinbarten vergleichbar sind. Der Auftraggeber erhält auf Verlangen Einsicht in die relevanten Verträge zwischen Auftragnehmer und Subunternehmer.

(3)    Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte durchführen zu lassen.

(4)    Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind eindeutig voneinander abzugrenzen.

(5)    Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

(6)    Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig, wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Subunternehmer seine Verpflichtungen vollständig erfüllt hat. Der Auftragnehmer hat dem Auftraggeber die Dokumentation unaufgefordert vorzulegen.

(7)    Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der in Kapitel 4 (10) und (11) dieses Vertrages genannten Bedingungen möglich. Sie ist insbesondere nur zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet. Der Auftragnehmer teilt dem Auftraggeber mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein Nachweis hierüber zu erlangen ist. Soweit aktuell gültige Standardvertragsklauseln auf Basis einer Entscheidung der EU-Kommission (z.B. gemäß Kommissionsentscheidung 2010/87/EU) oder Standarddatenschutzklauseln gem. Art. 46 DSGVO als angemessene Garantien eingesetzt werden, bevollmächtigt der Auftraggeber den Auftragnehmer unter Befreiung vom Verbot der Doppelvertretung gemäß § 181 BGB, zur Vornahme aller hierfür erforderlichen Handlungen sowie zur Abgabe und Entgegennahme von Willenserklärungen gegenüber dem Subunternehmer. Ferner ist der Auftragnehmer berechtigt, die Rechte und Befugnisse des Auftraggebers aus dieser Vereinbarung gegenüber dem Subunternehmer auszuüben.

(8)    Der Auftragnehmer hat die Einhaltung der Pflichten des Subunternehmers regelmäßig, spätestens alle 12 Monate, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber unaufgefordert vorzulegen. Der Auftragnehmer bewahrt die Dokumentation über durchgeführte Prüfungen mindestens bis zum Ablauf des dritten Kalenderjahres nach Beendigung der Auftragsverarbeitung auf und legt diese dem Auftraggeber auf Verlangen jederzeit vor.

(9)     Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.

(10)   Zurzeit sind die Bayerische TelemedAllianz GmbH als Subunternehmer mit der Verarbeitung von personenbezogenen Daten beschäftigt und durch den Auftraggeber genehmigt. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenüber Subunternehmern bleiben unberührt.

(11)    Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

(12)     Weitere Unterlagen wie z.B. TOM (technische und organisatorische Maßnahmen) erhalten Sie unter der E-Mail: info@doccura.de.

7. Rechte und Pflichten des Auftraggebers

(1)    Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

(2)    Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.

(3)    Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

(4)    Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Der Auftragnehmer ist berechtigt, Kontrollen durch Dritte zu verweigern, soweit diese mit ihm in einem Wettbewerbsverhältnis stehen oder ähnlich gewichtige Gründe vorliegen.

(5)    Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Kapitel 5 (8) dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

8. Mitteilungspflichten

(1)    Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes im Auftrag verarbeiteter personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:

a.       eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

b.      den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

c.       eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

d.      eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

(2)    Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.

(3)    Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen. 

(4)    Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.

9. Weisungen

(1)    Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.

(2)    Auftraggeber und Auftragnehmer benennen die zur Erteilung und Annahme von Weisungen ausschließlich befugten Personen in Anlage 3.

(3)    Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.

(4)    Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

(5)    Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

10. Beendigung des Auftrags

(1)    Befinden sich bei Beendigung des Auftragsverhältnisses im Auftrag verarbeitete Daten oder Kopien derselben noch in der Verfügungsgewalt des Auftragnehmers, hat dieser des nach Wahl des Auftraggebers die Daten entweder zu vernichten oder an den Auftraggeber zu übergeben. Die Wahl hat der Auftraggeber innerhalb von 2 Wochen nach entsprechender Aufforderung durch den Auftragnehmer zu treffen. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. Eine physische Vernichtung erfolgt gemäß DIN 66399. Hierbei gilt mindestens Schutzklasse XX.

(2)    Der Auftragnehmer ist verpflichtet, die unverzügliche Vernichtung bzw. Rückgabe auch bei Subunternehmern herbeizuführen.

(3)    Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber unverzüglich vorzulegen.

(4)    Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer mindestens bis zum Ablauf des dritten Kalenderjahres nach Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber übergeben.

11. Vergütung

Die Vergütung des Auftragnehmers ist abschließend im Hauptvertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht.

12. Haftung

(1)    Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer als Gesamtschuldner.

(2)    Der Auftragnehmer trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu vertretenden Umstandes ist, soweit die relevanten Daten von ihm unter dieser Vereinbarung verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Auftragnehmer den Auftraggeber auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der Auftragsverarbeitung gegen den Auftraggeber erhoben werden. Unter diesen Voraussetzungen ersetzt der Auftragnehmer dem Auftraggeber ebenfalls sämtliche entstandenen Kosten der Rechtsverteidigung.

(3)    Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen.

(4)    Nummern (2) und (3) gelten nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist.

13. Sonderkündigungsrecht

(1)    Der Auftraggeber kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.

(2)    Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragnehmer die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.

(3)    Bei unerheblichen Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber zur außerordentlichen Kündigung wie in diesem Abschnitt beschrieben berechtigt.

(4)    Der Auftragnehmer hat dem Auftraggeber alle Kosten zu erstatten, die diesem durch die verfrühte Beendigung des Hauptvertrages oder dieses Vertrages in Folge einer außerordentlichen Kündigung durch den Aufraggeber entstehen.

14. Sonstiges

(1)    Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

(2)    Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

(3)    Für Nebenabreden ist die Schriftform und die ausdrückliche Bezugnahme auf diese Vereinbarung erforderlich.

(4)    Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

(5)    Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.


Anlage 1 – technische und organisatorische Maßnahmen

Siehe Dokument „TOM_BTA“


Anlage 2 – Zugelassene Subdienstleister

Siehe Dokumente im Ordner „01 AVV Subdienstleister“ mit Auftragsverarbeitungsverträgen


Anlage 3 – Weisungsberechtige Personen, Adresse zur Meldung von Datenschutzverletzungen

Folgende Personen sind zur Erteilung und Entgegennahme von Weisungen befugt:

  

Kontakt zur Meldung über die Verletzung personenbezogener Daten:


Anlage 4 – Verpflichtung auf §203 StGB

1.    Der Auftragnehmer verarbeitet im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 28 DSGVO (Auftragsverarbeiter) personenbezogene Daten. Der Auftragnehmer ist verpflichtet, über alle ihm während und bei der Mitwirkung bekannt gewordenen Geheimnisse – insbesondere über Gesundheitsdaten – Verschwiegenheit zu wahren. Diese Verpflichtung erstreckt sich auf alle Tatsachen, die dem Auftragnehmer in Ausübung oder aus Anlass seiner Mitwirkung anvertraut oder bekannt werden.

 

2.    Der Auftragnehmer ist ferner verpflichtet, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist. Diese Verschwiegenheitsverpflichtung besteht auch für die Zeit nach Beendigung der Mitwirkung fort.

 

 3.    Der Auftragnehmer ist vom Auftraggeber darüber belehrt worden, dass eine Verletzung dieser Verschwiegenheitspflicht strafrechtliche Folgen haben kann. Der Auftragnehmer wurde auf die Bestimmung des § 203 Abs. 4 StGB hingewiesen.

  

4.     Der Auftragnehmer wurde vom Auftraggeber auch darauf hingewiesen, dass er, wenn sich weiterer mitwirkender Personen (Mitarbeiter, Subunternehmer) bedient, gemäß § 203 Abs. 4 Nr. 2 StGB dafür Sorge zu tragen hat, dass diese Personen in Textform im gleichen Maße ebenfalls zur Geheimhaltung verpflichtet und über die strafrechtlichen Folgen einer Pflichtverletzung belehrt werden.

  

5.    Diese Verpflichtungserklärung lässt etwaige weitere bestehende Vereinbarungen und Erklärungen zur Verschwiegenheit und Geheimhaltung unberührt.

§ 203 Verletzung von Privatgeheimnissen

(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als

 

1.    Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,

2.    Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlußprüfung,

3.    Rechtsanwalt, Kammerrechtsbeistand, Patentanwalt, Notar, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten oder Organ oder Mitglied eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft,

4.    Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist,

5.    Mitglied oder Beauftragten einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes,

6.    staatlich anerkanntem Sozialarbeiter oder staatlich anerkanntem Sozialpädagogen oder

7.    Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle.

 

anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

 

(2) Ebenso wird bestraft, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als

 

1.    Amtsträger,

2.    für den öffentlichen Dienst besonders Verpflichteten,

3.    Person, die Aufgaben oder Befugnisse nach dem Personalvertretungsrecht wahrnimmt,

4.    Mitglied eines für ein Gesetzgebungsorgan des Bundes oder eines Landes tätigen Untersuchungsausschusses, sonstigen Ausschusses oder Rates, das nicht selbst Mitglied des Gesetzgebungsorgans ist, oder als Hilfskraft eines solchen Ausschusses oder Rates,

5.    öffentlich bestelltem Sachverständigen, der auf die gewissenhafte Erfüllung seiner Obliegenheiten auf Grund eines Gesetzes förmlich verpflichtet worden ist, oder

6.    Person, die auf die gewissenhafte Erfüllung ihrer Geheimhaltungspflicht bei der Durchführung wissenschaftlicher Forschungsvorhaben auf Grund eines Gesetzes förmlich verpflichtet worden ist,

 

anvertraut worden oder sonst bekanntgeworden ist. Einem Geheimnis im Sinne des Satzes 1 stehen Einzelangaben über persönliche oder sachliche Verhältnisse eines anderen gleich, die für Aufgaben der öffentlichen Verwaltung erfaßt worden sind; Satz 1 ist jedoch nicht anzuwenden, soweit solche Einzelangaben anderen Behörden oder sonstigen Stellen für Aufgaben der öffentlichen Verwaltung bekanntgegeben werden und das Gesetz dies nicht untersagt.

 

(3) Kein Offenbaren im Sinne dieser Vorschrift liegt vor, wenn die in den Absätzen 1 und 2 genannten Personen Geheimnisse den bei ihnen berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen. Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der in den Absätzen 1 und 2 Genannten mitwirken.

 

(4) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer unbefugt ein fremdes Geheimnis offenbart, das ihm bei der Ausübung oder bei Gelegenheit seiner Tätigkeit als mitwirkende Person oder als bei den in den Absätzen 1 und 2 genannten Personen tätiger Beauftragter für den Datenschutz bekannt geworden ist. Ebenso wird bestraft, wer

 

1.    als in den Absätzen 1 und 2 genannte Person nicht dafür Sorge getragen hat, dass eine sonstige mitwirkende Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, zur Geheimhaltung verpflichtet wurde; dies gilt nicht für sonstige mitwirkende Personen, die selbst eine in den Absätzen 1 oder 2 genannte Person sind,

2.    als im Absatz 3 genannte mitwirkende Person sich einer weiteren mitwirkenden Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, bedient und nicht dafür Sorge getragen hat, dass diese zur Geheimhaltung verpflichtet wurde; dies gilt nicht für sonstige mitwirkende Personen, die selbst eine in den Absätzen 1 oder 2 genannte Person sind, oder

3.    nach dem Tod der nach Satz 1 oder nach den Absätzen 1 oder 2 verpflichteten Person ein fremdes Geheimnis unbefugt offenbart, das er von dem Verstorbenen erfahren oder aus dessen Nachlass erlangt hat.

 

(5) Die Absätze 1 bis 4 sind auch anzuwenden, wenn der Täter das fremde Geheimnis nach dem Tod des Betroffenen unbefugt offenbart.

 

(6) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe.