Auftragsverarbeitungsvertrag (AVV)

Stand: 15.12.2023

Vereinbarung über die Datenverarbeitung im Auftrag bei der Nutzung der Kommunikationsplattform garrioCOM gem. Art. 28 DSGVO zwischen dem Auftraggeber und der Anbieterin

§ 1 Art und Zweck sowie Dauer der Datenverarbeitung im Auftrag

  1. Die Anbieterin verarbeitet im Rahmen der Nutzung von garrioCOM personenbezogene Daten, unter anderem auch Gesundheitsdaten, für den Auftraggeber.
  2. Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Vertrages über die Nutzung der Software garrioCOM.
  3. Der Auftraggeber bleibt im Rahmen des Auftrags für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, für die Wahrung der ärztlichen und insbesondere für die Rechtmäßigkeit der Datenweitergabe an die Anbieterin sowie für die Rechtmäßigkeit der Datenverarbeitung und der Einhaltung der Schweigepflicht verantwortlich.
  4. Neben den erforderlichen Daten des Auftraggebers und seiner Praxis/Praxisangestellten, die zur Anmeldung und Abwicklung des Vertrages über die Nutzung der Software garrioCOM dienen, nimmt die Anbieterin keinerlei Daten der Kommunikation zwischen Arzt und Patienten oder Arzt und Arzt im Rahmen der Nutzung der Dienste von garrio, d. h. keine Gesundheitsdaten oder beruflich entstandenen Daten des Auftraggebers, zur Kenntnis.

§ 2 Konkretisierung des Auftragsinhalts

Zweck der Auftragsverarbeitung durch die Anbieterin ist die einzelfallbezogene Verarbeitung von Daten der in garrioCOM vom Auftraggeber aufgenommenen und zur Nutzung der Patienten App eingeladenen Patienten, die dieser eigenverantwortlich erhoben, selbst erfasst, formuliert und gespeichert hat. Dazu werden diese Daten selektiert, entgegengenommen und auf Servern der Anbieterin geordnet und gespeichert.

§ 3 Gegenstand und Umfang der Datenverarbeitung

  1. Für die Durchführung der Dienste und Nutzung von garrioCOM werden folgende personenbezogene Daten der folgenden betroffenen Personen durch die Anbieterin verarbeitet:

    Versichertenstammdaten

    und Gesundheitsdaten im Sinne von Art. 9 Abs. 2 lit. h i. V. m. Abs. 3 DSGVO von Patienten, die vom Auftraggeber unter seiner beruflichen Verantwortung in der Kommunikationsplattform gespeichert werden. Insbesondere:

    – Angaben zur Person und Versicherungsinformationen zum Zweck der Identifikation und (Vertrags-) Verwaltung
    – Titel, Vorname, Mittel und Nachname, Geschlecht sowie Geburtsdatum des Patienten
    – Kontaktinformationen (Mobiltelefonnummer des Patienten oder einer weiteren Kontaktperson)
    – Informationen zur Krankenkasse, mit der das Versicherungsverhältnis des Patienten besteht, sowie Informationen zum Versicherungsverhältnis selbst auf Grundlage der Daten der elektronischen Gesundheitskarte (IK und Versicherten- Nummer)
    – Kommunikation, d.h. die von dem Auftraggeber für einen konkreten Behandlungszusammenhang als erforderlich angesehenen Anamnesedaten, Befunddaten, Diagnosedaten, Medikationsdaten sowie Therapiedaten) zwischen Praxis und Patient.

  2. Die Anbieterin übernimmt hierbei ab dem Punkt der Datenannahme die technischen Verarbeitungsvorgänge, die Bereitstellung von Speicherkapazität, Rechenleistung, die hierfür erforderliche Infrastruktur und die Systembetreuung.

§ 4 Qualitätssicherung und sonstige Pflichten der Anbieterin

Die Anbieterin unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen; insofern gewährleistet sie insbesondere die Einhaltung folgender Vorgaben:

  1. Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO wird durch die Anbieterin gewährleistet. Die Anbieterin setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.
  2. Die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden.
  3. Die Anbieterin wird den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde informieren, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung bei der Anbieterin ermittelt.
  4. Soweit der Auftraggeber seinerseits einer Kontrolle oder vorheriger Konsultation der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung bei der Anbieterin ausgesetzt ist, wird ihn die Anbieterin nach besten Kräften zu unterstützen.
  5. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach § 8 dieses Vertrages.
  6. Die Verpflichtung, dem Auftraggeber im Rahmen seiner Pflicht nach Kapitel 3 der DSGVO gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich zur Verfügung zu stellen.
  7. Die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung.
  8. Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten der Anbieterin zurückzuführen sind, kann die Anbieterin eine Vergütung beanspruchen.

§ 5 Technische und organisatorische Maßnahmen

  1. Die Anbieterin hat die Sicherheit der Daten, insbesondere die Maßnahmen gem. Art. 28 Abs. 3 lit. c, 32 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.
  2. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es der Anbieterin gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
  3. Die technischen und organisatorischen Maßnahmen können vom Auftraggeber beim Auftragnehmer angefordert und eingesehen werden.

§ 6 Weisungsbefugnis des Auftraggebers

  1. Die Anbieterin verpflichtet sich, die Verarbeitung der Daten ausschließlich im Rahmen dieses Auftrags oder nach Weisungen des Auftraggebers durchzuführen. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mindestens in Textform).
  2. Die Anbieterin hat die Weisungen des Auftraggebers hinreichend zu dokumentieren.
  3. Die Anbieterin hat den Auftraggeber unverzüglich zu informieren, wenn sie der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Die Anbieterin ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

§ 7 Berichtigung, Einschränkung und Löschung von Daten

  1. Die Anbieterin darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an die Anbieterin wendet, wird die Anbieterin dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
  2. Soweit vom Leistungsumfang umfasst, sind Löschung, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch die Anbieterin sicherzustellen.

§ 8 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber hat das Recht, die Anbieterin jederzeit hinsichtlich der datenschutzrechtlichen Verpflichtungen zu kontrollieren.

§ 9 Unterauftragsverhältnisse

  1. Die Anbieterin ist verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers, seines Personals und insbesondere seiner Patienten auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen abzuschließen sowie Vorkehrungen zu treffen und Kontrollmaßnahmen zu ergreifen.
  2. Die Anbieterin setzt folgende Unterauftragnehmer zur Verarbeitung der Daten im Auftrag ein:
    – MEDIVERBUND AG, Liebknechtstraße 29, 70565 Stuttgart
    – Bayerische TelemedAllianz GmbH, Brückenstr. 13a, 85107 Baar-Ebenhausen
    Darüber hinaus darf die Anbieterin weitere Unterauftragnehmer (Auftragsverarbeiter) zur Vertragserfüllung im Rahmen der rechtlichen Auflagen und Rahmenbedingungen beauftragen. Unterauftragnehmer mit Sitz im Ausland, dürfen nur dann herangezogen werden, wenn der dort bestehende Schutz der Geheimnisse dem Schutz im Inland vergleichbar ist.
  3. Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen der gesetzlichen Voraussetzungen für eine Unterbeauftragung gestattet.

§ 10 Beendigung und Rückgabe von personenbezogenen Daten

  1. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt und dauerhaft gespeichert. Hiervon ausgenommen sind Kopien oder Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
  2. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat die Anbieterin sämtliche in ihren Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
  3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch die Anbieterin entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie nach seiner zu erklärenden Entlastung bei Vertragsende dem Auftraggeber übergeben.