1. Gegenstand der Verarbeitung
Diese Vereinbarung zur Auftragsverarbeitung regelt ausschließlich die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten, soweit versdiagnose personenbezogene Daten im Auftrag des Kunden gemäß Art. 28 DSGVO (Auftragsverarbeitung) verarbeitet, die von dem Kunden an versdiagnose weitergegeben werden, z.B. durch Eingabe in ein versdiagnose-Produkt. Dies umfasst alle Tätigkeiten, die versdiagnose gemäß der Leistungsbeschreibung von versdiagnose (unter https://wiki.fb-portal.de/display/VD einsehbar) und den jeweiligen vertraglichen Vereinbarungen mit dem Kunden (Verträge über die Zurverfügungstellung von Standardprodukten oder individuellen Leistungen) für den Kunden erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern die Leistungsbeschreibung von vers.diagnose (unter https://wiki.fb-portal.de/display/VD einsehbar) und die jeweiligen vertraglichen Vereinbarungen nicht ausdrücklich Bezug nehmen auf diese Vereinbarung zur Auftragsverarbeitung. Dieser Vertrag gilt deshalb für sämtliche jeweils zwischen dem Kunden und versdiagnose bestehenden separaten Vereinbarungen, die sich insbesondere auf Software von versdiagnose, Regelung einer Kooperation, etc. erstrecken können. Die vorstehend erwähnten vertraglichen Regelungen werden jeweils einheitlich nachfolgend „Hauptvertrag“ genannt.
Diese Vereinbarung zur Auftragsverarbeitung enthält in Ziffern 15 und 16 Regelungen und Vereinbarungen zu weiteren Vertragszwecken. Die jeweilige Leistungsbeschreibung von vers.diagnose (unter https://wiki.fb-portal.de/display/VD einsehbar) enthält Vereinbarungen zu weiteren Vertragszwecken. Der Kunde stimmt diesen weiteren Vertragszwecken mit Annahme dieser Vereinbarung zur Auftragsverarbeitung zu.
Bei Widersprüchen zwischen der Leistungsbeschreibung des Hauptvertrags und dieser Vereinbarung zur Auftragsverarbeitung geht die Leistungsbeschreibung des Hauptvertrags als speziellere Regelung vor.
Diese Vereinbarung zur Auftragsverarbeitung gilt für alle künftigen und bereits erfolgenden Auftragsverarbeitungen von versdiagnose für den Kunden, soweit die Parteien keinen individuellen Auftragsverarbeitungsvertrag geschlossen haben, der auf diese Vereinbarung zur Auftragsvereinbarung ausdrücklich Bezug nimmt und ausdrücklich für vorrangig erklärt wird.
2. Dauer der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt zeitlich unbefristet, sofern dies in dem Hauptvertrag nicht anders vereinbart ist.
3. Art und Zweck der Verarbeitung
Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne von Art. 4 Nr. 2 DSGVO.
Zweck der Verarbeitung ist die Bereitstellung der Funktionen der Risikoplattform vers.diagnose. Die Leistungsbeschreibungen der versdiagnose (unter https://wiki.fb-portal.de/display/VD einsehbar) erläutern die spezifischen Verarbeitungstätigkeiten, die der Erbringung der vereinbarten Leistungen dienen.
4. Art der personenbezogenen Daten und Kategorien betroffener Personen
Art der personenbezogenen Daten sind alle Arten personenbezogener Daten, die versdiagnose im Auftrag des Kunden verarbeitet. Hiervon umfasst sind auch besondere Kategorien personenbezogener Daten. Insbesondere können, soweit sich dies aus der Leistungsbeschreibung des Hauptvertrages ergibt, folgende Arten personenbezogener Daten verarbeitet werden:
- Name, Vorname, Adressdaten, Kontaktdaten für Kommunikation (Telefon, E-Mail, Fax),
- versicherungsbezogene Angaben (Versicherungs- und Vertragsart, Deckungssumme etc.),
- gesundheitsbezogene Angaben (insbesondere Vorerkrankungen, aktuelle Erkrankungen).
Kategorien betroffener Personen sind insbesondere
- Beschäftigte und Geschäftspartner/Mandanten des Kunden,
- Familienangehörige des Geschäftspartners/Mandanten,
- Versicherungsinteressenten des Kunden,iv. ggf. weitere Personen, sofern deren personenbezogene Daten zur Erfüllung eines mit versdiagnose geschlossenen Vertrages erforderlich sind.
5. Pflichten und Rechte des Kunden
Der Kunde hat das Recht, Weisungen in Bezug auf Verarbeitung personenbezogener Daten zu erteilen. Alle Weisungen werden schriftlich oder per E-Mail erteilt.
Für die Beurteilung der rechtlichen Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen ist allein der Kunde verantwortlich. Der Kunde ist im Rahmen dieser Vereinbarung zur Auftragsverarbeitung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung als solche sowie die Datenweitergabe an versdiagnose sowie für die Rechtmäßigkeit der Verarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung und die Beschreibung der betroffenen Daten.
Der Kunde hat versdiagnose unverzüglich und vollständig zu informieren, wenn er im Hinblick auf die Verarbeitung bezüglich datenschutzrechtlicher Bestimmungen Fehler oder Unregelmäßigkeiten feststellt.
Der Kunde nennt versdiagnose bei Bedarf den Ansprechpartner für im Rahmen dieser Vereinbarung zur Auftragsverarbeitung anfallende Datenschutzfragen.
Weitere Pflichten und Rechte des Kunden ergeben sich aus den nachfolgenden Regelungen dieser Vereinbarung zur Auftragsverarbeitung und der DSGVO sowie den dazugehörigen gesetzlichen Bestimmungen.
6. Verarbeitung auf dokumentierte Weisung
versdiagnose - und jede ihr unterstellte Person - darf die personenbezogenen Daten nur im Rahmen des Hauptvertrags und der Weisungen des Kunden verarbeiten, sofern keine gesetzliche Pflicht zur Verarbeitung besteht. versdiagnose nimmt Weisungen des Kunden in schriftlicher Form entgegen. Mündliche Weisungen sind durch den Kunden unverzüglich schriftlich zu bestätigen.
versdiagnose informiert den Kunden unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere anwendbaren Datenschutzbestimmungen verstößt. versdiagnose darf die Umsetzung der Weisung solange aussetzen, bis sie vom Kunden bestätigt oder abgeändert wurde.
Sind die Weisungen des Kunden nicht vom vertraglich vereinbarten Leistungsumfang umfasst, werden diese als Antrag auf Leistungsänderung behandelt. Bei Änderungsvorschlägen teilt versdiagnose dem Kunden mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist versdiagnose die Umsetzung der Weisung nicht zumutbar, so ist versdiagnose berechtigt, die Verarbeitung zu beenden. Im Übrigen gelten die Regelungen des Hauptvertrags.
Die Parteien vereinbaren, dass versdiagnose berechtigt ist, die personenbezogenen Daten - unter Beachtung der zwingend anwendbaren Vorschriften - an Unterauftragsverarbeiter in einem Drittland zu übermitteln. Die Information, an welche Dienstleister in welchem Drittland die Daten für welche Zwecke übermittelt werden, kann der Kunde aus den Leistungsbeschreibungen entnehmen. Für diesen Fall verpflichtet sich versdiagnose sicherzustellen, dass das durch die DSGVO gewährleistete Datenschutzniveau auch bei dem Unterauftragsverarbeiter gewährleistet ist. Der Kunde stellt sicher, dass die betroffenen Personen über diesen Umstand ordnungsgemäß informiert werden.
7. Verpflichtung zur Vertraulichkeit
versdiagnose gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflichtunterliegen.
8. Maßnahmen zur Sicherheit der Verarbeitung
versdiagnose gestaltet in ihrem Verantwortungsbereich die innerbetriebliche Organisation so, dass geeignete Technisch Organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. versdiagnose ergreift in ihrem Verantwortungsbereich alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen.
Die jeweils aktuell geltenden Technisch Organisatorische Maßnahmen kann der Kunde unter https://wiki.fb-portal.de/display/VD einsehen. Der Kunde informiert sich vor Abschluss der Vereinbarung zur Auftragsverarbeitung und anschließend in regelmäßigen Abständen über diese Technisch Organisatorische Maßnahmen.
Eine Änderung der getroffenen Technisch Organisatorische Maßnahmen bleibt versdiagnose vorbehalten, sofern das Schutzniveau nach DSGVO nicht unterschritten wird.
9. Weitere Auftragsverarbeiter
Der Kunde erteilt versdiagnose die allgemeine Genehmigung, weitere Auftragsverarbeiter („Unterauftragsverarbeiter“) im Sinne des Art. 28 DSGVO in Anspruch zu nehmen. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die versdiagnose z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. versdiagnose ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Kunden auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen. Die jeweils aktuell eingesetzten Unterauftragsverarbeiter kann der Kunde unter https://wiki.fb-portal.de/display/VD einsehen.
versdiagnose informiert den Kunden, wenn sie eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern beabsichtigt. Die Änderungen kann der Kunde unter https://wiki.fb-portal.de/display/VD einsehen. Der Kunde kann gegen derartige Änderungen Einspruch erheben. Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von 4 Wochen nach Zugang der Information über die Änderung gegenüber versdiagnose zu erheben. Im Fall des Einspruchs kann versdiagnose nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder - sofern die Erbringung der Leistung ohne die beabsichtigte Änderung versdiagnose nicht zumutbar ist - die von der Änderung betroffene Leistung gegenüber dem Kunden innerhalb von 4 Wochen nach Zugang des Einspruchs kündigen.
Erteilt versdiagnose Aufträge an Unterauftragsverarbeiter, so obliegt es versdiagnose, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag auf den Unterauftragsverarbeiter zu übertragen.
10. Unterstützung des Kunden im Hinblick auf Betroffenenrechte und Behördenanfragen
Im Rahmen der Pflichten des Kunden zur Wahrung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person unterstützt versdiagnose den Kunden nach Möglichkeit mit geeigneten Technisch Organisatorische Maßnahmen.
versdiagnose unterstützt den Kunden im Falle von Anfragen einer Datenschutzaufsichtsbehörde. Vorbehaltlich einer behördlichen Aufforderung zur direkten Kommunikation bzw. einer vorherigen Abstimmung der Parteien, dass versdiagnose eine Anfrage einer betroffenen Person oder einer Behörde selbst bearbeiten soll, ist der Kunde für die Kommunikation und Korrespondenz mit der Datenschutzaufsichtsbehörde im Zusammenhang mit dieser Auftragsverarbeitung zuständig. Der Kunde wird versdiagnose die Korrespondenz und Kommunikation weiterleiten.
versdiagnose ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Kunden zu verlangen. Die Konditionen hierfür stimmen die Vertragsparteien im Vorfeld untereinander ab.
11. Unterstützung des Kunden im Hinblick auf die Sicherheit personenbezogener Daten
versdiagnose unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen den Kunden bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.
versdiagnose ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Kunden zu verlangen. Die Konditionen hierfür stimmen die Vertragsparteien im Vorfeld untereinander ab.
12. Umgang mit den Daten nach Abschluss der Erbringung der Verarbeitungsleistungen
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht versdiagnose nach Wahl des Kunden entweder alle personenbezogenen Daten oder gibt sie dem Kunden zurück, sofern nicht nach dem Unionsrecht oder nach deutschem Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht oder sich aus dem Hauptvertrag etwas anderes ergibt.
13. Informationen und Überprüfungen zum Nachweis der Einhaltung der Pflichten
versdiagnose stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen - einschließlich Inspektionen -, die vom Kunden oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und wirkt daran mit. Sofern hierbei die Kenntnisnahmemöglichkeit von vertraulichen Informationen, insbesondere Betriebs- und Geschäftsgeheimnissen besteht, ist versdiagnose berechtigt, eine Verschwiegenheitserklärung vom Kunden und vom beauftragtem Prüfer zu verlangen.
Das Inspektionsrecht des Kunden hat das Ziel, die Einhaltung der einem Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO und dieses Vertrages zu überprüfen. Der Nachweis soll primär durch unabhängige Prüfberichte und Zertifizierungen erbracht werden. Sofern der Kunde auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass diese Prüfberichte bzw. Zertifizierungen unzureichend oder unzutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DSGVO im Zusammenhang mit der Durchführung der Auftragsverarbeitung des Kunden dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen. Sofern solche Vor-Ort-Kontrollen durchgeführt werden, sind diese als Stichprobenkontrollen der für die Durchführung der Auftragsverarbeitung relevanten Bereiche auszugestalten und versdiagnose rechtzeitig im Voraus, in der Regel (Ausnahme z.B. bei besonderen Vorfällen) mindestens jedoch 14 Kalendertage, schriftlich anzumelden. Das Gleiche gilt für anlasslose Vor-Ort-Kontrollen. Die Ausübung des Inspektionsrechts darf den Geschäftsbetrieb von versdiagnose nicht über Gebühr stören oder missbräuchlich sein.
versdiagnose ist berechtigt, für Inspektionen eine angemessene Vergütung vom Kunden zu verlangen.
14. Gegenseitige Unterstützung in Haftungsfällen
Im Fall des Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
15. Berechtigung zur Verarbeitung anonymisierter Daten für Analysezwecke
versdiagnose hat das Recht, die von dieser Vereinbarung umfassten personenbezogenen Daten zu anonymisieren und vorher die für die Anonymisierung erforderlichen Verarbeitungsschritte durchzuführen. Unter Wahrung der Anonymität kann versdiagnose alle so entstandenen anonymisierten Daten für eigene Zwecke wie die Erstellung von Betriebs- oder Branchenvergleichen oder sonstige Zwecke mit volks- bzw. betriebswirtschaftlichem Informationscharakter, statistische Auswertungen, Benchmarking, Produktverbesserungen, Produktneuentwicklungen und weitere vergleichbare Zwecke auch über die Dauer dieser Vereinbarung hinaus verarbeiten und nutzen. Dies umfasst auch eine anonymisierte Weitergabe an versdiagnose-Anwender und Dritte, insbesondere an Verbände, Organisationen oder Forschungseinrichtungen sowie für Publikationen. Der ursprüngliche Datenbestand ist von dieser Anonymisierung nicht betroffen.
16. Vereinbarung weiterer Vertragszwecke
versdiagnose ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten zum Zweck der Fehlerbehebung in dem versdiagnose-Produkt, in dem die Daten gespeichert sind, zu verarbeiten.
versdiagnose ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten zum Zweck der Qualitätssicherung (z.B. Produktanalyse, Optimierung der Benutzeroberfläche) für das versdiagnose-Produkt, in dem die Daten gespeichert sind bzw. für eine neuere Version des versdiagnose-Produkts zu verarbeiten.
versdiagnose ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten zum Zweck der Entwicklung neuer oder Weiterentwicklung bestehender versdiagnose-Produkte in einer angemessen gesicherten Umgebung zu verarbeiten. versdiagnose berücksichtigt auch in diesem Verarbeitungsprozess, dass vom Kunden gelöschte oder zur Löschung angewiesene Daten nicht mehr verarbeitet werden.
versdiagnose ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten des Kunden (z.B. IP-Adresse sowie die Kontaktdaten) zu verarbeiten, soweit dies erforderlich ist, um Missbrauch zu verhindern und die Verfolgung von Angreifern zu ermöglichen (z.B. Abwehr von Störungen oder widerrechtlichen oder mutwilligen Eingriffen, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen.)
Dies umfasst insbesondere auch, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von Servern ("Denial of service"-Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen abzuwehren.
17. Salvatorische Klausel
Sollten sich einzelne Bestimmungen dieser Vereinbarung als ungültig erweisen, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die ungültige Bestimmung ist durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Ungültigkeit des jeweiligen Punktes gedacht. Soweit diese Vereinbarung eine unbewusste Regelungslücke enthält, ist diese durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Regelungsbedürftigkeit des jeweiligen Punktes gedacht.
18. Formerfordernis
Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - sind gemäß DSGVO schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann, und bedürfen des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt.
Dies gilt auch für den Verzicht auf dieses Formerfordernis.
19. Beginn der Vereinbarung, Auswirkung von Kündigungen
Diese Vereinbarung beginnt mit Bestätigung des Vertragsschlusses des Hauptvertrages durch versdiagnose.
Nimmt der Kunde Änderungen am Vertragstext vor, beginnt diese Vereinbarung mit Annahme der geänderten Fassung durch versdiagnose; versdiagnose ist zur Annahme jedoch nicht verpflichtet. In diesem Fall ist versdiagnose berechtigt, den Hauptvertrag außerordentlich ohne Einhaltung einer Kündigungsfrist zu kündigen, wenn die Änderungen eine Erfüllung des Hauptvertrags durch versdiagnose unmöglich machen.
Eine Annahme der geänderten Fassung durch versdiagnose erfolgt nicht bereits durch (fortgesetzte) Leistungserbringung, sondern erfordert eine dem Formerfordernis des Art. 28 DSGVO entsprechende Annahmeerklärung durch versdiagnose.
Die Annahme/Bestätigung des Vertragsschlusses durch versdiagnose kann in einem elektronischen Format erfolgen.
Diese Vereinbarung endet nicht automatisch mit der Kündigung des Hauptvertrages, sondern bedarf des ausdrücklichen Hinweises darauf in der Kündigung, dass der Kunde auch diese Vereinbarung zur Auftragsverarbeitung kündigt.
20. Aufhebung bisheriger Vereinbarungen
Vereinbarung zur Auftragsdatenverarbeitung nach BDSG
Die Parteien vereinbaren, dass zeitgleich mit Beginn dieser Vereinbarung zur Auftragsverarbeitung die zwischen den Parteien bestehende Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (alt) sowie etwaige weitere Vereinbarungen zur Auftragsdatenverarbeitung einvernehmlich aufgehoben und durch diese neue Vereinbarung zur Auftragsverarbeitung vollumfänglich ersetzt werden.
21. Verweise auf die DSGVO
Alle in dieser Vereinbarung enthaltenen Verweise auf die DSGVO gelten für die DSGVO in ihrer jeweils aktuellen Fassung bzw. etwaige Nachfolgeregelungen.