SKM_C45821042821380
Dieses Dokument ist Teil der Anfrage „Vertrag mit CTS Eventim für die Terminvergabe - COVID-19 Impfungen“
AV Arten personenbezogener Daten Auftragsverarbeiter betroffene Person Dienstlaistungen Drittstaat DS-GVO . Kategorien betroffener Per- sonen i personenbezogene Daten TOM Verantwortlicher Verarbeitung personenbe- zogener Daten Vereinbarung Verletzung des Schutzes personenbezogener Daten 81 Definitionen Dieser Vertrag zur Auftragsverarbeitung. Zusammenfassung personenbezogener Daten zu Gruppen von Daten mit einem ähnlichen Verwendungszweck. Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle - wie oben angageben und definiert — die personen- bezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DS-GVO). Eine identifizierte oder ideniifizierbare natürliche Person; als klen- üfizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merk- malen, die Ausdruck der physischen, physiologischen, geneti- schen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Art. 4 Nr. 1 DS-GVO). Alle Dienstleistungen, die der Auftragsverarbeiter dem Verant- wortlichen nach dem Vertrag zur Verfügung stellt. Staat, der weder Mitglied der Europäischen Union (EU) noch des Europäischen Wirtschaftsraums (EWR) ist. Datenschutz-Grundverordnung (Verordnung (EU) 2016/679). Zusammenfassung von betroffenen Personen zu einer Gruppe aufgrund derer im Wesentlichen gleichen Stellung bzw. Bezie- hung zum Verantwortlichen. Alle Informationen, die sich auf eine betroffene Person beziehen (Art. 4 Nr. 1 DS-GVO). Technische und organisatorische Maßnahmen zum Schutz perso- nenbezogener Daten vor unbeabsichligter oder unrechtmäßiger Vernichtung oder unbeabsichtigter Löschung, Veränderung, un- berechligtem Zugriff oder unbeabsichtigter Offenlegung. Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle - wie oben angegeben und definiert — die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbei- tung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DS- GVO). Jeder mit oder ohne Hilfe automatislerter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erhsben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittiung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Nr. 2 DS-GVO), Die in der Präambel bezeichnete Vereinbarung. Eine Verletzung ‘der Sicherheit, die, ab unbeabsichtigt oder un- rechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefug- ten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden (Art. 4 Nr. 12 DS-GVO). ‚Seite 2 von 21
82 Gegenstand und Laufzelt der AV . . Diese AV legt die Rechte und Pflichten der Parteien in Bezug auf die Verarbeitung personenbezo- gener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen zum Zwecke der Er- bringung der Dienstleistungen fast. Die Laufzeit dieser AV beginnt und endet mit der Laufzeit der Vereinbarung. Diese AV kann von beiden Parteien aus wichtigem Grund mit sofortiger Wirkung gekündigt werden. Die Kündigung be- darf mindestens der elektronischen Form, 83 Zweck und Dauer der Verarbeitung / Katagorien betroffener Personen und Arten per- sonenbezogener Daten Zweck der Verarbeitung personenbszogener Daten durch den Auftragsverarbeiter ist die Erbrin- gung der Dienstleistungen. . Die Verarbeitung personenbezogener Daten beginnt und endet mit der Laufzeit dieser AV, wie in $ 2 Abs. 2 beschrieben. Die Datenverarbeitung, die zur Erfüllung von Löschungs- und/oder Rück- gabeverpflichtungen gemäß $ 8 erforderlich ist, bleibt hiervon'unberührt. . Die Kategorien betroffener Personen sowie die Arten personenbezogener Daten, die im Auftrag verarbeitet werden, sind in ANLAGE 1 näher beschrieben. . Der Auftragsverarbeiter ist vom Verantwortlichen gemäß dem Schreiben ANLAGE 5a darüber hin- aus beauftragt worden, die in ANLAGE 5b aufgeführten Daten über eine Schittstelle an das vom Verantwortlichen mit der ejektronischen Dokumentation der Impfung u übertragen. 84 Rechte und Pflichten des Verantwortlichen . Der Verantwortliche bleibt gegenüber den betroffenen Personen für die Einhaltung des Datenschut- zes verantwortlich und stellt sicher, dass die Datenverarbeitung in Übereinstimmung mit den ein- schlägigen Bestimmungen des anwendbaren Datenschutzrechts erfolgt. . Zusätzlich zu den in dieser AV enthaltenen Anforderungen an Verarbeitung personenbezogener Daten kann der Verantwortiche den Auftragsverarbeiter Einzelweisungen über Art, Umfang und Ablauf der Datenverarbeitung, insbesondere über Berichtigung. Sperrung und Löschung erteilen. Diese Einzeiwelsungen sind in elektronischer Form oder In Textformzu erteilen. . Der Verantwortliche hat das Recht, die Einhaltung der Verpflichtungen aus dieser AV sowie etwai- ger Einzelweisungen, insbesondere die Umsetzung der beschriebenen TOM des Auftragsverarbei- ters auf Anfrage und mit zeitlich angemessener Vorankündigung in elektronischer Form oder in Textform zu überprüfen. Zu diesem Zweck wird der Auftragsverarbeiter dem Verantwortlichen, sei- nen Mitarbeitem oder bevolimächtigten Prüfern / Beratern, die durch eine seitens des Auftragsver- arbeiters gestellte Verschwiegenheitsvereinbarung verpflichtet sind, nach zeitlich angemessener vorheriger Mitteilung in elektronischer Form oder in Textform.durch den Verantwortlichen einen an- gemessenen Zugang zu den für den Verantwortlichen verarbeiteten Daten sowie den verwendeten Datenverarbeitungssystemen, Datenverarbeitungsprogrammen und relevanten Räumlichkeiten Seite 3 von 21
während der normalen Geschäftszeiten gewähren. Jede Partei trägt ihre eigenen Kosten, die aus einar solchen Überprüfung resultieren. 85 Pflichten des Auftragsverarbeiters . Allgemeines Der Auftragsverarbeiter darf personenbezogene Daten ausschließlich im Auftrag des Verantwortli- chen gemäß den Anforderungen dieser AV und gemäß etwaiger Einzelweisungen des Verantwort- lichen und ausschließlich zu den in dieser AV genannten Zwecken verarbeiten, es sei denn, der Auftragsverarbeiter ist zu einer hiervon abweichenden Verarbeitung personenbezogsner Daten nach anwendbarem Recht verpflichtet (z.B. aufgrund einer behördlichen Anordnung). Im letzteren. Fall wird der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung personenbezogener Osten zu diesem abweichenden Zweck Dber diese gesetzliche Verpflichtung informieren, es sei denn, dass das Gesetz eine solche Information aus wichtigen Gründen des öffentlichen Interesses verbietet, Übermittlung ins Drittland ‘Die Datenverarbeitung erfolgt in einem Mitgliedstaat der Europäischen Union {EU) oder in einem Mitgliedstaat des Europäischen Wirtschaflsraums (EWR). Jede Übermittlung personenbezogener Daten in ein Driltland, einschließlich der Gewährung des Zugangs aus einem Drittland zu den in der EW/EWR gespeicherten personenbezogenen Dalen, Ist nur zulässig, wenn die Anforderungen der Artikel 44 ff. DS-GVO erfüllt sind, bevor personenbezogene Daten übertragen bzw. zugänglich ge- macht werden und der Verantwortliche einer solchen Übermittlung vorher zustimmt, Die zum Zelt- punkt des Abschlusses dieser Vereinbarung vorhandenen Empfänger in einem Drittland, an die personenbezogene Daten übermittelt werden bzw. die Zugriff auf In der EUJEWR gespeicherte par- sonenbezogene Daten haben, werden zusammen mit den jeweils getroffenen Garantien zur Sicher- stellung eines angemessenen Datenschutzniveaus im betreffenden Driltiand in ANLAGE 2 aufge- führt, : . Verarbeitungsverzeichnis Der Auftragsverarbeiter ist verpflichtet, ein schriftliches oder elektronisches Verzeichnis aller Verar- beitungstätigkeiten bezogen auf die personenbezogenen Daten entsprechend den geselzlichen Vorgaben zu führen und es auf dem aktuellen Stand zu halten. . Technische und organisatorische Maßnahmen (TOM) _ Der Auftragsverarbeiter wird angemessene TOM treffen, um die Sicherheit der Datenverarbeitung zu gewährleisten. Dabei sind der Stand der Technik, die Durchführungskosten, die Art, der Umfang und die Zwacke der Verarbeitung personenbezogener Daten sowie die Eintriltswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Die derzeit vom Auftragsverarbeiter getroffenen TOM werden in ANLAGE 3 beschrieben. Die TOM unterliegen dem technischen Fortschrilt und der Weiterentwicklung. Insofern Ist es zulässig, dass der Auftragsverarbeiter die beschriebenen TOM ändert, solange das bestehende Sicherheitsniveau der definierten Maßnahmen dabei insgesamt nicht reduziert wird. Ungeachtet dessen sind Ände- rungen zu dokumentieren und dem Verantwortlichen mitzuteilen, z.B. durch die regelmäßige Bereit- stellung einer aktualisierten Liste von TOM. Wesentliche Änderungen der TOM bedürfen der Ver- einbarung In mindestens elektronischer Form. . Vertraulichkeit Der Auftragsverarbeiter ist-zur Vertraulichkeit verpflichtet und stellt sicher, dass alle Personen, die zür Verarbeitung personenbezogener Daten des Verantwortlichen im Sinne dieser AV befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Selte 4 von 21
Verschwiegenheitspflicht unterliegen. Insbesondere ist eine Offenlegung personenbezogener Da- ton untersagt; dies gilt nicht soweit und solange hierzu eine Verpflichtung nach anwendbarem Recht besteht. 6. Überwachung Während der gesamten Vertragslaufzeit überwacht der Auftragsverarbeiter die Einhaltung der Best- immungen dieser AV und ggf. der Einzeiweisungen, die der Verantwortliche gemäß $ 4 Abs. 2 er- teilt, 7. Kommunikation Soweit im Einzelfall erforderlich, erfolgt sämtliche Kommunikation zwischen dem Verantwortlichen und dem Auftragsverarbeiter unter zusätzlichen Sicherheitsmaßnahmen (z.B. Verschlüsselung der elektronischen Kommunikation). Der Auftragsverarbeiter informiert den Verantwortlichen unverzüg- lich über Prüfungstätigkeiten oder sonstige Kontrollmaßnahmen der Datenschutzaufsichtsbehör- den, soweit sie sich auf die Verarbeitung personenbezogener Daten im Rahmen dieser AV bezie- hen. 8. Unterstützung des Verantwortlichen ‘ Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informatio- nen unterstützt der Auftragsverarbeiter den Verantwortlichen so weit wie möglich bei der Erfüllung seiner daterischutzrechtlichen Pflichten (z.B, Meldung von Datenschutzverletzungen an die Daten- schulzbehörden und die betroffenen Personen gemäß $6, Durchführung von Datenschutzverträg- lichkeitsprüöfungen sowie Beantwortung von Anfragen zur Ausübung der Rechte der betroffenen Personen). Wendet sich eine betroffene Person mit einem Antrag zur Wahrnehmung datenschulz- rechtlicher Betroffenenrechte (z.B. Berichtigung, Löschung oder Einschränkung-der Verarbeitung ihrer personenbezogenen Daten) direkt an den Auftragsverarbeiter, leitet dieser den Antrag unver- züglich an den Verantwortlichen weiter, 9. Verstoß gegen das Datenschutzrecht Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, wenn seiner Meinung nach eine Weisung des Verantwortlichen gegen geltendes Datenschutzrecht verstößt. Der Auf- tragsverarbeiter ist dann berechtigt, die Ausführung der betreffenden Weisung solange auszuset- zen, bis der Verantwortliche sie bestätigt oder ändert. 10, Datenschutzbeauftragter Der Auftragsverarbeiter hat einen Datenschutzbeauftragten bestellt, soweit dies gesetzlich erforder- lich ist. 86 Meldung einer Verletzung des Schutzes personanbezogener Daten Im Falle einer Verletzung des Schutzes personenbezogener Daten des Verantwortlichen benachrichtigt dar Auftragsverarbeiter den Verantwortiichen unverzüglich {In dar Regel par E-Mail oder telefonisch den Datenschutzbeauftragten des Verantwortlichen), nachdem er Kenntnis von einer Verletzung des Schut- zes personenbezogener Daten erlangt hat. 87 Kontrolle Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in dieser AV festgelegten Verpflichtungen des Auftragsverarbelters, insbe- sondere die Implementierung angemessener TOM, nachzuweisen. Zu diesem Zweck gestattet dar Seite 5 von 2%
Auftragsverarbeiter auch Überprüfungen-, einschließlich Inspektionen, unter den in $ 4 Abs, 3 genann- ten Bedingungen, 88 Beendigung und Löschung Der Auftragsverarbeiter wird alle unter dieser AV verarbeiteten personenbezogenen Daten und alle Ko- pien davon nach 30 Tagen nach der Beendigung dieser AV löschen, es sei denn, das anwandbare Recht verlangt eine weitere Speicherung der personenbezogenen Daten (z.B. Aufbewahrungspflichten). Im letzteren Fall hat der Auftragsverarbeiter dafür Sorge zu tragen, dass die Datenverarbeitung auf diesen Zweck beschränkt bleibt. Aufelne in elektronischer Form oder in Textform getätigte Aufforderung des Verantwortlichen innerhalb von 30 Tagen nach der Beendigung dieser AV wird der Auftragsverar- beiter alle unter dieser AV verarbeiteten personenbezogenen Daten und alle Kopien davon an den Ver- anlwortlichen gegen Vergütung der damit verbundenen Aufwände zurückgeben. 89 Unterauftragnehmer 1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Neben- leistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post- / Transport- dienstleistungen, Wartung und Benutzerservice sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkelt, Verfügbarkelt, Integrität und Belastbarkeit der Hard- und Software von Datenverar- beitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jadoch verpfilchtet, zur'Gewährleis- tung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausge- lagerten Nebenleistungen angemessene Maßnahmen zu ergreifen. 2. Der Verantwortliche erteilt hiermit seine Zustimmung zur Beauftragung der in ANLAGE 4 aufge- führten Unterauftragnehmer. Jede Beauftragung von Unterauftragnehmern, die nicht In ANLAGE 4 enthalten sind, bedarf der vorherigen Zustimmung {In elsktrönischer Form oder in Textform) en Verantwortlichen, die nichl ohne wichtigen Grund verweigert werden darf. Die vorherige Zustimmung des Verantwortlichen giit als erteilt, wenn a) der Auftragsverarbeiter die geplante Inbetriebnahme eines nauen Unterauftragnehmers dem Verantwortlichen in elektroni- scher Form oder in Textform mitgeteilt hat, b) der Verantwortliche nicht binnen sieben Werktagen nach Erhalt der Mitteilung in elektronischer Form oder in Textform widersprochen hat und c) der Auftragsverarbeiter mit dem jewalllgen Unterauftragnehmer zum Zeitpunkt der Durchführung der Auftragsverarbeitung einen Vertrag zur Auftragsverarbeltung nach Maßgabe des $ 9 Abs. 3 abge- schlossen hat. 3. Der Auftragsverarbeiter hat mit den Unterauftragnehmern Verträge zur Auftragsverarbeitung abzu- schließen, die ao ausgestaltet sind, dass sie dam Datenschutzniveau dieser AV entsprechen: Der Verantwortliche hat das Recht, auf Anfrage (in elektronischer Form oder in Textform) vom Verar- beiter Informationen über die Umsetzung der Datenschutzverpflichtungen im Rahmen des Unter- vertragsverhältnisses zu erhalten. 4. „Wenn ein Unterauftragnehmer eine Verarbeitung personenbezogener. Daten in oder aus einem Drittland erbringen soll, muss der Auftragsverarbeiter die Rechtmäßigkeit der Übermittlung perso- nenbezogener Daten in das Drittland gemäß Art. 44 ff. DS-GVO sicherstellen. Der betreffende Un- teraüftragnehmer und die entsprechende Garantie zur Sicherstellung eines angemessenen Daten- schutzniveaus sind in ANLAGE 2 aufzunehmen. ee gelte B von 21
Kommt ein, Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet dar Auftragsver- arbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten dieses Unterauftragneh- mers. $10 Abschlleßende Regelungen Die nachfolgenden Anlagen sind integraler Bestandteil dieser AV: ANLAGE 1: Kategorien betroffener Personen und Arten personanbezogener Daten ANLAGE 2: Übermittlung von personenbezogenen Daten In Drittländer ANLAGE 3a: YRssia.st ANLAGE 3b: ANLAGE 4: ANLAGE 5a: Beauftragung zur Übermittlung von Datan an die ANLAGE 5b: Daten zur Übermittlung an . Änderungen oder Ergänzungen dieser AV bedürfen zu Ihrer Wirksamkeit mindestens der elektroni- schen Form, Dies gilt auch für Änderungen der gegenständlichen Regelung. Alle Streitigkeiten oder Ansprüche, die sich aus oder im Zusammenhang mit dieser AV ergeben, unterliegen deutschem Recht. Ausschließlicher Gerichtsstand ist beim sachlich zuständigen Gericht am Geschäftssitz des Auftragsverarbeiters. Für den Fall, dass eine oder mehrere Bestimmungen dieser AV ganz oder teilweise unwirksam sein sollten oder werden, wird die Gültigkeit und Durchsetzbarkeit der übrigan Bestimmungen dieser AV dadurch nicht berührt. Gleiches gilt für den Fall, dass der Vertrag Lücken enthäll. Eine unwirksame bzw. fehlende Bestimmung ist durch eine solche zu ersetzen, die, sowait rechtlich zulässig, dem tatsächlichen oder mutmaßlichen Willen der Parteien am nächsten kommt, sofern sie diese berück- sichtigt hätten. Seite 7 von 21
ANLAGE 1 Kategorien keiroffener Personen und Arten personenbezogener Daten Die Verarbeitung personenbezogener Daten im Rahmen dieser AV betrifft die folgenden Kategorien betroffener Personen und die folgenden Arten personenbezogener Daten: Kategörlen.betrofferier Personen Arten persönenbezögener Däten Bei dan nachstehenden Daten kann as sich auf- grund der Konfigurationsmöglichkeit des Sys- tems um optionale oder freiwillige Angaben sei- tens der Buchenden für Termine des Auftragge- bers handeln: " Anrede, Name, Vomame, PLZ, Adresse (Straße + Hausnummer), Adresszusatz, Stadt, Land, Telefonnummer, E-Mail, Geschlecht, Ge- burtsdatum, Sprache, Daten basierend auf der STIKO-Empfehlung (wie bspw. Berufsgruppe, Vorerkrankungen), Zeit und Datum gebuchter und durchgeführter Impftenmine (Erst- und Zweittermin), Betriebssystem, IP-Adressen, Browser Fingerprints, Browser User Agents, UU-1D, WEB-ID, Device Fingerprints, Cookies, Geo IP-Iocation, Barcodes, Session-Cookies Interessenten und Buchende für Termine zur CO- VID-19 Impfung in den Impfzentren des Landes Schleswig-Holstein Mitarbeiter des Verantwortlichen und des Auf- tragsverarbeiters Seite 8 von 2i
ANLAGE 2 Übermitthing von personenbezogenen Daten In Drittländer Die folgende Liste enthält Empfänger von personenbezogenen Daten in Driltländern, die direkt oder indirekt an der Verarbeitung persanenbezogener Daten, die unter diese AV fallen, betelligt sind sowie die jeweils zur Anwendung kommenden: Garantien zur Sicherstellung eines angemessenen Daten- schutzniveaus gemäß Art. 44 ff. DS-GVO. Rechtferligung der- ‚Datenübermittlung /Ge- elgnete- Garantien (zB. Ängemessenheitsbe- ] schluss der EU-Kommission, Abschluss EU- Standerdvertragsklauseln, Binding Fe Nicht anwendbar, da keine Übermittlung in Dritt- länder erfolgt Name und Adresse des Empfängers Im Dritt- land - Rulas’etc, ) Nicht anwendbar, da keine Übermiltiung in Dritt- länder erfolgt Seite 9 von 21
Seite 10 von 21
wu ET EEE En nn Seite 11 von 21