Datenschutzerklärung
I. Name und Anschrift des Verantwortlichen
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:
Kinder- und Jugendärzte Praxis am Klinikum
Marie-Curie-Straße 6
88400 Biberach an der Riß
Deutschland
Telefon: 07351/8800
E-Mail: info@kinderaerzte-biberach.de
Website: www.kinderaerzte-biberach.de
Name und Anschrift des Datenschutzbeauftragten
Der Datenschutzbeauftragte des Verantwortlichen ist:
Metehan Selvi
Health Data Protect GmbH
Leharstraße 8
71254 Ditzingen
E-Mail: info@health-data-protect.de
Tel.: 07156 - 1629895
II. Allgemeines zur Datenverarbeitung
1. Umfang der Verarbeitung personenbezogener Daten
Wir erheben und verwenden personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Erhebung und Verwendung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.
2. Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.
Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.
3. Datenlöschung und Speicherdauer
Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.
III. Bereitstellung der Website und Erstellung von Logfiles
Auftragsverarbeitungsvertrag
nach Art. 28 Abs. 3
Datenschutz-Grundverordnung (DS-GVO)
ALL-INKL.COM - Neue Medien Münnich
Inhaber: René Münnich
Hauptstraße 68, 02742 Friedersdorf, Deutschland
(nachfolgend „Auftragnehmer“ genannt)
übernimmt gegenüber
Kundennummer:
(nachfolgend „Auftraggeber“ genannt)
die nachfolgenden Pflichten mit den nachfolgenden Rechten als Auftragsverarbeiter i.S. von Art. 28 Abs. 3 DS-GVO,
wenn und soweit die Leistungen des Auftragnehmers nach dem Webhosting-Vertrag unter der an den Auftraggeber als
Kunden vergebenen Kundennummer (Hauptvertrag) auch eine Datenverarbeitung im Auftrag und auf Weisung des
Auftraggebers beinhaltet.
1. Gegenstand, Grundsätzliches und Dauer der Vereinbarung
1.1 Nach dem Inhalt des Hauptvertrags über die Leistungen des Auftragnehmers und nach den vom Auftraggeber
vorgenommenen Nutzungen ist es nicht ausgeschlossen, dass der Auftragnehmer dabei personenbezogene Daten für
den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO verarbeitet und dass der Auftragnehmer dabei keine
eigenen Zwecke im Umgang mit diesen Daten des Auftraggebers verfolgt. Wenn dies geschieht, so erfolgt diese
Verarbeitung von personenbezogenen Daten des Auftraggebers „im Auftrag und auf Weisung“ für die Zwecke des
Auftraggebers nach diesem Vertrag.
1.2 Die maßgebliche Konkretisierung der Auftragsverarbeitungsleistungen des Auftragnehmers nach Weisung enthält
Anlage 1.
1.3 „Weisung“ ist die auf einen bestimmten datenschutzmäßigen Umgang des Auftragnehmers mit personenbezogenen
Daten, die der Auftraggeber verarbeitet, gerichtete Anordnung des Auftraggebers (z.B. Daten zu anonymisieren, zu
sperren, zu löschen, herauszugeben). Bereits bestehende Weisungen können vom Auftraggeber danach durch einzelne
Weisungen geändert, ersetzt oder ergänzt werden (Einzelweisungen).
1.4 Der Auftraggeber ist für die Beurteilung der Zulässigkeit der Verarbeitung personenbezogener Daten durch ihn auf
den IT-Systemen des Auftragnehmers sowie für die Wahrung der Rechte der Betroffenen verantwortlich. Der
Auftraggeber hat dafür Sorge zu tragen, dass die gesetzlich oder behördlich vorgeschriebenen Voraussetzungen für
„seine“ Datenverarbeitungen geschaffen werden bzw. Anforderungen erfüllt werden, wie z.B. die Einhaltung von
Löschfristen und zulässiger Speicherdauer, die Einholung von Einwilligungserklärungen. Das gilt insbesondere dann,
wenn der Auftraggeber besonders sensible Daten im Sinne des Art. 9 DS-GVO verarbeiten lässt.
1.5 Der Auftraggeber stellt den Auftragnehmer in seinem Verantwortungsbereich von Ansprüchen Betroffener
gegenüber dem Auftragnehmer frei (Art. 82 DS-GVO bleibt unberührt).
1.6 Gegenstand, Dauer, Art und Zweck der ggf. erfolgenden Datenverarbeitung ist für den Auftraggeber durch seine
Tarifwahl/Produktwahl zum Hauptvertrag vorgegeben. Die Leistungsinhalte des Auftragnehmers ergeben sich aus den
jeweiligen Leistungsbeschreibungen/Tarifbeschreibungen und ggf. mitgeltenden Dokumenten.
1.7 Im Rahmen der tarifspezifischen/produktspezifischen Möglichkeiten kann der Auftraggeber Art und Umfang seiner
Datenverarbeitung durch Art und Weise der Nutzung des Tarifes/Produktes bestimmen. Im Rahmen dieser Tarife und
Produkte können insbesondere dann Weisungsrechte des Auftraggebers im Falle der Inanspruchnahme von Support-
Dienstleistungen oder im Einzelfall gewünschten Programmierdienstleistungen wahrgenommen werden, wenn der
Auftragnehmer im Einzelfall auf den Datenbestand des Auftraggebers Zugriff nehmen soll.
1.8 Sämtliche Auftragsverarbeitungsleistungen des Auftragnehmers nach Weisung werden ausschließlich in einem
Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum erbracht. Jede Verlagerung dieser Dienstleistungen oder von Teilarbeiten dazu in ein Drittland bedarf
der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44
ff. DS-GVO erfüllt sind (z. B. ein Angemessenheitsbeschluss der Kommission vorliegt, Standarddatenschutzklauseln
Auftragsverarbeitungsvertrag V20180518 Seite 1 von 5
430283
Katja Nething
Gem.-Praxis Dr. C. Galm, C. Ehrlich, Dr. A. Olischläger, Dr. K. Nething
Alter Postplatz 9, 88400 Biberach a. d. Riss, Deutschland
verwendet werden oder genehmigte Verhaltensregeln vorliegen).
1.9 Dieser Auftragsverarbeitungsvertrag beginnt mit seinem Zustandekommen und wird auf unbestimmte Zeit
geschlossen. Er endet mit dem Ende der vertraglich vereinbarten Leistungen des Auftragnehmers aus dem Hauptvertrag.
1.10 Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender
Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der
Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte
des Auftraggebers vertragswidrig verweigert.
2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen
Die Art der Verarbeitung entsprechend der Definition von Art. 4 Nr. 2 DS-GVO), der Zweck der Verarbeitung, die Art der
personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DS-GVO) sowie die Kategorien
betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO) ergeben sich aus Anlage 1.
3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers
3.1 Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte
der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der
Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet
sind, unverzüglich an diesen weiterzuleiten.
3.2 Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber
und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.
3.3 Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten
elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen
Format zu bestätigen.
3.4 Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise
von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in
diesem Vertrag festgelegten Verpflichtungen zu überzeugen.
3.5 Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen
und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung
bleibt auch nach Beendigung dieses Vertrages bestehen.
4. Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragnehmers
4.1 Weisungsberechtigte Personen des Auftraggebers und Weisungsempfänger des Auftragnehmers sind in Anlage 1
enthalten.
4.2 Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner
unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen.
5. Pflichten des Auftragnehmers
5.1 Der Auftragnehmer verarbeitet personenbezogene Daten in der Situation der Auftragsverarbeitung ausschließlich im
Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen
Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist
(z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragnehmer dem
Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche
Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 a DS-GVO).
5.2 Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen,
insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des
Auftraggebers nicht erstellt.
5.3 Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die
vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber
verarbeiteten Daten von sonstigen Datenbeständen getrennt werden.
Auftragsverarbeitungsvertrag V20180518 Seite 2 von 5
5.4 Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders
gekennzeichnet.
5.5 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der
Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen
des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich
angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils
unverzüglich an den Weisungsberechtigten des Auftraggebers gemäß Anlage 1 weiterzuleiten.
5.6 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber
erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der
Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den
Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.
5.7 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren
Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen
des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis
an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den
Auftraggeber erteilen. Gesetzliche Verpflichtungen zur Auskunftserteilung bleiben unberührt.
5.8 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in
Art. 28 DS-GVO niedergelegten Pflichten zur Verfügung. Er ermöglicht Überprüfungen – einschließlich Inspektionen –, die
vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden.
5.9 Der Auftragnehmer verpflichtet sich, auch die Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen.
5.10 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des
Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.
5.11 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor
Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit
ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit
verpflichtet (Art. 28 Abs. 3 Satz 2 b und Art. 29 DS-GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen
Vorschriften in seinem Betrieb.
6. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes
personenbezogener Daten
Der Auftragnehmer teilt dem Auftraggeber unverzüglich Verletzungen des Schutzes personenbezogener Daten nach Art.
33 Abs. 2 DS-GVO mit. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art.
33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2f DS-GVO). Meldungen nach Art. 33 oder 34 DSGVO
für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages
durchführen.
7. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)
7.1 Der Auftragnehmer als Auftragsverarbeiter nimmt die weiteren Auftragsverarbeiter (als Subunternehmer) in
Anspruch, die in der Anlage 1 genannt sind. Allgemein darf der Auftragnehmer weitere Subunternehmer einsetzen, wenn
diese Konzernunternehmen im Sinne des Aktienrechts sind. In diesem Fall informiert der Auftragnehmer den
Auftraggeber über eine solche beabsichtigte Änderung, wodurch der Auftraggeber die Möglichkeit erhält, gegen
derartige Änderungen Einspruch zu erheben. Der Auftragnehmer trägt dafür Sorge, dass er den Subunternehmer unter
besonderer Berücksichtigung der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen im
Sinne von Art. 32 DS-GVO sorgfältig auswählt.
7.2 Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen
der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln,
genehmigte Verhaltensregeln).
7.3 Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und
Auftragnehmer auch gegenüber Subunternehmern gelten.
7.4 Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format
erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).
Auftragsverarbeitungsvertrag V20180518 Seite 3 von 5
7.5 Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen
nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.
7.6 Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten
nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt
wurden.
7.7 Der Auftragnehmer informiert den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die
Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält,
gegen derartige Änderungen Einspruch zu erheben (Art. 28 Abs. 2 Satz 2 DS-GVO).
8. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)
8.1 Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung
betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32
Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in
Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische
und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.
8.2 Das in Anlage 2 beschriebene Datenschutzkonzept (Technische und organisatorische Maßnahmen) stellt die
Auswahl der technischen und organisatorischen Maßnahmen dar. Diese passen zum ermittelten Risiko unter Berücksichtigung
der Schutzziele nach Stand der Technik und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und
Verarbeitungsprozesse beim Auftragnehmer. Unbeschadet bleibt die Verantwortung des Auftraggebers (vgl. Ziffer 8.6).
8.3 Soweit die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen,
benachrichtigt er den Auftraggeber unverzüglich.
8.4 Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen
Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.
8.5 Die technischen und organisatorischen Maßnahmen kann der Auftragnehmer nach eigenem pflichtgemäßen
Ermessen der technischen und organisatorischen Weiterentwicklung anpassen.
8.6 Der Auftraggeber ist als Verarbeiter von personenbezogenen Daten auf dem ihm überlassenen Speicherplatz in
erster Linie selbst verantwortlich, ob und wie er dort personenbezogene Daten verarbeitet. Entsprechend muss der
Auftraggeber selbst für „seine“ Datenverarbeitungsvorgänge technische und organisatorische Maßnahmen ergreifen,
etwa E-Mails verschlüsseln oder seine Webseiten mit SSL-Zertifikaten versehen, um die Schutzziele aus Art. 32 DS-GVO
zu erreichen.
9. Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO
9.1 Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinem Besitz sowie an Subunternehmen
gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit
dem Auftragsverhältnis stehen, datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen.
9.2 Unbeschadet von Ziffer 9.1 bleibt die Verpflichtung des Auftraggebers aus dem Hauptvertrag, den zum Gebrauch
überlassenen Speicherplatz mit Beendigung des Hauptvertrags im gelöschten Zustand an den Auftragnehmer zurückzugeben.
10. Vergütung
10.1 Spezielle Weisungen des Kunden im Hinblick auf die Verarbeitung personenbezogener Daten, die über die vertraglich
vereinbarten Leistungen und Tarif- bzw. Produktparameter hinausgehen und zu einem Mehraufwand für den Auftragnehmer
führen, sind entsprechend gesondert zu vergüten. Die Vergütung der Auftragsverarbeitungsleistungen des
Auftragnehmers ist - nicht abschließend - in Anlage 1 geregelt.
10.2 Bei speziellen Weisungen, deren Umsetzung für den Auftragnehmer nicht oder nur mit unverhältnismäßig hohem
Mehraufwand möglich ist, kann der Auftragnehmer den Hauptvertrag und diesen Auftragsverarbeitungsvertrag zum
Ende eines laufenden Kalendermonats mit einer Frist von 20 Kalendertagen kündigen.
Auftragsverarbeitungsvertrag V20180518 Seite 4 von 5
11. Haftung
Auf Art. 82 DS-GVO wird verwiesen.
12. Sonstiges
12.1 Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen
(auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle
Kalenderjahre aufzubewahren.
12.2 Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.
12.3 Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer
durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren
oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu
verständigen.
12.4 Ist der Auftraggeber eine Kirche oder eine religiöse Vereinigung bzw. Gemeinschaft im Sinne des Art. 91 DS-GVO,
unterwirft sich der Auftraggeber der Aufsicht dieser jeweiligen Institution, soweit diese unabhängige Aufsichtsbehörde
die in Kapitel VI DS-GVO niedergelegten Bedingungen erfüllt.
12.5 Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im
Übrigen nicht.
12.6 Diese Vereinbarung unterliegt deutschem Recht.
12.7 Ab dem Zeitpunkt des Zustandekommens dieser Vereinbarung werden Verträge über die Auftrags(daten)vereinbarung,
die zwischen den Parteien bis zu diesem Zeitpunkt bestehen, durch diese Vereinbarung mit Wirkung für die
Zukunft ersetzt.
IV. Kontaktformular und E-Mail-Kontakt
1. Beschreibung und Umfang der Datenverarbeitung
Auf unserer Internetseite ist kein Kontaktformular vorhanden, welches für die elektronische Kontaktaufnahme genutzt werden kann.
Alternativ ist jedoch eine Kontaktaufnahme über die angegebene E-Mail-Adresse möglich. In diesem Fall werden die mit der E-Mail übermittelten personenbezogenen Daten des Nutzers gespeichert.
Es erfolgt in diesem Zusammenhang keine Weitergabe der Daten an Dritte. Die Daten werden ausschließlich für die Verarbeitung der Konversation verwendet.
2. Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung des Nutzers Art. 6 Abs. 1 lit. a DSGVO.
Rechtsgrundlage für die Verarbeitung der Daten, die im Zuge einer Übersendung einer E-Mail übermittelt werden, ist Art. 6 Abs. 1 lit. f DSGVO. Zielt der E-Mail-Kontakt auf den Abschluss eines Vertrages ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO.
3. Zweck der Datenverarbeitung
Die Verarbeitung der personenbezogenen Daten dient uns allein zur Bearbeitung der Kontaktaufnahme. Im Falle einer Kontaktaufnahme per E-Mail liegt hieran auch das erforderliche berechtigte Interesse an der Verarbeitung der Daten.
4. Dauer der Speicherung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten, die per E-Mail übersandt wurden, ist dies dann der Fall, wenn die jeweilige Konversation mit dem Nutzer beendet ist. Beendet ist die Konversation dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist.
Die während des Absendevorgangs zusätzlich erhobenen personenbezogenen Daten werden spätestens nach einer Frist von sieben Tagen gelöscht.
5. Widerspruchs- und Beseitigungsmöglichkeit
Der Nutzer hat jederzeit die Möglichkeit, seine Einwilligung zur Verarbeitung der personenbezogenen Daten zu widerrufen. Nimmt der Nutzer per E-Mail Kontakt mit uns auf, so kann er der Speicherung seiner personenbezogenen Daten jederzeit widersprechen. In einem solchen Fall kann die Konversation nicht fortgeführt werden.
Möchten Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an info@kinderaerzte-biberach.de oder eine telefonische Kontaktaufnahme unter 07351/8800.
Alle personenbezogenen Daten, die im Zuge der Kontaktaufnahme gespeichert wurden, werden in diesem Fall gelöscht.
V. Rechte der betroffenen Person
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener i. S. d. DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu:
1. Auskunftsrecht
Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.
Liegt eine solche Verarbeitung vor, können Sie über folgende Informationen Auskunft verlangen:
(1) die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
(2) die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
(3) die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
(4) die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
(5) das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
(6) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
(7) alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
(8) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.
2. Recht auf Berichtigung
Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.
3. Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:
(1) wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
(2) die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
(3) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
(4) wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.
Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben wird.
4. Recht auf Löschung
a) Löschungspflicht
Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
(1) Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
(2) Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
(3) Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
(4) Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
(5) Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
(6) Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
b) Information an Dritte
Hat der Verantwortliche die Sie betreffenden personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.
c) Ausnahmen
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
(1) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
(2) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
(3) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
(4) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
(5) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
5. Recht auf Unterrichtung
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.
6. Recht auf Datenübertragbarkeit
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
(1) die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht und
(2) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
7. Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
9. Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.