Vertrag zur Auftragsverarbeitung 

zwischen 

{company}, {firstname} {lastname}, {street}, {zip} {city}

- Verantwortlicher – nachstehend Auftraggeber genannt - 

und der 

Zyata GmbH, Küsterkoppel 1a, 23628 Krummesse 

- Auftragsverarbeiter – nachstehend Auftragnehmer genannt - 

§ 1 Gegenstand und Dauer des Vertrages 

(1) Gegenstand des Vertrages zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer: Der Auftragnehmer stellt dem Auftraggeber eine Software-as-a-Service (SaaS)-Plattform zur Erstellung und Verwaltung psychiatrischer Gutachten zur Verfügung. 

(2) Die Dauer dieses Vertrages (Laufzeit) entspricht der Laufzeit des zwischen den Parteien geschlossenen Hauptvertrages. 

§ 2 Konkretisierung des Vertragsinhalts 

(1) Art und Zweck der vorgesehenen Verarbeitung von Daten 

Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber richten sich ausschließlich nach den zwischen den Parteien vereinbarten Leistungen des Hauptvertrages, die dort konkret beschrieben sind. 

(2) Art der Daten 

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Kategorien von Daten: 

  • Patientendaten, wie Name, Geburtsdatum, Kontaktdaten, Gesundheitsinformationen, die für das Gutachten relevant sind
  • Nutzerdaten, wie Name, Kontaktinformationen, berufliche Zugehörigkeit, Login Informationen 

(3) Kategorien betroffener Personen 

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen: • Patienten, über die psychiatrische Gutachten erstellt werden 

  • Nutzer der SaaS-Plattform, also in der Regel psychiatrische Gutachter und ggf. ihr Personal 
  • Weitere betroffene Personen, die im Zusammenhang mit den Gutachten stehen, wie auftraggebende Richter, behandelnde Ärzte, Verwandte des Patienten, Dolmetscher 

§ 3 Technisch-organisatorische Maßnahmen 

(1) Der Auftragnehmer ergreift in seinem Verantwortungsbereich alle erforderlichen technisch-organisatorischen Maßnahmen gem. Art. 32 DSGVO zum Schutz der personenbezogenen Daten und übergibt bei Vertragsbeginn dem Auftraggeber die Dokumentation nach Anforderung zur Prüfung. Diese Maßnahmen werden Grundlage des Vertrages. 

(2) Die vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer zukünftig gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Über wesentliche Änderungen, die durch den Auftragnehmer zu dokumentieren sind, ist der Auftraggeber unverzüglich in Kenntnis zu setzten. 

§ 4 Rechte von betroffenen Personen 

(1) Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich mittels geeigneter technisch-organisatorischer Maßnahmen bei der Beantwortung und Umsetzung von Anträgen betroffener Personen hinsichtlich ihrer Datenschutzrechte. Er darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers beauskunften, portieren, berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. 

(2) Soweit vom Leistungsumfang umfasst, sind die Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung sowie Datenportabilität nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

§ 5 Qualitätssicherung und sonstige Pflichten des  Auftragnehmers 

(1) Der Auftragnehmer hat, zusätzlich zu der Einhaltung der Regelungen dieses Vertrags, eigene gesetzliche Pflichten gemäß der DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben: 

a) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO: 

Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die berechtigterweise Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. 

b) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. 

c) Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Vertrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrensin Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. 

d) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten, einem anderen Anspruch oder einem Informationsersuchen im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen. 

e) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. 

f) Die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach § 8 dieses Vertrages. 

g) Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber in der Weise, dass der Auftraggeber seinen gesetzlichen Pflichten, insbesondere nach Art. 33, 34 DSGVO nachkommen kann. Er

fertigt über den gesamten Vorgang eine Dokumentation an, die er dem Auftraggeber für weitere Maßnahmen zur Verfügung stellt. 

h) Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich im Rahmen bestehender Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen und stellt ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung. 

i) Soweit der Auftraggeber zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet ist, unterstützt ihn der Auftragnehmer unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen. Gleiches gilt für eine etwaig bestehende Pflicht zur Konsultation der zuständigen Datenschutz Aufsichtsbehörde. 

(2) Dieser Vertrag entbindet den Auftragnehmer nicht von der Einhaltung anderer Vorgaben der DSGVO. 

§ 6 Unterauftragsverhältnisse 

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/Transportdienstleistungen, Reinigungsleistungen oder Bewachungsdienstleistungen. Wartungs- und Prüfleistungen stellen dann ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers nach diesem Vertrag erbracht werden. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen. 

(2) Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) beauftragen.Die Auslagerung auf Unterauftragnehmer ist zulässig, soweit • der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber in einer angemessenen Zeit, die 14 Tage nicht unterschreiten darf, vorab schriftlich oder in Textform anzeigt und 

  • der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und 
  • eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird. 

(3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Die Einhaltung und Umsetzung der

technisch-organisatorischen Maßnahmen beim Unterauftragnehmer wird unter Berücksichtigung des Risikos beim Unterauftragnehmer vorab der Verarbeitung personenbezogener Daten und sodann regelmäßig durch den Auftragnehmer kontrolliert. Der Auftragnehmer stellt dem Auftraggeber die Kontrollergebnisse auf Anfrage zur Verfügung. 

(4) Es dürfen nur solche Unterauftragnehmer beauftragt werden, die entweder • die vereinbarte Leistung innerhalb der EU/des EWR erbringen oder • ein angemessenes Datenschutzniveau gemäß den Vorgaben der DSGVO sicherstellen, insbesondere durch: 

  • den Abschluss der Standardvertragsklauseln (SCC) der Europäischen  Kommission, 
  • die Zertifizierung nach anerkannten Datenschutzstandards oder 
  • andere geeignete Garantien gemäß Art. 46 DSGVO. 

(5) Eine weitere Auslagerung durch den Unterauftragnehmer ist nicht gestattet. § 7 Internationale Datentransfers 

(1) Eine Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation erfolgt nur, wenn dies zur Erfüllung der vertraglichen Pflichten erforderlich ist oder der Einsatz eines Unterauftragnehmer gemäß § 6 dies erfordert. 

§ 8 Kontrollrechte des Auftraggebers 

(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Bei einer im Einzelfall zum Schutz der Daten erforderlichen Vor-Ort-Kontrolle hat er das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb während der üblichen Geschäftszeiten zu überzeugen. 

(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. 

(3) Der Nachweis der technisch-organisatorischen Maßnahmen zur Einhaltung der besonderen Anforderungen des Datenschutzes allgemein sowie solche, die den Auftrag betreffen, kann erfolgen durch die Einhaltung genehmigter Verhaltensregeln gem. Art. 40

DSGVO, mittels Zertifizierung nach einem genehmigten Zertifizierungsverfahren gem. Art. 42 DSGVO, durch aktuelle Testate Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision,Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) sowie durch eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz). 

§ 9 Weisungsbefugnis des Auftraggebers 

(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur auf Basis dokumentierter Weisungen des Auftraggebers, es sei denn er ist nach dem Recht des Mitgliedstaats oder nach Unionsrecht zu einer Verarbeitung verpflichtet. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform). Die anfänglichen Weisungen des Auftraggebers werden durch diesen Vertrag festgelegt. 

(2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird. 

§ 10 Verschwiegenheit 

(1) Der Auftragnehmer verpflichtet sich, alle im Rahmen der Auftragsverarbeitung bekannt  gewordenen Informationen, insbesondere personenbezogene Daten und  Geschäftsgeheimnisse, streng vertraulich zu behandeln. Dies umfasst insbesondere  Gesundheitsdaten im Sinne von Art. 9 DSGVO sowie sonstige sensible Informationen, die  vom Auftraggeber oder dessen Patienten stammen. 

(2) Es wird sichergestellt, dass ausschließlich solche Mitarbeiter und Subunternehmer  Zugang zu den Daten erhalten, die zur Erfüllung der vertraglichen Pflichten zwingend  erforderlich sind. Diese Personen werden vor Aufnahme ihrer Tätigkeit über die  Vertraulichkeit der Daten belehrt und zur Einhaltung der Verschwiegenheit verpflichtet. 

(3) Die Verschwiegenheitspflicht gilt auch über das Ende der vertraglichen  Zusammenarbeit hinaus. Der Auftragnehmer stellt sicher, dass er und alle unter seiner  Verantwortung handelnden Personen die Bestimmungen des § 203 StGB (Schweigepflicht  für Berufsgeheimnisträger) sowie alle einschlägigen datenschutzrechtlichen Vorgaben  einhalten. Verstöße gegen die Verschwiegenheitspflicht können strafrechtliche,  zivilrechtliche und/oder vertragliche Konsequenzen nach sich ziehen. 

(4) Der Auftragnehmer verpflichtet sich zudem, auf Verlangen des Auftraggebers den  Nachweis zu erbringen, dass die genannten Maßnahmen zur Sicherstellung der  Vertraulichkeit umgesetzt wurden.

§ 11 Löschung und Rückgabe von personenbezogenen  Daten 

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. 

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens aber mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. 

§ 12 Haftung 

Auf Art. 82 DSGVO wird hingewiesen. 

§ 13 Schlussbestimmungen 

(1) Die Vertragsparteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Vertragspartei vertraulich zu behandeln. Geschäftsgeheimnisse sind alle auf ein Unternehmen bezogene Tatsachen, Umstände und Vorgänge, die nicht offenkundig, sondern nur einem begrenzten Personenkreis zugänglich sind und an deren Nichtverbreitung der Geheimnisträger ein berechtigtes Interesse hat. Datensicherheitsmaßnahmen sind alle technischen und organisatorischen Sicherheitsmaßnahmen, die eine Partei nach den für den Auftraggeber einschlägigen Datenschutzgesetzen getroffen hat. Diese Geheimhaltungspflicht besteht nach Beendigung dieses Vertrages fort. 

(2) Sofern eine Vertragspartei weiteren Geheimnisschutzregeln unterliegt und sie dies der anderen Vertragspartei zu Vertragsbeginn schriftlich (im Sinne von Art. 28 Abs. 9 DSGVO) mitteilt, ist auch diese Vertragspartei verpflichtet, die Geheimnisschutzregeln zu beachten. 

(3) Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber

unverzüglich zu verständigen. Ein Zurückbehaltungsrecht ist in Bezug auf Datenträger und Datenbestände des Auftraggebers ausgeschlossen. 

(4) Für Vertragsänderungen und Nebenabreden ist die Schriftform im Sinne von Art. 28 Abs. 9 DSGVO erforderlich. 

(5) Sollten einzelne teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit des Vertrages im Übrigen nicht. 

Anlage: 

  • Technische und organisatorische Maßnahmen
  • Liste der Subunternehmer