Rechtliche Hinweise
Vereinbarung über die Datenverarbeitung
Dieser Auftragsverarbeitungsvertrag („AVV“) legt die Bedingungen fest, unter denen Marken personenbezogene Daten für die Erbringung der zwischen Marken und dem Kunden vereinbarten Dienstleistungen (die „Dienstleistungen“) verarbeitet.
1. Marken und der Kunde verarbeiten personenbezogene Daten in Übereinstimmung mit den geltenden lokalen Gesetzen, Erlassen, Vorschriften, Anordnungen, Standards und anderen ähnlichen Instrumenten, einschließlich der Datenschutz-Grundverordnung 2016/679 („DSGVO“), der britischen DSGVO, des Health Insurance Portability and Accountability Act von 1996 („HIPAA“) und aller anderen anwendbaren Gesetze (zusammen die „Datenschutzgesetze“).
2. In dieser Vereinbarung haben die Begriffe „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“, „Verarbeiter“, „Verantwortlicher“, „Gesundheitsdaten“, „sensible Daten“ oder „geschützte Gesundheitsdaten (PHI)“ die in den Datenschutzgesetzen festgelegten Bedeutungen. „Servicedaten“ sind alle personenbezogenen Daten von Patienten, die von Marken im Auftrag des Kunden verarbeitet werden.
3. Marken und der Kunde vereinbaren Folgendes:
- Der Kunde ist der Verantwortliche oder handelt im Namen des Verantwortlichen, und Marken fungiert als Auftragsverarbeiter in Bezug auf Servicedaten;
- Der Kunde ist allein dafür verantwortlich, den Zweck und die Art und Weise der Verarbeitung von Servicedaten zu bestimmen, und der Kunde verlangt von Marken nur die Verarbeitung von Servicedaten, die für die Erbringung der Dienstleistungen notwendig, genau, angemessen und relevant sind und nicht darüber hinausgehen;
- Erhält Marken oder der Kunde eine Anfrage oder Beschwerde einer betroffenen Person oder einer Regulierungs-/Aufsichtsbehörde gemäß den Datenschutzgesetzen in Bezug auf die Servicedaten, die Marken die Verarbeitung der Servicedaten oder die Erbringung der Dienstleistungen untersagt, so gilt dies nicht als Vertragsverletzung seitens Marken, wenn Marken einer gültigen Anfrage, Anweisung oder Verfügung nachkommt.
4. Marken wird:
- die Servicedaten nur in Übereinstimmung mit den schriftlichen Anweisungen des Kunden und nur in dem Umfang verarbeiten, der für die Erbringung der Dienstleistungen angemessenerweise erforderlich ist;
- keine Servicedaten an Dritte weitergeben, es sei denn, dies ist für die Erbringung der Services, zur Einhaltung geltender Gesetze oder mit vorheriger Zustimmung des Kunden erforderlich;
- mit dem Kunden zusammenarbeiten, soweit dies anwendbar und vernünftigerweise erforderlich ist, damit der Kunde die Verantwortung des Kunden als Datenverantwortlicher gemäß den Datenschutzgesetzen angemessen wahrnehmen kann.
- geeignete technische und organisatorische Maßnahmen ergreifen, um:
- Servicedaten vor versehentlicher oder unrechtmäßiger Zerstörung oder versehentlichem Verlust, Änderung, unbefugter Offenlegung, unbefugtem Zugriff oder Verarbeitung zu schützen; und
- den Zugriff auf Servicedaten auf Mitarbeiter zu beschränken, die Zugriff darauf benötigen, damit Marken Dienstleistungen für den Kunden erbringen kann. Marken stellt sicher, dass alle Mitarbeiter, die Servicedaten verarbeiten, angemessene Datenschutzverpflichtungen eingegangen sind und einer Geheimhaltungspflicht unterliegen.
- den Kunden unverzüglich schriftlich über:
- jede Anfrage oder Beschwerde einer betroffenen Person oder Regulierungs-/Aufsichtsbehörde gemäß den Datenschutzgesetzen in Bezug auf oder in Verbindung mit Servicedaten, die von Marken im Auftrag des Kunden verarbeitet werden. Marken wird mit dem Kunden zusammenarbeiten und ihn in Bezug auf alle Anfragen oder Beschwerden, die gemäß den Datenschutzgesetzen eingehen, angemessen unterstützen.
- tatsächlichen Verlust, versehentliche oder unrechtmäßige Zerstörung, Beschädigung und/oder unbefugte Offenlegung, unbefugten Zugriff oder Verarbeitung von Dienstdaten, einschließlich angemessener Einzelheiten darüber.
- alle von Marken im Auftrag des Kunden im Zusammenhang mit diesem AVV verarbeiteten Servicedaten löschen oder zurückgeben, sofern nicht gesetzlich oder behördlich auf schriftliche Anweisung des Kunden etwas anderes bestimmt ist.
5. Der Kunde sichert zu und gewährleistet, dass:
- die Rechtsgrundlagen, auf denen die Verarbeitung von Servicedaten in Übereinstimmung mit den Datenschutzgesetzen beruht, Marken (und seinen Subunternehmern) (i) die rechtmäßige Verarbeitung von Servicedaten in Übereinstimmung mit der Erbringung der Dienstleistungen von Marken an den Kunden gestattet und (ii) die Übertragung und Speicherung von Servicedaten außerhalb der Gerichtsbarkeit gestattet, in der sie zum Zweck der Erbringung der Dienstleistungen oder als Teil der internen Datenspeicherungsverfahren von Marken erhoben wurden (wobei solche personenbezogenen Daten auf Servern in Westeuropa gespeichert werden). Der Kunde erkennt an, dass er in den Fällen, in denen er sich auf die Einwilligung als anwendbare Rechtsgrundlage für die Verarbeitung von Servicedaten beruft, eine gültige, ausdrückliche und freiwillig erteilte Einwilligung zur Verarbeitung seiner personenbezogenen Daten durch Marken eingeholt hat, und dass die betroffenen Personen alle notwendigen Informationen erhalten haben, um eine informierte, objektive Entscheidung darüber treffen zu können, ob sie Marken die Verarbeitung ihrer personenbezogenen Daten gestatten, einschließlich des Hinweises, dass ihre personenbezogenen Daten in Länder übermittelt werden können, die möglicherweise nicht so strenge örtliche Datenschutzverpflichtungen haben wie die Länder, aus denen die Servicedaten stammen.
- soweit die Servicedaten PHI enthalten (oder anderweitig enthalten würden), jeder Patient eine gültige HIPAA-Genehmigung vorgelegt hat, die die Verarbeitung seiner geschützten Gesundheitsinformationen zum Zwecke der Bereitstellung der Dienste erlaubt.
6. Der Kunde wird keine Servicedaten an Marken übermitteln oder anderweitig offenlegen, es sei denn, dies ist für Marken erforderlich, um die Dienstleistungen zu erbringen.
7. Marken ist in Bezug auf den Umfang, in dem Marken berechtigt ist, personenbezogene Daten zu nutzen und zu verarbeiten, von den Anweisungen des Kunden abhängig. Folglich haftet Marken nicht für Ansprüche, die von einer betroffenen Person aufgrund von Handlungen oder Unterlassungen von Marken geltend gemacht werden, soweit diese Handlungen oder Unterlassungen unmittelbar auf die Anweisungen des Kunden zurückzuführen sind.
8. Für den Fall, dass der Kunde Marken auffordert, Berichte, Aufzeichnungen, Listen oder Aufstellungen im Zusammenhang mit den Dienstleistungen zur Verfügung zu stellen, die personenbezogene Daten enthalten (mit Ausnahme der Daten von Mitarbeitern oder Auftragnehmern von Marken), hat der Kunde sichergestellt, dass es eine gültige Rechtsgrundlage für die Erstellung und Bereitstellung solcher Berichte gibt, und dass die Verwendung solcher Berichte durch den Kunden in Übereinstimmung mit dem geltenden Recht erfolgt.
9. Wenn der Kunde personenbezogene Daten im Auftrag von Marken verarbeitet, insbesondere personenbezogene Daten von Mitarbeitern, Personal und Subunternehmern („Daten von Marken“), stellt der Kunde sicher, dass (a) er über angemessene Sicherheitsmaßnahmen zum Schutz der Daten von Marken verfügt und (b) er die Daten von Marken nicht ohne Zustimmung von Marken außerhalb der Gerichtsbarkeit, in der sie erhoben wurden, übermittelt. Der Kunde hat Marken über jede Datenschutzverletzung oder vermutete Datenschutzverletzung zu informieren, die Daten von Marken betrifft, sobald er von der Datenschutzverletzung Kenntnis erlangt oder diese vermutet.
Letzte Aktualisierung: Mai 2024
Das Verständnis dafür, warum wir uns anpassen müssen, und die ständige Frage, wie wir das, worauf es ankommt, verändern können, sind die Grundlage dafür, dass wir weiterhin erfolgreich sein können.
Anmelden und Quick-Links