Datenschutz

Datenschutzbestimmungen
Vorbemerkung
Die nachfolgenden Regelungen konkretisieren die datenschutzrechtlichen
Verpflichtungen der Vertragsparteien, die sich aus der Abrechnungsvereinbarung der Parteien vom oben genanntem Datum (im Folgenden: Hauptvertrag)
ergeben. Sie finden Anwendung auf sämtliche Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte des Rechenzentrums oder durch das Rechenzentrum beauftragte Dritte mit personenbezogenen Daten des Kunden in Berührung kommen können.
Diese Vereinbarung ergänzt insoweit den Hauptvertrag sowie die insofern
geltenden einschlägigen gesetzlichen Bestimmungen (insb. BDSG, SGB V,
SGB X). Für die Einhaltung der Vorgaben der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an das Rechenzentrum sowie für die Rechtmäßigkeit der Datenverarbeitung ist der Kunde im Rahmen
dieser Vereinbarung allein verantwortlich („verantwortliche Stelle“ im Sinne
von § 3 Abs. 7 BDSG).
1 Gegenstand und Dauer des Auftrags
Gegenstand dieser Vereinbarung ist die Erhebung, Verarbeitung und/oder
Nutzung personenbezogener Daten durch das Rechenzentrum für den Kunden
in dessen Auftrag und nach dessen Weisung im Zusammenhang mit der Abrechnung von Leistungen des Kunden gegenüber Dritten, insbesondere sozialversicherungsrechtlichen Kostenträgern und Patienten. Die Laufzeit dieser
Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages, sofern sich
aus den Bestimmungen dieser Vereinbarung nicht darüber hinausgehende
Verpflichtungen ergeben. Eine Kündigung des Hauptvertrages bewirkt automatisch auch eine Kündigung dieser Vereinbarung. Eine isolierte Kündigung
dieser Vereinbarung ist ausgeschlossen.
2 Konkretisierung des Auftragsinhalts
2.1 Art der Daten und Kreis der Betroffenen
Zur Erbringung seiner Leistungen nach den Vorgaben des Hauptvertrages erhält das Rechenzentrum Zugriff auf folgende personenbezogene Daten des
Kunden:
Betroffene Art der Daten
Patienten Anrede, Name, Vorname, Geburtsdatum, Anschrift Krankenversicherung, Kranken-
versicherungsnummer, Gegenstand der Leistung des Kunden (Verordnungsinhalt),
ggf. Zahlungsdaten
Gesetzliche Vertreter/Betreuer
von Patienten Anrede, Name, Vorname, Geburtsdatum, Anschrift
Beschäftigte des Kunden im
Sinne von § 3 Abs. 11 BDSG
Anrede, Name, Vorname
Gegenstand der Datenerhebung und -verarbeitung sind insbesondere solche
Daten, zu deren Lieferung der Kunde gemäß den einschlägigen Bestimmungen
des Sozialversicherungsrechts verpflichtet ist, insb. gemäß § 300 SGB V
(Abrechnung der Apotheken und weiterer Stellen) bzw. gemäß § 302 SGB V
(Abrechnung der sonstigen Leistungserbringer). Die Richtlinien des Spitzenverbandes Bund der Krankenkassen in der jeweils gültigen Fassung finden
entsprechend Anwendung.
2.2 Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung
und Nutzung von Daten
Umfang, Art und Zweck der Erhebung, Verarbeitung und/oder Nutzung der
Daten nach Ziff. 2.1 durch das Rechenzentrum sind im Hauptvertrag konkret
beschrieben.
2.3 Ort der Leistungserbringung
Die Erhebung, Verarbeitung und Nutzung der Daten findet ausschließlich im
Gebiet der Bundesrepublik Deutschland statt. Jede Verlagerung in das Ausland bedarf der vorherigen Zustimmung des Kunden und darf nur erfolgen,
wenn die besonderen Voraussetzungen der §§ 4b, 4c BDSG/§ 77 SGB X erfüllt
sind. Bei einer Leistungserbringung aus einem Mitgliedstaat der Europäischen
Union oder eines Vertragsstaates des Abkommens über den Europäischen
Wirtschaftsraums gilt die Zustimmung des Kunden als erteilt, wenn dieser
nicht innerhalb einer Frist von zwei Wochen nach Zugang der Mitteilung über
die Verlagerung schwerwiegende Gründe einwendet, die der Verlagerung
entgegenstehen.
3 Weisungsbefugnisse des Kunden
Das Rechenzentrum verarbeitet die Daten ausschließlich in Übereinstimmung
mit den Weisungen des Kunden hinsichtlich Art, Umfang und Verfahren der
Datenverarbeitung, wie sie in den Bestimmungen dieser Vereinbarung ihren
Ausdruck finden. Konkretisierende Einzelweisungen des Kunden sind im
Rahmen der im Hauptvertrag getroffenen Auftragsbeschreibung und nach
Maßgabe der nachfolgenden Regelungen zulässig.
Mündliche Weisungen wird der Kunde unverzüglich schriftlich oder per E-Mail
(in Textform) bestätigen.
Einzelweisungen, die von den vertraglich vereinbarten Festlegungen abweichen oder zusätzliche Anforderungen stellen, bedürfen einer vorherigen
Zustimmung des Rechenzentrums. Das Rechenzentrum ist berechtigt, diese
Zustimmung zu verweigern, sofern sich der Kunde weigert, die durch die
Weisung bedingten Mehrkosten des Rechenzentrums zu übernehmen.
Das Rechenzentrum hat den Kunden unverzüglich zu informieren, wenn es der
Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften.
Das Rechenzentrum ist berechtigt, die Durchführung der entsprechenden
Weisung solange auszusetzen, bis sie durch den Kunden bestätigt oder geändert wird.
4 Technische und organisatorische Maßnahmen
Das Rechenzentrum wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des
Datenschutzes gerecht wird. Es wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Kunden vor Missbrauch
und Verlust treffen, die den Vorgaben der entsprechenden datenschutzrechtlichen Bestimmungen (§ 9 BDSG/§ 78a SGB X) entsprechen, insbesondere
hinsichtlich der Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle
sowie des Trennungsgebots.
Eine konkrete Darstellung dieser technischen und organisatorischen Maßnahmen enthält die Anlage zu dieser Vereinbarung.
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Das Rechenzentrum ist berechtigt, alternative adäquate Maßnahmen umzusetzen, sofern sichergestellt
ist, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
Wesentliche Änderungen sind zudokumentieren.
5 Sonstige Pflichten des Rechenzentrums
Das Rechenzentrum hat zusätzlich folgende Pflichten:
Das Rechenzentrum verwendet die übermittelten Daten für keine anderen
Zwecke als die der Vertragserfüllung. Zu einer Weitergabe dieser Daten an
Dritte ist das Rechenzentrum nicht berechtigt, es sei denn, die Weitergabe
der Daten ist ausdrücklich Bestandteil der Auftragsbeschreibung (z.B. Weitergabe der Daten an Sozialversicherungsträger). Kopien und Duplikate werden
ohne Wissen des Kunden nicht erstellt. Hiervon ausgenommen sind Kopien,
soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung
erforderlich sind, sowie Daten, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
Das Rechenzentrum bestellt einen Datenschutzbeauftragten, der seine Tätigkeit gemäß §§ 4f, 4g BDSG ausüben kann. Die Kontaktdaten des Datenschutzbeauftragten wird das Rechenzentrum dem Kunden auf Anfrage unverzüglich
bekannt geben.
Die Wahrung des Datengeheimnisses (§ 5 BDSG/§ 88 TKG) wird vom Rechenzentrum gewährleistet. Sämtliche Personen, die auftragsgemäß auf personenbezogene Daten des Kunden zugreifen können, müssen schriftlich auf
das Datengeheimnis verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungsbzw. Zweckbindung belehrt werden. Gesetzliche Offenbarungspflichten des
Rechenzentrums bleiben unberührt.
Das Rechenzentrum stellt dem Kunden auf Anforderung die für die Übersicht
nach § 4g Abs. 2 S. 1 BDSG notwendigen Angaben zur Verfügung.
Das Rechenzentrum wird den Kunden unverzüglich über Kontrollhandlungen
und Maßnahmen der Aufsichtsbehörden für den Datenschutz informieren,
sofern diese Handlungen und Maßnahmen die Erhebung, Verarbeitung und/
oder Nutzung von Daten des Kunden durch das Rechenzentrum zum Gegenstand haben. Dies gilt auch für den Fall, dass eine zuständige Behörde nach
§§ 43, 44 BDSG bzw. §§ 85, 85a SGB X bei dem Rechenzentrum ermittelt.
Das Rechenzentrum stellt sicher und kontrolliert regelmäßig, dass die Erhebung, Verarbeitung und Nutzung der Daten in Übereinstimmung mit diesem
Vertrag und den Weisungen des Kunden erfolgt, dass die technischen und
organisatorischen Maßnahmen gemäß Ziff. 4 dieser Vereinbarung eingehalten
werden sowie die Notwendigkeit einer Anpassung von Regelungen und Maßnahmen zur Auftragsdurchführung.
6 Pflichten des Kunden
Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die
Wahrung der Rechte der Betroffenen ist der Kunde verantwortlich. Er wird
in seinem Verantwortungsbereich dafür Sorge tragen, dass die gesetzlich
notwendigen Voraussetzungen geschaffen werden, insbesondere – soweit
erforderlich – durch Einholung entsprechender Einwilligungserklärungen,
damit das Rechenzentrum die vereinbarten Leistungen rechtmäßig erbringen
kann. Dem Kunden obliegen die aus § 42a BDSG/§ 83a SGB X resultierenden
Informationspflichten sowie die Pflicht zur Führung des Verfahrensverzeichnisses. Der Kunde hat das Rechenzentrum unverzüglich und vollständig zu
informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
7 Kontrollrechte und -pflichten des Kunden
Der Kunde hat das Recht, die in Nr. 6 der Anlage zu § 9 BDSG/§ 78a SGB X
vorgesehene Auftragskontrolle beim Rechenzentrum auf eigene Kosten unter
strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen durchzuführen oder – im Regelfall – durch einen beruflich zur Verschwiegenheit
verpflichteten Prüfer durchführen zu lassen. Störungen des Betriebsablaufs
sind dabei zu vermeiden. Das Rechenzentrum verpflichtet sich, dem Kunden
auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle
erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Kontrollbefugnisse nach § 80 Abs. 2 Satz 6 SGB X bleiben
dabei unberührt.
Im Hinblick auf die Kontrollverpflichtungen des Kunden nach § 11 Abs. 2 Satz
4 BDSG/§ 80 Abs. 2 Satz 4 SGB X vor Beginn der Datenverarbeitung und
während der Laufzeit des Auftrags stellt das Rechenzentrum sicher, dass sich
der Kunde von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist das Rechenzentrum dem
Kunden auf Anfrage die Umsetzung der technischen und organisatorischen
Maßnahmen gemäß § 9 BDSG/§ 78a SGB X und der Anlage nach. Dabei kann
der Nachweis nach Wahl des Rechenzentrums auch durch Vorlage aktueller
Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzauditoren, Qualitätsauditoren) oder einer
geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B.
nach BSI-Grundschutz) erbracht werden.
8 Berichtigung, Sperrung und Löschung von Daten
Soweit dies nicht Bestandteil des Auftrags ist, darf das Rechenzentrum die
Daten, die im Auftrag verarbeitet werden, nur nach Weisung des Kunden berichtigen, löschen oder sperren. Wendet sich ein Betroffener unmittelbar an
das Rechenzentrum zwecks Berichtigung oder Löschung seiner Daten, wird
das Rechenzentrum dieses Ersuchen in einem Fall des vorstehenden Satzes
unverzüglich an den Kunden weiterleiten und Auskünfte an den Betroffenen
in der Regel nur nach vorheriger schriftlicher Zustimmung durch den Kunden
erteilen.
9 Unterauftragnehmer
Das Rechenzentrum darf Unterauftragsverhältnisse hinsichtlich der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten des Kunden
nur nach vorheriger schriftlicher Zustimmung des Kunden begründen. Die
Zustimmung wird nur erteilt, wenn das Rechenzentrum die vertraglichen Vereinbarungen mit dem/den Unterauftragnehmer/n so gestaltet hat, dass sie
den Datenschutzbestimmungen im Vertragsverhältnis zwischen Kunden und
Rechenzentrum entsprechen.
Der Kunde ist damit einverstanden, dass das Rechenzentrum zur Erfüllung
seiner vertraglich vereinbarten Leistungen verbundene Unternehmen des
Rechenzentrums zur Leistungserfüllung heranzieht bzw. verbundene Unternehmen des Rechenzentrums mit Leistungen unterbeauftragt.
Erteilt das Rechenzentrum Aufträge an Unterauftragnehmer, so sind dem
Kunde Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung
und den einschlägigen gesetzlichen Vorgaben beim Unterauftragnehmer einzuräumen. Dies umfasst auch das Recht des Kunden vom Rechenzentrum auf
schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und
die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis zu erhalten.
Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche
Dienstleistungen zu verstehen, die das Rechenzentrum bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt.
Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern.
Das Rechenzentrum ist jedoch verpflichtet, zur Gewährleistung des Schutzes
und der Sicherheit der Daten des Kunden auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen
zu treffen sowie Kontrollmaßnahmen zu ergreifen.
10 Löschung von Daten und Rückgabe von Datenträgern
Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung
durch den Kunden wird das Rechenzentrum sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungsergebnisse, Nutzungsergebnisse
und/oder Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis
stehen (nachfolgend zusammenfassend Informationen) sowie ggf. angefertigte Sicherheitskopien unverzüglich dem Kunden aushändigen oder datenschutzgerecht vernichten. Das Protokoll über die Löschung ist auf Anforderung vorzulegen.
Soweit das Rechenzentrum gesetzlich zur Aufbewahrung von Informationen
verpflichtet ist, darf es für diesen Zweck Kopien der erforderlichen Informationen entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus behalten. Nach Ablauf der gesetzlichen Aufbewahrungsfrist hat das
Rechenzentrum die Kopien datenschutzgerecht zu vernichten.
11 Haftung
Das Rechenzentrum haftet dem Kunden für Schäden gemäß den Regelungen
des Hauptvertrages.
12 Schlussbestimmungen
Änderungen, Ergänzungen und die Aufhebung dieser Vereinbarung bedürfen
der Schriftform. Gleiches gilt für eine Änderung oder Aufhebung des Schriftformerfordernisses. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen
Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der
unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen,
die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des § 11 BDSG/§ 80 SGB X am besten gerecht wird.

Download Report