1. Gegenstand der Beauftragung
Der Auftraggeber lässt durch den Auftragnehmer derma2go AG, Mühlebachstrasse 84, 8008 Zürich, Schweiz auf Grundlage eines Vertrages über die Nutzung der Plattform derma2go.com (der „Nutzungsbedingungen“) personenbezogenen Daten im Auftrag verarbeiten. Mit dem vorliegenden Vertrag schließen die Parteien einen Vertrag über eine Auftragsverarbeitung entsprechend Art. 28 DSGVO.
2. Gegenstand und Zweck der Verarbeitung
1) Gegenstand der Verarbeitung personenbezogenen Daten ist die Erbringung der im Nutzungsbedingungen vereinbarten Leistungen durch den Auftragnehmer für den Auftraggeber.
2) Der Zweck der entsprechenden Verarbeitung der personenbezogenen Daten ergibt sich aus dem Nutzungsbedingungen. Ausschließlich zur Erfüllung dieses Zwecks und im Zusammenhang der insoweit vom Auftragnehmer zu erbringenden Leistungen werden personenbezogene Daten aus dem Herrschaftsbereich des Auftraggebers durch den Auftragnehmer verarbeitet. Der Zweck umfasst insbesondere die folgenden Aufgaben:
a) Unterstützung des Auftraggebers beim Abschluss und der Durchführung von Behandlungsverträgen mit Patienten
b) Abrechnung der Leistungen des Auftraggebers gem. lit. a)
c) Temporäre Speicherung von Behandlungsunterlagen
3. Von der Verarbeitung betroffene Arten personenbezogener Daten
Von der Auftragsverarbeitung sind folgende Arten personenbezogenen Daten betroffen:
a) Namensdaten
b) Adress- und Kontaktdaten
c) Alter
d) Bilddaten
e) Gesundheitsdaten
f) Abrechnungsdaten
g) Zugangsdaten
4. Kategorien der von der Verarbeitung betroffener Personen
Von der Auftragsverarbeitung sind folgende Kategorien von Personen betroffen:
a) Potenzielle Patienten
b) Patienten
c) ehemalige Patienten
d) weitere Nutzer (Ärzte, Verwaltung)
5. Ort der Auftragsverarbeitung
Soweit seitens des Auftragnehmers eine Erhebung, Verarbeitung und / oder Nutzung der Daten erfolgt in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder in Drittländern, sofern die besonderen Voraussetzungen der DSGVO eingehalten werden.
6. Verantwortlichkeit des Auftraggebers
1) Der Auftraggeber ist Verantwortlicher für die Auftragsverarbeitung der personenbezogenen Daten im Sinne des Art. 4 Nr. 7 DSGVO. Er ist für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
2) Dem Auftraggeber obliegt die Entscheidung über die Zulässigkeit der Datenverarbeitung im Einzelfall. Der Auftragnehmer ist berechtigt und verpflichtet, auf etwaige Bedenken hinsichtlich der rechtlichen Zulässigkeit der Datenverarbeitung hinzuweisen.
7. Weisungsrecht des Auftraggebers
1) Der Auftraggeber hat jederzeit das Recht, ergänzende Weisungen über Art, Umfang und Verfahren der Verarbeitung der personenbezogenen Daten zu erteilen. Weisungen können mündlich oder in Textform erfolgen. Mündliche Weisungen sind unverzüglich in Textform gegenüber dem Auftragnehmer zu bestätigen und zu dokumentieren.
2) Der Auftragnehmer wird den Auftraggeber unverzüglich in Textform informieren, wenn nach seiner Auffassung eine vom Auftraggeber erteilte Weisung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern aus der Weisung eine unmittelbare Haftung des Auftragnehmers gegenüber Dritten oder nach den Vorgaben der DSGVO drohen kann, ist der Auftragnehmer berechtigt, die Weisung abzulehnen.
8. Kontrollrechte des Auftraggebers, Maßnahmen von Aufsichtsbehörden
1) Dem Auftraggeber stehen alle Kontrollrechte zu, welche gemäß den Vorgaben der DSGVO zur Wahrung seiner datenschutzrechtlichen Obliegenheiten erforderlich sind.
2) Auf Verlangen des Auftraggebers ist diesem zu üblichen Geschäftszeiten Zugang und Einsicht zu den Datenverarbeitungssystemen des Auftragnehmers zu gewähren, die er für die Zwecke dieses Vertrages einsetzt. Solche Vorort-Kontrollen sind auf eine Prüfung je Kalenderjahr beschränkt, sofern nicht ein wichtiger Grund vorliegt, der Auftraggeber Anhaltspunkte für einen Verstoß gegen die Vorgaben dieses Vertrages hat, es zur Wahrung gesetzlicher Verpflichtungen des Auftraggebers erforderlich ist oder eine Kontrolle durch die Aufsichtsbehörde erfolgt.
3) Eine Vorort-Kontrolle bedarf der vorherigen Ankündigung mit angemessener Frist, sofern kein wichtiger Grund vorliegt. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers durch die Kontrollen nicht unverhältnismäßig zu stören. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen die Beauftragung dieses Prüfers ein Einspruchsrecht.
4) Der Auftragnehmer darf die Vorort-Kontrolle von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der personenbezogenen Daten und Geschäftsgeheimnisse anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Dies gilt nicht bei einer Tätigkeit der Aufsichtsbehörde.
5) Für die Unterstützung bei der Durchführung einer Vorort-Kontrolle darf der Auftragnehmer eine angemessene Vergütung verlangen, wenn nicht er den Anlass für die Kontrolle zu vertreten hat. Die Durchführung der Kontrolle ist unabhängig von einer Einigung der Parteien über die dem Auftragnehmer zustehende Vergütung.
9. Pflichten des Auftragnehmers
1) Jegliche Verarbeitung der personenbezogenen Daten durch den Auftragnehmer oder durch etwaige Unterauftragsverarbeiter, die diesem Vertrag unterfällt, erfolgt ausschließlich auf seiner Grundlage sowie den vom Auftraggeber erteilten Weisungen. Dies gilt nicht, wenn der Auftragnehmer zu einer anderen Verarbeitung durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation im Rahmen der Verarbeitung der personenbezogenen Daten so gestalten, dass sie den gesetzlichen Anforderungen sowie den in diesem Vertrag vereinbarten Anforderungen gerecht wird. Der Auftragnehmer hat insbesondere die technischen und organisatorischen Maßnahmen zu treffen, die
a) die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung der personenbezogenen Daten auf Dauer sicherstellen und
b) die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall sicherstellen.
3) Eine Änderung der in der Anlage vereinbarten technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das jeweils vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer hat den Auftraggeber über wesentliche Änderungen unaufgefordert zu informieren.
4) Der Auftragnehmer berichtigt oder löscht personenbezogene Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist.
5) Der Auftragnehmer bestätigt, dass er einen betrieblichen Datenschutzbeauftragten bestellt hat und wird diesen gegenüber dem Auftraggeber in Textform benennen.
6) Zur Verarbeitung der personenbezogenen Daten befugte Personen sind vom Auftragnehmer zur Vertraulichkeit zu verpflichten oder haben einer angemessenen gesetzlichen Verschwiegenheitspflicht zu unterliegen. Dies ist dem Auftraggeber auf Wunsch nachzuweisen.
7) Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden (drohenden) Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers unverzüglich mitzuteilen, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist oder zu erfolgen droht. Die entsprechende Meldung soll zumindest folgende Informationen enthalten:
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
b)den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d)eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
8) Sofern es zu einer unzulässigen Verarbeitung oder Offenbarung personenbezogenen Daten gekommen sein sollte, trifft der Auftragnehmer die erforderlichen Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber zum weiteren Vorgehen ab.
9) Für den Fall, dass der Auftragnehmer feststellt oder Tatsachen für ihn die Annahme begründen, dass von ihm für den Auftraggeber verarbeitete
a) besondere Arten personenbezogener Daten oder
b)personenbezogene Daten, die einem Berufsgeheimnis unterliegen oder
c) personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen oder
d)personenbezogene Daten zu Bank- oder Kreditkartenkonten
unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat er den Auftraggeber unverzüglich und vollständig über Zeitpunkt, Art und Umfang des Vorfalls/der Vorfälle in Textform zu informieren. Die Information muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung enthalten. Die Information soll zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung beinhalten. Der Auftragnehmer ist darüber hinaus verpflichtet, unverzüglich mitzuteilen, welche Maßnahmen durch den Auftragnehmer getroffen wurden, um die unrechtmäßige Übermittlung bzw. unbefugte Kenntnisnahme durch Dritte künftig zu verhindern. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde gegenüber dem Auftragnehmer tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betreffen kann.
10) Der Auftragnehmer hat für sein Verfahrensverzeichnis der Auftragsverarbeitung für den Auftraggeber diesem auf Wunsch mit Beginn seiner Tätigkeit und nachfolgend bei jeder Änderung zu überlassen.
10. Nachweispflichten des Auftragnehmers
1) Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.
2) Für die Überprüfung der Einhaltung der jeweils vereinbarten technischen und organisatorischen Maßnahmen und deren Wirksamkeit kann der Auftragnehmer auf angemessene Zertifizierungen oder andere geeignete Prüfungsnachweise verweisen.
11. Unterauftragsverarbeiter
1) Der Auftragnehmer setzt für die Verarbeitung folgende Unterauftragsverarbeiter ein:
a) HostEurope GmbH, Hansestr. 111, 51149 Köln, Germany; Hosting IT-Platform
b)Swiss4ward GmbH, Calle Hermanos Soto Chápuli 4, Alicante 03010, Spain; IT Development
c) Time4vps; UAB „Interneto vizija“, J. Kubiliaus St. 6, Vilnius, Lithuania; Hosting Webanalytic-Service Server and 2-Factor-Authentication Sever
d)Twilio Inc, 375 Beale Street, Suite 300, San Francisco, CA 94105; 2-Factor-Authentication
2) Der Auftragnehmer ist verpflichtet, den Auftraggeber rechtzeitig vorab über die Beauftragung von Unterauftragsverarbeitern oder Änderungen in der Unterbeauftragung in Textform zu informieren. Der Auftraggeber kann der Unterbeauftragung innerhalb von vier Wochen nach Kenntnisnahme in Textform widersprechen.
3) Der Auftragnehmer wird den eventuellen Unterauftragsverarbeitern im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in diesem Vertrag oder in einem anderen Rechtsinstrument zwischen dem Auftraggeber und dem Auftragnehmer festgelegt sind.
4) Nicht als Unterauftragsverhältnisse im Sinne der vorstehenden Regelungen sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Der Auftragnehmer ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten.
12. Betroffenenrechte
1) Wenn sich eine betroffene Person mit dem Ersuchen zur Berichtigung Löschung oder Auskunft an den Auftragnehmer wendet, wird er die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach den Angaben der betroffenen Person möglich ist, und das Er-suchen unverzüglich an den Auftraggeber weiterleiten. Soweit eine Mitwirkung des Auftragnehmers für die Umsetzung des Ersuchens – insbesondere Auskunft, Berichtigung, Sperrung oder Löschung – erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen.
2) Wenn der Auftraggeber nach den datenschutzrechtlichen Bestimmungen auf Haftung und Schadenersatz von einer betroffenen Person in Anspruch genommen werden sollte, verpflichtet sich der Auftragnehmer diesen gegen angemessene Vergütung bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
13. Vergütung des Auftragnehmers
Dem Auftragnehmer steht für die von ihm unter diesem Vertrag erbrachten Leistungen kein gesondertes Entgelt zu, sofern dies nicht ausdrücklich anders vereinbart ist.
14. Haftung
Die Haftung der Parteien richtet sich nach den Vereinbarungen des jeweiligen Vertrages auf dessen Grundlage eine Auftragsverarbeitung erfolgt. Die unmittelbare Haftung der Parteien gegenüber einem Betroffenen aus gesetzlichen Bestimmungen des Datenschutzes bleibt unberührt.
15. Dauer des Vertrages, Beendigung des Vertrages, Zurückbehaltungsrecht
Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Vertrages gemäß Ziffer 1.
16. Rückgabe
1) Daten, Datenträger sowie sämtliche sonstige Materialien mit personenbezogenen Daten, die diesem Vertrag unterfallen, sind nach Auftragsende je nach Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Sofern der Auftraggeber eine Weisung zur Löschung erteilt, die vom bisher Vereinbarten abweicht und entstehen hieraus zusätzliche Kosten für den Auftragnehmer, so trägt diese der Auftraggeber. Die Löschung ist in geeigneter Weise zu dokumentieren. Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren. Dies kann auch durch eine Inaugenscheinnahme der Datenverabeitungsanlagen erfolgen.
2) Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen wird. Dies gilt nicht, wenn nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung des Auftraggebers zur Speicherung der personenbezogenen Daten weiter besteht. In diesem Fall gilt für die Dauer dieser Verpflichtung dieser Vertrag entsprechend weiter.
3) Der Auftragnehmer behält sich vor, nach entsprechender Einwilligung der betroffenen Person, die Daten in pseudonymisierter Form (inkl. Bilder) zur statistischen Auswertung einzubehalten. Diese Einwilligung der betroffenen Person ist jederzeit widerruflich.
17. Schlussbestimmungen
1) Dieser Vertrag enthält alle Vereinbarungen der Parteien zum Vertragsgegenstand. Etwaig abweichende Nebenabreden und frühere Vereinbarungen zum Vertragsgegenstand werden hiermit unwirksam.
2) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform, soweit nicht gesetzlich eine strengere Form vorgeschrieben ist. Dies gilt auch für jeden Verzicht auf das Formerfordernis.
3) Allgemeine Geschäftsbedingungen der Parteien finden auf diesen Vertrag keine Anwendung. Dies gilt auch dann, wenn auf deren Einbeziehung in späteren Dokumenten, die im Zusammenhang mit diesem Vertrag stehen (z.B. Abruf von Leistungen) unwidersprochen hingewiesen wurde.
4) Sollte eine Bestimmung dieses Vertrages ganz oder teilweise nichtig, unwirksam oder nicht durchsetzbar sein oder werden, oder sollte eine an sich notwendige Regelung nicht enthalten sein, werden die Wirksamkeit und die Durchsetzbarkeit aller übrigen Bestimmungen dieses Vertrages nicht berührt. Anstelle der nichtigen, unwirksamen oder nicht durchsetzbaren Bestimmung oder zur Ausfüllung der Regelungslücke werden die Parteien eine rechtlich zulässige Regelung vereinbaren, die so weit wie möglich dem entspricht, was die Parteien gewollt haben oder nach dem Sinn und Zweck dieses Vertrages vereinbart haben würden, wenn sie die Unwirksamkeit oder die Regelungslücke erkannt hätten. Beruht die Nichtigkeit einer Bestimmung auf einem darin festgelegten Maß der Leistung oder der Zeit (Frist oder Termin), so gilt die Bestimmung mit einem dem ursprünglichen Maß am nächsten kommenden rechtlich zulässigen Maß als vereinbart. Es ist der ausdrückliche Wille der Parteien, dass diese salvatorische Klausel keine bloße Beweislastumkehr zur Folge hat, sondern § 139 BGB insgesamt abbedungen ist.
5) Der Vertrag unterliegt allein dem schweizerischen Recht und dem anwendbaren Datenschutzrecht. Die Regelungen der DSGVO gehen dem schweizerischen Recht vor.
6) Alleiniger Gerichtsstand für alle Streitigkeiten im Zusammenhang mit dieser Vereinbarung ist der Sitz des Auftragnehmers.
Anlage 1
Technische und organisatorische Maßnahmen
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1) Zugangskontrolle – Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen haben.
a) Persönlicher und individueller User-Log-In bei Anmeldung
b)Autorisierungsprozess für Zugangsberechtigungen (Verwalten von Benutzerberechtigungen)
c) Begrenzung der befugten Benutzer
d)Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)
e) Protokollierung des Zugangs
f)Zusätzlicher System-Log-In für bestimmte Anwendungen
g)Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
h)Firewall (Server)
2) Zugriffskontrolle – Folgende implementierte Maßnahmen stellen sicher, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben.
a) Verwaltung und Dokumentation von differenzierten Berechtigungen
b)Abschluss von Verträgen zur Auftragsdatenverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von personenbezogenen Daten Gegenstand der Dienstleistung ist.
c) Auswertungen/Protokollierungen von Datenverarbeitungen
d)Einsatz Berechtigungskonzepte
e) Minimale Anzahl an Administratoren
f)Profile/Rollen
g)Vier-Augen-Prinzip
h)Verwaltung Benutzerrechte durch Administratoren
3) Trennungskontrolle – Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden.
a) Zugriffsberechtigungen nach funktioneller Zuständigkeit
b)Mandantenfähigkeit von IT-Systemen
c) Verwendung von Testdaten
d)Trennung von Entwicklungs- und Produktionsumgebung
e) sonstiges: Verschlüsselung der personenbezogenen Daten (inkl. Bildern) in der Datenbank
2. Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
1) Die personenbezogenen Daten wie Name, Adresse, Geburtsdatum werden durch eine eindeutige Identifikationsnummer ersetzt, so dass ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden kann.
2) Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesicherten System
3) Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren
3. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
1) Weitergabekontrolle – Es ist sichergestellt, dass personenbezogene Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, welche Personen oder Stellen personenbezogene Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:
a) E-Mail beinhalten keine persönlichen Angaben oder werden verschlüsselt
b)Gesicherter Datentransport (z.B. SSL, ftps, TLS)
c) Protokollierung von Datenübertragung oder Datentransport
d)Protokollierung von lesenden Zugriffen
e) Protokollierung des Kopierens, Veränderns oder Entfernens von Daten
f)Getunnelte Datenfernverbindungen (VPN = Virtuelles Privates Netzwerk) zur Fernwartung
2) Eingabekontrolle – Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer personenbezogene Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat.
a) Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
b)Manuelle oder automatisierte Kontrolle der Protokolle
c) Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen
d)Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
4. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle und Belastbarkeitskontrolle – Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind.
a) Sicherheitskonzept für Software- und IT-Anwendungen
b) Back-Up Verfahren
c) Gewährleistung der Datenspeicherung im gesicherten Netzwerk
d) Bedarfsgerechtes Einspielen von Sicherheits-Updates
5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
1) Datenschutz-Management – Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:
a) Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit
b)Bestellung eines Datenschutzbeauftragten
c) Verpflichtung der Mitarbeiter auf das Datengeheimnis
d)Hinreichende Schulungen der Mitarbeiter in Datenschutzangelegenheiten
e) Führen einer Übersicht über Verarbeitungstätigkeiten (Art. 30 DSGVO)
2) Incident-Response-Management – Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:
a) Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
b)Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Betroffenen (Art. 34 DSGVO)
6. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
1) Die default Einstellungen sind sowohl bei den standardisierten Voreinstellungen von Systemen und Apps als auch bei der Einrichtung der Datenverarbeitungsverfahren zu berücksichtigen. In dieser Phase werden Funktionen und Rechte konkret konfiguriert, wird im Hinblick auf Datenminimierung die Zulässigkeit bzw. Unzulässigkeit bestimmter Eingaben bzw. von Eingabemöglichkeiten (z. B. von Freitexten) festgelegt und über die Verfügbarkeit von Nutzungsfunktionen entschieden (z. B. hinsichtlich des Umfangs der Verarbeitung). Ebenso werden die Art und der Umfang des Personenbezugs bzw. der Anonymisierung (z. B. bei Selektions-, Export- und Auswertungsfunktionen, die festgelegt und voreingestellt oder frei gestaltbar zur Verfügung gestellt werden können) oder die Verfügbarkeit von bestimmten Verarbeitungsfunktionen, Protokollierungen etc. festgelegt (Nur notwendige Felder werden als Pflichtfelder herangezogen und markiert).
7. Auftragskontrolle
Durch folgende Maßnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können.
a) Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten des Auftragnehmers und Auftraggebers
b)Prozess zur Erteilung und/oder Befolgung von Weisungen
c) Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern
d)Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung
e) Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Auftragnehmer
f)Verpflichtung der Mitarbeiter auf das Datengeheimnis
g)Vereinbarung von Konventionalstrafen für Verstöße gegen Weisungen
h)formalisiertes Auftragsmanagement
Zusätzliche technische und organisatorische Maßnahmen durch Hosting-Provider HostEurope GmbH, Hansestr. 111, 51149 Köln, Germany
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1) Zutrittskontrolle I – Folgende implementierte Maßnahmen verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben:
a) Zutrittskontrollsystem, Ausweisleser (Magnet-/Chipkarte)
b)Türsicherungen (elektrische Türöffner, Zahlenschloss, etc.)
c) Sicherheitstüren / -fenster
d)Gitter vor Fenstern/Türen
e) Zaunanlagen
f)Schlüsselverwaltung/Dokumentation der Schlüsselvergabe
g)Werkschutz, Pförtner
h)Alarmanlage
i)Absicherung von Gebäudeschächten
j)Videoüberwachung
k) Spezielle Schutzvorkehrungen des Serverraums
l)Spezielle Schutzvorkehrungen für die Aufbewahrung von Back-Ups und/oder sonstigen Datenträgern
m) Nicht-reversible Vernichtung von Datenträgern
n)Mitarbeiter- und Berechtigungsausweise
o)Sperrbereiche
p)Besucherregelung (Bspw. Abholung am Empfang, Dokumentation von Besuchszeiten, Besucherausweis, Begleitung nach dem Besuch bis zum Ausgang)
2. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Verfügbarkeitskontrolle und Belastbarkeitskontrolle – Durch folgende Maßnahmen ist sichergestellt, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind.
a) Sicherheitskonzept für Software- und IT-Anwendungen
b) Back-Up Verfahren
c) Gewährleistung der Datenspeicherung im gesicherten Netzwerk
d) Bedarfsgerechtes Einspielen von Sicherheits-Updates
e) Einrichtung einer unterbrechungsfreien Stromversorgung (USV)
f). Brand- und/oder Löschwasserschutz des Serverraums
g) Brand- und/oder Löschwasserschutz der Archivierungsräumlichkeiten
h) Klimatisierter Serverraum
i) Virenschutz
j) Firewall
k) Notfallplan
l) Erfolgreiche Notfallübungen