- nachfolgend „AVV oder Vereinbarung“ genannt -
zwischen
Praxis
Adresse
- nachfolgend „Auftraggeber oder Verantwortlicher“ genannt -
und
Digital Solvings GmbH
Am Schlossgraben 3-5
48683 Ahaus
- nachfolgend „Auftragnehmer oder Diatro“ genannt -
- nachfolgend einzeln „Partei“ bzw. gemeinsam „Parteien“ genannt –
PRÄAMBEL
Der Auftragnehmer ist ein innovatives medizinisches Softwareunternehmen aus Ahaus, das auf die intelligente und web-basierte Abrechnung von Patienten spezialisiert ist.
Der Auftraggeber ist ein niedergelassener Arzt.
Die Parteien haben einen Vertrag über die Bereitstellung der Diatro SaaS-Software (nachfolgend „Software“) zur Nutzung ihrer Funktionalitäten, die technische Ermöglichung der Nutzung der Software und die Einräumung von Nutzungsrechten an der Software geschlossen. Die Software umfasst die zum Zeitpunkt des Vertragsschlusses vorhandenen Funktionalitäten, namentlich die Ermöglichung des digitalen Versands von Rechnungen über erbrachte Leistungen.
Dieser AVV dient der Absicherung der Parteien gegen die zweckfremde Verwendung der im Rahmen der Nutzung generierten Informationen und personenbezogenen Daten, der Wahrung der gesetzlichen Bestimmungen des Datenschutzes durch die Parteien.
Dieser AVV ist Bestandteil jedes Vertrags der Parteien, es sei denn, in einem zeitlich nach Zustandekommen dieser AVV abzuschließenden Vertrag wird Abweichendes ausdrücklich vereinbart. Dieses Dokument einschließlich aller Anlagen konkretisiert zudem die datenschutzrechtlichen Verpflichtungen der Parteien aus dem zugrundeliegenden Hauptvertrag wie folgt:
Die Bestimmungen dieser AVV gehen den weiteren vertraglichen Vereinbarungen der Parteien vor, insbesondere Verträgen, sofern und soweit die Bestimmungen in diesen weiteren vertraglichen Vereinbarungen von denjenigen dieser AVV zum Nachteil des Auftraggebers abweichen. Ziff. 1.1. bleibt hiervon unberührt.
Umfang, Art und Zweck der Datenerhebung, -verarbeitung und/oder -nutzung personenbezogener Daten durch Diatro ergeben sich aus dem Hauptvertrag. Dieser umfasst die Ausführung und die Nutzung der Software, insbesondere zur Zustellung der digitalen Patientenabrechnungen über die Software.
Der Kreis der durch den Umgang mit den personenbezogenen Daten im Rahmen des Hauptvertrages betroffenen Personen umfasst:
Von der Auftragsverarbeitung sind folgende Datenarten betroffen:
Diatro ist verpflichtet, personenbezogene Daten unter diesem AVV ausschließlich nach Maßgabe dieser Vereinbarung und/oder des zugrundeliegenden Hauptvertrages sowie nach den Weisungen des Auftraggebers zu verarbeiten.
Diatro wird den Auftraggeber bei der Erfüllung der Rechte der Betroffenen, insbesondere im Hinblick auf Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen seiner Möglichkeiten unterstützen. Für die Ausführungen gilt Ziff. 7.5 entsprechend.
Diatro hat auf Weisung des Auftraggebers die personenbezogenen Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder die Verarbeitung einzuschränken.
Soweit sich ein Betroffener unmittelbar an Diatro zwecks Berichtigung, Löschung oder Einschränkung der Verarbeitung seiner Daten wendet, wird Diatro dieses Ersuchen unverzüglich nach Erhalt an den Auftraggeber weiterleiten. Für die Ausführungen der Anfragen bleibt der Auftraggeber verantwortlich.
Diatro stellt durch geeignete Kontrollen, bspw. interne Audits, Datenschutzkonzept, o.ä, sicher, dass die im Auftrag verarbeiteten personenbezogenen Daten ausschließlich nach Maßgabe dieser Vereinbarung und den entsprechenden Weisungen verarbeitet werden.
Diatro wird den Auftraggeber darauf aufmerksam machen, wenn eine erteilte Weisung nach eigener Auffassung gegen gesetzliche Vorschriften verstößt. Diatro ist dann dazu berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
Bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten gem. Art. 30 DSGVO wird Diatro den Auftraggeber auf Verlangen im Hinblick auf das in Rede stehende System und der dadurch erfolgenden Datenverarbeitung unterstützen und die jeweils erforderlichen Angaben in geeigneter Weise zur Verfügung stellen.
Diatro führt zudem entsprechend den Vorgaben gem. Art. 28 Abs. 2 DSGVO ein eigenes Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Verarbeitungstätigkeiten.
Diatro wird dem Auftraggeber jeden groben Verstoß gegen datenschutzrechtliche Vorschriften, gegen die getroffenen Regelungen im Hauptvertrag und der Vereinbarung und/oder die erteilten Weisungen, der im Zuge der Verarbeitung von Daten durch ihn, bei ihm beschäftigte Personen oder andere mit der Verarbeitung betraute Dritte erfolgt ist, unverzüglich mitzuteilen.
Die Verarbeitung und Nutzung der Daten durch Diatro findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung durch den Auftraggeber und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Dies gilt auch für etwaige Datensicherungen durch Diatro.
Nach Beendigung des Hauptvertrages ist Diatro auf Anfrage des Auftraggebers verpflichtet, sämtliche unter dieser AVV in seinen Besitz gelangten personenbezogenen Daten, Unterlagen und erstellte Verarbeitungs- und Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen sowie datenschutz- und datensicherheitskonform und gemäß den Weisungen des Auftraggebers zu löschen, sofern und soweit Diatro nicht zur weiteren Verarbeitung gesetzlich verpflichtet ist.
Technische und organisatorische Maßnahmen
Zur Bereitstellung der Software setzt Diatro setzt den Hosting-Provider Strato AG, Pascalstraße 10, 10587 Berlin, ein. Dieser Provider ist nach ISO27001 zertifiziert und hat sich uns gegenüber verpflichtet,folgendetechnischeundorganisatorischeMaßnahmenzu implementieren:
Maßnahmen,dieunbefugtenPersonendenZutrittzuIT-SystemenundDatenverarbeitungsanlagen mitdenenpersonenbezogeneDatenverarbeitetwerden,sowievertraulichenAktenundDatenträgern physischverwehren.
• Realisierung eines wirksamen Zutrittsschutzes
• Protokollierung des Zutritts
• Festlegung Zutrittsberechtigter Personen
• Verwaltung von personengebundenen Zutrittsberechtigungen
• Begleitung von Fremdpersonal
• Überwachung der Räume
Maßnahmen,dieverhindern,dassUnbefugtedatenschutzrechtlichgeschützteDatenverarbeitenoder nutzenkönnen.
• Festlegung des Schutzbedarfs
• Zugangsschutz
• Umsetzung sicherer Zugangsverfahren, starke Authentisierung
• Umsetzung einfacher Authentisierung per Username Passwort
• Protokollierung des Zugangs
• Monitoring bei kritischen IT-Systemen
• Gesicherte (verschlüsselte) Übertragung von Authentisierungsgeheimnissen
• Sperrung bei Fehlversuchen/Inaktivität und Prozess zur Rücksetzung gesperrter Zugangskennungen
• Verbot Speicherfunktion für Passwörter und/oder Formulareingaben (Server/Clients)
• Festlegung befugter Personen
• Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien und Zugangsberechtigungen
• Automatische Zugangssperre und Manuelle Zugangssperre
Maßnahmen,diegewährleisten,dassdiezurBenutzungderDatenverarbeitungsverfahrenBerechtigtenausschließlichaufdieihrerZugriffsberechtigungunterliegendenpersonenbezogenenDatenzu- greifenkönnen,sodassDatenbeiderVerarbeitung,NutzungundSpeicherungnichtunbefugtgelesen,kopiert,verändertoderentferntwerdenkönnen.
• Erstellen eines Berechtigungskonzepts
• Umsetzung von Zugriffsbeschränkungen
• Vergabe minimaler Berechtigungen
• Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen
• Vermeidung der Konzentration von Funktionen
Maßnahmen,diegewährleisten,dasszuunterschiedlichenZweckenerhobeneDatengetrenntverarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante VerwendungdieserDatenzuanderenZweckenausgeschlossenist.
• Datensparsamkeit im Umgang mit personenbezogenen Daten
• Getrennte Verarbeitung verschiedener Datensätze
• Regelmäßige Verwendungszweckkontrolle und Löschung
• Trennung von Test- und Entwicklungsumgebung
Maßnahmen,diedenunmittelbarenPersonenbezugwährendderVerarbeitungineinerWeisereduzieren,dassnurmitHinzuziehungzusätzlicherInformationeneineZuordnungzueinerspezifischen betroffenenPersonmöglichist.DieZusatzinformationensinddabeidurchgeeignetetechnischeund organisatorischeMaßnahmenvondemPseudonymgetrenntaufzubewahren.
• Sofern Daten zur Erreichung des Verwendungszwecks nicht erforderlich sind, werden die technischen Voreinstellungen so festgelegt, dass Daten nur durch eine Aktion der Betroffenen Person erhoben, verarbeitet, weitergegeben oder veröffentlicht werden.
Maßnahmen,diegewährleisten,dasspersonenbezogeneDatenbeiderelektronischenÜbertragung oderwährendihresTransportsoderihrerSpeicherungaufDatenträgernichtunbefugtgelesen,kopiert,verändertoderentferntwerdenkönnensowieMaßnahmenmitdenenüberprüftundfestgestelltwerdenkann,anwelcheStelleneineÜbermittlungpersonenbezogenerDatenvorgesehenist.
• Festlegung empfangs- /weitergabeberechtigter Instanzen/Personen
• Prüfung der Rechtmäßigkeit der Übermittlung ins Ausland
• Protokollierung von Übermittlungen gemäß Protokollierungskonzept
• Sichere Datenübertragung zwischen Server und Client
• Sicherung der Übertragung im Backend
• Sichere Übertragung zu externen Systemen
• Risikominimierung durch Netzseparierung
• Implementation von Sicherheitsgateways an den Netzübergabepunkten
• Härtung der Backendsysteme
• Beschreibung der Schnittstellen
• Umsetzung einer Maschine-Maschine-Authentisierung
• Sichere Ablage von Daten, inkl. Backups
• Gesicherte Speicherung auf mobilen Datenträgern
• Einführung eines Prozesses zur Datenträgerverwaltungen
• Prozess zur Sammlung und Entsorgung
• Datenschutzgerechter Lösch- und Zerstörungsverfahren
• Führung von Löschprotokollen
Maßnahmen,diegewährleisten,dassnachträglichüberprüftundfestgestelltwerdenkann,obund vonwempersonenbezogeneDateninDV-Systemeeingegeben,verändertoderentferntwordensind.
• Protokollierung der Eingaben
• Dokumentation der Eingabeberechtigungen
Maßnahmen,diesicherstellen,dasspersonenbezogeneDatengegenzufälligeZerstörungoderVerlust geschütztsind.
• Brandschutz
• Redundanz der Primärtechnik
• Redundanz der Stromversorgung
• Redundanz der Kommunikationsverbindungen
• Monitoring
• Resourcenplanung und Bereitstellung
• Abwehr von systembelastendem Missbrauch
• Datensicherungskonzepte und Umsetzung
• Regelmäßige Prüfung der Notfalleinrichtungen
Maßnahmen,diedieFähigkeitsicherstellen,dieVerfügbarkeitderpersonenbezogenenDatenund denZugangzuihnenbeieinemphysischenodertechnischenZwischenfallraschwiederherzustellen.
• Notfallplan
• Datensicherungskonzepte und Umsetzung
Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen.
• Festlegung von Verantwortlichkeiten
• Umsetzung und Kontrolle geeigneter Prozesse
• Melde- und Freigabeprozess
• Umsetzung von Schulungsmaßnahmen
• Verpflichtung auf Vertraulichkeit
• Regelungen zur internen Aufgabenverteilung
• Beachtung von Funktionstrennung und –zuordnung
• Einführung einer geeigneten Vertreterregelung
Maßnahmen, die gewährleisten, dass alle Funktionen des/ der Systeme zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden?
• Auswahl weiterer Auftragnehmer nach geeigneten Garantien
• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit weiteren Auftragnehmern
• Abschluss einer Vereinbarung zur Auftragsverarbeitung mit STRATO
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können?
• Informationssicherheitsmanagement nach ISO 27001
• Prozess zur Evaluation der Technischen und Organisatorischen Maßnahmen
• Prozess Sicherheitsvorfall-Management
• Durchführung von technischen Überprüfungen
Unterauftragsverarbeiter von Diatro
Name der Organisation |
Aktivitäten im Rahmen der Unterauftragsverarbeitung |
Land der Organisation |
Serverstandort |
Strato AG |
Hosting-Service-Anbieter |
Deutschland |
Frankfurt |
Firebase |
Infrastruktur-Anbieter |
Irland |
Frankfurt |