seca.

Auftragsdatenverarbeitungsvereinbarung (ADV)

seca remote support für seca connect 103

Vorbemerkung
Mit der seca Software (nachfolgend „seca software“) bietet seca dem Kunden eine Lösung, mit welcher die Messwerte von seca-Geräten am PC aufbereitet und so die Qualität einer medizinischen Untersuchung deutlich gesteigert werden kann. Für die Nutzung von seca Software bietet seca dem Kunden Support im Wege eines Fernzugriffs über das Internet an. Die Parteien gehen dabei übereinstimmend davon aus, dass Datenschutz und Vertraulichkeit unabdingbare Voraussetzung für diesen Fernzugriff sind.

Dies vorausgeschickt, vereinbaren die Parteien wie folgt:

1. Definitionen
„Personenbezogene Daten“ sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. „Datenverarbeitung im Auftrag“ ist die Speicherung, Veränderung, Übermittlung, Sperrung oder Löschung personenbezogener Daten durch seca im Auftrag des Kunden.

„Weisung“ Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) von seca mit personenbezogenen Daten gerichtete schriftliche Anordnung des Kunden. Die Weisungen werden anfänglich durch den Kaufvertrag festgelegt und können vom Kunden danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung).
 

2. Anwendungsbereich und Verantwortlichkeit
seca prüft oder wartet automatisierte Verfahren oder Datenverarbeitungsanlagen im Auftrag des Kunden, wobei ein Zugriff auf personenbezogene Daten (vgl. Anlage 1) nicht ausgeschlossen werden kann. Dies umfasst Tätigkeiten, die im Kaufvertrag und in der Leistungsbeschreibung konkretisiert sind.
 

3. Pflichten von seca

3.1 seca darf Daten nur im Rahmen des Auftrages nach dokumentierter Weisung des Kunden zum Zweck der Fernwartung (Anlage 1) erheben, verarbeiten oder nutzen. Seca hat den Kunden unverzüglich zu informieren, wenn eine Weisung gegen Datenschutzvorschriften verstößt. In diesem Fall ist seca berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Kunden bestätigt oder geändert wird.

3.2 seca wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. seca wird hierzu geeignete technische und organisatorische Maßnahmen ergreifen, die einen angemessenen Schutz der Kundendaten hinsichtlich ihrer Vertraulichkeit, Integrität, Verfügbarkeit sowie der Belastbarkeit der Systeme sicherstellen. Dabei berücksichtigt seca den Stand der Technik, die Implementierungskosten und die Art, den Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art.32 Abs. 1 DS-GVO.

Eine Darstellung dieser technischen und organisatorischen Maßnahmen befindet sich in Anlage 2) zu dieser Zusatzvereinbarung. Die dort aufgeführten Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es seca gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

3.3 seca stellt sicher, dass die mit der Verarbeitung der Daten des Kunden befassten Mitarbeiter gemäß Art. 28 Abs.3 S.2 lit.b) DS-GVO verpflichtet und in die Schutzbestimmungen der Datenschutzgrund-verordnung eingewiesen worden sind. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.

3.4 Die Kontaktdaten des betrieblichen Daten-schutzbeauftragten von seca sind abrufbar unter:
https://www.seca.com/de_de/datenschutz.html

3.5 seca unterrichtet den Kunden unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten des Kunden.

3.6 seca unterstützt den Kunden bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzung und vorheriger Konsultation.

Sämtliche von den Datenträgern gefertigten Kopien oder Reproduktionen verbleiben im Eigentum des Kunden. seca wird diese sorgfältig verwahren, so dass sie Dritten nicht zugänglich sind. Der Kunde kann hierüber Auskunft verlangen, soweit die personenbezogenen Daten und Unterlagen des Kunden betroffen sind. Die datenschutzkonforme Vernichtung von Test- und Ausschussmaterial nach Beendigung der Auftragsverarbeitung übernimmt seca aufgrund einer Beauftragung durch den Kunden. Das Protokoll der Löschung ist auf Anforderung vorzulegen. In besonderen vom Kunden zu bestimmenden Fällen erfolgt eine Aufbewahrung bzw. Übergabe. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch seca entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Zur Entlastung kann seca diese bei Vertragsende dem Kunden übergeben.

3.7 Die Erfüllung der vorgenannten Pflichten ist von seca zu kontrollieren und in geeigneter Weise nachzuweisen.
 

4. Pflichten des Kunden

4.1 Die Parteien sind bezüglich der zu verarbeitenden personenbezogenen Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich.

4.2 Der Kunde hat seca unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen feststellt.

4.3 Der Kunde legt die Maßnahmen zur Rückgabe der überlassenen Datenträger und/oder Löschung der gespeicherten Daten nach Beendigung des Auftrages vertraglich oder durch Weisung fest.
 

5. Anfragen Betroffener an den Kunden

5.1 Ist der Kunde aufgrund geltender Datenschutz-gesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu geben, wird seca den Kunden dabei unterstützen, diese Informationen bereit zu stellen. Selbiges gilt für den Fall, dass eine betroffene Person vom Kunden die Berichtigung, Löschung oder Einschränkung der Daten-verarbeitung verlangt.

5.2 Soweit sich eine Einzelperson zur Geltendmachung ihrer Rechte unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
 

6. Kontrollpflichten

6.1 Der Kunde überzeugt sich vor Aufnahme der Datenverarbeitung von dem Schutzgehalt der technischen und organisatorischen Maßnahmen, die seca ergriffen hat.

6.2 Der Kunde hat das Recht, im Benehmen mit seca Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch seca in dessen Geschäftsbetrieb zu überzeugen.

6.3 seca stellt sicher, dass sich der Kunde von der Einhaltung der Pflichten nach Art. 28 DS-GVO überzeugen kann. Seca verpflichtet sich, dem Kunden auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
 

7. Subunternehmer

7.1 Die Weitergabe von Aufträgen im Rahmen der in Ziffer 2 Abs. 1 S. 2 konkretisierten Tätigkeiten an Subunternehmer durch seca bedarf der vorherigen schriftlichen und dokumentierten Zustimmung des Kunden.

7.2 Über jede weitere Beauftragung oder Ersetzung von Subunternehmern wird der Kunde im Vorfeld informiert und hat die Möglichkeit gegen die Auftragsweitergabe Einspruch zu erheben.

7.3 seca ist im Falle der Unterbeauftragung verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Kunden auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen. Der Subunternehmer unterliegt ebenfalls den unter 3. aufgeführten Pflichten.
 

8. Informationspflichten, Schriftformklausel, Rechtswahl

8.1 Sollten die Daten des Kunden bei seca durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder Durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so wird seca den Kunden unverzüglich darüber informieren, dass die Hoheit und das eigentum an den Daten ausschließlich beim Kunden als „verantwortlicher Stelle“ im Sinne des Bundesdatenschutzgesetzes liegen.

8.2 Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen durch seca – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung oder Ergänzung dieser Bedingungen handelt.

8.3 Es gilt deutsches Recht. Gerichtsstand ist der Sitz von seca.
 

Anlagen

Anlage 1
Ergänzungen zu Ziffer 2 dieses Auftrags
A. Umfang, Art und Zweck der Datenverarbeitung gemäß Ziffer 2
B. Art der personenbezogenen Daten gemäß Ziffer 2
C. Kreis der Betroffenen gemäß Ziffer 2

Anlage 2
Technische und organisatorische Maßnahmen gemäß Ziffer 3 dieses Auftrags.


Anlage 1 zum Vertrag zur Auftragsdatenverarbeitung

A. Umfang, Art und Zweck der Datenverarbeitung gemäß § 2
Der Auftragnehmer betreut den Auftraggeber im remote Support von seca Software des Auftraggebers zum Zwecke der Fernwartung. Der remote Support kann unter anderem:

  • die Installation von Software (-updates)
  • die Behebung von Softwareproblemen in Zusammenhang mit dem individuellen Softwaresetup des Anwenders
  • Wartungsarbeiten an der Software
  • die Einrichtung von Integrationssoftware

beinhalten. Die Verarbeitung und Nutzung von personenbezogenen Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn geeignete Schutzvorkehrungen nach Art.44 ff. DSGVO getroffen worden.
 

B. Art der personenbezogenen Daten gemäß § 2

  • Mitarbeiter,-/ Personaldaten
  • Mitarbeiter-ID
  • Gesundheitsdaten
  • Patienten-ID
  • Fall-ID
  • Patientendaten
  • Name des Patienten
  • Geschlecht
  • Geburtsdatum
  • Ethnie
     


C. Kreis der Betroffenen gemäß § 2

  • Beschäftige des Auftraggebers (Krankenhauspersonal)
  • Patienten


Anlage 2: Technische und organisatorische Maßnahmen bei seca
Darstellung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DS-GVO bei seca:

A. Vertraulichkeit (Art.32 Abs.1 lit.b DS-GVO)

1. Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen:

  • Alarmanlage für sensible Bereiche (u.a. Datenverarbeitung)
  • Transponderschließsystem
  • Schließberechtigungen über Mitarbeiterindividuelle Schließkreise
  • Videoüberwachung der Zugänge
  • Absicherung durch Bewegungsmelder und Lichtschranken
  • Protokollierung Besuche Externer (Besucherliste und –ausweise)
  • Sorgfältige Auswahl von Wach- und Reinigungspersonal
  • Spezielle Sicherheitsmaßnahmen der Serverräume
     


2. Zugangskontrolle
Keine unbefugte Systembenutzung:

  • Zuordnung von Benutzerrechten
  • Erstellen von Benutzerprofilen
  • Authentifikation mit Benutzername / Passwort
  • Zuordnung von Benutzerprofilen zu IT-Systemen
  • Einsatz Firewalls mit VPN-Technologie
  • Einsatz von Intrustion-Detection-Systemen
  • Einsatz von zentraler Smartphone-Administrations-Software (z.B. zum externen Löschen von Daten)
  • Einsatz von Anti-Viren-Software
  • Verschlüsselung von Datenträgern in Laptops / Notebooks
     


3. Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, Maßnahmen zur bedarfsorientierten Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:

  • Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte)
  • Anzahl der Administratoren auf das „Notwendigste“ reduziert
  • Passwortrichtlinie inkl. Passwortlänge, -komplexität, -historie, -gültigkeit
  • Protokollierte Systemzugriffe
  • Einsatz von Aktenvernichtern bzw. Dienstleistern mit Datenschutz- Gütesiegel
  • Festgelegte Abläufe zur Genehmigungserteilung


B. Integrität (Art.32 Abs.1 lit.b DS-GVO)

1. Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport:

  • Einrichtungen von Standleitungen bzw. VPN-Tunneln
  • Weitergabe von Daten in anonymisierter oder pseudonymisierter Form
  • Bei physischem Transport: sorgfältige Auswahl von Transportpersonal und Fahrzeugen
  • Gesichertes Wireless-LAN
  • Datenträger werden unwiederherstellbar vernichtet bzw. gelöscht


2. Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

  • Protokollierungs- und Protokollauswertungssystematiken
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts


C. Auftragskontrolle:

  • Eindeutige Vertragsgestaltung
  • Formalisierte Auftragserteilung
  • Kontrolle der Vertragsausführung


D. Verfügbarkeit und Belastbarkeit (Art.32 Abs.1 lit.b DS-GVO)

1. Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust:

  • Backup-Verfahren
  • Spiegelung von Festplatten
  • Unterbrechungsfreie Stromversorgung (USV)
  • Getrennte Aufbewahrung von Datensicherungen
  • Virenschutz / Firewall
  • Notfallplan
  • Feuerlöscher und Brandmeldeanlage
  • Redundante Auslegung der gesamten Infrastruktur durch multiple Rechenzentren
  • Klimatisierung und Überwachung von Temperatur und Feuchtigkeit in Serverräumen


2. Rasche Wiederherstellbarkeit

  • Regelmäßige Backups auf Servern
  • zu Backups ist immer gewährleistet


E. Trennungskontrolle

Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B.:

  • Trennung von Daten unterschiedlicher Klienten
  • Funktionstrennung Entwicklung/Test/Produktion mit getrennten Datenbanken


F. Pseudonymisierung (Art.32 Abs.1 lit.a DS-GVO; Art.25 Abs.1 DS-GVO)

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen:

  • Interne Anweisung der Anonymisierung oder Pseudonymisierung von personenbezogenen Daten im Falle der Weitergabe oder Ablauf der Löschfrist


G. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art.32 Abs.1 lit. d DS-GVO; Art.25 Abs.1 DS- GVO)

1. Datenschutz-Management:

  • Dokumentiertes Sicherheitskonzept
  • externer Datenschutzbeauftragter
  • min. jährlich Überprüfung der Wirksamkeit der Technischen Schutzmaßnahmen
  • Schulung von Mitarbeitern hinsichtlich der Vertraulichkeit personenbezogener Daten
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis
  • Datenschutz-Folgenabschätzung (DSFA) wird regelmäßig durchgeführt


2. Incident-Response-Management:

  • Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen
  • Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
  • Einbindung des externen Datenschutzbeauftragten bei Sicherheitsvorfällen und Datenpannen


3. Datenschutzfreundliche Voreinstellungen (Art.25 Abs.2 DS-GVO):

  • Erhebung ausschließlich der zur Erreichung des Zwecks erforderlichen personenbezogenen Daten


4. Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS_GVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen, Maßnahmen (technisch, organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer: Auftragsverarbeitungsvertrag, der den Anforderungen von Art.28 DS-GVO entspricht.