Datenschutzhinweise

Datenschutzerklärung für die Zuweiser gemäß Art. 28 DSGVO bzw. §29 KDG
bezüglich der Nutzung des Portals der Sophienstiftung

(nachfolgend Datenschutzvereinbarung)

Zwischen der

Sophienstiftung 
Hospitalstr. 5
66798 Wallerfangen

nachfolgend genannt: Portalbetreiber

und

dem teilnehmenden und nachfolgend so genanntem Zuweiser

 

I.                 Grundsätzliches

1.               Der Portalbetreiber führt aufgrund der Vereinbarung über die Nutzung des Kommunikationsportals der Sophienstiftung (nachfolgend genannt: Nutzungsvereinbarung) Auftragsverarbeitungstätigkeiten i. S. d. Art 28 DSGVO, analog §28 KDG durch. Diese Tätigkeiten sind in der Nutzungsvereinbarung aufgeführt. Die nachstehenden Bedingungen sind als Ergänzung zur Nutzungsvereinbarung zu verstehen. Grundlage der Verarbeitung / Auftragsverarbeitung ist die vorherige Zustimmung des Zuweisers.


 

2.               Folgende Datenkategorien werden verarbeitet:

·       Persönliche Identifikationsdaten

·       Kontakt und Adressdaten

·       Gesundheitsdaten gem. Art. 9 Abs. 1 DSGVO  

·       Weitere besondere personenbezogene Daten gem. Art. 9 DSGVO wie ggf. Ethnische Herkunft und Nationalität, Politische, religiöse und weltanschauliche Überzeugung sowie sexuelle Orientierung

3.               Es unterliegen ausschließlich Patientendaten des Zuweisers der Verarbeitung

4.               Die vorliegenden Bedingungen gelten für die gesamte Laufzeit der Nutzungsvereinbarung.

5.               Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw des EWR durchgeführt.

II.               Verpflichtungen des Portalbetreibers

1.                   Der Portalbetreiber verpflichtet sich, allfällige vom Zuweiser auf das Portal gestellte oder für diese bereitgehaltenen Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der Nutzungsvereinbarung zu verarbeiten. Erhält der Portalbetreiber einen behördlichen Auftrag, Daten des Zuweisers herauszugeben, so hat er - sofern gesetzlich zulässig - den Zuweiser  unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der vorstehenden Daten des Zuweisers für eigene Zwecke des Auftragsverarbeiters eines schriftlichen Auftrages.

2.                   Der Portalbetreiber gewährleistet, dass sich die von ihm zur Verarbeitung der personenbezogenen Daten beauftragten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

3.                   Der Portalbetreiber ergreift sämtliche erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art 32 DSGVO sowie § 26 KDG analog wie in der Anlage 1 im Anschluß an diese Vereinbarung aufgeführt.
 

4.                   Der Portalbetreiber hat den Zuweiser, angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO sowie der in Kapitel III Absatz II des KDG genannten Rechte der betroffenen Personen (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) nachzukommen.

5.                   Der Portalbetreiber hat unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Zuweiser bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO und analog §31 bis 36 KDG genannten Pflichten zu unterstützen.

6.                   Der Portalbetreiber hat nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Zuweisers zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

7.                   Der Portalbetreiber hat dem Zuweiser alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesen Bedingungen niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen - einschließlich Inspektionen -, die vom Zuweiser oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und zu diesen beizutragen.

8.                   Der Portalbetreiber hat den Zuweiser unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Zuweisers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

9.                   Nimmt der Portalbetreiber Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Zuweisers auszuführen, schließt der Plattformbetreiber die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO bzw. gemäß §29 Abs. 3 mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Portalbetreiber auf Grund dieser Bedingungen obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Portalbetreiber gegenüber dem Zuweiser für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

 

Anlage ./1 – Technisch-organisatorische Maßnahmen

Vertraulichkeit

§  Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen, z.B.: Schlüssel, Magnet- oder Chipkarten, elektrische Türöffner, Portier, Sicherheitspersonal, Alarmanlagen, Videoanlagen;

§  Zugangskontrolle: Schutz vor unbefugter Systembenutzung, z.B.: Kennwörter (einschließlich entsprechender Policy), automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern;

§  Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insb von administrativen Benutzerkonten;

§  Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, und gesondert aufbewahrt.

§  Klassifikationsschema für Daten: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim/vertraulich/intern/öffentlich).

Integrität

§  Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur;

§  Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement.

Verfügbarkeit und Belastbarkeit

§  Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV, Dieselaggregat), Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene, Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern;

§  Rasche Wiederherstellbarkeit;

§  Löschungsfristen: Sowohl für Daten selbst als auch Metadaten wie Logfiles, uä.

 

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

§  Datenschutz-Management, einschließlich regelmäßiger Mitarbeiter-Schulungen;

§  Incident-Response-Management;

§  Datenschutzfreundliche Voreinstellungen;

§  Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DSGVO ohne entsprechende Weisung des Verantwortlichen, z.B.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Auftragsverarbeiters (ISO-Zertifizierung, ISMS), Vorabüberzeugungspflicht, Nachkontrollen.