Vereinbarung zur Auftragsverarbeitung (AVV) (gemäß Art. 28 DSGVO)
- Kunden nachstehend „Verantwortlicher“
- azuma healthtech GmbH nachstehend “Auftragsverarbeiter“
Präambel
Zwischen dem Verantwortlichen und dem Auftragsverarbeiter besteht ein Auftragsverhältnis im Sinne des Art. 28 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, „DSGVO“).
Der Auftragsverarbeiter verpflichtet sich gegenüber dem Verantwortlichen zur Erfüllung des Hauptvertrages und dieser Vereinbarung nach Maßgabe der folgenden Bestimmungen:
§ 1 Anwendungsbereich und Begriffsbestimmungen
(1)
Die nachfolgenden Bestimmungen finden Anwendung auf alle Leistungen der Auftragsverarbeitung im Sinne des Art. 28 DSGVO, die der Auftragsverarbeiter auf Grundlage des Hauptvertrages gegenüber dem Verantwortlichen erbringt.
(2)
Sofern in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ von Daten benutzt wird, ist darunter allgemein die Verwendung von personenbezogenen Daten zu verstehen. Datenverarbeitung oder das Verarbeiten von Daten bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
(3)
Auf die weiteren Begriffsbestimmungen in Art. 4 DSGVO wird verwiesen.
§ 2 Gegenstand und Dauer der Datenverarbeitung
(1)
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen.
(2)
Gegenstand des Auftrags ist die Nutzung der Authorization as a Service Software (azuma mimoto) der azuma healthtech GmbH im Rahmen des mit dem Auftragsverarbeiter vereinbarten Umfangs, gemäß Nutzungsvereinbarungen.
(3)
Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrages.
§ 3 Art und Zweck der Datenverarbeitung
Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ergeben sich aus dem Hauptvertrag. Dieser umfasst folgende Tätigkeit(en) und Zweck(e):
-
Anmeldung mit der Gesundheits-ID für Endnutzer des Verantwortlichen
-
Tokenübergabe/Tokenaustausch
-
Integration in Federated OIDC Prozess spezifiziert durch gematik
-
Anbieten von Funktionalität zur Administration und Konfiguration der Relying Party durch Mitarbeitende des Verantwortlichen
§ 4 Kategorien betroffener Personen
Die Kategorien der durch den Umgang mit den personenbezogenen Daten im Rahmen dieser Vereinbarung betroffenen Personen umfasst:
-
Endnutzer der Applikation des Verantwortlichen
-
Mitarbeitende des Verantwortlichen
§ 5 Art der personenbezogenen Daten
Von der Auftragsverarbeitung sind folgende Datenarten betroffen:
(1) Daten im Web Token
Für die Integration der GesundheitsID werden folgende Daten der Endnutzer oder je nach Anforderung des Verantwortlichen eine Teilmenge davon verarbeitet:
- Personenstammdaten (Name, Geburtsdatum, Alter, Geschlecht, Beruf)
- Kontaktdaten (E-Mail-Adresse)
- Rollenbezogene Identifikationsnummer (Krankenversicherungsnummer)
- Organisation (Identität ausstellende Krankenversicherung)
Diese Daten sind nur im technischen Token enthalten, der von der Software des Auftragsverarbeiters an die Software des Verantwortlichen übergeben werden. Diese Daten werden nicht gespeichert. Die Authentisierung und Erstellung der Tokens mit den oben erwähnten Daten erfolgen in den sektoralen Identity Providers der Krankenkassen. Der Umfang der im Token übergebenen Daten richtet sich nach den Freigaben des BfArM für den Kunden. Der Auftragsverarbeiter gibt an den Verantwortlichen nur die Daten weiter, die im Zulassungsprozess und Bestätigungsverfahren von BfArM und gematik genehmigt worden sind.
(2) Metadaten
Für den Prozess des Token Handlings werden in azuma mimoto Metadaten der Endnutzer erfasst. Dabei werden folgende Daten verarbeitet:
- SubjectID (pseudonymisierter Identifier)
- Token Issuer
- Zeitpunkt des Token Handling
- Dauer des Token Handling
- Status der Token Übergabe (erfolgreich/nicht erfolgreich)
- Anzahl an Logins über die GesundheitsID
- Technische Daten zu den technischen Events (Statusübergänge)
(3) Zugangsdaten
Für die Administration der Relying Party werden folgende Daten der Mitarbeitende des Verantwortlichen verarbeitet:
- Personenstammdaten (Name)
- Kontaktdaten (Mail-Adresse)
- Tenantdaten (Technische Repräsentation des Kunden)
Diese Daten betreffen nicht den Endnutzer des Verantwortlichen, sondern ausschließlich dessen Mitarbeitenden und haben keinen Bezug zur Software des Verantwortlichen. Die Daten werden zur Anmeldung an das Administrations Frontend/Developer Portal von azuma mimoto benötigt.
§ 6 Rechte und Pflichten des Verantwortlichen
(1)
Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie zur Wahrung der Rechte der Betroffenen ist allein der Verantwortliche zuständig und somit für die Verarbeitung Verantwortlicher im Sinne des Art. 4 Nr.7 DSGVO.
(2)
Der Verantwortliche ist berechtigt, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind auf Verlangen des Verantwortlichen unverzüglich vom Auftragsverarbeiter schriftlich oder in Textform (z.B. per E-Mail) zu bestätigen.
(3)
Soweit es der Verantwortliche für erforderlich hält, können weisungsberechtigte Personen benannt werden. Diese wird der Verantwortliche dem Auftragsverarbeiter schriftlich oder in Textform mitteilen. Für den Fall, dass sich diese weisungsberechtigten Personen bei dem Verantwortlichen ändern, wird dies dem Auftragsverarbeiter unter Benennung der jeweils neuen Person schriftlich oder in Textform mitgeteilt.
(4)
Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter festgestellt werden.
§ 7 Pflichten des Auftragsverarbeiters
(1) Datenverarbeitung
Der Auftragsverarbeiter wird personenbezogene Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des zugrundeliegenden Hauptvertrages sowie nach den Weisungen des Verantwortlichen verarbeiten. Dies auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Betroffenenrechte
(a) Der Auftragsverarbeiter wird den Verantwortlichen bei der Erfüllung der Rechte der Betroffenen, insbesondere im Hinblick auf Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen seiner Möglichkeiten unterstützen. Sollte der Auftragsverarbeiter die in § 5 dieser Vereinbarung genannten personenbezogenen Daten im Auftrag des Verantwortlichen verarbeiten und sind diese Daten Gegenstand eines Verlangens auf Datenportabilität gem. Art. 20 DSGVO, wird der Auftragsverarbeiter dem Verantwortlichen den betreffenden Datensatz innerhalb einer angemessen gesetzten Frist, im Übrigen innerhalb von sieben Arbeitstagen, in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen.
(b) Der Auftragsverarbeiter hat auf Weisung des Verantwortlichen die in § 5 dieser Vereinbarung genannten personenbezogenen Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder die Verarbeitung einzuschränken. Das Gleiche gilt, wenn diese Vereinbarung eine Berichtigung, Löschung oder Einschränkung der Verarbeitung von Daten vorsieht.
(c) Soweit sich eine betroffene Person unmittelbar an den Auftragsverarbeiter zwecks Berichtigung, Löschung oder Einschränkung der Verarbeitung der in § 5 dieser Vereinbarung genannten personenbezogenen Daten wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich nach Erhalt an den Verantwortlichen weiterleiten.
(3) Kontrollpflichten
(a) Der Auftragsverarbeiter stellt durch geeignete Kontrollen sicher, dass die im Auftrag verarbeiteten personenbezogenen Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des Hauptvertrages und/oder den entsprechenden Weisungen verarbeitet werden.
(b) Der Auftragsverarbeiter wird sein Unternehmen und seine Betriebsabläufe so gestalten, dass die Daten, die er im Auftrag des Verantwortlichen verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind.
(c) Der Auftragsverarbeiter bestätigt, dass er gem. Art. 37 DSGVO und, sofern anwendbar, gemäß § 38 BDSG einen Datenschutzbeauftragten bestellt hat und die Einhaltung der Vorschriften zum Datenschutz und zur Datensicherheit unter Einbeziehung des Datenschutzbeauftragten überwacht. Datenschutzbeauftragter des Auftragsverarbeiters ist derzeit:
(4) Informationspflichten
(a) Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine von dem Verantwortlichen erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.
(b) Der Auftragsverarbeiter wird den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützen.
(c) Der Auftragsverarbeiter wird den Verantwortlichen bei Feststellung von Verletzungen durch den Unterauftragnehmer und/oder den Auftragsverarbeiter selbst unverzüglich über die Verletzung des Schutzes personenbezogener Daten informieren.
(5) Ort der Datenverarbeitung
Die Verarbeitung der Daten findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union, in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt oder in einem Drittland, für das ein Angemessenheitsbeschluss gemäß Art 45 DSGVO vorliegt. Eine Verlagerung an andere als die genannten Orte ist ohne einvernehmliche Vereinbarung zwischen Verantwortlichen und Auftragnehmer ausgeschlossen.
(6) Löschung der personenbezogenen Daten nach Auftragsbeendigung
Nach Beendigung des Hauptvertrages wird der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, sofern der Löschung dieser Daten keine gesetzlichen Aufbewahrungspflichten des Auftragsverarbeiters entgegenstehen. Die datenschutzgerechte Löschung ist zu dokumentieren und gegenüber dem Verantwortlichen auf Anforderung zu bestätigen. Im Löschkonzept hat der Auftragsverarbeiter auch alle Daten, die bei einer weiteren Auftragsverarbeitung verarbeitet wurden, zu erfassen.
§ 8 Kontrollrechte des Verantwortlichen��
(1)
Der Verantwortliche ist berechtigt, nach rechtzeitiger vorheriger Anmeldung zu den üblichen Geschäftszeiten ohne Störung des Geschäftsbetriebes des Auftragsverarbeiters oder Gefährdung der Sicherheitsmaßnahmen für andere Verantwortliche und auf eigene Kosten, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren. Die Kontrollen können auch durch Zugriff auf vorhandene branchenübliche Zertifizierungen des Auftragsverarbeiters, aktuelle Testate oder Berichte einer unabhängigen Instanz (wie z.B. Wirtschaftsprüfer, externer Datenschutzbeauftragter, Revisor oder externer Datenschutzauditor) oder Selbstauskünfte durchgeführt werden. Der Auftragsverarbeiter wird die notwendige Unterstützung zur Durchführung der Kontrollen anbieten.
(2)
Der Auftragsverarbeiter wird den Verantwortlichen über die Durchführung von Kontrollmaßnahmen der Aufsichtsbehörde unverzüglich informieren, soweit die Maßnahmen oder Datenverarbeitungen betreffen können, die der Auftragsverarbeiter für den Verantwortlichen erbringt.
§ 9 Unterauftragsverhältnisse
(1)
Der Verantwortliche ermächtigt den Auftragsverarbeiter weitere Auftragsverarbeiter gemäß den nachfolgenden Absätzen in § 9 dieser Vereinbarung in Anspruch zu nehmen. Diese Ermächtigung stellt eine allgemeine schriftliche Genehmigung i. S. d. Art. 28 Abs. 2 DSGVO dar.
(2)
Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den in der Anlage 2 benannten Unterauftragnehmern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt. Der Auftragsverarbeiter hat weitere Auftragsverarbeiter auf Grundlage eines rechtsgültigen Vertrags oder eines anderen zulässigen Rechtsinstruments nach Art. 28 Abs. 2 DSGVO zur Datenverarbeitung ermächtigt. Im vorbenannten Vertrag ist Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte der Parteien festzulegen. Die Datenverarbeitungen des weiteren Auftragsverarbeiters unterliegen den Weisungen des Auftragsverarbeiters, dieser einen Prozess zur Dokumentation und Kontrolle aller erteilten Weisungen etabliert hat.
(3)
Der Auftragsverarbeiter hat von den weiteren Auftragsverarbeitern eine Zusicherung zu verlangen, dass alle mit der Verarbeitung befassten Personen der Verschwiegenheit unterliegen oder sich auf Vertraulichkeit verpflichtet haben, sowie die Sicherheit der Verarbeitung garantieren und zusichern durch angemessene technisch-organisatorischen Maßnahmen. Des Weiteren hat der Auftragsverarbeiter vom weitere Auftragsverarbeiter eine transparente Darlegung zu verlangen, welche weitere Auftragsverarbeiter er nutzt und welche Absicherungen und Garantien für die Sicherstellung des vorgegebenen Datenschutzniveaus durch die gesamte Kette von Auftragsverarbeitern vorliegen. Vor Vertragsschluss hat der Auftragsverarbeiter die technisch-organisatorischen Maßnahmen des weiteren Auftragsverarbeiter zu prüfen, die die Informationen enthalten, auf welche im Auftrag des Auftragsverarbeiters durchgeführten Verarbeitungstätigkeiten und auf welche Kategorien personenbezogener Daten diese Maßnahmen wirken, sowie sicherzustellen, dass dieser durch sein Fachwissen, seine Zuverlässigkeit und die bereitgestellten Ressourcen hinreichende Garantien für die Sicherheit der Verarbeitung bietet. Der Auftragsverarbeiter hat vom weiteren Auftragsverarbeiter Nachweise zu Zertifizierungen zu verlangen.
(4)
Der Auftragsverarbeiter hat sicherzustellen, dass der weitere Auftragsverarbeiter folgende Kriterien erfüllt oder folgende Pflichten vertraglich mit dem weiteren Auftragsverarbeiter vereinbaren:
- Bestellung eines Datenschutzbeauftragten,
- Mitwirkungspflicht bei der Umsetzung der Betroffenenrechte,
- eine Mitteilungspflicht gegenüber dem Auftraggeber bei Feststellung von Verletzungen des Schutzes personenbezogener Daten,
- Meldepflicht gegenüber der Datenschutzaufsichtsbehörde bei meldepflichtigen Ereignissen nach der DSGVO zu verpflichten
- Hinzuziehung oder die Ersetzung nachgelagerter Auftragsverarbeiter erfolgt ernst nach Information des Auftragsverarbeiters,
- Kontrollrecht des Auftragsverarbeiters,
- Nachvollziehbarkeit der übermittelten Daten (inkl. welche Daten welcher betroffenen Personen zu welchem Zeitpunkt an den weiteren Auftragsverarbeiter übermittelt wurden).
(5)
Der Auftragsverarbeiter hat die Datenübermittlung an sämtliche weitere Auftragsverarbeiter, wie welche Daten welcher betroffenen Personen zu welchem Zeitpunkt an welche Auftragsverarbeiter darzulegen. Der Auftragsverarbeiter informiert in seiner Datenschutzerklärung über das Vorliegen von Auftragsverarbeitungen, die Verarbeitungszwecke, die Person des Auftragsverarbeiters und die Kategorien übermittelter Daten. Der Auftragsverarbeiter hat für jede Auftragsverarbeitung nachzuweisen, dass es sich um keine gemeinsame Verantwortung nach Art. 26 DSGVO handelt.
(6)
Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter zu beauftragen oder bereits beauftragte zu ersetzen. Der Auftragsverarbeiter wird den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines weiteren Auftragsverarbeiters informieren. Der Verantwortliche kann gegen eine beabsichtigte Änderung Einspruch erheben. Der Auftragsverarbeiter darf keine Verträge mit weiteren Auftragsverarbeitern abschließen, die eine Verarbeitung personenbeziehbarer Daten an anderen als den in § 7 Absatz 5 dieser Vereinbarung vereinbarten Orten durchführen. Soweit es sich um einen nicht in der Union niedergelassenen Auftragsverarbeiter handelt, sind die Vorgaben des Art. 27 DSGVO einzuhalten und der schriftlich durch den Auftragsverarbeiter benannte Vertreter muss in Deutschland niedergelassen sein.
(7)
Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von 2 Wochen nach Zugang der Information über die Änderung gegenüber dem Auftragsverarbeiter zu erheben. Im Fall des Einspruchs kann der Auftragsverarbeiter nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder einen alternativen weiteren Auftragsverarbeiter vorschlagen und mit dem Verantwortlichen abstimmen. Sofern die Erbringung der Leistung ohne die beabsichtigte Änderung dem Auftragsverarbeiter nicht zumutbar ist – etwa aufgrund von damit verbundenen unverhältnismäßigen Aufwendungen für den Auftragsverarbeiter – oder die Abstimmung eines weiteren Auftragsverarbeiters fehlschlägt, können der Verantwortliche und der Auftragsverarbeiter diese Vereinbarung sowie den Hauptvertrag mit einer Frist von einem Monat zum Monatsende kündigen.
(8)
Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen für sämtliche Handlungen und Unterlassungen der von ihm eingesetzten weiteren Auftragsverarbeiter verantwortlich.
(9)
Beim Einsatz weiterer Auftragsverarbeiter, die Personen beziehbare Daten verarbeiten, dessen Mutterkonzern in einem anderen als den in § 7 Absatz 5 dieser Vereinbarung vereinbarten Orten ansässig ist, so ergeift der Auftragsverarbeiter folgende zusätzliche technisch-organisatorische Maßnahmen:
(a) In Hintergrundsystemen verarbeitete personenbezogenen Daten müssen verschlüsselt gespeichert und ausgetauscht werden und die Schlüssel zur Entschlüsselung der Daten müssen vom Auftragsverarbeiter in der EU selbst verwaltet oder gespeichert werden. Die Schlüsselverwaltung kann auch von einem Treuhänder übernommen werden, wenn er in einem Land i.S.d. § 7 Abs. 5 dieser Vereinbarung ansässig ist.
(b) Der Auftragsverarbeiter und der weitere Auftragsverarbeiter vereinbaren, dass im Fall von Herausgabeverlangen von Behörden eines Drittlandes zunächst keine Daten zur Verfügung gestellt und auch nicht an das Mutterunternehmen des weiteren Auftragsverarbeiters herausgegeben werden.
(c) Der weitere Auftragsverarbeiter versichert dem Auftragsverarbeiter zu, dass er in jedem Fall eines Herausgabeverlangens den Rechtsweg beschreiten und ausschöpfen wird.
§ 10 Drittanbieter
(1)
Der Auftragsverarbeiter stellt für alle in der digitalen Anwendung genutzten Komponenten von Drittanbietern sicher, dass diese keine Datenübermittlung in Drittländer durchführen, die gegen die Vorgaben der § 7 Abs. 5, § 9 Abs. 6 und 9 dieser Vereinbarung verstößt. Hierbei werden auch die Datenweitergaben zu Zwecken des Supports oder der Fehleranalyse (z. B. als Teil des 3rd-Level-Supports) berücksichtigt.
(a) Der Auftragsverarbeiter kann für die digitale Anwendung genutzten Komponenten von Drittanbietern aktuelle Dokumentationen und/oder Verträge entsprechend der eingesetzten Version der digitalen Anwendung vorweisen, aus denen sämtliche Anlässe einer Datenübermittlung sowie die Orte der Datenverarbeitung ersichtlich sind bzw. aus denen erkennbar ist, dass keine Datenübermittlung erfolgt.
(b) Der Auftragsverarbeiter hat nachzuweisen, dass die auf solche Datenübermittlungen folgenden Verarbeitungen bei einem Dritten keine Auftragsverarbeitung im Sinne des Art. 28 DSGVO darstellen.
§ 11 Vertraulichkeit
(1)
Der Auftragsverarbeiter ist bei der Verarbeitung von Daten für den Verantwortlichen zur Wahrung der Vertraulichkeit verpflichtet.
(2)
Der Auftragsverarbeiter verpflichtet sich bei der Erfüllung des Auftrags nur Mitarbeiter oder sonstige Erfüllungsgehilfen einzusetzen, die auf die Vertraulichkeit im Umgang mit überlassenen personenbezogenen Daten verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind. Die Vornahme der Verpflichtungen wird der Auftragsverarbeiter dem Verantwortlichen auf Nachfrage nachweisen.
(3)
Sofern der Verantwortliche anderweitigen Geheimnisschutzregeln unterliegt, wird er dies dem Auftragsverarbeiter mitteilen. Der Auftragsverarbeiter wird seine Mitarbeiter entsprechend den Anforderungen des Verantwortlichen auf diese Geheimnisschutzregeln verpflichten.
§ 12 Technische und organisatorische Maßnahmen
(1)
Die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen werden als angemessen vereinbart. Der Auftragsverarbeiter kann diese Maßnahmen aktualisieren und ändern, vorausgesetzt, dass das Schutzniveau durch solche Aktualisierungen und/oder Änderungen nicht wesentlich herabgesetzt wird.
(2)
Der Auftragsverarbeiter beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung gemäß Art. 32 i.V.m Art. 5 Abs. 1 DSGVO. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen. Er wird alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Standes der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Die zu treffenden Maßnahmen umfassen insbesondere Maßnahmen zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Maßnahmen, die die Kontinuität der Verarbeitung nach Zwischenfällen gewährleisten. Um stets ein angemessenes Sicherheitsniveau der Verarbeitung gewährleisten zu können, wird der Auftragsverarbeiter die implementierten Maßnahmen regelmäßig evaluieren und ggf. Anpassungen vornehmen.
§ 13 Haftung und Freistellung
(1)
Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen gemäß den gesetzlichen Regelungen für sämtliche Schäden durch schuldhafte Verstöße gegen diese Vereinbarung sowie gegen die ihn treffenden gesetzlichen Datenschutzbestimmungen, die der Auftragsverarbeiter, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung verursachen. Eine Ersatzpflicht des Auftragsverarbeiters besteht nicht, sofern der Auftragsverarbeiter nachweist, dass er die ihm überlassenen Daten des Verantwortlichen ausschließlich nach den Weisungen des Verantwortlichen verarbeitet und seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nachgekommen ist.
(2)
Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen Dritter frei, die aufgrund einer schuldhaften Verletzung der Verpflichtungen aus dieser Vereinbarung oder geltenden datenschutzrechtlichen Vorschriften durch den Verantwortlichen gegen den Auftragsverarbeiter geltend gemacht werden.
§ 14 Sonstiges
(1)
Im Falle von Widersprüchen zwischen den Bestimmungen in dieser Vereinbarung und den Regelungen des Hauptvertrages gehen die Bestimmungen dieser Vereinbarung vor.
(2)
Änderungen und Ergänzungen dieser Vereinbarung setzen die beidseitige Zustimmung der Vertragsparteien voraus, unter konkreter Bezugnahme auf die zu ändernde Regelung dieser Vereinbarung. Mündliche Nebenabreden bestehen nicht und sind auch für künftige Änderungen dieser Vereinbarung ausgeschlossen.
(3)
Diese Vereinbarung unterliegt deutschem Recht.
(4)
Sofern der Zugriff auf die Daten, die der Verantwortliche dem Auftragsverarbeiter zur Datenverarbeitung übermittelt hat, durch Maßnahmen Dritter (z.B. Maßnahmen eines Insolvenzverwalters, Beschlagnahme durch Finanzbehörden, etc.) gefährdet wird, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich hierüber zu benachrichtigen.