Nutzungsvereinbarung

Bedingungen für die Auftragsverarbeitung gemäß Art 28 DSGVO

im Zusammenhang mit der

Vereinbarung über die Nutzung des Kommunikationsportals [...]

I.               Grundsätzliches

1.              Der Portalbetreiber führt aufgrund der Vereinbarung über die Nutzung des Kommunikationsportals der [...] (nachfolgend genannt: Nutzungsvereinbarung) Auftragsverarbeitungstätigkeiten i. S. d. Art 28 DSGVO durch. Diese Tätigkeiten sind in der Nutzungsvereinbarung aufgeführt. Die nachstehenden Bedingungen sind als Ergänzung zur Nutzungsvereinbarung zu verstehen.

2.              Folgende Datenkategorien werden verarbeitet:

·       Gesundheitsdaten nach […]

·       …

3.              Es unterliegen ausschließlich Patientendaten des Arztes der Verarbeitung

4.              Die vorliegenden Bedingungen gelten für die gesamte Laufzeit der Nutzungsvereinbarung.

5.              Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw des EWR durchgeführt.

II.              Verpflichtungen des Portalbetreibers

1.                  Der Portalbetreiber verpflichtet sich, allfällige vom Arzt auf das Portal gestellte oder für diese bereitgehaltenen Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der Nutzungsvereinbarung zu verarbeiten. Erhält der Portalbetreiber einen behördlichen Auftrag, Daten des Arztes herauszugeben, so hat er - sofern gesetzlich zulässig - den Arzt unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der vorstehenden Daten des Arztes für eigene Zwecke des Auftragsverarbeiters eines schriftlichen Auftrages.

2.                  Der Portalbetreiber gewährleistet, dass sich die von ihm zur Verarbeitung der personenbezogenen Daten beauftragten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

3.                  Der Portalbetreiber ergreift sämtliche erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art 32 DSGVO gemäß Anlage ./1.

4.                  Der Portalbetreiber hat den Arzt, angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Personen (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) nachzukommen.

5.                  Der Portalbetreiber hat unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Arzt bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten zu unterstützen.

6.                  Der Portalbetreiber hat nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Arztes zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

7.                  Der Portalbetreiber hat dem Arzt alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesen Bedingungen niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen - einschließlich Inspektionen -, die vom Arzt oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und zu diesen beizutragen.

8.                  Der Portalbetreiber hat den Arzt unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Arztes verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

9.                  Nimmt der Portalbetreiber Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Arztes auszuführen, schließt der Plattformbetreiber die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Portalbetreiber auf Grund dieser Bedingungen obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Portalbetreiber gegenüber dem Arzt für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

10.                

Anlage ./1 – Technisch-organisatorische MaSSnahmen

Vertraulichkeit

§  Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen, z.B.: Schlüssel, Magnet- oder Chipkarten, elektrische Türöffner, Portier, Sicherheitspersonal, Alarmanlagen, Videoanlagen;

§  Zugangskontrolle: Schutz vor unbefugter Systembenutzung, z.B.: Kennwörter (einschließlich entsprechender Policy), automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;

§  Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insb von administrativen Benutzerkonten;

§  Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, und gesondert aufbewahrt.

§  Klassifikationsschema für Daten: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim/vertraulich/intern/öffentlich).

Integrität

§  Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;

§  Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement.

Verfügbarkeit und Belastbarkeit

§  Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV, Dieselaggregat), Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene, Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern;

§  Rasche Wiederherstellbarkeit;

§  Löschungsfristen: Sowohl für Daten selbst als auch Metadaten wie Logfiles, uä.

Verfahren zur regelmäSSigen Überprüfung, Bewertung und Evaluierung

§  Datenschutz-Management, einschließlich regelmäßiger Mitarbeiter-Schulungen;

§  Incident-Response-Management;

§  Datenschutzfreundliche Voreinstellungen;

§  Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DSGVO ohne entsprechende Weisung des Verantwortlichen, z.B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Auftragsverarbeiters (ISO-Zertifizierung, ISMS), Vorabüberzeugungspflicht, Nachkontrollen.