Stand: 15.9.2023
Diese Datenverarbeitungsvereinbarung („Vereinbarung“) wird geschlossen von der tech2people GmbH, c/o Janis-Joplin-Promenade 24/501, A-1220 Wien („t2p“ oder „Datenverarbeiter“) und Ihnen oder der von Ihnen vertretenen Organisation („Datenverantwortlicher“) und legt die Bedingungen fest, unter denen der Datenverarbeiter personenbezogene Daten im Zusammenhang mit der Nutzung seiner Dienstleistungen durch den Datenverantwortlichen verarbeiten wird. Der Datenverarbeiter und der Datenverantwortliche werden im Folgenden entweder gemeinsam oder einzeln als die „Parteien“ bzw. die „Partei“ bezeichnet.
1.Gegenstand der Vereinbarung
- Abilitate - Therapy Companion ist eine spezialisierte Softwarelösung für Therapeuten ("abilitate"). Diese wird als Webanwendung über die Abilitate-Webseite unter https://abilitate.at/ verfügbar gemacht. https://abilitate.at/Die Software verwaltet alle vom Datenverantwortlichen, seinen Mitarbeitern oder Beauftragten gespeicherten Daten. Die Bereitstellung der Dienstleistungen unterliegt den Abilitate-Nutzungsbedingungen, die unter dem folgenden Link verfügbar sind: https://abilitate.at/terms-of-service/.
- Die Dienstleistungen und die damit verbundene Verarbeitung personenbezogener Daten sind in den Abilitate-Nutzungsbedingungen beschrieben. Im Rahmen der Bereitstellung von Abilitate verarbeitet der Datenverarbeiter personenbezogene Daten zu den beschriebenen Zwecken im Auftrag des Datenverantwortlichen gemäß dieser Vereinbarung. Diese Vereinbarung ist als ergänzendes Dokument zu den Abilitate-Nutzungsbedingungen zu betrachten.
- Anlagen A bis C sind dieser Vereinbarung beigefügt und bilden einen integrierten Bestandteil der Vereinbarung.
- Anlage A enthält Angaben zur Verarbeitung und Übermittlung personenbezogener Daten, einschließlich Zweck und Art der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Dauer der Verarbeitung. Der Datenverarbeiter kann die Beschreibungen der Verarbeitung von Zeit zu Zeit aktualisieren, um neue Funktionen, Funktionalitäten oder Produkte im Rahmen der bereitgestellten Dienstleistungen zu berücksichtigen (§ 14).
- Anlage B enthält eine Liste der vom Datenverantwortlichen autorisierten Subverarbeiter.
- Anlage C enthält technische und organisatorische Maßnahmen, die vom Datenverarbeiter umgesetzt wurden.
- Für weitere Informationen zur Verarbeitung personenbezogener Daten siehe Abilitate-Nutzungsbedingungen und Abilitate-Datenschutzrichtlinie unter dem folgenden Link: https://abilitate.at/privacy-policy/.
- Diese Vereinbarung hat Vorrang vor etwaigen ähnlichen Bestimmungen in anderen Vereinbarungen zwischen den Parteien.
- Diese Vereinbarung befreit den Datenverarbeiter nicht von den Verpflichtungen, denen der Datenverarbeiter gemäß der Datenschutz-Grundverordnung (DSGVO) oder anderen Gesetzen unterliegt.
2.Pflichten des Datenverantwortlichen
- Der Datenverantwortliche ist dafür verantwortlich, sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß der DSGVO (siehe Artikel 24 DSGVO), den anwendbaren EU- oder Mitgliedstaaten-Datenschutzbestimmungen und dieser Vereinbarung erfolgt.
- Der Datenverantwortliche ist unter anderem dafür verantwortlich, Datenschutzhinweise bereitzustellen und sicherzustellen, dass die Verarbeitung personenbezogener Daten auf einer rechtlichen Grundlage beruht. Insbesondere hat der Datenverantwortliche alle erforderlichen Zustimmungen und Rechte für den Datenverarbeiter eingeholt (oder wird diese einholen), um personenbezogene Daten (einschließlich, aber nicht beschränkt auf besondere Kategorien personenbezogener Daten) zu verarbeiten und die Dienstleistungen gemäß den Abilitate-Nutzungsbedingungen bereitzustellen. Dies gilt insbesondere für optionale Funktionen und Funktionalitäten der Dienstleistungen wie Analysen, Forschungsergebnisse und Empfehlungen, die Verwendung von anonymisierten und aggregierten Daten sowie Forschung und Entwicklung, die vom Datenverarbeiter durchgeführt werden.
- Der Datenverantwortliche stellt sicher, dass er Daten, die er dem Datenverarbeiter im Rahmen dieser Vereinbarung bereitgestellt hat, löscht oder den Datenverarbeiter anweist, diese zu löschen, wenn solche Daten gemäß geltendem Datenschutzrecht gelöscht werden müssen.
3.Anweisungen
- Der Datenverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Anweisungen des Datenverantwortlichen, es sei denn, er ist gesetzlich dazu verpflichtet. In diesem Fall informiert der Datenverarbeiter den Verantwortlichen vor der Verarbeitung über diese gesetzliche Verpflichtung, es sei denn, das Gesetz verbietet dies aus schwerwiegenden Gründen des öffentlichen Interesses. Anschließend können dem Datenverarbeiter während der Verarbeitung von personenbezogenen Daten auch weitere Anweisungen vom Verantwortlichen gegeben werden. Diese Anweisungen sind immer zu dokumentieren.
- Der Datenverarbeiter informiert den Datenverantwortlichen unverzüglich, wenn die Anweisungen, die seiner Meinung nach vom Datenverantwortlichen erteilt wurden, gegen die DSGVO oder die anwendbaren EU- oder Mitgliedstaaten-Datenschutzbestimmungen verstoßen.
4.Vertraulichkeit
- Der Datenverarbeiter gewährt nur Personen, die seiner Autorität unterstehen und sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen, Zugang zu den im Auftrag des Datenverantwortlichen verarbeiteten personenbezogenen Daten, und dies nur auf Grundlage des Erfordernisses. Die Liste der Personen, denen Zugang gewährt wurde, wird regelmäßig überprüft.
- Auf Anfrage des Datenverantwortlichen weist der Datenverarbeiter nach, dass die betroffenen Personen seiner Autorität der oben genannten Vertraulichkeitspflicht unterliegen.
5.Sicherheit der Verarbeitung
- Der Datenverarbeiter setzt mindestens die in Anlage C spezifizierten technischen und organisatorischen Maßnahmen um, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor Verletzungen der Sicherheit, die zu unbeabsichtigter oder rechtswidriger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff auf die Daten (Datenverletzung) führen könnten. Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen die Parteien den Stand der Technik, die Implementierungskosten, die Natur, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die für die betroffenen Personen bestehenden Risiken.
- Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Datenverarbeiter kann von Zeit zu Zeit alternative angemessene Maßnahmen implementieren (§ 14). Dabei darf das Sicherheitsniveau der definierten Maßnahmen nicht reduziert werden.
6.Einsatz von Subverarbeitern
- Der Datenverarbeiter erfüllt die Anforderungen gemäß Artikel 28 Abs. 2 und 4 DSGVO, um einen anderen Verarbeiter (einen Subverarbeiter) einzubeziehen.
- Der Datenverarbeiter darf daher keinen anderen Verarbeiter (Subverarbeiter) zur Erfüllung der Vereinbarung ohne vorherige schriftliche Genehmigung des Datenverantwortlichen beauftragen.
- Datenverantwortlichen für die Beauftragung von Subverarbeitern. Der Datenverarbeiter informiert den Datenverantwortlichen schriftlich mindestens 15 Tage im Voraus über beabsichtigte Änderungen hinsichtlich der Hinzufügung oder des Austauschs von Subverarbeitern, um dem Datenverantwortlichen die Möglichkeit zu geben, diesen Änderungen vor der Beauftragung des betroffenen Subverarbeiters zu widersprechen. Die Liste der vom Datenverantwortlichen bereits autorisierten Subverarbeiter finden Sie in Anlage B.
- Wenn der Datenverarbeiter einen Subverarbeiter für bestimmte Verarbeitungstätigkeiten im Auftrag des Datenverantwortlichen beauftragt, werden dem Subverarbeiter im Wesentlichen dieselben Datenschutzverpflichtungen auferlegt, wie sie in der Vereinbarung festgelegt sind, und zwar durch einen Vertrag oder einen anderen Rechtsakt nach EU- oder Mitgliedstaatenrecht. Der Datenverarbeiter ist daher dafür verantwortlich, sicherzustellen, dass der Subverarbeiter zumindest die Verpflichtungen erfüllt, denen der Datenverarbeiter gemäß der Vereinbarung und der DSGVO unterliegt.
- Eine Kopie einer solchen Subverarbeitervereinbarung und etwaige Änderungen ist auf schriftliche Anfrage des Datenverantwortlichen dem Datenverantwortlichen vorzulegen, um sicherzustellen, dass dem Subverarbeiter dieselben Datenschutzverpflichtungen auferlegt sind, wie sie in der Vereinbarung festgelegt sind. Bestimmungen zu geschäftsbezogenen Angelegenheiten, die den rechtlichen Datenschutzinhalt der Subverarbeitervereinbarung nicht betreffen, erfordern keine Vorlage beim Datenverantwortlichen. Wenn der Subverarbeiter seine datenschutzrechtlichen Verpflichtungen nicht erfüllt, bleibt der Datenverarbeiter dem Datenverantwortlichen gegenüber voll verantwortlich für die Erfüllung der Verpflichtungen des Subverarbeiters.
7.Internationale Überweisungen
- Personenbezogene Daten werden ausschließlich innerhalb eines Mitgliedstaats der Europäischen Union (EU) oder innerhalb eines Mitgliedstaats des Europäischen Wirtschaftsraums (EWR) physisch gespeichert.
- Jede Übertragung personenbezogener Daten an Drittländer oder internationale Organisationen durch den Datenverarbeiter erfolgt nur auf der Grundlage dokumentierter Anweisungen des Datenverantwortlichen oder zur Erfüllung einer spezifischen Anforderung gemäß dem Unions- oder Mitgliedstaatsrecht, dem der Datenverarbeiter unterliegt. Diese Übertragungen erfolgen stets in Übereinstimmung mit Kapitel V der DSGVO.
- Der Datenverantwortliche stimmt zu, dass, wenn der Datenverarbeiter einen Unterverarbeiter für die Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Datenverantwortlichen (§ 6) einsetzt und diese Verarbeitungstätigkeiten eine Übertragung personenbezogener Daten im Sinne von Kapitel V der DSGVO beinhalten, der Datenverarbeiter und der Unterverarbeiter die Einhaltung von Kapitel V der DSGVO durch die Verwendung der von der Kommission gemäß Artikel 46 Absatz 2 der DSGVO angenommenen Standardvertragsklauseln ("SCC") sicherstellen können, sofern die Voraussetzungen für die Verwendung dieser SCC erfüllt sind. Diese SCC sind unter folgendem Link verfügbar: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN
- Wenn sich der Datenverantwortliche in einem Land außerhalb der EU und des EWR befindet und die betreffende Verarbeitung personenbezogener Daten nicht der DSGVO unterliegt, werden die SCC in diese Vereinbarung eingefügt.
Die SCC sind modular aufgebaut und enthalten Abschnitte, die sich auf einen bestimmten Typ von Entität oder Übertragung beziehen. Im Hinblick auf die abilitate – Nutzungsbedingungen und jegliche Übertragung personenbezogener Daten in Drittländer gelten nur die modularen Abschnitte im Modul 4 (Auftragsverarbeiter-Verantwortlicher), zusätzlich zu allen allgemeinen Abschnitten, unter Vorbehalt folgender Bedingungen:
- Die optionale Klausel 7 "Docking-Klausel" findet keine Anwendung.
- Die für Klausel 8.1(d) der SCC erforderliche Löschungszertifizierung wird auf schriftliche Anfrage (§ 10) zur Verfügung gestellt.
- Die Unterstützung, die der Datenverarbeiter gemäß Klausel 8.2(b) der SCC leisten muss, entspricht der Unterstützung, die der Datenverarbeiter gemäß dieser Vereinbarung leisten muss (§ 8).
- Die in Klausel 8.3(b) der SCC beschriebene Prüfung wird gemäß dieser Vereinbarung durchgeführt (§ 11).
- Der optionale Absatz in Klausel 11 (a) "Abhilfe" findet keine Anwendung.
- Klausel 14 und Klausel 15 sind nicht anwendbar.
- Im Hinblick auf Klausel 17 "Anwendbares Recht" gilt das "Anwendbare Recht und Gerichtsstand" (§ 16) dieser Vereinbarung.
- Im Hinblick auf Klausel 18 "Gerichtsstand und Gerichtsstandswahl" gilt bei Streitigkeiten aus den SCC das "Anwendbare Recht und Gerichtsstand" (§ 16) dieser Vereinbarung.
- Im Hinblick auf Anhang I A der SCC. Der Datenverarbeiter ist der "Datenexporteur", der als "Auftragsverarbeiter" handelt, und der Datenverantwortliche ist der "Datenimporteur", der als "Verantwortlicher" handelt.
- Im Hinblick auf Anhang I B. Die "Beschreibung der Übertragung" ist in Anhang A dieser Vereinbarung enthalten.
8.Unterstützung des Datenverantwortlichen
- Der Datenverarbeiter benachrichtigt den Datenverantwortlichen umgehend über jede Anfrage, die er vom Betroffenen erhalten hat. Er antwortet nicht selbst auf die Anfrage, es sei denn, er ist vom Verantwortlichen dazu autorisiert.
- Der Datenverarbeiter unterstützt den Datenverantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen von betroffenen Personen zur Ausübung ihrer Rechte, unter Berücksichtigung der Art der Verarbeitung. Bei der Erfüllung seiner Verpflichtungen hält sich der Datenverarbeiter an die Anweisungen des Verantwortlichen.
- Unter Berücksichtigung der Art der Verarbeitung und der dem Datenverarbeiter zur Verfügung stehenden Informationen unterstützt der Datenverarbeiter den Datenverantwortlichen bei der Einhaltung:
- der Verpflichtung des Datenverantwortlichen zur Durchführung einer Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten (Datenschutz-Folgenabschätzung);
- der Verpflichtung des Datenverantwortlichen zur Konsultation der zuständigen Aufsichtsbehörde/n vor der Verarbeitung, wenn eine Datenschutz-Folgenabschätzung ergibt, dass die Verarbeitung bei fehlenden vom Verantwortlichen ergriffenen Maßnahmen ein hohes Risiko darstellen würde.
- der Verpflichtung zur Sicherstellung, dass personenbezogene Daten genau und auf dem neuesten Stand sind, indem der Verantwortliche unverzüglich informiert wird, wenn der Verarbeiter feststellt, dass die von ihm verarbeiteten personenbezogenen Daten ungenau oder veraltet sind;
- der Verpflichtungen des Datenverantwortlichen gemäß Artikel 32 DSGVO, indem der Datenverarbeiter dem Verantwortlichen Informationen über die bereits gemäß Artikel 32 DSGVO implementierten technischen und organisatorischen Maßnahmen sowie alle anderen für den Verantwortlichen notwendigen Informationen bereitstellt, um die Verpflichtungen des Verantwortlichen gemäß Artikel 32 DSGVO zu erfüllen.
9.Benachrichtigung bei Datenschutzverletzungen
- Der Datenverarbeiter arbeitet mit dem Datenverantwortlichen zusammen und unterstützt ihn bei der Erfüllung seiner Verpflichtungen gemäß Artikel 33 und 34 der DSGVO, soweit zutreffend, unter Berücksichtigung der Art der Verarbeitung und der dem Datenverarbeiter zur Verfügung stehenden Informationen.
- Im Falle einer Datenschutzverletzung benachrichtigt der Datenverarbeiter den Datenverantwortlichen unverzüglich nach Kenntnisnahme darüber.
- Der Datenverarbeiter unterstützt den Datenverantwortlichen bei der Benachrichtigung der Datenschutzbehörde und, soweit erforderlich, bei der Mitteilung der Datenschutzverletzung an die betroffene Person, was bedeutet, dass der Datenverarbeiter dazu verpflichtet ist, bei der Beschaffung der unten aufgeführten Informationen zu assistieren:
- Die Art der personenbezogenen Daten, einschließlich, soweit möglich, der Kategorien und ungefähren Anzahl der betroffenen Personen und der Kategorien und ungefähren Anzahl der betroffenen personenbezogenen Daten;
- die wahrscheinlichen Folgen der Datenschutzverletzung;
- die ergriffenen oder vorgeschlagenen Maßnahmen des Datenverantwortlichen zur Behebung der Datenschutzverletzung, einschließlich gegebenenfalls Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.
Soweit und insofern es nicht möglich ist, alle diese Informationen gleichzeitig bereitzustellen, enthält die erste Benachrichtigung die dann verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unangemessene Verzögerung nachgeliefert.
10. Löschung und Rückgabe von Daten
- Nach Beendigung der Vereinbarung (§ 13) löscht der Datenverarbeiter innerhalb angemessener Frist alle im Auftrag des Datenverantwortlichen verarbeiteten personenbezogenen Daten, anonymisiert sie oder gibt sie an den Datenverantwortlichen zurück.
- Die Aufbewahrungsfrist und die Rückübertragung der Daten unterliegen den abilitate – Nutzungsbedingungen (§ 1).
- Der Datenverarbeiter bestätigt dem Datenverantwortlichen schriftlich, dass er alle im Auftrag des Datenverantwortlichen verarbeiteten personenbezogenen Daten gelöscht hat.
11.Prüfung und Inspektion
- Der Datenverarbeiter stellt dem Datenverantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in Artikel 28 DSGVO und dieser Vereinbarung festgelegten Verpflichtungen nachzuweisen, und ermöglicht und trägt zu Prüfungen, einschließlich Inspektionen, in angemessenen Abständen bei, jedoch nicht häufiger als einmal alle zwölf Monate, oder wenn Anzeichen für Nichtkonformität vorliegen. Prüfungen können vom Datenverantwortlichen oder von einem vom Datenverantwortlichen beauftragten unabhängigen Auditor durchgeführt werden, auf alleinige Kosten und Aufwendungen des Datenverantwortlichen und nach angemessener Vorankündigung.
- Der Datenverarbeiter ist verpflichtet, den Aufsichtsbehörden, die gemäß anwendbaren Gesetzen Zugang zu den Einrichtungen des Datenverantwortlichen und des Datenverarbeiters haben, oder Vertretern, die im Auftrag solcher Aufsichtsbehörden handeln, Zugang zu den physischen Einrichtungen des Datenverarbeiters unter Vorlage einer geeigneten Identifikation zu gewähren.
12. Haftung
Sofern nicht durch zwingendes Recht anders vorgesehen, gilt die Haftung nach dieser Vereinbarung wie unter den abilitate – Nutzungsbedingungen (§ 1) festgelegt.
13.Laufzeit und Kündigung
- Die Vereinbarung gilt für die Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten (§ 1). Für die Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten kann die Vereinbarung nicht gekündigt werden, es sei denn, es wurde eine andere Vereinbarung über die Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten zwischen den Parteien getroffen.
- Wenn die Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten beendet wird und die personenbezogenen Daten gelöscht oder an den Datenverantwortlichen zurückgegeben werden (§ 10).
14.Änderung der Vereinbarung
Der Datenverarbeiter kann diese Vereinbarung (und alle verknüpften Dokumente) von Zeit zu Zeit ändern. Der Datenverarbeiter wird für wesentliche Änderungen an der Vereinbarung mindestens 30 Tage im Voraus eine Benachrichtigung über Änderungen an die E-Mail-Adresse des Datenverantwortlichen senden.
Die fortgesetzte Nutzung der Dienste (§ 1) durch den für die Datenverarbeitung Verantwortlichen nach einer solchen wesentlichen Änderung gilt als Zustimmung des für die Datenverarbeitung Verantwortlichen zu diesen Änderungen.
15. Datenschutzkontaktstelle
- 1.Der Datenverantwortliche nimmt Kontakt mit dem Datenverarbeiter über folgende Kontaktstelle auf:
- Datenschutzbeauftragter unter dpo@tech2people.at mit CC: mailto:abilitate@tech2people.at
- 2. Der Datenverarbeiter informiert den Datenverantwortlichen über Änderungen der Kontaktstellen.
16. Schlussbestimmungen
- Diese Vereinbarung unterliegt dem Recht der Republik Österreich unter Ausschluss des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (CISG).
- Die Gerichte von Wien, Republik Österreich, haben ausschließliche Zuständigkeit für alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser Vereinbarung ergeben.
- Änderungen und Ergänzungen zu dieser Vereinbarung, einschließlich Änderungen oder Verzichtserklärungen dieser Schriftformanforderung, müssen schriftlich erfolgen.
- Sollten einzelne Bestimmungen dieser Vereinbarung ungültig oder nicht durchsetzbar sein oder falls diese Vereinbarung Lücken aufweist, hat dies keinen Einfluss auf die Gültigkeit der übrigen Bestimmungen. Anstelle der ungültigen, nicht durchsetzbaren oder fehlenden Bestimmung gilt diejenige gültige und durchsetzbare Bestimmung als vereinbart, die die Parteien vernünftigerweise vereinbart hätten, wenn ihnen beim Abschluss dieser Vereinbarung bewusst gewesen wäre, dass die betreffende Bestimmung ungültig, nicht durchsetzbar oder fehlend ist.
Anhang A Beschreibung der Verarbeitungstätigkeiten und Übermittlung
A.1. Die Verarbeitung umfasst die folgenden Kategorien von betroffenen Personen:
- Datenverantwortlicher als Kunde des Datenverarbeiters
- Mitarbeiter oder Beauftragte des Datenverantwortlichen (nachfolgend zusammen mit dem Datenverarbeiter entweder gemeinsam oder einzeln als "Benutzer" und "Benutzer" bezeichnet)
- Patienten oder andere Kunden des Datenverantwortlichen
A.2. Die Verarbeitung umfasst die folgenden Kategorien personenbezogener Daten über betroffene Personen:
- Benutzerdaten (z. B. Name, E-Mail-Adresse, Telefonnummer, Adresse), Kennung des Benutzerkontos, Zahlungs- und Kaufdaten;
- Gesundheits- und medizinische Daten (z. B. Diagnose, Symptome, Therapiedaten wie Einschränkungen, Funktionen und Umgebung des Patienten [ICF-Codierung] und Therapietagebuch), Terminangaben der Patienten, Mitarbeiter und Beauftragten des Benutzers;
- Dateien jeglicher Art, die der Datenverantwortliche oder seine Mitarbeiter oder Beauftragten im System speichern (z. B. Berichte, Fotos).
A.3. Die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen bezieht sich hauptsächlich auf (Art der Verarbeitung):
Die Art der Verarbeitung (einschließlich Übermittlung) ist in den Nutzungsbedingungen von abilitate (Abschnitt 1) beschrieben. Sie umfasst, ist jedoch nicht beschränkt auf das Sammeln, Strukturieren, Speichern, Übertragen oder anderweitige Bereitstellen von personenbezogenen Daten mittels automatisierter Mittel und gemäß den Funktionalitäten von Produkten und Dienstleistungen.
A.4. Der Zweck bzw. die Zwecke der Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen sind:
- Bereitstellung von Gesundheits- oder Sozialpflege oder Behandlung zwischen dem Datenverantwortlichen als Gesundheitsfachmann und seinen Patienten oder Kunden;
- Hosting, Übermittlung, Speicherung und Anzeige von personenbezogenen Daten.
- Ermöglichung der Nutzung verschiedener Funktionen und Funktionalitäten der Dienste wie Analyse, Forschungsergebnisse und Empfehlungen, wie in den Nutzungsbedingungen von abilitate (Abschnitt 1) beschrieben, einschließlich der Ermöglichung der Nutzung von anonymisierten und aggregierten Daten.
A.5. Die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen kann bei Beginn des Vertrags durchgeführt werden. Die Verarbeitung hat die folgende Dauer:
Die Dauer des Vertrags ist an die Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten gebunden (Abschnitt 13).
A.6. Häufigkeit der Übermittlung
Kontinuierlich
A.7. Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder falls dies nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums
Der Datenverarbeiter speichert personenbezogene Daten so lange, wie es für seine eigenen legitimen Zwecke erforderlich ist, gemäß dieser Vereinbarung. Die Kriterien zur Bestimmung der Aufbewahrungsfristen umfassen:
- Die Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten (Abschnitt 1).
- Ob der Datenverantwortliche oder seine Mitarbeiter oder Beauftragten während der Laufzeit der Vereinbarung Informationen ändern oder löschen.
- Ob der Datenverarbeiter rechtlich verpflichtet ist, die Daten aufzubewahren (zum Beispiel, wenn bestimmte Gesetze es erfordern, Aufzeichnungen für eine bestimmte Zeit aufzubewahren).
- Ob die Aufbewahrung durch die rechtliche Position des Datenverarbeiters erforderlich ist (zum Beispiel im Hinblick auf die Durchsetzung von Vereinbarungen, die Beilegung von Streitigkeiten und geltende Verjährungsfristen, Klagen oder behördliche Untersuchungen).
A.8. Zuständige Aufsichtsbehörde
Die zuständige Aufsichtsbehörde des Datenverarbeiters als Datenexporteur wird gemäß der DSGVO bestimmt. Die für den Datenexporteur in seinem EWR-Land geltende Aufsichtsbehörde ist die Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, Telefon: +43 1 52 152-0, e-mail: dsb@dsb.gv.at,Website: https://dsb.gv.at..
Anhang B Befugte Unterauftragsverarbeiter
Bei Beginn der Vereinbarung genehmigt der Datenverantwortliche die Beauftragung der folgenden Unterauftragsverarbeiter:
Unterauftragnehmer Firmenadresse/Land | Firmenadresse/ Land | Kontakt | Service | Dauer |
Microsoft Azure | One Microsoft Way, Redmond, WA 98052 USA | Datenschutzbeauftragter unter https://aka.ms/privacyresponsesiehe auch Datenschutz in Azure unter https://azure.microsoft.com/en-us/explore/trusted-cloud/privacy | Cloud-Dienstleister | Dauer der Vereinbarung (Abschnitt 13) |
Anhang C Technische und organisatorische Maßnahmen
Der Datenverarbeiter stellt die Datensicherheit sicher und gewährleistet einen Schutz auf einem Risikoniveau, das die Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Systeme betrifft.
Um dies zu erreichen, wird der Datenverarbeiter zu jeder Zeit angemessene und ausreichende technische und organisatorische Sicherheitsmaßnahmen aufrechterhalten, um personenbezogene Daten oder Informationen vor unbeabsichtigter oder unrechtmäßiger Zerstörung oder unbeabsichtigtem Verlust, Schaden, Veränderung, unbefugter Offenlegung oder Zugriff zu schützen, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk beinhaltet, und gegen alle anderen rechtswidrigen Formen der Verarbeitung.
Diese Maßnahmen umfassen, sind jedoch nicht beschränkt auf physische Zugangskontrolle, logische Zugangskontrolle (d. h. nicht-physische Zugangskontrollmaßnahmen wie Passwörter), Datenzugangskontrolle, Datenübermittlungskontrolle, Eingangskontrolle, Verfügbarkeitsmaßnahmen und Datentrennung, insbesondere mindestens die in der folgenden Tabelle aufgeführten Maßnahmen.
Für detaillierte Informationen zu den modernsten Maßnahmen, die von unserem Hosting-Anbieter übernommen wurden, verweisen Sie bitte auf den folgenden Link: https://azure.microsoft.com/en-us/explore/security.
Spezifische Maßnahmen | ||
I. | Vertraulichkeit | |
1 | Einlasskontrolle | Schutz vor unbefugtem Zugriff auf die Datenverarbeitungseinrichtungen und Räumlichkeiten, in denen die Datenverarbeitung stattfindet. |
2 | Zugangskontrolle (elektronisch) | Schutz vor unbefugtem Zugriff auf und Verwendung von Daten, Software, Datenträgern (z. B. Festplatte) und Systemen zur Datenverarbeitung (z. B. Geräte und andere Ausrüstung) mit zertifikatsbasiertem Login, Firewall, automatischer Sperrung von Eindringversuchen, kontinuierlicher Überwachung, Zwei-Faktor-Authentifizierung. |
3 | Datenzugangskontrolle | Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen von Daten innerhalb des Systems, wie technisch durch ein rollenbasiertes System implementiert, z. B. Standardberechtigungsprofile auf Bedarfsbasis, standardmäßiges Berechtigungsvergabeverfahren, Protokollierung aller Zugriffe auf die personenbezogenen Daten, sodass Verarbeitungsvorgänge tatsächlich durchgeführt werden können, wie insbesondere Änderungen, Abfragen und Übertragungen, in einem notwendigen Umfang in Bezug auf ihre Zulässigkeit. |
# | Pseudonymisierung | Wenn dies für die Datenverarbeitung möglich ist, werden die primären Identifikatoren aus der Datenverarbeitung entfernt und an anderer Stelle gespeichert. |
# | Datenklassifikationsschema | Basierend auf gesetzlichen Verpflichtungen oder Selbstbewertung (geheim/vertraulich/intern/öffentlich). |
II. | Datenintegrität | |
1 | Übermittlungskontrolle | Unbefugtes Lesen, Kopieren, Ändern oder Entfernen ist nicht möglich, da es vom System nicht beabsichtigt ist und nur mit Genehmigung möglich ist. Alle Zugriffe (einschließlich Lesen) werden protokolliert. Bei elektronischer Übertragung oder Transport erfolgt dies nur verschlüsselt. |
# | Eingangskontrolle | Feststellen, ob und von wem personenbezogene Daten in die Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden, durch Protokollierung. |
III. | Verfügbarkeit und Widerstandsfähigkeit | |
1 | Verfügbarkeitskontrolle | Backup vor Ort und extern (auch verschlüsselt mit modernster Verschlüsselung), USV für unterbrechungsfreie Stromversorgung, Einhaltung von Rechenzentrumsstandards. |
# | Wiederherstellbarkeit | Schnelle Wiederherstellung durch vollständige Backups aller virtuellen Maschinen im Einsatz sowie separate Datei- und Datenbank-Backups. |
# | Datentrennung | Es werden etablierte Maßnahmen verwendet, um sicherzustellen, dass personenbezogene Daten, die im Auftrag des Datenverantwortlichen verarbeitet werden, logisch von Daten getrennt sind, die im Auftrag eines anderen Dritten verarbeitet werden, wenn sie ruhen. |
# | Löschfristen | Daten werden nicht automatisch gelöscht, sondern müssen manuell aus dem System entfernt werden, wenn sie nicht mehr benötigt werden, da es nicht möglich ist, automatisch festzustellen, wann Daten nicht mehr benötigt werden. |
IV. | Datenverwaltungsmanagement | |
1 | Überwachung | Fortlaufende Überwachung von Datenschutzrisiken und regelmäßige Tests, Bewertungen und Evaluierungen der implementierten technischen und organisatorischen Maßnahmen. |
2 | DSB | Datenverarbeiter hat einen Datenschutzbeauftragten |
# | Wissen | Regelmäßige Schulungskurse für Mitarbeiter |
# | Datenverarbeitungskontrolle | Strikte Auswahl von Unterauftragsverarbeitern (ISO-zertifiziert, ISMS) |