Teil B
1.Geltungsbereich
Diese Bedingungen gelten auch für alle zukünftigen Geschäfte zwischen den Parteien, soweit es sich um Rechtsgeschäfte verwandter Art handelt. Entgegenstehende abweichende Bedingungen der Firmen werden nur anerkannt, wenn deren Geltung ausdrücklich schriftlich von DPV zugestimmt wurde.
2. Angebot und Vertragsabschluss
Die Präsentation und die Bewerbung der Dienstleistungen im Onlineshop stellen kein verbindliches Angebot zum Abschluss eines Vertrages dar, sondern dienen zur Abgabe eines verbindlichen Angebots auf Abschluss eines Vertrages-. Sofern eine Bestellung als Angebot gemäß Paragraf 145 BGB anzusehen ist, kann diese innerhalb von zwei Wochen von DPV angenommen werden.
3. Leistungsinhalt
DPV überlässt der Firma auf unbestimmte Zeit die mit Seriennummer in der Anlage zum Angebot aufgeführten EKG Devices ritmo („ritmo“) sowie die für das Aufladen und den Datenupload notwendigen Ladeschalen inklusive Verbindungskabel zur bestimmungsgemäßen Nutzung. Mit ritmo können Langzeit-EKG-Daten aufgezeichnet werden. Nach dem Upload der Messdaten über die Internetseite portal.dpv-analytics.com und der Analyse durch das Diagnostik-Zentrum der DPV wird der Firma das ärztlich validierte Ergebnis zum Download bzw. zur Übernahme in ihr Praxisverwaltungssystem (PVS) bereitgestellt (soweit das Praxisverwaltungssystem eine entsprechende Schnittstelle aufweist).
4. Systemanforderungen
Erforderlich sind ein Computer mit einem Betriebssystem Windows 7 oder höher mit 64-Bit (x64), einer Prozessorleistung von mind. 1 Gigahertz (1 Ghz) bei einem Arbeitsspeicher von mind. 2 GB RAM, einem verfügbaren Speicherplatz von mind. 20 GB, einer Grafikkarte Direct X-9 mit WDDM 1.0 oder höherem Treiber und einem USB-Port 1.1. oder höher. Die Internetverbindung sollte im Upload mindestens 25 MB/s erreichen.
5. Überlassene Unterlagen
An allen in Zusammenhang mit der Auftragserteilung den Firmen überlassenen Unterlagen – auch in elektronischer Form –, wie z. B. Kalkulationen, Zeichnungen etc., behält sich DPV Eigentums- und Urheberrechte vor. Diese Unterlagen dürfen Dritten nicht zugänglich gemacht werden, es sei denn, DPV erteilt dazu den Firmen eine ausdrückliche schriftliche Zustimmung.
6. Vergütung und Zahlung
Die Vergütung hängt davon ab, ob sich die Firma für ein „Per-per-Use-Modell“ oder ein „Flat-Fee-Modell“ entscheidet.
Beim Flat-Fee-Modell zahlt die Firma an DPV für jeden überlassenen ritmo monatlich einen Pauschalbetrag, mit dem alle EKG Auswertungen im Monatszeitraum abgegolten sind.
Beim Per-Per-Use-Modell zahlt die Firma an DPV für jeden überlassenen ritmo monatlich einen Pauschalbetrag als Grundgebühr. Hinzu kommt eine Vergütung pro Diagnostik.
Die für den ritmo entwickelten Single Patch Elektroden werden gesondert vergütet und zum Selbstkostenpreis berechnet.
Sofern nichts Gegenteiliges schriftlich vereinbart wird, gelten alle Preise ab Hamburg ausschließlich Versand und zuzüglich Umsatzsteuer in jeweils gültiger Höhe. Versandkosten werden gesondert in Rechnung gestellt.
Die Abrechnung der Vergütung erfolgt monatlich. Die Zahlung der Vergütung hat primär per Kreditkarte oder SEPA Lastschrift zu erfolgen. Eine Zahlung im Wege der Banküberweisung auf das auf der Rechnung genannte Konto bedarf der Zustimmung von DPV. Der Abzug von Skonto ist nicht zulässig.
Sofern keine Festpreisabrede getroffen wurde, bleiben angemessene Preisänderungen wegen veränderter Lohn- Material- und Vertriebskosten für Lieferungen, die 3 Monate oder später nach Vertragsabschluss erfolgen, vorbehalten.
7. Zurückbehaltungsrechte
Zur Ausübung eines Zurückbehaltungsrechts sind die Firmen nur insoweit befugt, als ein Gegenanspruch auf dem gleichen Vertragsverhältnis beruht.
8. Laufzeit und Lieferzeit
Diese Vereinbarung kann von beiden Parteien mit einer Frist von einem (1) Monat gekündigt werden. Ungeachtet der Kündigung kann DPV Analytics das jeweilige Nutzungsentgelt bis zum Zeitpunkt der Rückgabe des betreffenden EKG-Geräts verlangen, wenn die Rückgabe später als sieben Tage Beendigung des Vertrages erfolgt.
Der Beginn der von DPV angegebenen Lieferzeit für den ritmo setzt die rechtzeitige und ordnungsgemäße Erfüllung der Verpflichtungen der Firma voraus. Die Einrede des nicht erfüllten Vertrages bleibt vorbehalten.
Kommt die Firma in Annahmeverzug oder verletzt sie schuldhaft sonstige Mitwirkungspflichten, so ist DPV berechtigt, den insoweit entstehenden Schaden, einschließlich etwaiger Mehraufwendungen ersetzt zu verlangen. Weitergehende Ansprüche bleiben vorbehalten. Sofern vorstehende Voraussetzungen vorliegen, geht die Gefahr eines zufälligen Untergangs oder einer zufälligen Verschlechterung des Equipments in dem Zeitpunkt auf die Firma über, die in Annahme- oder Schuldnerverzug geraten ist.
DPV haftet im Fall des von ihm nicht vorsätzlich oder grob fahrlässig herbeigeführten Verzugs maximal mit 15 % des Auftragswertes.
Weitere gesetzliche Ansprüche und Rechte der Firmen wegen eines Verzuges bleiben unberührt.
9. Eigentum und Rückgabe
DPV behält jederzeit das Eigentum an dem ritmo. Dies gilt auch für alle zukünftigen Lieferungen, auch wenn sich DPV nicht stets ausdrücklich hierauf beruft.
Die Firma ist verpflichtet, den ritmo pfleglich zu behandeln. Die Firma hat DPV unverzüglich schriftlich zu benachrichtigen, wenn der ritmo gepfändet oder sonstigen Eingriffen Dritter ausgesetzt ist. Soweit der Dritte nicht in der Lage ist, DPV die gerichtlichen und außergerichtlichen Kosten einer Klage gemäß Paragraf 771 ZPO zu erstatten, haftet die Firma für den entstandenen Ausfall.
Die Rückgabe des ritmo nach Vertragsbeendigung erfolgt durch Rücksendung der EKG-Geräte an die DPV Analytics oder an jede andere Adresse, die DPV Analytics vorgibt (der „Rückgabeort“). Die Firma trägt die Kosten der Rücksendung Wird ein ritmo in einem Zustand zurückgeliefert, der ergibt, dass der Nutzer seiner Unterhaltungspflichten nicht nachgekommen ist, hat er die Vergütung auch für die Zeit zu entrichten, die zur Durchführung der erforderlichen Reparaturen nötig ist. Die Reparaturen werden von DPV Analytics ausgeführt, die Kosten trägt die Firma.
10. Gewährleistung und Mängelrüge sowie Rückgriff
Mängelansprüche verjähren in 12 Monaten nach Erbringung der Leistung. Für Schadensersatzansprüche bei Vorsatz und grober Fahrlässigkeit sowie bei Verletzung von Leben, Körper und Gesundheit, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung sowie bei der Verletzung von Kardinalpflichten, gilt die gesetzliche Verjährungsfrist.
Rückgriffsansprüche der Firmen gegen DPV bestehen nur insoweit, als die Firma keine über die gesetzlich zwingenden Mängelansprüche hinausgehenden Vereinbarungen getroffen hat.
11. Datenschutz und Auftragsverarbeitung
DPV verarbeitet Daten im Auftrag der Firma. Es gelten die Regelungen des Auftragsverarbeitungsvertrags, der als Anlage Teil dieser Vereinbarung ist. Die Firma ist dafür verantwortlich, erforderliche Einwilligungen von den Patienten einzuholen. Hierzu werden die Hinweise in der Anlage zur Verfügung gestellt, ohne jedoch für deren rechtliche Richtigkeit zu haften.
12. Schlussbestimmungen
Für diese AGB und die Vertragsbeziehung zwischen den Parteien gilt das Recht der Bundesrepublik Deutschland unter Ausschluss internationalen Einheitsrechts, insbesondere des UN-Kaufrechts.
Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus diesem Vertrag ist Hamburg.
Anlage: Patienteninformation und Einwilligung
Ihre EKG-Daten werden von der DPV Analytics GmbH, Schloßstraße 12, 22041 Hamburg, („DPV“) als Auftragsverarbeiter ausgewertet.
DPV ist ein von Ärzten gegründetes Unternehmen. Wir informieren Sie im Folgenden, was mit Ihren EKG-Daten passiert und welche Rechte Sie insoweit haben.
Die anhand des auf der Haut befestigten „Recorders“ erhobenen EKG-Daten werden über ein USB-Interface direkt in das CE-zertifiziertes IT-System von DPV eingegeben und von DPV diagnostisch befundet. Jeder Mitarbeiter von DPV unterliegt der Schweigepflicht und wird hierüber belehrt. DPV nutzt EKG-Daten in pseudonymisierter und anonymisierter Form im Rahmen der eigenen Forschung zur Entwicklung und Verbesserung der Dienstleistung. Die EKG-Daten werden von uns als ärztliche Aufzeichnungen für eine Dauer von zehn (10) Jahren gespeichert, sofern nicht eine längere gesetzliche Aufbewahrungsfrist gilt. Die Daten werden von DPV nicht für eine automatisierte Entscheidungsfindung genutzt.
Sie haben hinsichtlich Ihrer Daten ggf. die Rechte gemäß Art. 15 (Auskunft), Art. 16 (Berichtigung) Art. 17 (Löschung), Art 18 (Einschränkung der Verarbeitung), Art. 20 (Datenübertragbarkeit), Art. 21 (Widerspruchsrecht) und Art. 77 (Recht, sich ggf. bei einer Aufsichtsbehörde zu beschweren) der EU-Datenschutz-Grundverordnung (DSGVO).
Hiermit willige ich ein, dass im Rahmen der Analyse meiner EGK Daten Gesundheitsdaten verarbeitet werden. Meine Einwilligung kann ich jederzeit widerrufen.
Anlage: Auftragsverarbeitungsvertrag
Präambel
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung („DSGVO“). Dieser Auftragsverarbeitungsvertrag („Vertrag“) konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag beschriebenen Auftragsdatenverarbeitung ergeben. Dieser Vertrag findet auf alle Tätigkeiten Anwendung, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch Auftragnehmer beauftragte Dritte mit vom Auftraggeber zur Verfügung gestellten personenbezogenen Daten in Berührung kommen können.
§ 1 Definitionen
1.1 Personenbezogene Daten sind alle vom Auftraggeber zur Verfügung gestellten Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind (Art. 4 Nr. 1 DSGVO).
1.2 Verarbeitung bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Nr. 2 DSGVO).
1.3 Weisungen sind alle Anweisungen, die der Auftraggeber dem Auftragnehmer erteilt und mit denen der Auftragnehmer zur Verarbeitung personenbezogener Daten aufgefordert wird. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach durch einzelne Weisungen geändert, ergänzt oder ersetzt werden („Einzelweisungen“).
1.4 Externer Datenschutzbeauftragter des Auftragnehmers ist Rechtsanwalt und Fachanwalt für Informationstechnologierecht Prof. Dr. Christian Rauda, GRAEF Rechtsanwälte Digital PartG mbB, Jungfrauenthal 8, 20149 Hamburg.
§ 2 Gegenstand des Vertrages, Verantwortlichkeit
Für den Auftraggeber bietet der Auftragnehmer die Auswertung und ärztliche Befundung von Langzeit-EKG an, die dem Auftragnehmer übermittelt werden Der Auftragnehmer verarbeitet die personenbezogenen Daten im Auftrag des Auftraggebers. Der Auftraggeber ist für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Weitergabe der personenbezogenen Daten an den Auftragnehmer sowie die Rechtmäßigkeit der Verarbeitung dieser allein verantwortlich („Verantwortlicher“ im Sinne Art. 4 Nr. 7 DSGVO).
§ 3 Dauer
Die Dauer dieses Vertrages entspricht der Laufzeit des Hauptvertrages. Das Recht zur außerordentlichen Kündigung bleibt hiervon unberührt.
§ 4 Umfang, Art und Zweck der vorgesehenen Verarbeitung personenbezogener Daten
Umfang, Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers sind im Hauptvertrag und der Leistungsbeschreibung konkret beschrieben.
§ 5 Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/ -kategorien (Aufzählung/Beschreibung der Datenkategorien):
· Patientendaten
· Gesundheitsdaten
§ 6 Kreis der Betroffenen
Der Kreis der Betroffenen, deren personenbezogenen Daten verarbeitet werden, umfasst:
· Patienten des Auftraggebers
§ 7 Berichtigung, Löschung, Sperrung und Herausgabe von Daten
7.1 Der Auftraggeber kann jederzeit während und nach Beendigung dieses Vertrages bzw. des Hauptvertrages im Rahmen einer rechtmäßigen Einzelweisung die Berichtigung, Löschung, Sperrung und Herausgabe von personenbezogenen Daten verlangen.
7.2 Der Auftraggeber legt die Maßnahmen zur Herausgabe der überlassenen Datenträger und/oder Löschung der gespeicherten personenbezogenen Daten nach Beendigung des Vertrages vertraglich oder durch Einzelweisung fest.
§ 8 Technisch-organisatorische Maßnahmen
8.1 Der Auftragnehmer wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der personenbezogenen Daten vor Missbrauch und Verlust treffen, die den Anforderungen der Art. 24, 32 DSGVO entsprechen. Dies beinhaltet insbesondere, sofern dies angemessen ist,
– Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet
und genutzt werden, zu verwehren (Zutrittskontrolle),
– zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
– dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungs-systems Berechtigten ausschließlich
auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten
bei und nach der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können
(Zugriffskontrolle),
– dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihresTransports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
– dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
– dafür Sorge zu tragen, dass personenbezogene Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
– dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
– dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle),
– die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
– die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
– die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
– ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
8.2 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können sind zu dokumentieren.
§ 9 Weisungen
9.1 Der Auftraggeber hat das Recht, jederzeit Einzelweisungen über Art, Umfang und Verfahren der Verarbeitung personenbezogener Daten gegenüber dem Auftragnehmer zu erteilen. Einzelweisungen müssen schriftlich erfolgen.
9.2 Der Auftragnehmer darf personenbezogene Daten nur im Rahmen des Hauptvertrages, dieses Vertrages und von Einzelweisungen verarbeiten, es sei denn, dass der Auftragnehmer nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung der personenbezogenen Daten verpflichtet ist.
9.3 Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Einzelweisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unberührt.
9.4 Der Auftragnehmer muss den Auftraggeber von Ausnahmen von der Weisungspflicht aufgrund für ihn geltendem Recht unterrichten, es sei denn gerade dieses Recht verbietet solche Mitteilung wegen eines wichtigen öffentlichen Interesses.
§ 10 Sonstige Pflichten des Auftragnehmers
10.1 Der Auftragnehmer bestellt – soweit gesetzlich vorgeschrieben – einen Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 37, 38, 39 DSGVO ausüben kann. Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme auf Anfrage mitgeteilt.
10.2 Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der personenbezogenen Daten befassten Mitarbeiter auf das Datengeheimnis verpflichtet werden (Art. 29 DSGVO) und in die Schutzbestimmungen der DSGVO eingewiesen worden sind. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.
10.3 Der Auftragnehmer unterrichtet den Auftraggeber bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten. Dies gilt auch für etwaige Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach Art. 51-59 DSGVO oder Ermittlungen nach Art. 83, 84 DSGVO.
10.4 Es ist bekannt, dass den Auftragnehmer nach Art. 33 DSGVO Informationspflichten im Falle der unrechtmäßigen Übermittlung oder Kenntniserlangung von bestimmten personenbezogenen Daten treffen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Auftraggeber mitzuteilen. Die Meldung des Auftragnehmers an den Auftraggeber muss insbesondere folgende Informationen beinhalten:
– Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
– Eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Der Auftragnehmer hat angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.
10.5 Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen von einer Verletzung des Schutzes personenbezogener Daten betroffen sind. Die datenschutzkonforme Vernichtung von Material übernimmt der Auftragnehmer auf Grund einer Einzelbeauftragung durch den Auftraggeber auf dessen Kosten. In besonderen, vom Auftraggeber schriftlich zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe.
§ 11 Rechte und Pflichten des Auftraggebers
11.1 Der Auftraggeber ist für die Beurteilung der Zulässigkeit der Verarbeitung personenbezogener Daten sowie für die Wahrung der Reche der Betroffenen allein verantwortlich.
11.2 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig schriftlich zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
11.3 Die Pflicht zur Führung des Verarbeitungsverzeichnisses nach Art. 30 DSGVO liegt beim Auftraggeber.
11.4 Dem Auftraggeber obliegen die aus Art. 33 DSGVO resultierenden Informationspflichten.
§ 12 Anfragen Betroffener
12.1 Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Verarbeitung dessen personenbezogenen Daten zu geben, wird der Auftragnehmer den Auftraggeber, soweit erforderlich, dabei unterstützen, diese Informationen bereit zu stellen, vorausgesetzt der Auftraggeber hat den Auftragnehmer hierzu schriftlich aufgefordert.
12.2 Der Auftragnehmer wird den Auftraggeber darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragnehmer geltend machen.
§ 13 Zusammenarbeit mit der Aufsichtsbehörde
Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
§ 14 Kontrollpflichten des Auftraggebers
Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers und dokumentiert das Ergebnis. Hierfür kann er etwa Selbstauskünfte des Auftragnehmers einholen oder auf eigene Kosten ein Audit durchführen lassen. In Falle eines Audits trägt der Auftraggeber auch die Kosten der Mitarbeiter des Auftragnehmers, die am Audit mitwirken müssen.
§ 15 Subunternehmer
15.1 Die Beauftragung von Subunternehmen ist im Rahmen dieses Vertrages und der in §§ 3, 4, 5, 6 konkretisierten Tätigkeiten möglich, sofern der Auftragnehmer sicherstellt, dass der Subunternehmer die Pflichten aus diesem Vertrag gegenüber dem Auftragnehmer übernimmt. Es gelten insbesondere die in diesem Vertrag festgelegten Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit.
15.2 Dem Auftraggeber sind Kontroll- und Überprüfungsrechte entsprechend § 14 einzuräumen. Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, von dem Auftragnehmer Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Subunternehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen.
15.3 Die von dem Auftragnehmer beauftragten Subunternehmer ergeben sich aus der Anlange 2. Der Auftragnehmer ist berechtigt, weitere Subunternehmer zu beauftragen, sofern sie den Anforderungen gem. § 15.1 und 15.2 entsprechen und der Auftragnehmer den Auftraggeber hiervon in Kenntnis setzt und dieser nicht binnen sieben Tagen schriftlich widerspricht.
§ 16 Vertraulichkeitsverpflichtung
Der Auftragnehmer ist bei der Verarbeitung von personenbezogenen Daten zur Wahrung der Vertraulichkeit verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnisschutzregeln schriftlich mitzuteilen.
§ 17 Allgemeine Regelungen, Informationspflichten, Schriftformklausel, Rechtswahl
17.1 Sollten personenbezogene Daten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den personenbezogenen Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegen.
17.2 Die Verarbeitung der personenbezogenen Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44, 45, 46 DSGVO erfüllt sind. Soweit die Verarbeitung durch einen in Anlage A genannten Dritten erfolgt, erteilt der Auftraggeber hiermit seine Zustimmung.
17.3 Änderungen und Ergänzungen dieses Vertrages und aller seiner Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieses Vertrages handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
17.4 Es gilt deutsches Recht, mit Ausnahme des Kollisionsrechts.
17.5 Gerichtsstand ist der sich aus dem Hauptvertrag ergebende Gerichtsstand, sofern dieser in der Bundesrepublik Deutschland liegt. Anderenfalls ist ausschließlicher Gerichtsstand der Sitz des Auftragnehmers.
Anlage A zum AVV: Liste der Unterauftragnehmer
1. ÜBAG Cardiologicum Hamburg GbR 2. Team Viewer Germany GmbH 3. Zoho Corporation GmbH 4. IONOS SE 5. Viakom GmbH 6. Microsoft Ireland Operations Ltd.
Stand: 15. Februar 2023
