Präambel
Soweit ein Verantwortlicher (Auftraggeber) die Verarbeitung von personenbezogenen Daten durch eine andere Stelle (Auftragnehmer) ausführen lässt, ist gemäß Art. 28 Abs. 3 DS-GVO ein Vertrag zur Auftragsverarbeitung abzuschließen. Dieser Auftragsverarbeitungsvertrag regelt die Rechte und Pflichten der Vertragsparteien im Rahmen der Auftragsverarbeitung (vgl. insgesamt Art. 28 DS-GVO).
Die Verantwortung für die datenschutzkonforme Verarbeitung der personenbezogenen Daten liegt im Rahmen der Auftragsverarbeitung beim Auftraggeber. Nach Art. 29 DS-GVO darf der Auftragnehmer die personenbezogenen Daten daher auch nur auf Weisung des Auftraggebers verarbeiten. Verstößt der Auftragnehmer dagegen, indem er die Mittel und Zwecke der Verarbeitung selbst bestimmt, wird er nach Art. 28 Abs. 10 DS-GVO gegenüber den Betroffenen selbst zum Verantwortlichen.
Die Vertragsparteien schließen angesichts dessen den folgenden Auftragsverarbeitungsvertrag:
1. Gegenstand, Beginn, Dauer und Kündigung
1.1 Gegenstand
Der Auftragnehmer verarbeitet im Rahmen dieses Vertrages personenbezogenen Daten (Patientendaten) des Auftraggebers zu folgenden Zwecken: a) Bereitstellung der technischen Umgebung (App-Funktionalität, Hosting, Betrieb) zur digitalen Erfassung, Speicherung, Verwaltung und Abrufbarkeit von Patienten- und Pflegedaten. b) Durchführung der weisungsgebundenen technischen Anonymisierung dieser Daten zur anschließenden Nutzung durch die HARTMANN Gruppe für Forschungs- und Entwicklungszwecke. Der Auftraggeber trägt als Verantwortlicher die alleinige Verantwortung dafür, dass für die Erteilung dieser Anonymisierungsweisung eine ausreichende Rechtsgrundlage (insbesondere eine wirksame Einwilligung der Betroffenen gemäß Art. 9 Abs. 2 lit. a) DS-GVO) vorliegt. Der Auftraggeber stellt den Auftragnehmer von jedweder Haftung, Bußgeldern und Ansprüchen Dritter im Zusammenhang mit dieser Weisung vollumfänglich frei. Sämtliche in diesem Vertrag beschriebenen Verpflichtungen finden Anwendung auf alle Tätigkeiten, durch die der Auftragnehmer oder die bei ihm Beschäftigten oder die von ihm beauftragten Dritten mit personenbezogenen Daten (im Folgenden „Daten“ genannt) des Auftraggebers in Berührung kommen bzw. kommen können.
1.2 Beginn
Dieser Vertrag tritt mit der aktiven, elektronischen Akzeptanz durch den bevollmächtigten Administrator des Auftraggebers in Kraft und ersetzt ab diesem Zeitpunkt alle vorhergehenden Vereinbarungen der Vertragsparteien betreffend die Auftragsverarbeitung, sofern sie denselben Regelungsgegenstand betreffen (siehe Ziffer 13.6).
1.3 Dauer, Kündigung
Die Dauer dieses Vertrages entspricht der Laufzeit des Hauptvertrages (Nutzungsvertrag „HARTMANN Easy“).Es bleibt den Vertragsparteien unbenommen, diesen Vertrag außerordentlich zu kündigen. Als wichtiger Grund gilt insbesondere die Verletzung von vertraglichen oder gesetzlichen Datenschutzregelungen. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen ist der verletzenden Vertragspartei eine angemessene Frist zu setzen, innerhalb derer diese den Verstoß abstellen kann.
Sollten sich die Grundlagen dieses Vertrages aufgrund einer Änderung der Rechts- oder Gesetzeslage oder eines Eingreifens oder einer sonstigen Maßnahme einer Datenschutzaufsichtsbehörde wesentlich ändern oder sogar ganz entfallen, haben beide Vertragsparteien einen Anspruch auf Anpassung dieses Vertrages an die jeweils neuen Verhältnisse, soweit dies möglich und für die Vertragsparteien zumutbar ist. Ist eine Vertragsanpassung nicht möglich oder für eine Vertragspartei unzumutbar, ist dies für beide Vertragsparteien ebenfalls ein wichtiger Grund für eine außerordentliche Kündigung.
2. Anwendbarkeit und Definitionen
Dieser Vertrag richtet sich nach der DS-GVO. Es gelten die Begriffsdefinitionen entsprechend des Art. 4 DS-GVO. Weiterhin gelten folgende Begriffsbestimmungen:
2.1 Anonymisierung
Prozess, bei dem Daten entweder vom für die Verarbeitung der Daten Verantwortlichen allein oder in Zusammenarbeit mit einer anderen Partei unumkehrbar so verändert werden, dass sich die betroffene Person danach weder direkt noch indirekt identifizieren lässt (Quelle: DIN EN ISO 25237).
2.2 Unterauftragnehmer
Vom Auftragnehmer beauftragter Leistungserbringer, dessen Dienstleistung und/oder Werk der Auftragnehmer zur Erbringung der in diesem Vertrag beschriebenen Leistungen gegenüber dem Auftraggeber benötigt.
2.3 Verarbeitung im Auftrag
Verarbeitung im Auftrag ist die Verarbeitung von Daten durch einen Auftragnehmer im Auftrag des Auftraggebers.
2.4 Weisung
Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragnehmers mit Daten gerichtete schriftliche Anordnung des Auftraggebers, die vom Auftraggeber jederzeit geändert, ergänzt oder ersetzt werden kann.
3. Konkretisierung des Auftragsinhalts
3.1 Art und Zweck der vorgesehenen Verarbeitung von Daten
Art und Zweck der vorgesehenen Verarbeitung von Daten durch den Auftragnehmer für den Auftraggeber sind: Bereitstellung der technischen Umgebung (App-Funktionalität, Hosting, Betrieb) zur digitalen Erfassung, Speicherung, Verwaltung und Abrufbarkeit von Patienten- und Pflegedaten. Authentifizierung und Zugangsverwaltung der berechtigten Nutzer des Auftraggebers. Durchführung der weisungsgebundenen Anonymisierung der Patientendaten gemäß Ziffer 1.1 dieses Vertrages. Erfüllung gesetzlicher Pflichten im Rahmen des Medizinprodukterechts (Post-Market Surveillance, Vigilanz).
3.2 Datenkategorien und betroffene Personengruppen
Die Kategorien der verarbeiteten Daten und die jeweiligen betroffenen Personengruppen ergeben sich aus den diesem Auftragsverarbeitungsvertrag beigefügten ANLAGEN 1 und 2.
3.3 Drittstaatenübermittlung
Die Erbringung der vertraglich vereinbarten Datenverarbeitung (Hosting) findet ausschließlich in einem Mitgliedsstaat der Europäischen Union (EU) oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt (siehe ANLAGE 4).
Der Auftragnehmer ist jedoch berechtigt, Unterauftragnehmer (siehe ANLAGE 5) einzusetzen, die ihren Hauptsitz in einem Drittland (z.B. USA) haben, sofern diese die Verarbeitung ausschließlich in der EU/EWR durchführen. Für den Fall eines (z.B. behördlich erzwungenen) Zugriffs aus einem Drittland auf die in der EU/EWR gespeicherten Daten stellt der Auftragnehmer sicher, dass geeignete Garantien (z.B. Standardvertragsklauseln gemäß Art. 46 DS-GVO, ergänzt um zusätzliche technische Maßnahmen) bestehen, um ein angemessenes Schutzniveau zu gewährleisten.
4. Technisch-organisatorische Maßnahmen
4.1 Umsetzung, Dokumentation, Prüfung
Die umgesetzten technischen und organisatorischen Maßnahmen (TOMs) sind in ANLAGE 3 zu diesem Vertrag dokumentiert und werden vom Auftraggeber durch Abschluss dieses Vertrages als angemessen akzeptiert. Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
4.2 Herstellung Sicherheit
Der Auftragnehmer hat die Sicherheit gemäß Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1 und Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen. Hinsichtlich der Einzelheiten gilt
ANLAGE 3 zu diesem Vertrag.
4.3 Einzelne Maßnahmen
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
Neben den Regelungen dieses Vertrags hat der Auftragnehmer gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO. Insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
a) ☒ Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVO ausübt. Der Datenschutzbeauftragte ist wie folgt erreichbar: PAUL HARTMANN AG, Datenschutzbeauftragter, Paul-Hartmann-Straße 12, 89522 Heidenheim, E-Mail: datenschutz@hartmann.info
b) ☐ Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Der Ansprechpartner in allen Fragen des Datenschutzes ist wie folgt erreichbar: ………………………………
c) ☐ Da der Auftragnehmer seinen Sitz außerhalb der Europäischen Union hat, benennt er folgenden Vertreter nach Art. 27 Abs. 1 DS-GVO in der Europäischen Union: ………………………………
d) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 Satz 2 lit. b DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Außerdem wird der Auftragnehmer seine Beschäftigten über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung zu belehren. Der Auftragnehmer verpflichtet sich weiter, seine Beschäftigten dazu zu verpflichten, fremde Geheimnisse, die ihnen bei Ausübung oder bei Gelegenheit der Tätigkeit für den Auftraggeber bekannt werden, geheim zu halten und nicht unbefugt zu offenbaren. Das Gleiche gilt für sonstige mitwirkende Personen, die der Auftragnehmer für seine Tätigkeit für den Auftraggeber heranzieht. Die Beschäftigten und sonstigen mitwirkenden Personen sind darüber zu unterrichten, dass sie sich bei einer unbefugten Offenbarung der fremden Geheimnisse nach § 203 Strafgesetzbuch strafbar machen können. Die vorstehende Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung dieses Auftrages fort.
e) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 Satz 2 lit. c, 32 DS-GVO. Hinsichtlich der Einzelheiten gilt ANLAGE 3 zu diesem Vertrag.
f) Die Pflicht, alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, damit der Auftraggeber die Rechte der betroffenen Personen nach Kapitel III der DS-GVO (Information, Auskunft, Berichtigung, und Löschung, Datenübertragbarkeit und Widerspruch sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann (vgl. Art. 28 Abs. 3 Satz 2 lit. e) DS-GVO).
g) Der Auftraggeber und der Auftragnehmer arbeiten bei der Erfüllung ihrer Aufgaben auf Anfrage mit der Datenschutzaufsichtsbehörde zusammen.
h) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Datenschutzaufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung der Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
i) Soweit der Auftraggeber seinerseits einer Kontrolle der Datenschutzaufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat er den Auftragnehmer nach besten Kräften zu unterstützen.
j) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse (Verarbeitung der Daten) sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der Betroffenen gewährleistet wird. Der Auftragnehmer wird dem Auftraggeber die Dokumentation der jeweils durchgeführten Kontrolle auf Nachfrage zur Prüfung zur Verfügung stellen.
k) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen der Kontrollbefugnisse nach Ziff. 7 dieses Vertrages.
l) Der Auftragnehmer hat dem Auftraggeber den/die für die Verarbeitung der Daten des Auftraggebers im Rahmen des Auftragsverhältnisses vorgesehenen Standort/Standorte seiner Geschäftsräume bzw. genutzten Rechenzentren vor Vertragsabschluss in der ANLAGE 4 zu benennen. Der Auftragnehmer stellt sicher, dass ein Zugriff auf die Daten des Auftraggebers, die an dem/den in ANLAGE 4 genannten Standort/Standorten des Auftragnehmers verarbeitet werden, durch Dritte ausgeschlossen ist.
Änderungen des Standorts/der Standorte werden ebenfalls in der ANLAGE 4 festgehalten und dem Auftraggeber mitgeteilt.
6. Unterauftragsverhältnisse
6.1 Definition
Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören i.d.R. Nebenleistungen, welche der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers, auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
6.2 Befugnis zur Unterbeauftragung
Die vertraglich vereinbarten Leistungen werden unter Einschaltung der in ANLAGE 5 genannten Unterauftragnehmer durchgeführt. Diese gelten mit Abschluss des Vertrages durch den Auftraggeber als genehmigt. Der Auftragnehmer ist berechtigt, im Rahmen seiner vertraglichen Verpflichtungen weitere Unterauftragsverhältnisse mit Unterauftragnehmern einzugehen oder bestehende Unterauftragnehmer auszutauschen. Er setzt den Auftraggeber hiervon unverzüglich mindestens in Textform (z.B. E-Mail) in Kenntnis. Der AUFTRAGGEBER hat das Recht, gegen die Beauftragung oder den Austausch eines Unterauftragnehmers innerhalb von 14 Tagen nach Kenntnisnahme Einspruch einzulegen, sofern berechtigte datenschutzrechtliche Gründe bestehen (Art. 28 Abs. 2 DS-GVO). Erfolgt innerhalb dieser Frist kein Einspruch, gilt die Zustimmung als erteilt (Fiktion). Andernfalls, sofern Einspruch eingelegt wird, werden sich die Vertragsparteien bemühen, eine einvernehmliche Lösung zu finden.
Weitere Unterauftragnehmer werden ebenfalls in der ANLAGE 5 festgehalten.
6.3 Voraussetzungen der Unterbeauftragung
Der Auftragnehmer ist verpflichtet, Unterauftragnehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Unterauftragnehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Unterauftragnehmern wahrnehmen kann. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer sicher, dass im Rahmen der Drittstaatenübermittlung auch die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind, dass bedeutet, das in dem betreffenden Drittland ein angemessenes Schutzniveau gewährleistet ist. Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Unterauftragnehmern nachweisen.
6.4 Auslagerung durch Unterauftragnehmer
Eine weitere Auslagerung durch den Unterauftragnehmer ist gestattet. Der Auftragnehmer setzt den Auftraggeber hiervon unverzüglich mindestens in Textform (z. B. per E-Mail) in Kenntnis. Außerdem stellt er in diesem Fall sicher, dass sämtliche vertraglichen Regelungen in der Vertragskette auch dem weiteren Unterauftragnehmer auferlegt werden.
7. Kontrollrechte des Auftraggebers
7.1 Prüfungen des Auftraggebers
Der Auftraggeber kann sich vor der Aufnahme der Datenverarbeitung sowie während der Laufzeit dieses Vertrages von den getroffenen technischen und organisatorischen Maßnahmen des Auftragnehmers überzeugen. Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers nach vorheriger angemessener Ankündigungsfrist zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht oder andere berechtigte Gründe seitens des Auftragnehmers dem entgegenstehen. Die Terminplanung obliegt dem Auftragnehmer. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.
7.2 Auskünfte und Nachweise
Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.
7.3 Dokumentation und Verfahrensänderungen
Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
8. Unterstützungsleistungen des Auftragnehmers, Vergütung
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflichten zur Sicherheit der Daten, Meldepflichten bei Datenpannen, DatenschutzFolgeabschätzungen und vorherigen Konsultationen sowie bei der Einhaltung der Bestimmungen über die Rechte der Betroffenen. Hierzu gehören u.a.
a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen,
b) in allen Fällen, in denen Verstöße gegen Datenschutzvorschriften oder Regelungen dieses Vertrages beim Auftragnehmer festgestellt wurden, den Auftraggeber hiervon unverzüglich in Kenntnis zu setzen,
c) die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber Betroffenen mit geeigneten Mitteln zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen,
d) die Unterstützung des Auftraggebers bei dessen Datenschutz-Folgenabschätzung und
e) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der zuständigen Datenschutzaufsichtsbehörde oder sonstiger gesetzlich vorgeschriebener Melde- oder Benachrichtigungspflichten des Auftraggebers.
Zur Durchführung der Unterstützungsleistungen überlässt der Auftragnehmer dem Auftraggeber alle dafür notwendigen Informationen. Dies setzt jedoch voraus, dass die Unterstützung nicht gegen Verschwiegenheitsverpflichtungen des Auftragnehmers gegenüber Dritten verstößt.
Für Unterstützungsleistungen im Sinne dieser Vorschrift und sonstige Mitwirkungshandlungen des Auftragnehmers nach diesem Vertrag, die nicht im Hauptvertrag enthalten sind, nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind und sich nicht bereits aus der DS-GVO oder dem nationalen Recht ergeben, kann der Auftragnehmer eine Vergütung beanspruchen. Auftraggeber und Auftragnehmer werden sich über die Höhe der Vergütung vor der jeweiligen Unterstützungsleistung bzw. sonstigen Mitwirkungshandlung verständigen.
9. Weisungsbefugnis des Auftraggebers
9.1 Verarbeitungsumfang, Weisung
Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu Daten hat, dürfen Daten nur im Rahmen des Hauptvertrages, dieses Vertrages und gemäß den Weisungen des Auftraggebers verarbeiten (vgl. Art. 29 DS-GVO); dies gilt insbesondere in Bezug auf die Übermittlung von Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, eine Mitteilung ist aus Gründen des öffentlichen Interesses unzulässig.
Der Auftragnehmer unternimmt zudem Schritte, um sicherzustellen, dass die Beschäftigten, die Zugang zu Daten haben, diese nur wie zuvor beschrieben verarbeiten.
9.2 Art der Weisung, Umfang
Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können anschließend vom Auftraggeber (in Textform) durch einzelne Weisungen geändert, ergänzt oder ersetzt werden. Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Der Auftragnehmer darf daher die Daten, die im Auftrag verarbeitet werden, insbesondere nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen zudem unverzüglich an den Auftraggeber weiterleiten.
Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
9.3 Weisungsberechtigte Personen
Die weisungsberechtigten Personen des Auftraggebers ergeben sich aus ANLAGE 6. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen ist dem Auftragnehmer unverzüglich der Nachfolger bzw. Vertreter zu benennen. Dieser ist sodann in der ANLAGE 6 zu ergänzen.
9.4 Dokumentationspflicht, Leistungsänderung
Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
9.5 Rechtswidrige Weisung
Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen. Entstehen dem Auftragnehmer durch die Umsetzung einer rechtswidrigen Weisung Schäden oder Kosten, stellt der Auftraggeber den Auftragnehmer hiervon frei.
10. Kopien, Löschung/Vernichtung/Rückgabe der Daten, Dokumentationen
10.1 Erstellung Kopien
Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
10.2 Löschung, Vernichtung und Rückgabe der Daten, Protokoll
Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrages – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände und Kopien oder sonstige vertrauliche Daten, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen und noch vorhandene Kopien datenschutzgerecht zu löschen bzw. zu vernichten, sofern nicht nach einer gesetzlichen Vorschrift eine Verpflichtung zur Speicherung bzw. Aufbewahrung der Daten besteht oder diese zur Erfüllung von Haftungs- und Gewährleitungsansprüchen erforderlich sind. Gleiches gilt für Test- und Ausschussmaterial. Hat der Auftraggeber kein Interesse an einer Aushändigung, kann er den Auftragnehmer auch anweisen, die vorgenannten auftragsbezogenen Unterlagen, Ergebnisse, Bestände oder Kopien zu löschen bzw. zu vernichten. Das Protokoll der Löschung bzw. der Vernichtung ist dem Auftraggeber jederzeit auf Anforderung vorzulegen.
Die vorgenannten Verpflichtungen gelten in gleichem Maße für einen etwaig beauftragten Unterauftragnehmer.
10.3 Dokumentationen
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren und nach Ablauf der jeweiligen Aufbewahrungsfrist zu löschen. Der Auftraggeber ist über Art und Umfang der in diesem Zusammenhang gespeicherten Daten zu unterrichten. Der Auftragnehmer kann die Dokumentationen zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
11. Erstreckung des Vertrages auf Rechtsnachfolger
Dieser Vertrag gilt auch für etwaige Rechtsnachfolger der Vertragsparteien. Sofern sich die Fortgeltung nicht schon aufgrund gesellschaftsrechtlicher Regelungen (z.B. im Rahmen eines Share Deals) ergibt, hat die jeweilige Vertragspartei deren Rechtsnachfolger mittels separater Vereinbarung ausdrücklich auf alle Inhalte dieses Vertrages zu verpflichten.
12. Haftung
12.1 Haftung im Innenverhältnis
Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.
12.2 Haftungsfreistellung
Die Vertragsparteien stellen sich jeweils von der Haftung frei, wenn eine Vertragspartei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.
13. Gerichtsstand, Rechtsanwendung, Form, Salvatorische Klausel, Sonstiges
13.1 Gerichtsstand
Für Streitigkeiten aus diesem Vertrag ist das für den Hauptgeschäftssitz des Auftragnehmers örtlich zuständige Gericht zuständig.
13.2 Anwendbares Recht
Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UNKaufrechts und unter Ausschluss derjenigen Regeln des deutschen Rechtes, die auf eine andere als die deutsche Rechtsordnung verweisen.
13.3 Regelungsgehalt einzelner Vorschriften
Reicht der Regelungsgehalt einzelner Vorschriften dieses Vertrages über die Vertragslaufzeit hinaus, bleiben diese Vorschriften insoweit auch nach Ende der Vertragslaufzeit wirksam.
13.4 Nebenabreden, Form
Etwaige mündliche Nebenabreden und/oder Nebenvereinbarungen zu diesem Vertrag existieren nicht. Änderungen dieses Vertrages bedürfen der Textform und der Unterschrift beider Parteien. Dies gilt auch für Änderungen des Textformerfordernisses. Eine elektronische Signatur - einschließlich einer einfachen oder fortgeschrittenen elektronischen Signatur im Sinne der eIDAS-Verordnung, Verordnung (EU) Nr. 910/2014 - ist hierfür ausreichend. Dies gilt nicht für Kündigungen dieses Vertrages und damit in Zusammenhang stehende vorherige Abmahnungen. Diese sind handschriftlich zu unterzeichnen (Schriftformerfordernis) und per Einwurfeinschreiben (o.ä.) zu versenden.
Der Empfang durch eine der Parteien von elektronischen Dokumenten von der E-Mail-Adresse dse@eumail.docusign.net, die von einem oder mehreren autorisierten Vertretern unter Verwendung der elektronischen Signatur von DocuSign unterzeichnet wurden, ist ein ausreichender Beweis dafür, dass das jeweilige Dokument von der Partei stammt, die dieses Dokument unterzeichnet hat. Die Parteien haben zu gewährleisten, dass nur autorisierte Personen Zugang zu den Firmencomputern und den Logins und Passwörtern haben, die für den Zugang zum DocuSign-Service verwendet
werden.
13.5 Salvatorische Klausel
Sollte eine Bestimmung dieses Vertrages ganz oder teilweise unwirksam sein oder werden oder sollte sich in diesem Vertrag eine Lücke herausstellen, so berührt dies die Wirksamkeit dieses Vertrages im Übrigen nicht. Anstelle der unwirksamen Bestimmung und zur Ausfüllung von Lücken soll eine angemessene Regelung gelten, die – soweit rechtlich möglich – dem am nächsten kommt, was die Vertragsparteien nach dem Sinn und Zweck dieses Vertrages gewollt hätten, sofern sie diesen Punkt bedacht hätten. Beruht die Unwirksamkeit einer Bestimmung auf einem in ihr angegebenen Maß der Leistung oder der Zeit (Frist oder Termin), so soll das der Bestimmung am nächsten kommenden rechtlich zulässigen Maß an diese Stelle treten.
13.6 Bisherige Auftragsverarbeitungsverträge
Dieser Vertrag ersetzt alle bisher getroffenen Auftragsverarbeitungsverträge zwischen den Parteien, vorausgesetzt, sie haben denselben Regelungsgegenstand.
13.7 Anlagen
Die nachfolgenden ANLAGEN 1 bis 6 sind Gegenstand und Teil dieses Vertrages.
Dieser Auftragsverarbeitungsvertrag wurde elektronisch abgeschlossen. Die aktive Zustimmung des Administrators des Auftraggebers (im Namen und auf Rechnung der Institution) mittels Click & Wrap in der App ersetzt die handschriftliche Unterschrift und wird als rechtsverbindliche Textform gemäß Ziffer 13.4 protokolliert, so dass der Vertragsschluss zwischen der PAUL HARTMANN AG (Auftragnehmer) und der im Administratorkonto registrierten Institution (Auftraggeber) zustandekommt.