(1) Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch die innnow GmbH (im Folgenden: „Auftragsverarbeiterin“) im Auftrag des Krankenhauses bzw. der Einrichtung (im Folgenden: „Verantwortlicher“).
(2) Die Auftragsverarbeiterin erbringt für den Verantwortlichen Leistungen im Zusammenhang mit der Bereitstellung und dem Betrieb der innnow-Plattform. Einzelheiten zu Art, Umfang und Funktionalitäten der Leistungen ergeben sich aus dem zwischen den Parteien geschlossenen Vertrag über die Nutzung der innnow-Plattform (im Folgenden: „Hauptvertrag“), insbesondere dem jeweiligen Angebot der Auftragsverarbeiterin.
(3) Die Dauer dieses Vertrages richtet sich nach der Laufzeit des zugrunde liegenden Hauptvertrags zwischen den Parteien. Er beginnt mit Unterzeichnung und endet mit der vollständigen Beendigung aller vertraglichen Leistungen und der Löschung bzw. Rückgabe der personenbezogenen Daten gemäß § 10 dieses Vertrages.
(1) Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zur Durchführung interner Feedback-, Evaluations- und Analyseprozesse des Verantwortlichen im Rahmen der Nutzung der innnow-Plattform. Sie umfasst je nach Nutzung insbesondere die Erhebung, Speicherung, Strukturierung und Auswertung personenbezogener Daten sowie die Bereitstellung entsprechender Auswertungen, Reports und Dashboards gemäß Hauptvertrag und den Weisungen des Verantwortlichen.
(2) Eine Verarbeitung zu eigenen Zwecken der Auftragsverarbeiterin oder zu Zwecken Dritter, insbesondere zu Werbe-, Profilbildungs- oder Vermarktungszwecken, findet nicht statt. Die Nutzung vollständig anonymisierter Daten zur Verbesserung der Plattform, zur Weiterentwicklung von Funktionen oder für statistische Zwecke bleibt hiervon unberührt.
(1) Im Rahmen der Auftragsverarbeitung werden insbesondere folgende Kategorien personenbezogener Daten verarbeitet:
(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO ist nicht vorgesehen. Der Verantwortliche stellt sicher, dass keine Patientendaten oder sonstigen besonderen Kategorien personenbezogener Daten in die Plattform eingegeben werden.
(3) Von der Verarbeitung betroffen sind insbesondere:
(1) Der Verantwortliche ist im Verhältnis zur Auftragsverarbeiterin für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten sowie für die Wahrung der Rechte der betroffenen Personen nach der DSGVO verantwortlich.
(2) Der Verantwortliche sorgt insbesondere für die rechtmäßige Einbindung der betroffenen Personen, insbesondere der Mitarbeitenden (einschließlich der Erfüllung der Informationspflichten gemäß Art. 13 und 14 DSGVO sowie gegebenenfalls der Einbindung der Arbeitnehmervertretung), und stellt sicher, dass die Nutzung der Plattform im Einklang mit arbeitsrechtlichen, kollektivrechtlichen und internen Vorgaben steht.
(3) Der Verantwortliche ist berechtigt, Weisungen hinsichtlich Art, Umfang und Verfahren der Verarbeitung zu erteilen. Weisungen sind grundsätzlich in Textform (z. B. per E-Mail) zu erteilen; in Eilfällen mündlich erteilte Weisungen sind unverzüglich in Textform zu bestätigen.
(1) Die Auftragsverarbeiterin verarbeitet personenbezogene Daten ausschließlich im Rahmen dieses Vertrages und der dokumentierten Weisungen des Verantwortlichen.
(2) Die Auftragsverarbeiterin stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(3) Die Auftragsverarbeiterin ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen. Die zum Zeitpunkt des Vertragsschlusses implementierten Maßnahmen sind in Anlage 2 (Technische und organisatorische Maßnahmen) beschrieben.
(4) Die Auftragsverarbeiterin unterstützt den Verantwortlichen bei der Erfüllung von Pflichten hinsichtlich der Sicherheit der Verarbeitung, der Meldung von Verletzungen des Schutzes personenbezogener Daten und ggf. der Datenschutz-Folgenabschätzung, soweit dies jeweils erforderlich und in angemessenem Umfang möglich ist.
(1) Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen. Dies gilt auch für eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern eine solche Übermittlung nicht nach dem Recht der Union oder der Mitgliedstaaten, dem die Auftragsverarbeiterin unterliegt, vorgeschrieben ist.
(2) Mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Die Auftragsverarbeiterin informiert den Verantwortlichen unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt.
(1) Die Auftragsverarbeiterin setzt für bestimmte Verarbeitungstätigkeiten Unterauftragnehmer ein. Eine jeweils aktuelle Liste der eingesetzten Unterauftragnehmer einschließlich Verarbeitungszweck, Standort und verarbeiteter Datenarten ist öffentlich unter innnow.de/subunternehmer einsehbar (Anlage 1). Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für den Einsatz dieser Unterauftragnehmer.
(2) Die Auftragsverarbeiterin informiert den Verantwortlichen über geplante Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern mit einer Vorlauffrist von mindestens 30 Tagen in Textform (z. B. per E-Mail an die im Hauptvertrag genannte Kontaktadresse und/oder durch Aktualisierung der vorgenannten Liste). Der Verantwortliche kann einer geplanten Änderung innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund in Textform widersprechen.
(3) Die Auftragsverarbeiterin ist verpflichtet, mit allen Unterauftragnehmern einen Vertrag gemäß Art. 28 DSGVO abzuschließen und sicherzustellen, dass diese die gleichen Datenschutzpflichten übernehmen, wie sie in diesem Vertrag festgelegt sind.
(1) Die Auftragsverarbeiterin trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei werden insbesondere die Kriterien des Art. 32 DSGVO berücksichtigt.
(2) Die zum Zeitpunkt des Vertragsschlusses bestehenden Maßnahmen sind in Anlage 2 beschrieben. Die Auftragsverarbeiterin ist berechtigt, die Maßnahmen weiterzuentwickeln bzw. zu ändern, sofern das Schutzniveau nicht unterschritten wird.
(1) Die Auftragsverarbeiterin unterstützt den Verantwortlichen, soweit möglich, bei der Erfüllung der Pflichten gegenüber betroffenen Personen (z. B. Auskunft, Berichtigung, Löschung, Datenexport) gemäß Art. 15–22 DSGVO, indem sie die hierfür erforderlichen technischen Informationen bereitstellt oder die notwendigen Verarbeitungsschritte durchführt. Eine direkte Kommunikation mit betroffenen Personen durch die Auftragsverarbeiterin erfolgt nicht.
(2) Die Auftragsverarbeiterin unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 33 und 34 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten und Benachrichtigung der betroffenen Personen), indem sie dem Verantwortlichen unverzüglich alle erforderlichen Informationen zur Verfügung stellt.
(1) Nach Abschluss der vertraglich vereinbarten Leistungen oder spätestens nach Beendigung des zugrunde liegenden Hauptvertrags wird die Auftragsverarbeiterin alle personenbezogenen Daten nach Weisung des Verantwortlichen entweder löschen oder – sofern vereinbart – in einem gängigen Format zurückgeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
(2) Elektronische Backups, die aus technischen Gründen nur mit unverhältnismäßigem Aufwand separat gelöscht werden können, werden nach Ablauf der jeweiligen Backup-Zyklen überschrieben. Bis dahin werden sie von einer produktiven Nutzung ausgeschlossen und vor unbefugtem Zugriff geschützt.
(3) Die Durchführung der Löschung dokumentiert die Auftragsverarbeiterin intern und stellt dem Verantwortlichen auf Anfrage eine Bestätigung zur Verfügung, soweit dies ohne unverhältnismäßigen Aufwand möglich ist.
(1) Die Auftragsverarbeiterin stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesem Vertrag niedergelegten Pflichten nachzuweisen.
(2) Der Verantwortliche ist berechtigt, Audits zur Überprüfung der Einhaltung der datenschutzrechtlichen Vorgaben durchzuführen. Audits erfolgen grundsätzlich remote (z. B. durch Einsicht in Dokumentation, Berichte, Nachweise).
(3) Vor-Ort-Audits sind nur zulässig, wenn eine gesetzliche Verpflichtung besteht oder ein konkreter, begründeter Verdacht auf eine erhebliche Datenschutzverletzung vorliegt und ein Remote-Audit nicht ausreicht. Der Verantwortliche berücksichtigt bei der Durchführung von Audits die Betriebsabläufe der Auftragsverarbeiterin; unverhältnismäßige oder wiederholte Audits können abgelehnt werden.
(1) Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(2) Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Regelung gilt eine wirksame Regelung als vereinbart, die dem wirtschaftlichen Zweck am nächsten kommt.
(3) Es gilt deutsches Recht. Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz der innnow GmbH.
Die jeweils aktuelle Liste der eingesetzten Unterauftragnehmer einschließlich Verarbeitungszweck, Standort/Region und verarbeiteter Datenarten ist öffentlich unter innnow.de/subunternehmer einsehbar. Änderungen werden gemäß § 7 (2) dieses Vertrages mit einer Vorlauffrist von mindestens 30 Tagen angekündigt.
Die Auslagerung der Liste aus diesem Vertragsdokument dient der Transparenz und der zeitnahen Information des Verantwortlichen über Änderungen, ohne dass hierfür ein formeller Vertragsnachtrag erforderlich wird.
Die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen stellen das von der Auftragsverarbeiterin implementierte Sicherheitsniveau gemäß Art. 32 DSGVO dar. Die Maßnahmen werden regelmäßig überprüft und bei Bedarf angepasst.
| Nr. | Kategorie | Ziel / Schutzbereich | Wesentliche Maßnahmen |
|---|---|---|---|
| 1 | Zutrittskontrolle | Schutz der Rechenzentren vor unbefugtem physischem Zutritt | Betrieb in nach anerkannten Sicherheitsstandards zertifizierten Rechenzentren (z. B. ISO 27001); physische Zugangskontrolle durch Berechtigungssysteme; 24/7-Überwachung; Videoüberwachung und Alarmsysteme; dokumentierte Besucherregelungen und Schlüssel-/Badgeverwaltung. |
| 2 | Zugangskontrolle | Verhindern unbefugter Systemzugriffe | Individuelle Benutzerkonten; starke Passwort-Richtlinien; TLS-verschlüsselte Verbindungen (HTTPS); Firewall- und Netzwerksegmentierung; automatische Session-Timeouts und Sperrung bei wiederholten Fehlversuchen. |
| 3 | Zugriffskontrolle | Sicherstellen, dass nur Berechtigte Daten verarbeiten | Rollen- und Rechtekonzept (Role Based Access Control); Trennung von Admin- und Standard-Accounts; Vergabe von Berechtigungen nach dem Need-to-know-Prinzip; regelmäßige Überprüfung von Berechtigungen; Protokollierung administrativer Zugriffe und sicherheitsrelevanter Aktionen. |
| 4 | Weitergabekontrolle | Verhindern unbefugter Weitergabe oder Übermittlung von Daten | Verschlüsselte Datenübertragung (TLS ≥ 1.2); Einsatz ausschließlich vertraglich gebundener Unterauftragnehmer gem. Art. 28 DSGVO; Einsatz einer vorgeschalteten Sicherheits- und Schutzschicht zur Absicherung der Verbindung und zum Schutz vor Angriffen (vgl. Anlage 1 bzw. innnow.de/subunternehmer). Es werden ausschließlich technische Verbindungsdaten verarbeitet; Inhalte werden weder entschlüsselt noch dauerhaft gespeichert. |
| 5 | Eingabekontrolle | Nachvollziehbarkeit von Erfassung, Änderung und Löschung | Protokollierung relevanter Systemereignisse; Audit-Logs für sicherheitsrelevante Vorgänge; interne Richtlinien zur Nutzung von Administrationszugängen; bei Bedarf Auswertung von Logs im Rahmen von Vorfallanalysen. |
| 6 | Auftragskontrolle | DSGVO-konforme Verarbeitung im Auftrag | Abschluss von Auftragsverarbeitungsverträgen mit allen Subdienstleistern; dokumentierte Weisungsprozesse; interne Datenschutzrichtlinien und Schulungen; regelmäßige Prüfung der Einhaltung vertraglicher und gesetzlicher Vorgaben bei Unterauftragnehmern. |
| 7 | Verfügbarkeitskontrolle & Resilienz | Schutz vor Datenverlust und Ausfall | Redundante Server- und Speichersysteme; regelmäßige Backups mit definierten Aufbewahrungsfristen; Monitoring und automatische Alarmierung; Notfall- und Wiederanlaufkonzepte; Einsatz von Schutzmechanismen gegen Überlastungs- und Angriffsversuche (z. B. DDoS-Schutz). |
| 8 | Trennungsgebot | Trennung von Daten verschiedener Kunden und Umgebungen | Mandantenfähige Architektur; logische Trennung pro Einrichtung/Kunde; getrennte Entwicklungs-, Test- und Produktionsumgebungen; kein Einsatz von Echtdaten in Testumgebungen; restriktive Rechtevergabe zwischen Mandanten. |
| 9 | Datenschutz durch Technikgestaltung | Minimierung und Schutz personenbezogener Daten | Datensparsamkeit (Erhebung nur erforderlicher Daten); Verzicht auf Patientendaten und Gesundheitsdaten in der Anwendung; Pseudonymisierung, wo sinnvoll möglich; datenschutzfreundliche Voreinstellungen (Privacy by Default); Verschlüsselung von Daten „in transit“ und – soweit eingesetzt – „at rest“. |
| 10 | Regelmäßige Überprüfung | Sicherstellung und Verbesserung des Sicherheitsniveaus | Regelmäßige Überprüfung der TOM; Anpassung bei geänderten technischen oder rechtlichen Anforderungen; Sicherheitsreviews; bei Bedarf externe Sicherheits- oder Penetrationstests; Dokumentation und Nachverfolgung sicherheitsrelevanter Maßnahmen und Vorfälle. |
Fragen zu diesem AVV oder Wunsch nach einem individuell unterzeichneten Exemplar? Melden Sie sich unter datenschutz@innnow.de.