AV
Arten personenbezogener

Daten
Auftragsverarbeiter

betroffene Person

Dienstlaistungen

Drittstaat

DS-GVO .
Kategorien betroffener Per-
sonen i
personenbezogene Daten

TOM

Verantwortlicher

Verarbeitung personenbe-
zogener Daten

Vereinbarung
Verletzung des Schutzes
personenbezogener Daten

81

Definitionen

Dieser Vertrag zur Auftragsverarbeitung.

Zusammenfassung personenbezogener Daten zu Gruppen von
Daten mit einem ähnlichen Verwendungszweck.

Die natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle - wie oben angageben und definiert — die personen-
bezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art.
4 Nr. 8 DS-GVO).

Eine identifizierte oder ideniifizierbare natürliche Person; als klen-
üfizierbar wird eine natürliche Person angesehen, die direkt oder
indirekt, insbesondere mittels Zuordnung zu einer Kennung wie
einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer
Online-Kennung oder zu einem oder mehreren besonderen Merk-
malen, die Ausdruck der physischen, physiologischen, geneti-
schen, psychischen, wirtschaftlichen, kulturellen oder sozialen
Identität dieser natürlichen Person sind, identifiziert werden kann
(Art. 4 Nr. 1 DS-GVO).

Alle Dienstleistungen, die der Auftragsverarbeiter dem Verant-
wortlichen nach dem Vertrag zur Verfügung stellt.

Staat, der weder Mitglied der Europäischen Union (EU) noch des
Europäischen Wirtschaftsraums (EWR) ist.
Datenschutz-Grundverordnung (Verordnung (EU) 2016/679).
Zusammenfassung von betroffenen Personen zu einer Gruppe
aufgrund derer im Wesentlichen gleichen Stellung bzw. Bezie-
hung zum Verantwortlichen.

Alle Informationen, die sich auf eine betroffene Person beziehen
(Art. 4 Nr. 1 DS-GVO).

Technische und organisatorische Maßnahmen zum Schutz perso-
nenbezogener Daten vor unbeabsichligter oder unrechtmäßiger
Vernichtung oder unbeabsichtigter Löschung, Veränderung, un-
berechligtem Zugriff oder unbeabsichtigter Offenlegung.

Die natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle - wie oben angegeben und definiert — die allein oder
gemeinsam mit anderen über die Zwecke und Mittel der Verarbei-
tung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DS-
GVO).

Jeder mit oder ohne Hilfe automatislerter Verfahren ausgeführte
Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit
personenbezogenen Daten wie das Erhsben, das Erfassen, die
Organisation, das Ordnen, die Speicherung, die Anpassung oder
Veränderung, das Auslesen, das Abfragen, die Verwendung, die
Offenlegung durch Übermittiung, Verbreitung oder eine andere
Form der Bereitstellung, den Abgleich oder die Verknüpfung, die
Einschränkung, das Löschen oder die Vernichtung (Art. 4 Nr. 2
DS-GVO),

Die in der Präambel bezeichnete Vereinbarung.

Eine Verletzung ‘der Sicherheit, die, ab unbeabsichtigt oder un-
rechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder
zur unbefugten Offenlegung von beziehungsweise zum unbefug-
ten Zugang zu personenbezogenen Daten führt, die übermittelt,
gespeichert oder auf sonstige Weise verarbeitet wurden (Art. 4 Nr.
12 DS-GVO).

 

‚Seite 2 von 21

82
Gegenstand und Laufzelt der AV

. . Diese AV legt die Rechte und Pflichten der Parteien in Bezug auf die Verarbeitung personenbezo-
gener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen zum Zwecke der Er-
bringung der Dienstleistungen fast.

Die Laufzeit dieser AV beginnt und endet mit der Laufzeit der Vereinbarung. Diese AV kann von
beiden Parteien aus wichtigem Grund mit sofortiger Wirkung gekündigt werden. Die Kündigung be-
darf mindestens der elektronischen Form,

83
Zweck und Dauer der Verarbeitung / Katagorien betroffener Personen und Arten per-
sonenbezogener Daten

Zweck der Verarbeitung personenbszogener Daten durch den Auftragsverarbeiter ist die Erbrin-
gung der Dienstleistungen.

. Die Verarbeitung personenbezogener Daten beginnt und endet mit der Laufzeit dieser AV, wie in $
2 Abs. 2 beschrieben. Die Datenverarbeitung, die zur Erfüllung von Löschungs- und/oder Rück-
gabeverpflichtungen gemäß $ 8 erforderlich ist, bleibt hiervon'unberührt.

. Die Kategorien betroffener Personen sowie die Arten personenbezogener Daten, die im Auftrag
verarbeitet werden, sind in ANLAGE 1 näher beschrieben. .

Der Auftragsverarbeiter ist vom Verantwortlichen gemäß dem Schreiben ANLAGE 5a darüber hin-
aus beauftragt worden, die in ANLAGE 5b aufgeführten Daten über eine Schittstelle an das vom
Verantwortlichen mit der ejektronischen Dokumentation der Impfung

u übertragen.

84
Rechte und Pflichten des Verantwortlichen

. Der Verantwortliche bleibt gegenüber den betroffenen Personen für die Einhaltung des Datenschut-
zes verantwortlich und stellt sicher, dass die Datenverarbeitung in Übereinstimmung mit den ein-
schlägigen Bestimmungen des anwendbaren Datenschutzrechts erfolgt.

. Zusätzlich zu den in dieser AV enthaltenen Anforderungen an Verarbeitung personenbezogener
Daten kann der Verantwortiche den Auftragsverarbeiter Einzelweisungen über Art, Umfang und
Ablauf der Datenverarbeitung, insbesondere über Berichtigung. Sperrung und Löschung erteilen.
Diese Einzeiwelsungen sind in elektronischer Form oder In Textformzu erteilen.

. Der Verantwortliche hat das Recht, die Einhaltung der Verpflichtungen aus dieser AV sowie etwai-

ger Einzelweisungen, insbesondere die Umsetzung der beschriebenen TOM des Auftragsverarbei-
ters auf Anfrage und mit zeitlich angemessener Vorankündigung in elektronischer Form oder in
Textform zu überprüfen. Zu diesem Zweck wird der Auftragsverarbeiter dem Verantwortlichen, sei-
nen Mitarbeitem oder bevolimächtigten Prüfern / Beratern, die durch eine seitens des Auftragsver-
arbeiters gestellte Verschwiegenheitsvereinbarung verpflichtet sind, nach zeitlich angemessener
vorheriger Mitteilung in elektronischer Form oder in Textform.durch den Verantwortlichen einen an-
gemessenen Zugang zu den für den Verantwortlichen verarbeiteten Daten sowie den verwendeten
Datenverarbeitungssystemen, Datenverarbeitungsprogrammen und relevanten Räumlichkeiten

Seite 3 von 21

während der normalen Geschäftszeiten gewähren. Jede Partei trägt ihre eigenen Kosten, die aus
einar solchen Überprüfung resultieren.

85
Pflichten des Auftragsverarbeiters

. Allgemeines

Der Auftragsverarbeiter darf personenbezogene Daten ausschließlich im Auftrag des Verantwortli-
chen gemäß den Anforderungen dieser AV und gemäß etwaiger Einzelweisungen des Verantwort-
lichen und ausschließlich zu den in dieser AV genannten Zwecken verarbeiten, es sei denn, der
Auftragsverarbeiter ist zu einer hiervon abweichenden Verarbeitung personenbezogsner Daten
nach anwendbarem Recht verpflichtet (z.B. aufgrund einer behördlichen Anordnung). Im letzteren.
Fall wird der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung personenbezogener
Osten zu diesem abweichenden Zweck Dber diese gesetzliche Verpflichtung informieren, es sei
denn, dass das Gesetz eine solche Information aus wichtigen Gründen des öffentlichen Interesses
verbietet,

Übermittlung ins Drittland

‘Die Datenverarbeitung erfolgt in einem Mitgliedstaat der Europäischen Union {EU) oder in einem
Mitgliedstaat des Europäischen Wirtschaflsraums (EWR). Jede Übermittlung personenbezogener
Daten in ein Driltland, einschließlich der Gewährung des Zugangs aus einem Drittland zu den in der
EW/EWR gespeicherten personenbezogenen Dalen, Ist nur zulässig, wenn die Anforderungen der
Artikel 44 ff. DS-GVO erfüllt sind, bevor personenbezogene Daten übertragen bzw. zugänglich ge-
macht werden und der Verantwortliche einer solchen Übermittlung vorher zustimmt, Die zum Zelt-
punkt des Abschlusses dieser Vereinbarung vorhandenen Empfänger in einem Drittland, an die
personenbezogene Daten übermittelt werden bzw. die Zugriff auf In der EUJEWR gespeicherte par-
sonenbezogene Daten haben, werden zusammen mit den jeweils getroffenen Garantien zur Sicher-
stellung eines angemessenen Datenschutzniveaus im betreffenden Driltiand in ANLAGE 2 aufge-
führt, :

. Verarbeitungsverzeichnis

Der Auftragsverarbeiter ist verpflichtet, ein schriftliches oder elektronisches Verzeichnis aller Verar-
beitungstätigkeiten bezogen auf die personenbezogenen Daten entsprechend den geselzlichen
Vorgaben zu führen und es auf dem aktuellen Stand zu halten.

. Technische und organisatorische Maßnahmen (TOM) _

Der Auftragsverarbeiter wird angemessene TOM treffen, um die Sicherheit der Datenverarbeitung
zu gewährleisten. Dabei sind der Stand der Technik, die Durchführungskosten, die Art, der Umfang
und die Zwacke der Verarbeitung personenbezogener Daten sowie die Eintriltswahrscheinlichkeit
und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.
Die derzeit vom Auftragsverarbeiter getroffenen TOM werden in ANLAGE 3 beschrieben. Die TOM
unterliegen dem technischen Fortschrilt und der Weiterentwicklung. Insofern Ist es zulässig, dass
der Auftragsverarbeiter die beschriebenen TOM ändert, solange das bestehende Sicherheitsniveau
der definierten Maßnahmen dabei insgesamt nicht reduziert wird. Ungeachtet dessen sind Ände-
rungen zu dokumentieren und dem Verantwortlichen mitzuteilen, z.B. durch die regelmäßige Bereit-
stellung einer aktualisierten Liste von TOM. Wesentliche Änderungen der TOM bedürfen der Ver-
einbarung In mindestens elektronischer Form.

. Vertraulichkeit

Der Auftragsverarbeiter ist-zur Vertraulichkeit verpflichtet und stellt sicher, dass alle Personen, die
zür Verarbeitung personenbezogener Daten des Verantwortlichen im Sinne dieser AV befugt sind,
sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen

Selte 4 von 21

Verschwiegenheitspflicht unterliegen. Insbesondere ist eine Offenlegung personenbezogener Da-
ton untersagt; dies gilt nicht soweit und solange hierzu eine Verpflichtung nach anwendbarem Recht
besteht.

6. Überwachung
Während der gesamten Vertragslaufzeit überwacht der Auftragsverarbeiter die Einhaltung der Best-
immungen dieser AV und ggf. der Einzeiweisungen, die der Verantwortliche gemäß $ 4 Abs. 2 er-
teilt,

7. Kommunikation
Soweit im Einzelfall erforderlich, erfolgt sämtliche Kommunikation zwischen dem Verantwortlichen
und dem Auftragsverarbeiter unter zusätzlichen Sicherheitsmaßnahmen (z.B. Verschlüsselung der
elektronischen Kommunikation). Der Auftragsverarbeiter informiert den Verantwortlichen unverzüg-
lich über Prüfungstätigkeiten oder sonstige Kontrollmaßnahmen der Datenschutzaufsichtsbehör-
den, soweit sie sich auf die Verarbeitung personenbezogener Daten im Rahmen dieser AV bezie-
hen.

8. Unterstützung des Verantwortlichen
‘ Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informatio-
nen unterstützt der Auftragsverarbeiter den Verantwortlichen so weit wie möglich bei der Erfüllung
seiner daterischutzrechtlichen Pflichten (z.B, Meldung von Datenschutzverletzungen an die Daten-
schulzbehörden und die betroffenen Personen gemäß $6, Durchführung von Datenschutzverträg-
lichkeitsprüöfungen sowie Beantwortung von Anfragen zur Ausübung der Rechte der betroffenen
Personen). Wendet sich eine betroffene Person mit einem Antrag zur Wahrnehmung datenschulz-
rechtlicher Betroffenenrechte (z.B. Berichtigung, Löschung oder Einschränkung-der Verarbeitung
ihrer personenbezogenen Daten) direkt an den Auftragsverarbeiter, leitet dieser den Antrag unver-

züglich an den Verantwortlichen weiter,

9. Verstoß gegen das Datenschutzrecht
Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, wenn seiner Meinung
nach eine Weisung des Verantwortlichen gegen geltendes Datenschutzrecht verstößt. Der Auf-
tragsverarbeiter ist dann berechtigt, die Ausführung der betreffenden Weisung solange auszuset-
zen, bis der Verantwortliche sie bestätigt oder ändert.

10, Datenschutzbeauftragter
Der Auftragsverarbeiter hat einen Datenschutzbeauftragten bestellt, soweit dies gesetzlich erforder-
lich ist.

86
Meldung einer Verletzung des Schutzes personanbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten des Verantwortlichen benachrichtigt
dar Auftragsverarbeiter den Verantwortiichen unverzüglich {In dar Regel par E-Mail oder telefonisch den
Datenschutzbeauftragten des Verantwortlichen), nachdem er Kenntnis von einer Verletzung des Schut-
zes personenbezogener Daten erlangt hat.

87
Kontrolle

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich
sind, um die Einhaltung der in dieser AV festgelegten Verpflichtungen des Auftragsverarbelters, insbe-
sondere die Implementierung angemessener TOM, nachzuweisen. Zu diesem Zweck gestattet dar

Seite 5 von 2%

Auftragsverarbeiter auch Überprüfungen-, einschließlich Inspektionen, unter den in $ 4 Abs, 3 genann-
ten Bedingungen,

88
Beendigung und Löschung

Der Auftragsverarbeiter wird alle unter dieser AV verarbeiteten personenbezogenen Daten und alle Ko-
pien davon nach 30 Tagen nach der Beendigung dieser AV löschen, es sei denn, das anwandbare
Recht verlangt eine weitere Speicherung der personenbezogenen Daten (z.B. Aufbewahrungspflichten).
Im letzteren Fall hat der Auftragsverarbeiter dafür Sorge zu tragen, dass die Datenverarbeitung auf
diesen Zweck beschränkt bleibt. Aufelne in elektronischer Form oder in Textform getätigte Aufforderung
des Verantwortlichen innerhalb von 30 Tagen nach der Beendigung dieser AV wird der Auftragsverar-
beiter alle unter dieser AV verarbeiteten personenbezogenen Daten und alle Kopien davon an den Ver-
anlwortlichen gegen Vergütung der damit verbundenen Aufwände zurückgeben.

89

Unterauftragnehmer

1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen,
die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Neben-
leistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post- / Transport-
dienstleistungen, Wartung und Benutzerservice sowie sonstige Maßnahmen zur Sicherstellung der
Vertraulichkelt, Verfügbarkelt, Integrität und Belastbarkeit der Hard- und Software von Datenverar-
beitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jadoch verpfilchtet, zur'Gewährleis-
tung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausge-
lagerten Nebenleistungen angemessene Maßnahmen zu ergreifen.

2. Der Verantwortliche erteilt hiermit seine Zustimmung zur Beauftragung der in ANLAGE 4 aufge-

führten Unterauftragnehmer. Jede Beauftragung von Unterauftragnehmern, die nicht In ANLAGE
4 enthalten sind, bedarf der vorherigen Zustimmung {In elsktrönischer Form oder in Textform) en
Verantwortlichen, die nichl ohne wichtigen Grund verweigert werden darf.
Die vorherige Zustimmung des Verantwortlichen giit als erteilt, wenn a) der Auftragsverarbeiter die
geplante Inbetriebnahme eines nauen Unterauftragnehmers dem Verantwortlichen in elektroni-
scher Form oder in Textform mitgeteilt hat, b) der Verantwortliche nicht binnen sieben Werktagen
nach Erhalt der Mitteilung in elektronischer Form oder in Textform widersprochen hat und c) der
Auftragsverarbeiter mit dem jewalllgen Unterauftragnehmer zum Zeitpunkt der Durchführung der
Auftragsverarbeitung einen Vertrag zur Auftragsverarbeltung nach Maßgabe des $ 9 Abs. 3 abge-
schlossen hat.

3. Der Auftragsverarbeiter hat mit den Unterauftragnehmern Verträge zur Auftragsverarbeitung abzu-
schließen, die ao ausgestaltet sind, dass sie dam Datenschutzniveau dieser AV entsprechen: Der
Verantwortliche hat das Recht, auf Anfrage (in elektronischer Form oder in Textform) vom Verar-
beiter Informationen über die Umsetzung der Datenschutzverpflichtungen im Rahmen des Unter-
vertragsverhältnisses zu erhalten.

4. „Wenn ein Unterauftragnehmer eine Verarbeitung personenbezogener. Daten in oder aus einem
Drittland erbringen soll, muss der Auftragsverarbeiter die Rechtmäßigkeit der Übermittlung perso-
nenbezogener Daten in das Drittland gemäß Art. 44 ff. DS-GVO sicherstellen. Der betreffende Un-
teraüftragnehmer und die entsprechende Garantie zur Sicherstellung eines angemessenen Daten-
schutzniveaus sind in ANLAGE 2 aufzunehmen.

ee gelte B von 21

Kommt ein, Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet dar Auftragsver-
arbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten dieses Unterauftragneh-
mers.

$10
Abschlleßende Regelungen

Die nachfolgenden Anlagen sind integraler Bestandteil dieser AV:

ANLAGE 1: Kategorien betroffener Personen und Arten personanbezogener Daten
ANLAGE 2: Übermittlung von personenbezogenen Daten In Drittländer

ANLAGE 3a: YRssia.st

   
 

ANLAGE 3b:

ANLAGE 4:
ANLAGE 5a: Beauftragung zur Übermittlung von Datan an die
ANLAGE 5b: Daten zur Übermittlung an

. Änderungen oder Ergänzungen dieser AV bedürfen zu Ihrer Wirksamkeit mindestens der elektroni-
schen Form, Dies gilt auch für Änderungen der gegenständlichen Regelung.

Alle Streitigkeiten oder Ansprüche, die sich aus oder im Zusammenhang mit dieser AV ergeben,
unterliegen deutschem Recht. Ausschließlicher Gerichtsstand ist beim sachlich zuständigen Gericht
am Geschäftssitz des Auftragsverarbeiters.

Für den Fall, dass eine oder mehrere Bestimmungen dieser AV ganz oder teilweise unwirksam sein
sollten oder werden, wird die Gültigkeit und Durchsetzbarkeit der übrigan Bestimmungen dieser AV
dadurch nicht berührt. Gleiches gilt für den Fall, dass der Vertrag Lücken enthäll. Eine unwirksame
bzw. fehlende Bestimmung ist durch eine solche zu ersetzen, die, sowait rechtlich zulässig, dem
tatsächlichen oder mutmaßlichen Willen der Parteien am nächsten kommt, sofern sie diese berück-
sichtigt hätten.

 

Seite 7 von 21

ANLAGE 1

Kategorien keiroffener Personen und Arten personenbezogener Daten

Die Verarbeitung personenbezogener Daten im Rahmen dieser AV betrifft die folgenden Kategorien
betroffener Personen und die folgenden Arten personenbezogener Daten:

Kategörlen.betrofferier Personen Arten persönenbezögener Däten

     
 
 
     
      
       
         
   
 
 
 
 
 
 

  

Bei dan nachstehenden Daten kann as sich auf-
grund der Konfigurationsmöglichkeit des Sys-
tems um optionale oder freiwillige Angaben sei-
tens der Buchenden für Termine des Auftragge-
bers handeln: "

Anrede, Name, Vomame, PLZ, Adresse
(Straße + Hausnummer), Adresszusatz, Stadt,
Land, Telefonnummer, E-Mail, Geschlecht, Ge-
burtsdatum, Sprache, Daten basierend auf der
STIKO-Empfehlung (wie bspw. Berufsgruppe,
Vorerkrankungen), Zeit und Datum gebuchter
und durchgeführter Impftenmine (Erst- und
Zweittermin), Betriebssystem, IP-Adressen,
Browser Fingerprints, Browser User Agents,
UU-1D, WEB-ID, Device Fingerprints, Cookies,
Geo IP-Iocation, Barcodes, Session-Cookies

Interessenten und Buchende für Termine zur CO-
VID-19 Impfung in den Impfzentren des Landes
Schleswig-Holstein

Mitarbeiter des Verantwortlichen und des Auf-
tragsverarbeiters

 

 

Seite 8 von 2i

ANLAGE 2

Übermitthing von personenbezogenen Daten In Drittländer

Die folgende Liste enthält Empfänger von personenbezogenen Daten in Driltländern, die direkt oder
indirekt an der Verarbeitung persanenbezogener Daten, die unter diese AV fallen, betelligt sind sowie
die jeweils zur Anwendung kommenden: Garantien zur Sicherstellung eines angemessenen Daten-
schutzniveaus gemäß Art. 44 ff. DS-GVO.

   
 

Rechtferligung der- ‚Datenübermittlung /Ge-
elgnete- Garantien (zB. Ängemessenheitsbe-
] schluss der EU-Kommission, Abschluss EU-

Standerdvertragsklauseln, Binding Fe
Nicht anwendbar, da keine Übermittlung in Dritt-
länder erfolgt

   
 

Name und Adresse des Empfängers Im Dritt-
land -

  
    
       
 

   

   

Rulas’etc, )

Nicht anwendbar, da keine Übermiltiung in Dritt-
länder erfolgt

Seite 9 von 21

Seite 10 von 21

wu ET EEE En nn

Seite 11 von 21