(1) Datenschutzrechtliche Vereinbarung nach Art. 28 DSGVO

(ADV-Vertrag)

Gegenstand des Auftrags

Grundsätzlich finden die im Dienstleistungsvertrag vereinbarten Arbeiten per Fernwartung auf den Rechner des Auftraggebers statt. Ein Zugriff auf personenbezogene Daten (Patientendaten) kann daher nicht ausgeschlossen werden.

Eine Speicherung der Daten auf dem INGWIS System ist nicht vereinbart.

Verantwortlichkeit

Der Auftraggeber bzw. dessen Auftraggeber sind für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an INGWIS, sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.

Aufgrund dieser Verantwortlichkeit kann der Auftraggeber auch während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe von Daten verlangen.

1.1 Weisungsbefugnis des Auftraggebers

Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Der Auftraggeber behält sich ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, dass er durch Einzelweisungen konkretisieren kann.

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren.

Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen.

1.2 Ort der Auftragserfüllung

INGWIS wird die vertraglichen Leistungen in Deutschland bzw. Länder, die Mitglied der Europäischen Union angehören, erbringen.

1.3 Pflichten des Auftragnehmers

INGWIS darf Daten nur im Rahmen des Auftrages und der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ein Zugriff auf Patientendaten ist nur dann zulässig, wenn dies für die Erfüllung der konkreten Aufgabe tatsächlich zwingend erforderlich ist. Die Einhaltung dieser Vorgabe wird durch INGWIS kontrollieren. INGWIS wird in ihrem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes von Gesundheitsdaten gerecht wird.

Die jeweils aktuelle TOM wird dem Auftraggeber auf Verlangen vorgelegt.

INGWIS wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. INGWIS ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

Weiterhin sind alle Personen der INGWIS bzgl. der Pflichten aufgeklärt.

INGWIS unterstützt den Auftraggeber bei der Datenschutzfolgeabschätzung mit allen, ihr zur Verfügung stehenden, Informationen. Im Fall der Notwendigkeit einer vorherigen Konsultation der zuständigen Aufsichtsbehörde unterstützt INGWIS den Auftraggeber auch hierbei.

INGWIS verwendet die überlassenen Daten für keine anderen Zwecke als die der Vertragserfüllung.

Ist der Auftraggeber gegenüber einer betroffenen Person verpflichtet, Auskünfte zu Daten dieser Person zu geben, wird INGIWS den Auftraggeber dabei unterstützen, diese Informationen bereitzustellen, vorausgesetzt der Auftraggeber hat INGWIS hierzu schriftlich aufgefordert.

1.4 Fernzugriff bei Prüfung/Wartung (soweit nach dem Hauptvertrag zu erbringen)

(1) Fernzugriffe zu Prüfungs- und/oder Wartungsarbeiten an Arbeitsplatzsystemen werden erst nach Freigabe durch den jeweiligen Berechtigten/betroffenen Mitarbeiter des Auftraggebers durchgeführt.

(2) Fernzugriffe zu Prüfungs- und/oder Wartungsarbeiten von automatisierten Verfahren oder von Datenverarbeitungsanlagen werden ausschließlich mit Zustimmung und nach vorheriger Freigabe des Auftraggebers ausgeführt.

(3) INGWIS wird von den ihr eingeräumten Zugriffsrechten auf automatisierte Verfahren oder von Datenverarbeitungsanlagen (insb. IT-Systeme, Anwendungen) des Auftraggebers nur in dem Umfange – auch in zeitlicher Hinsicht – Gebrauch machen, als dies für die ordnungsgemäße Durchführung der beauftragten Wartungs- und Prüfungsarbeiten notwendig ist.

1.5 Pflichten des Auftraggebers

(1) Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich.

(2) Der Auftraggeber hat INGWIS unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

(3) Der Auftraggeber ist hinsichtlich der von INGWIS eingesetzten und vom Auftraggeber genehmigten Verfahren zur automatisierten Verarbeitung personenbezogener Daten datenschutzrechtlich verantwortlich und hat dementsprechend die Pflicht zur Führung des Verfahrensverzeichnisses.

(4) Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Betriebsgeheimnissen und Datensicherheitsmaßnahmen des INGWISs vertraulich zu behandeln.

1.6 Kontrollrechte des Auftraggebers

Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von der Einhaltung der in diesem Vertrag vereinbarten Regelungen zum Schutz der personenbezogenen bzw. personenbeziehbaren Daten, insbesondere von der Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen des INGWISs und dokumentiert das Ergebnis.

1.7 Unterauftragnehmer

Die Weitergabe von Aufträgen der im jeweiligen Hauptvertrag konkretisierten Tätigkeiten an Unterauftragnehmer durch INGWIS bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers. INGWIS muss Unterauftragnehmer unter besonderer Berücksichtigung der Eignung hinsichtlich der Erfüllung der zwischen Auftraggeber und INGWIS vereinbarten technischen und organisatorischen Maßnahmen gewissenhaft auswählen.

1.8 Sonstiges

(1) Etwaige Zurückbehaltungsrechte hinsichtlich Daten und der zugehörigen Datenträger werden ausgeschlossen.

(2) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich.