Auftragsverarbeitungsvertrag (AVV)
- Lilly Stahl
Dokumentname | |
|---|---|
Falls zutreffend: Anlage zu welchem Dokument | nicht zutreffend |
Ggf. Nr. der Anlage | nicht zutreffend |
Datum Inkrafttreten | Jun 22, 2022 |
Ggf. Versionsnummer | 1.0 |
Änderugnshistorie
| Version | Datum | Kommentar |
|---|---|---|
| Aktuelle Version (v. 1) | 20.08.2024 12:13 | Lilly Stahl |
Auftragsverarbeitungsvertrag
zwischen
tumorscout GmbH
Am Zirkus 4
10117 Berlin
- Auftraggeber -
und
Litixsoft GmbH
Karl-Tauchnitz-Str. 8
04107 Leipzig
- Auftragnehmer -
Präambel
Zwischen Auftraggeber und Auftragnehmer besteht ein Vertragsverhältnis über die Nutzung von Software zur Erstellung von Meldungen für Landeskrebsregister im xml-ADT-GEKID-Format (künftig: xml-oBDS-Format) und deren Vertrieb. Der Auftragnehmer bietet hierbei die Software dem Auftraggeber zur Nutzung und Unterlizenzierung an seine Kunden an. Die Litixsoft GmbH, Leipzig, ist Herstellerin der Software, betreibt diese und hostet den Server, auf dem die Software läuft. Der Auftraggeber vertreibt diese Software unter dem Namen „TumorScout“.
Diese Vereinbarung wird als ergänzende Regelung zur Einhaltung der datenschutzrechtlichen Regelungen des Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO) – zwischen den Parteien getroffen.
1 Allgemeines
Der Auftragnehmer betreibt und stellt im Auftrag des Auftraggebers die Software TumorScout (im Folgenden „Software“) bereit, wobei der Auftraggeber selbstständig für das Anlegen von Primärnutzern (i. d. R. Kunden des Auftraggebers, onkologisch tätige Ärzte/Ärztinnen, die allein oder gemeinsam eine Praxis oder Gemeinschaftspraxis bzw. BAG betreiben) verantwortlich ist. Der Auftraggeber erhält vom Auftragnehmer einen Zugang als „Firma“ (Nutzerrolle). Im Rahmen des bestehenden Vertrages ist der Auftraggeber mit entsprechenden Rollenbefugnissen innerhalb der Softwareverwaltung ausgestattet. Im Zusammenhang mit dem Betreiben der vorgenannten Software ist nicht ausgeschlossen, dass der Auftragnehmer personenbezogene Daten der Nutzer (i. d. R. onkologisch tätige Ärzte/Ärztinnen und deren Mitarbeiter/-innen) und deren Patienten i. S. d. Art. 4 Nr. 8 und Art. 28 DSGVO („Auftragsverarbeiter“) verarbeitet, um beispielsweise Rechnungen korrekt erstellen sowie den Vertragszweck (Erstellung von Meldungen an die Landeskrebsregister) erfüllen zu können. Die Daten der Patienten selbst werden in der Software nicht anonymisiert von den Nutzern erhoben, da die gesetzlichen Forderungen (landesspezifische Krebsregistermeldegesetze) eine nicht-pseudonymisierte und nicht-anonymisierte Erhebung fordern. In den aktuellen gesetzlichen Regelungen aller Bundesländer haben Patienten die Möglichkeit, der personenbezogenen Speicherung ihrer medizinischen Daten beim Landeskrebsregister zu widersprechen. Die Software bietet dem ärztlichen Nutzer die Möglichkeit, diesen Widerspruch aufzunehmen. Sie wird diese Angabe berücksichtigen und in die jeweils erzeugten Meldedokumente aufnehmen.
2 Gegenstand und Zweck der Verarbeitung, Arten der personenbezogenen Daten, Kategorien betroffener Personen
(1) Der Auftragnehmer führt für den Auftraggeber Leistungen im Rahmen des Softwarenutzungsvertrages durch. Zwischen dem Auftraggeber und dem Auftragnehmer besteht diesbezüglich ein Vertragsverhältnis („Hauptvertrag“), das entweder auf individuellen vertraglichen Vereinbarungen, allgemeinen Geschäftsbedingungen oder auf gesetzlichen Regelungen (z. B. BGB) basiert. Diese Vereinbarung beginnt ab Registrierung des ersten ärztlichen Nutzers und gilt für die Dauer des Hauptvertrages.
(2) Der Auftrag des Auftraggebers an den Auftragnehmer umfasst auch folgende Arbeiten und/oder Leistungen:
Einrichtung/Einräumung, Änderung und/oder Löschung von Benutzerberechtigungen des Auftraggebers (der Auftraggeber verwaltet die Benutzerberechtigungen für seine Mitarbeiter und seine Kunden – Primärnutzer – eigenständig in der Software);
Zurücksetzen des Benutzernamens oder Passworts, falls diese vergessen wurden;
(3) Der Auftrag kann auch die Verarbeitung folgender personenbezogenen Daten beinhalten:
Name und Kontaktdaten sowie Benutzernamen von Nutzern der Software (Beschäftigte des Auftraggebers sowie Kunden des Auftraggebers und deren Mitarbeiter), ggf. auch Angaben zur Position innerhalb der Praxis, Rollen (Berechtigungsrollen), Eingaben und Änderungen im System und deren Zugriffszeiten (Audit-Trail auf Anwendungs- und Systemebene) sowie ggf. Kommunikationsdaten (Kommunikation mit dem Auftragnehmer);
Lebenslange Arztnummer (LANR) sowie ggf. Betriebsstättennummer (BSNR) und Bankkontodaten der Nutzer;
Daten inkl. Gesundheitsdaten von Patienten wie Name, Geschlecht, Geburtsdatum, Adresse, Versicherungs- und Versichertennummern, Details zu Erkrankungen/Diagnosen/durchgeführten oder geplanten Behandlungen, verordneten Arzneimitteln;
Ggf. weitere landeskrebsregisterspezifische Daten von Patienten, bspw. die Angabe über einen Widerspruch zur personenbezogenen Speicherung beim Krebsregister;
Ggf. weitere Daten von Nutzern, die beispielsweise in Dokumenten ersichtlich werden, welche im Uploadbereich der Software vom Auftraggeber zur Verfügung gestellt werden können;
Aggregierte Statistiken und Übermittlung aggregierte Krebsregistermeldedaten der Nutzer (Kunden des Auftraggebers) im csv-Format an den Auftraggeber, sofern diese zur (erfolgsabhängigen) Rechnungserstellung und damit zur Erfüllung des Vertragszweckes (Art. 6 Abs. 1 lit. b DSGVO) notwendig sind.
(4) Kreis der von der Datenverarbeitung Betroffenen:
Beschäftigte des Auftraggebers;
Kunden des Auftraggebers (Nutzer der Software, Primärnutzer, i. d. R. Ärzte);
Mitarbeiter der Kunden des Auftraggebers (Nutzer der Software, Sekundärnutzer)
Patienten der Kunden des Auftraggebers.
3 Rechte und Pflichten des Auftraggebers
(1) Der Auftraggeber ist Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch den Auftragnehmer. Dem Auftragnehmer steht nach Ziff. 4 Abs. (4) dieses Vertrages das Recht zu, den Auftraggeber darauf hinzuweisen, wenn eine seiner Meinung nach rechtlich unzulässige Datenverarbeitung Gegenstand des Auftrags und/oder einer Weisung ist.
(2) Der Auftraggeber ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn Betroffene (s. Ziff. 2 Abs. (4)) ihre Betroffenenrechte gegenüber dem Auftragnehmer geltend machen.
(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Wartung und Pflege durch den Auftragnehmer feststellt.
(4) Im Fall einer Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder einer sonstigen, für den Auftraggeber geltenden Meldepflicht ist der Auftraggeber für die Einhaltung verantwortlich.
4 Allgemeine Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Auftraggeber erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Regelungen, die den Auftragnehmer ggf. zu einer anderweitigen Verarbeitung verpflichten. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach diesem Vertrag und/oder den Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung von Daten ist dem Auftragnehmer untersagt, es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat.
(2) Der Auftragnehmer wird die Datenverarbeitung im Auftrag grundsätzlich in Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchführen. Dem Auftragnehmer ist eine Datenverarbeitung auch außerhalb von EU oder EWR erlaubt, wenn entsprechende Unterauftragnehmer im Drittland unter Einhaltung der Voraussetzungen von Ziff. 9 dieses Vertrages eingesetzt werden und die Voraussetzungen der Art. 44 bis 48 DSGVO erfüllt sind bzw. eine Ausnahme i. S. d. Art. 49 DSGVO vorliegt.
(3) Der Auftragnehmer ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Zusammenhang mit den Wartungs-/Pflegearbeiten sowie zur Rechnungstellung im Auftrag verarbeitet, vor der unbefugten Kenntnisnahme Dritter geschützt sind.
(4) Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung bis zur Klärung der Haftung zwischen den Parteien auszusetzen.
(5) Der Auftragnehmer wird seinen Pflichten aus Art. 30 Abs. 2 DSGVO zum Führen eines Verarbeitungsverzeichnisses nachkommen.
5 Datenschutzbeauftragter des Auftragnehmers
Der Auftragnehmer bestätigt, dass er einen Datenschutzbeauftragten nach Art. 37 DSGVO benannt hat. Der Auftragnehmer trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt. Der Auftragnehmer wird dem Auftraggeber den Namen und die Kontaktdaten seines Datenschutzbeauftragten gesondert in Textform mitteilen.
6 Meldepflichten des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, dem Auftraggeber unverzüglich jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers mitzuteilen, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftraggebers verarbeitet.
(2) Ferner wird der Auftragnehmer den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragnehmer tätig wird und dies auch eine Kontrolle der Verarbeitung betreffen kann, die der Auftragnehmer im Auftrag des Auftraggebers erbringt.
(3) Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33 und 34 DSGVO im Falle einer Datenschutzverletzung bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. Der Auftragnehmer wird dem Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich ab Kenntnis des Zugriffs mitteilen. Es gelten die Regelungen von Ziff. 11 dieses Vertrages.
7 Mitwirkungspflichten des Auftragnehmers
(1) Der Auftragnehmer unterstützt den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12 bis 23 DSGVO, soweit der Auftraggeber insoweit auf die Unterstützung des Auftragnehmers angewiesen ist. Es gelten die Regelungen von Ziff. 11 dieses Vertrages.
(2) Der Auftragnehmer wirkt an der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten durch den Auftraggeber mit, soweit der Auftraggeber insoweit auf die Unterstützung des Auftragnehmers angewiesen ist. Er hat dem Auftraggeber die insoweit jeweils erforderlichen Angaben die eigenen Verarbeitungstätigkeiten betreffend in geeigneter Weise mitzuteilen.
(3) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten, soweit der Auftraggeber insoweit auf die Unterstützung des Auftragnehmers angewiesen ist.
8 Kontrollbefugnisse
(1) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.
(2) Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i. S. d. Abs. (1) erforderlich ist.
(3) Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle i. S. d. Abs. (1) in der Betriebsstätte des Auftragnehmers zu den jeweils üblichen Geschäftszeiten vornehmen („Vor-Ort-Kontrolle“), wenn der Auftragnehmer nicht gemäß Abs. (4) geeignete Nachweise zur Einhaltung der technischen und organisatorischen Maßnahmen zur Verfügung gestellt hat oder zu begründende Zweifel seitens des Auftraggebers an der Einhaltung der technischen und organisatorischen Maßnahmen bestehen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers durch die Kontrollen nicht unverhältnismäßig zu stören. Die Parteien gehen davon aus, dass eine Kontrolle höchstens einmal jährlich erforderlich ist. Weitere Prüfungen sind vom Auftraggeber unter Angabe des Anlasses zu begründen. Im Falle von Vor-Ort-Kontrollen wird der Auftraggeber dem Auftragnehmer die entstehenden Aufwände inkl. der Personalkosten für die Betreuung und Begleitung der Kontrollpersonen vor Ort in angemessenem Umfang ersetzen. Die Grundlagen der Kostenberechnung werden dem Auftraggeber vom Auftragnehmer vor Durchführung der Kontrolle mitgeteilt.
(4) Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen anstatt einer Vor-Ort-Kontrolle auch durch die Vorlage eines geeigneten aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung erbracht werden, wenn der Prüfungsbericht dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 1 zu diesem Vertrag zu überzeugen. Sollte der Auftraggeber begründete Zweifel an der Eignung des Prüfdokuments i. S. v. Satz 1 haben, kann eine Vor-Ort-Kontrolle durch den Auftraggeber erfolgen. Dem Auftraggeber ist bekannt, dass eine Vor-Ort-Kontrolle in Rechenzentren nicht oder nur in begründeten Ausnahmefällen möglich ist.
(5) Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i. S. d. Art. 58 DSGVO i. V. m. § 40 BDSG, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten, die erforderlichen Auskünfte an den Auftraggeber zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen. Der Auftraggeber ist über entsprechende geplante Maßnahmen vom Auftragnehmer zu informieren. Es gilt Ziff. 6 Abs. (2) dieses Vertrages.
9 Unterauftragsverhältnisse
(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Hierzu gehören beispielsweise Reinigungsleistungen, Telekommunikationsdienstleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt, Post- oder Kurierdienste, Transportdienstleistungen, Bewachungsdienste, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
(2) Der Auftragnehmer ist berechtigt, die in der Anlage 2 zu diesem Vertrag angegebenen Unterauftragnehmer für die Verarbeitung von Daten im Auftrag einzusetzen. Der Wechsel von Unterauftragnehmern oder die Beauftragung weiterer Unterauftragnehmer ist unter den in Abs. (3) genannten Voraussetzungen zulässig.
(3) Der Auftragnehmer hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten kann. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Der Auftragnehmer wird den Auftraggeber im Falle eines geplanten Wechsels eines Unterauftragnehmers oder bei geplanter Beauftragung eines neuen Unterauftragnehmers mit angemessener Zeit vor dem Wechsel bzw. der Neubeauftragung in Textform informieren („Information“). Der Auftraggeber hat das Recht, dem Wechsel oder der Neubeauftragung des Unterauftragnehmers unter Angabe einer Begründung in Textform binnen drei Wochen nach Zugang der Information zu widersprechen. Der Widerspruch kann vom Auftraggeber jederzeit in Textform zurückgenommen werden. Im Falle eines Widerspruchs kann der Auftragnehmer das Vertragsverhältnis mit dem Auftraggeber mit einer Frist von mindestens 14 Tagen zum Ende eines Kalendermonats kündigen. Der Auftragnehmer wird bei der Kündigungsfrist die Interessen des Auftraggebers angemessen berücksichtigen. Wenn kein Widerspruch des Auftraggebers binnen drei Wochen nach Zugang der Information erfolgt, gilt dies als Zustimmung des Auftraggebers zum Wechsel bzw. zur Neubeauftragung des betreffenden Unterauftragnehmers.
(4) Der Auftragnehmer ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten benannt hat, sofern dies nach Art. 37 DSGVO i. V. m. § 38 BDSG erforderlich ist.
(5) Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten.
(6) Die Verpflichtung des Unterauftragnehmers muss den Anforderungen von Art. 28 Abs. 4 DSGVO entsprechen. Darüber hinaus hat der Auftragnehmer dem Unterauftragnehmer dieselben Pflichten zum Schutz personenbezogener Daten aufzuerlegen, die zwischen Auftraggeber und Auftragnehmer festgelegt sind. Dem Auftraggeber ist der Auftragsdatenverarbeitungsvertrag auf Anfrage in Kopie zu übermitteln.
(7) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
10 Vertraulichkeitsverpflichtung
(1) Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen.
(2) Im Rahmen dieses Auftrags werden auch Daten verarbeitet, die unter ein Berufsgeheimnis im Sinne des § 203 StGB fallen. Der Auftragnehmer verpflichtet sich daher, über Berufsgeheimnisse Stillschweigen zu bewahren und sich nur insoweit Kenntnis von diesen Daten zu verschaffen, wie dies zur Erfüllung der ihm zugewiesenen Aufgaben erforderlich ist.
(3) Der Auftraggeber weist den Auftragnehmer darauf hin, dass sich Personen, die an der beruflichen Tätigkeit eines Berufsgeheimnisträgers mitwirken und unbefugt ein fremdes Geheimnis offenbaren, das ihnen bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt geworden ist, strafbar machen. Der Auftraggeber weist den Auftragnehmer darauf hin, dass sich die mitwirkende Person nach § 203 Abs. 4 Satz 2 StGB strafbar macht, sollte sie sich einer weiteren mitwirkenden Person bedienen, die ihrerseits unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, und die mitwirkenden Personen nicht dafür Sorge getragen hat, dass die weitere mitwirkende Person zur Geheimhaltung verpflichtet wurde. Der Auftraggeber weist den Auftragnehmer darauf hin, dass sich strafbar macht, wer ein Geheimnis, zu dessen Geheimhaltung er gemäß § 203 StGB verpflichtet ist, verwertet (§ 204 StGB).
(4) Der Auftragnehmer stellt sicher, dass alle mit der Verarbeitung von dem Berufsgeheimnis unterliegenden Daten des Auftraggebers befassten Beschäftigten und andere für den Auftragnehmer tätigen Personen (z. B. Subunternehmer), die damit befasst sind, sich in Textform dazu verpflichtet haben, die ihnen bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenen Berufsgeheimnisse nicht unbefugt zu offenbaren und sie über die mögliche Strafbarkeit nach § 203 Abs. 4 StGB und § 204 StGB belehrt wurden.
(5) Der Auftragnehmer wird darauf hingewiesen, dass Daten, die er im Auftrag oder Unterauftrag eines Berufsgeheimnisträgers verarbeitet u. U. dem Zeugnisverweigerungsrecht von sogenannten mitwirkenden Personen unterliegen (§ 53a StPO). Entsprechend § 53a StPO entscheidet jedoch der Berufsgeheimnisträger über die Ausübung dieses Schweigerechts. Im Falle einer Befragung wird der Auftragnehmer unter Hinweis auf § 53a StPO dieser widersprechen und unverzüglich den Auftraggeber sowie den betroffenen Kunden des Auftraggebers (den Berufsgeheimnisträger) informieren, der daraufhin bezüglich der Wahrnehmung dieses Schweigerechts entscheidet. Das Vorstehende gilt entsprechend für den Beschlagnahmeschutz gemäß § 97 StPO.
(6) Des Weiteren werden Subunternehmer über das bestehende Schweigerecht gemäß § 53a StPO sowie den Beschlagnahmeschutz gemäß § 97 StPO informiert; dies beinhaltet auch den Hinweis bezüglich des Rechts des Berufsgeheimnisträgers, über dieses Recht zu entscheiden und der damit verbundenen Pflicht des Auftragnehmers, unverzüglich den Auftraggeber bzw. dessen Kunde (den Berufsgeheimnisträger) bezüglich der Wahrnehmung dieser Rechte zu kontaktieren.
(7) Im Übrigen sichert der Auftragnehmer zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und eingehalten werden.
11 Wahrung von Betroffenenrechten
(1) Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich.
(2) Der Auftragnehmer unterstützt den Auftraggeber dabei, der Pflicht des Auftraggebers zur Beantwortung von Anfragen von Betroffenen nach den Art. 12 bis 23 DSGVO nachzukommen, soweit der Auftraggeber insoweit auf die Unterstützung des Auftragnehmers angewiesen ist.
(3) Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrechten – insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung – durch die Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen. Der Auftragnehmer wird den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen.
(4) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Mitwirkungsleistungen im Zusammenhang mit Geltendmachung von Betroffenenrechten gegenüber dem Auftraggeber beim Auftragnehmer entstehen, bleiben unberührt.
12 Geheimhaltungspflichten
(1) Die Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.
(2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.
13 Vergütung
Die Vergütung des Auftragnehmers wird gesondert im Hauptvertrag vereinbart.
14 Technische und organisatorische Maßnahmen zur Datensicherheit
(1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.
(2) Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen (TOM) ist als Anlage 1 zu diesem Vertrag beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann einmal jährlich oder bei begründeten Anlässen eine aktuelle Fassung der vom Auftragnehmer und dem Unterauftragnehmer Litixsoft getroffenen technischen und organisatorischen Maßnahmen anfordern.
15 Dauer des Auftrags
(1) Dieser Vertrag beginnt mit Unterzeichnung von beiden Parteien und läuft für die Dauer des zwischen den Parteien bestehenden Hauptvertrages über die Nutzung der Dienstleistungen des Auftragnehmers durch den Auftraggeber.
(2) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will, oder der Auftragnehmer den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.
(3) Ein außerordentliches Kündigungsrecht jeder Partei bleibt unberührt.
16 Beendigung
Nach Beendigung des Vertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auf dessen Verlangen hin binnen 4 Wochen auszuhändigen. Die Datenträger des Auftragnehmers sind danach physisch zu löschen, sofern gesetzliche Aufbewahrungsfristen nichts anderes bestimmen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Die Löschung ist in geeigneter Weise zu dokumentieren. Test- und Ausschussmaterial ist unverzüglich zu vernichten oder physisch zu löschen.
Für diesen Vertrag relevante Gesetze, Verordnungen und andere Regelungen schließen u. a. die in allen Bundesländern gültigen Landeskrebsregistergesetze und die jeweiligen Berufsordnungen der Ärzte ein.
17 Schlussbestimmungen
(1) Es gilt das Recht der Bundesrepublik Deutschland.
(2) Für Nebenabreden ist die Schriftform erforderlich.
(3) Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.
Anlagen
Anlage 1 Technische und organisatorische Maßnahmen
Anlage 2 Unterauftragnehmer