Datenschutzerklärung
1. Datenschutz auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.
Datenerfassung auf unserer Website
Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Impressum dieser Website entnehmen.
Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z.B. um Daten handeln, die Sie in ein Kontaktformular eingeben.
Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z.B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie unsere Website betreten.
Wofür nutzen wir Ihre Daten?
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden.
Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung, Sperrung oder Löschung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.
2. Allgemeine Hinweise und Pflichtinformationen
Datenschutz
Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.
Wenn Sie diese Website benutzen, werden verschiedene personenbezogene Daten erhoben. Personenbezogene Daten sind Daten, mit denen Sie persönlich identifiziert werden können. Die vorliegende Datenschutzerklärung erläutert, welche Daten wir erheben und wofür wir sie nutzen. Sie erläutert auch, wie und zu welchem Zweck das geschieht.
Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.
Hinweis zur verantwortlichen Stelle
Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:
Praxis für Arbeits- & Präventivmedizin
PAPmed GmbH
Winterfeldtstraße 35
10781 Berlin
Eingang durch die Hofeinfahrt
Telefon: 030 / 45310122
E-Mail: info@betriebsarzt-berlin.de
Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen o. Ä.) entscheidet.
Widerruf Ihrer Einwilligung zur Datenverarbeitung
Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.
Beschwerderecht bei der zuständigen Aufsichtsbehörde
Im Falle datenschutzrechtlicher Verstöße steht dem Betroffenen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Unternehmen seinen Sitz hat. Eine Liste der Datenschutzbeauftragten sowie deren Kontaktdaten können folgendem Link entnommen werden: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.
SSL- bzw. TLS-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Bestellungen oder Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL-bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von “http://” auf “https://” wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.
Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.
Auskunft, Sperrung, Löschung
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden.
3. Datenschutzbeauftragter
Gesetzlich vorgeschriebener Datenschutzbeauftragter
Wir haben für unser Unternehmen einen Datenschutzbeauftragten bestellt.
Janine Hoffmann
Winterfeldtstr. 35
10781 Berlin
Telefon: 030-45310122
E-Mail: datenschutz@betriebsarzt-berlin.de
4. Datenerfassung auf unserer Website
Server-Log-Dateien
Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:
- Browsertyp und Browserversion
- verwendetes Betriebssystem
- Referrer URL
- Hostname des zugreifenden Rechners
- Uhrzeit der Serveranfrage
- IP-Adresse
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.
Grundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen gestattet.
Kontaktformular
Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.
Die Verarbeitung der in das Kontaktformular eingegebenen Daten erfolgt somit ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.
Die von Ihnen im Kontaktformular eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z.B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.
jameda
Wir haben jameda auf dieser Website eingebunden. Anbieter ist jameda GmbH, Balanstr. 71a, 81541 München (nachfolgend jameda).
jameda stellt ein Online-Terminvergabe-Tool bereit. Ferner können wir ein Gütesiegel von jameda auf unserer Website einbinden. Wenn Sie online einen Termin mit uns vereinbaren, werden Ihre hierzu eingegebenen Daten auf den Servern von jameda gespeichert. Des Weiteren erfasst jameda kurzfristig Ihre IP-Adresse, Ihre Referrer-URL, die Uhrzeit des Zugriffs und kann feststellen, dass Sie bei uns eine Anfrage gestellt haben; diese Daten werden ausschließlich für die technische Bereitstellung des Dienstes verwendet und anschließen automatisch wieder gelöscht.
Die Verwendung von jameda erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an einer möglichst unkomplizierten Terminvereinbarung. Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO / Art. 9 Abs. 2. lit. a DSGVO und § 25 Abs. 1 TTDSG, soweit die Einwilligung die Speicherung von Cookies oder den Zugriff auf Informationen im Endgerät des Nutzers (z. B. Device-Fingerprinting) im Sinne des TTDSG umfasst. Die Einwilligung ist jederzeit widerrufbar.
Auftragsverarbeitung
Wir haben einen Vertrag über Auftragsverarbeitung (AVV) mit dem oben genannten Anbieter geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.
5. Plugins und Tools
Google Web Fonts
Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten so genannte Web Fonts, die von Google bereitgestellt werden. Beim Aufruf einer Seite lädt Ihr Browser die benötigten Web Fonts in ihren Browsercache, um Texte und Schriftarten korrekt anzuzeigen.
Zu diesem Zweck muss der von Ihnen verwendete Browser Verbindung zu den Servern von Google aufnehmen. Hierdurch erlangt Google Kenntnis darüber, dass über Ihre IP-Adresse unsere Website aufgerufen wurde. Die Nutzung von Google Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.
Wenn Ihr Browser Web Fonts nicht unterstützt, wird eine Standardschrift von Ihrem Computer genutzt.
Weitere Informationen zu Google Web Fonts finden Sie unter https://developers.google.com/fonts/faq und in der Datenschutzerklärung von Google: https://www.google.com/policies/privacy/.
Google Maps
Diese Seite nutzt über eine API den Kartendienst Google Maps. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Zur Nutzung der Funktionen von Google Maps ist es notwendig, Ihre IP Adresse zu speichern. Diese Informationen werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Der Anbieter dieser Seite hat keinen Einfluss auf diese Datenübertragung.
Die Nutzung von Google Maps erfolgt im Interesse einer ansprechenden Darstellung unserer Online-Angebote und an einer leichten Auffindbarkeit der von uns auf der Website angegebenen Orte. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.
Mehr Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Google: https://www.google.de/intl/de/policies/privacy/.
6. Audio- und Videokonferenzen
Datenverarbeitung
Für die Kommunikation mit unseren Kunden setzen wir unter anderen Online-Konferenz-Tools ein. Die im Einzelnen von uns genutzten Tools sind unten aufgelistet. Wenn Sie mit uns per Video- oder Audiokonferenz via Internet kommunizieren, werden Ihre personenbezogenen Daten von uns und dem Anbieter des jeweiligen Konferenz-Tools erfasst und verarbeitet.
Die Konferenz-Tools erfassen dabei alle Daten, die Sie zur Nutzung der Tools bereitstellen/einsetzen (E-Mail-Adresse und/oder Ihre Telefonnummer). Ferner verarbeiten die Konferenz-Tools die Dauer der Konferenz, Beginn und Ende (Zeit) der Teilnahme an der Konferenz, Anzahl der Teilnehmer und sonstige „Kontextinformationen“ im Zusammenhang mit dem Kommunikationsvorgang (Metadaten).
Des Weiteren verarbeitet der Anbieter des Tools alle technischen Daten, die zur Abwicklung der Online-Kommunikation erforderlich sind. Dies umfasst insbesondere IP-Adressen, MAC-Adressen, Geräte-IDs, Gerätetyp, Betriebssystemtyp und -version, Client-Version, Kameratyp, Mikrofon oder Lautsprecher sowie die Art der Verbindung.
Sofern innerhalb des Tools Inhalte ausgetauscht, hochgeladen oder in sonstiger Weise bereitgestellt werden, werden diese ebenfalls auf den Servern der Tool-Anbieter gespeichert. Zu solchen Inhalten zählen insbesondere Cloud-Aufzeichnungen, Chat-/ Sofortnachrichten, Voicemails hochgeladene Fotos und Videos, Dateien, Whiteboards und andere Informationen, die während der Nutzung des Dienstes geteilt werden.
Bitte beachten Sie, dass wir nicht vollumfänglich Einfluss auf die Datenverarbeitungsvorgänge der verwendeten Tools haben. Unsere Möglichkeiten richten sich maßgeblich nach der Unternehmenspolitik des jeweiligen Anbieters. Weitere Hinweise zur Datenverarbeitung durch die Konferenztools entnehmen Sie den Datenschutzerklärungen der jeweils eingesetzten Tools, die wir unter diesem Text aufgeführt haben.
Zweck und Rechtsgrundlagen
Die Konferenz-Tools werden genutzt, um mit angehenden oder bestehenden Vertragspartnern zu kommunizieren oder bestimmte Leistungen gegenüber unseren Kunden anzubieten (Art. 6 Abs. 1 lit. b DSGVO). Des Weiteren dient der Einsatz der Tools der allgemeinen Vereinfachung und Beschleunigung der Kommunikation mit uns bzw. unserem Unternehmen (berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO). Soweit eine Einwilligung abgefragt wurde, erfolgt der Einsatz der betreffenden Tools auf Grundlage dieser Einwilligung; die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerrufbar.
Speicherdauer
Die unmittelbar von uns über die Video- und Konferenz-Tools erfassten Daten werden von unseren Systemen gelöscht, sobald Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt. Gespeicherte Cookies verbleiben auf Ihrem Endgerät, bis Sie sie löschen. Zwingende gesetzliche Aufbewahrungsfristen bleiben unberührt.
Auf die Speicherdauer Ihrer Daten, die von den Betreibern der Konferenz-Tools zu eigenen Zwecken gespeichert werden, haben wir keinen Einfluss. Für Einzelheiten dazu informieren Sie sich bitte direkt bei den Betreibern der Konferenz-Tools.
Eingesetzte Konferenz-Tools
Wir setzen folgende Konferenz-Tools ein:
Zoom
Wir nutzen Zoom. Anbieter dieses Dienstes ist die Zoom Communications Inc., San Jose, 55 Almaden Boulevard, 6th Floor, San Jose, CA 95113, USA. Details zur Datenverarbeitung entnehmen Sie der Datenschutzerklärung von Zoom: https://zoom.us/de-de/privacy.html.
Die Datenübertragung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt. Details finden Sie hier: https://zoom.us/de-de/privacy.html.
Auftragsverarbeitung
Wir haben einen Vertrag über Auftragsverarbeitung (AVV) mit dem oben genannten Anbieter geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.
Google Meet
Wir nutzen Google Meet. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Details zur Datenverarbeitung entnehmen Sie der Datenschutzerklärung von Google: https://policies.google.com/privacy?hl=de.
Auftragsverarbeitung
Wir haben einen Vertrag über Auftragsverarbeitung (AVV) mit dem oben genannten Anbieter geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.
Webex
Wir nutzen Webex. Anbieter dieses Dienstes ist die Webex Communications Deutschland GmbH, Hansaallee 249 c/o Cisco Systems GmbH, 40549 Düsseldorf, Deutschland.
Es kann nicht ausgeschlossen werden, dass die mit WebEx verarbeiteten Daten in Drittstaaten (z. B. in die USA) übertragen werden. Webex verfügt über Binding Corporate Rules (BCR), die von niederländischen, polnischen, spanischen und anderen relevanten europäischen Datenschutzregulierungsbehörden genehmigt wurden. Hierbei handelt es sich um verbindliche unternehmensinterne Vorschriften, die die unternehmensinterne Datenübertragung in Drittstaaten außerhalb der EU und des EWR legitimieren. Details finden Sie hier: https://www.cisco.com/c/de_de/about/trust-center/data-protection-and-privacy-policy.html und https://konferenzen.telekom.de/fileadmin/Redaktion/conference/cisco-webex/Webex_Compliance_Deutsch_V1.0.pdf.
Details zur Datenverarbeitung entnehmen Sie der Datenschutzerklärung von Webex: https://www.cisco.com/c/de_de/about/legal/privacy-full.html.
Auftragsverarbeitung
Wir haben einen Vertrag über Auftragsverarbeitung (AVV) mit dem oben genannten Anbieter geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.
Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO
Zwischen der
PAPmed GmbH, Winterfeldtstr. 35, 10781 Berlin, Deutschland
– nachstehend Auftraggeber genannt –
und der
Firma eTermin GmbH, Im Wiesengrund 8, 8304 Wallisellen, Schweiz
– nachstehend Auftragnehmer genannt –
Präambel
Der Auftragnehmer betreibt die SaaS-Anwendung eTermin, über welche dem Auftraggeber ermöglicht wird, die Terminvereinbarung mit ihren Kunden, Patienten und Klienten zu automatisieren. Im Rahmen dieser vertraglich vereinbarten Leistungserbringung (nachfolgend „Hauptvertrag“ genannt) ist es erforderlich, dass der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet, für die der Auftraggeber als verantwortliche Stelle im Sinne der datenschutzrechtlichen Vorschriften fungiert. Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im
Zusammenhang mit dem Umgang des Auftragnehmers mit den Daten des Auftraggebers zur
Durchführung des Hauptvertrags.
1. Anwendungsbereich, Gegenstand und Dauer der Verarbeitung
(1) Diese Datenschutzvereinbarung findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können. Soweit in dieser Vereinbarung keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widersprüchen zwischen diesem Vertrag und Regelungen aus sonstigen Vereinbarungen, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus dieser Vereinbarung mit Rechtswirkung ausschließlich für diese Vereinbarung vor.
(2) Der Gegenstand und die Dauer des Auftrages sowie Umfang, Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber ergeben sich aus dem Hauptvertrag. Das Recht zur außerordentlichen Kündigung bleibt unberührt.
(3) Die Laufzeit und Kündigung dieser Vereinbarung richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieser Vereinbarung. Das Recht zur außerordentlichen Kündigung bleibt unberührt.
(4) Gegenstand der Erhebung und Verarbeitung personenbezogener Daten sind folgende Datenarten/kategorien:
• Personenstammdaten (z.B. Name, Vorname, Anschrift, Geburtsdatum)
• Kontaktdaten (z.B. Telefonnummern, E-Mail-Adressen)
• Termine (über eTermin vereinbarte Zeitpunkte)
• Kommunikationsdaten (z.B. über eTermin abgewickelte Kommunikation, E-Mail-Nachrichten)
(5) Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
• Kunden/Vertragspartner, künftige Vertragspartner oder Interessenten des Auftraggebers
• Beschäftigte des Auftraggebers
(6) Die Verarbeitung der Daten findet ausschließlich im Gebiet der Schweiz und/oder in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland (außer der Schweiz) bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
2. Definitionen
(1) Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).
(2) Datenverarbeitung im Auftrag
Datenverarbeitung im Auftrag ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers im Sinne des Art. 28 DSGVO.
(3) Weisung
Eine Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Berichtigung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnung des Auftraggebers. Die Weisungen werden anfänglich durch den Hauptvertrag und diese Vereinbarung festgelegt und können vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung).
3. Verantwortlichkeit für die Datenverarbeitung
(1) Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung, verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Sollten Dritte gegen den Auftragnehmer aufgrund der Erhebung, Verarbeitung oder Nutzung von Daten des Auftraggebers Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.
(2) Dem Auftraggeber obliegt es, dem Auftragnehmer die Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der Daten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
4. Technische und organisatorische Maßnahmen
(1) Der Auftragnehmer sichert die Umsetzung und Einhaltung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO vor Beginn der Verarbeitung zu. Diese sind durch den Auftragnehmer in der beigefügten Anlage „Übersicht über die technisch-organisatorischen Maßnahmen“ dokumentiert.
(2) Die in der vorgenannten Anlage dokumentierten Maßnahmen sind Grundlage dieser Vereinbarung.
Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen, sofern das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers und sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zu stellen.
(4) Der Auftragnehmer verarbeitet personenbezogene Daten des Auftraggebers über die Anwendung eTermin in erster Linie in einem Rechenzentrum mit Sitz in Straßburg. Die bei dieser Datenverarbeitung ergriffenen technischen und organisatorischen Maßnahmen des Rechenzentrumsbetreibers sind gleichfalls in der beigefügten Anlage „Übersicht über die technischorganisatorischen Maßnahmen“ dokumentiert.
5. Pflichten des Auftragnehmers
(1) Der Auftragnehmer hat Daten nur nach Weisung des Auftraggebers unter Beachtung von Ziff. 7 dieser Vereinbarung zu verarbeiten. Der Auftragnehmer hat ausschließlich nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten oder Auskunft über die gespeicherten Daten des Auftraggebers wenden sollte, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.
(2) Der Auftragnehmer stellt sicher und kontrolliert regelmäßig, dass die Datenverarbeitung und Nutzung im Rahmen der Leistungserbringung nach dem Hauptvertrag in seinem Verantwortungsbereich, der Unterauftragnehmer nach Ziff. 10 dieser Vereinbarung einschließt, in Übereinstimmung mit den Bestimmungen dieser Vereinbarung erfolgt.
(3) Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsdatenverarbeitung keine Kopien oder Duplikate der Daten des Auftraggebers anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher
Aufbewahrungspflichten erforderlich sind.
(4) Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten in Höhe von 150 Euro pro Stunde.
(5) Der Auftragnehmer teilt dem Auftraggeber die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit (sofern ein solcher vom Auftragnehmer nach den gesetzlichen Bestimmungen zu bestellen ist) und den Ansprechpartner für im Rahmen des Vertrags anfallende Datenschutzfragen.
(6) Der Auftragnehmer hat die bei der Verarbeitung von Daten des Auftraggebers beschäftigten Personen gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO zur Vertraulichkeit zu verpflichten.
(7) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er feststellt, dass er oder ein Mitarbeiter bei der Verarbeitung von Daten des Auftraggebers gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus dieser Vereinbarung verstoßen haben und die Voraussetzungen der Art. 33, 34 DSGVO vorliegen. Soweit den Auftraggeber gesetzliche Informationspflichten wegen einer unrechtmäßigen Kenntniserlangung von Daten des Auftraggebers (insbesondere nach Art. 33, 34 DSGVO) treffen, hat der Auftragnehmer den Auftraggeber bei der Erfüllung der Informationspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen. Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung durchführen.
6. Pflichten des Auftraggebers
(1) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von betroffenen Personen ist allein der Auftraggeber verantwortlich.
(2) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
(3) Dem Auftraggeber obliegen die aus Art. 33, 34 DSGVO resultierenden Meldepflichten.
7. Weisungsbefugnis des Auftraggebers
(1) Der Auftragnehmer verarbeitet die Daten des Auftraggebers ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, wie sie abschließend in den Bestimmungen dieser Vereinbarung und den Festlegungen des Hauptvertrags Ausdruck finden. Weisungen des Auftraggebers dürfen die vertraglich vereinbarten Leistungspflichten aus dem Hauptvertrag nicht unmöglich machen. Einzelweisungen, die von den Festlegungen dieser Vereinbarung abweichen oder zusätzliche
Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers. Ziehen Einzelweisungen Mehrkosten nach sich, insbesondere wenn diese über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind diese dem Auftragnehmer zu vergüten.
(2) Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder in Textform (z.B. per EMail) bestätigen.
(3) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 S. 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
8. Unterstützungspflichten
(1) Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Informationen oder Auskünfte zur Verarbeitung von Daten dieser Person zu geben oder die Rechte von betroffenen Personen nach Kapitel III (Artt. 12 bis 23) der DSGVO zu gewährleisten, wird der Auftragnehmer den Auftraggeber soweit vereinbart bei der Erfüllung dieser Pflichten mit geeigneten technischen und organisatorischen Maßnahmen entsprechend Art. 28 Abs. 3 lit. e DSGVO unterstützen.
(2) Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten entsprechend Art. 28 Abs. 3 lit. f DSGVO bei der Einhaltung der in den Artt. 32 bis 36 DSGVO genannten Pflichten.
(3) Bei der Erbringung der Unterstützungsleistungen nach Abs. 1 und 2 dem Auftragnehmer entstehenden und nachzuweisenden Aufwände und Kosten sind vom Auftraggeber zu ersetzen.
(4) Im Falle einer Inanspruchnahme einer Vertragspartei durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO verpflichtet sich die in Anspruch genommene Vertragspartei, die andere Vertragspartei unverzüglich zu informieren. Die Vertragsparteien werden sich bei der Abwehr des Anspruchs gegenseitig unterstützen.
9. Kontrollrechte des Auftraggebers
(1) Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach Art. 28 Abs. 3 lit. h DSGVO
stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung überzeugen kann.
(2) Der Auftragnehmer gewährt dem Auftraggeber die zur Durchführung dieser Kontrollen erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.
(3) Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertragsmanagementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.
(4) Der Auftraggeber ist berechtigt, im Rahmen der üblichen Geschäftszeiten auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers, in denen die Daten des Auftraggebers verarbeitet werden, zu betreten, um sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung zu überzeugen.
(5) Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung anstatt einer Vor-Ort Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit, einer Bestätigung der Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO oder der Zertifizierung nach einem genehmigten Zertifizierungsverfahren gem. Art. 42 DSGVO erbracht werden, wenn diese Prüfungsberichte es dem Auftraggeber in angemessener Weise ermöglichen, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß der Anlage zu dieser Vereinbarung zu überzeugen.
(6) Zur Durchführung der Kontrolle muss der Auftragnehmer nur eine solche Person zulassen, die besonders zur Geheimhaltung, insbesondere in Bezug auf Informationen über den Betrieb des Auftragnehmers, dessen Ausstattung, Geschäftsgeheimnisse des Auftragnehmers und Sicherheitsmaßnahmen, verpflichtet ist. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen. Eine die Kontrolle im Namen des Auftraggebers
durchführende Person muss mindestens eine Woche vor Durchführung der Kontrolle ihre Legitimation durch den Auftraggeber schriftlich oder per Telefax nachweisen.
(7) Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von schwerwiegenden Vorkommnissen durchzuführen.
(8) Die Kosten für die Durchführung der Kontrolle trägt der Auftraggeber. Das Ergebnis der Prüfung wird dem Auftragnehmer auf Verlangen in geeigneter Form (Gutachten, Testat, Berichte, Berichtsauszüge, etc.) zur Verfügung gestellt. Der Auftragnehmer erhält vom Auftraggeber eine pauschale Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand in Höhe von 150 Euro pro Stunde.
10. Unterauftragnehmer (weiterer Auftragsverarbeiter nach Art. 28 Abs. 2 und 4 DSGVO)
(1) Die Weitergabe von Aufträgen im Rahmen der im Hauptvertrag konkretisierten Tätigkeiten an Subunternehmer oder Unterauftragnehmer (im Folgenden einheitlich: Unterauftragnehmer) durch den Auftragnehmer bedarf der vorherigen schriftlichen Zustimmung durch den Auftraggeber. Gleiches gilt für die Ersetzung eines bestehenden Unterauftragnehmers.
(2) Eine solche vorherige Zustimmung darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund verweigert werden. Im Fall der Einschaltung eines nach §§ 15ff. AktG mit dem Auftragnehmer verbundenen Unternehmens als Unterauftragnehmer erteilt der Auftraggeber hiermit ausdrücklich seine Zustimmung. Die vom Auftragnehmer eingesetzten Unterauftragnehmer sind in Anlage „Übersicht über die Die vom Auftragnehmer eingesetzten Unterauftragnehmer“ aufgeführt. Für die in dieser Anlage genannten Unterauftragnehmer gilt die Genehmigung mit Unterzeichnung dieser Vereinbarung als erteilt. Der Auftragnehmer informiert den Aufraggeber vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen diese Änderung Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). Erfolgt kein Einspruch innerhalb von 14 Tage ab Bekanntgabe, gilt die Zustimmung zur Änderung als gegeben.
(3) Erteilt der Auftragnehmer unter Beachtung von Abs. 1 Aufträge an Unterauftragnehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Vertrag dem Unterauftragnehmer zu übertragen.
(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen nach Artt.
44 ff. DSGVO sicher.
(5) Keiner Zustimmung bedarf die Einschaltung von Unterauftragnehmern, bei denen der Unterauftragnehmer lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung nach dem Hauptvertrag in Anspruch nimmt, auch wenn dabei ein Zugriff auf die Daten des Auftraggebers nicht ausgeschlossen werden kann; dazu zählen insbesondere Telekommunikationsleistungen, Postoder Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen. Der Auftragnehmer wird mit solchen Unterauftragnehmern branchenübliche Geheimhaltungsvereinbarungen treffen.
11. Löschung von Daten und Rückgabe von Datenträgern
(1) Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrags – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Daten des Auftraggebers, die Gegenstand dieser Vereinbarung sind, zu löschen und von dem Auftraggeber erhaltene Datenträger, die zu diesem Zeitpunkt noch Daten des Auftraggebers enthalten, an den Auftraggeber auszuhändigen. Das Protokoll der Löschung ist auf
Anforderung vorzulegen.
(2) Führt eine vom Auftraggeber verlangte Löschung der Daten des Auftraggebers dazu, dass der Auftragnehmer seine Leistungspflichten nach dem Hauptvertrag nicht mehr ordnungsgemäß erbringen kann, wird der Auftragnehmer von der Verpflichtung zur Leistung frei.
(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.
12. Haftung
(1) Der Auftragnehmer haftet dem Auftraggeber für Vorsatz oder grobe Fahrlässigkeit und im Falle von Arglist, für Personenschäden, bei der Haftung nach dem Produkthaftungsgesetz und der bei Fehlen einer Beschaffenheit, für die der Auftragnehmer eine Garantie übernommen hat nach Maßgabe der gesetzlichen Bestimmungen.
(2) Im Falle leichter Fahrlässigkeit haftet der Auftragnehmer nur für Schäden, die auf einer wesentlichen Pflichtverletzung beruhen, die die Erreichung des Vertragszwecks gefährdet, oder auf der Verletzung von Pflichten, deren Erfüllung die ordnungsgemäße Durchführung dieser Auftragsdatenverarbeitung überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen darf. Die Haftung des Auftragnehmers ist in diesen Fällen der Höhe nach beschränkt auf die Höhe des vorhersehbaren Schadens, mit dessen Entstehung typischerweise gerechnet werden muss.
(3) Die Haftungsbeschränkungen gemäß den vorstehenden Regelungen gelten auch für etwaige Schadensersatzansprüche gegen die Organe, leitenden Angestellte, Mitarbeiter oder Beauftragte des Auftragnehmers.
(4) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach DSGVO oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung beim Auftragnehmer im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten.
13. Schlussvorschriften
(1) Soweit in dieser Vereinbarung keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widersprüchen zwischen dieser Vereinbarung und Regelungen aus sonstigen vertraglichen Abreden, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus dieser Vereinbarung vor.
(2) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers oder Änderungen der Anlage – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(3) Hinsichtlich der Datenverarbeitung gemäß dieser Vereinbarung ist das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG) anwendbar. Von dieser Vereinbarung haben beide Vertragsschließenden je ein Exemplar erhalten.
Wallisellen, 03.04.2019 Ort und Datum |
Berlin, 03.04.2019 Ort und Datum |
Robert Zeh ………………………………………………………….. eTermin GmbH |
Dr. Michael Wendorf ………………………………………………………….. Auftraggeber |
Dieser Vertrag wurde elektronisch abgeschlossen und ist ohne Unterschrift gültig.
Anlage
Übersicht über die technisch-organisatorischen Maßnahmen
Die Anwendung eTermin wird primär über ein Rechenzentrum betrieben, wo auch die relevanten personenbezogenen Daten verarbeitet werden. Das hierfür eingesetzte Rechenzentrum in Straßburg/Frankreich ist beim DCSA (Data Center Star Audit, Version 3.0) mit der Höchstwertung von fünf Sternen ausgezeichnet.
I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1. Zutrittskontrolle
Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren.
Ergriffene Maßnahmen in den Büroräumlichkeiten:
• Festlegung der zugangsberechtigten Personen
• Closed Shop-Betrieb, kein Besucherverkehr
• Schlüsselregelung und aktuelle Schlüsselliste
• Verschlossene Bürotüren und Fenster bei Abwesenheit
Ergriffene Maßnahmen im Rechenzentrum:
• Sicherheitsbereich mit Eingangskontrolle
• eingezäuntes Gelände inkl. Videoüberwachung
• Regelmäßige Kontrollgänge durch das Sicherheitspersonal
• Zutrittskontrollsystem mit Chipkarten.
2. Zugangskontrolle
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Ergriffene Maßnahmen:
• Festlegung der nutzungsberechtigten Personen
• Identifikation und Authentifizierung der Benutzer durch Login
• Firewall, Virenschutz
• Automatische Sperrung der Endgeräte mit Passwortschutz bei Pausen
• Zugang auf Datenverarbeitungssysteme zu Wartungszwecken nur über wenige, zuvor explizit erlaubte IP Adresse
3. Zugriffskontrolle
Es ist Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Ergriffene Maßnahmen:
• Berechtigungskonzept mit differenzierten Berechtigungen (sowohl für Anwender, als auch für Administratoren)
• Identifikation und Authentifizierung der Benutzer
• Zentrale Vergabestelle von Benutzerrechten
4. Trennungskontrolle
Es ist Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Ergriffene Maßnahmen:
• Datenspeicherung wird mit dem Zweck der Datenerhebung versehen (z.B. durch Dateibezeichnung)
• Mandantentrennung – Logische Trennung der Daten (basierend auf UID)
• Funktionstrennung
II. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
1. Weitergabekontrolle
Es ist Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Ergriffene Maßnahmen:
• Physikalische Löschung aller Datenträger vor einer neuen Beschreibung und nach jeder Verarbeitung
• Überprüfung aller Daten und Datenträger hinsichtlich Virenbefall
• Protokollierung der Datenübermittlung
• Fernwartungskonzept
• Verschlüsselte Datenübertragungen zwischen Endgeräten und Rechenzentrum
2. Eingabekontrolle
Es ist Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Ergriffene Maßnahmen:
• Festlegung von Eingabebefugnissen
• Protokollierung der Eingaben, Veränderungen und Löschungen von Terminen
III. Verfügbarkeit, Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) und Rasche Wiederherstellbarkeit
(Art. 32 Abs. 1 lit. c DSGVO)
Personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.
Ergriffene Maßnahmen in den Büroräumlichkeiten:
• Backup-Systeme zur Wiederherstellung verlorener Daten
• Räumlich getrennte Aufbewahrung der erstellten Datensicherungen
• Virenschutzkonzept
• Zentrale Datensicherung
Ergriffene Maßnahmen im Rechenzentrum:
• unterbrechungsfreie Stromversorgung (USV) und Netzersatzanlage
• redundante Stromversorgung der Server
• Überspannungsschutz
• Branderkennungs- und Frühwarnsystem, Löschanlage
• Backup-Systeme zur Wiederherstellung verlorener Daten
IV. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
1. Auftragskontrolle
Es ist eine auftrags- und weisungsgemäße Auftragsdatenverarbeitung zu gewährleisten.
Ergriffene Maßnahmen:
• Klare Vertragsgestaltung und -ausführung
• Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber
• Sorgfältige Auswahl des Auftragnehmers
• Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrages
2. Externe Prüfungen, Audits, Zertifizierungen
Der Auftragnehmer führt hinsichtlich der technischen und organisatorischen Maßnahmen regelmäßig folgende Prüfungen/Audits durch oder ist wie folgt zertifiziert:
• Eingesetztes Rechenzentrum wird regelmäßig auditiert und zertifiziert
Firma Unterauftragnehmer Anschrift/Land Beschreibung der übernommenen
Teilleistung
Host Europe GmbH Hansestrasse 111 ,51149 Köln
/Deutschland
Hosting der eTermin Server
Anlage
Übersicht über die Die vom Auftragnehmer eingesetzten Unterauftragnehmer gem. Ziff 10 Abs. 2
Firma Unterauftragnehmer | Anschrift/Land | Beschreibung der übernommenen Teilleistung |
Host Europe GmbH | Hansestrasse 111 ,51149 Köln /Deutschland | Hosting der eTermin Server |