TOC, EULA & DPA

Datenverarbeitungsvertrag

für die Zwecke von Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 (DSGVO)

zwischen

Kunden des

Dienstes von Cortrium

wie in den geltenden Abonnementbedingungen angegeben

nachstehend „der für die Verarbeitung Verantwortliche“ genannt

und

Cortrium ApS

Handelsregisternummer 36 44 53 35

Erik Husfeldts Vej 7

2630 Taastrup

Dänemark

Nachfolgend „Der Verarbeiter“ genannt

jeder eine „Partei“; zusammen „die Parteien“

HABEN die folgenden Vertragsklauseln (Klauseln) VEREINBART, um die Anforderungen der DSGVO zu erfüllen und den Schutz der Rechte der betroffenen Person zu gewährleisten.

Präambel

  1. Diese Vertragsklauseln (Klauseln) legen die Rechte und Pflichten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters bei der Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen fest.
  2. Die Klauseln sollen die Einhaltung von Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) durch die Parteien sicherstellen.
  3. Im Zusammenhang mit der Bereitstellung von EKG-Aufzeichnungsgeräten (Holter-Monitor) und/oder Berichten zur Herzrhythmusanalyse sowie dem Zugang zum APEX-Verwaltungssystem wird der Auftragsverarbeiter personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen gemäß den Klauseln verarbeiten.
  4. Die Klauseln gehen ähnlichen Bestimmungen in anderen Vereinbarungen zwischen den Parteien vor.
  5. Vier Anhänge sind den Klauseln beigefügt und bilden einen integralen Bestandteil der Klauseln.
  6. Anhang A enthält Einzelheiten über die Verarbeitung personenbezogener Daten, einschließlich des Zwecks und der Art der Verarbeitung, der Art der personenbezogenen Daten, der Kategorien der betroffenen Personen und der Dauer der Verarbeitung.
  7. Anhang B enthält die Bedingungen des für die Verarbeitung Verantwortlichen für den Einsatz von Unterverarbeitern durch den Auftragsverarbeiter sowie eine Liste der vom für die Verarbeitung Verantwortlichen zugelassenen Unterverarbeiter.
  8. Anhang C enthält die Anweisungen des für die Verarbeitung Verantwortlichen in Bezug auf die Verarbeitung personenbezogener Daten, die vom Auftragsverarbeiter umzusetzenden Mindestsicherheitsmaßnahmen und die Art und Weise, wie Audits des Auftragsverarbeiters und etwaiger Unterverarbeiter durchgeführt werden sollen.
  9. Anhang D enthält Bestimmungen für andere Tätigkeiten, die nicht von den Klauseln erfasst werden.
  10. Die Klauseln und ihre Anhänge sind von beiden Parteien schriftlich, auch elektronisch, aufzubewahren.
  11. Die Klauseln befreien den Auftragsverarbeiter nicht von den Verpflichtungen, denen er gemäß der Allgemeinen Datenschutzverordnung (DSGVO) oder anderen Rechtsvorschriften unterliegt.

Die Rechte und Pflichten des für die Verarbeitung Verantwortlichen

  1. Der für die Verarbeitung Verantwortliche hat dafür zu sorgen, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO (siehe Artikel 24 DSGVO), den geltenden Datenschutzbestimmungen der EU oder des Mitgliedstaats und den Klauseln erfolgt.
  2. Der Verantwortliche hat das Recht und die Pflicht, Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu treffen.
  3. Der für die Verarbeitung Verantwortliche hat unter anderem dafür zu sorgen, dass die Verarbeitung personenbezogener Daten, mit der der Auftragsverarbeiter beauftragt wird, auf einer Rechtsgrundlage beruht.

Der Auftragsverarbeiter handelt auf Weisung

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen, es sei denn, er ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, dazu verpflichtet. Der für die Verarbeitung Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten auch nachträgliche Weisungen erteilen; diese Weisungen sind jedoch stets zu dokumentieren und schriftlich, auch elektronisch, in Verbindung mit den Klauseln aufzubewahren.
  2. Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen unverzüglich, wenn die Anweisungen des für die Verarbeitung Verantwortlichen nach Ansicht des Auftragsverarbeiters gegen die DSGVO oder die geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten verstoßen.

Vertraulichkeit

  1. Der Auftragsverarbeiter gewährt nur den ihm unterstellten Personen, die sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen, Zugang zu den personenbezogenen Daten, die im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, und zwar nur auf der Grundlage der Notwendigkeit der Kenntnisnahme. Die Liste der Personen, denen Zugang gewährt wurde, wird regelmäßig überprüft. Auf der Grundlage dieser Überprüfung kann der Zugang zu personenbezogenen Daten widerrufen werden, wenn er nicht mehr erforderlich ist, und die personenbezogenen Daten sind dann für diese Personen nicht mehr zugänglich.
  2. Der Auftragsverarbeiter weist auf Verlangen des für die Verarbeitung Verantwortlichen nach, dass die betroffenen Personen, die dem Auftragsverarbeiter unterstellt sind, der oben genannten Geheimhaltungspflicht unterliegen.

Sicherheit der Verarbeitung

  1. Artikel 32 DSGVO sieht vor, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Maß an Sicherheit zu gewährleisten.

Der für die Verarbeitung Verantwortliche bewertet die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen und ergreift Maßnahmen, um diese Risiken zu mindern. Je nach Relevanz können die Maßnahmen Folgendes umfassen:

  1. Pseudonymisierung/Anonymisierung und Verschlüsselung von personenbezogenen Daten;
  2. die Fähigkeit, die beständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten;
  3. die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen;
  4. ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  5. Gemäß Artikel 32 DSGVO hat der Auftragsverarbeiter auch – unabhängig vom Verantwortlichen – die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen zu bewerten und Maßnahmen zur Minderung dieser Risiken zu ergreifen. Zu diesem Zweck stellt der Verantwortliche dem Auftragsverarbeiter alle Informationen zur Verfügung, die zur Ermittlung und Bewertung dieser Risiken dienlich sind.
  6. Darüber hinaus unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß Artikel 32 DSGVO, indem er dem Verantwortlichen unter anderem Informationen über die technischen und organisatorischen Maßnahmen zur Verfügung stellt, die der Verantwortliche gemäß Artikel 32 DSGVO bereits umgesetzt hat, sowie alle weiteren Informationen, die der Verantwortliche benötigt, um seinen Pflichten gemäß Artikel 32 DSGVO nachzukommen.

Sofern die Minderung der festgestellten Risiken nach Einschätzung des Verantwortlichen weitere Maßnahmen erfordert, die der Auftragsverarbeiter zu ergreifen hat, als diejenigen, die er bereits gemäß Artikel 32 DSGVO ergriffen hat, so führt der Verantwortliche diese zusätzlichen Maßnahmen in Anhang C auf.

Einsatz von Unterverarbeitern

  1. Der Auftragsverarbeiter muss die in Artikel 28 Absätze 2 und 4 DSGVO genannten Anforderungen erfüllen, um einen anderen Auftragsverarbeiter (Unterverarbeiter) zu beauftragen.
  2. Der Auftragsverarbeiter darf daher ohne vorherige allgemeine schriftliche Genehmigung des für die Verarbeitung Verantwortlichen keinen anderen Verarbeiter (Unterverarbeiter) mit der Erfüllung der Klauseln beauftragen.
  3. Der Auftragsverarbeiter hat die allgemeine Genehmigung des für die Verarbeitung Verantwortlichen für die Beauftragung von Unterverarbeitern. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen mindestens 30 Tage im Voraus schriftlich über beabsichtigte Änderungen in Bezug auf die Hinzufügung oder den Austausch von Unterverarbeitern, so dass der für die Verarbeitung Verantwortliche die Möglichkeit hat, vor der Beauftragung der/des betreffenden Unterverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Längere Vorankündigungsfristen für bestimmte Unterverarbeitungsdienste können in Anlage B angegeben werden. Die Liste der vom für die Verarbeitung Verantwortlichen bereits zugelassenen Unterverarbeiter findet sich in Anhang B.
  4. Beauftragt der Auftragsverarbeiter einen Unterverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des für die Verarbeitung Verantwortlichen, so werden diesem Unterverarbeiter durch einen Vertrag oder einen anderen Rechtsakt nach EU-Recht oder dem Recht eines Mitgliedstaats dieselben Datenschutzverpflichtungen auferlegt, wie sie in den Klauseln festgelegt sind, insbesondere die Bereitstellung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in einer Weise, dass die Verarbeitung den Anforderungen der Klauseln und der DSGVO entspricht.

Der Auftragsverarbeiter ist daher dafür verantwortlich, dass der Unterverarbeiter zumindest die Verpflichtungen einhält, denen der Auftragsverarbeiter gemäß den Klauseln und der DSGVO unterliegt.

  1. Eine Kopie eines solchen Unterverarbeitungsvertrags und spätere Änderungen sind – auf Verlangen des für die Verarbeitung Verantwortlichen – dem für die Verarbeitung Verantwortlichen vorzulegen, so dass der für die Verarbeitung Verantwortliche die Möglichkeit hat, sicherzustellen, dass dem Unterverarbeiter dieselben Datenschutzpflichten auferlegt werden, wie sie in den Klauseln festgelegt sind. Klauseln zu geschäftsbezogenen Fragen, die den datenschutzrechtlichen Inhalt des Vertrages zur Unterauftragsverarbeitung nicht berühren, müssen dem für die Verarbeitung Verantwortlichen nicht vorgelegt werden.
  2. Der Auftragsverarbeiter vereinbart mit dem Unterverarbeiter eine Drittbegünstigungsklausel, wonach der für die Verarbeitung Verantwortliche im Falle des Konkurses des Auftragsverarbeiters Drittbegünstigter des Unterverarbeitungsvertrags ist und das Recht hat, den Vertrag gegenüber dem vom Auftragsverarbeiter beauftragten Unterverarbeiter durchzusetzen, so dass der für die Verarbeitung Verantwortliche z. B. den Unterverarbeiter anweisen kann, die personenbezogenen Daten zu löschen oder zurückzugeben.
  3. Kommt der Unterverarbeiter seinen Datenschutzverpflichtungen nicht nach, so bleibt der Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang haftbar, was die Erfüllung der Verpflichtungen des Unterverarbeiters betrifft. Dies berührt nicht die Rechte der betroffenen Personen nach der Datenschutz-Grundverordnung – insbesondere die in den Artikeln 79 und 82 der Datenschutz-Grundverordnung vorgesehenen Rechte – gegenüber dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter, einschließlich des Unterverarbeiters.

Übermittlung von Daten an Drittländer oder internationale Organisationen

  1. Jegliche Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen durch den Auftragsverarbeiter darf nur auf der Grundlage dokumentierter Weisungen des für die Verarbeitung Verantwortlichen erfolgen und muss stets im Einklang mit Kapitel V der Datenschutz-Grundverordnung stehen.
  2. Ist die Übermittlung von Daten an Drittländer oder internationale Organisationen, mit der der Auftragsverarbeiter nicht von dem für die Verarbeitung Verantwortlichen beauftragt wurde, nach dem Recht der EU oder eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, erforderlich, so unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung, es sei denn, das betreffende Recht verbietet eine solche Unterrichtung aus wichtigen Gründen des öffentlichen Interesses.
  3. Ohne dokumentierte Anweisungen des für die Verarbeitung Verantwortlichen ist dem Auftragsverarbeiter daher im Rahmen der Klauseln Folgendes nicht gestattet:
  4. personenbezogene Daten an einen Datenverantwortlichen oder einen Auftragsverarbeiter in einem Drittland oder in einer internationalen Organisation zu übermitteln
  5. die Verarbeitung personenbezogener Daten an einen Unterverarbeiter in einem Drittland zu übertragen
  6. die Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter in einem Drittland zu veranlassen
  7. Die Anweisungen des für die Verarbeitung Verantwortlichen für die Übermittlung personenbezogener Daten in ein Drittland, gegebenenfalls einschließlich des Übermittlungsinstruments gemäß Kapitel V DSGVO, auf das sie sich stützen, sind in Anhang C.6 aufgeführt.
  8. Die Klauseln sind nicht mit den Standard-Datenschutzklauseln im Sinne von Artikel 46 Absatz 2 Buchstaben c und d DSGVO zu verwechseln, und die Klauseln können von den Parteien nicht als Übermittlungsinstrument gemäß Kapitel V der DSGVO herangezogen werden.

Unterstützung des für die Verarbeitung Verantwortlichen

  1. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter, soweit dies möglich ist, den für die Verarbeitung Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtungen des für die Verarbeitung Verantwortlichen zur Beantwortung von Anträgen auf Ausübung der Rechte der betroffenen Person gemäß Kapitel III DSGVO.


Dies bedeutet, dass der Auftragsverarbeiter, soweit dies möglich ist, den für die Verarbeitung Verantwortlichen bei der Einhaltung von Folgendem unterstützen muss:

  1. des Rechts, bei der Erhebung personenbezogener Daten der betroffenen Person informiert zu werden
  2. des Rechts, informiert zu werden, wenn personenbezogene Daten nicht von der betroffenen Person erhalten wurden
  3. des Rechts der betroffenen Person auf Auskunft
  4. des Rechts auf Berichtigung
  5. des Rechts auf Löschung („Recht auf Vergessenwerden“)
  6. des Rechts auf Einschränkung der Verarbeitung
  7. der Benachrichtigungspflicht in Bezug auf die Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
  8. des Rechts auf Datenübertragbarkeit
  9. des Rechts auf Widerspruch
  10. des Rechts, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht
  11. Zusätzlich zur Verpflichtung des Auftragsverarbeiters, den für die Verarbeitung Verantwortlichen gemäß Klausel 6.3. zu unterstützen, muss der Auftragsverarbeiter unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den für die Verarbeitung Verantwortlichen bei der Einhaltung von Folgendem unterstützen:
  12. der Verpflichtung des für die Verarbeitung Verantwortlichen, die Verletzung des Schutzes personenbezogener Daten unverzüglich und nach Möglichkeit spätestens 72 Stunden, nachdem er davon Kenntnis erlangt hat, der zuständigen Aufsichtsbehörde (d. h. der Aufsichtsbehörde im Land des für die Verarbeitung Verantwortlichen) zu melden, es sei denn, die Verletzung des Schutzes personenbezogener Daten wird wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen;
  13. der Verpflichtung des für die Verarbeitung Verantwortlichen, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten unverzüglich mitzuteilen, wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt;
  14. der Verpflichtung des für die Verarbeitung Verantwortlichen, eine Bewertung der Auswirkungen der geplanten Verarbeitungen auf den Schutz personenbezogener Daten vorzunehmen (Datenschutz-Folgenabschätzung);
  15. der Verpflichtung des für die Verarbeitung Verantwortlichen, vor der Verarbeitung die zuständige Aufsichtsbehörde (d. h. die Aufsichtsbehörde im Land des für die Verarbeitung Verantwortlichen) zu konsultieren, wenn eine Datenschutz-Folgenabschätzung ergibt, dass die Verarbeitung ein hohes Risiko mit sich bringen würde, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Risikominderung ergreift.
  16. Die Parteien legen in Anlage C die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen zu unterstützen hat, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung. Dies gilt für die in den Klauseln 9.1. und 9.2. vorgesehenen Verpflichtungen.

Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten

  1. Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen ohne unangemessene Verzögerung, nachdem er davon Kenntnis erlangt hat.
  2. Die Benachrichtigung des Auftragsverarbeiters an den für die Verarbeitung Verantwortlichen erfolgt nach Möglichkeit innerhalb von 48 Stunden, nachdem der Auftragsverarbeiter von der Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, damit der für die Verarbeitung Verantwortliche seiner Verpflichtung nachkommen kann, die Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde zu melden, vgl. Artikel 33 DSGVO.
  3. Gemäß Klausel 9 Absatz 2 Buchstabe a unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde, was bedeutet, dass der Auftragsverarbeiter bei der Beschaffung der nachstehend aufgeführten Informationen behilflich ist, die gemäß Artikel 33 Absatz 3 DSGVO in der Meldung des für die Verarbeitung Verantwortlichen an die zuständige Aufsichtsbehörde angegeben werden müssen:
  4. die Art der personenbezogenen Daten, einschließlich, soweit möglich, die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze;
  5. die voraussichtlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  6. die Maßnahmen, die der für die Verarbeitung Verantwortliche ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abschwächung möglicher nachteiliger Auswirkungen.
  7. Die Parteien legen in Anhang C alle Angaben fest, die der Auftragsverarbeiter bei der Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldung einer Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu machen hat.

Löschung und Rückgabe von Daten

  1. Bei Beendigung der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten ist der Auftragsverarbeiter verpflichtet, alle im Auftrag des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten zu löschen und dem für die Verarbeitung Verantwortlichen zu bescheinigen, dass er dies getan hat, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten schreibt die Aufbewahrung der personenbezogenen Daten vor. Die Datenlöschung ist für den Dateneigentümer kostenlos, sofern sie im Rahmen des Standard-Löschverfahrens von Cortrium erfolgt, bei Sonderwünschen kann eine Löschungsgebühr anfallen.
  2. Vor der Beendigung der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten hat der Verantwortliche die Möglichkeit, EDF-Versionen der EKG-Aufzeichnungen und PDF-Berichte herunterzuladen. Falls ein Paket mit allen Daten gewünscht wird, kann dieses gegen eine Gebühr zur Verfügung gestellt werden.

Audit und Inspektion

  1. Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in Artikel 28 und in den Klauseln festgelegten Verpflichtungen nachzuweisen, und er gestattet Audits, einschließlich Inspektionen, die von dem für die Verarbeitung Verantwortlichen oder einem anderen von dem für die Verarbeitung Verantwortlichen beauftragten Prüfer durchgeführt werden, und leistet seinen Beitrag dazu.
  2. Die Verfahren für Audits, einschließlich Prüfungen des Auftragsverarbeiters und der Unterverarbeiter durch den für die Verarbeitung Verantwortlichen, sind im AnhangC.7 aufgeführt.
  3. Der Auftragsverarbeiter ist verpflichtet, den Aufsichtsbehörden, die gemäß den geltenden Rechtsvorschriften Zugang zu den Einrichtungen des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters haben, oder den im Namen dieser Aufsichtsbehörden handelnden Vertretern gegen Vorlage eines entsprechenden Ausweises Zugang zu den physischen Einrichtungen des Auftragsverarbeiters zu gewähren.

Vereinbarung anderer Bedingungen durch die Parteien

  1. Die Parteien können weitere Klauseln über die Erbringung des Dienstes zur Verarbeitung personenbezogener Daten vereinbaren, in denen z. B. die Haftung geregelt ist, sofern sie nicht direkt oder indirekt im Widerspruch zu den Klauseln stehen oder die Grundrechte und -freiheiten der betroffenen Person und den durch die DSGVO gewährten Schutz beeinträchtigen.

Beginn und Beendigung

  1. Die Klauseln treten mit dem Datum der Unterzeichnung durch beide Parteien in Kraft.
  2. Beide Parteien haben das Recht, eine Neuverhandlung der Klauseln zu verlangen, wenn Gesetzesänderungen oder die Unzweckmäßigkeit der Klauseln Anlass zu einer solchen Neuverhandlung geben.
  3. Die Klauseln gelten für die Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten. Für die Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten können die Klauseln nicht gekündigt werden, es sei denn, die Parteien haben andere Klauseln für die Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten vereinbart.
  4. Wird die Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten beendet und werden die personenbezogenen Daten gemäß Klausel 11.1. und Anhang C.4. gelöscht oder an den für die Verarbeitung Verantwortlichen zurückgegeben, können die Klauseln von beiden Parteien durch schriftliche Mitteilung gekündigt werden.

Ansprechpartner/Kontaktstellen für den für die Verarbeitung Verantwortlichen und den Auftragsverarbeiter

  1. Die Parteien können sich über die folgenden Kontakte/Kontaktstellen miteinander in Verbindung setzen:
  2. Die Parteien sind verpflichtet, sich gegenseitig laufend über Änderungen der Ansprechpartner/Kontaktstellen zu informieren.

Für den für die Verarbeitung Verantwortlichen:

Für die Kontaktdaten des für die Verarbeitung Verantwortlichen wird auf den Hauptvertrag verwiesen.

Für den Auftragsverarbeiter:

Name Compliance-Abteilung

E-Mail [email protected]

Anhang A Informationen zur Verarbeitung

A.1. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen dient folgendem Zweck:

Die Tätigkeit des Auftragsverarbeiters besteht darin, seinem Kunden EKG-Aufzeichnungsgeräte (Holter-Monitor) und/oder Berichte über Herzrhythmus-Analysen sowie den Zugang zum APEX-Verwaltungssystem zur Verfügung zu stellen. Bei der Erfüllung seiner Pflichten verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

A.2. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen bezieht sich hauptsächlich auf Folgendes (Art der Verarbeitung):

Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Abfrage, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Abgleich oder Kombination, Einschränkung, Löschung oder Vernichtung von Daten.

Unter Verbreitung oder anderweitiger Bereitstellung ist in diesem Zusammenhang die Bereitstellung von Daten an die Organisation zu verstehen, die den Bericht im Cortrium Apex System in Auftrag gegeben hat sowie an verbundene Organisationen, wie von der bestellenden Organisation festgelegt werden.

A.3. Die Verarbeitung umfasst die folgenden Arten personenbezogener Daten der betroffenen Personen:

Die verarbeiteten personenbezogenen Daten umfassen insbesondere die folgenden Arten von personenbezogenen Daten:

E-Mail, Benutzername, Passwort, verschiedene personenbezogene Daten, die der Kunde oder der Kunde des Kunden ohne die aktive Verarbeitung und Identifizierung durch das Unternehmen herausgibt oder registriert, Name, IP-Adresse, Informationen über das elektronische Gerät des Nutzers, Adresse, Telefonnummer, Rechnungsanhang und Belege, Bankdaten (Kartendaten oder Kontoinformationen)

Hochladen der Patienten-ID innerhalb der Softwareanwendung zum Hochladen von Daten für Analysezwecke (Holter-Bericht):

  1. Patient (Titel + Vorname + Nachname + Geburtsdatum + Geschlecht + Angaben zum Schrittmacher)
  2. Patienten-EKG-Aufzeichnung (einschließlich Startzeitpunkt und Dauer der Aufzeichnung)
  3. Holter-Bericht des Patienten mit einer Auflistung der Herzrhythmusstörungen des Patienten und einer vorgeschlagenen Diagnose als Entscheidungshilfe (DST)

A.4. Die Verarbeitung umfasst die folgenden Kategorien von betroffenen Personen:

  1. Mitarbeiter des Kunden (Nutzer)
  2. Patienten, die einer Langzeit-EKG-Überwachung mit den Holter-Monitor unterzogen werden

A.5. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen kann ab Inkrafttreten der Klauseln erfolgen. Die Verarbeitung gilt für den folgenden Zeitraum:

  1. Für den Zeitraum, in dem der Verantwortliche ein Kunde des Auftragsverarbeiters ist.
  2. Für einen Zeitraum von 3 Jahren, nachdem der Verantwortliche nicht mehr Kunde des Auftragsverarbeiters ist, werden die personenbezogenen Daten gespeichert, um sicherzustellen, dass Cortrium über relevante Daten zur Unterstützung der Rechnungen verfügt (nur um die Einhaltung des dänischen Rechts, insbesondere des Buchführungsgesetzes und des Verjährungsgesetzes, zu gewährleisten).
  3. EDF-Dateien werden 30 Tage nach ihrer Erstellung gelöscht.

Cortrium behält sich das Recht an den anonymisierten EKG-Aufzeichnungen vor, einschließlich der folgenden Datenpunkte:

  1. Alter, Geburtsjahr
  2. Geschlecht
  3. Beschleunigungsmesser-Daten

sowie Analyseberichte können für Forschungs- und Entwicklungszwecke aufbewahrt werden, bis die Geschäftsleitung von Cortrium entscheidet, die Daten zu löschen.

Anhang B Zugelassene Unterauftragsverarbeiter

B.1. Zugelassene Unterverarbeiter

Mit Inkrafttreten der Klauseln genehmigt der Verantwortliche die Beauftragung der folgenden Unterauftragsverarbeiter:

NAMEHRNRADRESSEBESCHREIBUNG DER VERARBEITUNG
Auth0 Inc.10287824100 New Bridge Street
London
Vereinigtes Königreich
EC4V 6JA		Auth0 wird als „Identitätsanbieter“ in Anspruch genommen, d. h. für die Authentifizierung von Benutzern im System. Der Unterauftragsverarbeiter verarbeitet die Mitarbeiterdaten des Kunden wie Namen, E-Mail- und IP-Adressen für den Kundenzugang zur APEX-Software. Um Zweifel auszuschließen, wird darauf hingewiesen, dass der Unterauftragsverarbeiter keine Daten verarbeitet, die Patienten identifizieren können. Alle verarbeiteten Daten werden verschlüsselt.
Hetzner Online GmbHDE812871812Industriestr. 25
91710
Gunzenhausen
Deutschland		Der Unterverarbeiter verarbeitet ausschließlich Rohdaten (die nicht persönlich identifizierbar sind) für die Analyse der EKG-Software durch das Cortrium Analyse System.
Microsoft Ireland Operations LimitedIE256796Microsoft Ireland Operations Limited
One Microsoft Place
South County Industrial Park
Dublin
D18 P521
Irland		Hosting des Cortrium Systems.

Der für die Verarbeitung Verantwortliche genehmigt bei Inkrafttreten der Klauseln den Einsatz der oben genannten Unterverarbeiter für die für diese Partei beschriebene Verarbeitung. Der Auftragsverarbeiter ist nicht berechtigt, ohne die ausdrückliche schriftliche Genehmigung des für die Verarbeitung Verantwortlichen einen Unterverarbeiter mit einer „anderen“ als der vereinbarten Verarbeitung zu beauftragen oder einen anderen Unterverarbeiter mit der beschriebenen Verarbeitung zu beauftragen.

Anhang C Anhang C Anweisung zur Verwendung personenbezogener Daten

C.1. Gegenstand der Verarbeitung/Anweisung für die Verarbeitung

Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen erfolgt vom Auftragsverarbeiter in folgender Weise:

Cortrium Apex

Cortrium Apex ist eine von Cortrium selbst entwickelte Softwareanwendung, die für die Cloud-Verarbeitung und -Speicherung von Daten aus den Holter Monitoren bestimmt ist. Cortrium Apex verwaltet den Nutzerzugriff auf das cloudbasierte Verarbeitungssystem und den Speicher über einen lokal auf dem Desktop installierten Cortrium Apex Client.

Cortrium Apex ermöglicht es dem Verantwortlichen (Nutzer), die Cortrium Holter Monitoren für die Verwendung am Patienten einzurichten. Wenn der Patient mit einer EKG-Aufzeichnung innerhalb von 14 Tagen zurückkehrt, kann die resultierende EKG-Aufzeichnung zusammen mit einer Patientenakte zur Speicherung in die Apex Cloud-Dienste von Cortrium hochgeladen und in das EDF-Format konvertiert werden. Die EKG-Aufzeichnung kann für eine Cloud-basierte Softwareanalyse von Cortrium übertragen werden, die basierend auf den übertragenen EKG-Daten einen Holter-Berichtsentwurf mit einer Übersicht der erkannten Herzrhythmusstörungen und einer vorgeschlagenen Diagnose erstellt. Der Holter-Berichtsentwurf wird dann von einem Menschen geprüft, so dass er als DST verwendet werden kann. Die endgültige Entscheidung, ob die vorgeschlagene Diagnose akzeptiert oder abgelehnt wird, liegt beim Arzt.

Die EDFs können auch heruntergeladen und auf der lokalen Computerhardware des Arztes analysiert werden.

Die Benutzerdaten, EKG-Daten, Patientendaten und alle zugehörigen Daten werden verschlüsselt übertragen und gespeichert.

C.2. Sicherheit der Verarbeitung

Beim Sicherheitsniveau ist Folgendes zu berücksichtigen:

dass die Verarbeitung personenbezogene Daten betrifft, die unter Artikel 9 DSGVO über „besondere Kategorien personenbezogener Daten“ fallen, weshalb ein „hohes“ Sicherheitsniveau festgelegt werden sollte.

Der Auftragsverarbeiter ist danach berechtigt und verpflichtet, über die technischen und organisatorischen Sicherheitsmaßnahmen zu entscheiden, die zur Schaffung des erforderlichen (und vereinbarten) Niveaus der Datensicherheit anzuwenden sind.

Der Auftragsverarbeiter muss jedoch in jedem Fall und mindestens die folgenden Maßnahmen ergreifen, die mit dem für die Verarbeitung Verantwortlichen vereinbart wurden:

  1. Aufrechterhaltung eines hohen IT-Sicherheitsniveaus, das von einem seriösen Anbieter bereitgestellt wird.
  2. Die Organisation verfügt über eine logische Zugangskontrolle durch die Verwendung von Benutzername(n) und Passwort (Passwörtern) oder anderen Berechtigungen.
  3. Die Organisation verfügt über eine Passwortrichtlinie, die Mindestanforderungen an die Zusammensetzung von Passwörtern enthält.
  4. Die Organisation verfügt über Verfahren für den Widerruf von Berechtigungen, wenn ein Mitarbeiter die Abteilung wechselt oder seine Tätigkeit bei der Organisation beendet.
  5. Die Organisation verfügt über Verfahren zur Zuweisung von Berechtigungen für IT-Systeme, wenn ein neuer Mitarbeiter bei der Organisation anfängt.
  6. Die Organisation verlangt von ihren Mitarbeitern die Verwendung individueller Passwörter.
  7. Die Organisation protokolliert und kontrolliert unbefugte oder wiederholt fehlgeschlagene Anmeldeversuche bei den Systemen der Organisation.
  8. Die PCs der Organisation werden bei Inaktivität automatisch gesperrt, d. h. die Computer sind bei Inaktivität passwortgeschützt.
  9. Die Organisation verwendet eine Firewall, um den Zugriff zu verhindern und die Netzwerkressourcen zu schützen.
  10. Die Organisation verwendet Antiviren-Software, die regelmäßig aktualisiert wird.
  11. Das Unternehmen hat Auth0 als Identitätsanbieter für den Mitarbeiter- und Kundenzugang zu Cortrium Apex implementiert.
  12. Die implementierten technischen Sicherheitsmaßnahmen werden regelmäßig in einem automatisierten jährlichen Arbeitszyklus bei ComplyCloud, dem DSGVO-Dienstanbieter von Cortrium, überprüft.
  13. Die Organisation erteilt Einzelpersonen oder Nutzergruppen die Berechtigung, auf personenbezogene Daten zuzugreifen, sie zu ändern und zu löschen.
  14. Die Organisation verfügt über Verfahren zum Zurückladen und zur Wiederherstellung von Daten aus Sicherungskopien.
  15. Unerlaubte oder wiederholte Lösch- und Zugriffsversuche werden auf mehreren Systemen protokolliert und überwacht.
  16. Die Organisation verfügt über eine Funktion zur Rückverfolgbarkeit des Zugriffs, der Änderung und der Löschung von Daten durch einzelne Benutzer auf mehreren Systemen.
  17. Die Organisation verwendet das Hyper Text Transfer Protocol Secure (HTTPS).
  18. Es wird eine Verschlüsselung des Netzwerks verwendet.
  19. Die auf den Computern der Organisation gespeicherten Passwörter sind verschlüsselt.
  20. Die Computer der Organisation haben verschlüsselte Festplatten.
  21. Personenbezogene Daten werden in den entsprechenden Systemen und/oder auf den Speichermedien verschlüsselt.
  22. Besondere Kategorien personenbezogener Daten werden in Systemen und/oder auf Speichermedien verschlüsselt.
  23. Die Verfügbarkeit und Ausfallsicherheit der Systeme und Server der Organisation wird durch Dritte gesichert, mit denen die Organisation einen Vertrag geschlossen hat.
  24. Die Organisation hat Richtlinien und Regeln für die Datensicherung.
  25. Nur autorisierte Mitarbeiter haben Zugang zu den Servern der Organisation.
  26. Die Organisation verfügt über Verfahren für Verstöße im Zusammenhang mit personenbezogenen Daten, die mindestens einmal jährlich überprüft werden.
  27. Es werden regelmäßig Backups erstellt.
  28. Die Organisation hat Richtlinien und Regeln für die Wiederherstellung von Daten aus Sicherungskopien.
  29. Die Serverräume sind mit Klimaanlage(n) ausgestattet.
  30. Die Serverräume sind mit Rauchmelder(n) und Feuerlöscher(n) ausgestattet.
  31. Es wird eine unterbrechungsfreie Stromversorgung (USV) verwendet.
  32. Die Temperatur und die Luftfeuchtigkeit in den Serverräumen werden überwacht.
  33. Die Sicherung des gesamten Cortrium Apex Systems, einschließlich, aber nicht beschränkt auf Aufzeichnungsdaten, Patientendaten und Systeminformationen, erfolgt innerhalb der verwalteten Cloud-Infrastruktur.
  34. Die Gewährleistung, dass das Niveau “Erfüllte Standards” im NHS Data Security and Protection Toolkit beibehalten wird.
  1. Es wurde ein Schutz für tragbare Geräte eingerichtet. Die Laptops der Mitarbeiter sind u. a. durch Verschlüsselung und Passwörter auf Festplattenebene geschützt.
  2. Für den Fernzugriff werden eine VPN-Verbindung und eine Zwei-Faktor-Authentifizierung verwendet.

C.3. Unterstützung des Verantwortlichen

Soweit möglich unterstützt der Auftragsverarbeiter den Verantwortlichen – im nachstehend aufgeführten Rahmen und Umfang – nach Maßgabe der Klauseln 9.1. und 9.2. durch die Umsetzung der folgenden technischen und organisatorischen Maßnahmen:

Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen in angemessener Weise bei der Einhaltung der Punkte a. bis j. in Klausel 9.1.

C.4. Speicherfrist/Löschverfahren

Die personenbezogenen Daten werden vom Auftragsverarbeiter gemäß Klausel A.5 gespeichert.

C.5. Verarbeitungsort

Die Verarbeitung personenbezogener Daten gemäß der Klauseln kann ohne vorherige schriftliche Genehmigung des Verantwortlichen nicht an anderen als den nachstehend genannten Orten erfolgen:

Cortrium ApS

Handelsregisternummer 36 44 53 35

Erik Husfeldts Vej 7

2630 Taastrup

Dänemark

sowie an den Standorten der jeweiligen Unterverarbeiter.

C.6. Anweisung zur Übermittlung personenbezogener Daten an Drittländer

Wenn der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und der Verantwortliche außerhalb der EU/des EWR niedergelassen / ansässig ist,

Der Auftragsverarbeiter ist befugt und angewiesen, die personenbezogenen Daten des Verantwortlichen an diesen zurück zu übermitteln, und daher befugt und angewiesen, die personenbezogenen Daten in das Drittland zu übermitteln, in dem sich der Verantwortliche befindet.

Die Übermittlung erfolgt auf der Grundlage der Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten in Drittländer vom 04. Juni 2021. Es wird das Modul 4 verwendet, siehe Standardvertragsklauseln (SCC).

C.7. Verfahren zur Überprüfung der vom Auftragsverarbeiter durchgeführten Verarbeitung personenbezogener Daten durch den Verantwortlichen, einschließlich der Inspektionen

Der Auftragsverarbeiter führt jährlich eine Selbstbewertung auf der Grundlage des IS027701-Standards durch, die auf der Einhaltung der DSGVO, der geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten und der Klauseln durch den Auftragsverarbeiter basiert.

Der Auftragsverarbeiter legt dem für die Verarbeitung Verantwortlichen auf Anfrage den letzten Selbstbewertungsbericht vor.

Anhang D Die Vereinbarungen der Parteien zu anderen Themen

Entfällt.