Datenschutzerklärung
nach der DSGVO
Allgemeine Hinweise
Wir freuen uns sehr über Ihr Interesse an unserem Unternehmen. Datenschutz hat einen besonders hohen Stellenwert für die Geschäftsleitung der IPF Arbeitsmedizin GmbH. Eine Nutzung der Internetseiten der IPF Arbeitsmedizin GmbH ist grundsätzlich ohne jede Angabe personenbezogener Daten möglich. Sofern eine betroffene Person besondere Services unseres Unternehmens über unsere Internetseite in Anspruch nehmen möchte, könnte jedoch eine Verarbeitung personenbezogener Daten erforderlich werden. Ist die Verarbeitung personenbezogener Daten erforderlich und besteht für eine solche Verarbeitung keine gesetzliche Grundlage, holen wir generell eine Einwilligung der betroffenen Person ein.
Die Verarbeitung personenbezogener Daten, beispielsweise des Namens, der Anschrift, E-Mail-Adresse oder Telefonnummer einer betroffenen Person, erfolgt stets im Einklang mit der Datenschutz-Grundverordnung und in Übereinstimmung mit den für die IPF Arbeitsmedizin GmbH geltenden landesspezifischen Datenschutzbestimmungen. Mittels dieser Datenschutzerklärung möchten wir über Art, Umfang und Zweck der von uns erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren. Ferner werden betroffene Personen mittels dieser Datenschutzerklärung über die ihnen zustehenden Rechte aufgeklärt.
Die IPF Arbeitsmedizin GmbH hat als für die Verarbeitung Verantwortlicher zahlreiche technische und organisatorische Maßnahmen umgesetzt, um einen möglichst lückenlosen Schutz der über diese Internetseite verarbeiteten personenbezogenen Daten sicherzustellen. Dennoch können internetbasierte Datenübertragungen grundsätzlich Sicherheitslücken aufweisen, sodass ein absoluter Schutz nicht gewährleistet werden kann. Aus diesem Grund steht es jeder betroffenen Person frei, personenbezogene Daten auch auf alternativen Wegen, beispielsweise telefonisch, an uns zu übermitteln.
Datenschutzerklärung
Wir wissen, dass Ihnen der sorgfältige Umgang mit Ihren personenbezogenen Daten sehr wichtig ist. Wir, die IPF Arbeitsmedizin GmbH, nehmen den Schutz Ihrer personenbezogenen Daten daher sehr ernst und halten uns bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten über unsere Website an die gesetzlichen Bestimmungen zum Datenschutz, insbesondere europäische Datenschutz-Grundverordnung (EU-DSGVO), BDSG (neu) und Telemediengesetz.
Name und Kontaktdaten des Verantwortlichen
IPF Arbeitsmedizin GmbH
Hüttenstr. 1, 5. OG
40215 Düsseldorf
E-Mail: info@ipfam.de
Telefon: 0211-12345678
Website: www.ipf-arbeitsmedizin.de
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber.
Ansprechpartner: Dr. Christoph Luckey
Handelsregisterangaben
Handelsregister B 88977, Amtsgericht Düsseldorf
Berufsrechtliche Regelung
Berufsordnung für Ärzte, zu finden auf www.bundesaerztekammer.de
Zwecke, für die personenbezogene Daten verarbeitet werden und Rechtsgrundlagen für deren Verarbeitung
Unter „personenbezogenen Daten“ versteht man Einzelangaben über persönliche oder sachliche Verhältnisse einer natürlichen Person. In folgenden Fällen verarbeiten wir im Rahmen Ihrer Nutzung unseres Internetauftritts zu den nachgenannten Zwecken personenbezogene Daten von Ihnen:
- Verarbeitung von personenbezogenen Daten zu Zwecken der anlassbezogenen Kontaktaufnahme: Ihre personenbezogenen Daten, die über unser Kontaktformular verarbeitet werden (Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Angaben zu Ihrem Unternehmen), werden wir zu Zwecken der anlassbezogenen Kontaktaufnahme verarbeiten.Rechtsgrundlage der Verarbeitung Ihrer personenbezogenen Daten: berechtigtes Interesse des Verantwortlichen gemäß Art. 6 Abs. 1 Buchstabe f Europäische Datenschutz-Grundverordnung.
- Verarbeitung von personenbezogenen Daten zu Marketing- oder Werbezwecken: Ihre personenbezogenen Daten, die über unseren Internetauftritt verarbeitet werden, werden wir zu Marketing- oder Werbezwecken verarbeiten, wenn Sie uns hierzu Ihre Einwilligung erteilt haben oder soweit dies den gesetzlichen Regelungen entspricht. Rechtsgrundlage der Verarbeitung Ihrer personenbezogenen Daten: Einwilligung gemäß Artikel 6 Abs. 1 Buchstabe a Europäische Datenschutz-Grundverordnung.
- Verarbeitung von personenbezogenen Nutzungsdaten: Personenbezogene Nutzungsdaten, dies sind Ihre IP-Adresse sowie die Zeiten Ihrer Aufrufe unseres Internetauftritts, werden über die Website zur Ermittlung sowie zur Verfolgung von Störungen oder Missbräuchen unserer Online-Angebote oder Telekommunikationsdienste und -anlagen verarbeitet. Rechtsgrundlagen der Verarbeitung Ihrer personenbezogenen Daten: Berechtigtes Interesse des Verantwortlichen gemäß Art. 6 Abs. 1 Buchstabe f. Europäische Datenschutz-Grundverordnung. Die Bereitstellung Ihrer personenbezogenen Daten im Rahmen der Nutzung unseres Internetauftritts ist nicht gesetzlich vorgeschrieben und nur dann für einen Vertragsschluss erforderlich, sofern dies obenstehend bei den jeweiligen Zwecken der Verarbeitungen personenbezogener Daten benannt wurde. Eine automatisierte Entscheidungsfindung einschließlich Profiling anhand Ihrer personenbezogenen Daten, die über unsere Website verarbeitet werden, erfolgt nicht.
Empfänger oder Kategorien von Empfängern personenbezogener Daten
Ihre personenbezogenen Daten, die über unseren Internetauftritt verarbeitet werden, übermitteln wir nur dann an weitere Empfänger oder gewähren weiteren Empfängern nur dann Zugriff auf diese personenbezogenen Daten, sofern dies für die jeweiligen Zwecke der Verarbeitung dieser personenbezogenen Daten erforderlich ist oder sofern wir weitere Empfänger mit der Erfüllung von einzelnen Aufgaben oder Dienstleistungen betraut haben und hierdurch ein Zugriff auf diese personenbezogenen Daten erforderlich oder nicht auszuschließen ist.
Die Übermittlung Ihrer personenbezogenen Daten, die über unseren Internetauftritt verarbeitet werden, erfolgt gemäß Artikel 6 Abs. 1 Buchstabe a Europäische Datenschutz-Grundverordnung, aufgrund Ihrer Einwilligung, Art. 6 Abs. 1 Buchstabe b Europäische Datenschutz-Grundverordnung, auf Grundlage der Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen mit Ihnen, Art. 6 Abs. 1 Buchstabe f Europäische Datenschutz-Grundverordnung, aufgrund berechtigten Interesses des Verantwortlichen, Art. 28 Abs. 1 Europäische Datenschutz-Grundverordnung, Auftragsverarbeitung.
Darüber hinaus findet eine Übermittlung Ihrer personenbezogenen Daten, die über unseren Internetauftritt verarbeitet werden, an staatliche Institutionen oder Behörden statt, sofern wir im Rahmen möglicher gesetzlicher Auskunftspflichten oder durch behördliche oder gerichtliche Entscheidung zur Auskunft verpflichtet sind, zur Verfolgung von Straftaten nach Anordnung durch staatliche Institutionen oder Behörden, zur Verfolgung von Straftaten gegenüber uns als Geschädigtem sowie zur Verfolgung von Störungen oder Missbräuchen unserer Online-Angebote oder Telekommunikationsdienste und -anlagen.
Datenübermittlung an Empfänger in einem Drittland oder an eine internationale Organisation
Eine Übermittlung Ihrer personenbezogenen Daten, die über unseren Internetauftritt verarbeitet werden, an einen Empfänger in einem Drittland oder an eine internationale Organisation erfolgt nicht.
Dauer der Speicherung personenbezogener Daten
Ihre personenbezogenen Daten, die über unseren Internetauftritt verarbeitet werden, werden nur so lange gespeichert, wie deren Kenntnis für die Erfüllung der Zwecke ihrer Verarbeitung erforderlich ist. Darüber hinaus gehend werden Ihre personenbezogenen Daten, die über unseren Internetauftritt verarbeitet werden, gespeichert, sofern gesetzliche, satzungsgemäße oder vertragliche Aufbewahrungsfristen dies erforderlich machen. So werden personenbezogene Daten mit steuerrechtlicher Relevanz i. d. R. über einen Zeitraum von 10 Jahren, andere personenbezogene Daten nach handelsrechtlichen Vorschriften i. d. R. über einen Zeitraum von 6 Jahren gespeichert.
Information über Ihre Rechte als betroffene Person
Im Allgemeinen und in Bezug auf Ihre personenbezogenen Daten, die über unseren Internetauftritt verarbeitet werden, können Sie die im Folgenden benannten Rechte ausüben:
- Recht auf Auskunft gemäß Artikel 15 Europäische Datenschutz-Grundverordnung: Sie haben das Recht, vom Verantwortlichen Auskunft über die zu Ihrer Person gespeicherten personenbezogenen Daten und weitere Informationen in Bezugnahme auf diese personenbezogenen Daten zu verlangen.
- Recht auf Berichtigung gemäß Artikel 16 Europäische Datenschutz-Grundverordnung: Sie haben das Recht, vom Verantwortlichen unverzüglich die Berichtigung Ihre Person betreffende unrichtiger personenbezogener Daten zu verlangen.
- Recht auf Löschung gemäß Artikel 17 Europäische Datenschutz-Grundverordnung: Sie haben das Recht, vom Verantwortlichen die unverzügliche Löschung Ihre Person betreffende personenbezogener Daten zu verlangen.
- Recht auf Einschränkung der Verarbeitung gemäß Artikel 18 Europäische Datenschutz-Grundverordnung: Sie haben das Recht, vom Verantwortlichen die Einschränkung der Verarbeitung Ihre Person betreffende personenbezogener Daten zu verlangen.
- Recht auf Widerruf gemäß Artikel 7 Abs. 3 Europäische Datenschutz-Grundverordnung und Widerspruch gemäß Artikel 21 Europäische Datenschutz-Grundverordnung: Sie haben das Recht, Ihre gemäß Artikel 6 Abs. 1 Buchstabe a Europäische Datenschutz-Grundverordnung erteilte Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten, die über unseren Internetauftritt verarbeitet werden, jederzeit zu widerrufen und damit der Verarbeitung der betreffenden personenbezogenen Daten, die über unseren Internetauftritt und auf Grundlage von Artikel 6 Abs. 1 Buchstabe a Europäische Datenschutz-Grundverordnung verarbeitet werden, zu widersprechen. Die Rechtmäßigkeit der aufgrund Ihrer Einwilligung bis zu deren Widerruf erfolgten Verarbeitungen Ihrer personenbezogenen Daten wird hierdurch nicht berührt. Sie haben das Recht, einer gemäß Artikel 6 Abs. 1 Buchstabe a Europäische Datenschutz-Grundverordnung oder gemäß Art. 6 Abs. 1 Buchstabe f Europäische Datenschutz-Grundverordnung erfolgenden Verarbeitung Ihrer personenbezogenen Daten, die über unseren Internetauftritt und gemäß den benannten Rechtsgrundlagen verarbeitet werden (Verarbeitung personenbezogene Daten zu Marketing- oder Werbezwecken), jederzeit zu widersprechen. Sie haben ferner das Recht, einer gemäß Art. 6 Abs. 1 Buchstabe f Europäische Datenschutz-Grundverordnung erfolgenden Verarbeitung Ihrer personenbezogenen Daten, die über unseren Internetauftritt und gemäß den benannten Rechtsgrundlagen verarbeitet werden (Verarbeitung von personenbezogenen Nutzungsdaten), jederzeit zu widersprechen.
- Recht auf Datenübertragbarkeit gemäß Artikel 15 Europäische Datenschutz-Grundverordnung: Sie haben das Recht, vom Verantwortlichen Ihre personenbezogenen Daten, die über unseren Internetauftritt verarbeitet werden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.Die Ausübung Ihrer Rechte auf Löschung, Einschränkung der Verarbeitung, Widerruf oder Widerspruch kann zur Folge haben, dass Sie unseren Internetauftritt nur noch eingeschränkt oder vollumfänglich nicht mehr nutzen können. Sie können Ihre obenstehend benannten Rechte unmittelbar an die unter „Name und Kontaktdaten des Verantwortlichen“ in dieser Datenschutzunterrichtung bereitgestellten Kontaktdaten adressieren.
- Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 Europäische Datenschutz-Grundverordnung: Sofern Sie als betroffene Person der Ansicht sind, dass eine Verarbeitung Ihrer personenbezogenen Daten, die über unseren Internetauftritt verarbeitet werden, gegen die Europäische Datenschutz-Grundverordnung verstößt, so haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Zuständige Aufsichtsbehörde: Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Anschrift: Kavalleriestraße 2 – 4, 40213 Düsseldorf, E-Mail: poststelle@ldi.nrw.de, Internet: https://www.ldi.nrw.de
Cookies sind kleine Dateien, die es ermöglichen, auf Ihrem PC oder anderen Endgeräten spezifische, auf Sie bezogene Informationen zu speichern, während Sie unsere Website nutzen. Sie können über Ihren Internetbrowser die Verwendung von Cookies deaktivieren, auf bestimmte Webseiten beschränken oder Ihren Internetbrowser so einstellen, dass er sie benachrichtigt, sobald ein Cookie gesendet wird. Bitte beachten Sie, dass Sie die Funktionalitäten unseres Internetauftritts möglicherweise nicht mehr vollumfänglich nutzen können, wenn Sie die Verwendung von Cookies über Ihren Internetbrowser deaktiviert haben. Bei der Nutzung unserer Website können gegebenenfalls auch Cookies durch Drittanbieter auf Ihrem PC oder anderen Endgeräten gespeichert werden. Sie können die Verwendung von Cookies von Drittanbietern gleichermaßen über Ihren Internetbrowser deaktivieren.
Sie können Ihre Einwilligung zur Verwendung von Cookies (außer den erforderlichen funktionalen Cookies) jederzeit widerufen: Cookie-Einwilligung widerrufen
Unsere Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link (https://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.
Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter https://www.google.com/analytics/terms/de.html bzw. unter https://www.google.de/intl/de/policies/.
Sichere Übermittlung personenbezogener Daten durch SSL-Verschlüsselung, Links zu anderen Websites
Personenbezogene Daten, die Sie über unsere Website und das Internet übermitteln, werden verschlüsselt übertragen, wir verwenden hierzu die Verschlüsselungstechnologie Secure Socket Layers (SSL). Die SSL-Technologie verschlüsselt und schützt hierdurch Ihre personenbezogenen Daten bei Übermittlungen über unsere Website und das Internet. Unser Internetauftritt kann Links zu anderen Webseiten beinhalten. Sollten Sie solche Links verwenden, gelangen Sie automatisch zu einer anderen Webseite, für deren Datenschutzbestimmungen wir keinerlei Verantwortung übernehmen. Sie sollten zu Ihrer eigenen Sicherheit die Datenschutzbestimmungen der betreffenden Websites sorgfältig lesen.
Kontaktformular
Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Kontaktformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter. Die Verarbeitung der in das Kontaktformular eingegebenen Daten erfolgt somit ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Die von Ihnen im Kontaktformular eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.
Google reCAPTCHA
Wir nutzen “Google reCAPTCHA” (im Folgenden “reCAPTCHA”) auf unseren Websites. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (“Google”). Mit reCAPTCHA soll überprüft werden, ob die Dateneingabe auf unseren Websites (z. B. in einem Kontaktformular) durch einen Menschen oder durch ein automatisiertes Programm erfolgt. Hierzu analysiert reCAPTCHA das Verhalten des Websitebesuchers anhand verschiedener Merkmale. Diese Analyse beginnt automatisch, sobald der Websitebesucher die Website betritt. Zur Analyse wertet reCAPTCHA verschiedene Informationen aus (z. B. IP-Adresse, Verweildauer des Websitebesuchers auf der Website oder vom Nutzer getätigte Mausbewegungen). Die bei der Analyse erfassten Daten werden an Google weitergeleitet. Die reCAPTCHA-Analysen laufen vollständig im Hintergrund. Websitebesucher werden nicht darauf hingewiesen, dass eine Analyse stattfindet. Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse daran, seine Webangebote vor missbräuchlicher automatisierter Ausspähung und vor SPAM zu schützen. Weitere Informationen zu Google reCAPTCHA sowie die Datenschutzerklärung von Google entnehmen Sie folgenden Links: https://policies.google.com/privacy?hl=de und https://www.google.com/recaptcha/intro/android.html.
Einsatz von Google Maps
In unserem Internetauftritt setzen wir Google Maps zur Darstellung unsere Standorte sowie zur Erstellung einer Anfahrtsbeschreibung ein. Es handelt sich hierbei um einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, nachfolgend nur „Google“ genannt.
Durch die Zertifizierung nach dem EU-US-Datenschutzschild („EU-US Privacy Shield“) https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active garantiert Google, dass die Datenschutzvorgaben der EU auch bei der Verarbeitung von Daten in den USA eingehalten werden.
Um die Darstellung bestimmter Schriften in unserem Internetauftritt zu ermöglichen, wird bei Aufruf unseres Internetauftritts eine Verbindung zu dem Google-Server in den USA aufgebaut. Sofern Sie die in unseren Internetauftritt eingebundene Komponente Google Maps aufrufen, speichert Google über Ihren Internet-Browser ein Cookie auf Ihrem Endgerät. Um unseren Standort anzuzeigen und eine Anfahrtsbeschreibung zu erstellen, werden Ihre Nutzereinstellungen und -daten verarbeitet. Hierbei können wir nicht ausschließen, dass Google Server in den USA einsetzt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DSGVO. Unser berechtigtes Interesse liegt in der Optimierung der Funktionalität unseres Internetauftritts. Durch die so hergestellte Verbindung zu Google kann Google ermitteln, von welcher Website Ihre Anfrage gesendet worden ist und an welche IP-Adresse die Anfahrtsbeschreibung zu übermitteln ist. Sofern Sie mit dieser Verarbeitung nicht einverstanden sind, haben Sie die Möglichkeit, die Installation der Cookies durch die entsprechenden Einstellungen in Ihrem Internet-Browser zu verhindern.
Zudem erfolgt die Nutzung von Google Maps sowie der über Google Maps erlangten Informationen nach den Google-Nutzungsbedingungen https://policies.google.com/terms?gl=DE&hl=de und den Geschäftsbedingungen für Google Maps https://www.google.com/intl/de_de/help/terms_maps.html.
eTermin – Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO
Zwischen der IPF Arbeitsmedizin GmbH, Hüttenstr. 1, 5. OG, 40215 Düsseldorf, Deutschland – nachstehend Auftraggeber genannt – und der Firma eTermin GmbH, Im Wiesengrund 8, 8304 Wallisellen, Schweiz – nachstehend Auftragnehmer genannt –
Präambel
Der Auftragnehmer betreibt die SaaS-Anwendung eTermin, über welche dem Auftraggeber ermöglicht wird, die Terminvereinbarung mit ihren Kunden, Patienten und Klienten zu automatisieren. Im Rahmen dieser vertraglich vereinbarten Leistungserbringung (nachfolgend „Hauptvertrag“ genannt) ist es erforderlich, dass der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet, für die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert. Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit dem Umgang des Auftragnehmers mit den Daten des Auftraggebers zur Durchführung des Hauptvertrags.
1. Anwendungsbereich, Gegenstand und Dauer der Verarbeitung
(1) Diese Datenschutzvereinbarung findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können. Soweit in dieser Vereinbarung keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widersprüchen zwischen diesem Vertrag und Regelungen aus sonstigen Vereinbarungen, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus dieser Vereinbarung mit Rechtswirkung ausschließlich für diese Vereinbarung vor.
(2) Der Gegenstand und die Dauer des Auftrages sowie Umfang, Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber ergeben sich aus dem Hauptvertrag. Das Recht zur außerordentlichen Kündigung bleibt unberührt.
(3) Die Laufzeit und Kündigung dieser Vereinbarung richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieser Vereinbarung. Das Recht zur außerordentlichen Kündigung bleibt unberührt.
(4) Gegenstand der Erhebung und Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
- Personenstammdaten (z. B. Name, Vorname, Anschrift, Geburtsdatum)
- Kontaktdaten (z. B. Telefonnummern, E-Mail-Adressen)
- Termine (über eTermin vereinbarte Zeitpunkte)
- Kommunikationsdaten (z. B. über eTermin abgewickelte Kommunikation, E-Mail-Nachrichten)
(5) Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Kunden/Vertragspartner, künftige Vertragspartner oder Interessenten des Auftraggebers
- Beschäftigte des Auftraggebers
(6) Die Verarbeitung der Daten findet ausschließlich im Gebiet der Schweiz und/oder in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland (außer der Schweiz) bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
2. Definitionen
(1) Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).
(2) Datenverarbeitung im Auftrag
Datenverarbeitung im Auftrag ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Sinne des Art. 28 DSGVO.
(3) Weisung
Eine Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Berichtigung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen
Daten gerichtete schriftliche Anordnung des Auftraggebers. Die Weisungen werden anfänglich durch den Hauptvertrag und diese Vereinbarung festgelegt und können vom Auftraggeber danach in
schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung).
3. Verantwortlichkeit für die Datenverarbeitung
(1) Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung, verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Sollten Dritte gegen den Auftragnehmer aufgrund der Erhebung, Verarbeitung oder Nutzung von Daten des Auftraggebers Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.
(2) Dem Auftraggeber obliegt es, dem Auftragnehmer die Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der Daten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
4. Technische und organisatorische Maßnahmen
(1) Der Auftragnehmer sichert die Umsetzung und Einhaltung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO vor Beginn der Verarbeitung zu. Diese sind durch den Auftragnehmer in der beigefügten Anlage „Übersicht über die technisch-organisatorischen Maßnahmen“ dokumentiert.
(2) Die in der vorgenannten Anlage dokumentierten Maßnahmen sind Grundlage dieser Vereinbarung. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen, sofern das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers und sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zu stellen.
(4) Der Auftragnehmer verarbeitet personenbezogene Daten des Auftraggebers über die Anwendung eTermin in erster Linie in einem Rechenzentrum mit Sitz in Straßburg. Die bei dieser
Datenverarbeitung ergriffenen technischen und organisatorischen Maßnahmen des Rechenzentrumsbetreibers sind gleichfalls in der beigefügten Anlage „Übersicht über die technischorganisatorischen Maßnahmen“ dokumentiert.
5. Pflichten des Auftragnehmers
(1) Der Auftragnehmer hat Daten nur nach Weisung des Auftraggebers unter Beachtung von Ziff. 7 dieser Vereinbarung zu verarbeiten. Der Auftragnehmer hat ausschließlich nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten oder Auskunft über die gespeicherten Daten des Auftraggebers wenden sollte, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.
(2) Der Auftragnehmer stellt sicher und kontrolliert regelmäßig, dass die Datenverarbeitung und -nutzung im Rahmen der Leistungserbringung nach dem Hauptvertrag in seinem
Verantwortungsbereich, der Unterauftragnehmer nach Ziff. 10 dieser Vereinbarung einschließt, in Übereinstimmung mit den Bestimmungen dieser Vereinbarung erfolgt.
(3) Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsdatenverarbeitung keine Kopien oder Duplikate der Daten des Auftraggebers anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(4) Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten in Höhe von 150 Euro pro Stunde.
(5) Der Auftragnehmer teilt dem Auftraggeber die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit (sofern ein solcher vom Auftragnehmer nach den gesetzlichen
Bestimmungen zu bestellen ist) und den Ansprechpartner für im Rahmen des Vertrags anfallende Datenschutzfragen.
(6) Der Auftragnehmer hat die bei der Verarbeitung von Daten des Auftraggebers beschäftigten Personen gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO zur Vertraulichkeit zu verpflichten.
(7) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er feststellt, dass er oder ein Mitarbeiter bei der Verarbeitung von Daten des Auftraggebers gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus dieser Vereinbarung verstoßen haben und die Voraussetzungen der Art. 33, 34 DSGVO vorliegen. Soweit den Auftraggeber gesetzliche Informationspflichten wegen einer unrechtmäßigen Kenntniserlangung von Daten des Auftraggebers (insbesondere nach Art. 33, 34 DSGVO) treffen, hat der Auftragnehmer den Auftraggeber bei der Erfüllung der Informationspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen. Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung durchführen
6. Pflichten des Auftraggebers
(1) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von betroffenen Personen ist allein der Auftraggeber verantwortlich.
(2) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt. (3) Dem Auftraggeber obliegen die aus Art. 33, 34 DSGVO resultierenden Meldepflichten.
7. Weisungsbefugnis des Auftraggebers
(1) Der Auftragnehmer verarbeitet die Daten des Auftraggebers ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, wie sie abschließend in den Bestimmungen dieser Vereinbarung und den Festlegungen des Hauptvertrags Ausdruck finden. Weisungen des Auftraggebers dürfen die vertraglich vereinbarten Leistungspflichten aus dem Hauptvertrag nicht unmöglich machen. Einzelweisungen, die von den Festlegungen dieser Vereinbarung abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers. Ziehen Einzelweisungen Mehrkosten nach sich, insbesondere wenn diese über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind diese dem Auftragnehmer zu vergüten.
(2) Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder in Textform (z. B. per E-Mail) bestätigen.
(3) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 S. 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
8. Unterstützungspflichten
(1) Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Informationen oder Auskünfte zur Verarbeitung von Daten dieser Person zu geben oder die Rechte von betroffenen Personen nach Kapitel III (Artt. 12 bis 23) der DSGVO zu gewährleisten, wird der Auftragnehmer den Auftraggeber soweit vereinbart bei der Erfüllung dieser Pflichten mit geeigneten technischen und organisatorischen Maßnahmen entsprechend Art. 28 Abs. 3 lit. e DSGVO unterstützen.
(2) Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten entsprechend Art. 28 Abs. 3 lit. f DSGVO bei der Einhaltung der in den Artt. 32 bis 36
DSGVO genannten Pflichten.
(3) Bei der Erbringung der Unterstützungsleistungen nach Abs. 1 und 2 dem Auftragnehmer entstehenden und nachzuweisenden Aufwände und Kosten sind vom Auftraggeber zu ersetzen.
(4) Im Falle einer Inanspruchnahme einer Vertragspartei durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO verpflichtet sich die in Anspruch genommene
Vertragspartei, die andere Vertragspartei unverzüglich zu informieren. Die Vertragsparteien werden sich bei der Abwehr des Anspruchs gegenseitig unterstützen.
9. Kontrollrechte des Auftraggebers
(1) Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach Art. 28 Abs. 3 lit. h DSGVO stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung überzeugen kann.
(2) Der Auftragnehmer gewährt dem Auftraggeber die zur Durchführung dieser Kontrollen erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.
(3) Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der
Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und
Vertragsmanagementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.
(4) Der Auftraggeber ist berechtigt, im Rahmen der üblichen Geschäftszeiten auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und
Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers, in denen die Daten des Auftraggebers verarbeitet werden, zu betreten, um sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung zu überzeugen. Sofern ein Unterauftragnehmer eine Vor-Ort-Kontrolle nicht zulassen sollte (z.B. Microsoft beim Betrieb von Rechenzentren), werden dem Auftraggeber auf Anfrage alternative geeignete Nachweise vorgelegt (z.B. Auditberichte unabhängiger Auditoren).
(5) Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung anstatt einer Vor-Ort-
Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit, einer Bestätigung der Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO oder der Zertifizierung nach einem genehmigten Zertifizierungsverfahren gem. Art. 42 DSGVO erbracht werden, wenn diese Prüfungsberichte es dem Auftraggeber in angemessener Weise ermöglichen, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung zu überzeugen.
(6) Zur Durchführung der Kontrolle muss der Auftragnehmer nur eine solche Person zulassen, die besonders zur Geheimhaltung, insbesondere in Bezug auf Informationen über den Betrieb des Auftragnehmers, dessen Ausstattung, Geschäftsgeheimnisse des Auftragnehmers und Sicherheitsmaßnahmen, verpflichtet ist. Der Auftraggeber darf keinen Konkurrenten des
Auftragnehmers mit der Kontrolle beauftragen. Eine die Kontrolle im Namen des Auftraggebers durchführende Person muss mindestens eine Woche vor Durchführung der Kontrolle ihre Legitimation durch den Auftraggeber schriftlich oder per Telefax nachweisen.
(7) Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von schwerwiegenden Vorkommnissen durchzuführen.
(8) Die Kosten für die Durchführung der Kontrolle trägt der Auftraggeber. Das Ergebnis der Prüfung wird dem Auftragnehmer auf Verlangen in geeigneter Form (Gutachten, Testat, Berichte,
Berichtsauszüge, etc.) zur Verfügung gestellt. Der Auftragnehmer erhält vom Auftraggeber eine pauschale Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand in Höhe von 150 Euro pro Stunde.
10. Unterauftragnehmer (weiterer Auftragsverarbeiter nach Art. 28 Abs. 2 und 4 DSGVO)
(1) Die Weitergabe von Aufträgen im Rahmen der im Hauptvertrag konkretisierten Tätigkeiten an Subunternehmer oder Unterauftragnehmer (im Folgenden einheitlich: Unterauftragnehmer) durch den Auftragnehmer bedarf der vorherigen schriftlichen Zustimmung durch den Auftraggeber. Gleiches gilt für die Ersetzung eines bestehenden Unterauftragnehmers.
(2) Eine solche vorherige Zustimmung darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund verweigert werden. Im Fall der Einschaltung eines nach §§ 15ff. AktG mit dem Auftragnehmer verbundenen Unternehmens als Unterauftragnehmer erteilt der Auftraggeber hiermit ausdrücklich seine Zustimmung. Die vom Auftragnehmer eingesetzten Unterauftragnehmer sind in Anlage „Übersicht über die die vom Auftragnehmer eingesetzten Unterauftragnehmer aufgeführt. Für die in dieser Anlage genannten Unterauftragnehmer gilt die Genehmigung mit Unterzeichnung dieser Vereinbarung als erteilt. Der Auftragnehmer informiert den Auftraggeber vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen diese Änderung Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). Erfolgt kein Einspruch innerhalb von 14 Tagen ab Bekanntgabe, gilt die Zustimmung zur Änderung als gegeben.
(3) Erteilt der Auftragnehmer unter Beachtung von Abs. 1 Aufträge an Unterauftragnehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Vertrag dem Unterauftragnehmer zu übertragen.
(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen nach Art. 44 ff. DSGVO sicher.
(5) Keiner Zustimmung bedarf die Einschaltung von Unterauftragnehmern, bei denen der Unterauftragnehmer lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung nach dem Hauptvertrag in Anspruch nimmt, auch wenn dabei ein Zugriff auf die Daten des Auftraggebers nicht ausgeschlossen werden kann; dazu zählen insbesondere Telekommunikationsleistungen, Post oder Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen. Der Auftragnehmer wird mit solchen Unterauftragnehmern branchenübliche Geheimhaltungsvereinbarungen treffen.
11. Löschung von Daten und Rückgabe von Datenträgern
(1) Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrags – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Daten des Auftraggebers, die Gegenstand dieser Vereinbarung sind, zu löschen und von dem Auftraggeber erhaltene Datenträger, die zu diesem Zeitpunkt noch Daten des Auftraggebers enthalten, an den Auftraggeber auszuhändigen. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
(2) Führt eine vom Auftraggeber verlangte Löschung der Daten des Auftraggebers dazu, dass der Auftragnehmer seine Leistungspflichten nach dem Hauptvertrag nicht mehr ordnungsgemäß erbringen kann, wird der Auftragnehmer von der Verpflichtung zur Leistung frei.
(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.
12. Haftung
(1) Der Auftragnehmer haftet dem Auftraggeber für Vorsatz oder grobe Fahrlässigkeit und im Falle von Arglist, für Personenschäden, bei der Haftung nach dem Produkthaftungsgesetz und der bei Fehlen einer Beschaffenheit, für die der Auftragnehmer eine Garantie übernommen hat nach Maßgabe der gesetzlichen Bestimmungen.
(2) Im Falle leichter Fahrlässigkeit haftet der Auftragnehmer nur für Schäden, die auf einer wesentlichen Pflichtverletzung beruhen, die die Erreichung des Vertragszwecks gefährdet, oder auf der Verletzung von Pflichten, deren Erfüllung die ordnungsgemäße Durchführung dieser Auftragsdatenverarbeitung überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber
regelmäßig vertrauen darf. Die Haftung des Auftragnehmers ist in diesen Fällen der Höhe nach beschränkt auf die Höhe des vorhersehbaren Schadens, mit dessen Entstehung typischerweise gerechnet werden muss.
(3) Die Haftungsbeschränkungen gemäß den vorstehenden Regelungen gelten auch für etwaige Schadensersatzansprüche gegen die Organe, leitenden Angestellte, Mitarbeiter oder Beauftragte des Auftragnehmers.
(4) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach DSGVO oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung beim
Auftragnehmer im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten.
13. Schlussvorschriften
(1) Soweit in dieser Vereinbarung keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widersprüchen zwischen dieser Vereinbarung und Regelungen aus sonstigen vertraglichen Abreden, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus dieser Vereinbarung vor.
(2) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers oder Änderungen der Anlage – bedürfen einer
schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses
Formerfordernis.
(3) Hinsichtlich der Datenverarbeitung gemäß dieser Vereinbarung ist das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG) anwendbar. Von dieser Vereinbarung haben beide Vertragsschließenden je ein Exemplar erhalten.
Wallisellen, 26.02.2020 Ort und Datum |
Düsseldorf, 26.02.2020 Ort und Datum |
Robert Zeh ………………………………………………………….. eTermin GmbH 8304 Wallisellen |
Dr. Christoph Luckey ………………………………………………………….. IPF Arbeitsmedizin GmbH, Hüttenstraße Düsseldorf, Deutschland |
Dieser Vertrag wurde elektronisch abgeschlossen und ist ohne Unterschrift gültig.
Anlage
Übersicht über die technisch-organisatorischen Maßnahmen
Die Anwendung eTermin wird primär über ein Rechenzentrum betrieben, wo auch die relevanten personenbezogenen Daten verarbeitet werden.
Das hierfür eingesetzte Rechenzentrum von Microsoft bei Amsterdam/Niederlande ist ISO 27001 und ISO 27018 zertifiziert.
I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1. Zutrittskontrolle
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren.
Ergriffene Maßnahmen in den Büroräumlichkeiten:
- Festlegung der zugangsberechtigten Personen
- Closed Shop-Betrieb, kein Besucherverkehr
- Schlüsselregelung und aktuelle Schlüsselliste
- Verschlossene Bürotüren und Fenster bei Abwesenheit
- Sicherheitsbereich mit Eingangskontrolle
- Zutrittskontrollsystem
- Maßnahmen zur Innen- und Außenhautsicherung
2. Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Ergriffene Maßnahmen:
- Festlegung der nutzungsberechtigten Personen
- Identifikation und Authentifizierung der Benutzer durch Login
- Firewall, Virenschutz
- Automatische Sperrung der Endgeräte mit Passwortschutz bei Pausen
- Zugang auf Datenverarbeitungssysteme zu Wartungszwecken nur über wenige, zuvor explizit erlaubte IP Adresse
Ergriffene Maßnahmen:
- Berechtigungskonzept mit differenzierten Berechtigungen (sowohl für Anwender, als auch für Administratoren)
- Identifikation und Authentifizierung der Benutzer
- Zentrale Vergabestelle von Benutzerrechten
Ergriffene Maßnahmen:
-
Datenspeicherung wird mit dem Zweck der Datenerhebung versehen (z. B. durch Dateibezeichnung)
- Mandantentrennung – Logische Trennung der Daten (basierend auf UID)
- Funktionstrennung
II. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
1. Weitergabekontrolle
verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Ergriffene Maßnahmen:
-
Physikalische Löschung aller Datenträger vor einer neuen Beschreibung und nach jeder Verarbeitung
- Überprüfung aller Daten und Datenträger hinsichtlich Virenbefall
- Protokollierung der Datenübermittlung
- Fernwartungskonzept
- Verschlüsselte Datenübertragungen zwischen Endgeräten und Rechenzentrum
Ergriffene Maßnahmen:
- Festlegung von Eingabebefugnissen
- Protokollierung der Eingaben, Veränderungen und Löschungen von Terminen
III. Verfügbarkeit, Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) und Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
Personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.
Ergriffene Maßnahmen in den Büroräumlichkeiten:
- Backup-Systeme zur Wiederherstellung verlorener Daten
- Räumlich getrennte Aufbewahrung der erstellten Datensicherungen
- Virenschutzkonzept
- Zentrale Datensicherung
Ergriffene Maßnahmen im Rechenzentrum:
- Unterbrechungsfreie Stromversorgung (USV) und Netzersatzanlage
- Redundante Stromversorgung der Server
- Überspannungsschutz
- Branderkennungs- und Frühwarnsystem, Löschanlage
- Backup-Systeme zur Wiederherstellung verlorener Daten
IV. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
1. Auftragskontrolle
Es ist eine auftrags- und weisungsgemäße Auftragsdatenverarbeitung zu gewährleisten.
Ergriffene Maßnahmen:
- klare Vertragsgestaltung und -ausführung
- Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber
- Sorgfältige Auswahl des Auftragnehmers
- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrages
2. Externe Prüfungen, Audits, Zertifizierungen
Der Auftragnehmer führt hinsichtlich der technischen und organisatorischen Maßnahmen regelmäßig
folgende Prüfungen/Audits durch oder ist wie folgt zertifiziert:
Ergriffene Maßnahmen Rechenzentrum:
- Zertifizierung nach ISO 27001 oder vergleichbarer Norm
Anlage
Übersicht über die vom Auftragnehmer eingesetzten Unterauftragnehmer gem. Ziff 10 Abs. 2
Firma Unterauftragnehmer | Anschrift/Land | Beschreibung der übernommenen Teilleistung |
Microsoft Corporation | One Microsoft Way, Redmond, WA 98052-6399, USA |
Hosting der eTermin Server, Microsoft Azure Cloud, Rechenzentrum Standort Niederlande |